网络空间安全概论 实验6 网络监听实验样例1

打开网址,进入Wireshark官网K载

Wireshark是非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。

常用于开发测试过程各种问题定位。

4.7抓取ping命令

4Wireshark•页

InoxitOutput选啖

黑

接口TrafficLink-layerHeader2即长&®：4E(玄时JI

＞本题连接*8Ethernet1Stt认2

yWLANEthernet0KU2

tetlt：fe80::c42c:69b7:9efay»1e42001:da8:100d:23::159e.|l11

10

>VMwareNetworkAdapterVMnet8.Ethernet0

＞东博连接•10.Ethernet0

3：JSS®*5.Ethernet0

Re连擅y.Ethernet0

>VMwareNetworkAdapterVMnetl.Ethernet0

本电车It*3.Ethernet

PlEnableDrc«iscuous>odegallinterfaces:aTntorf«*■««,••

Capturefilterforselectedinterfaces:fM|能八浦/仃孑客

开始ClosoHolp

I）确定本机的IP

』i

MHMtaxeI*

ie.4.n.mMM«••$Mn(MK)Ack«l5e・R

:M.

M.m=M.a.rt.miei.7).u.ir2MSMn•■|MK]Mq-1Ack-im?7WWlfVXRl«*-«

MwuI”"Iw911•$”'MilI-A

MM.nis”•nvnif”

星S

MM.24t9:B*<4：«C17：«lf<.91IS”•MilI—)•

M.

MH:3:2Od:21：：LM>C:^M>0:24dB:_S9tm>7♦nam

M.2Mv：>k：A4i4:M»：.9iIM17♦i«MlLOTHM

MM.逆

f.71.71118.I1・.M9.2WS〃IS"•

:M.・

M.1*1.7).44.1711・.，.八.，11I4MM•51471(MK]7*A<k«ltfln>MIZL

MS

M,E441IS”,MilI—IM

mM.B9)lt$"•JM4M

MM.〃lt$3>•nt»MIf”

24tei>X!4414:MOT:,S14/IS”•1«M1

MM.E

M.117.71.1A4.6119.4.H.MIQn91s•】G”I—)•

:M.le.i.n.m1iIS”•2MMlewM

14MM♦\un(MKlteq-im9IMAck-1Se・12If1・

MillI。.，.71.)11101.71.2.1〃M%1471•W(MK)5«q・lAddlWMM

，,—1Ntytncc-ire《Ab〃，yt・，dwclbits)8LM«rfK«\o»vi«\>r*.(74«2>mto*«cCMACMMOOO)*id•

ethefMt11,Sr<tlRt«l<0r_M：/b：44(d>:0*1:RviJiM46：M：<9yaxg

lufertwtProtocolWrtUn4,W<：ie.4.H.2il.811

UwrEQoco】.，Rxt:1«5>7,CXIRxi91»

(Uta(MMF

ca妙Z

<9(O

4U6aIMMJban«o"G

wdX

“g

91r

J9Meleg

4lM

W・444bEK

”■；MMI•2NI>OMM)

2）选择菜单栏上捕获-＞选项，勾选WLAN网卡

3）可以看到wireshark正处于抓包状态

31C:\WINDOWS\iy$tem32\cmd.exe

4icrosoftffindows[版本10.0.19044.1645]

(c)MicrosoftCorporation.保用所有权利.

\Users\LLD>ping

正在Pingvwv.a.shifen.con[6]具有32字节的数据:

来自112.80.248.76的回复：字节=32时间=17msTTL=56

来自112.80.248.76的回复：字V=32时间=15msTTL=56

东门112.80.248.76的回复：字节=32时间=23msTTL=56

来自6的卜"复：字W=32时间=37msTTL=56

112.80.248.76的Ping统计信恩：

数据包：已发送=4.己接收=4.丢失=0(0%丢失3

住返行程的估计时间(以也杪为单位):

最短=15ms.最长=37«s.平均=23ms

：：\Users\LLD>

4）执行需要抓包的操作，在emd窗口下执行ping

761191。7•，色803211KFP157DestinationmreMMble(Portunrexh4ble)

】06.皿“3192.IM.10.311ICFP^9DestinationmreMMble(Portunreachable)

76662106.889084021113157De»tirwtionmre«ch«ble(Portunreachable)

71.JII1JAM./IV，■(ping;iniMvmwvi,(r^piyin八)

76871106.)22274112.8e.248.761174tcho(ping)Myid«exeeei,seq-2e/5ize.ttl-5e(requestin768W)

77413109.)1268211674Echo(ping)requestid.exeeei,•cq・21/S”6.ttl-64(replyin77455)

77455109.)2778161174tcbo(ping)replyid@xeee].$eq-21/S)76.ttl-56(requestin77415)

7S316110.)28771ie.4.71.211674fcbo(ping)rvqu♦itid^exeeei,，e・2〃5632.ttl-64(replyin78347)

78X7110.)519396W.4.71.21174£<bo(ping)eplyid・exeeei・$g・22/“”,tthse《roquetin78316)

KFP74Kbo(ping)id・ex0eoi,4g・23/$S88.ttl-64(r叩lyin78977)

ICHP74febo(ping)r»plyid-exOOOl.$g・23/M88.tt)-56(rpque%tin78W9)

2137111.66IM)6Z101.87.)7.7219.4.71.^1113157De%tirwtionmrexhable(Portunreachable)

112.9924^0192.1M.1«.J19.4.71.^1113/eoestiiwtionuwedchable(Portunreachable)

24“112.1*/223・74・115・1。211KM>157DestifwtiocmreMhable(PortunreMhabU)

斤-77413：74bytesonwire(wbits),74bytescaptured(592bits)oninterface\Device\»»rJ7W3BO6-9O2F-4OCC-9568-C5BACD240OCO),ide

EthernetII.Src:IntelCor_e4:7b:44(d«:3b:bf：e4:7b:44),(Ht:RuijicWe_4e：b4:f9(80:O5:8«:46：b4:f9)

InternetProtocolVersion4.Src:184.71.211,D$t:6

5）wireshark将抓取到相关数据包，在过滤栏设置过滤条件以避免其他无用数据包影响分析，如

ip.addr==11andicmp0

4.8抓取QQ聊天发送的图片

D将要抓取的图片发送给任意QQ好友

2）发送的图片是jpg格式，所以图片的16进制编码头几位为ffd8ff,通过追踪TCP流以及文件头

编码的搜索，找到：

3）找到对应的数据流，追踪TCP流

4）将其显示为原始数据

2B0MMWtOMM»MA4?MWll^4>l»17W>2Ml»7M17t4ttc5O»M>%57O2»446nMl557VJWI2MO)OcM4»14MlU«^lMMl»Md：aflM«?»Mdl*f126<4«^2Mfl!a7M4<«MWUffbc4<l>Mtt»VMMV«M2«OlMt**>«

””.，《Mn”e<Z-1〃543<nMua»,&)Xt>fM»«,|〃24A”VWHMIIM”■"Md*”““VMMfMM八X4M7皿~M(dMX<Z)y皿­

S7M>MJ»MMMMMMM4e>t»»M5>MS99«24>in«56>M>m>n>l»d>eS>e2>0»«e«1l«464M)MMJ2Mb«A4«M?l>Me»«»«»«*M»144SMMlM/r4a4MM7)e4»)llMMMM«MOM4^144MeS>l»er>4b«d>eJ>4b»14<

47to7MM<U74)eM^%tSMMlMWlllMM45»Mf«ll7M«IM>7n477<M17)t4^4|7MMi4AMM)M7A^tt»4l4ASMl4%»»lMA)%l'.nM)JMMM*2Mm4MU64<An)S6Mni«)VM)M>l)»UKf6«MX«X4MIMU

/AiM>9>9>4>i>u5eiM>m>n9ij<iM>>e2»e>M*>iUMMsitmi/iMbeeA；r«4r4(o995«MMt>u)Me9m»rcMMiiwiM*<*tf^>9)jvMd>»fiMiifmhMC4t»M4jM2M/2Wje>e«7VM4M>K4r«*n^(i<dMM

MbcK**MNdlMf<M7rf>«M7皿l»?W7H51O»M>M4Q>M>fXWlfXHMH

“"*X"""“"”X“”3，X“”"”“”V”M"""”“3，“"3,3，XM3，““M“3，“X3，”“M3，“XX3・3，XM3，“M“"“X“""W"""X““"“"“3，““"3，X“3,3，“MM3，“X3，

I、1♦10"”WM1…HOMeMMaMttMMMMMM»如。1MMMMMMeMaMiNW1O4・》M"M?mnaMMMM•田>«>ef•1。)188MJI-“，1121*3m”1

Mn»14M?blS21AaKiaUUM27«<ei$)M2*2^MS)hi44963M?MXAMM4MMmWMM4b»MMnMM«))M5n)MnieeN«.«l»MMM9«2*MWMMMMMm«il>e121MMlMllMU2^$imV14»ni$2U

?!Mbl«Jlk17Mlttel^fl>4l4aMM>M6n>f<c«O0!lMMMM»OMnMMJII«MHI»ffd4OMc«»lOM2>milMWM»cM4mi)MMtf7au»*«eWI4<5f27>cc»74lU<44a2«M|ff64C«*5f?fllbM«MO9J*7UfM»

p，na

n,K33》gs"ecmA<3“zn««n”a〃—《t>S4eo3<f,x,b~4"〃・uv9«bwi<.WMJ3xN,23eui(a9ef“m«c4d2«tiM>2n>〃gMc44^m*M<r**0<gxeM29”

田gud,f皿4MlM6dMM3bMM

，小〃MM9M41ItCaWuMMCl,"/W4>N.MCb,0M*«rMM«Mc444»(n<b«e/»WWAM4«e](A)b,,f”4MM乂592N*M4lb«f»14W*M444].X,Mm^He,

•4U>Mb»MMuav*mMr%ed4a«SdcbWWWc1•田*17am-，Z41MM71|HMtFSgWFdvM.MCWFe”“mil311>6f<QXMMMel9iW«%7»W41

*56<yMn)41A4<»^Me5«>M^?M7cr«)7WIC451»e«4««77tW74iH?l?)M<eeM«n/<^a415e44M<MI»ei)S>«<f5«9<«M5M<4Mee»^<tl2Mf7»cWcMMc*»<0547CM2495i492)^M(

依MeW9T»«S”“fIMMXMc*M%，W,川V>M«10>9~MOdJ9M44,>«,W'IF〃10力Z”ARXf”33M0»e»4*，4dn«v9)心Xto99Ma7VM4M4b«464

“RZtXW4”ldl«M1》nCJ・MX>，)l««K54«1eW「Ze(“iyMy5Me(Hfe“ef-ByM，ZMlaS，，，；aM34at>m，R”Be«*1b5<*0M，〃4bt«WM49>t4Jl«2<<4MMdn«H<・

«UWI721MCOTM»<U*««*44.MAMdM.bccXliaMb7ys­〃九3BMe.lMUMJW'db4M4,%M4i”Mn4m皿

4W««5<Ml"me~2*a”M9M2gM40«nM4««,«M«HeW«MMAMH4MbX*$«<kdM^Saia皿6

■<<M9W»b»dM"MA4eK3”・mdl4acJb7dM^*75sMm7nbMmOMMMC*«ei”《cMJM47c3nt，》MnOcMC4b«“<MtM01"”,1WU^»<・"“〃M21焯21・EI<«444M4OU?X14

MIMcfcf

d-Wft-flTMrf*3MMMm>«""X«UAjgwat、JUlMAaM13aMkMMAMAtefR•〃6■UU4d»4Bgr^W6UMAMdMU5kaM^TbMbl

，1M4Mx5H644«t485«k4bMbD火，<Mta，16“<M9MbMb〃，/MMe5M«b*M4X«6M>McM4M«"yQ338”rMn4XZM43，X・l・Et5M>7f“2Z)<-XM«，M>Mf

■一“I，・«■—・■・•・，・AaA—・3・・1«■-»•1MU1^1'・・・1—•一■4,-<S，S—・*K・a•，▲■・・，・a—<,aX%**WW4«A»AAM««**4A«a-A«^»WXY・d，0・・«,AM*M10•，，4C・・l、a,fiI，，，，

•“.J♦”••，»w*W，“•.

■4"<»M>............▼J5.MMM4：：<

・♦i]・DFTS

Hit”n«*---«■C2M«

7）保存为jpg格式到本地

8）打开图片，发现已经完全恢复

4.9抓取QQ邮件

QQ邮箱是网址是基于HTTPS协议的，HTTPS能够加密信息，由HTTP+TLS/SSL组成，在原本的

HTTP协议上增加了一层加密信息模块，服务端和客户端的信息传输都要经过TLS进行加密，所以传输

的数据都是加密后的数据。

TLS/SSL简介

ClientServer

ClientHelloServerHello

Certificate

ServerHelloDone

CiientKeyExchange

[ChangeCipherSpec]

Finshed[ChangeCipherSpec]

-------------------Finshed

ApplicationData<------------------->ApplicationData

握手过程：

1）初始化阶段.客户端创建随机数，发送ClientHello将随机数连同自己支持的协议版本、加密

算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密

算法给客户端。

2）认证阶段。服务器发送ScrvcrHello的同时可能将包含自己公钥的证书发送给客户端Certificate,

并请求客户端的证书CertificateRequest。

3）密钥协商阶段。客户端验证证书，如果收到CertificateRequest则发送包含自己公钥的证书，

同时对此前所有握手消息进行散列运算，并使用加密算法进行加密发送给服务器。同时，创建

随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个CiientKeyExchange

之后解密得到pre-masler-secreiJ艮务器和客户端利用第一阶段的随机数，能够计算得出master­

secreto

4）握手终止。服务器和客户端分别通过ChangeCipherSpec消息使用master-secret对连接进行加

密和解密，以及向对方发送终止消息Finished。

Wireshark抓包实例

1）发送QQ邮件

Siam*群叫牛

&收信I,j]

收4人1cMrferer-：

«tn«（io9）添t*8添tOIK退I»8!Mi8

*

aam（66）

“净腓“超大环"或句.更

♦的⑴i.HH-rExtt-i-awe•sAmselrai?

IEX02190499+UUngDl

境收一（4）（E）

■蚓的灾”决

注也”

日历!记♦本

2)使用wireshark进行抓包，并使用ssl进行过滤。

i5i2.in/n114.117.J21.157ie.4.71.Jllviwi.aWA*tHc«tien

”■W.4.M.J11“CS1.117,3ItSvl.2SMCH^tN»11O

IM2.W1如)2t.a49.24).Ul”L4.4,211”4“7X7ArpllcaticnOtat4

1〃2.»657n19.4.7|.?I1HI.2MAf9licatienOct«

1RZ.”，Eie.4.n.MiVLSvl.2

1|57nsvi.2IM51IFI883

itl2.17WM7ie.4.n.m3.W>.”lTIW1.2WArpHcAtionDtft4

Itl2.JB7V191M.IU.121.1W11nsvi.2274Data

itS2・WR】91U.112.221.IS?nsvi.irnplicationZh

1•»ie.4.7t.?nnwi.a14MWrwr*11。

1912.4«»21».m.H7.U2i».4.n.aiinivi.jUMcertificate(TCFte0wtofarou)

1912.4«1511».251.117.142ie.4.n.jnILW1.1UfWvtrKeyticMf<e,werMelloJooe

1972.4112191•.4.71.211M.>51.117.n$vi.2IWCHrMKeyficM<<e.(Mr<eCipherspec,(nerved3s

182.411MJ11M.asi.n/.ujVLVrl.3Mlp】h*tUnDMt4

2W2.5WM4Sa.251.117.142i».4.n.anVLW1.23mx”18flckat.ChanaClpMrtncryptc4MrtMfte

M>62.5emiM.251.117.M211nwi.a)WAf91ic«ti«nW

21t2.764O46>6>.177.«9.I91io.4.n.9nnwi.a11>)AppHcMicnZU

cipherSuite:(CAfASf)(M«*0

Ciphersuite:Tl%,AI«_12a_GCM,«H4UM

cipherSultt:ftS.AtS_a56.0CM5HAJB4(•XlMJ)

CipherSuite:■ytMAZ-KXnf-SMQS6(9V1M3)

CipherWit♦:TlTM_Afe1一3n6g8b)

CipherSuit«:1lA_t《DHtJC%AJ<1Ft1.M，_l；,.OCM.WUX《•《<•”)

CipherSuite:(eic«2c)

CipherSuite：tlS_KDMt_«A_W1TH_Af$_r6_<KM_SMA)S4《64•刈

CiptwrSultt:“£!《DHl.lCtnA/llM.《》UCHMej<KVlE.W«UX<>X<C««)

ClphtrSult*!ns]e<(»<l0jJrH<iUcMQ*&y.siiQx(•«<<«*)

CipherSuite;ILSKDHERSAWITHA£SU8CKSH*<«ou«n)

“<•f4u1♦”的sR3，

MIM1)eiI)t)6)(♦•<a

3)对于抓到的重要的包进行分析，ClientHello

1472.1685555711USvl.2274ApplicationData

1482.1685555711TLSvl.2275ApplicationData

1S02.17177，5711TLSvl.2416ApplicationData

iqiL.i7i”q11A117))11G71AA71711T1)

|1742.3545431142nsvi.2571ClientHello

1762.361596