信息安全课设哈工大.docx

1、信息安全课设哈工大Harbin Institute of Technology at WeihaiWebMail 解析作 者： 院 系：计算机科学与技术班 级： 学 号： 指导老师：需要源程序的留下联系方式 哈尔滨工业大学（威海）二零一二年六月目录1.前言 32.涉及的协议简介： 32.1HTTP协议简介： 32.2 TCP/IP协议简介： 43.程序设计思想： 44.程序函数设计： 55. webmail监控源程序 56. 相应截图及说明 91.前言随着网络的发展和普及，浏览网页、QQ聊天、电子留言、电 子邮件己经深入人们的生活。在众多的现代通信方式中，电子邮 件(E- mail)己经成为了

2、其中的重要组成部分。当电子邮件给人 们带来极大便利的同时，也带来了一系列的不安全因素：有害信 息的广泛传播、国家和企业机密的泄露等。为了控制和减少这些 不安全因素的发生，需要建立一系列的安全机制。对传输内容的 监控是较为重要的一种，在监控的过程中，对传输内容的还原又 是最重要的一步。此次实验目的是捕获webmail的登录账号与密码等信息。2.涉及的协议简介：2.1HTTP协议简介： 超文本传送协议 (HTTP) 是一种通信协议，它允许将超文本标记语言(HTML) 文档从 Web 服务器传送到 Web 浏览器。HTML 是一种用于创建文档的标记语言，这些文档包含到相关信息的链接。您可以单击一个链

3、接来访问其它文档、图像或多媒体对象，并获得关于链接项的附加信息。 HTTP工作在TCP/IP协议体系中的TCP协议上。 客户机和服务器必须都支持 HTTP，才能在万维网上发送和接收 HTML 文档并进行交互。 HTTP是一个属于应用层的面向对象的 协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。前一段时间用的是 HTTP/1.0，现在WWW中使用的是HTTP/1.1。而且HTTP-NG(Next Generation of HTTP)的建议已经提出。HTTP主要特征：1.支持客户/服务器模式。2.简单快速：客户向服务器请

4、求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。

5、另一方面，在服务器不需要先前信息时它的应答就较快。2.2 TCP/IP协议简介：Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，一层都呼叫它的下一层所提供的网络来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到

6、目的地。而IP是给因特网的每一台电脑规定一个地址。3.程序设计思想：1.解析http，还原出tcp报文。2.解析tcp，还原出ip报文。3.解析ip报文。4.查找post报文，找到username和password，把其中的参数打印出来。5.分析目的地址，源地址以及端口。6.设置循环，进行捕包。4.程序函数设计：1.http协议数据包解析函数：void http_callback。2.tcp协议数据包解析函数：void tcp_protocol_packet_callback。3. ip协议数据包解析函数：void ip_protocol_packet_callback。4.以太网数据包解析：

7、 void ethernet_protocol_packet_callback。5. webmail监控源程序#include packet.h#include void http_callback(u_char *arg,const struct pcap_pkthdr* pcaket_header,const u_char* packet_content,u_int len) const u_char* p = packet_content + 14 + 20 + len ; char buf1025; char buf11025; int i = 0; u_char* ps = strs

8、tr(p,POST); if(ps != NULL ) while(*ps+ & i tcp_source_port); destination_port = ntohs(tcp_protocol-tcp_destination_port); head_length = tcp_protocol-tcp_offset*4; printf(source port:%dn,source_port); printf(destination port:%dn,destination_port); switch(destination_port) case 80: http_callback(argum

9、ent,packet_header,packet_content,head_length); break; default: break; void ip_protocol_packet_callback(u_char * argument,const struct pcap_pkthdr * packet_header, const u_char * packet_content) struct ip_header * ip_protocol; ip_protocol = (struct ip_header*)(packet_content+14); printf(source addres

10、s :%sn,inet_ntoa(ip_protocol-ip_source_address); printf(destination address :%sn,inet_ntoa(ip_protocol-ip_destination_address); /如果是TCP协议 switch(ip_protocol-ip_protocol) case 6: tcp_protocol_packet_callback(argument,packet_header,packet_content); break; default: break; void ethernet_protocol_packet_

11、callback(u_char *argument,const struct pcap_pkthdr * packet_header, const u_char * packet_content) u_short ethernet_type; struct ether_header *ethernet_protocol; ethernet_protocol = (struct ether_header *)packet_content; ethernet_type = ntohs(ethernet_protocol-ether_type); /如果是IP数据包，则作进一步处理 switch(e

12、thernet_type) case 0x0800: printf(-n); ip_protocol_packet_callback(argument,packet_header,packet_content); break; default: break; int main() pcap_t *pcap_handle; char error_contentPCAP_ERRBUF_SIZE; char *net_interface; struct bpf_program bpf_filter; / 设置过滤字符串 char bpf_filter_string = tcp port 80; bp

13、f_u_int32 net_mask; bpf_u_int32 net_ip; /获取可用的网络设备 net_interface = pcap_lookupdev(error_content); pcap_lookupnet(net_interface,&net_ip,&net_mask,error_content); /打开设备 pcap_handle = pcap_open_live(net_interface,20480,1,0,error_content); /编译过滤规则 pcap_compile(pcap_handle,&bpf_filter,bpf_filter_string,0

14、,net_ip); pcap_setfilter(pcap_handle,&bpf_filter); /是否为以太网 if(pcap_datalink(pcap_handle) != DLT_EN10MB) return; /循环捕包 pcap_loop(pcap_handle,-1,ethernet_protocol_packet_callback,NULL); pcap_close(pcap_handle);6. 相应截图及说明1. 编译产生可执行文件watchwebmail。2运行watchwenbmail抓捕数据并把结果放入1.log日志文件中。2. 从1log中找到有用信息，例如目的地址，源地址，账号密码信息。Ps：如图可知source address（源地址）：172.31.159.56 Destination address（目的地址）：61.125.250.99 Source port（源端口）：43732 Destination port（目的端口）：80 Username：huangchongyuan89 Password：hcy090420226