使用Wireshark查看局域网内安全问题.doc

使用Wireshark查看局域网内安全问题 早就听说过局域网的安全性有问题，但是也一直没放在心上，祥子是计算机专业毕业的，平时上网行为很规矩，从不上那些乱七八糟的网站，小方格子里有自己专用 的电脑，里面装着网络版的杀毒软件，定时更新病毒库，系统里装着360安全卫生，系统的漏洞啊、补丁啊什么的都堵上和补上了，这样在局域网还能不安全吗？ 至少，自己认为是安全的，而且相对于同事们经常重装系统的行为，自己的系统重装的次数是少多了，那么真的是这样吗？让我们用几款软件试试吧。 　　 虚拟机：安全检测的有效工具 　　为什么要这样，那些检测局域网安全性的软件不能直接安装在机器上吗，当然不能，第一，这些软件很多会被杀毒软件当作病毒给杀掉，第二，你打算直接拿这些软件来对别人的机器进行测试吗？不安全，太不安全了，无论是对别人还是对自己来说都太不安全了。 　　 　　所以我们要先装一个虚拟机，里面装一个“裸奔”的XP系统就可以了，所有的软件都装在这个虚拟的系统里面，自己对自己进行测试，学习了，再拿到局域网中进行实验，这样无论对别人还是自己都是负责任的，虚拟机本次安装的是VMware6.0.2这个版本。 用Sniffer工具抓取用户名/密码　　　　SNIFFER软件有很多，比如大名鼎鼎的 Sniffer Pro 4.7，但是这款软件太大了，不好上手（但是经典就是经典，祥子以后会为大家介绍这款软件的使用的），这次我们选一个轻量级的Wireshark，它的使 用也是非常简单，这没什么说的，双击该程序的图标启动即可。　　　　点击“List the available capture interfaces”按钮，按中自己的网卡，再点“Options”，再点“Start”，就可以开始监控本网段内的一切网络活动了。　　　　我们在真实的机器上进行一次FTP操作，查看捕获到用户名/密码：　　这时就可以看到有数据记录了，点“Stop”，再选中“Info”栏中带有“ftp[SYN]”字样的一栏（因为在FTP的同步过程中会传输用户名和密码），点右键，选择“Follow TCP Stream”如图1所示，我们就得到了一次FTP操作的用户名和密码。　　 图1 利用Cain，做ARP欺骗　　　　SNIFFER类的软件功能很强大，但是对于一般的用户来说，在众多的信息中寻找自己需要内容太麻烦了，好在Cain可以帮我们记录多种网络操作的密码，操作步骤如下：　　　　让我们启动Cain，点选Sniffer，再点击Start/Stop Sniffer按钮，这时再点击“＋”，会对本局域内的MAC地址列表进行扫描（这里也要说明一下，Cain软件也只能对同一网段的机器进行扫描）。　　　 　再点下面的“APR”，继续点击“＋”，在出现的对话框中左边一栏选网关的地址，右边一栏选择需要监控的地址，一切就绪后再点“Start/Stop APR”按钮，下面就等着用户名和密码出现吧，比如我们再做一次登录FTP服务器的操作，就会看到很轻松的就把FTP的用户名和密码得到了，如图2所示。　　  图2 使用wireshark找回遗忘管理地址问题 作为网络管理员的我们经常要针对路由器，交换机，VPN接入等网络设备进行配置，不知道各位是否遇到过忘记了设备管理地址的情况，也许你记得用户名和密 码，但是要进行配置就必须访问管理界面，这个管理地址的丢失或遗忘却让我们束手无策。最近笔者就遇到了这么一个让人头疼的问题，最终通过sniffer找 到了管理地址信息，下面笔者就为各位呈现忘记管理地址莫慌用sniffer巧解决的全功略。 　　一，什么时候会忘记管理地址： 　　忘记管理地址的情况多出现网络管理员交接工作时，老网管离职新网管接手，但是移交时只过多的关注用户名和密码，而没有将各个设备的管理地址写清楚。另外对于一些设备来说可能会因为说明书丢失，而在RESET后忘记管理地址的情况也经常出现。 　　二，传统获取设备管理地址的方法： 　　就算没有得到设备的管理地址我们依然可以通过传统方法解决，主要的解决办法有三个。 　　(1)RESET恢复法： 　　通过设备自身的RESET键可以顺利的将设备所有配置信息清空，从而恢复到出厂状态。这样相应的设备管理地址也被重置。不过RESET恢复法存 在局限，那就是如果设备自身没有RESET恢复功能，又或者本身就没有说明书不知道恢复后的出厂设置中管理地址信息的话同样无法通过此方法解决管理地址辩 识的问题。 　　(2)DHCP自动获得法： 　　找到一台计算机连接要恢复管理地址的网络设备，如果设备自身提供了DHCP自动分配地址功能的话，我们在计算机上将会获得由网络设备自身提供的 IP，网关等网络信息，这个网关地址就是设备的管理地址。我们可以通过此地址来访问管理界