网络嗅探与协议分析 验收作业

网络嗅探与协议分析 验收作业
任务详情
（1）根据教材参考代码，编写有个简单网络抓包工具。要求核心代码和运行结果截图1-2张。（3分）代码push到码云（1分）

（2）找一个网站或者搭建一个本地网站，登录网站，并嗅探，分析出账号和密码，结果截图1-2张。（3分）可以用邮箱、各类博客、云班课，只能分析自己的账号，严禁做各类攻击，否则后果自负。

实践一
使用 mitmproxy + python 做拦截代理
顾名思义，mitmproxy 就是用于 MITM 的 proxy，MITM 即中间人攻击（Man-in-the-middle attack）。用于中间人攻击的代理首先会向正常的代理一样转发请求，保障服务端与客户端的通信，其次，会适时的查、记录其截获的数据，或篡改数据，引发服务端或客户端特定的行为。

在 windows 中，以管理员身份运行 cmd 或 power shell：
pip3 install mitmproxy
安装结束。
完成后，系统将拥有 mitmproxy、mitmdump、mitmweb 三个命令，由于 mitmproxy 命令不支持在 windows 系统中运行（这没关系，不用担心），我们可以拿 mitmdump 测试一下安装是否成功，执行：
mitmdump --version
编写一个 py 文件供 mitmproxy 加载，文件中定义了若干函数，这些函数实现了某些 mitmproxy 提供的事件，mitmproxy 会在某个事件发生时调用对应的函数，形如：

import mitmproxy.http
from mitmproxy import ctx
num = 0
def request(flow: mitmproxy.http.HTTPFlow):
global num
num = num + 1
ctx.log.info("We've seen %d flows" % num)

1. 针对 HTTP 生命周期
   def http_connect(self, flow: mitmproxy.http.HTTPFlow):
   (Called when) 收到了来自客户端的 HTTP CONNECT 请求。在 flow 上设置非 2xx 响应将返回该响应并断开连接。CONNECT 不是常用的 HTTP 请求方法，目的是与服务器建立代理连接，仅是 client 与 proxy 的之间的交流，所以 CONNECT 请求不会触发 request、response 等其他常规的 HTTP 事件。

def requestheaders(self, flow: mitmproxy.http.HTTPFlow):
(Called when) 来自客户端的 HTTP 请求的头部被成功读取。此时 flow 中的 request 的 body 是空的。

def request(self, flow: mitmproxy.http.HTTPFlow):
(Called when) 来自客户端的 HTTP 请求被成功完整读取。

def responseheaders(self, flow: mitmproxy.http.HTTPFlow):
(Called when) 来自服务端的 HTTP 响应的头部被成功读取。此时 flow 中的 response 的 body 是空的。

def response(self, flow: mitmproxy.http.HTTPFlow):
(Called when) 来自服务端端的 HTTP 响应被成功完整读取。
def error(self, flow: mitmproxy.http.HTTPFlow):
2. 针对 TCP 生命周期
def tcp_start(self, flow: mitmproxy.tcp.TCPFlow):
(Called when) 建立了一个 TCP 连接。

def tcp_message(self, flow: mitmproxy.tcp.TCPFlow):
(Called when) TCP 连接收到了一条消息，最近一条消息存于 flow.messages[-1]。消息是可修改的。

def tcp_error(self, flow: mitmproxy.tcp.TCPFlow):
(Called when) 发生了 TCP 错误。

def tcp_end(self, flow: mitmproxy.tcp.TCPFlow):
(Called when) TCP 连接关闭。

3. 针对 Websocket 生命周期
   def websocket_handshake(self, flow: mitmproxy.http.HTTPFlow):
   (Called when) 客户端试图建立一个 websocket 连接。可以通过控制 HTTP 头部中针对 websocket 的条目来改变握手行为。flow 的 request 属性保证是非空的的。

def websocket_start(self, flow: mitmproxy.websocket.WebSocketFlow):
(Called when) 建立了一个 websocket 连接。

def websocket_message(self, flow: mitmproxy.websocket.WebSocketFlow):
(Called when) 收到一条来自客户端或服务端的 websocket 消息。最近一条消息存于 flow.messages[-1]。消息是可修改的。目前有两种消息类型，对应 BINARY 类型的 frame 或 TEXT 类型的 frame。
def websocket_error(self, flow: mitmproxy.websocket.WebSocketFlow):
(Called when) 发生了 websocket 错误。

def websocket_end(self, flow: mitmproxy.websocket.WebSocketFlow):
(Called when) websocket 连接关闭。

4. 针对网络连接生命周期
   def clientconnect(self, layer: mitmproxy.proxy.protocol.Layer):
   Called when) 客户端连接到了 mitmproxy。注意一条连接可能对应多个 HTTP 请求。

def clientdisconnect(self, layer: mitmproxy.proxy.protocol.Layer):
(Called when) 客户端断开了和 mitmproxy 的连接。

def serverconnect(self, conn: mitmproxy.connections.ServerConnection):
(Called when) mitmproxy 连接到了服务端。注意一条连接可能对应多个 HTTP 请求。

def serverdisconnect(self, conn: mitmproxy.connections.ServerConnection):
(Called when) mitmproxy 断开了和服务端的连接。
def next_layer(self, layer: mitmproxy.proxy.protocol.Layer):
(Called when) 网络 layer 发生切换
5. 通用生命周期
def configure(self, updated: typing.Set[str]):
(Called when) 配置发生变化。updated 参数是一个类似集合的对象，包含了所有变化了的选项。在 mitmproxy 启动时，该事件也会触发，且 updated 包含所有选项。
def done(self):
(Called when) addon 关闭或被移除，又或者 mitmproxy 本身关闭。由于会先等事件循环终止后再触发该事件，所以这是一个 addon 可以看见的最后一个事件。由于此时 log 也已经关闭，所以此时调用 log 函数没有任何输出。
def load(self, entry: mitmproxy.addonmanager.Loader):
(Called when) addon 第一次加载时。entry 参数是一个 Loader 对象，包含有添加选项、命令的方法。这里是 addon 配置它自己的地方。
def log(self, entry: mitmproxy.log.LogEntry):
(Called when) 通过 mitmproxy.ctx.log 产生了一条新日志。小心不要在这个事件内打日志，否则会造成死循环。
def running(self):
(Called when) mitmproxy 完全启动并开始运行。此时，mitmproxy 已经绑定了端口，所有的 addon 都被加载了。
def update(self, flows: typing.Sequence[mitmproxy.flow.Flow]):
(Called when) 一个或多个 flow 对象被修改了，通常是来自一个不同的 addon。

实践二、
使用工具：Wireshark
抓捕对象：4399网站的账号和登录密码
首先选取网卡，我用的是WiFi，选择的接口为就是WLAN

设置捕获过滤器，过滤掉部分包ip src host 192.168.31.7后面的IP地址为本地IPv4地址，多一嘴，开始→运行→输入cmd→输入ipconfig就可以查看IP地址了，然后就准备开始

第二步：打开目标网站进行登录
网站登录界面

登录成功后停止抓包

第三步：结果分析

已经抓取了很多的网络包，需要滤掉掉暂且用不到的包。由于表单的提交大部分用POST请求（具体是GET还是POST看url就可以），所以这里只要显示HTTP协议中POST请求的包。我们设置应用显示过滤器的过滤语句为 http.request.method==POST，将此过滤字符串应用于显示。
打开 THML Form URL Encode 会看到一些提交的表单信息

username和password便是登录名和密码了，但是密码加密了。为了这个实验，注册4399小游戏网站，竟然要省份证信息，怕信息泄露，把账号又给注销了，吐槽一下4399真的辣鸡客服系统，排队要几个小时，然后说了话，客服不回答，自动退出，还有排队几小时。可能就是专门坑小学生钱的网站吧。垃圾网站。

加分项2分：注意本次加分项不加到额外10分里，加到本次实验中。例如，本次实验7分，算上加分可得9分。
抓取手机App的登录过程数据包，分析账号和密码。可以用邮箱、各类博客、云班课，只能分析自己的账号，严禁做各类攻击，否则后果自负。
使用 Charles 抓包工具，对手机抓包。

首先，将电脑与 iPhone 连接在同一个 wifi 中，将 Charles 的代理功能打开。在 Charles 的菜单栏上选择 “Proxy”–>“Proxy Settings”，填入代理端口 8888，并且勾上 “Enable transparent HTTP proxying” 就完成了在 Charles 上的设置。如下图所示:

接着，获取电脑端 IP 地址：192.168.31.7

在 iPhone 的 “ 设置 ”–>“ 无线局域网 ” 中，可以看到当前连接的 wifi 名，通过点击右边的详情键，可以看到当前连接上的 wifi 的详细信息，包括 IP 地址，子网掩码等信息。在其最底部有「HTTP 代理」一项，将其切换成手动，然后填上 Charles 运行所在的电脑的 IP，以及端口号 8888，如下图所示：

配置完成，会看到一个charles与手机端的连接提示弹窗，选择allow即可

尝试登录邮箱后，在 Charles 左侧的 Sequence 视图下，可以抓取到 POST 请求方法，如图：

抓包工具charles的使用参考文献：https://www.cnblogs.com/Blueelves001/p/11598659.html