北邮网络及其内容安全 Wireshark实验报告 HTTP协议及攻击分析

1、网络及其内容安全Wireshark 实验报告HTTP 协议及攻击分析姓名：学号： 班级：20132111242016 年 10 月 31 日目录 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 一、 Wireshark 实验过程 3 HYPERLINK l bookmark50 o Current Document 二、 HTTP 协议格式简介9 HYPERLINK l bookmark60 o Current Document 三、 针对 HTTP 协议的攻击分析11 HYPERLINK l bookmark62 o Curren

2、t Document 1. 基于头部的攻击11 HYPERLINK l bookmark64 o Current Document 2. 基于协议的攻击11 HYPERLINK l bookmark66 o Current Document 3. 基于验证的攻击11 HYPERLINK l bookmark68 o Current Document 4. 基于流量的攻击12 HYPERLINK l bookmark70 o Current Document 四、 参考文献 13Wireshark 实验过程安装并打开 Wireshark 网络分析器，并选择要分析的网络（如图所示，本实验 中为WL

3、AN）,双击之后软件自动开始抓包。 TOC o 1-5 h z W/irt 号 h&rk 阿吏令-tFrlf X立4老E） eLi 睡3 生筒分折回 统计（S 电话过 无塔理I XsCD 般凹直农晦 崗禺虺 m 芭T 1 _ 堂巳包更*：兀.i3衣誥百亍.1 Q V -+.：|：曰_亠：.r*戶诂I l*i曲声沁-“T農丈网学习皿；-i“i册催答-邮件却I去正在返行 Vir*dirk2.D l2 0.2-0-?.1-22ping jvxt. bupt. edu. cn3 3 3 clclclCI 一I 一I 一I 一I5 5 5 55 5 匚53 3 3 clclclCI 一I 一I 一I 一

4、I5 5 5 55 5 匚52 2 -MZ 2-.-匚.L -LMIV fI14二- - -1- - - UF8 -o -H 8 B 了 1?1 了 7 11 一1 1 一I.3. 255=32 H-32 -=32 B-=32 0-一 JrWr 复 781昼有32主节的数惟:=2ms TTL=250= 12ms TIL=250=2ms TTL=250=lEms TTL=25010,3.255. 178 的 Ping 统计信宜: ”.懿据包：旦境 住返官惟的估计日原矩=加，fa 4- 4 10,3.255. 178 的 Ping 统计信宜: ”.懿据包：旦境 住返官惟的估计日原矩=加，fa 4-

5、 4 O t) - Q 右！叩诵n彌曲lEttd+41 丘E 田 0 -81WfefeW4-丢失忙h雨芒=1伽比平均=Rm.-开始抓包后登录北邮教务系统，输入用户名、密码、验证码，点击登录（如图）。 登陆成功后停止抓包。4.设置过滤器，过滤从89发往78的HTTP数据包，输入http & ip.src=89 & ip.dst=78即可完成过滤，如下图所示。4 -WLAN立沖（E 瓏旧SSiiS） 袒g SMfTAi筈计（S 电话CO 无疑理i工目匸 第勛凹彳0 E EI |httpLp.ErP=10.8.鮭ip. L=t=10. 3.265.178去J.-;+血.So-urcwD&EtiaAt

6、iocLPOtOVLlL&Ht，i IdlEd厂35611&3610.3.13113910-3-255170HTTP347 POSI /jwLcainAction, do HITP/1.1 (applic.368 217&3799910-3.M5.1Z8HTTP691 GET/renu/s_tp - j sp HTTP/1.13&9 2a17734910.3.151,19910.3.M5.1Z8HTTP695 GET/rienu/mainFnamej sp HTTP/1 1382 2.25341E10.3.1B1.18910-3-255-lZaHTTP6S4- GET/raenu/5_ifte

7、nu.jap- HTTP/1.1383 2.25726310.3.1B1.1S97SHTTP692 GET/menu/left.jsp HTTP/1.1384 2.261S63S978HTTP妙GET/nenu/5_iBain.jap HTTP/1.1458 2.42750610.3.1S1.1S973HTTPGET/dwr/interface/ajartool-js HTTP/1.1473 2.473S2410.3.1S1.1S910-3.255-1Z8HTTP928 POST /dwr/cal 1/ pl a in cal 1/ a j axtool - getiMes-Frame 356

8、: 84-7 bytes on wire (&775 bits)j, 847 打讥芒弓 captured (6776 bits) on interface 0Ethernet II j. Sr c: LitecTiTe_e!s z Bib z 6a (2c: d0:5aeb:b: 6a) g Dst: HuaiilTeezeEl: ad ( 54: J9: df: c e: e9 z ad J Internet Protocol Version 43 Sr-c; 191.8fclBl-189f Dst: 10a3 -2S5t17STrarimission Control PratDcol. S

9、rc Port: 9539 (539), Dst Port: S0 (30- Seqjl. Ack: 1. Len: 79300095439dfce日gad2c5a3b0S朋4590T9.-9.Z. .j. .E0010B34163S9as00400605el0aab5bdBa03aAhfcul.fc j, j fc u fc0020ffb22543朋50c2e997201laf35018爲UPP0030004=bbfeoS3505354202f6a774 c6-F.-P0ST /jwLoBOOS&7596e416374&9Ze546f2Bas54ginAction-do HTT905050时

10、312e31&d6f7J743a206a7778P/1.1.H05t： jlXB06fi742e62757074.2e647S2e636eedSa43t -.Ch Lreaku-lj cajnt.331 C5CTF-I0T2E5MEE5 ECimW 1 H6Z4 aOBEtO曲 565 -已显示 3 杠 档)-已丢痒 CI(0.0*? Elifi文件：BeWt从图中选取POST (发送)的报文，双击具体分析。5. 该软件可以将报文拆分成 OSI 七层结构的一部分，从上至下依次为物理层、数 据链路层、网络层、传输层、应用层。而最后一个是HTML的表单(HTTP报文的 正文内容)，包含我发送的数据

11、。込 Wireshark 分组 356 - imhark_pcapng_3fi1C9C7F-D37C-47F3-BE20-55B5C25AECE5_20161. 一 XFrans 35G: 847 bytes on wdire (6776 bits)j 847 bytes captured (6776 bits) on interf; Ethernet IIj. 5c:; ILiteonTe_eb :8b:6a (2c :d0:5a :eb:8b:6a)j Dst: HuaweiTe_ce:e9:ad (5Internet Protocol Version 4Src: 10-8.181-189

12、 Dst: 78 Transmission Control Protocolf Src Port: 9539 (9539)f Dst Port: 80 (80)f Seq: 1Z Hypertesrt Trans卡色ProtocolHTML Form URL Encoded: application卡口m-urlencoded血:4 T沁：Jfl. S. 2S9 Jji）airSTFTTF/L 1 fs卫出価*吋云护曲sjs曲!泌/CLqn |MeLp具体分析，物理层的信息如下图所示，包括编号、长度、到达时间等等信息。数据链路层的信息如下图所示，包括发送方物理地址、接收方物理地址、网络层协议类

13、型。Wires iark -356 - wre3hflrk_pcapng_3fi1C9C7r D37C-47F3-0E2O-55E5C25AEC：50161. 一 匚 X-name 3St: SA7 bytet on wire (&776 bitj 847 bytet captured (6776or Intel& Ethernet II, Src: LiteonTe eb :8b:a (2c;d0;5a:eb:8b:6a)Dst: HuaneiTe ce:e9;ad Destination: HuahielTA_ce:e9: art (54: 39: df: re: e9: ad)Sourc

14、e: LiteorTc_c(2c:dS:5:eb:Sb:6)Type: IPv4 (0 x0800)3和:- T:s&: 3： 116586 - Stwfg.- J fl. 5.：S9 -恥垃he甘瑚r 1卜吃7知3办鈕甘g 此 劭吓拦.i怎曲元；?曲卫r血販;亦a/CLoee |Help网络层的信息如下图所示，包含 IP 包的各项内容。-name 35&: S47 bytes on wire (&776 bits 87 bytes captured (6776 bits) or inteiEthernet IISrc : LiteonTe_eb ;6b ;6a (2c :d0 ;5a ;eb

15、;6b;6a) j Dst; HuaiweiTe Di-Fferentinted Services rield:(DSCP: CS0 x ECN: Not ECT)Total Length: S35Identi-Fication: 0 x6859 (25713)Flags: 0 x02 (Dont Fragment)Fragment offset: 0Time to live; 64Protocol: I CP (6)Header checksum: 0 x05e3 validation disabledSource: 1回一呂一1呂1一139Destination: 78Source Geo

16、IP： UnknownDestination GeoIP: lAiknownJfb. : 356 J T:ss: 2.11686 Squtce: Sff. S. Jffl :E9 ”：ff-rSTsc FTTF/. 1 |加反元EfftTjZAjmTiinrTiirFsm血胡二 t 立 |l：eLp传输层的信息如下图所示，包括TCP包的各项内容。丄 Wireshark -分组 356 - wireshark_pcapng_9eiC9C7r D37C-47F3-BE20-55D5C25AEC：520151.- 匚 X-name 35&: 47 bytes on wire (&776 bits S

17、47 bytes captured (6776 bits) or intei thernet II Src : LiteunTe_eb ;8b ;6a (2c ;d0 ;5a ;&b;Bb;6a)Dst; HuaiweiTe ce;e?;ad 1 Internet ProtocaL Vert ion Src: 10.3.1S1.1E9J Det: 7呂& T-ansmissi&n ConTrol ProtOC&lj Src Part: 9539 (9539)t Dst Port: 80 (% Seq: lj Source Port： 9559Destination Port: 80Stream

18、 index: 3TCP Segment Len: 793Sequence number: 1(relative s已quEn匚已 numberNeict mequente number:(re!stive qunc numbec)Acknowledgment number: 1(relative aizk number)Header Length: 20 bytesriags: 0 x018 (PSH, ACK)Window hize value: 25.1Calculated window size: 251JVJirdoH size scaling factor: -1 (unkn口?i

19、n) Checksum: 0 x5-Fb-F validatior disabled JUrgent pointer: 0SEQ/ACK analysisSo. . 356 J T:sf： ?. fJfiSSP Source: JA S. Jffj. ：S9 J P： JZTr -jct Transfer ProtocolPOST /jwLoginAction.do HTTP71.1rnHost: jwxtbupteducnrnC onriiection: keep -alivern 匚 ointent - LengTh: 47rnCache-Control: max-age-0rnAccep

20、t: text/html J a ppi icat ian/xht nil-a-xrml)a ppi i cat ion/ semi; q=0.9 j iniage/webpj/jq Origin: http: /ji-oxt btipt 已日 j 匸nr 仃Upgrade-Insecure-Request5： 1rnUser-Agent: Mozilla/5.9 (Windows NT 10.0; POW64) AppleWebKit/537.36 (KHTOL, 11Content-Type: appllcatiori/x-i.-form-urlen匚odlednReferer: http

21、:/jwxt bupt edj匸 n/rnAccept-Encoding: gzlpj deflatern卫匚匸apt-Language: zh-CNj.zh;q=0 8r.nCookie: Hni_lvt_41e71albb3180ffdb5c83f253d23d0c0=1477554299,1477556807,14777541 rrFull 广己口口 己 st UFtT: JttH：bupt. edu .匚自匚 tlun.doHTTP request 1/3Mwxt r己ciu己st in franE：爭6S1”fc. : 35& - fc. : 35& - T沁：獅 Szz:薛电 诳：

22、的 -临丸尿右決曾J丿了尼宠j曲 廿盟 記賞W/：. 1 f耳反倍;绞丿殳-丽心注宀珀叱阳酬/CLoseHeLp表单内容如下图所示，从图中可以看出，表单中共包含四项：type （类型）、zjh （用户名）、mm （密码）、v_yzm （验证码）。后三个都是自行填写的内容，比如 这里用户名为 2013210640,，验证码为 f69p。打 Wi reshai k 分粗 35S 咄 resh a i k_pcapn g_3S1 C9C7F-D37C-47F3 - E E 2O-SSB5C25AECE 501151. - 匚 XFrsms B56: 84-7 bytes an wire (677&

23、bits)7 S4-7 byte；;匚ptured (6776 bits) on inter iheriEt IIF Src : -iteonTe_eb;Bb;6fl (2c;d9 ;6a)f Dit; HuaweiTti_ce ; e9; ad (亍 Internet ProtoccJ Version % Src: 10.3.1S1.109 Dst: 7Sransmissi&n Control Pratocol, Src Port: 9539 (9539), Dst Port: 30 (80)j Saq: lt 血Hypertext Tnarsfer ProtccolHTM_ Form UF

24、tL Lncaded; dppliLation/K-www- form-urle口匚odedrarm item: rtypeM - ,r55ol-crm item: zjh = 201B210&10FF:rm Item： mw = Ffu S，rFerm item; ,rv_/zm, - f69pJw. .j 左z:总孟能* Jbtjrfj.- 2l ff. J?J. * du芒dbjjtiss/x-xrJBelpCloseBelp直接分析 HTTP 报文的正文内容部分，也可以发现这些信息（明文传输），如下图J - X文禅（0 暮祠E 畑型 員宜I 裱 g 分私I 射+迪 电话凹 无族血 工宾

25、dl醉朗凹4离曲q 总壁不曼二三罠Ihttp 觎i ip. sfc=JO. B.LSI. 1B9 M ip. d=t=10.3.S5.17B”衣. +Ho.丁 ie亡S-sjrceTrotMclLflbjtliInf-?356 2.11658610,8.181.1893.255.178HTTP84? POSi /JwLoglnAction-do HTTP/l.i (applies2.1763792.1773492.25341 &2.2572632.2&1853458 2.4275864-70 2.47382410-8-181.18910-8-181.1B910.&.1B1b1B910.3.1B

26、1AB310-3.131.18910,8.181.191&-8-181.189781-0-3-255.178L& 3.255.17B1-701-707878HTTPHTTPHTTP HTTPHTTP HTTP HTTP69169569-1692&9460S928GET /iwnu/s_top. jsp HTTP/1.1GET /raenu/mainFrame.jsp HTTP/1.1GET /iftenu/ 5_rie nu t j sp HTTP/1.1GET /nenu/left Jsp HTTP/1.1GET /rn&nu/5_mainHTTP/1,1GET /dwp/lnterface

27、/ajaxtMil. js HTTF/1.1POST /dwr/cs11/plalntall/aj atoal.getF&_钳 Form item; hzjhMl = M291321064&HKey: zjhValue: 2&132196402e0 02f0 阳0003100J2003300540帀3563332e0 02f0 阳0003100J2003300540帀3563333366323533643233643063303d313437373930M3235313D2&4a5345535349af4e49443d6162637a4d6937755f闊3779迄66727750377a47

28、76Qad軸74797055Jd73736f药7a砧533d|32J0U!32313E342&6dGd2d67578e30313S2&765f797 a6d3dS6J639705cB3f253 d2Jd0cO-14779042 31; )5E5SimiD-a &czMi7u_i 占 i=wPtyp=5SQ &z jh=B miwFj8&v y讣二柘勺pVJ-Tie (urleiwfldtiMafi .Tdlue).i LO 丰节?2GV.F-.：託 - Ti. : ；.? I ./.存：；.； It-rl . Zizult还可以选择将该报文信息导出。21 .记事本丈件迥艳式d 査吞iW 務助凹

29、Frot ：:： LHTTPFrot ：:： LHTTPLength InfoE47 POST /jvlos：Time356 2.116586Sourca10. E. 181. IS 9Dsstination10.3.255. L7EFramE 356: B4? bytes cn wire (6?76 bits)., B47 bytes captured (.6776 bi ts) aninterfa匚巳 0 Ethernet II) Src; Lit&onTe_eb:Sb;6a (2c:d0;5a:eb:Eb;6a)3 Dst: HuaweiTe_ce;e9;ad (54;39:df:ce;

30、e IntarnEt PrDtacol Versicin 4n Src： 10. Sa 131 FramE 356: B4? bytes cn wire (6?76 bits)., B47 bytes captured (.6776 bi ts) anTransmission Control Protocol, Src Port： 9539 (9539), Dst Port： 30 t80), Seq： la Ack: la Len： B Hyp已rtEzt Transfer Prot口cdLPOdT /jwLoginAction, do HTTP/I, LrnHost Z jwxt. bup

31、t- edu.匚nrnConnection: keep-alivernContant -Lang th: 47rnCa che -GDntrn 1: EtaK-age-()TriAc cep t： teKt/htiril! appl icati on/1 xhtml +xinl3 applicatian/sinl: q-Qs 匕 lmage/webp! q=0B 8rn Origin： http：/jwxt. bupt. edu-匚nrn.Up Ea de -I nse cur e-Keque gts: lr nUsBr-AgEnt: Mozilla/5. 0 (Vindaws MT 10.0

32、; KW64) AppLeWebKit/537a 36 (KHTHL. lika Gscko) Chz Content-Type: application/nforrrurlencodedxnReferer ： http:/jwxt bupt已du. cn/rnAc cep t-Enc oding: gzip? deflateVvnA匚匚spt-Language : zl_CN, ih, q=Cl 8rnrequest UKI: h.ttp： / jwxt bnpt edu. cn/jwLoginActirequest UKI: h.ttp： / jwxt bnpt edu. cn/jwLog

33、inActiaru do! request 1/31request in frsure: 36BHTML Form UFL Encoded; appLication/a-ww-forirnLirlem:odLedHTTP协议格式简介超文本传输协议（HTTP）是一种基于ASCII码指令的指令-回应协议，指令和 回应协议的基本信息结构如下图所示。折令泊息回应詰息请求行空口 tf可选请集正文采榔空口和可选回应正玄HTTP 的请求类型如下表所示 用于向服务器提供数据。实验中选取的是一条 POST 类型的 HTTP 包，型ftPUTHLAIPOSTPATCH折令泊息回应詰息请求行空口 tf可选请集正文采

34、榔空口和可选回应正玄HTTP 的请求类型如下表所示 用于向服务器提供数据。实验中选取的是一条 POST 类型的 HTTP 包，型ftPUTHLAIPOSTPATCHCOPYMOVEDEU：TEUNKl；NUNKOPTION肤取CEIL所描主的文档获塩UR.所指立蓟文档的标龜（回应不包舍正文）初蔡爭務擬供数堀提ft URL所宿足的斷的或替拱宜档（禁止便柑去了改变玄档，向URL所指定的文梢提供羞异（禁止快用）骑VRL所描定的文档厦制對标鬆所惰定的文杵琳止快用） W VEIL所樹定的Jt捋議卒赫豉所市坯的文件f禁止M） 刪除URL就指定的兗档（鸞止槌用）庄URL中创進一牛楷向時宦文件的槎接.轻接密在

35、标罄中箱明（抿上徒用 在URL中務摩帮定的橇接（索止使用） 働问服务黯礬些迓项启町用的当然，有请求便会有回应，也会有一系列回应码与之对应，在此不列出了。HTTP 消息头部的格式如下图所示。空口行可堆的冋应正文券令/回应清息头部搐式一舰头部ifl空口行可堆的冋应正文券令/回应清息头部搐式一舰头部ifl求嶼回应头都实悴头部一般头部包括关于请求或回应的消息；请求头部用于其你去消息；回应头部 报告关于服务器和被请求文档的返回信息；实体头部包含的是关于消息正文所包 含的数据的信息，例如编码的类型和数据的长度。三、 针对 HTTP 协议的攻击分析一般对于一个协议的攻击分为四类：基于头部的攻击、基于协议的攻

36、击、基 于验证的攻击、基于流量的攻击。在 HTTP 协议中，基于验证的攻击和基于流量 的攻击最为普遍。基于头部的攻击由于头部简单且任何无效的指令或回应都被忽略了，因此基于头部的攻击不 是很常见。由于客户端（浏览器）和服务器都使用自由头部，而且包好了几个能 够控制数据解析方式的选项，因此 HTTP 协议的确出现了一些值得注意的问题。 Web 服务器和浏览器的早期版本易受到缓冲溢出攻击。有几个攻击能够通过发 送过长的指令来占用固定长度的缓冲区。今天更大的问题是关于客户端和服务器 端的可执行能力。Web服务器可以处于另一个程序的前端，从浏览器直接向另一 个应用传递数据。这位攻击者提供了使用 HTTP

37、 协议向另一个应用传输攻击的机 会。另一种头部攻击是使用 HTTP 协议来获取不属于任何超连接文档集合的文件 攻击者可以为了某些文件而搜索一个网站，这些文件有时是通过在 URL 里包括 一个文件名而默认被留在服务器上的。对于攻击者而言，这些文件通常包含的是 无用的信息，但是有时这些文件可能包含验证信息或其他重要数据。一个普通的 配置错误就可能吧 Web 密码文件遗忘在文档目录里。如果攻击者能找到这个文 件，他就能够使用公共域攻击软件获得有效的用户名和密码。基于协议的攻击HTTP 协议很简单，故几乎没有基于协议的攻击。基于验证的攻击基于验证的攻击是 HTTP 攻击中最常见的类型。在 Web 服务器中使用好几种 验证方法，且许多被应用实现，但不被 HTTP 协议直接支持。在 HTTP 数据包种 验证数据作为载荷发送。HTTP协议支持验证来控制对存储在Web服务器上文件 的访问。Web服务器包含许多文档，他们被存储在文件中，而这些文件能被组织 成一系列的目录与子目录。 HTTP 的验证设计要控制对基于用户名和密码的目录 访问，对目录中文档的访问可以基于浏览器的 IP 地址。从安全的