[原创]使用科来网络分析系统捕捉网络中的用户名密码！

菜鸟人飞

我们知道，现在网络中有很多的邮箱、论坛的信息都是未加密的，也就是说他们以明文方式传输数据，在这种情况下，我们可否通过抓取它们的通讯数据包，来窃取网络中的用户名和密码呢？答案是可以的，下面我们就来看看具体的实现方法。

菜鸟人飞

使用科来网络分析系统捕捉网络中的用户名和密码
我们知道，现在网络中有很多的邮箱、论坛的信息都是未加密的，也就是说他们以明文方式传输数据，在这种情况下，我们可否通过抓取它们的通讯数据包，来窃取网络中的用户名和密码呢？答案是可以的，下面我们就来看看具体的实现方法。
注意：本文仅提供一个思路，意在说明网络中的通讯是不安全的，参照本文的思路进行的任何非法操作以及造成的任何不良后果，均与作者无关。
我们这里所提到的邮箱论坛专指工作于网页下的，所以，在捕捉数据前，我们可以设定一个过滤器，只捕获HTTP的通讯，这样将减少数据干扰并有利于数据分析。
在科来网络分析系统中，设定如下图的过滤器，也就是只捕获HTTP协议通讯的过滤器。

菜鸟人飞

设定好过滤器后，开始捕捉网络中的数据通讯。几分钟后，从系统中看到捕获到了大量HTTP通讯的数据，于是停止捕获，并切换到数据包视图，如下。

从上图可知，有59个数据包，那怎么才知道这些数据包是否包含用户名密码信息，以及用户名密码在哪个数据包中呢？
查HTTP协议可知，以表单方式提交数据时，使用的方法是POST，而我们这儿提到的论坛邮箱这，都是以表单方式提交数据工作的。签于此，我们搜索POST关键字，查看包含该关键字的数据包，这样就可以对这些数据包进行快速检索，以确定是否有用户名密码信息。
在数据包视图的右键菜单中选择查找（或直接按Ctrl+F），进行如下图所示的设置。

然后单击查找下一个，或者选中所有都可以，这时，匹配查找内容（post）关键字的数据包就会高亮显示，如下图，同时，在图中，我们清楚地看到了loginuser和loginpwd，而loginuser的值就是用户名（这里是cheng1981326），loginpwd的值就是用户名对应的密码（这里作者隐去）。

菜鸟人飞

在IE中打开该网页（221.226.226.226，从日志中查看到对应域名是http://bbs.net5u.net/index.php），测试用户名和密码是否正确，如下图，完全正确。


上面就是捕捉的整个过程，由于网络通讯的不安全性，通过上面的简单方法就可以很轻松地捕捉网络中的各种登录信息（加密的除外）。
总结：网络通讯是透明不安全的，对于一些机密的信息，请勿以明文方式传输。


CSNA网络分析论坛　菜鸟人飞
2006-5-23

jiesen

不错，不错，真不错，这个软件真好呀！

菜青虫

呵呵，好文~我也试过

但是对于有些加密的，我们在loginpwd得到的是一个加密字符串，

我们可以通过手段还原吗？如果能还原，那还是不安全滴

libin125_0

好象现在流行的都是md5加密的方式吧？

用一个md5的解密工具应该还是可以还原密码的吧。

呵呵，听说的，还没有弄过。

hy0933

不错，不错，真不错,可否有PPPOE分析

菜青虫

ADSL可以看到用户密码

但是ADSL的用户和密码一般都做了绑定的，知道了也不是很大用处

yanzi19811026

ADSL的怎么看？

菜鸟人飞

ADSL拨号使用的协议是PPPOE，只要软件支持PPPOE的解码，就可以了，如下图。

hy0933

非常好,有创意,好象我的没有

sncp

楼主的实验应该是在使用hub构建的网络中抓包分析的吧？
目前小型局域网大多使用交换机来构建，在这种情况下还需要采用arp欺骗技术才有可能完美捕获别人的数据报文。

菜鸟人飞

原帖由 sncp 于 2006-5-26 12:58 发表
楼主的实验应该是在使用hub构建的网络中抓包分析的吧？
目前小型局域网大多使用交换机来构建，在这种情况下还需要采用arp欺骗技术才有可能完美捕获别人的数据报文。

可能的拓扑环境：
1.以HUB连接的共享式以太网
将安装科来网络分析系统的主机连接到HUB的任意端口都可以
2.以Switch连接的交换式以太网
在交换式以太网中，如果交换机具备镜像功能，请在交换机上配置好端口镜像操作，再将安装科来网络分析系统的主机连接到镜像端口上；如果不具备镜像功能，请在交换机上串接一个HUB或者TAP，再将安装科来网络分析系统的主机连接到HUB或TAP上，这样也可以捕获全部通讯的
另外，在不具备镜像功能的交换式以太网中，还有一个旁门的方法实现数据捕获，也就是您所讲的ARP欺骗，但这个是很容易被分析软件找出来的，那时，就不好了，嘿嘿．．．

天蓝

太危险了吧，大家千万不要用于非法用图哈。难怪这篇文章的人气这么高呢。

dogdogdog

很强^_^
所以不要用国内的mail服务器噢

Roy

大家的确应该有此安全意识。
重要商务邮件应该使用数字签名加密。
公司内部也可以统一部署Stunnel隧道方式将普通的POP3/SMTP加密。
选择个人邮箱的时候，应该选择支持HTTPS webmail的服务提供商。
IM通讯，也应该选择支持SSL加密的软件，比如jabber（需插件和服务器支持），skype等。

icefired

sniffer工具也是一把双刃剑。

jiesen

还是要多用，多练习，多看！尤其是基本原理及包的结构方面！

ValorZ

原帖由 菜鸟人飞 于 2006-5-26 13:12 发表

可能的拓扑环境：
1.以HUB连接的共享式以太网
将安装科来网络分析系统的主机连接到HUB的任意端口都可以
2.以Switch连接的交换式以太网
在交换式以太网中，如果交换机具备镜像功能，请在交换机上配置好端口镜 ...

Er...我搞破坏的时候，基本都是开一台虚拟机出来的。。。查出来的概率很小。

ValorZ

其次,Sniff最多最多最多也只能sniff一个冲突域中的数据，不在一个冲突域，怎么sniff也sniff 不到

菜鸟人飞

原帖由 ValorZ 于 2006-5-31 14:12 发表
其次,Sniff最多最多最多也只能sniff一个冲突域中的数据，不在一个冲突域，怎么sniff也sniff 不到

交换机有多个冲突域吧，在交换式网络中我们可以sniff到吗？答案是肯定的。

ValorZ

原帖由 菜鸟人飞 于 2006-5-31 15:05 发表

交换机有多个冲突域吧，在交换式网络中我们可以sniff到吗？答案是肯定的。

不可能从一个冲突域,SNIFF到另外一个冲突域中的东西的吧。

其次，现在的局域网，不刻意而为（接上个HUB），怎么可能有交换式的网络。。
现在交换机基本都是点阵式的了。
而且一般都划分vlan，这样的话，SNIFF基本很难实现。

我所说的角度是从普通局域网用户来看的。
而作为网管，当然有条件创造出交换式的网络来，SNIFF当然可以了

菜鸟人飞

当然，如果人人都可以这样，网络岂不乱套了。
网络分析软件本来就是主要为网络管理人员提供的。

sss3

哪里有科来软件的破解的啊，现在用试用版，功能限制啊

lrm6000

楼主好!
     想问下,用科来得知用户名和密码,你是在局域网中的任何一台电脑上完成的吗?

lrm6000

楼主好:
     简单试用了"科来",有个问题想问下,这个软件是不是也和某些网管软件一样,需要安装在网络的出口处?
      以前安装过一些网管软件,需要用HUB安装在网络出口处或者在路由器上做端口镜像,才能使用.

菜鸟人飞

安装部署位置取决于你的需求，基本上如你所说。
具体可参考http://www.csna.cn/forum.php?mod=viewthread&tid=355

[ 本帖最后由 菜鸟人飞 于 2006-6-19 13:15 编辑 ]

夜雨惊雷

谢谢提供如此好的电子文档

masinfo

怎样才能获得　金钱