網(wǎng)絡(luò)空間安全概論 實(shí)驗(yàn)6 網(wǎng)絡(luò)監(jiān)聽實(shí)驗(yàn)樣例3

《計(jì)算機(jī)取證》課程報(bào)告 第頁7.使用抓包軟件監(jiān)控?cái)?shù)據(jù)包；使用wireshake進(jìn)行郵件系統(tǒng)取證寫一封郵件標(biāo)題07182374曹仁龍，內(nèi)容為附件0718234曹仁龍.txt，打開wireshark開始捕獲，在foxmail中點(diǎn)擊發(fā)送郵件給411746543@.查看foxmail中QQ郵箱中的發(fā)件服務(wù)器，為之后的過濾作鋪墊勾選SSL與不勾選的區(qū)別：

1、勾選ssl：發(fā)送郵件是使用了SSL加密技術(shù)。

2、不勾選ssl：發(fā)送的郵件沒有使用SSL加密技術(shù)。篩選smtp流量數(shù)據(jù)包，可以看到郵件的內(nèi)容和標(biāo)題等信息，但是被進(jìn)行了16進(jìn)制轉(zhuǎn)換和base64編碼上圖顯示了從主機(jī)與郵件服務(wù)器建立連接，到對qq郵件登錄授權(quán)，發(fā)送郵件，接收郵件，斷開連接的全過程。之后我們追蹤TCP流，查看全過程的數(shù)據(jù)。通過在線的16進(jìn)制轉(zhuǎn)換和base64解碼，可以還原附件內(nèi)容如下其中用戶名為2500622678@查看郵件內(nèi)容：解碼為:附加實(shí)驗(yàn)一-網(wǎng)絡(luò)取證實(shí)踐4.1題目題目來源：Anarchy-R-Us,Inc.suspectsthatoneoftheiremployees,AnnDercover,isreallyasecretagentworkingfortheircompetitor.Annhasaccesstothecompany’sprizeasset,thesecretrecipe.SecuritystaffareworriedthatAnnmaytrytoleakthecompany’ssecretrecipe.SecuritystaffhavebeenmonitoringAnn’sactivityforsometime,buthaven’tfoundanythingsuspicious–untilnow.Todayanunexpectedlaptopbrieflyappearedonthecompanywirelessnetwork.Staffhypothesizeitmayhavebeensomeoneintheparkinglot,becausenostrangerswereseeninthebuilding.Ann’scomputer,(58)sentIMsoverthewirelessnetworktothiscomputer.Theroguelaptopdisappearedshortlythereafter.“Wehavea

packetcapture

oftheactivity,”saidsecuritystaff,“butwecan’tfigureoutwhat’sgoingon.Canyouhelp?”

Youaretheforensicinvestigator.

YourmissionistofigureoutwhoAnnwasIM-ing,whatshesent,andrecoverevidenceincluding:1.WhatisthenameofAnn’sIMbuddy?2.WhatwasthefirstcommentinthecapturedIMconversation?3.WhatisthenameofthefileAnntransferred?4.Whatisthemagicnumberofthefileyouwanttoextract(firstfourbytes)?5.WhatwastheMD5sumofthefile?6.Whatisthesecretrecipe?無政府-r-us公司懷疑他們的一個(gè)雇員，安·德弗弗，實(shí)際上是為他們的競爭對手工作的秘密特工。安可以接觸到公司的寶貴資產(chǎn)，秘方。保安人員擔(dān)心安可能會(huì)泄露公司的秘方。安全人員已經(jīng)監(jiān)視安的活動(dòng)一段時(shí)間了，但直到現(xiàn)在還沒有發(fā)現(xiàn)任何可疑的東西。今天，一款意想不到的筆記本電腦出現(xiàn)在了公司的無線網(wǎng)絡(luò)上。工作人員推測可能是停車場里的某個(gè)人，因?yàn)榇髽抢餂]有看到陌生人。Ann的計(jì)算機(jī)(58)通過無線網(wǎng)絡(luò)向這臺計(jì)算機(jī)發(fā)送即時(shí)消息。那臺惡意的筆記本電腦很快就消失了。“我們捕獲了該活動(dòng)的數(shù)據(jù)包，”安全人員說，“但我們不知道發(fā)生了什么?！蹦隳軒椭鷨?”你是法醫(yī)調(diào)查員。你的任務(wù)是找出安在給誰發(fā)信息，她發(fā)了什么，找回證據(jù)包括:1.安的即時(shí)通訊好友叫什么名字?2.在捕獲的IM會(huì)話中的第一個(gè)評論是什么?3.安轉(zhuǎn)移的文件叫什么名字?4.您想要提取的文件的神奇數(shù)字是多少(前四個(gè)字節(jié))?5.文件的MD5sum是多少?6.秘方是什么?4.2具體步驟下載實(shí)驗(yàn)的數(shù)據(jù)包，用wireshark工具打開：根據(jù)題目的描述Ann的電腦ip是58，通過wireshark分析發(fā)現(xiàn)了一個(gè)可疑的數(shù)據(jù)包：Ann的電腦向一個(gè)陌生的ip地址0發(fā)送了一個(gè)數(shù)據(jù)包，SSL是早期的一種用于網(wǎng)絡(luò)通信加密的安全協(xié)議。通過ip查詢工具輸入ip查詢，結(jié)果顯示這個(gè)ip是屬于美國AOL公司的，AIM是美國AOL公司的一個(gè)即時(shí)通信軟件。因此我們可以推測Ann是使用AIM通信軟件，通過wireshark對數(shù)據(jù)包進(jìn)行解碼由于SSL協(xié)議的數(shù)據(jù)包是基于TCP協(xié)議傳輸?shù)?，在字段中選擇TCPport，端口的值選擇443端口，當(dāng)前字段選擇AIM，然后點(diǎn)擊OK。解碼完后，wireshark中所有的SSL協(xié)議的數(shù)據(jù)包都被解析為AIM協(xié)議數(shù)據(jù)包，其數(shù)據(jù)包封裝格式如下：23應(yīng)該是Ann登錄AIM通信軟件時(shí)發(fā)送的第一個(gè)AIM協(xié)議的數(shù)據(jù)包，第二個(gè)AIM協(xié)議數(shù)據(jù)包使用了AIMMessaging協(xié)議封裝，那么直接從25數(shù)據(jù)包開始分析。Frame25封裝格式如下：在分析之前，我們回到題目中的第一個(gè)問題：WhatisthenameofAnn’sIMbuddy

?（翻譯過來大概就是：跟Ann通信的好友IMbuddy名字是什么），從AIMMessaging協(xié)議來看，跟Ann通信的對方的IMBuddyName是Sec558user1。在ValueMessage中就是Ann給對方發(fā)送的第一條IM消息。

從這條IM消息來看，Ann秘密下載了一份文件傳送給了對方，根據(jù)題目中第三個(gè)問題，我們需要知道Ann下載的文件名字叫什么?，F(xiàn)在我們知道Ann的電腦ip地址是58，那么就可以先從Ann的電腦開始分析，在wireshark過濾地址欄中輸入ip.host==58&&data，這個(gè)過濾語句表示，我們要分析58地址的帶有數(shù)據(jù)的流量包：可以看到Ann的電腦有一段異常的數(shù)據(jù)包。Ann所在的主機(jī)向一個(gè)ip地址發(fā)送了大量數(shù)據(jù)包，而這些數(shù)據(jù)包有可能就是Ann傳輸文件時(shí)產(chǎn)生的。我們可以對這一段數(shù)據(jù)包進(jìn)行右鍵追蹤流>TCP流，分析整個(gè)會(huì)話的流量。

使用wireshark的TCP“流”追蹤功能，如下所示：在整個(gè)會(huì)話過程中，我們重點(diǎn)關(guān)注紅色部分的數(shù)據(jù)，其中recipe.docx這段就代表著傳輸?shù)奈募?，?docx就是傳輸?shù)奈募袷降暮缶Y，也就是說Ann秘密傳輸?shù)奈募徒衦ecipe.docx。然后選擇保存數(shù)據(jù)為原始數(shù)據(jù)，文件另存為recipe.bin格式。

使用WinHex工具打開recipe.bin文件，并刪除選中的部分，然后把文件另存為recipe.docx文件，如下所示：找到并打開recipe.docx文件，查看文件內(nèi)容：4.3實(shí)驗(yàn)收獲Wireshark可以解析網(wǎng)絡(luò)中的各種數(shù)據(jù)流量，那么通過網(wǎng)絡(luò)傳輸協(xié)議，例如ftp協(xié)議傳輸?shù)奈募?shù)據(jù)wireshark也可以對其解析，本質(zhì)上FTP協(xié)議是基于傳輸層TCP協(xié)議的，一個(gè)完整的文件會(huì)分割為多個(gè)tcp數(shù)據(jù)包傳輸（這些TCP數(shù)據(jù)包被稱為TCP流），wireshark工具提供了一個(gè)“流跟蹤（TCPStream）”功能可以分析TCP流。這個(gè)功能在我們需要使用wiresahrk分析某些網(wǎng)絡(luò)流量進(jìn)行取證的時(shí)候可以發(fā)揮很大的作用，wireshark可以通過“流跟蹤（TCPStream）”功能捕獲完整會(huì)話的通信流量或文件數(shù)據(jù)。附加實(shí)驗(yàn)二-網(wǎng)絡(luò)取證實(shí)踐5.1題目題目來源：5.2具體步驟使用wireshark打開http_with_jpegs.cap.gz文件：當(dāng)我們要分析某個(gè)數(shù)據(jù)包的整個(gè)會(huì)話過程的話，就可以選中某個(gè)數(shù)據(jù)包右鍵選擇：追蹤流-->TCP流，以67數(shù)據(jù)包為例，如下圖所示：GET/Websidan/images/sydney.jpgHTTP/1.1整個(gè)會(huì)話中，是以GET方式請求一個(gè)sydney.jpg的圖片文件，最上面的一部分表示HTTP請求部分，中間部分表示HTTP響應(yīng)部分，最下面的則是HTTP請求的sydney.jpg文件的二進(jìn)制原始數(shù)據(jù)。

然后對整個(gè)會(huì)話進(jìn)行過濾，只保留http響應(yīng)部分和sydney.bin文件的原始數(shù)據(jù)，然后另存為sydney.bin文件：使用winhex工具打開sydney.bin文件來分析文件的原始數(shù)據(jù)，選擇：File-->Open，sydney.bin文件中的十六進(jìn)制數(shù)據(jù)包含了http頭部和文件的原始數(shù)據(jù)，需要?jiǎng)h除http響應(yīng)頭部的數(shù)據(jù)，我們知道的一點(diǎn)就是http響應(yīng)頭部和文件的原始數(shù)據(jù)中間存在一個(gè)空行，也就是說有兩個(gè)回車換行符，而回車換行符對應(yīng)的ASCII碼就是13和10，轉(zhuǎn)換成十六進(jìn)制就是0x0a和0x0d，在這之后就是文件真正的原始數(shù)據(jù)了。

下圖中被選中的部分就是HTTP響應(yīng)頭部和兩個(gè)回車換行符了，只需把選中的部分?jǐn)?shù)據(jù)刪除即可：刪除之后，把文件另存為.jpeg格式的文件數(shù)據(jù)，最后打開sydney.jpeg圖片文件：5.3實(shí)驗(yàn)收獲恢復(fù)傳輸中的JPG文件，無論傳輸層上層是哪一種協(xié)議，只要到了傳輸層就必須使用UDP和TCP協(xié)議。Wireshark可以解析網(wǎng)絡(luò)中的各種數(shù)據(jù)流量，那么通過網(wǎng)絡(luò)傳輸協(xié)議，例如ftp協(xié)議傳