北邮网络及其内容安全 Wireshark实验报告 HTTP协议及攻击分析.docx

1、北邮网络及其内容安全 Wireshark实验报告 HTTP协议及攻击分析网络及其内容安全Wireshark实验报告HTTP协议及攻击分析*学号：*班级：20132111242016年10月31日一、Wireshark实验过程1. 安装并打开Wireshark网络分析器，并选择要分析的网络（如图所示，本实验中为WLAN），双击之后软件自动开始抓包。2. 以登录北邮教务系统为例，进行HTTP报文的分析。首先在命令提示符中查询到本机和主机的IP地址，如图所示，本机IP为10.8.181.189，教务系统的IP为10.3.255.178。3. 开始抓包后登录北邮教务系统，输入用户名、密码、验证码，点击

2、登录（如图）。登陆成功后停止抓包。4. 设置过滤器，过滤从10.8.181.189发往10.3.255.178的HTTP数据包，输入http & ip.src=10.8.181.189 & ip.dst=10.3.255.178即可完成过滤，如下图所示。从图中选取POST（发送）的报文，双击具体分析。5. 该软件可以将报文拆分成OSI七层结构的一部分，从上至下依次为物理层、数据链路层、网络层、传输层、应用层。而最后一个是HTML的表单（HTTP报文的正文内容），包含我发送的数据。具体分析，物理层的信息如下图所示，包括编号、长度、到达时间等等信息。数据链路层的信息如下图所示，包括发送方物理地址、

3、接收方物理地址、网络层协议类型。网络层的信息如下图所示，包含IP包的各项内容。传输层的信息如下图所示，包括TCP包的各项内容。应用层的信息如下图所示，包括HTTP包的各项内容。在HTTP包中，就已经包含了下面表单填写的内容，只不过为了分析方便，把表单内容单列出来。表单内容如下图所示，从图中可以看出，表单中共包含四项：type（类型）、zjh（用户名）、mm（密码）、v_yzm（验证码）。后三个都是自行填写的内容，比如这里用户名为2013210640,，验证码为f69p。直接分析HTTP报文的正文内容部分，也可以发现这些信息（明文传输），如下图所示。还可以选择将该报文信息导出。二、HTTP协议格

4、式简介超文本传输协议（HTTP）是一种基于ASCII码指令的指令-回应协议，指令和回应协议的基本信息结构如下图所示。HTTP的请求类型如下表所示，实验中选取的是一条POST类型的HTTP包，用于向服务器提供数据。当然，有请求便会有回应，也会有一系列回应码与之对应，在此不列出了。HTTP消息头部的格式如下图所示。一般头部包括关于请求或回应的消息；请求头部用于其你去消息；回应头部报告关于服务器和被请求文档的返回信息；实体头部包含的是关于消息正文所包含的数据的信息，例如编码的类型和数据的长度。三、针对HTTP协议的攻击分析一般对于一个协议的攻击分为四类：基于头部的攻击、基于协议的攻击、基于验证的攻击

5、、基于流量的攻击。在HTTP协议中，基于验证的攻击和基于流量的攻击最为普遍。1.基于头部的攻击由于头部简单且任何无效的指令或回应都被忽略了，因此基于头部的攻击不是很常见。由于客户端（浏览器）和服务器都使用自由头部，而且包好了几个能够控制数据解析方式的选项，因此HTTP协议的确出现了一些值得注意的问题。Web服务器和浏览器的早期版本易受到缓冲溢出攻击。有几个攻击能够通过发送过长的指令来占用固定长度的缓冲区。今天更大的问题是关于客户端和服务器端的可执行能力。Web服务器可以处于另一个程序的前端，从浏览器直接向另一个应用传递数据。这位攻击者提供了使用HTTP协议向另一个应用传输攻击的机会。另一种头部

6、攻击是使用HTTP协议来获取不属于任何超连接文档集合的文件。攻击者可以为了某些文件而搜索一个网站，这些文件有时是通过在URL里包括一个文件名而默认被留在服务器上的。对于攻击者而言，这些文件通常包含的是无用的信息，但是有时这些文件可能包含验证信息或其他重要数据。一个普通的配置错误就可能吧Web密码文件遗忘在文档目录里。如果攻击者能找到这个文件，他就能够使用公共域攻击软件获得有效的用户名和密码。2.基于协议的攻击HTTP协议很简单，故几乎没有基于协议的攻击。3.基于验证的攻击基于验证的攻击是HTTP攻击中最常见的类型。在Web服务器中使用好几种验证方法，且许多被应用实现，但不被HTTP协议直接支持

7、。在HTTP数据包种验证数据作为载荷发送。HTTP协议支持验证来控制对存储在Web服务器上文件的访问。Web服务器包含许多文档，他们被存储在文件中，而这些文件能被组织成一系列的目录与子目录。HTTP的验证设计要控制对基于用户名和密码的目录访问，对目录中文档的访问可以基于浏览器的IP地址。从安全的角度讲，HTTP验证提示并非很安全，因为用户名和密码是用明文发送的。此外，密码能被猜出来，就像任何基于网络的注册机制一样，都有相同的问题。密码问题的解决办法就是教育用户选择安全密码。另一个基于验证的攻击是电子欺骗。用户被诱骗进入一个他认为是属于某个机构的网站，而事实上这个网站是伪装的。伪装的网站能够使用

8、户不知不觉地暴露出像密码、账户信息、个人信息的数据。包含超链接的电子邮件信息经常被作为一种使用户登录虚假网站的方法。由于大多数网站没有主机验证，因此就要教育用户减少攻击。加密能够帮助提供主机验证。然而大多数人并不关注他们是否被连接到一个已加密的网络。另外，如果你通常使用一个安全站点处理业务，那么当你被骗进入一个未加密的伪装网站时，浏览器不会警告你。4.基于流量的攻击Web服务器易于受到几种基于流量的攻击。攻击者通过制造数量巨大的请求来控制服务器。Web服务器所允许的同时连接的数量是有限的。有时只是正常的流量就能导致Web服务器达到它的极限，并开始拒绝连接。当一个站点在短时间内变得非常流行时，这

9、种情况能够发生，也有一些导致相同效果的攻击工具。为了达到服务器的极限而打开多重连接并保持它们的激活状态，这将有效地使网站宕机。由于网站的目标时常是吸引流量，而不是限制流量，因此没有好办法来阻止这一情况的发生。这种类型的攻击产生的另一个副作用就是导致接近Web服务器的路由器因流量过载而成为瓶颈，这一结果将导致互联网的访问几近中断。对于HTTP协议来说，另一个主要问题就是它是一个明文协议，因此易于遭受数据包嗅探。在一些情况中，这可能是一个保密问题，而不是一个安全问题。例如，通过嗅探到的流量，可以分辨某人所访问的网站和他所浏览的网页，即使网络流量被加密，嗅探程序仍能分辨访问过的IP地址。有这样一些情

10、况，其网络流量是敏感的。例如，用明文访问一个银行账户将暴露财务数据。对网络嗅探主要的减少办法是使用数据加密。对一个到网站的连接进行加密的主要方法就是HTTPS，它使用安全套接字层（SSL）。SSL被多种应用使用以提供一个加密的信道，下图说明了HTTPS的结构。HTTPS采用公钥加密，服务器给浏览器提交一个公钥证书以验证服务器，并开始回话加密密钥的协商。服务器的公钥证书由签名机构签署，签名权被用来认证公钥证书的真实性。浏览器检验服务器所提供的要求签名权的证书。浏览器检查它当前的证书，看是否有与签名权证书匹配的证书。如果匹配则使用签名权的公钥来认证所接受证书的真实性。当用户访问各种各样的安全网站时，他将获得新的证书。用户也可以获得新的能投提供其他证书授权的签名权证书。服务器也能给浏览器提供没有被证书权力结构所签署的证书。在这种情况下，浏览器将提示用户注意是否将接受证书。用户可以拒绝，也可以选择接受。四、参考文献1Douglas Jacobson，introduction to Network Security，CRC Press，2009