每年这个新学期开始的时候,我都会向学生们去安利WireShark,告诉他们这个工具将会打开通往网络世界的大门。絮叨一番它的各种好处之后,末了还要再加上一句“现在的书不管国内国外大都还是在介绍1.X版的操作,咱们上课时就用2.X版的,这才叫与时俱进!”
今年我仍然打算在启动WireShark的时候重复这句话,谁知一条“当前Wireshark的最新版本为3.0,是否更新到这个版本”提示不合时宜的跳了出来,让我那句“这才叫与时俱进”生生的憋了回去。
细想想,要是不改名的话,Wireshark已经20好几岁了,按说出个8.X也是正常。垂垂老矣的我只能感慨时间过的太快,太多的事情还没有做。这些年阅读了高手介绍WireShark在网络分析的心得,收获颇丰。但是在WireShark的另一个领域网络取证方面,去很少有人提及,想想很是可惜,今天抛砖引玉,也来聊聊WireShark的取证功能。
这里我向你推荐一个很有意思的网站“http://forensicscontest.com”这个网站中提供了一些很专业的题目用于帮助我们学习WireShark的使用。国内很多安全类比赛的题目也都源于这个网站。我们来看一下里面提供的第一个网络取证题目:
“翠花到底干了些啥?!”
行业巨鳄“大富贵”公司怀疑他们的雇员翠花是竞争对手“南天门”公司的卧底。但是发现的太晚了,公司的重要机密,翠花知道的都差不多了。大富贵公司的安全人员王大力担心翠花有可能会泄露这些机密。咋办,干掉她,肯定不行啊,这也不是拍电影,报警吧,可是人家翠花也没干啥啊。
所以这些天可把王大力愁坏了,干脆吧,只要翠花上班,就派人盯着她,可人家翠花不愧是搞无间道的,就是没有任何的把柄。
不过就在今天,有人开始搞事情了,一个从未使用过的笔记本电脑连接到了大富贵公司的无线网络中。王大力打算放长线钓大鱼,假装没发现,一面悄悄的监听它的通信,一面派人四处在大楼里寻找这台笔记本电脑。
谁知大楼找遍了,也没有见到这个笔记本的踪影。王大力这才反应过来,一拍脑袋“啊呀我去,这货肯定是藏在地下车场了”。此时已经晚了,网络监控已经显示这台笔记本已经断开连接了。
不过,狐狸的尾巴还是露出来了,根据网络监控,就在刚才翠花的计算机(192.168.1.158)将一些信息通过无线网络发送到那台笔记本电脑上了。
“翠花,你这个胆子也是忒大了点了,居然在我眼皮子底下搞事情!”王大力虽然没有抓到现行,但是有了这个这个期间监听到的数据包,料想王翠花这个卧底是没跑了。不过接下来手下的报告却让他又傻眼了。
“我们捕获到了他们通信时的数据包”公司的网络监控人员向王大力汇报“但是我们并不知道发生了什么,这需要专业的网络取证人员。”
好了,现在你就是王大力请来的网络取证工作人员李元芳,现在王大力想知道的就是到底翠花在和谁联系,她都干了些啥,对,你还得回答他下面这些问题:
1.和翠花通信的好友叫什么名字?
2.在这次通信时发出的第一条消息是什么?
3.翠花传送了一个文件,这个文件的名字为什么?
4.这个文件中Magic number是什么(最前面的4个bytes)
多说一句,Magic number是啥,是幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般来说,硬盘数据恢复软件(如 EasyRecovery),就是靠分析磁盘上的原始数据,然后根据文件幻数来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件(真实的文件内容可能没有被覆盖)。
5.这个文件的MD5值为多少?
6.这个文件的内容是什么?
文件的下载地址http://forensicscontest.com/contest01/evidence01.pcap。
我们先来看第一个题目,和翠花通信的好友(buddy)叫什么名字?,首先使用WireShark打开其中刚刚捕获到的evidence01.pcap文件。现在我们可以肯定的是翠花使用了某种通信工具在和外界进行通信,那么她使用的是什么呢,ICQ、Skype或者QQ?(注意其实这个问题在原来的题目中已经给出了答案,这里为了增加难度,所以假设事先不知道)这里我们可以在数据包中来一查究竟。经过仔细观察之后,我们除了开始的一些ARP和TCP数据包之外,第23个数据包显示使用了SSL协议,这是一个加密的格式,我们猜测这就是翠花在和外界通信时产生的数据包。虽然它的内容采用了加密的格式,但是它的IP协议头部却给带来了我们了一个惊喜。这个数据包的目的地址是64.12.24.50。
图片1.png
这里我们最好为WireShark添加显示地理位置的插件,这样就可以直接查看这个数据包的目的所在地。
图片2.png
这里我们看到了这个数据包发往了“AOL Transit Data Network”,国内的用户对于AOL可能有些陌生,不过它在美国可是曾经很有名气的。不知道没关系,怕啥,有事不明问百度呗!我们求助搜索引擎,在百度里面搜索“AOL 通信工具”,很快就得到了有用的信息。
图片3.png
原来翠花用的通信工具就是AIM啊,另外我们还查询到了这个工具使用的是443端口。那么接下来就好办了,WireShark中早就已经提供了对AIM信息的解析方法。这里我们只需要将SSL加密的数据包重新解析为AIM格式即可。首先在第23个数据包上单击鼠标右键,然后选择“Decode as”选项,就可以打开"Decode As"对话框了。
图片4.png
这个对话框一共分成5个部分,第1列Field表示使用端口的类型,第2列Value表示使用的端口值,第3列Type表示类型,第4个为默认的解析协议,第5个为用户要指定的解析协议。对这里面的进行修改,我们的目的是凡是使用443端口的通信都使用AIM进行解析。那么将Field修改为TCP Port,将Value修改为443,将Current修改为AIM。
图片5.png
好了设置完成之后,我们就可以单击Save按钮保存设置,然后在在数据包列表面板中查看所有的信息。这里面原来显示为SSL的数据包,现在都已经显示为AIM信息了。
图片6.png
好了现在我们回到第一个问题上来,和翠花通信的好友(buddy)叫什么名字?找到第一条“AIM Messaging”,也就是第25个数据包,展开里面的信息,发现它分成了两层“AOL Instant Messenger”和“AIM Messaging,Outgoing”,我们依次展开两层,很快就找到了答案。
图片7.png
翠花联系的好友的名称原来就是Sec558user1,这是啥名啊,一看就不是正经人啊!
好了第2个问题在这次通信时发出的第一条消息是什么,这个问题就简单多了,展开第一条AIM Messaging这个数据包的TLV部分,
图片8.png
第3个问题,翠花传送了一个文件,这个文件的名字叫什么?我们在WireShark中使用“data”作为显示过滤器来查看哪些数据包中包含了数据。
图片9.png
在这里面选择一个数据包,然后单击鼠标右键选择Follow>TCP Stream,打开的窗口如图10所示。
图片10.png
好了,其实不用提取这个文件,我们就已经看到了这个文件的名称是recipe.docx了。
第4个问题,这个文件中Magic number是什么(最前面的4个bytes),这里我们首先需要了解一下它的概念。Magic number,即幻数,它可以用来标记文件或者协议的格式,很多文件都有幻数标志来表明该文件的格式。一般而言,硬盘数据恢复软件(如 EasyRecovery),就是靠分析磁盘上的原始数据,然后根据文件幻数来试图匹配文件格式,从而尝试识别出磁盘中那些已经从文件系统登记表中删除的文件。
我们将数据流中的文件提取出来,将这个文件保存为evidence01.raw,然后使用winhex打开,这个文件实际内容是从recipe.docx后面开始的,根据题目中给出的提示答案为最前面的4个bytes,所以为“50 4B 03 04”。这里面涉及到一些文件格式方面的知识,大家如果感兴趣的话可以去参考一些相关的资料。
图片11.png
然后我们将这个PK前面的部分删除掉,再保存为recipe.docx。
图片12.png
5.这个文件的MD5值为多少?
计算MD5的值其实和WireShark没有什么关系,但是在取证方面却很重要,这相当于给文件添加了一个身份证,以防止它被篡改。
图片13.png
这个你可以使用任何的MD5工具来计算它的MD5值,这个题目最后的答案为8350582774e1d4dbe1d61d64c89e0ea1。
最后一个问题,这个文件的内容是什么?,在解答第4个问题的时候,我们已经将网络中的TCP数据流保存成为了recipe.docx,现在只需要打开这个word文档,就可以看到里面的内容了。
图片14.png
好了,有一起学习交流的朋友可以加群:4112676
网友评论