20199313 2019-2020-2 《網絡攻防實踐》第四周做業

20199313 2019-2020-2 《網絡攻防實踐》第三週做業

1、知識點梳理與總結

上週回顧：
上週咱們學習了TCP/IP各層的網絡安全基礎知識，以及網絡空間的常識，並對一些軟件和電影中的具體事例作出了分析。
同時，咱們將搭建屬於本身的虛擬網絡，在本身的虛擬網絡中進行各類知識、技巧的學習。
各類虛擬機操做平臺已就位，開始屬於咱們的學習時間

網絡嗅探

• 網絡嗅探須要用到網絡嗅探器，其最先是爲網絡管理人員配備的工具，有了嗅探器網絡管理員能夠隨時掌握網絡的實際狀況，查找網絡漏洞和檢測網絡性能，當網絡性能急劇降低的時候，能夠經過嗅探器分析網絡流量，找出網絡阻塞的來源。嗅探器也是不少程序人員在編寫網絡程序時抓包測試的工具，由於咱們知道網絡程序都是以數據包的形式在網絡中進行傳輸的，所以不免有協議頭定義不對的。
• 網絡嗅探的基礎是數據捕獲，網絡嗅探系統是並接在網絡中來實現對於數據的捕獲的，這種方式和入侵檢測系統相同，所以被稱爲網絡嗅探。網絡嗅探是網絡監控系統的實現基礎，首先就來詳細地介紹一下網絡嗅探技術，接下來就其在網絡監控系統的運用進行闡述。
  嗅探（Sniffers）是一種網絡流量數據分析的手段，常見於網絡安全攻防技術使用，也有用於業務分析領域，本文主要介紹了嗅探的原理、常見的嗅探工具以及如何防範嗅探。

1、嗅探簡介

嗅探（Sniffers）通常是指使用嗅探器對數據流的數據截獲與分組分析。
任何工具均有兩面性，網絡管理員使用嗅探器能夠隨時掌握網絡的真實狀況，搜索網絡漏洞和檢測網絡性能，當網絡性能急劇降低的時候，能夠經過嗅探器分析網絡流量，找出網絡阻塞的來源。
可是，黑客使用嗅探器能夠攫取網絡中的大量敏感信息，進行ARP欺騙手段，不少攻擊方式都要涉及到arp欺騙，如會話劫持和ip欺騙。黑客使用Sniffer 能夠很輕鬆截獲在網上傳送的用戶帳號、驗證碼、口令、身份證、銀行卡號、等信息，冒充用戶消費或套現。

2、嗅探的工做原理

嗅探（Sniffers）安裝了嗅探器的計算機可以接收局域網中計算機發出的數據包，並對這些數據進行分析。以太網中是基於廣播方式傳送數據的，全部的物理信號都要通過主機節點。TCP/IP 協議棧中的應用協議大多數明文在網絡上傳輸，明文數據可能會包含一些敏感信息(如帳號、密碼、銀行卡號等）。使用嗅探工具後，計算機則能接收全部流經本地計算機的數據包，從而實現盜取敏感信息。因爲嗅探器的隱蔽性好，只是被動接收數據，而不向外發送數據，因此在傳輸數據的過程當中，難以覺察到有人監聽。

3、常見的嗅探工具

dSniff
Ettercap
Tcpdump
Javvin Packet Analyzer
Kismet
Microsoft Network Monitor
NetStumbler
Network General

4、如何防範網絡嗅探

1.對數據進行加密：對數據的加密是安全的必要條件。其安全級別取決於加密算法的強度和密鑰的強度。使用加密技術，防止使用明文傳輸信息。
2.實時檢測監控嗅探器：監測網絡通信丟包和帶寬異常狀況，及時發現可能存在的網絡監聽機器。
3.使用安全的拓樸結構：將非法用戶與敏感的網絡資源相互隔離，網絡分段越細，則安全程度越大。

5、總結：

嗅探（Sniffers）做爲一種工具，具備正反兩面性。咱們要不斷挖掘嗅探技術在網絡管理上的價值，更要防範嗅探器的危害。

動手實踐（一）：tcpdump

對訪問www.tianya.cn的過程利用tcpdump進行監控、抓包，監控其訪問服務器狀況。
使用命令：
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六進制是 47455420
該命令能夠捕獲以get方式獲取的數據包。(下圖一)
主要IP包括：
218.77.130.200（海南省海口市 電信）
124.225.65.154（海南省海口市 電信）
124.225.135.230（海南省海口市 電信）
124.225.245.206（海南省海口市 電信）
202.108.23.152（北京市 北京百度網訊科技有限公司聯通節點(BGP)）

對比分析使用命令：
# tcpdump host tianya.cn
獲取天涯網在DNS中所對應ip的往返數據包（下圖二）
主要IP包括：
124.225.65.154
對比分析可知，二者不一樣，能夠見得天涯網的訪問過程當中還訪問了許多其餘的服務器。

動手實踐（二）：wireshark對telnet連接的捕獲

• 我所登錄的是失傳已久的紫丁香社區（哈爾濱工業大學原bbs論壇），網址www.lilacbbs.com
• 此次咱們採起telnet的方式登陸（實際上能夠百度搜索紫丁香論壇或者鍵入網址www.lilacbbs.com登陸紫丁香論壇網頁版）

win+r打開cmd命令窗口，使用命令登陸紫丁香論壇：
telnet www.lilacbbs.com
實際上這個論壇早在2013年年末就沒有文章更新了，我甚至一度懷疑這個論壇年久失修後，在2013年年末一個盡是情懷的哈工大學子從新將這個論壇假設在了與澳元的異國他鄉————新加坡

事實證實，確實咱們用wireshark捕獲到的數據包目的地址和咱們查到的IP地址一致，均爲150.109.68.125

登錄後是這個樣子的

真的是年久失修啊，這個論壇咱們既然用telnet方式登陸，就來探究一下他的數據傳輸方式。

以下圖，telnet採用的是telnet鏈接模式，在wireshark中能夠獨立剝離在tcp、html等協議以外，而telnet用於傳輸咱們用戶名和密碼的方式居然是明文傳輸，

一、每鍵入一個字符（不管是數字字母仍是退格鍵，咱們的主機都會經過telnet向服務器發送一個報文，報文的數據部分僅包含一個字符長度的數據，即1 byte，正式銘文狀態下咱們鍵入的字符）

二、而後服務器也會回覆一個數據部分相同的回覆報文，一樣明文傳輸咱們的密碼

三、最後服務器再經過tcp連接回復一個[ACK]數據包，本次通訊暫時告一段落。

登陸過程結束後，服務器向咱們的主機發送[PSH,ACK]tcp報文，主機回覆發送[ACK]給服務器，同時發送[PSH,ACK]tcp報文做爲此階段通訊的結束和下一階段通訊的開始。

咱們只須要將咱們截獲的[PSH,ACK]和[ACK]之間的報文結合起來，就能夠獲得完整的密碼：iwin319