网络嗅探（Sniffing）与身份认证

目的

• 通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性
• 研究交换环境下的网络嗅探实现及防范方法，研究并利用ARP协议的安全漏洞，通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。
• 能利用BrupSuite实现网站登录暴力破解获得登录密码
• 能实现ZIP密码破解，理解安全密码的概念和设置

环境

• 系统环境：Kali Linux 2、Windows
• 网络环境：交换网络结构

工具

Arpspoof、WireShark、BurpSuite、fcrackzip（用于zip密码破解）

网络Sniffing内容

原理请看我的另一篇文章哟
https://blog.csdn.net/Woolemon/article/details/109556164

Wireshark 监听网络流量，抓包。

A（window）主机上外网，B(kaili)运行sinffer(Wireshark)选定只抓源为A的数据)。

1. 首先我们需要确认kali和Windows处于同一网段（可相互ping通的状态)
2. 过程

• 接下来在kali中打开wireshark,用A(window)去ping B(kali),观察一下wireshark的反应
  过滤语句：ip.scr==192.168.222.129(B的ip地址)
  
  发现不能看到A和外网的通信（A刚输入的帐户和口令）
• 再用A(window)ping 一下百度网址（www.baidu.com），观察wireshark反映
  可观察到三个DNS包(2次域名解析),和十二个ICMP包(6次ping)，两个DHCP包，可通过报文分析获得相应信息
  如：打开DNS的包可看见：
  发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.
  可以从下层获得一些必要信息:
  UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)
  IPv4(Internet Protocol Version 4)报文中目的IP

ARP欺骗： ArpSpoof，实施ARP欺骗

为了欺骗B，让B把报文全部发到A这里来。A需要冒充局域网中交换机的角色。（此时B为Window主机）

1.安装arpspoof

在安装这个包的过程中可能会遇到一些坑，解决方案：

• 建议更换kali源，否则有可能出现找不到的情况
  1.kali中输入sudo vim /etc/apt/sources.list 2.输入 O,进入文件 3.按i键进入编辑模式 4.将所换源代替原来的 5.按ESC键退出编辑模式 6.shift+;进入外部编辑，再按输入qw保存并退出

• 安装过程使用sudo apt-get install dsniff命令
  这里我们使用单向攻击（受攻击主机将数据发送到攻击主机，并由攻击主机转发至网关，网关将数据发送至服务器，服务器返回数据给网关，网关返回数据给受攻击主机）

• 首先确认kali的网关地址route -n和ip地址ifconfig。
  可见kali网关地址为：192.168.222.2 ip地址：192.168.222.129
  

• 查看在同一个局域网的另一个ip
  namp -v -sn 192.168.222.2(网关地址）/24
  
  发现一个ip,再去Window那里查看本身ip，发现是同一个，即成功

• 开启端口转发，允许本机像路由器那样转发数据包echo 1 > /proc/sys/net/ipv4/ip_forward

• ARP投毒，向主机B声称自己(攻击者)就是网关
  arpspoof -i eth0 -t IP1 IP2(IP1是我攻击目标ip、IP2是网关IP地址)
  ps:若找不到则重新安装arpspoof再继续以上步骤

• Window 命令提示符那输入 arp -a：可看见ip已经改变，即欺骗成功
  前后对比图：
  

2.在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图Wireshark中显示的明文信息

已知某学校的教务系统以明文方式传递用户账号
1.在kali中打开wireshark
2.在Window打开浏览器并进入该教务系统
3.教务系统输账号、密码和验证码
4.观察wireshark中含POST的数据包

3.B是否能看到A和外网的通信

-不能，使用Window访问一下某一网站并登录，发现用wireshark抓不到刚输入的帐户和口令

FTP数据还原

利用WireShark打开实验实验数据data.pcapng。
1.把data放在虚拟机
2.将WireShark暂停再拉Data进来

1.查看FTP服务器的IP地址

在wireshark 中输入ftp,便能在Source一栏看见
ip:192.168.182.1

2.查看客户端登录FTP服务器的账号和密码

任意点击一条进行追踪（右键-follow-TCP stream)
如图可看见：
账号：anonymous
密码:[email protected]

3.客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？

提示：文件名有可能是中文。
1.wireshark输入ftp-data
tcp.stream eq <> ：显示某条TCP连接从建立到终结，回话双方生成的所有数据包（比如：tcp.stream eq 0）
2.追踪TCP stream
ps:当显示为tcp.stream eq 0时，点击追踪可能找不到.这时可以手动改变后面参数再进行追踪！
3.题目给出信息：中文，所以当追踪到时，需将ACSLL值转为UTF-8：将 data 字符串转换为 UTF-8 编码
得到如图：

4.还原ZIP文件并打开（ZIP有解压密码，试图破解，提示：密码全为数字，并为6位）。

1.wireshark精确输入（方便）：ftp-data和zip
的文件头（504B0304）如图：

2.追踪
以原始数据（raw）来另存文件：将ACSII改为Raw

3.使用kali下的fcrakzip密码破解工具，对zip进行破解
PS：zip是一种非常流行的压缩格式，并且它提供了一个密码保护的功能 ， 只有输入正确的密码才能解压。

• 先在kali输入sudo apt-get install fcrackzip进行安装fcrackzip的工具
  

• 破解命令 ：
  1.输入 cd和保存的zip所在路径
  2.输入fcrackzip -b -c1 -l 6 -u b.zip（b.zip是我的zip文件名）
  
  b：使用暴力模式
  c1：使用纯数字进行破解
  l：规定破解密码长度/范围
  u：使用unzip
  可见密码为：123456，输入就可以看见啦
  

5.查看TXT文件的内容

1.在上一个内容的基础上将后面的参数改一下，如：tcp.stream eq 4，便可以找到txt文件
2.追踪便可直接得到

MD5破解

SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE

口令明文

可直接通过MD5加解密网站或者软件，直接得到明文：

John the Ripper的作用

John the Ripper免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。最新版本是John the Ripper 1.8.0版，针对Windows平台的最新免费版为John the Ripper 1.7.9版。
特性：

• 用户可以开始、暂停和继续破解
• 支持所有输入文件格式
• 可以从session历史中继续破解
• 支持每种hash类型
• 幸运猜解功能
• 配置文件存在 .conf 文件 (~/.john/johnny.conf),
• 支持英语和法语

如何防止ARP攻击

1.做好本机防护

• 不浏览不安全网址。
  现在很多网站本身都有挂马，浏览该网站就有“中标”的风险，因此对于不熟悉，不正规的网站要做到尽量不浏览！
• 及时修补系统漏洞。
  对于微软修复系统漏洞，有好的一面也有坏的一面，每次微软发布漏洞补丁都等于告诉人们系统存在哪些不安全的因素，如果你没有及时修复漏洞，那么你就有可能成为被攻击者！
• 安装防火墙和杀毒软件。
  很多人的电脑都在“裸奔”，不安装杀毒软件也不装防火墙，这种情况是最容易被成功入侵的。因此建议把杀毒软件和防火墙全部安装并且定时更新杀毒。

2.使用路由器实现IP与MAC绑定杜绝ARP攻击

3.使用网管软件进行IP与MAC绑定

安全的密码（口令）应遵循的原则

严禁使用空口令和与用户名相同的口令；
不要选择可以在任何字典或语言中找到的口令；
不要选择简单字母组成的口令；
不要选择任何和个人信息有关的口令；
不要选择短于6个字符或仅包含字母或数字；
不要选择作为口令范例公布的口令；
采取数字混合并且易于记忆。

字典攻击中字典的重要性

在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表(可能的密码)。

总结

• 自身要有良好的、积极的的学习意识，学会通过互联网了解网络嗅探与身份认证的基本概念
• 平常要去积累关于kali和wireshark的一下基本操作，比如：kali更换新源的步骤是什么，按什么键能进入编辑模式等等
• 在自学的同时，学会多问和向一些同学、前辈交流，或许她（他）们的思想和方法更为通俗易懂、耳目一新
• 最后还是需要有规律性的写题来巩固和增加自己的知识库