wireshark分析Inode登陆认证.docx
《wireshark分析Inode登陆认证.docx》由会员分享,可在线阅读,更多相关《wireshark分析Inode登陆认证.docx(13页珍藏版)》请在冰点文库上搜索。
wireshark分析Inode登陆认证
计算机网络原理实验报告
实验名称
wireshark分析Inode登陆认证
实验报告要求:
1.实验目的2.实验要求3.实验环境4.实验作业5.问题及解决
6.思考问题7.实验体会
【实验目的】
用wireshark截包,参考802.1x相关文档,分析inode(802.1X)的认证
【实验要求】
1.在进行实验的主机上运行Windows7操作系统,并将它接入到802.1x局域网。
按要求进行数据包的捕获。
2.对inode认证登录过程进行分析
【实验环境】
在装有Windows7的笔记本,接入以太网,使用WireShark抓包
【实验中出现问题及解决方法】
1.对于Inode的登陆认证过程并不清楚,不清楚它分为哪几步,给包的辨别带来了一定的难度,与小组同学多次讨论实践,整理解决思路。
2.对于PPPOE存在着很大的陌生感,尤其是对其主要流程并不清楚
【实验体会】
有了上次作业抓包分析的经验,这次抓包分析变得熟练了许多,不再那么手忙脚乱,也能更有效的将有效地信息分析出来。
通过分析也让我对Inode的登陆认证过程有了更深的体会。
成绩
教师签名:
日期:
优
良
中
及格
不及格
实验一
抓包分析Inode的认证过程:
打开xp虚拟机,打开wireshark开始抓包,利用Inode连接校园网,结束抓包,分析所得结果,期间不做任何操作。
抓包结果如下
可以看到第18个包EAPOL-Start即为Inode认证开始时向学校服务器发送的一个包,具体包,内容如下,我们对其进行详细分析:
前六个字节,即:
0180c2000003为目的地的MAC地址即学校服务器的MAC地址
然后的六个字节:
c80aa98bfff7为本机的MAC地址,根据下图可以发现,其与MAC地址符合
随后的两个字节888e:
经过上网查找资料以后知道这两个字节代表协议类型,即802.1x协议
随后的两个字节0101:
代表版本信息还有这个数据包的含义,即开始进行认证,期待在服务器找到回应。
可以发现,随后的所有数据都为00和说明向服务器发送的数据包是空的,不包含什么信息。
最后的四个字节00是校验码,其全为0说明数据错误,应为0x8b05f20d。
紧接着,会发现服务器向本机回应了两个数据包,一个为request一个为response,我们对request进行分析:
其六个字符仍然为本机的MAC地址,表示此为服务器向本机MAC发送的数据包紧随其后的六个字节是服务器的MAC地址,可以看到两组数据互换了一下即表示数据包的发送方向相反。
随后的888e仍表示802.1x的协议类型。
第18个字节代表消息长度为5,所以紧随其后的0101000501,表示的是ExtensibleAuthenticationProtocol(可扩展认证协议)。
其中,第1个字节表示Code字段(01表示的是Request,值为2表示的是response)第2个字节表示的是EAP消息的序号Id是1。
0005表示的该消息的长度是5字节。
最后一个01表示类型,表示Identity,是身份的认证。
继续分析response:
可以发现,其帧的封装和request完全一致,不同的是第17,18字节002e,为16进制数,代表信息长度为46字节。
第19字节为02代表与request01相对的response信息。
20字节表示字节字段值为01。
21和22字节仍未002e代表信息长度46。
23字节01表示身份认证
24字节一直到帧尾,表示本机向服务器传送的信息,其中包含inode账号129100440
随后分析request,MD5-Challenge
可以看出,这个数据包是由服务器发送给本机的。
第17,18字节0016表示此帧信息长度为22。
第19字节01表示为request,20字节表示id信息为2。
21,22字节0016仍未长度为22。
23字节,04代表加密类型为MD5-Challenge【RFC3748】。
第24字节字段表示Value字段的长度为10。
之后10字节为Value字段内容,是服务器向本机提供的随机数,值为4j46587630506d4f06023c8640a3b23。
MD5算法用于加密,是服务器生成一段随机数,然后发送给本机,本机利用MD5算法对这段随机数和密码一起进行运算,然后将结果发送给服务器,由服务器进行对比,对比正确,则密码正确。
最后四位表示校验码,切校验正确。
随后分析MD5-request
由图可以看出这段帧是由本机发往服务器的,第17,18位001f表示帧长度为31。
0202表示帧类型为response,id为2。
04仍表示MD5加密算法,10表示值长度为16,紧跟着的16位为随机数和密码进行了MD5加密以后的值,将其传给服务器,有服务器判定是否正确。
而这一帧较上一帧相比多了Extradata,为用户名信息。
最后分析EAP-succes
帧格式基本与前几帧相同,第19字节03代表帧类型为success。
20字节02代表id为2。
0004代表信息长度为4。
最后四位为校验位,表示校验正确。
从而完成整个Inode的登陆认证过程,值得注意的是,在登陆的过程中,服务器向本机发送了两帧,但是其含义并不清楚,有待我们进一步学习以后得出结论。
实验二:
分析PPPOE协议流程
PPPOE协议重要分为两大部分,即发现和会话,主要分析发现过程,发现过程共有四部,包括发起,请求,提供,确认等过程。
发现阶段,首先识别局端的以太网MAC地址,并建立一个PPPoESESSION-ID。
在发现阶段,基于网络的拓扑,主机可以发现多个接入集中器(AC),然后允许用户选择一个。
当发现阶段成功完成,主机和选择的接入集中器都有了他们在以太网上建立PPP连接的信息。
直到PPP会话建立,发现阶段一直保持无状态的Client/Server(客户/服务器)模式。
一旦PPP会话建立,主机和接入集中器都必须为PPP虚接口分配资源。
下面分析发现阶段
●发起:
有效发现启动包(PADI):
PPPOE发现阶段的第一步,用户以广播的方式发送PADI数据包,请求建立链路,从截图中可以看出,数据的前六位均为ff,表示的意思是广播,在Destination中也已经进行了标注,这个数据包是以广播的形式发送的,随后的bcaec5dad992为本机的Mac地址,在参考信息中,我们可以看到正与本机的Mac地址吻合。
由图可知,8863代表的事这个数据包为PPPOE的发现数据包。
随后的11表示版本和类型均为1,09表示code字段。
接下来的00表示会话ID(SessionID)。
随后的0010表示为载荷长度为16。
最后的16字节为PPPOE的标签信息。
●请求:
有效发现提供包(PADO):
AC在接到服务范围内PADI请求以后,发现服务器有效发现提供包对其进行响应。
可以看到数据的前六个字节表示的目的地址正式本机的Mac地址,表示是发往本机的数据包,而紧随其后的六个字节0030881129c8表示的是服务器的Mac地址,8863仍表示发现阶段,11表示版本,类型均为1,07表示code值为0x07,sessionID仍为空,0063表示有效载荷为99.接下来的信息权威数据包的标志字段,我们可以在其中发现,多了多了Host-uniq,AC-name,serviceName等等信息
●有效发现请求包(PADR):
因为PADI数据包是广播的,所以主机可能收到不止一个的PADO报文。
主机在收到报文后,会根据AC-Name或者PADO所提供的服务来选择一个AC,然后主机向选中的AC单播一个PADR数据包。
与上几个包进行对比,可以发现,这是一个由本机发往服务器的数据包,且处于发现阶段,版本及类型均为1,19表示请求包的code字段为0x19,0014表示有效载荷为20。
其余的信息为PPPOE的标示,其中包含了一个主机名称xyxf,表示主机请求的服务。
●有效发现会话确认(PADS)包:
AC在接收到PARD包以后,为PPPoE会话创建一个唯一的会话ID,并用单播一个PADS数据包来给主机做出响应。
由图可以看出,这是一个由主机Mac发往本机的数据包,仍未发现阶段,版本,类型均为1.code值为0x65,会话ID为已创建好的ID:
0x1ada。
会话阶段
●LCP协商
LCP的request主机和AC都要给对方发送,LCP协商阶段完成最大传输单元,是否进行认证和采用何种认证方式的协商等工作。
由下图可以看出,这是一个由主机发往AC的数据包,8864表示正在进行的是PPP的会话阶段。
版本和类型都为1,code值为0,还可以看到会话ID,SessionID为在发现阶段就已经定好的0x1ada。
0013表示有效载荷长度为19.c0x21表示的事pointtopointprotocol的类型为链路控制数据LCP。
01表示code值为1,接下来的00表示标示符为0,0011表示信息长度为17.01指类型域为MRU(可接受最大传输单元),0x04为长度,0x05c8为其内容, 0x05指魔术字,06为长度,437d1279为内容。
与上一个数据包不同的是这个也为LCP协商数据包,但是是由AC发往本机的,目标地址正为本机Mac。
前6个字节为目的地址,接着6个为源地址,接下大部分与上一数据包,0x0015为净荷长度为21,c021指LCP协议,01指code为1,2e指标识符,0013指长度,01指类型域为MRU(可接受最大传输单元),04为长度,05d4为其内容,03指AP(要求对端验证的协议),0x05指长度,c223指信息字段是安全性认证CHAP,0x05指魔术字,06为长度,070f1a5b为内容
●认证阶段:
在图中可以看出,数据包是由服务器发往本机的认证请求,在其中0223表示使用的是CHAP协议。
认证信息中包含服务器名MS-ZZ-WHL-RBSE800-001,以及用于认证的随机数0x60d547eeeafb04b4e9bebb0ee035ec69。
第12,13帧Identification是客户端应服务器请求发出的身份信息
第14帧response是客户端返回的本机名yMbCgmhIiKL和用第11帧随机数和本机身份信息计算出的随机数0x8e9fbe65ab1e4d4ad199b97e0760c636,
第15,16帧CodeReject表示AC无法识别第10,11帧报文的类型字段,加以拒绝。
第17帧Success(PPPCHAP)表示认证成功,返回消息CHAPauthenticationsuccess,unit3471。
。
●IPPC协商
这个阶段用于用户和接入设备对IP服务阶段的一些要求进行多次协商,以决定双方都能够接收的约定。
下图此数据包为主机向AC进行IP请求。
8021指协议为IPCP,01指code为1,07为标识符,0x0022为长度,后面的为选项内容。
对ip 地址的申请。
下图为AC向主机宣告自己的ip地址,前面的同上。
030600000000指IP address:
0.0.0.0
第21帧表示主机对AC的确认,指自己已经知道了AC的ip地址为123.13.232.1
第25帧表示为AC对主机说明IP地址123.13.232.1是不合法的,让其用123.13.232.151。
0x8021指协议域为IPCP,0x03为code:
Configuration Nak,08为标识符,10为长度,03067b0ee897指:
IP address:
123.13.232.151
第26帧表示主机接收到AC提供的IP后进行修改并重新发送,第27帧ConfigurationAck表示接受
全部接受以后,IP地址申请结束。
升级会员 