攻防课堂 抓包案例(上)
郑志勇
互联网上流动着各式各样的数据,而这些数据都是经过“封装”后再传输的,所以我们也可以说互联网上流动着各种各样的“数据包”。如果能够把这些包抓下来,我们就可以窥探网上传递的信息。
什么是抓包
抓包的真正含义是通过专门的软件捕获所有通过计算机网卡的网络数据包,并通过分析数据包里的内容,获得有用信息的过程。
目前有很多抓包工具,可以通过这些工具监视网络的状态、数据流动情况以及网络上传输的信息。当网络上的信息以明文的形式传输时,抓包工具可以将网络接口设置为监听模式,截获网上传输的源源不断的信息,黑客们常常用它来截获用户的口令。
早期嗅探器的工作原理是设置网卡为混杂模式,这样就可以嗅探到所有经过本机网卡的数据。但是这种抓包有一个缺点,就是它只适用于共享式局域网(就是用集线器连接的网络),对于交换式局域网(用交换机连接的网络)无效。因为在交换式局域网中,网络中的数据并不会经过每一台主机的网卡,这时要用另外一种更为主动的方法去嗅探,那就是基于ARP欺骗的嗅探。需要注意的是,即使采用这种嗅探方式,我们也只能抓取本机通信的数据包,这里就以Iris Network Traffic Analyzer(简称IRIS)和Switch为例,介绍几个具体的抓包应用实例。
案例一:获得网页源代码
练习地址:
http://218.86.126.77/Cpcfan/2007/2/lx1.asp
许多网站设计者为了保护自己网页内容,想了很多办法,其实只要这些内容能够在电脑上显示,就表明这些内容是可以下载的。利用抓包工具,我们可以直接看到封包的原始信息,获取最直接的内容,下面以测试页面为例:
1)运行IRIS,选择“Filters”菜单,点“Edit filtersetting”,在弹出的窗口中,选择左边列表里的“IPaddress”,把“This Host”,用鼠标拖到下面的表格的第一行address1中,“dir”选择“<-->”,address 2中输入218.86.126.77,然后点“应用”按钮。
2)选择左边列表里的“Ports”,在“knownports”列表中,双击“http:80”,单击“确定”按钮,关闭窗口。点“File”菜单,选“New Capture session”,按“Ctrl+A”开始抓包,最小化窗口。
3)关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件,确保目前没有其他软件使用网络。打开IE输入http://218.86.126.77/Cpcfan/2007/2/1x1.asp
4)打开IRIS,按“Ctrl+z”停止抓包,点左边浮动面板上的“Decode”图标,可看见“Tcp->http(80)”的条目。单击该条目,在右边的列表中查找,可发现我们需要的网页,将“select displaying format”改成ASCⅡ方式,看到的就是网页的源代码。
案例二:获取网友的真实IP地址
QQ,MSN等聊天工具上的网友来自天南海北,获得对方的IP是了解对方真实情况的最好途径,如何获得对方的真实IP呢?要知道许多能看IP的QQ版本看到的也不是准确的IP地址,而使用抓包工具既可获得对方准确的IP地址,操作步骤也比较简单:
1)运行IRIS,选择“Filters”菜单,点“Edit filtersetting”,在弹出的窗口中,选择左边列表里的“IPaddress”。
2)把“This Host”,用鼠标拖到下面的表格的第一行address1中,“dir”选择双向箭头,address 2不做任何选择,然后点“应用”按钮。单击“确定”按钮,关闭窗口。点“File”菜单,选“New Capture session(新抓取)”,按“Ctrl+A”开始抓包,最小化窗口。
3)关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件,确保目前没有其他软件使用网络。运行QQ,找到你需要获得真实IP的网友发消息给他。
4)打开IRIS,按“Ctrl+Z”停止抓包,在Capture抓的包的列表里,可以看到许多数据包,每个数据包都包含源IP地址和目标IP地址,其中一个是你的IP地址,另一个就是对方的IP地址。
提示:
为确保对方QQ使用的是真实IP地址,还可以用MSN和对方打招呼,进一步确认对方的IP地址,如果获得的IP地址和QQ的一样,就可以确定了。
案例三:获取FTP用户名和密码
辅助软件:flashfxp、foxmai I
由于FTP协议是明文传输的,所以用户名和密码这些信息都在网络明文传输,如果你在网络出口的路由器上安装嗅探器,就可以获得网络中所有用户的FTP用户名和密码。下面我们以单机为例,介绍一下如何使用IRIS捕获FTP用户名和密码。具体的操作步骤是:
1)运行IRIS,选择“Filters”菜单,点“Edit filtersett]ng”。在弹出的窗口中,选择左边列表里的“IPaddress”,把“This Host”,用鼠标拖到下面表格的第一行address1中, “dir”选择“一>”,address 2中不填,然后点“应用”按钮。
2)选择左边列表里的“Ports(端口)”,在“knownports(已知端口)”列表中,双击“ftp:21”,单击“确定”按钮,关闭窗口。点“File”菜单,选“New Capturesession”,按“CM+A”开始抓包,最小化窗口。
3)运行flashfxp,尝试登录FTP站点,登录成功后最小化。
4)打开IRIS,按“Ctrl+z”停止抓包,点左边浮动面板上的“Decode”图标,即可看见“Tcp->ftp(21)”的条目。查找其中的数据包,如果发现其中包含user和pass字符,它们后面跟的就是Ftp用户名和密码。
案例四:判断木马或蠕虫病毒
木马通常会被动或主动地访问网络,我们可以利用这个特点监控自己计算机往外发送数据包的情况,来检查是否有网络异常:
1)运行IRIS,选择“Filters(过滤器)”菜单,点“Edit filter setting(编辑设置)”。
2)在弹出的窗口中,选择左边列表里的“IP address(IP地址)”,把“This Host”用鼠标拖到下面的表格的第一行address1中,“dir”选择双向箭头“<-->”,address 2中不填,然后点“确定”按钮关闭窗口,按“Ctrl+A”开始抓包,最小化窗口。
3)确认自己没有打开任何访问网络的程序。观察网络
数据包出现并检查该数据包使用的端口,可以利用Google或Baidu查询该端口通常会被什么软件使用。
4)如果你看见的是某台计算机不断的往网内的其他计算机发送arp request或arp relay数据包,那么它一定是中了蠕虫病毒或木马,这时候最好通知网管,否则你的计算机也有可能被传染。
让盗号木马见鬼去
冰河洗剑
QQ号被盗的问题一直困扰着大家,虽然QQ提供了密码保护功能,但毕竟是事后补救,不如提前作好防范。让我们从“查”与“防”两方面人手,彻底杜绝QQ盗号的发生。
“小沈Q盗杀手”是一个检测与清除QQ盗号木马的工具,不仅可以清除网络上流行的各种盗Q木马,比如阿拉QQ大盗、冲击波QQ大盗、QQ简单盗等60多种盗号软件,还可清除这些木马的各种修改版,功能强火。
运行Q盗杀手后,选择“查杀专区”标签,点击“扫描木马”按钮,软件即可自动扫描检测系统中是否存在木马。软件的扫描速度比较快,不一会儿就可得到结果。扫描报告里如果有红色的文字显示,则表示发现了木马(如图1),点击“清除木马”按钮,软件会自动结束木马进程,并删除相应的注册表键值。要完全清除木马,可能会要求重启动系统。Q盗杀手的清除功能很智能,可以有效地清除普通杀毒软件无法清除的DLL注入类盗号木马,即使木马注入到系统进程中,软件也会在重启过程中自动删除相应的残留进程与文件。
盗号木马获取的就是用户输入的QQ登录密码,如果不输入密码就可登录的话,就算盗号木马存在也干不了什么坏事。这里可以使用“QQ防盗专家”来自动登录QQ。
运行QQ防盗专家,在“QQ路径”中指定QQ的安装目录,然后输入QQ号码和密码。点击“生成代码”按钮,即可在下面的窗口中生成QQ登录代码;点击“创建Ink”按钮,可以选择在桌面上保存登录QQ的快捷方式(如图2)。以后双击快捷方式,就可以自动登录QQ了,而且快捷方式中的密码也是显示为不可逆的HASH值,即使木马得到了该值,也无法破解出对应的密码。
现在使用QQ已经很安全了,但其它很多场合也需要输入QQ密码,比如QZone、QQ秀商城等官方站点,如何保护我们的这些密码呢? “账号守护专家”是个不错的防盗号工具,提供了多种账号保护模式,比如字符替换、标题栏伪装等,可以有效地保护账号不被盗走。
运行账号守护专家,选择界面中的“普通模式”,点击“保护”按钮就可以启动软件的键盘输入保护功能。另外账号守护专家中提供了一个高级功能,允许用户自定义任何按键输入的字符。勾选程序界面中的“增强模式”,用鼠标点击界面上方键盘图形中的任意按键,可更改按键上的字符。例如点击程序界面上的按键“X”,光标显示可输入,然后按下真实键盘上的“A”键,原来的键盘“X”就被替换成了“A”键(如图3)。在设置完键盘按键后,可以点击“保存设置”按钮,将按键自定义设置保存下来,下次直接点击“读取设置”导入程序。
现在输入密码,按下键盘的“XXX”键,真实输入的是“AAA”,但是木马之类记录的却是“XXX”。通过自定义键盘按键,就可以欺骗盗号程序,让盗号者得到错误的密码。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。