流量分析-网络层安全协议(IPsec)

在VPN中传送的信息都是经过加密的,提供这种加密服务的就是IPsec

IPsec协议族

IPsec是能够在IP层提供互联网通信安全的协议族;实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数

IPsec协议族中的协议可分为以下三部分:

  • IP安全数据包格式的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议
  • 有关加密算法的三个协议
  • 互联网秘钥交换IKE

AH协议提供源点鉴别和数据报完整性,但不能保密;ESP协议提供源点鉴别、数据完整性和保密。AH协议的功能都已包含在ESP协议中,因此使用ESP协议就可不使用AH协议

使用ESPAH协议的IP数据报称为IP安全数据报
,它可以在两台主机之间、两个路由器之间或一台主机一台路由器之间发送;所谓安全数据报是指数据报的数据部分是经过加密的,并能够被鉴别的

安全关联SA

在发送IP安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接,即安全关联SA。安全关联是从源点到终点的单向连接,它能够提供安全服务;如需进行双向安全通行,则两个方向都要建立安全关联

建立安全关联SA的路由器或主机,必须这条维护SA的状态信息,其状态信息应包括:

  • 安全参数索引SPI
  • 安全关联的SA的源点和终点的IP地址
  • 所使用的加密类型
  • 加密的秘钥
  • 完整性检查的类型
  • 鉴别使用的秘钥

流量分析

安恒二月月赛流量分析

在过滤器中输入http

发现了robots.txt文件,进行http流追踪

发现最后一行Disallow,搜索含有abc.html的数据包

进行http流追踪

发现有一个md5数据,两个DES数据,则先将这三行数据保存下来,接着分析

发现有一些使用ESP协议的数据,即IP安全数据报,则刚好可以用刚才获取的秘钥解密

选中-右键-协议首选项-Open Encapsulating Security Payload preference(打开封装安全有效负载首选项)

找到ESP,将后两个选项勾选上,然后点Edit

填写相关信息,点击确定

之后查看解密出来的信息

推测文件名为ascii码,写脚本跑出flag

1
2
3
info = [102, 108, 97, 103, 123, 50, 55, 98, 48, 51, 98, 55, 53, 56, 102, 50, 53, 53, 50, 55, 54, 101, 53, 97, 57, 56, 100, 97, 48, 101, 49, 57, 52, 55, 98, 101, 100, 125]
for i in info:
print(chr(i),end='')