MSN消息包分析及安全提示.doc

你最常用的即时聊天工具是什么呢？恐怕绝大多数读者都会回答是MSN和QQ。不过你可能不知道使用MSN聊天会泄密，聊天内容可以被网络中任意一台计算机所获取。即使是最新的MSN7也未能解决这个缺陷。今天我们就随着softer一起体验一把MSN聊天的攻防战。环境描述：softer所在的公司对考勤和人员办公管理非常严格，公司封锁了QQ等国内即时聊天软件的端口，只能使用MSN和客户进行交流，而且在上班时间禁止员工通过MSN谈论工作以外的事情。一、百密一疏聊天内容泄密：俗话说“初生牛犊不怕虎”，softer刚刚来到公司，他还带着侥幸的心理无所顾及的使用MSN和同学聊天。谁知道一个神秘的眼睛正在监视他的一举一动，每句聊天内容都被记录了下来。这个神秘眼睛是谁呢？他就是大名鼎鼎的sniffer。由于技术主管的计算机与softer的电脑处在同一个子网中，所以他可以使用sniffer这个强大的抓包及监测工具对整个子网中传输的数据包进行分析。由于MSN在聊天内容上是以明文进行传输的，所以只要有点经验的网管就可以通过sniffer查看到聊天内容。第一步：技术主管在自己的计算机上安装了sniffer,启动该软件对整个子网进行监控。（如图1）图1第二步：选择sniffer界面上方功能按钮中的“matrix”对数据包的传输进行监测。（如图2）图2第三步：打开matrix调试界面后选择菜单中的“capture-start”启动监测。（如图3）图3第四步：启动监测功能后sniffer将通过技术主管计算机的本地网卡收集子网中的数据包。收集过程中将打开数据包分析窗口。我们在数据包分析窗口的左下角找到“objects”标签，点该标签才能看到所有数据包信息。（如图4）图4第五步：收集检测一段时间后我们就可以点菜单中的“capture-stop and display”来停止收集工作，并显示出收集到的数据包信息。第六步：sniffer会打开“收集窗口”显示收集到的数据包信息。这里假设softer使用的计算机IP地址为12，那么技术主管只需要在数据包信息中找到出现该地址的数据包进行查看即可。（如图5）图5第七步：在“收集窗口”下方点“DECODE”标签对收集到的数据包进行解封包来查看里头的真实内容。因为以太网的封包方式都是固定的，所以不管传输什么数据我们都可以通过这个“DECODE”标签来查看真实的内容。第八步：进入“DECODE”窗口后技术主管就开始一个个的分析来自12这台计算机的数据包了。在第一个数据包中就能看到softer的MSN号码，证实这个确实是来自softer的数据包。（如图6）图6第九步：继续查看数据包，在分析第三个数据包时候发现了另外一个MSN号码，这个就是softer通过MSN聊天的对象。这下聊天双方的号码都已经记录在案了，唯一要做的就是查看聊天内容了。（如图7）图7小提示：在图7中左边显示的代码是16进制的代码，而右边是软件自身解码出来的内容。第十步：继续往下查看，到第五个数据包时就出现了久违的聊天内容，在数据包内容154字节的最后出现了“wo kao ni niu”的字样。这个就是softer通过MSN与别人交谈的内容。（如图8）图8小提示：在检测到的数据内容中可能会出现很多个字符，例如“charset=utf-8”，这个说明MSN交谈内容使用的是UTF-8编码。第十一步：继续查看交谈内容，出现了很多乱码。（如图9）图9第十二步：这些乱码其实是中文聊天内容，只是在sniffer中无法将其正确还原而已。要想看到中文内容需要我们进行如下的操作。首先将数据包左边的十六进制代码全部复制出来，只复制十六进制代码不复制右边的乱码。第十三步：下载一个解码工具，这里推荐使用WINHEX，他是一个很不错的16进制文件编辑与磁盘编辑软件，该软件文件小、速度快的特点非常适合大众使用。WINHEX小档案：软件版本： V12.3 SR2 汉化版软件大小： 1003 KB软件语言： 简体中文软件类别： 免费版应用平台： Win9x/NT/2000/XP下载地址：/softdownload.php?id=3688&url=:8181/down/hap_winhex12.3sr-2.rar第十四步：启动WINHEX后选择建立一个新的十六进制文本文件。然后将上面复制的代码复制到这个新文件中。复制的代码如下4d 53 47 20 35 37 20 4e 20 31 36 30 0d 0a 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0d 0a 58 2d 4d 4d 53 2d 49 4d 2d 46 6f 72 6d 61 74 3a 20 46 4e 3d 25 45 35 25 41 45 25 38 42 25 45 34 25 42 44 25 39 33 3b 20 45 46 3d 3b 20 43 4f 3d 30 3b 20 43 53 3d 38 36 3b 20 50 46 3d 30 0d 0a 0d 0a e5 92 b1 e4 bb ac e5 ba 94 e8 af a5 e6 89 be e6 97 b6 e9 97 b4 e5 8d 95 e8 81 9a 20 e6 89 be e7 8b bc第十五步：在复制时WINHEX会提示我们选择复制文本的格式，由于上面我们已经分析到MSN交谈内容使用的是UTF-8编码，所以选择“ASCII HEX”编码即可。（如图10）图10第十六步：将复制了代码的文本文件另存为txt格式的文件，例如保存为111.txt。然后将111.txt打开就可以看到恢复出来的中文聊天内容了，原来softer和别人交谈的内容是“咱们应该找时间单聚 找狼”。（如图11）图11技术主管掌握了softer的聊天内容后，对softer进行了严厉的惩罚。一脸雾水的softer怎么也不会想到鼎鼎有名的微软公司MSN居然如此容易的就将聊天内容泄露出去。二、万无一失聊天内容加密：一个偶然的机会softer发现了技术主管计算机里的sniffer，终于知道为什么自己的聊天内容被主管轻易窃取的原因。不服输的他决定对MSN聊天内容进行加密来对付sniffer。这时他想到了一个加密工具SimpLite For MSN。这个工具提供了 2048bit字符串长度加密功能，能为MSN的交谈内容提供良好的隐蔽效果。SimpLite For MSN小档案：软件版本： V2.1.6软件大小： 3407 KB软件语言： 英文软件类别： 共享软件应用平台： Win9x/NT/2000/XP下载地址：/softdownload.php?id=15529&url=:8181/down/SimpLite-MSN-2_1_6-en.msi第一步：双击下载的Simplite进行安装。（如图12）图12第二步：进入simplite配置向导，进行加密设置。（如图13）图13第三步：选择网络连接方式，有四种方式提供给我们，依次是直接连接，使用SOCKS4代理，使用SOCKS5代理，使用HTTP代理。第四步：设置你需要加密的程序，这里选择MSN。（如图14）图14第五步：向导设置完毕后就需要我们添加加密所需要的钥匙了。点任务栏中的“红色MSN图标”，开启密钥设置向导。（如图15）图15第六步：设置自己的加密类型和加密密码后软件会生成密钥。（如图16）图16第七步：软件会将生成的密钥显示出来，我们只要在MSN会话中使用这个密钥就可以实现聊天内容的加密效果了。（如图17）图17第八步：每当你进行MSN聊天时任务栏上的Simplite都会工作。当然如果你聊天的对象没有安装Simplite的话，加密信息是无法传输给对方的。会出现“unencrypted,no simp remotely”的提示。（如图18）图18所以说要想真正实现MSN通讯的加密，需要在聊天双方计算机上都安装这个Simplite工具，并生成相应的密钥。不过一旦成功加密使用sniffer这类软件就再也无法监测出聊天的真实内容了。小提示：笔者也尝试着用sniffer检测QQ聊天内容，发现这点QQ做得非常不错。聊天信息默认都是经过了加密。sniffer无法获得真实内容。自打softer使用了Simplite加密了MSN聊天内容，公司的技术主管再也没有找过softer的麻烦，并不是因为他不再过问上班聊天的内容了，而是他再也无法获得softer的真实聊天内容。从此MSN聊天变得更加安全。俗话说得好，有便宜不占是傻瓜，而笔者要说的是，便宜可以占，但要长个心眼儿，小心为妙。不知你有没有无意间发现过未加密的无线热点（AP），现在几乎家家都有笔记本，随之无线路由器也大量涌入千家万户，有些“电脑小白”因为不会设置无线路由器，自己的网可能被别人“蹭”用，这就是我们对于“蹭网”的一般理解。 人家的网络，借来用一下谁能估计一下，在这里有多少台笔记本电脑？TTY_Free_AP_xx（天通苑免费AP），当你找到它们时，你会不会以为这是社区的福利？看到这里，您可能有些糊涂了，楼主到底想说些什么？本文的内容是蹭网者反被“蹭网”的故事，正所谓捡了芝麻丢了西瓜。请看下图：“被蹭网”网络图我们可以设想这样一个环境：现在大功率AP（无线热点）的服务半径达到数公里完全不是问题，我们不对SSID进行任何加密，启用SSID广播，为SSID指定一个非常“正规”的名子，比如这里的“TTY_Free_AP_xx”。当这样的无线信号无意间被你找到时，你是不是会产生一种很想用一下的冲动？室外大功率AP（价格似乎并不贵）请先别着急，我们先来看一下AP后边是什么？AP后面连接的是一台“上网行为管理路由器，”这里我们使用的是一台D-Link DI-7200，其上启用了“端口镜像”功能。什么是上网行为管理路由器？如果您不是很了解这类产品，请点击这里：/pingce/0907/1695957.html封BT封QQ D-Link DI-7200路由新品评测，这篇评测文章比较详细的介绍了产品的各项功能。简单的讲，上网行为管理路由器除了具备宽带路由器的基本功能，比如多WAN口接入、内网用户分类管理、自动负载平衡、防火墙功能、IP/MAC绑定、基于端口的VLAN、智能QoS带宽管理、端口镜像等，它还具有管理主流网络应用的功能，比如网址分类过滤、P2P下载过滤、在线视频过滤、聊天软件过滤等等。我们对DI-7200进行一些设置，封杀所有P2P应用，比如电驴、PPS等；为每一IP限制一定带宽，比如150Kbps；总体思路是仅开放上网（HTTP）和聊天服务，让每个用户都可以上网做基本的事情，但不能占用过多的带宽，最后在DI-7200上启用端口镜像功能。在D-Link DI-7200的另一个端口上我们连接一台电脑，上面运行着“抓包”软件，在本文中是Wireshark。看一下我们能侦听到什么？Wireshark侦听到的MSN数据包默认情况下，MSN消息采用明文方式传输，明文即非加密方式。我们看到两个有价值的部分，即上图中最顶端的MSN帐号和最底端的聊天内容。另外还可以看到，消息采用的是UTF-8编码（charset=UTF-8），只要“翻译”一下就可以还原为原始内容。Wireshark侦听到的MSN数据包在上图中可以看到另一个MSN帐号以及消息内容，因为是英文信息，所以不用“翻译”就直接可以看到内容：“homework homework”。将几条消息编码转换为原始内容我们只是想说明网络侦听是如何实现的，Wireshark虽然可以“解”数据包，不过使用Wireshark进行“钓鱼”侦听几乎是不现实的，因为所截获的信息无法进行有效的筛选。但同时我们也应该看到，侦听“钓鱼”是很好实现的，只要侦听者具备一些编程技能，他完全可以自己写一个程序进行信息筛选，这样对于被侦听者就形成实质的威胁了。我们问一位同事，如果有人知道了你的MSN帐号，而且知道你常和什么人聊些什么内容，你打算怎么办？他说：“那我就换一个MSN帐号吧。”“钓鱼”侦听能否截获我们的MSN密码呢？这似乎是做不到的，但可以截获我们的一部分上网密码，比如我们登录论坛所使用的帐号和密码，这是很容易被截获的。HTTP POST数据包当我们输入用户名和密码登录一个论坛时，实际上是在向远程服务器提交信息，而HTTP POST数据包可以完成这一任务。我们来看一下这个HTTP POST数据包中都包括什么信息，在上图上方的红框中可以看到用户正在登录哪里，本例中是网易社区（Host: ），在图下方的红框中，我们可以看到用户名（_username=fixxxxxx）和密码（_password=rxxxxxxx），全是明文的。在有些网站，用户的身份信息是互相关联的既是论坛帐号同时也是邮箱帐号。我们测试了一下，能否截获网易邮箱的帐号，结果失败，这证明用户在登录邮箱时，所提交的身份信息是经过加密的，但我们可以截获用户的论坛帐号，经过这样一个“曲线方式”我们也就得到了用户邮箱的身份信息。HTTP POST数据包HTTP POST数据包是否容易得到呢？十分容易。对于MSN消息还存在一个筛选的难题，但获得HTTP POST数据