网络空间安全概论 实验6 网络监听实验样例4

六、qq邮件登录信息抓取：QQ邮箱是网址是基于HTTPS协议的HTTPS（HypertextTransferProtocoloverSecureSocketLayer）能够加密信息，由HTTP+TLS/SSL组成，在原本的HTTP协议上增加了一层加密信息模块，服务端和客户端的信息传输都要经过TLS进行加密，所以传输的数据都是加密后的数据。TLS/SSL简介TLS/SSL具体过程如下图：图3.23握手过程：1.初始化阶段。客户端创建随机数，发送ClientHello将随机数连同自己支持的协议版本、加密算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法给客户端。2.认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端（Certificate），并请求客户端的证书（CertificateRequest）。3.密钥协商阶段。客户端验证证书，如果收到CertificateRequest则发送包含自己公钥的证书，同时对此前所有握手消息进行散列运算，并使用加密算法进行加密发送给服务器。同时，创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用第一阶段的随机数，能够计算得出master-secret。4.握手终止。服务器和客户端分别通过ChangeCipherSpec消息使用master-secret对连接进行加密和解密，以及向对方发送终止消息（Finished）。抓包过程：1、首先先确定自己的IP：图3.24接下来进行抓包。并使用ssl进行过滤，同时登录qq邮箱。图3.25对抓取的数据包进行分析：首先分析ClientHelloTLS握手过程的第一步就是客户端发起请求，主要包括了客户端生成的随机字符串(sessionkey)，还包含了客户端所支持所支持的加密套件列表、随机数等信息。图3.26图3.28再分析ServerHello服务器收到客户端的ClientHello数据包之后，根据客户端发来的加密套件列表，选择一个加密套件，也生成一个随机字符串返回给客户端。密钥交换算法选择的是使用ECDHE_RSA，对称加密算法使用AES_128_GCM_SHA256：图3.29分析Certificate&ServerKeyExchange&ServerHelloDone服务器把certificate发给客户端。图3.30服务器返回ServerKeyExchange数据包，用于和客户端交换用于数据加密的密钥，ServerHelloDone用于通知客户端已经发送用于密钥交换的数据等待客户端响应。 图3.31图3.32分析ClientKeyChange&ChangeCipherSpec&EncryptedHandShakeMessage客户端根据服务器返回的DH数据生成DH数据发给服务器，用来生成最终的pre-master-secret。如图：图3.33图3.34ApplicationData图3.35当然我们也可以获取到一些时间信息：图3.36七、利用foxmail获取邮件发送信息：首先了解一下什么是smtp：SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务，主要用于系统之间的邮件信息传递，并提供有关来信的通知。SMTP独立于特定的传输子系统，且只需要可靠有序的数据流信道支持，SMTP的重要特性之一是其能跨越网络传输邮件，即“SMTP邮件中继”。使用SMTP，可实现相同网络处理进程之间的邮件传输，也可通过中继器或网关实现某处理进程与其他网络之间的邮件传输。

SMTP是一组用于从源地址到目的地址传送邮件的规则，并且控制信件的中转方式。SMTP协议属于TCP/IP协议族，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器，我们就可以把E—mail寄到收信人的服务器上了，整个过程只需要几分钟。SMTP服务器是遵循SMTP协议的发送邮件服务器，用来发送或中转用户发出的电子邮件。SMTP协议的工作过程可分为如下3个过程：(1)建立连接：在这一阶段，SMTP客户请求与服务器的25端口建立一个TCP连接。一旦连接建立，SMTP服务器和客户就开始相互通告自己的域名，同时确认对方的域名。(2)邮件传送：利用命令，SMTP客户将邮件的源地址、目的地址和邮件的具体内容传递给SMTP服务器，SMTP服务器进行相应的响应并接收邮件。(3)连接释放：SMTP客户发出退出命令，服务器在处理命令后进行响应，随后关闭TCP连接。首先我们打开邮件的IMAP服务：设置->账号图3.37在foxmile中取消勾选ssl：账号管理中：图3.38然后写一封邮件，先不要发送：图3.39用wireshake进行抓包：用smtp进行过滤：图3.40在抓取的数据包中可以看到发件人信息：图3.41以及收件人信息：图3.42当然我们也能看到该邮件使用的发送平台是foxmail：图3.43时间信息：图3.44当然也能获取消息标号：图3.45Ip信息：图3.46也可以通过追踪tcp流获得这些信息：图3.47由于我们发送的内容只有数字和英文字母，所以我们可以直接找到所发送的内容：图3.48当然我们也可以利用在线转码工具对邮件进行解码：图3.49我们来分析一下这些数据帧都做了哪些工作：图3.50第505帧Foxmail向服务器发送EHLO指令，表明身份，我们可以看到Foxmail客户端的主机名:LAPTOP-2P51UBCJ。第524帧与第531帧,我们可以看到发送邮件的发送者和接受者，这个是明文的。第540帧与第541|、542帧,Foxmail客户端发送的数据大小。第544帧是邮件的账户和主题信息。第575帧断开服务器连接。八、wireshake图片取证：打开wireshake：图3.51要对图片进行取证我们需要先导出对象：图3.52获得分组和主机信息：下面数据包抓取了3张图片，现在我们对sydney.jpg进行分析：图3.53点击一下该行，定位到对应数据部分：对其进行TCP追踪流：图3.54对数据进行分析：图3.55将数据转换为服务器向客户端的原始数据数据：图3.56保存，保存的后缀名要为bin：图3.57用notepad++打开：图3.58删去头部信息并保存：图3.59后缀名改为jpeg文件后我们就得到了抓取的图片：图3.60图3.61图3.62九、网络层抓包：首先我们在cmd中ping本机：图3.63在wireshake中可以抓取到三次握手：图3.64获得以下信息：图3.65图3.66图3.67图3.68请求应答包：图3.69图3.70数据信息：图3.71图3.72分段标志：FlagsMF、DF、未用。MF=1表示后面还有分段的数据包，MF=0表示没有更多分片（即最后一个分片）。DF=1表示路由器不能对该数据包分段，DF=0表示数据包可以被分段。偏移量：FragmentOffset：0应用层：专注于文件操作，比如读写，完全不关注数据传输。里面主要有用户的UID、文件的filehandle和要写的字节数等。传输层：用到了TCP协议，应用层产生的数据由TCP来控制传输的。虽然叫做传输层，但是它真正做的并非传输到另外一个设备，而是传输控制，真正负责传输的是下面两层。网络层：主要的任务是把TCP传下来的数据加上目标地址和源地址。（IP）数据链路层：主要通过MAC地址来发送网络包。十、Linux网络层抓包：1、直接启动tcpdump将监视第一个网络接口上所有流过的数据包：监视指定网络接