本周学习的内容为第四章的网络嗅探与协议分析。
一、本章的基本内容回顾
1.基本概念:
网络嗅探是一种常用的窃听技术,与传统的电话线搭线窃听原理一样,其主要是利用计算机网络接口来截获其他计算机的数据信息,从而分析数据包中包含的账户密码和私密信息等。嗅探器截获的数据报文是经过封包处理之后的二进制数据,因此需结合网络协议才能将数据包解析出来。
2.网络嗅探的作用及危害
网络嗅探作为常用的内网渗透技术,能够让网络管理员随时用来捕获和分析网络的流量信,从而找出网络中所存在的一些问题并加以解决。与此同时也给了不法分子可趁之机,他们能够分析数据从而获得所需信息,并进行不法操作。
3.网络嗅探器的原理;
以太网采用的是共享通信信道,并采用CSMA/CD的技术来处理共享链路上的通信冲突。在以太网的共享通信媒介中,网络上的站点使用在信道上的广播机制来发送自己的数据,这就意味着计算机能够接收到在共享媒介上发送给其他计算机的信息。在以太网中数据的传播是以“帧”为单位的,而以太网的网卡是一个拥有48位的MAC地址,以太网帧头中包括发送源的MAC地址与目标MAC地址。对方网卡在正常模式下收到数据帧时,首先会判断网卡是否匹配,是则接受,否则丢弃。但在混杂模式下的时候,能够接收所有流经它的数据帧,而不管该数据帧是否是传给它的。因此在嗅探以太网上的流量时,就需要首先将网卡设置为混杂模式。
网络协议分析典型过程包括以下几个步骤:
1.首先网络嗅探得到的原始数据是链路层传输的二进制数据包,大多数情况下是以太网数据帧;
2.对数据包进行分析,定为出帧头各个字段结构,根据type字段确定网络协议类型,其中ip协议为0800,并提取数据帧中包含的网络层数据内容;
3.进一步对ip数据包进行分析。如果设置了分片位,则进行ip分片重组,根据ip协议头中的protocol字段,确定传输层协议类型,通常TCP(6),UDP(17),并提取ip数据包中的传输层数据内容;
4.继续根据TCP或UDP的目标端口确定具体的应用层协议,如http、ftp等
5.依据相应的应用层协议对数据U进行整合恢复,得到实际传输的数据。
二、应用wireshark软件进行抓包分析
1.首先在kali系统内,信息收集--流量分析中找到wireshark软件,并打开。
2.点击capture options进行相关的配置设置,如将网卡设置为混杂模式,并选择相应的网络接口。
选择eth0,默认网卡为混杂模式。
3.点击开始之后,就能够进行数据包的抓取了。在进行了一段时间的数据包抓取之后,点击红色的stop就能停止对数据包的抓取了。
4.对数据包进行分析,以qq的协议为例,qq在传输过程中使用的协议为oicq协议,在filter过滤框中输入oicq并点击apply。可得所有的qq数据包。
5.进行简单的分析,可得发送方的地址,目的地址,发送方的qq号等一些基本的信息。
以上为简单的数据包抓取及分析过程,更加深入的分析需要具体掌握相关的协议格式,如协议头、数据等所占多少位等。具体的分析会在后续的学习过程中进行。