攻防课堂　抓包案例（上）等.docVIP

攻防课堂　抓包案例（上）等 　　攻防课堂　抓包案例(上) 　　郑志勇 　　 　　互联网上流动着各式各样的数据，而这些数据都是经过“封装”后再传输的，所以我们也可以说互联网上流动着各种各样的“数据包”。如果能够把这些包抓下来，我们就可以窥探网上传递的信息。 　　 　　什么是抓包 　　抓包的真正含义是通过专门的软件捕获所有通过计算机网卡的网络数据包，并通过分析数据包里的内容，获得有用信息的过程。 　　目前有很多抓包工具，可以通过这些工具监视网络的状态、数据流动情况以及网络上传输的信息。当网络上的信息以明文的形式传输时，抓包工具可以将网络接口设置为监听模式，截获网上传输的源源不断的信息，黑客们常常用它来截获用户的口令。 　　早期嗅探器的工作原理是设置网卡为混杂模式，这样就可以嗅探到所有经过本机网卡的数据。但是这种抓包有一个缺点，就是它只适用于共享式局域网(就是用集线器连接的网络)，对于交换式局域网(用交换机连接的网络)无效。因为在交换式局域网中，网络中的数据并不会经过每一台主机的网卡，这时要用另外一种更为主动的方法去嗅探，那就是基于ARP欺骗的嗅探。需要注意的是，即使采用这种嗅探方式，我们也只能抓取本机通信的数据包，这里就以Iris Network Traffic Analyzer(简称IRIS)和Switch为例，介绍几个具体的抓包应用实例。 　　 　　案例一：获得网页源代码 　　练习地址： 　　http：／／218．86．126．77／Cpcfan／2007／2／lx1．asp 　　许多网站设计者为了保护自己网页内容，想了很多办法，其实只要这些内容能够在电脑上显示，就表明这些内容是可以下载的。利用抓包工具，我们可以直接看到封包的原始信息，获取最直接的内容，下面以测试页面为例： 　　1)运行IRIS，选择“Filters”菜单，点“Edit filtersetting”，在弹出的窗口中，选择左边列表里的“IPaddress”，把“This Host”，用鼠标拖到下面的表格的第一行address1中，“dir”选择“”，address 2中输入218．86．126．77，然后点“应用”按钮。 　　2)选择左边列表里的“Ports”，在“knownports”列表中，双击“http：80”，单击“确定”按钮，关闭窗口。点“File”菜单，选“New Capture session”，按“Ctrl+A”开始抓包，最小化窗口。 　　3)关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件，确保目前没有其他软件使用网络。打开IE输入http：／／218．86．126．77／Cpcfan／2007／2／1x1．asp 　　4)打开IRIS，按“Ctrl+z”停止抓包，点左边浮动面板上的“Decode”图标，可看见“Tcp-http(80)”的条目。单击该条目，在右边的列表中查找，可发现我们需要的网页，将“select displaying format”改成ASCⅡ方式，看到的就是网页的源代码。 　　 　　案例二：获取网友的真实IP地址 　　QQ，MSN等聊天工具上的网友来自天南海北，获得对方的IP是了解对方真实情况的最好途径，如何获得对方的真实IP呢?要知道许多能看IP的QQ版本看到的也不是准确的IP地址，而使用抓包工具既可获得对方准确的IP地址，操作步骤也比较简单： 　　1)运行IRIS，选择“Filters”菜单，点“Edit filtersetting”，在弹出的窗口中，选择左边列表里的“IPaddress”。 　　2)把“This Host”，用鼠标拖到下面的表格的第一行address1中，“dir”选择双向箭头，address 2不做任何选择，然后点“应用”按钮。单击“确定”按钮，关闭窗口。点“File”菜单，选“New Capture session(新抓取)”，按“Ctrl+A”开始抓包，最小化窗口。 　　3)关闭所有的IE窗口、BT下载和网络游戏之类的其他网络软件，确保目前没有其他软件使用网络。运行QQ，找到你需要获得真实IP的网友发消息给他。 　　4)打开IRIS，按“Ctrl+Z”停止抓包，在Capture抓的包的列表里，可以看到许多数据包，每个数据包都包含源IP地址和目标IP地址，其中一个是你的IP地址，另一个就是对方的IP地址。 　　 　　提示： 　　为确保对方QQ使用的是真实IP地址，还可以用MSN和对方打招呼，进一步确认对方的IP地址，如果获得的IP地址和QQ的一样，就可以确定了。 　　 　　案例三：获取FTP用户名和密码 　　辅助软件：flashfxp、foxmai I 　　由于FTP协议是明文传输的，所以用户名和密码这些信息都在网络明文传输，