一、实验目的
利用wireshark进行协议分析
二、实验环境
Windows*64
三、实验内容
任务1. 水木社区登录密码嗅探
1.1登录http://www.newsmth.net/indexpages/default/,并用注册新用户后退出。
1.2启动wireshark,并重新使用新注册的用户名和密码登录论坛。
使用wireshark分析上一步的登录过程。
分析数据流回答下列问题:
Q1. newsmth.net的ip地址什么?
在cmd中用ping口令得到IP:120.92.34.37,操作如下图所示:
图2 .查看该网址的ip
Q2. 如何根据ip地址过滤访问newsmth.net的流量?
图3.过滤规则和结果
1.3在命令行运行telnet命令,登录水木社区,并启动wireshark捕获该登录过程。分析数据流,找到刚才输入的登录用户和登录密码?
首先打开wireshark捕获WLAN下的数据流,然后在cmd中输入命令登陆网站,输入账号密码后,停止捕获,并用“telnet”筛选,分析数据流可得登录用户和密码:
图4 .开始捕获WLAN下的数据流
图5 .远程登陆水木社区
图6 .用关键字“telnet”筛选
图7 .得到第一个登陆账号字符“A”
图8 .得到第二个登陆账号字符“l”
依次类推,下述数据流中的data都包含了账号和密码字符。但较为特殊的是,灰色背景处对应数据流中的data是完整的账号密码的字符,而紫色背景处对应数据流的data的字符,在账号的序列中为账号字符,在密码的序列中为“*”。
图9 .灰紫两处的字符具有特殊性
1.4 分析telnet登录过程发送的telnet数据包,找到刚才输入的密码。分析数据流回答下列问题:
Q3. 如何获取刚才的输入密码?
按照上题中的步骤顺序依次进行,直到进行到“用telnet”筛选”处,停止,然后在菜单栏中找到“分析”,点击打开追踪流,再点击TCP流,即可得到数据,由图可见标粉处显示了账号密码:由此可得登陆密码为****。
任务2. 登录学校主页,分析数据流回答下列问题:
Q1:学校主页的ip地址是什么?
通过ping命令可得学校主页ip为****
Q2:在浏览器和web服务器之间的通信过程中,找到一次完整的TCP连接建立的三次握手过程,以及一对http请求和http响应数据包。
首先打开wireshark,选择WLAN进行捕获,打开学校官网,并输入http过滤,选中GET/HTTP/1.1的记录,选择追踪流—>TCP流,在HTTP的包上面,就是TCP握手的三个数据包,如下图所示:
图11.标红部分为TCP三次握手图12.TCP第一次握手
图13.TCP第二次握手
图14.TCP第三次握手
图15.请求响应数据包
任务3. 使用kali流量监视工具,监视无线路由器与电脑之间的802.11数据包,在Virtual Box上加载Kali虚拟机,并使用 aircrack-ng来破解wifi的登录密码,或者hashcat也可以。
回答下列问题:
Q7. 尝试过滤EAPOL协议,并解释过滤出来的数据包含义。
以wireshark的打开方式打开wwd-01.cap数据包,输入“eapol”进行筛选,得到如下结果:
图16.过滤eapol协议得到的数据包
第一个数据包为主机向服务器(多播或广播地址)发送EAPOL-start;第二个数据包为服务器向主机发送EAP-REQUEST-Identity要求验证身份的请求;
第三个数据包为主机向服务器发送EAP-RESPONSE-Identity回应;
第四个数据包为服务器向主机发送EAP-REQUEST-MD5_Challenge要求验证密码的MD5校验值;
第五个数据包为主机向服务器发送EAP-RESPONSE-MD5_Challenge回应,最后一个数据包为服务器向主机发送EAP-Success。
Q8. 给出Wifi登录密码的破解结果,及详细实验步骤截图。
首先在终端中输入“apt-get install aircrack-ng”下载安装aircrak-ng,然后在浏览器中下载一个字典命名为join.txt,在字典最后加上“junzilan”(假如字典中没有该字符串的话),将字典和数据包wwd-01放到主文件夹中。最后,在终端中输入命令“aircrack-ng -w join.txt wwd-01.cap”,即可实现密码破解过程,密码在KEY FOUND后(已显示)。
图17.下载安装aircrack图18.下载两个文件置于root文件夹中
图19.输入命令开始破解
图20.得到破解密码junzilan
至此,实验结束。
