網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽實驗樣例4

六、qq郵件登錄信息抓取：QQ郵箱是網(wǎng)址是基于HTTPS協(xié)議的HTTPS（HypertextTransferProtocoloverSecureSocketLayer）能夠加密信息，由HTTP+TLS/SSL組成，在原本的HTTP協(xié)議上增加了一層加密信息模塊，服務(wù)端和客戶端的信息傳輸都要經(jīng)過TLS進行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)。TLS/SSL簡介TLS/SSL具體過程如下圖：圖3.23握手過程：1.初始化階段?？蛻舳藙?chuàng)建隨機數(shù)，發(fā)送ClientHello將隨機數(shù)連同自己支持的協(xié)議版本、加密算法發(fā)送給服務(wù)器。服務(wù)器回復ServerHello將自己生成的隨機數(shù)連同選擇的協(xié)議版本、加密算法給客戶端。2.認證階段。服務(wù)器發(fā)送ServerHello的同時可能將包含自己公鑰的證書發(fā)送給客戶端（Certificate），并請求客戶端的證書（CertificateRequest）。3.密鑰協(xié)商階段。客戶端驗證證書，如果收到CertificateRequest則發(fā)送包含自己公鑰的證書，同時對此前所有握手消息進行散列運算，并使用加密算法進行加密發(fā)送給服務(wù)器。同時，創(chuàng)建隨機數(shù)pre-master-secret并使用服務(wù)器公鑰進行加密發(fā)送。服務(wù)器收到這個ClientKeyExchange之后解密得到pre-master-secret。服務(wù)器和客戶端利用第一階段的隨機數(shù)，能夠計算得出master-secret。4.握手終止。服務(wù)器和客戶端分別通過ChangeCipherSpec消息使用master-secret對連接進行加密和解密，以及向?qū)Ψ桨l(fā)送終止消息（Finished）。抓包過程：1、首先先確定自己的IP：圖3.24接下來進行抓包。并使用ssl進行過濾，同時登錄qq郵箱。圖3.25對抓取的數(shù)據(jù)包進行分析：首先分析ClientHelloTLS握手過程的第一步就是客戶端發(fā)起請求，主要包括了客戶端生成的隨機字符串(sessionkey)，還包含了客戶端所支持所支持的加密套件列表、隨機數(shù)等信息。圖3.26圖3.28再分析ServerHello服務(wù)器收到客戶端的ClientHello數(shù)據(jù)包之后，根據(jù)客戶端發(fā)來的加密套件列表，選擇一個加密套件，也生成一個隨機字符串返回給客戶端。密鑰交換算法選擇的是使用ECDHE_RSA，對稱加密算法使用AES_128_GCM_SHA256：圖3.29分析Certificate&ServerKeyExchange&ServerHelloDone服務(wù)器把certificate發(fā)給客戶端。圖3.30服務(wù)器返回ServerKeyExchange數(shù)據(jù)包，用于和客戶端交換用于數(shù)據(jù)加密的密鑰，ServerHelloDone用于通知客戶端已經(jīng)發(fā)送用于密鑰交換的數(shù)據(jù)等待客戶端響應。 圖3.31圖3.32分析ClientKeyChange&ChangeCipherSpec&EncryptedHandShakeMessage客戶端根據(jù)服務(wù)器返回的DH數(shù)據(jù)生成DH數(shù)據(jù)發(fā)給服務(wù)器，用來生成最終的pre-master-secret。如圖：圖3.33圖3.34ApplicationData圖3.35當然我們也可以獲取到一些時間信息：圖3.36七、利用foxmail獲取郵件發(fā)送信息：首先了解一下什么是smtp：SMTP是一種提供可靠且有效的電子郵件傳輸?shù)膮f(xié)議。SMTP是建立在FTP文件傳輸服務(wù)上的一種郵件服務(wù)，主要用于系統(tǒng)之間的郵件信息傳遞，并提供有關(guān)來信的通知。SMTP獨立于特定的傳輸子系統(tǒng)，且只需要可靠有序的數(shù)據(jù)流信道支持，SMTP的重要特性之一是其能跨越網(wǎng)絡(luò)傳輸郵件，即“SMTP郵件中繼”。使用SMTP，可實現(xiàn)相同網(wǎng)絡(luò)處理進程之間的郵件傳輸，也可通過中繼器或網(wǎng)關(guān)實現(xiàn)某處理進程與其他網(wǎng)絡(luò)之間的郵件傳輸。

SMTP是一組用于從源地址到目的地址傳送郵件的規(guī)則，并且控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議族，它幫助每臺計算機在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地。通過SMTP協(xié)議所指定的服務(wù)器，我們就可以把E—mail寄到收信人的服務(wù)器上了，整個過程只需要幾分鐘。SMTP服務(wù)器是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器，用來發(fā)送或中轉(zhuǎn)用戶發(fā)出的電子郵件。SMTP協(xié)議的工作過程可分為如下3個過程：(1)建立連接：在這一階段，SMTP客戶請求與服務(wù)器的25端口建立一個TCP連接。一旦連接建立，SMTP服務(wù)器和客戶就開始相互通告自己的域名，同時確認對方的域名。(2)郵件傳送：利用命令，SMTP客戶將郵件的源地址、目的地址和郵件的具體內(nèi)容傳遞給SMTP服務(wù)器，SMTP服務(wù)器進行相應的響應并接收郵件。(3)連接釋放：SMTP客戶發(fā)出退出命令，服務(wù)器在處理命令后進行響應，隨后關(guān)閉TCP連接。首先我們打開郵件的IMAP服務(wù)：設(shè)置->賬號圖3.37在foxmile中取消勾選ssl：賬號管理中：圖3.38然后寫一封郵件，先不要發(fā)送：圖3.39用wireshake進行抓包：用smtp進行過濾：圖3.40在抓取的數(shù)據(jù)包中可以看到發(fā)件人信息：圖3.41以及收件人信息：圖3.42當然我們也能看到該郵件使用的發(fā)送平臺是foxmail：圖3.43時間信息：圖3.44當然也能獲取消息標號：圖3.45Ip信息：圖3.46也可以通過追蹤tcp流獲得這些信息：圖3.47由于我們發(fā)送的內(nèi)容只有數(shù)字和英文字母，所以我們可以直接找到所發(fā)送的內(nèi)容：圖3.48當然我們也可以利用在線轉(zhuǎn)碼工具對郵件進行解碼：圖3.49我們來分析一下這些數(shù)據(jù)幀都做了哪些工作：圖3.50第505幀F(xiàn)oxmail向服務(wù)器發(fā)送EHLO指令，表明身份，我們可以看到Foxmail客戶端的主機名:LAPTOP-2P51UBCJ。第524幀與第531幀,我們可以看到發(fā)送郵件的發(fā)送者和接受者，這個是明文的。第540幀與第541|、542幀,Foxmail客戶端發(fā)送的數(shù)據(jù)大小。第544幀是郵件的賬戶和主題信息。第575幀斷開服務(wù)器連接。八、wireshake圖片取證：打開wireshake：圖3.51要對圖片進行取證我們需要先導出對象：圖3.52獲得分組和主機信息：下面數(shù)據(jù)包抓取了3張圖片，現(xiàn)在我們對sydney.jpg進行分析：圖3.53點擊一下該行，定位到對應數(shù)據(jù)部分：對其進行TCP追蹤流：圖3.54對數(shù)據(jù)進行分析：圖3.55將數(shù)據(jù)轉(zhuǎn)換為服務(wù)器向客戶端的原始數(shù)據(jù)數(shù)據(jù)：圖3.56保存，保存的后綴名要為bin：圖3.57用notepad++打開：圖3.58刪去頭部信息并保存：圖3.59后綴名改為jpeg文件后我們就得到了抓取的圖片：圖3.60圖3.61圖3.62九、網(wǎng)絡(luò)層抓包：首先我們在cmd中ping本機：圖3.63在wireshake中可以抓取到三次握手：圖3.64獲得以下信息：圖3.65圖3.66圖3.67圖3.68請求應答包：圖3.69圖3.70數(shù)據(jù)信息：圖3.71圖3.72分段標志：FlagsMF、DF、未用。MF=1表示后面還有分段的數(shù)據(jù)包，MF=0表示沒有更多分片（即最后一個分片）。DF=1表示路由器不能對該數(shù)據(jù)包分段，DF=0表示數(shù)據(jù)包可以被分段。偏移量：FragmentOffset：0應用層：專注于文件操作，比如讀寫，完全不關(guān)注數(shù)據(jù)傳輸。里面主要有用戶的UID、文件的filehandle和要寫的字節(jié)數(shù)等。傳輸層：用到了TCP協(xié)議，應用層產(chǎn)生的數(shù)據(jù)由TCP來控制傳輸?shù)摹ｋm然叫做傳輸層，但是它真正做的并非傳輸?shù)搅硗庖粋€設(shè)備，而是傳輸控制，真正負責傳輸?shù)氖窍旅鎯蓪?。網(wǎng)絡(luò)層：主要的任務(wù)是把TCP傳下來的數(shù)據(jù)加上目標地址和源地址。（IP）數(shù)據(jù)鏈路層：主要通過MAC地址來發(fā)送網(wǎng)絡(luò)包。十、Linux網(wǎng)絡(luò)層抓包：1、直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡(luò)接口上所有流過的數(shù)據(jù)包：監(jiān)視指定網(wǎng)絡(luò)接