攻防課堂 抓包案例（上）等

攻防課堂 抓包案例(上)

鄭志勇

互聯網上流動著各式各樣的數據，而這些數據都是經過“封裝”后再傳輸的，所以我們也可以說互聯網上流動著各種各樣的“數據包”。如果能夠把這些包抓下來，我們就可以窺探網上傳遞的信息。

什么是抓包

抓包的真正含義是通過專門的軟件捕獲所有通過計算機網卡的網絡數據包，并通過分析數據包里的內容，獲得有用信息的過程。

目前有很多抓包工具，可以通過這些工具監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。當網絡上的信息以明文的形式傳輸時，抓包工具可以將網絡接口設置為監聽模式，截獲網上傳輸的源源不斷的信息，黑客們常常用它來截獲用戶的口令。

早期嗅探器的工作原理是設置網卡為混雜模式，這樣就可以嗅探到所有經過本機網卡的數據。但是這種抓包有一個缺點，就是它只適用于共享式局域網(就是用集線器連接的網絡)，對于交換式局域網(用交換機連接的網絡)無效。因為在交換式局域網中，網絡中的數據并不會經過每一臺主機的網卡，這時要用另外一種更為主動的方法去嗅探，那就是基于ARP欺騙的嗅探。需要注意的是，即使采用這種嗅探方式，我們也只能抓取本機通信的數據包，這里就以Iris Network Traffic Analyzer(簡稱IRIS)和Switch為例，介紹幾個具體的抓包應用實例。

案例一：獲得網頁源代碼

練習地址：

http：／／218．86．126．77／Cpcfan／2007／2／lx1．asp

許多網站設計者為了保護自己網頁內容，想了很多辦法，其實只要這些內容能夠在電腦上顯示，就表明這些內容是可以下載的。利用抓包工具，我們可以直接看到封包的原始信息，獲取最直接的內容，下面以測試頁面為例：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersetting”，在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”，用鼠標拖到下面的表格的第一行address1中，“dir”選擇“<-->”，address 2中輸入218．86．126．77，然后點“應用”按鈕。

2)選擇左邊列表里的“Ports”，在“knownports”列表中，雙擊“http：80”，單擊“確定”按鈕，關閉窗口。點“File”菜單，選“New Capture session”，按“Ctrl+A”開始抓包，最小化窗口。

3)關閉所有的IE窗口、BT下載和網絡游戲之類的其他網絡軟件，確保目前沒有其他軟件使用網絡。打開IE輸入http：／／218．86．126．77／Cpcfan／2007／2／1x1．asp

4)打開IRIS，按“Ctrl+z”停止抓包，點左邊浮動面板上的“Decode”圖標，可看見“Tcp->http(80)”的條目。單擊該條目，在右邊的列表中查找，可發現我們需要的網頁，將“select displaying format”改成ASCⅡ方式，看到的就是網頁的源代碼。

案例二：獲取網友的真實IP地址

QQ，MSN等聊天工具上的網友來自天南海北，獲得對方的IP是了解對方真實情況的最好途徑，如何獲得對方的真實IP呢?要知道許多能看IP的QQ版本看到的也不是準確的IP地址，而使用抓包工具既可獲得對方準確的IP地址，操作步驟也比較簡單：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersetting”，在彈出的窗口中，選擇左邊列表里的“IPaddress”。

2)把“This Host”，用鼠標拖到下面的表格的第一行address1中，“dir”選擇雙向箭頭，address 2不做任何選擇，然后點“應用”按鈕。單擊“確定”按鈕，關閉窗口。點“File”菜單，選“New Capture session(新抓取)”，按“Ctrl+A”開始抓包，最小化窗口。

3)關閉所有的IE窗口、BT下載和網絡游戲之類的其他網絡軟件，確保目前沒有其他軟件使用網絡。運行QQ，找到你需要獲得真實IP的網友發消息給他。

4)打開IRIS，按“Ctrl+Z”停止抓包，在Capture抓的包的列表里，可以看到許多數據包，每個數據包都包含源IP地址和目標IP地址，其中一個是你的IP地址，另一個就是對方的IP地址。

提示：

為確保對方QQ使用的是真實IP地址，還可以用MSN和對方打招呼，進一步確認對方的IP地址，如果獲得的IP地址和QQ的一樣，就可以確定了。

案例三：獲取FTP用戶名和密碼

輔助軟件：flashfxp、foxmai I

由于FTP協議是明文傳輸的，所以用戶名和密碼這些信息都在網絡明文傳輸，如果你在網絡出口的路由器上安裝嗅探器，就可以獲得網絡中所有用戶的FTP用戶名和密碼。下面我們以單機為例，介紹一下如何使用IRIS捕獲FTP用戶名和密碼。具體的操作步驟是：

1)運行IRIS，選擇“Filters”菜單，點“Edit filtersett]ng”。在彈出的窗口中，選擇左邊列表里的“IPaddress”，把“This Host”，用鼠標拖到下面表格的第一行address1中， “dir”選擇“一>”，address 2中不填，然后點“應用”按鈕。

2)選擇左邊列表里的“Ports(端口)”，在“knownports(已知端口)”列表中，雙擊“ftp：21”，單擊“確定”按鈕，關閉窗口。點“File”菜單，選“New Capturesession”，按“CM+A”開始抓包，最小化窗口。

3)運行flashfxp，嘗試登錄FTP站點，登錄成功后最小化。

4)打開IRIS，按“Ctrl+z”停止抓包，點左邊浮動面板上的“Decode”圖標，即可看見“Tcp->ftp(21)”的條目。查找其中的數據包，如果發現其中包含user和pass字符，它們后面跟的就是Ftp用戶名和密碼。

案例四：判斷木馬或蠕蟲病毒

木馬通常會被動或主動地訪問網絡，我們可以利用這個特點監控自己計算機往外發送數據包的情況，來檢查是否有網絡異常：

1)運行IRIS，選擇“Filters(過濾器)”菜單，點“Edit filter setting(編輯設置)”。

2)在彈出的窗口中，選擇左邊列表里的“IP address(IP地址)”，把“This Host”用鼠標拖到下面的表格的第一行address1中，“dir”選擇雙向箭頭“<-->”，address 2中不填，然后點“確定”按鈕關閉窗口，按“Ctrl+A”開始抓包，最小化窗口。

3)確認自己沒有打開任何訪問網絡的程序。觀察網絡數據包出現并檢查該數據包使用的端口，可以利用Google或Baidu查詢該端口通常會被什么軟件使用。

4)如果你看見的是某臺計算機不斷的往網內的其他計算機發送arp request或arp relay數據包，那么它一定是中了蠕蟲病毒或木馬，這時候最好通知網管，否則你的計算機也有可能被傳染。

讓盜號木馬見鬼去

冰河洗劍

QQ號被盜的問題一直困擾著大家，雖然QQ提供了密碼保護功能，但畢竟是事后補救，不如提前作好防范。讓我們從“查”與“防”兩方面人手，徹底杜絕QQ盜號的發生。

“小沈Q盜殺手”是一個檢測與清除QQ盜號木馬的工具，不僅可以清除網絡上流行的各種盜Q木馬，比如阿拉QQ大盜、沖擊波QQ大盜、QQ簡單盜等60多種盜號軟件，還可清除這些木馬的各種修改版，功能強火。

運行Q盜殺手后，選擇“查殺專區”標簽，點擊“掃描木馬”按鈕，軟件即可自動掃描檢測系統中是否存在木馬。軟件的掃描速度比較快，不一會兒就可得到結果。掃描報告里如果有紅色的文字顯示，則表示發現了木馬(如圖1)，點擊“清除木馬”按鈕，軟件會自動結束木馬進程，并刪除相應的注冊表鍵值。要完全清除木馬，可能會要求重啟動系統。Q盜殺手的清除功能很智能，可以有效地清除普通殺毒軟件無法清除的DLL注入類盜號木馬，即使木馬注入到系統進程中，軟件也會在重啟過程中自動刪除相應的殘留進程與文件。

盜號木馬獲取的就是用戶輸入的QQ登錄密碼，如果不輸入密碼就可登錄的話，就算盜號木馬存在也干不了什么壞事。這里可以使用“QQ防盜專家”來自動登錄QQ。

運行QQ防盜專家，在“QQ路徑”中指定QQ的安裝目錄，然后輸入QQ號碼和密碼。點擊“生成代碼”按鈕，即可在下面的窗口中生成QQ登錄代碼；點擊“創建Ink”按鈕，可以選擇在桌面上保存登錄QQ的快捷方式(如圖2)。以后雙擊快捷方式，就可以自動登錄QQ了，而且快捷方式中的密碼也是顯示為不可逆的HASH值，即使木馬得到了該值，也無法破解出對應的密碼。

現在使用QQ已經很安全了，但其它很多場合也需要輸入QQ密碼，比如QZone、QQ秀商城等官方站點，如何保護我們的這些密碼呢? “賬號守護專家”是個不錯的防盜號工具，提供了多種賬號保護模式，比如字符替換、標題欄偽裝等，可以有效地保護賬號不被盜走。

運行賬號守護專家，選擇界面中的“普通模式”，點擊“保護”按鈕就可以啟動軟件的鍵盤輸入保護功能。另外賬號守護專家中提供了一個高級功能，允許用戶自定義任何按鍵輸入的字符。勾選程序界面中的“增強模式”，用鼠標點擊界面上方鍵盤圖形中的任意按鍵，可更改按鍵上的字符。例如點擊程序界面上的按鍵“X”，光標顯示可輸入，然后按下真實鍵盤上的“A”鍵，原來的鍵盤“X”就被替換成了“A”鍵(如圖3)。在設置完鍵盤按鍵后，可以點擊“保存設置”按鈕，將按鍵自定義設置保存下來，下次直接點擊“讀取設置”導入程序。

現在輸入密碼，按下鍵盤的“XXX”鍵，真實輸入的是“AAA”，但是木馬之類記錄的卻是“XXX”。通過自定義鍵盤按鍵，就可以欺騙盜號程序，讓盜號者得到錯誤的密碼。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。