简介
在本挑战中,你将扮演一名网络安全专家,调查公司内部潜在的数据泄露事件。你的任务是使用 Wireshark 分析网络流量,确定是否有用户凭据以明文形式传输,这可能解释了敏感信息是如何被窃取的。
该挑战要求你检查近期网络通信的数据包捕获(PCAP)文件,以搜寻泄露的登录凭据。通过应用数据包分析技术,你将识别出用户名和密码在未经适当加密的情况下被传输的实例,从而凸显出使用安全协议处理身份验证数据的重要性。
查找泄露的登录凭据
公司检测到潜在的数据泄露。作为网络安全专家,你需要分析近期的网络流量,以确定是否有用户凭据以明文形式传输,从而找出泄露原因。
任务
- 创建一个显示过滤器,用于查找包含「user」、「pass」或「login」字样的数据包
- 识别并提取任何泄露的凭据
- 按要求格式记录发现的凭据
要求
使用 Wireshark 打开位于
/home/labex/project/network_analysis/company_traffic.pcap的数据包捕获文件创建一个显示过滤器,以显示包含可能凭据信息的数据包
你的过滤器必须在数据包内容中搜索「user」、「pass」或「login」字样
在测试过滤器有效后,点击过滤器栏中的「+」按钮保存该过滤器以供验证
一旦找到凭据,请将其保存到名为
/home/labex/project/network_analysis/found_credentials.txt的文件中,格式如下:username: [found username] password: [found password]
示例
当你应用正确的过滤器时,Wireshark 应仅显示包含凭据信息的数据包。携带凭据的数据包在数据包列表中可能显示为 HTTP 或 TCP,因此请重点关注匹配的数据包内容,而不仅仅是「协议」(Protocol)列。
No. Time Source Destination Protocol Length Info
1 0.000000 192.168.0.2 192.168.0.1 TCP 193 51234 -> 80 [PSH, ACK] Len=139
在检查数据包详细信息或追踪流时,你应该能够看到以明文形式显示的凭据信息:
GET /login.php HTTP/1.1
content: username=admin&password=secret123
你的 found_credentials.txt 文件应如下所示:
username: admin
password: secret123
提示
- 在终端中使用
wireshark命令启动 Wireshark - 若要打开数据包捕获文件,请使用 File > Open 并导航到文件所在位置
- 显示过滤器栏位于 Wireshark 窗口的顶部
- 若要使用 OR 逻辑搜索多个术语,请使用管道符号(|)
- 搜索数据包内容,而不是仅依赖「协议」列,因为匹配的请求在数据包列表中可能显示为 TCP 数据包
- Wireshark 过滤器默认区分大小写
- 你可以使用
nano或gedit等任何文本编辑器创建凭据文件
总结
在本挑战中,我学习了如何使用 Wireshark 分析网络流量,并识别与凭据泄露相关的潜在安全漏洞。任务包括检查公司网络流量的 PCAP 文件,以定位用户凭据以明文形式传输的实例,这可以解释已检测到的数据泄露。
通过仔细的数据包检查,我发现了一个包含未加密 username=admin&password=secret123 数据的登录请求。根据 Wireshark 解析数据包的方式,它在数据包列表中可能显示为 HTTP 或 TCP,因此本次练习也强化了直接检查数据包内容的重要性,而不是仅仅依赖协议标签。本次练习凸显了使用 HTTPS 等加密协议传输敏感信息的重要性。
