嗅探器實用工具介紹之NetXray

NetXray是一款常用的嗅探器，也是個功能強大的軟件，他具備了常用的嗅探功能，并且使用方便。下面我們來看看他的具體用法和步驟:

1，整體輪廓

因為NetXray是英文版的，對討厭E文的朋友來說是件令人頭疼的事，所以先了解大體的筐架是有必要的:NetXray的主界面:

菜單欄有六個選項，分別為文件(file)、捕獲(capture)、包(packet)、工具(tools)、窗口(window)和幫助(help)。

它的工具欄里集合了大部分的功能，依次為:打開文件(Open)、保存(Save)、打印(Print)、取消打印(Abort Printing)、回到第一個包(First Packet)、前一個包(Previous)、下一個包(Next)、到達最后一個包(Last Packet)、儀器板(Dashboard)、捕獲板(Capture Panel)、包發(fā)生器(Packet Generator)、顯示主機表(Host Table)等。

NetXray的大部分功能都能用工具欄里的按鈕實現(xiàn)。

2，確定目標

依次點擊:Capture菜單中Capture Filter Setting，單擊Profilems選擇New，進入如下對話(圖2)，在New Profile Name中輸入First，以Default為模板選擇OK，然后選擇Done，在New Profile Name中輸入First，以Default為模板選擇OK，然后Done。

設置過濾所有目標IP是xxx.xxx.xxx.xxx的報文，即指向Any輸入:xxx.xxx.xxx.xxx現(xiàn)在就可以開始抓包了，同時用IE登陸你剛才輸入的IP，會發(fā)現(xiàn)NetXray窗口中的指針在移動，等到他提示你過濾到包后，就可以停止抓包了。

選中一個目標IP是xxx.xxx.xxx的報文，選擇菜單條中的PacketàEdit Display Filte，選擇"Data Pattern"，選擇"Add Pattern"，到TCP層選中8080目標端口，用鼠標選擇"set data"，在name中輸入"TCP"。點擊OK，確定，然后在Packet中選擇"Apply Display Filter"。以后用proxy規(guī)則過濾將只過濾目標IP是xxx.xxx.xxx.xxx、目標端口是8080的報文。

3，設定條件(端口)

確定好了目標，先面來設定嗅探的條件:依次選擇:Filter SettingàData Pattern，舉一例說明:過濾經過bbs(端口2323)的IP包，先選中第一行，用Toggle AND/OR調整成OR，如下圖(圖3)選擇Edit Pattern，在彈出的對話框里設置:Packet 34 2 Hex(十六進制)，從頂頭開始填寫 09 13，(因為十進制的2323對應十六進制的0x0913)，而IP包使用網絡字節(jié)順序，高字節(jié)在低地址。起名為beginbbs，單擊OK，再次選擇Edit Pattern，Packet 36 2 Hex 從頂頭開始填寫 09 13 起名為endbbs，單擊OK。于是最外層的OR下有兩個葉子，分別對應兩個Pattern。

4，實戰(zhàn)開始

NetXray所謂的高級協(xié)議過濾事實上就是端口過濾，用上面介紹的方法指定源端口、目標端口均過濾0x00 0x17(23)，就可以達到和指定telnet過濾一樣的效果。因為telnet就是23端口，所以如果想捕捉一個非標準telnet的通信，必須自己指定端口過濾。

如果是分析telnet協(xié)議并還原屏幕顯示，只需要抓從server到client的回顯數(shù)據即可，因為口令不回顯，這種過濾規(guī)則下抓不到口令明文。用NetXray抓從client到server包，指定過濾PASS關鍵字。

設置方法如下先指定IP過濾規(guī)則，CaptureàCapture Filter Setting…設定為 any <--> any，以最大可能地捕捉口令。然后增加一個過濾模式，Packet 54 4 Hex 0x50 41 53 53，再增加一個過濾模式，Packet 54 4 Hex 0x70 61 73 73。兩者是or模式，因為這種關鍵字在網絡傳輸中大小寫不敏感。剩下的就是等口令來了。

注意，不必指定過濾特定高級協(xié)議，直接指定過濾IP協(xié)議族就可以了，用這種辦法ftp/pop3口令是很容易看清楚的。

嗅探器工具NetXray的內容就為大家敘述到這里，關于嗅探器原理和防護的的使用請讀者閱讀：

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]