【网络安全实验】网络抓包

一、网络抓包概述

        网络抓包，也叫网络监听、网络嗅探，是一种捕获网络中传输数据包的技术手段，通过特定工具收集、分析数据包，以了解网络运行状况、排查故障或进行安全评估等

• 原理

       网络中的数据以数据包的形式进行传输。抓包工具利用网络接口卡的混杂模式，使网卡能够接收所有经过它的数据包，而不仅仅是发送给该网卡的数据包。这样，抓包工具就可以截获并记录这些数据包，以便后续分析。

主流的抓包工具

• Wireshark: 前身为Ethereal，其命令行工具为tshark。是一款功能强大、广泛使用的开源抓包分析工具，支持多种操作系统。它提供了直观的图形化界面，能对各种协议的数据包进行详细解析，方便用户查看数据包的各个字段和内容。
• Tcpdump：常用于 Unix/Linux 系统的命令行抓包工具。它可以在不启动图形界面的情况下，快速捕获网络数据包，并提供基本的过滤和显示功能，适合在服务器等环境中使用。
• Fiddler：主要用于捕获 HTTP 和 HTTPS 等网络流量，特别适用于 Web 应用程序的开发和调试。它可以拦截、修改和分析浏览器与服务器之间的通信数据包，帮助开发人员查找问题和优化性能。
• Sniffer：即嗅探器，是一种基于被动侦听原理的网络分析工具，用于捕获和分析网络数据包。它能够实时监视网络状态、数据流动及传输信息，帮助定位故障、分析协议和解码数据。有三大主要功能：协议解析（Decode）、网络活动监视（Monitor）、专家分析系统（Expert）

应用场景

• 网络故障排查：当网络出现连接问题、数据传输异常或速度缓慢时，通过抓包可以分析数据包的流向、协议交互过程以及是否存在丢包、错误等情况，从而定位故障原因，如网络配置错误、设备故障或网络拥塞等。
• 网络安全分析：检测网络中的异常流量和潜在的安全威胁，如黑客攻击、病毒传播等。通过分析抓包数据，可以发现可疑的数据包特征、异常的连接请求或恶意软件的通信行为，有助于及时采取防范措施。
• 协议分析与开发：对于网络协议的研究和开发人员，抓包可以帮助他们深入了解各种协议的工作原理和交互过程。通过分析实际网络中的数据包，能够验证协议的正确性、发现协议漏洞，并进行优化和改进。
• 性能优化：分析网络数据包可以了解应用程序在网络层面的性能表现，如数据传输的延迟、带宽占用情况等。根据抓包分析的结果，可以对网络配置、应用程序代码或服务器设置进行优化，以提高网络性能和用户体验。

二、使用wireshark抓取数据

软件：Wireshark

操作系统：Win11、Windows Server 2012

1、登陆http协议网站并抓取HTTP账号密码

（1）打开wireshark，进入欢迎界面，可以看到可用的捕获接口，每个接口名称旁会迷你图表显示该接口的网络活动情况，可直接选择要捕获数据包的接口WLAN。

常见接口类型及特点

• 以太网接口：如 Linux 系统中的 “eth0”“eth1” 等，是有线网络中常用的接口，通常用于连接局域网中的计算机、路由器等设备，能稳定地传输大量数据，适合捕获局域网内的各种网络流量。下面图片中的VMware虚拟机的网络接口均为以太网接口。
• 无线接口：在 Windows 系统中，名称通常包含“wlan” “wireless”“wi - fi” 或 “802.11” 等关键字；在 Linux 系统中为 “wlan0”“wlan1” 等。无线接口用于捕获无线网络中的数据包，可用于分析无线网络的连接情况、信号强度、数据传输效率等。
• 环回接口：如 “lo” 或 “lo0”，主要用于本地计算机内部的网络通信，即同一台计算机上不同应用程序之间通过网络协议进行的数据交互。捕获环回接口的数据包可以帮助分析本地应用程序之间的网络通信情况。
• PPP 接口：如 “ppp0”“ppp1” 等，常用于拨号上网或虚拟专用网络（VPN）连接。通过 PPP 接口捕获的数据包可以分析拨号连接的过程、验证信息以及通过 VPN 传输的数据等。

HTTP（超文本传输协议）与HTTPS（超文本传输安全协议）的比较

• 安全性：HTTP 明文传输，存在安全风险；HTTPS 加密传输，安全性高。
• 连接端口：HTTP 默认使用 80 端口；HTTPS 默认使用 443 端口。
• 证书：HTTPS 需要服务器拥有由权威证书颁发机构颁发的数字证书，客户端可以通过验证证书来确认服务器的身份是否可信；HTTP 不需要证书。
• 性能：由于 HTTPS 需要加密和解密数据，以及进行 SSL/TLS 握手等操作，所以在性能上可能会略低于 HTTP。不过，随着硬件性能的提升和加密算法的优化，这种性能差异在大多数情况下并不明显。
• 兼容性：由于 HTTPS 需要支持 SSL/TLS 协议，某些旧设备或环境可能对其兼容性不如 HTTP 好，但这种情况比较少见。

（2）登录任意一个HTTP协议网站（这里以http://www.51hei.com/为例），注册账号成功后退出

（2）在登陆界面输入账号密码点击登录并在wireshark实施抓包

        在wireshark过滤语句中输入http过滤出网页流量并找到POST请求，也可以使用更加精确的过滤语句：

http and ip.addr == 118.190.85.85

        IP地址可以通过在cmd中ping www.51bai.com获得

（3）双击打开数据包，在应用层数据包上，可以得到账号密码

2.启用Telnet服务并抓取密码

 （1） 在Vmware中安装好WindowsServer2012后，点击左下角“服务器管理器”，打开后双击“添加角色和功能”

进入“添加角色和功能向导”页面，在“功能”中勾选Telnet系列服务”，然后“下一步”安装

（2）在WindowsServer2012手动开启Telnet服务

点击右上角“工具”——“服务”——“Telent”

双击“Telnet”，将启动类型改为“手动”然后点击“应用”

（3）在Windows11物理机中开启Telent服务

在开始界面输入“Windows功能”并进入该页面，找到后勾选“Telnet客户端”，点击“确定”

（4）打开wireshark，在物理机上的cmd中进入telnet服务，抓取账号和密码

在物理机的cmd中输入telnet进入telnet服务

在虚拟机终端查询IP地址：输入ipconfig，得到IP地址：192.168.137.130

然后回到物理机终端输入虚拟机WindowsServer2012的IP地址

Login：      （输入账号名）

Passport：   （输入密码）

然后回车，显示如下则连接成功

（5）在wireshark中选择过滤telnet事件，选取telnet事件并追踪TCP流

得到账号密码