|
NetXray是一款常用的嗅探器���,也是個(gè)功能強(qiáng)大的軟件����,他具備了常用的嗅探功能��,并且使用方便�����。下面我們來(lái)看看他的具體用法和步驟:
1�,整體輪廓
因?yàn)镹etXray是英文版的,對(duì)討厭E文的朋友來(lái)說(shuō)是件令人頭疼的事��,所以先了解大體的筐架是有必要的:NetXray的主界面:
菜單欄有六個(gè)選項(xiàng),分別為文件(file)�、捕獲(capture)、包(packet)�����、工具(tools)��、窗口(window)和幫助(help)��。
它的工具欄里集合了大部分的功能�,依次為:打開文件(Open)��、保存(Save)���、打印(Print)����、取消打印(Abort Printing)��、回到第一個(gè)包(First Packet)����、前一個(gè)包(Previous)�����、下一個(gè)包(Next)����、到達(dá)最后一個(gè)包(Last Packet)����、儀器板(Dashboard)、捕獲板(Capture Panel)����、包發(fā)生器(Packet Generator)、顯示主機(jī)表(Host Table)等���。
NetXray的大部分功能都能用工具欄里的按鈕實(shí)現(xiàn)�。
2���,確定目標(biāo)
依次點(diǎn)擊:Capture菜單中Capture Filter Setting�����,單擊Profilems選擇New��,進(jìn)入如下對(duì)話(圖2)�����,在New Profile Name中輸入First��,以Default為模板選擇OK�����,然后選擇Done�,在New Profile Name中輸入First,以Default為模板選擇OK��,然后Done�����。
設(shè)置過(guò)濾所有目標(biāo)IP是xxx.xxx.xxx.xxx的報(bào)文��,即指向Any輸入:xxx.xxx.xxx.xxx現(xiàn)在就可以開始抓包了���,同時(shí)用IE登陸你剛才輸入的IP,會(huì)發(fā)現(xiàn)NetXray窗口中的指針在移動(dòng),等到他提示你過(guò)濾到包后�����,就可以停止抓包了��。
選中一個(gè)目標(biāo)IP是xxx.xxx.xxx的報(bào)文����,選擇菜單條中的PacketàEdit Display Filte,選擇"Data Pattern"�,選擇"Add Pattern",到TCP層選中8080目標(biāo)端口����,用鼠標(biāo)選擇"set data",在name中輸入"TCP"�����。點(diǎn)擊OK���,確定�����,然后在Packet中選擇"Apply Display Filter"�����。以后用proxy規(guī)則過(guò)濾將只過(guò)濾目標(biāo)IP是xxx.xxx.xxx.xxx��、目標(biāo)端口是8080的報(bào)文���。
3�����,設(shè)定條件(端口)
確定好了目標(biāo)�,先面來(lái)設(shè)定嗅探的條件:依次選擇:Filter SettingàData Pattern��,舉一例說(shuō)明:過(guò)濾經(jīng)過(guò)bbs(端口2323)的IP包���,先選中第一行,用Toggle AND/OR調(diào)整成OR���,如下圖(圖3)選擇Edit Pattern���,在彈出的對(duì)話框里設(shè)置:Packet 34 2 Hex(十六進(jìn)制),從頂頭開始填寫 09 13,(因?yàn)槭M(jìn)制的2323對(duì)應(yīng)十六進(jìn)制的0x0913)�����,而IP包使用網(wǎng)絡(luò)字節(jié)順序�,高字節(jié)在低地址。起名為beginbbs����,單擊OK,再次選擇Edit Pattern�����,Packet 36 2 Hex 從頂頭開始填寫 09 13 起名為endbbs��,單擊OK���。于是最外層的OR下有兩個(gè)葉子�����,分別對(duì)應(yīng)兩個(gè)Pattern��。
4�,實(shí)戰(zhàn)開始
NetXray所謂的高級(jí)協(xié)議過(guò)濾事實(shí)上就是端口過(guò)濾,用上面介紹的方法指定源端口����、目標(biāo)端口均過(guò)濾0x00 0x17(23),就可以達(dá)到和指定telnet過(guò)濾一樣的效果��。因?yàn)閠elnet就是23端口�����,所以如果想捕捉一個(gè)非標(biāo)準(zhǔn)telnet的通信�,必須自己指定端口過(guò)濾。
如果是分析telnet協(xié)議并還原屏幕顯示����,只需要抓從server到client的回顯數(shù)據(jù)即可,因?yàn)榭诹畈换仫@��,這種過(guò)濾規(guī)則下抓不到口令明文�����。用NetXray抓從client到server包�,指定過(guò)濾PASS關(guān)鍵字�。
設(shè)置方法如下先指定IP過(guò)濾規(guī)則�,CaptureàCapture Filter Setting…設(shè)定為 any <--> any�����,以最大可能地捕捉口令���。然后增加一個(gè)過(guò)濾模式�,Packet 54 4 Hex 0x50 41 53 53��,再增加一個(gè)過(guò)濾模式�,Packet 54 4 Hex 0x70 61 73 73。兩者是or模式��,因?yàn)檫@種關(guān)鍵字在網(wǎng)絡(luò)傳輸中大小寫不敏感�。剩下的就是等口令來(lái)了。
注意�,不必指定過(guò)濾特定高級(jí)協(xié)議,直接指定過(guò)濾IP協(xié)議族就可以了���,用這種辦法ftp/pop3口令是很容易看清楚的�。
嗅探器工具NetXray的內(nèi)容就為大家敘述到這里�,關(guān)于嗅探器原理和防護(hù)的的使用請(qǐng)讀者閱讀:
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
