《网络空间安全技术实践教程》课件4.1课件

第二篇密码学实验篇第四章密码学应用分析实验4.1网络系统用户口令抓包分析网络空间安全技术实践教程14.1网络系统用户口令抓包分析实验目的：

本实验主要熟悉Wireshark软件的使用，并利用wireshark软件抓取数据包，分析常用邮箱，常用网站和常用即时聊天工具对登录的用户口令的保护技术。网络空间安全技术实践教程2实验要点说明：（实验难点说明）wireshark的使用了解密码学在用户口令加密中的应用网络空间安全技术实践教程34.1网络系统用户口令抓包分析实验准备：（实验环境，实验先有知识技术说明）操作系统windows7及以上Wireshark（版本2.2.1）QQ8.9（20026）对OSI七层参考模型有初步了解网络空间安全技术实践教程44.1网络系统用户口令抓包分析实验步骤：1）Wireshark使用方法正确安装wireshark后，开启程序。会出现如图4-1-1所示选择接口界面，选择要捕获的接口，实验演示电脑使用无线网络连接，所以选取无线网络连接接口。开始抓包后，程序界面如图4-1-2，不断有新的数据包被捕获，想要直接发现目标数据包很困难，这时可以在页面上方的“应用显示过滤器”栏中输入一定规则的表达式进行筛选。网络空间安全技术实践教程54.1网络系统用户口令抓包分析实验步骤：1）Wireshark使用方法

表达式可以是网络协议，如DNS，HTTP，TCP等，此时显示界面如图4-1-3。表达式也可以是源ip地址或目标ip地址，此时表达式为ip.src或ip.dst；并且可以通过and连接符构造更加复杂的表达式，如源ip地址为12且采用tcp协议的数据包的表达式为“ip.src==12andtcp”，如图4-1-4。网络空间安全技术实践教程64.1网络系统用户口令抓包分析实验步骤：2）某高校校园网用户口令抓包分析开启wireshark后登录某高校校园网。暂停wireshark捕获，发现捕获到了上千个数据包，此时使用应用显示过滤器进行过滤。首先利用windows自带的cmd命令行ping登陆页面域名获取对应ip，如图4-1-5。得到ip为xx.xx.123.181，在wireshark应用显示过滤器中输入表达式“http&&ip.dst==xx.xx.123.181”进行过滤，其中“http”表示使用了http协议，ip.dst表示数据包目标ip地址。网络空间安全技术实践教程74.1网络系统用户口令抓包分析实验步骤：2）某高校校园网用户口令抓包分析观察如图4-1-6所示过滤后的数据包，但我们仍然需要在其中找出发送登录数据的数据包，可以通过观察Info列下的信息，发现“POST/cas/loginHTTP/1.1(application/x-www-form-urlencoded)”，请求方式为POST，请求URL与登录页面详细，于是双击该行，弹出如图4-1-7所示包含数据包详细信息的窗口，窗口上半部分根据每层协议而划分，可以发现网络层使用了IPV4，传输层采用了TCP协议，应用层采用HTTP协议，HTMLFormURLRncoded:application/x-www-form-urlencoded表示以键值对的形式上传数据。窗口下半部分为16进制形式的数据包，以及对应的ASCII码。网络空间安全技术实践教程84.1网络系统用户口令抓包分析实验步骤：2）某高校校园网用户口令抓包分析如图4-1-7所示，可以发现存在username和password数据，即为用户登录的用户名和密码，且用户名为明文传输，密码经过加密处理后传输。经过初步分析，该用户的password经过MD5的处理。网络空间安全技术实践教程94.1网络系统用户口令抓包分析实验步骤：3）网易163免费邮箱用户口令抓包分析开启wireshark后登录163免费邮箱，暂停wireshark捕获。通过表达式过滤掉无关数据包，使用表达式“http.request.method==”POST“”，在几乎没有其他请求干扰的情况下，可以快速找到登录的数据包，如图4-1-8。网络空间安全技术实践教程104.1网络系统用户口令抓包分析实验步骤：3）网易163免费邮箱用户口令抓包分析编号最小的数据包，是最先发送的数据包，由此可以确定编号为487的分组中含有用户的用户名和密码，如图4-1-9。但是在HTMLFormURLRncoded项中只发现了一个值为XML格式的键值对，且其中没有明显包含用户名和密码。但在HTTP协议下的truncated中可以发现cookie含有很多键值对，通过观察发现多处键值对含有用户名信息，但无法找到密码。说明网站通过其他方式将密码传递给后台进行账号验证，此行为可以有效避免用户信息外泄。网络空间安全技术实践教程114.1网络系统用户口令抓包分析实验步骤：4）QQ用户口令抓包分析QQ采用自己设计的协议，所以依靠wireshark捕获数据包只能获取到数据包的原始数据，无法分析具体内容，如图4-1-10。网络空间安全技术实践教程124.1网络系统用户口令抓包分析实验步骤：4）QQ用户口令抓包分析通过在wireshark界面对数据包右键->追踪流->追踪UDP流，可以追踪UDP的往来数据包，如图4-1-11及4-1-12。网络空间安全技术实践教程134.1网络系统用户口令抓包分析实验步骤：4）QQ用户口令抓包分析腾讯没有公开QQ协议，网上对QQ协议分析的文章有限，我们只能分析一部分协议内容。如图4-1-12，发现所有UDP流都由02开头，02是QQ的报头，代表该包要执行某条指令，02是常用的包头，几乎包含用户要使用的所有功能，但也存在其他包头。第二个字节为370f代表QQ的版本，本实验中使用QQ8.9（20026）版，下2个字节为0825，代表要执行的命令，客户端首次与服务器接触便会发送此命令，下2个字节为5e0b为该包的序列号，下4个字节为203b37c9为用户QQ号，余下内容为秘钥和加密后的内容等信息，数据包由03代表结束。可以发现由产品自己设计的协议和加密算法对用户信息的保护更加有效。网络空间安全技术实践教程144.1网络系统用户口令抓包分析实验步骤：5）分析与思考请网络搜索，试着分析网络系统用户登录时的用户名和密码进行保护的技术都有哪些？Wireshark的工作原理是什么？网络空间安全技术实践教程154.1网络系统用户口令抓包分析实验结果要求本实验要求使用wireshark对4个网络系统（选择2个不同于教材的网络系统）登录时用户的账号密码进行抓包分析，熟练使用wireshark软件，对网络协议中的密码学理论的应用有初步的认识。网络空间安全技术实践教程164.1网络系统用户口令抓包分析实验报告要求实验报告要求有封面，实验目的，实验环境，实验结果及分析；其中实验结果与分析主要描述你使用wireshark抓包的过程（参看本节实验教程的格式），分析抓包结果、出现的问题和解决方法，