邮件明文密码窃听.doc

邮件明文密码窃听 【实验环境】 本地主机(WindowsXP)、Windows实验台 【实验步骤】 本机IP地址为172.20.1.178/16，Windows实验台IP地址为172.20.3.178/16(在实验中应根据具体实验环境进行实验)。 一、 设置抓包参数 参考FTP连接与密码明文抓取中实验步骤中设置WireShark的过程。 二、 捕获pop3数据包，嗅探密码 本步骤使用foxmail，学生可自行使用其它pop3连接工具进行实验。配置foxmail正常工作，再次以新浪邮箱为例，实验时可根据自己的实际情况设定 (1) 打开Foxmail软件，在菜单中点击“帐户”选择“新建”选项，如图3.5.249所示。 图3.5.249 选择“帐户|新建”选项 (2) 点击“下一步”，开始帐号设置，如图3.5.250所示。 图3.5.250 点击“下一步”，开始帐号设置 (3) 在“用户名”后面输入在Foxmail里面将来管理这个帐户的名字，然后选择邮件将来存放邮件的路径，(建议您使用默认路径即可)。点击“下一步”继续设置，如图3.5.251所示。 图3.5.251 输入“用户名” (4) 输入自己的发件人的姓名和邮件地址。在对方收到邮件后，邮件的发件人姓名和邮件地址将会显示在此处输入的名字。单击“下一步”继续，如图3.5.252所示。 图3.5.252 输入姓名及邮件地址 (5) 输入新浪免费邮箱邮件服务器的地址。 新浪免费邮箱的邮件服务器地址为： 接收邮件服务器地址(POP3)： 发送邮件服务器地址(SMTP)： (6) 然后输入帐户名称，也就是免费邮箱地址“@”前面的部分。点击“下一步”继续，如图3.5.253所示。 图3.5.253 输入新浪免费邮箱邮件服务器地址 (7) 在“smtp服务器要求身份验证”这个选项前面打上对勾。此选择必须选择，否则将无法正常的发送邮件。点击“完成”后即设置完毕，如图3.5.254所示。 图3.5.254 选择“smtp服务器要求身份验证”选项 (8) 设置完成后，会在Foxmail的左侧看到设置的帐户。此时即可利用Foxmail工具软件对新浪免费邮箱进行邮件的收发了，如图3.5.255所示。 图3.5.255 帐户设置完成 三、 分析TCP数据包 点击收取邮件，分析收发邮件用到的协议为TCP。用Wireshark抓包工具（可从工具箱中下载，Wireshark工具的使用详见ping扫描实验）抓取的数据包，其它信息如下： 第四行为传输层信息，包括源/目的端口、序列号、期望的下个序列号、确认号、头部长度、标志位、窗口长度、校验和等，如图3.5.256所示。 图3.5.256 第四行 第五行为应用层信息，内容由具体的应用层协议决定，此处为pop3协议，显示的是响应内容，如图3.5.257所示。 图3.5.257 第五行 四、 连接时本地与sina服务器之间数据交互过程的分析 从下面截图可以看出本地与sina服务器之间的数据交互过程，其具体过程如下： (1) 准备与服务器进行传输，如图3.5.258所示。 图3.5.258 准备与服务器进行传输 (2) 本地输入用户名，如图3.5.259所示。 图3.5.259 本地输入用户名 (3) 服务器确认OK，如图3.5.260所示。 图3.5.260 服务器确认OK (4) 本地输入密码，如图3.5.261所示。 图3.5.261 本地输入密码 (5) 服务器确认OK，如图3.5.262所示。 图3.5.262 服务器确认OK (6) 进行新邮件的读取，这里显示没有新邮件，最后退出登录，如图3.5.263所示。 图3.5.263 读取邮件、退出 五、 捕获telnet数据包，嗅探密码 (一) 开始抓包 打开wireshark选择合适的网卡，在抓取条件内输入telnet然后开始抓取，如图3.5.264所示。 图3.5.264 输入telnet (二) Telnet过程 (1) 在命令行下输入telnet 172.20.3.178，回车，如图3.5.265所示。 图3.5.265 telnet 172.20.3.178 (2) 进入telnet界面后，首先会提示此种传输会在网络中把密码、发送到一台远程主机上，这样是不安全的，问是否继续进行传送，输入Y肯定继续进行，如图3.5.266所示。 图3.5.266 是否继续进行传送 (3) 确认继续进行后会进入欢迎界面提示输入用户名，输入用户名user(此用户名不固定，可根据具体实验环境而设定)，如图3.5.267所示。 图3.5.267 输入用户名 (4) 输入完用户名后会提示输入密码，输入密码simple，注意输入密码时是不回显的，所以保证输入的用户名没有错误，如图3.5.268所示。 图3.5.268 输入密码 (5) 输入密码回车后则进入了远程主机的命令行窗口，如图3.5.269所示。 图3.5.269 进入了远程主机 至此完成了建立telnet的连接过程。 (三) 数据传输过程分析 完成telnet连接过程后wireshark也同时抓去了此过程的各个数据包，如图3.5.270所示。 图3.5.270 telnet连接过程的数据包 具体分析如下： (1) 前面几个数据包表示本地机器与远程主机进行信息交互，确认建立连接，如图3.5.271所示。 图3.5.271 进行信息交互 (2) 远程主机显示一些基本信息，如图3.5.272所示。 图3.5.272 基本信息 (3) 接下来的两个数据包是表示上面过程中的确认在不安全环境中进行连接。 (4) 然后远程主机显示欢迎信息并要求输入用户名，如图3.5.273所示。 图3.5.273 要求输入用户名 (5) 然后本地主机输入用户名，并且远端主机回显进行确认，这里用户名传输是一个一个字符进行传输的，所以每次进行传输并确认传输的都是一个字符，如图3.5.274至图3.5.281所示。 图3.5.274 字符u 图3.5.275 回显字符u 图3.5.276 字符s 图3.5.277 回显字符s 图3.5.278 字符e 图3.5.279 回显字符e 图3.5.280 字符r 图3.5.281 回显字符r (6) 接下来远端主机会提示输入密码，如图3.5.282所示。 图3.5.282 提示输入密码 (7) 密码在传输过程中是不进行回显的，远程主机直到最后输入完成后才进行确认，如图3.5.283至图3.5.285所示。 图3.5.283 字符1 图3.5.284 字符2 图3.5.285 字符3 (8) 最后就进入了远程主机的命令行窗口内，如图3.5.286所示。 图3.5.286 进入远程主机 至此便完成telnet建立连接整个过程的抓取和分析。