抓包實例分析實驗

1、抓包實例分析一實驗目的1. 初步掌握 Wireshark 的使用方法，熟悉其基本設置，尤其是 Capture Filter 和 Display Filter 的使用。2. 通過對 Wireshark 抓包實例進行分析，進一步加深對各類常用網(wǎng)絡協(xié)議的理解，如：TCP、UDR IP、SMTP POP FTP、TLS等。3. 進一步培養(yǎng)理論聯(lián)系實際，知行合一的學術精神。二實驗原理1. 用Wireshark軟件抓取本地PC的數(shù)據(jù)包，并觀察其主要使用了哪些網(wǎng)絡協(xié)議。2. 查找資料，了解相關網(wǎng)絡協(xié)議的提出背景，幀格式，主要功能等。3. 根據(jù)所獲數(shù)據(jù)包的內(nèi)容分析相關協(xié)議，從而加深對常用網(wǎng)絡協(xié)議理解。三實驗環(huán)

2、境1 .系統(tǒng)環(huán)境： Windows 7 Build 71002. 瀏覽器： IE8四 Wireshark ：V ：V 實驗步驟1. Wireshark 簡介Wireshark (原 Ethereal )是一個網(wǎng)絡封包分析軟件。其主要功能是擷取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。其使用目的包括：網(wǎng)絡管理員檢測網(wǎng)絡問題，網(wǎng)絡 安全工程師檢查資訊安全相關問題，開發(fā)者為新的通訊協(xié)定除錯，普通使用者學習網(wǎng)絡協(xié)議 的相關知識當然，有的人也會用它來尋找一些敏感信息。值得注意的是， Wireshark 并不是入侵檢測軟件( Intrusion Detection Software,IDS )。對于

3、網(wǎng)絡上的異常流量行為， Wireshark 不會產(chǎn)生警示或是任何提示。然而，仔細分析Wireshark 擷取的封包能夠幫助使用者對于網(wǎng)絡行為有更清楚的了解。 Wireshark 不會對網(wǎng)絡 封包產(chǎn)生內(nèi)容的修改，它只會反映出目前流通的封包資訊。 Wireshark 本身也不會送出封包 至網(wǎng)絡上。2. 實例實例 1：計算機是如何連接到網(wǎng)絡的一臺計算機是如何連接到網(wǎng)絡的其間采用了哪些協(xié)議 Wireshark 將用事實告訴我們真 相。如圖所示：圖一：網(wǎng)絡連接時的部分數(shù)據(jù)包如圖，首先我們看到的是 DHC助、議和ARP協(xié)議。DHCF協(xié)議是動態(tài)主機分配協(xié)議 (Dy namic Host Con figura

4、tion Protocol)。它的前身是BOOTPBOOT可以自動地為主機設定 TCP/IP環(huán)境，但必須事先獲得客戶端的硬件地址，而 且，與 其對應的IP地址是靜態(tài)的。DHC是 BOOTP的增強版本，包括服務器端和客戶端。 所有的IP網(wǎng)絡設定數(shù)據(jù)都由DHC服務器集中管理，并負責處理客戶端的 DHCP要求；而客 戶端則會使用從服務器分配下來的 IP 環(huán)境數(shù)據(jù)。ARP協(xié)議是地址解析協(xié)議(Address Resolution Protocol) 。該協(xié)議將IP地址變換成物 理地址。以以太網(wǎng)環(huán)境為例，為了正確地向目的主機傳送報文，必須把目的主機的32 位 IP地址轉換成為 48位以太網(wǎng)的地址。這就需要

5、在互連層有一組服務將 IP 地址轉換為相應物理 地址，這組協(xié)議就是 ARP協(xié)議。讓我們來看一下數(shù)據(jù)包的傳送過程：數(shù)據(jù)包：當DHCP客戶端(本地PC第一次登錄網(wǎng)絡的時候，它會網(wǎng)絡發(fā)出一個DHCPDISCOVER封包。因為客戶端還不知道自己屬于哪一個網(wǎng)絡，所以封包的來源地址會為，而目 的地址則，然后再附上 DHCP discover 的信息，向網(wǎng)絡進行廣播。數(shù)據(jù)包：當 DHCP 服務器(本地路由器)監(jiān)聽到客戶端發(fā)出的 DHCP discover 廣播后， 它會從那些還沒有租出的地址范圍內(nèi)，選擇最前面的空置 IP ，連同其它 TCP/IP 設定，響 應給客戶端一個DHCP OFFERS包。數(shù)據(jù)包：客

6、戶端向網(wǎng)絡發(fā)送一個 ARP 封包，查詢服務器物理地址。 數(shù)據(jù)包：服務器端返回一個 ARP 封包，告訴客戶端它的物理地址。數(shù)據(jù)包：由于 Windows 7支持IP V6，所以DHCP V6協(xié)議也開始工作。數(shù)據(jù)包：通過ARP協(xié)議，服務器端最終也獲得了客戶端的網(wǎng)絡地址。 到此為止，我認為客戶端（本地 PC的已完成網(wǎng)絡注冊。現(xiàn)將客戶端（本地PC和服務器端（本地路由器）相關參數(shù)展示如下:圖二：客戶端（本地PC相關參數(shù)圖三：服務器端（本地路由器 相關參數(shù)實例 2：你的密碼安全嗎隨著 Internet 的普及，越來越多的人開始擁有越來越多的密碼。小到QQ， MSN， E-mail等，大到支付寶，信息管理系統(tǒng)

7、等，可是一個核心問題是：你的密碼安全嗎讓我們來看看下 面幾個例子。Test 1 : FTP工具軟件這里，我們采用的FTP工具軟件是FlashFXP。登陸時抓包如下:圖四：FlashFXP登陸時的部分數(shù)據(jù)包首先，我們來看一下常用到的三個協(xié)議：SSDP DNS和FTP。SSDP協(xié)議是簡單服務發(fā)現(xiàn)協(xié)議 （Simple Service Discovery Protocol），該協(xié)議定義了如何在網(wǎng)絡上發(fā)現(xiàn)網(wǎng)絡服務的方法。SSDP言息的傳送是依靠 HTTPU和HTTPM進行的。不論是控制指針，或是UPnP設備，工作中都必然用到SSDP設備接入網(wǎng)絡之后，要利用它向網(wǎng)絡廣播自己的存在，以便盡快與對應的控制指針

8、建立聯(lián)系。設備利用SSDP的方式是“收聽”來自網(wǎng)絡端口的消息，從中發(fā)現(xiàn)與自己匹配的信息，一旦找到與自己 匹配的信息，經(jīng)由 HTTPMU來發(fā)送一個響應信息到控制指針。DNS是域名服務器（Domai n Name Server）。在In ternet 上域名與IP地址之間可以是一一對應的，域名雖然便于人們記憶，但機器之間只能互相認識IP 地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，DNS就是進行域名解析的服務器。FTP是文件傳輸協(xié)議（File Transfer Protocol），用于In ternet 上的文件的雙向傳 輸。用戶可以通過FTP工具軟件它把自己的

9、 PC機與世界各地所有運行 FTP協(xié)議的服務器 相連，訪問服務器上的大量程序和信息。FTP的主要作用，就是讓用戶連接上一個遠程計算機（這些計算機上運行著FTP服務器程序），查看遠程計算機有哪些文件，然后把文件從遠 程計算機上下載到本地計算機，或把本地計算機的文件上傳到遠程計算機?，F(xiàn)在讓我們來看看工作流程：數(shù)據(jù)包：本地PC機（數(shù)據(jù)包中表示為ipv6地址）通過SSDP協(xié)議向本地路由器發(fā)送消息。 數(shù)據(jù)包：本地路由器通過 SSDP協(xié)議向非路由地址（IANA）發(fā)送消息。數(shù)據(jù)包：本地PC機（）向DNS!務器（）發(fā)送查詢請求，要求解析域名。數(shù)據(jù)包：DNSI艮務器返回請求，的ip地址為：。經(jīng)查，DNSI艮務器

10、（）在西安本地，而）在天津科技大學。數(shù)據(jù)包：通過FTP協(xié)議，本地計算機與FTP服務器建立連接。讓人非常興奮同時又非常 沮喪的是： Wireshark 不僅抓到了登陸用戶名和密碼，而且還抓到了傳送的文件信息。如下 圖所示：圖五： Wireshark 抓取的用戶名，密碼和傳送的文件信息。Test 2 ： Koomail 郵件客戶端現(xiàn)在來看看我們常常使用的郵件服務的安全性又如何。 首先，我們用網(wǎng)頁方式登陸一個郵箱：，此時我們抓包如下： 圖六：以網(wǎng)頁方式登陸郵箱時的部分數(shù)據(jù)包DNS協(xié)議我們已經(jīng)非常熟悉了，現(xiàn)在來看看 TCP協(xié)議和TLS協(xié)議。TCP協(xié)議是傳輸控制協(xié)議（Transmission Contr

11、ol Protocol）。它是一種面向連接的、可 靠的、基于字節(jié)流的運輸層 （Transport layer ）通信協(xié)議。 在簡化的計算機網(wǎng)絡 OSI 模型中， 它完成第四層傳輸層所指定的功能。在因特網(wǎng)協(xié)議族( Internet protocol suite )中， TCP 層是位于 IP 層之上，應用層之下的中間層。TLS是安全傳輸層協(xié)議(Tran sport Layer Security Protocol)，用于在兩個通信應用程序之間提供保密性和數(shù)據(jù)完整性。該協(xié)議由兩層組成：TLS記錄協(xié)議(TLSRecord)和TLS 握手協(xié)議(TLS Handshake)。TLS的最大優(yōu)勢在于：TLS獨

12、立于應用協(xié)議。高層協(xié)議可以透 明地分布在 TLS 協(xié)議上面。由此可見，我們用網(wǎng)頁方式登陸郵箱是比較安全的。為什么我再三強調(diào)“用網(wǎng)頁方式” 呢請看下面的抓包：圖七：用 Koomail 郵件客戶端接收郵件時的部分數(shù)據(jù)包現(xiàn)在又涉及到了 POF協(xié)、議，哎，網(wǎng)絡協(xié)議真是層出不窮啊。POP3是郵局協(xié)議的第3個版本(Post Office Protocol 3)，它是規(guī)定怎樣將個人計算機連接到In ternet的郵件服務器以及如何下載電子郵件的電子協(xié)議。 POP3允許用戶從服務器 上把郵件存儲到本地主機上，同時刪除保存在郵件服務器上的郵件。顯而易見地問題是： Koomail 郵件客戶端在連接到郵件服務器時，

13、被 Wireshark 抓取到 了用戶名和密碼。然而，更觸目驚心的問題在下面：圖八： TCP Stream 分析看見了吧，在 quoted-printable 編碼模式下，英文明文是可見的，還好中文明文是讓人 看不懂的。現(xiàn)在我們用 Koomail 郵件客戶端回復一封郵件，抓包如下：圖九：用 Koomail 郵件客戶端回復郵件時的部分抓包及數(shù)據(jù)分析 還是先來看看SMT助、議吧。SMTP協(xié)議是簡單郵件傳輸協(xié)議(Simple Mail Transfer Protocol)。它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉方式。通過SMTP*、議所指定的服務 器,我們就可以把E- m

14、ail寄到收信人的服務器上。SMTP是一種提供可靠且有效電子郵件傳 輸?shù)膮f(xié)議，它是建模在FTP文件傳輸服務上的一種郵件服務。再來看看我們從抓取的數(shù)據(jù)包中都獲得了哪些信息。發(fā)件人：收件人：發(fā)送時間： 2009/6/2 17 ： 58： 52 星期二 時區(qū)是+0800。(好像是東八區(qū)吧)郵件客戶端： KoomailMIME（多功能郵件擴充服務）版本：編碼方式： base64 看來信息是相當?shù)呢S富啊。不過郵件內(nèi)容經(jīng)過編碼了，而不是像上文中的明文那樣。綜上所述，F(xiàn)TP POP3和SMT助、議在安全性方面還有一定的不足之處。我們的網(wǎng)絡安全 是如此的脆弱！實例3:看看小企鵝（QQ每天都做了些什么直接上圖：

15、圖十：騰訊QC登陸和使用時的部分數(shù)據(jù)包這些協(xié)議我們都已經(jīng)非常熟悉了，而且 wireshark把qq所用到的相關協(xié)議都稱作oicp protocol 。經(jīng)查，登陸時的服務器和都在深圳市騰訊的大本營。當我們進行聊天應用時， 比如給重慶，成都的同學發(fā)送信息，信息還得先跑去深圳繞一圈。搞不懂騰訊為什么不在每 個城市都設立服務器。實例 4：其實數(shù)據(jù)包是這個樣子的 說了這么久，但數(shù)據(jù)包的結構是怎么樣的呢謎底即將揭開，真相將大白于天下。 下面，我們隨機抓取了一個數(shù)據(jù)包，看看它的結構。圖十一：數(shù)據(jù)包的結構 part1我們可以獲取如下信息：到達時間： 2009年 6 月 2 日 17 ： 22： 44幀號（相對

16、）： 7幀長度： 74 字節(jié)捕獲幀長度： 74 字節(jié)包含協(xié)議： TCP/IP圖十二：數(shù)據(jù)包的結構 part2 這應該是物理層的相關信息，包含了源端和目的端的物理地址。圖十三：數(shù)據(jù)包的結構 part3這是 IP 協(xié)議，我們可以獲取如下信息： 源地址：目的地址：版本號： IPv4 頭部長度： 20 字節(jié) 區(qū)分服務域： 0x00 分段策略：不分段TTL：117傳輸協(xié)議： TCP頭部校驗和： 0x8ble （接收正確）圖十四：數(shù)據(jù)包的結構 part4這是TCP協(xié)議，我們可以獲取如下信息：源端端口號： 38843目的端端口號： 80頭部長度： 40 字節(jié)綜上所述，數(shù)據(jù)包的結構是相當復雜的，值得我們深究。

17、五實驗總結本次 wireshark 抓包實驗，我一共分析了五個實例，包括：計算機是如何在網(wǎng)絡上注冊 的，F(xiàn)TP客戶端的工作流程，郵件客戶端的工作流程，騰訊QQ勺工作流程，數(shù)據(jù)包的結構。學習或加深學習了如下協(xié)議： DHCP ARR SSDP DNS FTP TCP TLS、POP3和SMTP等誠然，每一個協(xié)議的提出都有它的必然性。正如黑格爾所述：凡是存在的，都是合理的。 正是有了各種各樣協(xié)議的存在，人們的網(wǎng)絡生活才會變得如此的豐富。然而，學習一種協(xié)議 是一件相當枯燥的事，這一點我已經(jīng)深有體會，更不用說編寫協(xié)議了。所以我們在享受豐富 多彩的網(wǎng)絡生活的同時，不能忘記那些協(xié)議工作者，正所謂要“飲水思源”Wire