攻防課堂 抓包案例(上)

鄭志勇

互聯(lián)網(wǎng)上流動著各式各樣的數(shù)據(jù)，而這些數(shù)據(jù)都是經(jīng)過“封裝”后再傳輸?shù)模晕覀円部梢哉f互聯(lián)網(wǎng)上流動著各種各樣的“數(shù)據(jù)包”。如果能夠把這些包抓下來，我們就可以窺探網(wǎng)上傳遞的信息。

什么是抓包

抓包的真正含義是通過專門的軟件捕獲所有通過計算機(jī)網(wǎng)卡的網(wǎng)絡(luò)數(shù)據(jù)包，并通過分析數(shù)據(jù)包里的內(nèi)容，獲得有用信息的過程。

目前有很多抓包工具，可以通過這些工具監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)網(wǎng)絡(luò)上的信息以明文的形式傳輸時，抓包工具可以將網(wǎng)絡(luò)接口設(shè)置為監(jiān)聽模式，截獲網(wǎng)上傳輸?shù)脑丛床粩嗟男畔?，黑客們常常用它來截獲用戶的口令。

早期嗅探器的工作原理是設(shè)置網(wǎng)卡為混雜模式，這樣就可以嗅探到所有經(jīng)過本機(jī)網(wǎng)卡的數(shù)據(jù)。但是這種抓包有一個缺點，就是它只適用于共享式局域網(wǎng)(就是用集線器連接的網(wǎng)絡(luò))，對于交換式局域網(wǎng)(用交換機(jī)連接的網(wǎng)絡(luò))無效。因為在交換式局域網(wǎng)中，網(wǎng)絡(luò)中的數(shù)據(jù)并不會經(jīng)過每一臺主機(jī)的網(wǎng)卡，這時要用另外一種更為主動的方法去嗅探，那就是基于ARP欺騙的嗅探。需要注意的是，即使采用這種嗅探方式，我們也只能抓取本機(jī)通信的數(shù)據(jù)包，這里就以Iris Network Traffic Analyzer(簡稱IRIS)和Switch為例，介紹幾個具體的抓包應(yīng)用實例。

案例一：獲得網(wǎng)頁源代碼

練習(xí)地址：

http：／／218．86．126．77／Cpcfan／2007／2／lx1．a(chǎn)sp

許多網(wǎng)站設(shè)計者為了保護(hù)自己網(wǎng)頁內(nèi)容，想了很多辦法，其實只要這些內(nèi)容能夠在電腦上顯示，就表明這些內(nèi)容是可以下載的。利用抓包工具，我們可以直接看到封包的原始信息，獲取最直接的內(nèi)容，下面以測試頁面為例：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersetting”，在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”，用鼠標(biāo)拖到下面的表格的第一行address1中，“dir”選擇“<-->”，address 2中輸入218．86．126．77，然后點“應(yīng)用”按鈕。

2)選擇左邊列表里的“Ports”，在“knownports”列表中，雙擊“http：80”，單擊“確定”按鈕，關(guān)閉窗口。點“File”菜單，選“New Capture session”，按“Ctrl+A”開始抓包，最小化窗口。

3)關(guān)閉所有的IE窗口、BT下載和網(wǎng)絡(luò)游戲之類的其他網(wǎng)絡(luò)軟件，確保目前沒有其他軟件使用網(wǎng)絡(luò)。打開IE輸入http：／／218．86．126．77／Cpcfan／2007／2／1x1．a(chǎn)sp

4)打開IRIS，按“Ctrl+z”停止抓包，點左邊浮動面板上的“Decode”圖標(biāo)，可看見“Tcp->http(80)”的條目。單擊該條目，在右邊的列表中查找，可發(fā)現(xiàn)我們需要的網(wǎng)頁，將“select displaying format”改成ASCⅡ方式，看到的就是網(wǎng)頁的源代碼。

案例二：獲取網(wǎng)友的真實IP地址

QQ，MSN等聊天工具上的網(wǎng)友來自天南海北，獲得對方的IP是了解對方真實情況的最好途徑，如何獲得對方的真實IP呢?要知道許多能看IP的QQ版本看到的也不是準(zhǔn)確的IP地址，而使用抓包工具既可獲得對方準(zhǔn)確的IP地址，操作步驟也比較簡單：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersetting”，在彈出的窗口中，選擇左邊列表里的“IPaddress”。

2)把“This Host”，用鼠標(biāo)拖到下面的表格的第一行address1中，“dir”選擇雙向箭頭，address 2不做任何選擇，然后點“應(yīng)用”按鈕。單擊“確定”按鈕，關(guān)閉窗口。點“File”菜單，選“New Capture session(新抓取)”，按“Ctrl+A”開始抓包，最小化窗口。

3)關(guān)閉所有的IE窗口、BT下載和網(wǎng)絡(luò)游戲之類的其他網(wǎng)絡(luò)軟件，確保目前沒有其他軟件使用網(wǎng)絡(luò)。運行QQ，找到你需要獲得真實IP的網(wǎng)友發(fā)消息給他。

4)打開IRIS，按“Ctrl+Z”停止抓包，在Capture抓的包的列表里，可以看到許多數(shù)據(jù)包，每個數(shù)據(jù)包都包含源IP地址和目標(biāo)IP地址，其中一個是你的IP地址，另一個就是對方的IP地址。

提示：

為確保對方QQ使用的是真實IP地址，還可以用MSN和對方打招呼，進(jìn)一步確認(rèn)對方的IP地址，如果獲得的IP地址和QQ的一樣，就可以確定了。

案例三：獲取FTP用戶名和密碼

輔助軟件：flashfxp、foxmai I

由于FTP協(xié)議是明文傳輸?shù)模杂脩裘兔艽a這些信息都在網(wǎng)絡(luò)明文傳輸，如果你在網(wǎng)絡(luò)出口的路由器上安裝嗅探器，就可以獲得網(wǎng)絡(luò)中所有用戶的FTP用戶名和密碼。下面我們以單機(jī)為例，介紹一下如何使用IRIS捕獲FTP用戶名和密碼。具體的操作步驟是：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersett]ng”。在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”，用鼠標(biāo)拖到下面表格的第一行address1中， “dir”選擇“一>”，address 2中不填，然后點“應(yīng)用”按鈕。

2)選擇左邊列表里的“Ports(端口)”，在“knownports(已知端口)”列表中，雙擊“ftp：21”，單擊“確定”按鈕，關(guān)閉窗口。點“File”菜單，選“New Capturesession”，按“CM+A”開始抓包，最小化窗口。

3)運行flashfxp，嘗試登錄FTP站點，登錄成功后最小化。

4)打開IRIS，按“Ctrl+z”停止抓包，點左邊浮動面板上的“Decode”圖標(biāo)，即可看見“Tcp->ftp(21)”的條目。查找其中的數(shù)據(jù)包，如果發(fā)現(xiàn)其中包含user和pass字符，它們后面跟的就是Ftp用戶名和密碼。

案例四：判斷木馬或蠕蟲病毒

木馬通常會被動或主動地訪問網(wǎng)絡(luò)，我們可以利用這個特點監(jiān)控自己計算機(jī)往外發(fā)送數(shù)據(jù)包的情況，來檢查是否有網(wǎng)絡(luò)異常：

1)運行IRIS，選擇“Filters(過濾器)”菜單，點“Edit filter setting(編輯設(shè)置)”。

2)在彈出的窗口中，選擇左邊列表里的“IP address(IP地址)”，把“This Host”用鼠標(biāo)拖到下面的表格的第一行address1中，“dir”選擇雙向箭頭“<-->”，address 2中不填，然后點“確定”按鈕關(guān)閉窗口，按“Ctrl+A”開始抓包，最小化窗口。

3)確認(rèn)自己沒有打開任何訪問網(wǎng)絡(luò)的程序。觀察網(wǎng)絡(luò)數(shù)據(jù)包出現(xiàn)并檢查該數(shù)據(jù)包使用的端口，可以利用Google或Baidu查詢該端口通常會被什么軟件使用。

4)如果你看見的是某臺計算機(jī)不斷的往網(wǎng)內(nèi)的其他計算機(jī)發(fā)送arp request或arp relay數(shù)據(jù)包，那么它一定是中了蠕蟲病毒或木馬，這時候最好通知網(wǎng)管，否則你的計算機(jī)也有可能被傳染。

讓盜號木馬見鬼去

冰河洗劍

QQ號被盜的問題一直困擾著大家，雖然QQ提供了密碼保護(hù)功能，但畢竟是事后補救，不如提前作好防范。讓我們從“查”與“防”兩方面人手，徹底杜絕QQ盜號的發(fā)生。

“小沈Q盜殺手”是一個檢測與清除QQ盜號木馬的工具，不僅可以清除網(wǎng)絡(luò)上流行的各種盜Q木馬，比如阿拉QQ大盜、沖擊波QQ大盜、QQ簡單盜等60多種盜號軟件，還可清除這些木馬的各種修改版，功能強(qiáng)火。

運行Q盜殺手后，選擇“查殺專區(qū)”標(biāo)簽，點擊“掃描木馬”按鈕，軟件即可自動掃描檢測系統(tǒng)中是否存在木馬。軟件的掃描速度比較快，不一會兒就可得到結(jié)果。掃描報告里如果有紅色的文字顯示，則表示發(fā)現(xiàn)了木馬(如圖1)，點擊“清除木馬”按鈕，軟件會自動結(jié)束木馬進(jìn)程，并刪除相應(yīng)的注冊表鍵值。要完全清除木馬，可能會要求重啟動系統(tǒng)。Q盜殺手的清除功能很智能，可以有效地清除普通殺毒軟件無法清除的DLL注入類盜號木馬，即使木馬注入到系統(tǒng)進(jìn)程中，軟件也會在重啟過程中自動刪除相應(yīng)的殘留進(jìn)程與文件。

盜號木馬獲取的就是用戶輸入的QQ登錄密碼，如果不輸入密碼就可登錄的話，就算盜號木馬存在也干不了什么壞事。這里可以使用“QQ防盜專家”來自動登錄QQ。

運行QQ防盜專家，在“QQ路徑”中指定QQ的安裝目錄，然后輸入QQ號碼和密碼。點擊“生成代碼”按鈕，即可在下面的窗口中生成QQ登錄代碼；點擊“創(chuàng)建Ink”按鈕，可以選擇在桌面上保存登錄QQ的快捷方式(如圖2)。以后雙擊快捷方式，就可以自動登錄QQ了，而且快捷方式中的密碼也是顯示為不可逆的HASH值，即使木馬得到了該值，也無法破解出對應(yīng)的密碼。

現(xiàn)在使用QQ已經(jīng)很安全了，但其它很多場合也需要輸入QQ密碼，比如QZone、QQ秀商城等官方站點，如何保護(hù)我們的這些密碼呢? “賬號守護(hù)專家”是個不錯的防盜號工具，提供了多種賬號保護(hù)模式，比如字符替換、標(biāo)題欄偽裝等，可以有效地保護(hù)賬號不被盜走。

運行賬號守護(hù)專家，選擇界面中的“普通模式”，點擊“保護(hù)”按鈕就可以啟動軟件的鍵盤輸入保護(hù)功能。另外賬號守護(hù)專家中提供了一個高級功能，允許用戶自定義任何按鍵輸入的字符。勾選程序界面中的“增強(qiáng)模式”，用鼠標(biāo)點擊界面上方鍵盤圖形中的任意按鍵，可更改按鍵上的字符。例如點擊程序界面上的按鍵“X”，光標(biāo)顯示可輸入，然后按下真實鍵盤上的“A”鍵，原來的鍵盤“X”就被替換成了“A”鍵(如圖3)。在設(shè)置完鍵盤按鍵后，可以點擊“保存設(shè)置”按鈕，將按鍵自定義設(shè)置保存下來，下次直接點擊“讀取設(shè)置”導(dǎo)入程序。

現(xiàn)在輸入密碼，按下鍵盤的“XXX”鍵，真實輸入的是“AAA”，但是木馬之類記錄的卻是“XXX”。通過自定義鍵盤按鍵，就可以欺騙盜號程序，讓盜號者得到錯誤的密碼。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。