1、Comment U1: 编号不要手输,采用 word样式自动生成wireshark之文件还原实验指导书Wireshark之文件还原1 实 验 简 介 实验所属系列: 数据安全 实验对象: 本科/专科信息安全专业 相关课程及专业: 计算机网络 实验时数(学分):2 学时 实验类别: 实践实验类2 实 验 目 的通过该实验了解 wireshark的使用方法,能够通过分析还原网络数据发送现场,并将发送的信息通过 wireshark和 winhex还原成原文件。3 预 备 知 识1. 关于 wireshark的一些基础知识首先,wireshark 不会像 burp suite那样可以对数据包进行修改,
2、它能做的只是监听网络流量信息并完整的记录下来。可以说,wireshark 起到的是一个还原现场的作用。请记住,wireshark 只是一个帮助你审计的工具,至于怎么去审计,只能考自己去分析。其次,说说 wireshark在安全方面的作用。Wiki 上是这样描述的:对于安全人员而言,网络安全工程师可以使用 wireshark来检查讯息安全相关的问题。对于网络安全而言,现场很重要,黑客攻击的过程和服务器被攻击的过程都必须使用网络,wireshark 完全可以记录下来,这也正是 wireshark强大的地方。2. 对本节课使用到的 winhex的简单描述Winhex是一款非常优秀的 16进制编辑器,
3、事实上,使用 winhex单纯进行16进制编译在某些程度上有些大材小用,市场上很难找到像 winhex一样功能强大的 16进制编辑器。当然,它是收费的。本节课我们使用的是 winhex的评估版本,可以满足需要。如果你想对 winhex有更深层次的了解,建议您去官方网站上进行咨询。Comment U2: 可以是实验场景,可以是某些知名安全事件的描述等。目标是吸引用户对实验 操作引起重视或兴趣。wireshark之文件还原实验指导书4 实 验 环 境服务器:Windows XP SP3 ,IP 地址:随机分配辅助工具:winhex,Wireshark5 实 验 步 骤黑客 A通过 ARP欺骗,使用
4、 wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过 wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,打算去向你请教。你能帮助他找到那份上传的文件吗?我们的任务分为 3个部分:1 对抓到的包进行显示过滤,找到关键信息。2 对信息进行跟踪,确定上传文件的 TCP流,并保存为二进制原始文件。3 对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。5.1实验任务一任务描述:使用 wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。1. 打开
5、 catchme.pcapng,双击即可。会发现数据记录一共有 148条。如果单纯的从开始到结尾去一条一条的审计,是非常费力的事情。而且实际操作过程中,148 条记录,已经算是很少的了。wireshark 之文件还原实验指导书2. 好在 wireshark 为我们提供了强大的过滤显示功能。我们在 filter 中可以定义显示出来什么样的数据包。3. 从题目我们可以明确,上传时访问的是个网站,因此我们需要进行协议过滤。在 filter 中输入 http,表示我们要显示所有使用 http 协议的数据包。输入回车,或者点击旁边的 APPLY 按钮,就可以进行显示过滤。wireshark 之文件还原实
6、验指导书从图上下方我们可以看到,数据包由原来的 148 个变成了 32 个。这样就很容易帮我们分析了。4. 仔细分析,我们会在末尾左右的第 143 条数据记录中的 info 中看到upload 这个词,我们怀疑这条就是涉及到上传的数据包。Comment U3: 实验任务结尾都包含单选题,以便于学生思考。wireshark之文件还原实验指导书如果你在此之前有些编写网站的经验,就会知道上传文件提交可以使用 post一个表单的形式。所以,你也可以使用包过滤显示,选出所有使用 post方法提交的数据包。我们可以输入 http.request.method=”POST”进行包过滤。这时候的显示如下:看到
7、了吧,这时候只显示了唯一一条记录,就是我们刚才找到的序号为 143的记录,是不是快了很多啊。因此,掌握数据包过滤,是熟练掌握wireshark的必备技能之一。5.1.2. 练 习关于 wireshark过滤功能,以下说法错误的是?【单选题】【A】wireshark 使用显示过滤,我们看到的数据包数目会变小,因此意味着我们的数据包文件也会跟着变小。【B】 wireshark的过滤功能不局限于显示过滤,它也可以做到在抓包的时候做到抓包过滤。【C】 在 filter中填写过滤语法时,如果错误,会显示红色 【D】抓包过滤和显示过滤使用的不是相同的语法规则答案:A5.2实验任务二任务描述:确定 POST
8、这条数据包是否上传了文件,若存在则将数据 dump出来。1. 虽然我们看到了有 upload关键字,有 post方法,但是我们不能确定是不是真的就是上传文件的那个请求。我们来分析一下。双击该行。弹出协议分析框。点击+ 号,将子栏展开。wireshark 之文件还原实验指导书我们可以看到,确实是上传了文件,而且文件名是 bingo.png.原来他上传的是一张图片。在上方红色部分,我们可以看到由于文件比较大,TCP 协议对其进行了切片,一共切了 5 个片。我们点击下方的各个 Frame,就可以看到每个包中的内容。问题来了,能不能将这几个切片还原成一个流式会话,这样我们就能看到一个会话过程,而不是需
9、要一个一个的去点击。Wireshark 还真可以做到。2. 关闭这个界面,回到我们过滤后的那个 POST 包,右键 Follow TCP Stream这时候我们会看到:wireshark 之文件还原实验指导书整个会话都被还原了出来。我们看到了 png 的原始信息。继续往下拉,我们会看到有关蓝色的显示,这是服务器给我们的回应。我们的图片信息保存在请求部分,因此可以过滤掉响应部分。因为文件肯定比响应大,所以我们选择 6010 那个。这时候就没有响应部分出现了。3. 保存原始文件,以便下一步处理。我们已经知道,请求部分中包含了文wireshark 之文件还原实验指导书件的原始信息。因此,我们可以先保
10、存下来,然后处理一下,得到原始文件。我们选择 raw 类型进行保存,表示使用二进制形式保存文件。保存为任意格式的文件,这里我们保存为 temp.bin5.2.2. 练 习以下说法不正确的是:【单选题】【A】我们之所以能抓到原始数据包,是因为 POST 的时候会将文件上传给服务器【B】 一般的文件头都会显示出来该文件的类型,我们可以通过这个方法去判断文件是什么类型【C】 将我们保存的 raw 文件使用记事本打开,删除一些部分,其余部分不会发生改变。【D】 follow tcp stream 只会显示该选中数据包中的请求和返回信息,不会返回整个数据包中的会话操作。答案:C5.3 实验任务三任务描述
11、:使用 winhex 对文件进行最终处理,并保存文件。1. 将刚才保存的 temp.bin 用 winhex 打开。会看到,文中包含请求信息和我们的图片信息,以及文件结尾的尾部信息。我们需要做的事情是确定图片文件的原始信息头和尾,去掉多余部分。wireshark 之文件还原实验指导书2. 回到 wireshark 中,会看到我们刚才的 tcp stream 流中,关于图片的头部分wireshark 之文件还原实验指导书在 content-type: image/x-png 后面有两个换行符,然后开始我们的原始文件。换行符用十六进制表示是 0D 0A.因为有两个,所以,我们在图片附近寻找0D 0A 0D 0A.后面的部分就表示图片的开始。3. 回到 winhex 中,我们找到了上述数字这时候我们需要去掉图片以上的部分。在 00000000 偏移处点击 alt+1,表示选块开始。
