情報セキュリティ実践 1.1 (ネットワーク スニッフィング)

序文

        このネットワーク スニッフィングでは、実際には Wireshark を使用してパケットをキャプチャしています。その時は焦っていたので適当に書いてしまいました。基準値は比較的小さいです。

        最初の練習は冬休みで家での調子が悪かったので、その後は学校が始まる2日前にやったので、あまり質は良くありませんでした。しかし、それは練習とみなすことができますので、ちょっと見てください。

必須

        ネットワーク スニッフィング ツールを使用してネットワーク通信パケットをキャプチャし、パケット内の機密情報を分析します。

重要なステップ

  1. Wireshark を開きます。                                                                                                                           

        2. [キャプチャ] をクリックし、図に示すように設定して、[開始] をクリックしてキャプチャします (私のコンピュータは WIFI なので、キャプチャするために WLAN を選択する必要があります。上の図のローカル接続: コンピュータの電源が入っている場合)ホットスポットであり、携帯電話がホットスポットに接続されている場合、これらのローカル接続にはネットワーク変動が発生します)

        3. 次の図はキャプチャ結果です。

        ネットワーク接続は多くの IP アドレスにアクセスするため、宛先 IP アドレスが多数あり、非常に混乱しているため、Baidu の IP アドレスを使用して確認します。

        4. cmd ウィンドウを開き、「ping www.baidu.com」と入力して 、ホストと Baidu の間の接続をテストします。正常に接続できることがわかり、Wireshark インターフェイスに戻り、上の検索バーに「ip.addr == 183.232.231.172」と入力し、Enter キーを押してホスト以外のネットワーク情報を除外します。百度。

        5. データパケット階層化プロトコルの表示:

        6. 前の結果から、ホストと Baidu 間の接続では主に ICMP プロトコルと TCP プロトコルが使用されていることがわかります。

        上図に示すように、TCP の 3 ウェイ ハンドシェイク プロトコルを示します。

最初のハンドシェイク プロトコル:

 ホストは宛先 IP に TCP を送信します。フラグ ビットは SYN、シリアル番号は 0 です。これは、ホストが接続を要求していることを意味します。パケットの主な属性は次のとおりです。

SYN: 接続確立要求を示すフラグビット

Seq = 0: 初期接続値は 0 で、データ パケットの相対シーケンス番号は 0 から始まり、データがまだ送信されていないことを示します。

Ack =0: 初期接続値は 0 で、パケット数は受信済みであり、現在データを受信して​​いないことを示します。

2 番目のハンドシェイク プロトコル:

宛先サーバーは確認パケットを送り返します。フラグ ビットは SYN、ACK、確認番号 (Acknowledgment Number) はクライアントの ISN に 1 を加えたものに設定されます。つまり、次の図に示すように、0+1=1 となります。データ パケットの主な属性は次のとおりです。 [SYN + ACK]: フラグ ビット、接続の確立に同意し、返送します。 SYN+ACKSeq = 0: 初期確立値は 0 で、データがまだ送信されていないことを示します。

Ack = 1: 現在のエンドで正常に受信されたデータ ビット数を示します。クライアントは有効なデータを送信していませんが、SYN または FIN フラグが含まれているため、確認番号は 1 ずつ増加します。(SYN または FIN フラグ ビットを含むパケットは有効なデータを伝送しないため、有効なデータの数には影響しません)

3回目の握手:

ホストが確認パケット (ACK) を再度送信すると、SYN フラグは 0、ACK フラグは 1 になります。そして、サーバーから送信されたACKシーケンス番号フィールド+1を確認フィールドに入れて相手に送信し、データセグメントにISN +1を次の図のように書き込みます。

 パケットの主な属性は次のとおりです。

ACK: レコードが受信されたことを示すフラグビット

Seq = 1: 現在 1 つのデータが送信されていることを示します

Ack = 1: 現在のエンドが正常に受信したデータ ビット数を示します。サーバーは有効なデータを送信していませんが、SYN または FIN フラグが含まれているため、確認番号は 1 ずつ増加します (これは、有効なデータの数。SYN または FIN フラグを含むパケットは有効なデータを伝送しないためです)。

このようにして、TCP の 3 ウェイ ハンドシェイクが通過し、接続が確立されます。データ対話を開始する

情報セキュリティにおけるネットワークスニッフィングの役割の分析

        ネットワーク スニッフィングは情報セキュリティ アプリケーションで一般的に使用される手法であり、ハッキングやコンピュータ セキュリティ管理のツールとして使用される可能性があります。セキュリティ保守担当者は、ネットワーク スニッフィングを使用してネットワークを監視し、ネットワーク攻撃を適時に発見できます。例えば、送信元IPアドレスがWebサイトにアクセスした際に、TCPのスリーウェイハンドシェイクプロトコルが正常に完了しているかどうかを確認することができ、正常に完了していない場合はアクセスが異常であることを意味します。つまり、ネットワーク スニッフィングはコンピュータのセキュリティを維持する上で非常に重要です。