20199313 2019-2020-2 《网络攻防实践》第四周做业

20199313 2019-2020-2 《网络攻防实践》第三周做业

1、知识点梳理与总结

上周回顾：
上周咱们学习了TCP/IP各层的网络安全基础知识，以及网络空间的常识，并对一些软件和电影中的具体事例作出了分析。
同时，咱们将搭建属于本身的虚拟网络，在本身的虚拟网络中进行各类知识、技巧的学习。
各类虚拟机操做平台已就位，开始属于咱们的学习时间

网络嗅探

• 网络嗅探须要用到网络嗅探器，其最先是为网络管理人员配备的工具，有了嗅探器网络管理员能够随时掌握网络的实际状况，查找网络漏洞和检测网络性能，当网络性能急剧降低的时候，能够经过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是不少程序人员在编写网络程序时抓包测试的工具，由于咱们知道网络程序都是以数据包的形式在网络中进行传输的，所以不免有协议头定义不对的。
• 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，所以被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。
  嗅探（Sniffers）是一种网络流量数据分析的手段，常见于网络安全攻防技术使用，也有用于业务分析领域，本文主要介绍了嗅探的原理、常见的嗅探工具以及如何防范嗅探。

1、嗅探简介

嗅探（Sniffers）通常是指使用嗅探器对数据流的数据截获与分组分析。
任何工具均有两面性，网络管理员使用嗅探器能够随时掌握网络的真实状况，搜索网络漏洞和检测网络性能，当网络性能急剧降低的时候，能够经过嗅探器分析网络流量，找出网络阻塞的来源。
可是，黑客使用嗅探器能够攫取网络中的大量敏感信息，进行ARP欺骗手段，不少攻击方式都要涉及到arp欺骗，如会话劫持和ip欺骗。黑客使用Sniffer 能够很轻松截获在网上传送的用户帐号、验证码、口令、身份证、银行卡号、等信息，冒充用户消费或套现。

2、嗅探的工做原理

嗅探（Sniffers）安装了嗅探器的计算机可以接收局域网中计算机发出的数据包，并对这些数据进行分析。以太网中是基于广播方式传送数据的，全部的物理信号都要通过主机节点。TCP/IP 协议栈中的应用协议大多数明文在网络上传输，明文数据可能会包含一些敏感信息(如帐号、密码、银行卡号等）。使用嗅探工具后，计算机则能接收全部流经本地计算机的数据包，从而实现盗取敏感信息。因为嗅探器的隐蔽性好，只是被动接收数据，而不向外发送数据，因此在传输数据的过程当中，难以觉察到有人监听。

3、常见的嗅探工具

dSniff
Ettercap
Tcpdump
Javvin Packet Analyzer
Kismet
Microsoft Network Monitor
NetStumbler
Network General

4、如何防范网络嗅探

1.对数据进行加密：对数据的加密是安全的必要条件。其安全级别取决于加密算法的强度和密钥的强度。使用加密技术，防止使用明文传输信息。
2.实时检测监控嗅探器：监测网络通信丢包和带宽异常状况，及时发现可能存在的网络监听机器。
3.使用安全的拓朴结构：将非法用户与敏感的网络资源相互隔离，网络分段越细，则安全程度越大。

5、总结：

嗅探（Sniffers）做为一种工具，具备正反两面性。咱们要不断挖掘嗅探技术在网络管理上的价值，更要防范嗅探器的危害。

动手实践（一）：tcpdump

对访问www.tianya.cn的过程利用tcpdump进行监控、抓包，监控其访问服务器状况。
使用命令：
# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'
"GET "的十六进制是 47455420
该命令能够捕获以get方式获取的数据包。(下图一)
主要IP包括：
218.77.130.200（海南省海口市 电信）
124.225.65.154（海南省海口市 电信）
124.225.135.230（海南省海口市 电信）
124.225.245.206（海南省海口市 电信）
202.108.23.152（北京市 北京百度网讯科技有限公司联通节点(BGP)）

对比分析使用命令：
# tcpdump host tianya.cn
获取天涯网在DNS中所对应ip的往返数据包（下图二）
主要IP包括：
124.225.65.154
对比分析可知，二者不一样，能够见得天涯网的访问过程当中还访问了许多其余的服务器。

动手实践（二）：wireshark对telnet连接的捕获

• 我所登录的是失传已久的紫丁香社区（哈尔滨工业大学原bbs论坛），网址www.lilacbbs.com
• 此次咱们采起telnet的方式登陆（实际上能够百度搜索紫丁香论坛或者键入网址www.lilacbbs.com登陆紫丁香论坛网页版）

win+r打开cmd命令窗口，使用命令登陆紫丁香论坛：
telnet www.lilacbbs.com
实际上这个论坛早在2013年年末就没有文章更新了，我甚至一度怀疑这个论坛年久失修后，在2013年年末一个尽是情怀的哈工大学子从新将这个论坛假设在了与澳元的异国他乡————新加坡

事实证实，确实咱们用wireshark捕获到的数据包目的地址和咱们查到的IP地址一致，均为150.109.68.125

登录后是这个样子的

真的是年久失修啊，这个论坛咱们既然用telnet方式登陆，就来探究一下他的数据传输方式。

以下图，telnet采用的是telnet链接模式，在wireshark中能够独立剥离在tcp、html等协议以外，而telnet用于传输咱们用户名和密码的方式居然是明文传输，

一、每键入一个字符（不管是数字字母仍是退格键，咱们的主机都会经过telnet向服务器发送一个报文，报文的数据部分仅包含一个字符长度的数据，即1 byte，正式铭文状态下咱们键入的字符）

二、而后服务器也会回复一个数据部分相同的回复报文，一样明文传输咱们的密码

三、最后服务器再经过tcp连接回复一个[ACK]数据包，本次通讯暂时告一段落。

登陆过程结束后，服务器向咱们的主机发送[PSH,ACK]tcp报文，主机回复发送[ACK]给服务器，同时发送[PSH,ACK]tcp报文做为此阶段通讯的结束和下一阶段通讯的开始。

咱们只须要将咱们截获的[PSH,ACK]和[ACK]之间的报文结合起来，就能够获得完整的密码：iwin319