网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

时间:2024-05-20 19:33:15

请结合这篇博文的前半部分内容:
https://blog.****.net/ioio_jy/article/details/51419248
利用Wireshark抓取教务系统以及网络教学平台登录数据包进行对比,并依据两个网站的登陆情况,分别回答以下问题:
1、TCP连接的三次握手在哪里?
2、你所登陆的系统是否安全?(即是否以明文形式向远程服务器传输账号和密码)

3、有余力的同学可尝试抓取诸如微博、邮箱等的登录数据包分析

参考文档.rar


一、知识要点

TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的可靠的基于字节流的传输层通信协议,其目的是提供可靠的端到端的传输能够处理数据的顺序传输及数据恢复

注:①每一条TCP连接只能有两个端点(endpoint),每一条TCP连接只能是点对点的(一对一)。

②TCP提供可靠交付的服务

③TCP提供全双工通信

④TCP是面向字节流

要点1TCP报文段的首部格式

TCP虽然是面向字节流的,但TCP传送的数据单元却是报文段;TCP报文段首部的前20个字节是固定的,后面有4n字节是根据需要而增加的选项(n是整数)。因此TCP首部的最小长度是20字节

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

一个TCP报文段分为首部和数据两部分,而TCP的全部功能都体现在它首部中各字段的作用,与TCP连接的建立与释放有关的3个标志位,分别是:

确认ACK——只有当ACK=1时确认号字段才有效。当ACK=0 时,确认号无效。

同步SYN——同步SYN=1表示这是一个连接请求或连接接受报文。

终止FIN(FINish)——用来释放一个连接。FIN=1表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。

要点2TCP连接建立(三报文握手)

TCP连接建立需要在客户和服务器之间交换三个TCP报文段(三报文握手),采用三报文握手主要是为了防止已失效的连接请求报文段突然又传送到了,因而产生错误。其过程如下图所示:

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

★具体步骤

第一次握手

客户A的TCP向服务器B发出连接请求报文段,其首部中的同步位SYN=1,并选择序seq=x,表明传送数据时的第一个数据字节的序号是x。

第二次握手

服务器B的TCP收到连接请求报文段后,如同意,则发回确认:服务器B在确认报文段中使SYN=1ACK=1,其确认号ack=x+1,自己选择的序号seq=y。

第三次握手

客户A收到此报文段后向B给出确认,其ACK=1,确认号ack=y+1。

在3次握手结束后客户A的TCP通知上层应用进程,连接已经建立,B的TCP收到主机A的确认后,也通知其上层应用进程:TCP连接已经建立,至此可以开始数据的传送。

要点3TCP连接释放(四报文握手)

TCP连接释放过程是四报文握手,数据传输结束后,通信的双方都可释放连接。以客户A主动发起连接释放为例,如下图所示:

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

★具体步骤

第一次握手

客户A的应用进程先向其 TCP 发出连接释放报文段,并停止再发送数据,主动关闭TCP连接:A把连接释放报文段首部的FIN=1,其序号seq=u,等待B的确认。

第二次握手

B发出确认,确认号ack=u+1,而这个报文段自己的序号seq=v。TCP 服务器进程通知高层应用进程。此时从A到B这个方向的连接就释放了,TCP连接处于半关闭状态。B若发送数据,A仍要接收

第三次握手

若B已经没有要向A发送的数据,其应用进程就通知TCP释放连接,并发出FIN、ACK数据包。

第四次握手

A收到连接释放报文段后,必须发出确认:在确认报文段中ACK=1,确认ack=w+1,自己的序号seq=u+1。

注:A必须等待2MSL的时间的原因是

1°为了保证A发送的最后一个ACK报文段能够到达B。

2°防止“已失效的连接请求报文段”出现在本连接中。(A在发送完最后一个ACK报文段后,再经过时间2MSL,就可以使本连接持续的时间内所产生的所有报文段,都从网络中消失。这样就可以使下一个新的连接中不会出现这种旧的连接请求报文段。)

--------------------------------------------------------------------------------------------------------------------------------------

  • 实验步骤与结果分析

 

1)先ping eol.bnuz.edu.cn 可以获得学校的ip 172.16.5.138

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

  1. 运行wireshark抓包工具。这就是进入的页面。

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

(3)点击左上角(鲨鱼角)开始进行抓包。

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

进入到这个页面

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

在网页中登录网络教学平台。注意:应该打开抓包工具进行检测网络环境时再登录,不然可能抓不到tcp三次握手的数据包。

 

由于数据太多,我们可以通过筛选目标的IP地址来进行分析

 

 

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

问题1、TCP连接的三次握手在哪里?

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

 

 

TCP的三次握手过程如下:

 

  • 客户端发送一个TCP,标志位为SYN,***为0, 代表客户端请求建立连接

 

  • 服务器发回确认包, 标志位为 SYN,ACK. 将确认序号设置为客户的I S N加1以.即0+1=1

 

  • 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1

 

以上红框出的三条记录符合TCP的三次握手过程,说明这就是登录教务系统的TCP的三次握手。

 

注:有个简单的方法:就是查看三个相近的tcp协议数据包。而这三个数据包一般在ip地址筛选后的前面位置。

 

问题2、你所登陆的系统是否安全?(即是否以明文形式向远程服务器传输账号和密码)

 

找到这个数据包,点击打开查看

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

注:找到登录数据包小技巧:

 

(1)查看登录页面的链接,通过这个链接的页面xs_main.aspx快速定位到登录页面之后。

因为肯定是提交账号密码,才可以看到登录后的页面。

 

http://es.bnuz.edu.cn/xs_main.aspx?xh=1601010032

 

2)通过查看httpPOST 。如果以get提交肯定在url显示表单明文提交信息。表单的Post提交则会在url不显示提交信息。而表单提交信息一般会有个特点,就是表单提交设置以application/xxxx的提交方式。而在下文就可以很好的发现这个特点。

 

通过以上这两个方法就可以找到绝大部分登录的数据包了。

 

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

 

找到账号,密码。

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

由此可见账号密码是以明文提交的,没有加密,所以说登录的学校教务系统不安全。因为它是以明文的方式传输登录表单提交信息。

 

3、有余力的同学可尝试抓取诸如微博、邮箱等的登录数据包分析

 

捕捉163.邮箱的数据包

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

网络安全学习第9篇 - 抓包工具wireshark使用及谈谈抓包对我们日常生活网络安全方面的威胁

 

发现里面没有post协议提交的数据包,而是以TSLV1.2协议加密的数据包,说明网易邮箱加密措施做得很好。没有这个提交数据明文问题。系统安全还是做得比较好的。

注:https://blog.****.net/mrpre/article/details/77978293 - TLS/SSL 协议详解 (28) TLS 1.0、TLS 1.1、TLS 1.2之间的区别


在本次实验中,完成了wireshark抓包工具的使用。通过分析登录学校教务系统,查看是否教务系统的密码是以明文提交,可以知道学校教务系统是否安全。

而抓包工具有什么用处呢?它会对我们造成什么样的网络安全威胁?

抓包工具是通过抓取数据包分析数据包里面的数据,获得我们想要的信息的。它对我们造成的网络安全危害就是如果我们自己开一个免费wifi热点,让别人免费试用,我们使用抓包工具。抓取wifi路由器转发的数据包(别人使用你的wifi时,数据包会经过该热点的路由器进行转发),我们只要有wifi的账号密码就可以获取你的很多私人信息,像这些没加密的明文信息。通过这样可以盗取你的账号等。同时,有的黑客会**你家里的wifi管理密码(很多家庭的wifi管理密码都比较简单),通过抓包工具获取你的数据包,会对你的网络安全危害。

有的犯罪人员可能带着便携式wifi热点到密集人群,如火车站,进行钓鱼,也是使用抓包工具来捕获你的数据包。

所以,我们能不用别人的免费wifi就不用,特别是在使用支付这些重要软件时。

 

https://jingyan.baidu.com/article/7f41ececede744593c095c79.html - 使用wireshark常用的过滤命令