网络空间安全概论 实验6 网络监听实验样例1.docx

PAGE2

打开网址?，进入Wireshark官网下载

Wireshark是非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。常用于开发测试过程各种问题定位。

4.7抓取ping命令

1）确定本机的IP

2）选择菜单栏上捕获-选项，勾选WLAN网卡

3）可以看到wireshark正处于抓包状态

4）执行需要抓包的操作，在cmd窗口下执行ping

5）wireshark将抓取到相关数据包，在过滤栏设置过滤条件以避免其他无用数据包影响分析，如ip.addr==11andicmp。

4.8抓取QQ聊天发送的图片

1）将要抓取的图片发送给任意QQ好友

2）发送的图片是jpg格式，所以图片的16进制编码头几位为ffd8ff，通过追踪TCP流以及文件头编码的搜索，找到：

3）找到对应的数据流，追踪TCP流

4）将其显示为原始数据

5）保存到本地

5）完成这个以后，将保存下来的文件用winhex打开，搜索jpg文件的头编码FFD8FF

6）将前面的这些编码删去

7）保存为jpg格式到本地

8）打开图片，发现已经完全恢复

4.9抓取QQ邮件

QQ邮箱是网址是基于HTTPS协议的，HTTPS能够加密信息，由HTTP+TLS/SSL组成，在原本的HTTP协议上增加了一层加密信息模块，服务端和客户端的信息传输都要经过TLS进行加密，所以传输的数据都是加密后的数据。

ClientServerClientHello

Client

Server

ClientHello

ServerHello

Certificate

ServerHelloDone

ClientKeyExchange

[ChangeCipherSpec]

Finshed

[ChangeCipherSpec]

Finshed

ApplicationData

ApplicationData

握手过程：

初始化阶段。客户端创建随机数，发送ClientHello将随机数连同自己支持的协议版本、加密算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法给客户端。

认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端Certificate，并请求客户端的证书CertificateRequest。

密钥协商阶段。客户端验证证书，如果收到CertificateRequest则发送包含自己公钥的证书，同时对此前所有握手消息进行散列运算，并使用加密算法进行加密发送给服务器。同时，创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用第一阶段的随机数，能够计算得出master-secret。

握手终止。服务器和客户端分别通过ChangeCipherSpec消息使用master-secret对连接进行加密和解密，以及向对方发送终止消息Finished。

Wireshark抓包实例

1）发送QQ邮件

2）使用wireshark进行抓包，并使用ssl进行过滤。

3）对于抓到的重要的包进行分析，ClientHello

TLS握手过程的第一步就是客户端发起请求，主要包括了客户端生成的随机字符串(sessionkey)，还包含了客户端所支持所支持的加密套件列表、随机数等信息。

4）serverhello

服务器收到客户端的ClientHello数据包之后，根据客户端发来的加密套件列表，选择一个加密套件，也生成一个随机字符串返回给客户端。密钥交换算法选择的是使用ECDHE_RSA，对称加密算法使用AES_128_GCM_SHA256：

5）服务器把certificate发给客户端。

服务器返回客户端自己的证书信息

服务器返回ServerKeyExchange数据包，用于和客户端交换用于数据加密的密钥，ServerHelloDone用于通知客户端已经发送用于密钥交换的数据等待客户端响应。

6）ClientKeyChangeChangeCipherSpecEncryptedHandShakeMessage

客户端根据服务器返回的DH数据生成DH数据发给服务器，用来生成最终的pre-master-secret。如图：

7）ApplicationData

加密后的数据

8）NewSessionTicketChangeCipherSpecEncryptedHandShakeMessage

每隔一段时间需要更新一次会话密钥

9）QQ邮箱的会话密钥每隔一段时间就需要更换一次，密钥交换算法使用