Sniffer常见问题集
作者:backend
FAQ目录:
* 什么是sniffer及其工作原理
* 哪里可以得到sniffer
* 如何监测主机正在窃听(sniffed)
* 阻止sniffer
o 主动集线器
o 加密
o Kerberos
o 一次性口令技术
o 非混杂模式网络接口设备
什么是sniffer及其工作原理
与电话电路不同,计算机网络是共享通讯通道的。支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。
以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包,而不理会数据包头内容,这种方式通常称为“混杂”模式。由于在一个普通的网络环境中,帐号和口令信息以明文方式在以太网中传输,一旦入侵者获得其中一台主机的root权限,并将其置于混杂模式以窃听网络数据,从而有可能入侵网络中的所有计算机。
哪里可以得到sniffer
Sniffer是黑客们最常用的入侵手段之一。例如Esniff.c,是一个小巧的工具,运行在SunOS平台,可捕获所有telnet、ftp、rloing会话的前300个字节内容。这个由Phrack开发的程序已成为在黑客中传播最广泛的工具之一。
你可以在经过允许的网络中运行Esniff.c,了解它是如何有效地危及本地机器安全。
以下是一些也被广泛用于调试网络故障的sniffer工具:
* Etherfind on SunOs
* Snoop on Solaris 2.x and SunOs
* Tcpdump
* Packetman, Interman, Etherman, Loadman
商用sniffer:
* Network General.
Network General开发了多种产品。最重要的是Expert Sniffer,它不仅仅可以sniff,还能够通过高性能的专门系统发送/接收数据包,帮助诊断故障。还有一个增强产品"Distrbuted Sniffer System"可以将UNIX工作站作为sniffer控制台,而将sniffer agents(代理)分布到远程主机上。
* Microsoft's Net Monitor
对于某些商业站点,可能同时需要运行多种协议——NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种sniffer帮助解决网络问题,因为许多sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor (以前叫Bloodhound)可以解决这个难题。它能够正确区分诸如Netware控制数据包、NT NetBios名字服务广播等独特的数据包。(etherfind只会将这些数据包标识为类型0000的广播数据包。)这个工具运行在MS Windows 平台上。它甚至能够按MAC地址(或主机名)进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的,只要在一个对话框中单击需要监视的主机即可。
-------------------------------------------------------------------------------
如何监测主机正在窃听(sniffed)
要监测只采集数据而不对任何信息进行响应的窃听设备,需要逐个仔细检查以太网上所有物理连接。
不可能通过远程发送数据包或ping就可以检查计算机是否正在窃听。
一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统,通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer,但这样将只能捕获本机会话。入侵者也可能通过在诸如sh、telnet、rlogin、in.telnetd等程序中捕获会话,并将用户操作记录到其它文件中。这些都可能通过监视tty和kmem等设备轻易发现。只有混杂模式下的sniffing才能捕获以太网中的所有会话,其它模式只能捕获本机会话。
对于SunOS、NetBSD和其它BSD Unix系统,如下命令:
"ifconfig -a"
会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口,可以运行如下命令:
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default https://www.doczj.com/doc/162276928.html, UG 1 24949 le0
localhost localhost UH 2 83 lo0
然后通过如下命令检查每个网络接口:
#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
入侵者经常会替换ifconfig等命令来避开检查,因此一定要检查命令程序的校验值。
在https://www.doczj.com/doc/162276928.html,:/pub/tools/的cpm程序(SunOS平台)可以检查接口是否有混杂模式标记。
对于Ultrix系统,使用pfstat和pfconfig命令也可能监测是否有sniffer运行。
pfconfig指定谁有权限运行sniffer。
pfstat显示网络接口是否处于混杂模式。
这些命令只在sniffer与内核存在链接时有效。而在缺省情况,sniffer是没有与内核链接的。大多数的Unix系统,例如
Irix、Solaris、SCO等,都没有任何标记来指示是否处于混杂模式,因此入侵者能够窃听整个网络而却无法监测到它。
通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中,sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。建议使用lsof程序搜索访问数据包设备(如SunOS的/dev/nit)的程序和记录文件。
阻止sniffer
主动式集线器只向目标地址主机发送数据包,从而使混杂模式sniffer失效。它仅适用于10Base-T以太网。(注:这种现在已在计算机市场消失。)
只有两家厂商曾生产过主动式集线器:
* 3Com
* HP
随着交换机的成本和价格的大幅度降低,交换机已成为非常有效的使sniffer失效的设备。目前最常见的交换机在第三层(网络层)根据数据包目标地址进行转发,而不太采取集线器的广播方式,从而使sniffer失去了用武之地。
加密
目前有许多软件包可用于加密连接,从而使入侵者即使捕获到数据,但无法将数据解密而失去窃听的意义。以下是以前常用的一些软件包
* deslogin
https://www.doczj.com/doc/162276928.html,:/pub/tools/unix/deslogin .
* swIPe
https://www.doczj.com/doc/162276928.html,:/pub/cypherpunks/swIPe/
* Netlock
Kerberos
Kerberos是另一个加密网络中帐号信息的软件包。它的缺点是所有帐号信息都存放在一台主机中,如果该主机被入侵,则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等,它可以防止入侵者捕获用户在登录完成后所进行的操作。
Kerberos FAQ可从ftp站点https://www.doczj.com/doc/162276928.html,中得到:
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
一次性口令技术
S/key和其它一次性口令技术一样,使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输),当用户连接时会获得一个“挑战”(challenge)信息,用户将这个信息和口令经过某个算法运算,产生正确的“响应”(response)信息(如果通讯双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的“挑战/响应”也不会出现两次。S/key可从以下网址得到:ftp://https://www.doczj.com/doc/162276928.html,/pub/nmh/skey
还有一种一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自帐号的数字号码的ID卡。如果没有这个ID 卡,不可能猜出这个数字号码。
以下是提供这类解决方案的公司资料:
Secure Net Key (SNK)
Digital Pathways, Inc.
201 Ravendale Dr. Mountainview, Ca.
97703-5216 USA
Phone: 415-964-0707 Fax: (415) 961-7487
Secure ID
Security Dynamics,
One Alewife Center
Cambridge, MA 02140-2312
USA Phone: 617-547-7820
Fax: (617) 354-8836
Secure ID uses time slots as authenication rather than challenge/response. ArKey and OneTime Pass
Management Analytics
PO Box 1480
Hudson, OH 44236
Email: fc@https://www.doczj.com/doc/162276928.html,
Tel:US+216-686-0090 Fax: US+216-686-0092
WatchWord and WatchWord II
Racal-Guardata
480 Spring Park Place
Herndon, VA 22070
703-471-0892
1-800-521-6261 ext 217
CRYPTOCard
Arnold Consulting, Inc.
2530 Targhee Street, Madison, Wisconsin
53711-5491 U.S.A.
Phone : 608-278-7700 Fax: 608-278-7701
Email: Stephen.L.Arnold@https://www.doczj.com/doc/162276928.html,
CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.
SafeWord
Enigma Logic, Inc.
2151 Salvio #301
Concord, CA 94520
510-827-5707 Fax: (510)827-2593
For information about Enigma ftp to: https://www.doczj.com/doc/162276928.html, in directory
/pub/sa/safeword
Secure Computing Corporation:
2675 Long Lake Road
Roseville, MN 55113
Tel: (612) 628-2700
Fax: (612) 628-2701
debernar@https://www.doczj.com/doc/162276928.html,
非混杂模式网络接口设备
以前,大多数IBM DOS兼容机器的网卡都不支持混杂模式,所以无法进行sniffing。但DOS已退出计算机网络舞台,对于现在计算机市场中的网络接口设备,请向供应商查询是否为非混杂模式设备(即不支持混杂模式)。
使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行:首先,如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer 进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防范。
目录 第1章 Sniffer软件简介............................................................................................................ 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析................................................................................................................ 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ...................................................................................................................... 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能................................................................................................................ 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议................................................................................................................................ 5-3 5.4 ARP协议............................................................................................................................ 5-5 5.5 PPPOE协议......................................................................................................................... 5-6 5.6 Radius协议 ....................................................................................................................... 5-9
sniffer使用及图解 sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1) 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2)
接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3) 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4) 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,
sniffer使用及图解 注:sniffer使用及图解sniffer pro 汉化注册版下载 黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载 sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1) 图1 点击放大 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2) 图2 接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3) 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4) 图4 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utiliz ation%网络使用率”,“Packets/s 数据包传输率”,“Error/s错误数据情况”。其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。(如图5) 图5
目录 第1章 Sniffer软件简介 .............................................................................................................. 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析.................................................................................................................. 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ........................................................................................................................ 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能.................................................................................................................. 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解 .......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议 ................................................................................................................................ 5-3 5.4 ARP协议 ............................................................................................................................ 5-5 5.5 PPPOE协议.......................................................................................................................... 5-6 5.6 Radius协议 ........................................................................................................................ 5-9
实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 【实验内容】 第一部分:学习sniffer 1.首先,打开Sniffer Pro程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。打开了程序后,会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2.打开Sniffer Pro程序后,选择Capture(捕获)-Start(开始),或者使用F10键,或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口,这样后面就可以节省一点时间。 3.下面,在Sniffer Pro程序中,会看到高级系统(Expert)被自动调用,如图2所示。打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。
图2 开始捕获过程时调用高级系统 4.浏览图2中的屏幕。高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。单击这个箭头后,会显示出高级功能的另一部分窗口,如图3所示。 5.你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能,就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。在图4中,你会看到这两个卷标都消失了,被两个窗口取代。如果要改变视图,只需要将鼠标停在图4中圈起的位置,这时箭头的形状会改变,然后可以将这一栏上移,就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节
Sniffer功能和使用详解 一Sniffer介绍 Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文 的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网 络Sniffer的分类 如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。 二sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。 1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,Sniffer
sniffer pro的使用 先来看看, sniffer pro Dashboard 网络流量表 Host Table 网络连接表,可以直观的看出连接你的主机,还可以用MAC/IP/IPX,三种显示。 Applicatien Response Time 主机回应指数,可以选择协议的, TCP/UDP下的http.Ftp 等等。 Matrix (让我想到黑客帝国)这里是查看网路连结,很立体的那种。 Protocol Distribution 显示网络中协议的使用量, IP/ARP/IPX Global statistics 整体网络使用显示 下面是Capture 下的选项: Start 开始捕捉
Display 显示 Define Filter 设置过滤 下面是Tools 下的选项: Address Book 地址本 Packet Generator 数据发送机 Ping 工具 (这些都是常用的工具) Trace Route Dns lookup Finger Who is Customize user Tools 用户自定义工具,可自己把工具加上去。选项 高级选项 大体上是这样了!现就抓几个包来看看啦! 1. Telnet密码 1.1 由本机连接到别的开telnet的主机 和netxray的用法一样, Define filter ---> advanced
在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包: 当你想停止sniff时,按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码,从上往下, chi就是用户名。 1.2 本地主机开了Telnet, 并进行监听 这里也许会麻烦点,不过是为了过滤掉没用的Tcp数据包,好, Capture --> Define filter -> Advanced
IRIS Traffic Analyzer简易教程 说到Sniffer软件大家可能马上就能想起NAI的Sniffer Pro。Sniffer Pro虽然功能特性丰富,但是操作起来有些繁缛。再这里我给大家介绍一款简单实用的Sniffer软件,那就是我们今天的主角:Iris Traffic Analyzer。我将以Iris Traffic Analyzer 4.0.7为蓝本结合几个简单案例给大家简单讲讲Iris的使用 一.IRIS特性简介 Iris师出名门---eeye,eeye是一家以网络安全见长的公司,它的扫描器以及其他安全方案在业界也算鼎鼎大名了。 好了,我也不废话了,先简单但说说Iris有哪些特性和优点。 简单小巧 Iris的最大特点,在你安装完成之后,只需简单的点一下界面上一个按钮就可以开始Sniffing抓包了! Iris的安装文件也不到5M,安装下来才占用10多M。对比Sniffer Pro这些而言可谓苗条身材。
见下图中话圆圈的地方: 易上手 没有那么繁多的功能+简单易用的界面。上手当然是易如反掌。 再说说Iris有那些值得称道的功能。 (1)抓包 嘿嘿,只要是Sniffing软件这个功能是必备的! Iris的一个非常好的方面就是把抓包和Decode,察看包的内容集成在一个界面里面。这样你就可以在一边抓包一边察看包的内容,以及包头含义等等。 (2)解码 支持大部分的TCP/IP协议!这样对一般的抓包分析应用就已经足够了。 (3)包的编辑以及重新发送功能 你可以对自己抓到的数据报文进行简单修改然后重新发送。 同时,IRIS也带简单的流量统计分析功能 二.IRIS的安装
1捕获面板 报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析 下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。 对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,
Sniffer嗅探、抓包实验 实验目的 通过实验,掌握常用嗅探工具的安装与使用方法,理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构,了解FTP、HTTP等协议明文传输的特性,建立安全意识,防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机,其中一台安装Sniffer软件,两台PC机互联。 实验用时 3学时(约120分钟) 实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障,主要用于网络管理和维护,通过它,可以诊断处通过常规工具难以解决的疑难问题,包括计算机之间的异常通信,不同网络协议的通信流量,每个数据包的源地址和目的地址等,可以提供非常详细的信息。 实验步骤: 1、首先安装Sniffer软件。安装过程有关图片如下:如果此过程速度比较缓慢,一般与电脑速度较慢有关。安装完成后重新启动计算机。注意:需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下:包括工具栏、网络监视面 板、多种视图等,其中,Dashboard可以监控网络的利用率、流量、及错误报文等内容,从Host table可以直观的看出连接的主机,用其IP显示。 3、获取被监视方机器的IP,假设A机监视B机的活动,A应知道B机的IP 地址,在实验环境下,操作B机的同学可以输入Ipconfig命令查询自己的IP 地址,并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键,可以看到网络中的Traffic Map视图,单击左下角的MAC地址,IP地址或IPX使视图
①虚拟机安装: 实验环境: 操作系统Microsoft Windows 8 专业版(64位) CPU (英特尔)Intel(R) Core(TM) i7-3517U CPU @ 1.90GHz(2401 MHz) 主板华硕S400CA 内存12.00 GB ( 1600 MHz) 主硬盘500 GB (希捷ST500LT012-9WS142 已使用时间: 2715小时) 显卡Intel(R) HD Graphics 4000 (2112 MB) 显示器LG LG Display 32位真彩色60Hz 声卡High Definition Audio 设备 网卡Qualcomm Atheros AR9485WB-EG Wireless Network Adapter 虚拟机版本:Vmware 9.0 一.下载XP系统的光盘镜像(可在内网下载浙师大版的XP) 二.虚拟机软件的安装 桌面上下载完的文件 解压得到 先运行setup,将软件安装到电脑上,注册码可以在注册机中生成,然后汉化,汉化需要先将VM相关的服务停止才可以,右击计算机-管理-服务与应用程序-服务
将VMware的相关服务的启动类型改为停用,然后将汉化文件覆盖到安装目录中,汉化就完成了,下面是汉化好的VMware 9.0:(网上最新有10.0,支持原生中文) VM的图标: 系统托盘的图标: 主界面:
三.虚拟系统的安装与配置选择文件-新建虚拟机 选择自定义,下一步
兼容性选择9.0就行,下一步 选择安装盘的位置,软件会自动识别操作系统版本,然后下一步
从网上找一个XP系统的密钥,然后下一步 设定虚拟机的名称和位置,下一步
实训一、网络诊断工具Sniffer的使用 一、Sniffer工具介绍 概述 Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特 征,解决网络问题,将介绍一套合理的故障解决方法。 与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray 并不支持,在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000 和Windows XP上正常运行,Sniffer Pro 4.6可以运行在各种Windows平台上。 Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这 也是它与Netxray相比的一个缺点。 功能简介 下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer 的在线帮助。 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器 上接收数据。位置:File->select settings 选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上,Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。对于安装在Windows 2000/XP上则无上述功能,这和操作系统有关。 本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。
Sniffer的数据包分析与防范 【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。 鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。 关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范 1.信息监听的意义; 我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。 监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。 2、Sniffer的介绍; Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。 Sniffer的优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 Sniffer是个非常之危险的东西,它可以截获口令,可以截获到本来是秘密的或者专用信道内的信息,截获到信用卡号、经济数据、E-mail等等,更加可以用来攻击与己相临的网络。 3、网络数据包的结构;
实验二 网络抓包——sniffer pro 的使用 实验目的: 1. 了解网络嗅探的原理; 2. 掌握Sniffer Pro 嗅探器的使用方法; 实验学时:2课时 实验形式:上机 实验器材: 联网的PC 机 实验环境:操作系统为Windows2000/XP 实验内容: 任务一 熟悉Sniffer Pro 工具的使用 任务二 使用Sniffer Pro 抓获数据包 实验步骤: 任务一 熟悉Sniffer Pro 工具的使用 1. Sniffer Pro 工具简介 Sniffer 软件是NAI 公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包,并进行分析。 2. 使用说明 在sniffer pro 初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro 才可以把网卡设置为混杂(Promiscuous )模式,以接收在网络上传输的数据包。 Sniffer Pro 运行后的主界面如图2所示。 (1 )工具栏简介如图3所示。 图1 网卡设置 图2 sniffer pro 主界面 图3工具栏
快捷键的含义如图4所示。 (2 )网络监视面板简介 在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图 5所示。 (3)捕获数据包窗口简介 Sniffer 软件提供了强大的分析能力和解码功能。如图6所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 捕获停止 捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口
超级网络嗅探器——Sniffer pro 的使用 Sniffer软件是NAI公司推出的功能强大的协议分析软件。实现对网络的监控,更深入地了解网络存在的问题,检测和修复网络故障和安全问题。 Sniffer可以监听到网上传输的所有信息,主要用来接收在网络上传输的信息。 Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等,还可以用来攻击与自己相临的网络。 Sniffer的功能主要包括如下几方面: 捕获网络流量进行详细分析。 利用专家分析系统诊断问题。 实时监控网络活动情况。 监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。 支持主要的LAN、WAN和网络技术。 提供在位和字节水平过滤数据包的能力。 1 Sniffer Pro的启动和设置 2 理解Sniffer Pro主要4种功能组件的作用: 监视:实时解码并显示网络通信流中的数据。 捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。 分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。 显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。 3 学会sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。 环境: windows XP, windows 7,能访问INTERNET。
Sniffer pro主界面 在默认情况下,Sniffer将捕获其接入的域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。 定义过滤规则的做法一般如下: (1) 在主界面选择【Capture】→【Define Filter】。 (2) 在“Define Filter”对话框中选择“Address”选项卡,这是最常用的定义。其中包括MAC地址、IP地址和IPX地址的定义。以定义IP地址过滤为例,如图3-20所示。 图3-20 定义IP地址过滤 (3) 在“Define Filter”对话框中选择“Advanced”选项卡,定义希望捕获的相关协议