攻防课堂抓包案例等

1、攻防课堂 抓包案例 （上）等攻防课堂 抓包案例 （上 ）郑志勇互联网上流动着各式各样的数据，而这些数据都是经过 “封装”后再传输的，所以我们也可以说互联网上流动着各 种各样的“数据包” 。如果能够把这些包抓下来，我们就可 以窥探网上传递的信息。什么是抓包抓包的真正含义是通过专门的软件捕获所有通过计算 机网卡的网络数据包，并通过分析数据包里的内容，获得有 用信息的过程。目前有很多抓包工具，可以通过这些工具监视网络的状 态、数据流动情况以及网络上传输的信息。当网络上的信息 以明文的形式传输时，抓包工具可以将网络接口设置为监听 模式，截获网上传输的源源不断的信息，黑客们常常用它来 截获用户的口令。早

2、期嗅探器的工作原理是设置网卡为混杂模式，这样就 可以嗅探到所有经过本机网卡的数据。但是这种抓包有一个 缺点，就是它只适用于共享式局域网 （就是用集线器连接的网 络 ），对于交换式局域网 （用交换机连接的网络 ）无效。因为在 交换式局域网中，网络中的数据并不会经过每一台主机的网 卡，这时要用另外一种更为主动的方法去嗅探，那就是基于ARP欺骗的嗅探。需要注意的是，即使采用这种嗅探方式，我们也只能抓取本机通信的数据包，这里就以 Iris NetworkTraffic Analyzed简称IRIS和Switch为例，介绍几个具体的抓 包应用实例。案例一：获得网页源代码练习地址：http ：218861

3、2677Cpcfan20072lx1asp许多网站设计者为了保护自己网页内容，想了很多办法， 其实只要这些内容能够在电脑上显示，就表明这些内容是可 以下载的。利用抓包工具，我们可以直接看到封包的原始信 息，获取最直接的内容，下面以测试页面为例：1）运行 IRIS,选择 “ Filters” 菜单，点 “ Edit filtersetting ”，在弹出的窗口中，选择左边列表里的“IPaddress”，把“ ThisHost”，用鼠标拖到下面的表格的第一行address1中，“ dir ”选择“”， address 2中输入 2188612677，然后点“应 用”按钮。2）选择左边列表里的“Po

4、rts”，在“knownports ”列表中， 双击“ http ：80”，单击“确定”按钮，关闭窗口。点“ File” 菜单，选“ New Capture session”，按“ Ctrl+A”开始抓包， 最小化窗口。3）关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件，确保目前没有其他软件使用网络。打开IE输入http : 2188612677Cpcfan200721x1asp4）打开IRIS,按“ Ctrl+z”停止抓包，点左边浮动面板上 的“ Decode”图标，可看见“ Tcp->http（80） ”的条目。单击 该条目，在右边的列表中查找，可发现我们需要的网页，将“s

5、elect displaying format ”改成ASCH方式，看到的就是网页 的源代码。案例二:获取网友的真实 IP 地址QQ， MSN 等聊天工具上的网友来自天南海北，获得对 方的 IP 是了解对方真实情况的最好途径， 如何获得对方的真 实 IP 呢?要知道许多能看 IP 的 QQ 版本看到的也不是准确的 IP地址，而使用抓包工具既可获得对方准确的IP地址，操作步骤也比较简单:1）运行 IRIS,选择 “ Filters” 菜单，点 “ Edit filtersetting ”，在弹出的窗口中，选择左边列表里的“IPaddress”。2）把“This Host”，用鼠标拖到下面的表格的

6、第一行 address1中，“dir”选择双向箭头，address 2不做任何选择， 然后点“应用”按钮。单击“确定”按钮，关闭窗口。点“File” 菜单，选“ New Capture session（新抓取）”，按“ Ctrl+A” 开始 抓包，最小化窗口。3）关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件，确保目前没有其他软件使用网络。运行QQ，找到你需要获得真实 IP 的网友发消息给他。4）打开IRIS,按“ Ctrl+Z”停止抓包，在 Capture抓的包 的列表里， 可以看到许多数据包， 每个数据包都包含源 IP 地 址和目标IP地址，其中一个是你的IP地址，另一个就是对

7、方的 IP 地址。提示：为确保对方QQ使用的是真实IP地址，还可以用 MSN 和对方打招呼，进一步确认对方的 IP地址，如果获得的IP 地址和 QQ 的一样，就可以确定了。案例三：获取FTP用户名和密码辅助软件： flashfxp 、 foxmai I由于FTP协议是明文传输的，所以用户名和密码这些信 息都在网络明文传输，如果你在网络出口的路由器上安装嗅 探器，就可以获得网络中所有用户的FTP用户名和密码。下面我们以单机为例，介绍一下如何使用IRIS捕获FTP用户名和密码。具体的操作步骤是：1）运行 IRIS,选择 “ Filters” 菜单，点 “ Edit filtersettng ”。在

8、弹出的窗口中，选择左边列表里的“IPaddress”，把“ ThisHost”，用鼠标拖到下面表格的第一行addressl中，“ dir”选择“一 >”， address 2中不填，然后点“应用”按钮。2）选择左边列表里的“ Ports（端口）”，在“ knownports（已 知端口）”列表中，双击“ ftp : 21 ”，单击“确定”按钮，关 闭窗口。点“ File” 菜单，选“ New Capturesession”，按“ CM+A” 开始抓包，最小化窗口。3）运行flashfxp，尝试登录FTP站点，登录成功后最小化。4）打开IRIS按“Ctrl+z”停止抓包，点左边浮动面板上的

9、“ Decode ”图标，即可看见“ Tcp->ftp（21） ”的条目。查找其 中的数据包，如果发现其中包含 user和pass字符，它们后 面跟的就是 Ftp 用户名和密码。案例四:判断木马或蠕虫病毒 木马通常会被动或主动地访问网络，我们可以利用这个 特点监控自己计算机往外发送数据包的情况，来检查是否有 网络异常:1）运行IRIS,选择“ Filters（过滤器）”菜单，点“ Edit filter setting（编辑设置）”。2）在弹出的窗口中， 选择左边列表里的 “ IP address（IP地 址）”把“ This Host”用鼠标拖到下面的表格的第一行 addressl 中

10、，“ dir ”选择双向箭头“ ” ，address 2中不填，然后点“确 定”按钮关闭窗口，按“ Ctrl+A ”开始抓包，最小化窗口。3）确认自己没有打开任何访问网络的程序。观察网络 数据包出现并检查该数据包使用的端口，可以利用 Google 或 Baidu 查询该端口通常会被什么软件使用。4）如果你看见的是某台计算机不断的往网内的其他计算 机发送 arp request 或 arp relay 数据包， 那么它一定是中了蠕 虫病毒或木马，这时候最好通知网管，否则你的计算机也有 可能被传染。让盗号木马见鬼去冰河洗剑QQ号被盗的问题一直困扰着大家， 虽然QQ提供了密码 保护功能，但毕竟是事后

11、补救，不如提前作好防范。让我们 从“查”与“防”两方面人手，彻底杜绝QQ盗号的发生。“小沈Q盗杀手”是一个检测与清除 QQ盗号木马的工 具，不仅可以清除网络上流行的各种盗 Q 木马，比如阿拉 QQ大盗、冲击波QQ大盗、QQ简单盗等60多种盗号软件， 还可清除这些木马的各种修改版，功能强火。运行 Q 盗杀手后，选择“查杀专区”标签，点击“扫描 木马”按钮，软件即可自动扫描检测系统中是否存在木马。 软件的扫描速度比较快，不一会儿就可得到结果。扫描报告 里如果有红色的文字显示， 则表示发现了木马 （如图 1），点击 “清除木马”按钮，软件会自动结束木马进程，并删除相应 的注册表键值。要完全清除木马，

12、可能会要求重启动系统。 Q 盗杀手的清除功能很智能，可以有效地清除普通杀毒软件 无法清除的 DLL 注入类盗号木马，即使木马注入到系统进程 中，软件也会在重启过程中自动删除相应的残留进程与文件。盗号木马获取的就是用户输入的 QQ 登录密码，如果不 输入密码就可登录的话，就算盗号木马存在也干不了什么坏 事。这里可以使用“ QQ 防盗专家”来自动登录 QQ。运行QQ防盗专家，在“ QQ路径”中指定QQ的安装目 录，然后输入 QQ 号码和密码。点击“生成代码”按钮，即 可在下面的窗口中生成 QQ登录代码；点击“创建Ink”按钮， 可以选择在桌面上保存登录 QQ 的快捷方式 （如图 2）。以后双 击快

13、捷方式，就可以自动登录 QQ 了，而且快捷方式中的密 码也是显示为不可逆的 HASH 值，即使木马得到了该值，也 无法破解出对应的密码。现在使用 QQ 已经很安全了，但其它很多场合也需要输 入QQ密码，比如QZone、QQ秀商城等官方站点， 如何保护 我们的这些密码呢 ? “账号守护专家”是个不错的防盗号工 具，提供了多种账号保护模式，比如字符替换、标题栏伪装 等，可以有效地保护账号不被盗走。运行账号守护专家，选择界面中的“普通模式” ，点击 “保护”按钮就可以启动软件的键盘输入保护功能。另外账 号守护专家中提供了一个高级功能，允许用户自定义任何按 键输入的字符。勾选程序界面中的“增强模式” ，用鼠标点 击界面上方键盘图形中的任意按键，可更改按键上的字符。 例如点击程序界面上的按键“ X”，光标显示可输入，然后按 下真实键盘上的“ A”键