南京邮电大学网络信息安全——网络数据包捕获WireShark（实验一）

系列前言

目前已经写了的两个系列，IDA权威指南读书笔记和人工智能的大创研究都已经鸽了好久了，主要是暑假的时候在忙其他事情，这两个系列接下来也会抽空写写，但接下来的主要精力是将《自己动手写操作系统》这本书的代码理解一下，然后可能还会看一下《软件调试》这本书之后才会仔细去阅读IDA权威指南。
然后就是随着学校开学了，我想开一个新的系列，把学校要求做的实验的实验过程记录到网络上来，一方面是为了监督自己，将实验尽可能做的完美，另一方面也是想扩充一下学校的实验资料。当然，我的水平十分有限，也希望看到的童鞋谅解，有什么不足之处请留言指出。

实验目标

本实验是网络安全课程的第一个实验，包括两个部分：

• WireShark抓包实验
• 使用WinDump抓取一个端口号的TCP三次握手

这两个实验还是比较简单的。

实验环境

第一个实验用到的软件是WireShark这个著名的软件，是一个跨平台的软件，所以第一个实验其实对操作系统并没有什么要求。
但是第二个实验需要用到WinDump这个程序，从名字上也可以知道，这个软件是特定于Windows的，当然Linux、Unix中肯定也有对应的软件，但是既然实验要求了使用WinDump的话，就不要去瞎折腾了吧。
所以本次实验使用到的环境是：WireShark中文版+Windows10+WinDump

实验一过程记录

目标一：使用正确的姿势打开WireShark

可能在某些电脑上会出现如上情况，WireShark没有网卡，这时候不要慌，直接在管理员权限下在PowerShell中输入

net start npf

即可
重启一下WireShark即可发现对应的网卡接口

由于我现在在使用WiFi模式，所以使用对应的网卡WLAN2，可以看到，现在WireShark正在捕获网络流量。
但是这里的流量包括了UDP和TCP的协议。

目标二：只捕获TCP的流量包

在实验里面我们只要求捕获TCP的流量，所以接下来我们要设置捕获过滤器：在菜单栏中选中捕获->选项->对应网卡输入过滤器设置即可：

需要注意的是WireShark中的过滤器有两种：显示过滤器和捕获过滤器。上面展示的正是捕获过滤器的设置方法。
显示过滤器的设置方法如下：
两套过滤器所使用的规则是一致的。而区别正如同

目标三：观察一个TCP包中的TCP包头、IP包头信息

选中一个TCP数据包，点击中间的窗口，并选中相应的协议，即可看到TCP流量的详细信息：
在TCP数据包里面的控制数据包括：

• 源端口、目的端口
• 序列号长度
• 滑动窗口长度等信息
  对于我们来说一般只需要关注源端口和目的端口即可，另外的信息是TCP协议实现相关的参数。
  接下来我们以同样的套路来粗看一下IP流量包的内容是什么

这里的内容也是和IP协议的具体实现有关，比较需要注意的是源IP地址和目的IP地址。

目标四：捕获一次TCP三次握手过程

这里的捕获我建议使用一次HTTP通讯的流量来查看TCP的三次握手过程，因为这样能让捕获并且显示的流量不那么复杂，这里我就选择学校官网的加载界面来展示，首先打开南邮正方的首页（在WireShark监视下），并查看网页的IP地址。
在WireShark中的显示过滤器中写入相应的IP过滤。
在上图中的头三个TCP流量即为三次握手的流量（seq，ack两个参数也符合TCP协议中的相关定义）

目标五：尝试利用WireShark分析流量

学校官网登录

这里设置一下对应的过滤方式。

可以看到对应的包。
从流量分析可以知道，txtUserName是用户名，TextBox2是密码，txtSecretCode是验证码。
这里说一句题外话，其实在现代浏览器的开发工具里面也有，比如FireFox的开发工具。

163门户网站的抓包

首先是163邮箱的门户网站www.mail.163.com，对于这个网站的抓包和学校门户网站的抓包过程不太一致，这里可以分成两个阶段，实验里只要求了第一个阶段，第二个阶段是我自己感兴趣研究的，这里我都写出来给大家看一下

流量捕捉——https密文包的捕捉

首先是通过工具查看一下门户网站的IP地址
但是有两个问题：

• 在WireShark里面并没有对应的IP的数据包，这里考虑到可能是163的网络架构比较复杂，是从其他地方get到html和js等相关文件的。
• 接下来扩大过滤范围，将所有的HTTP包全部放出来，但是仍然没有，这个就比较奇怪。

到这里发现不太对劲，后来经过检查，发现了163的门户网站采用的是基于TLS的HTTPS协议。
所以WireShark没办法进行解析，后来根据HTTPS协议的特点，设置了如下显示过滤器
后来结合DNS查询工具，果然发现了一些东西：
到目前为止，我们分析到了被加密过的流量包，学校的实验就 已经完成了。接下来我们尝试一下解密一下这些数据包。

流量解析

这里的部分是自己感兴趣做的，学校实验并不要求。
Firefox和Chrome等浏览器支持将对话时使用的TLS密钥进行导出，方法为在系统变量里面设置一个变量。
其中值为已存在的文件。在WireShark中填入对应的文件路径。
需要注意的是协议这里还有可能是SSL协议。这时候WireShark中就有相应的流量包了。

同样抓包抓到了对应的上传的用户名和密码。

不过密码应该是经过二次加工了，就是不太了解是用了HASH算法还是其他的加密算法，这个东西就要细挖前端的JS文件了，这里就不展开了。

支付宝网站的抓包

实验要求部分

在支付宝页面采用的是HTTP2协议。
同样使用了TLS协议加密。

扩展部分

这里说一个坑，就是Firefox的会话密钥在浏览器关闭时才写入文件中，所以正确的解密SSL的方式为：抓包->登录->关闭浏览器->进行解密。这里我搞了好久…还一度以为是通过JS文件将密钥清除了。
然后就看到了对应的登录数据包。
需要注意的是，WireShark中HTTP2的数据包报文头和数据是分开传输的，所以找数据的时候是分开的，…我个人感觉这个体验很不舒服。
然后就可以在DATA数据包里面找到对应的发送数据了。
对比一下在Firefox上的数据
搞定。
同样的，密码我估计也是通过HASH算法储存的…这里默默吐槽一下学校的教务系统

实验二过程记录

这里推荐一下WinDump的使用指南：
https://blog.csdn.net/xiaoxu0123/article/details/4544064
根据指南的使用说明，采用如下参数即可收集到对应的三次握手过程：

WinDump  -c 3 -n tcp and host 118.126.90.129

顺便说一下，这个工具着实难用，在有Wireshark的情况下还是GUI界面比较香一点点。