实验四 数据包嗅探工具NetXray的应用.docx
《实验四 数据包嗅探工具NetXray的应用.docx》由会员分享,可在线阅读,更多相关《实验四 数据包嗅探工具NetXray的应用.docx(19页珍藏版)》请在冰豆网上搜索。
实验四数据包嗅探工具NetXray的应用
实验四数据包嗅探工具NetXray的应用
一.实验目的:
二、实验内容
三、实验条件
四、实验过程
五、结果及其分析
NetXray使用简介
NetXray是上网的好东东,NetXray/Dual-Demo,3.0.0。
由于其为英文版,故很多初级网虫不太习惯它的用法。
笔者现在简单介绍一下NetXray的用途和使用方法,以方便大家的使用。
首先是做好准备工作,到网上下载NetXray,并安装好。
选择开始->程序->NetXray运行。
此时,出现缺省的几个窗口Dashboard,Capture,PacketGenerator,下面会详细介绍它们。
然后,我们开始了我们的捕捉游戏:
一、熟悉界面:
NetXray具有和其他Windows应用程序同样的友好界面:
菜单栏有六个选项,分别为文件、捕获、包、工具、窗口和帮助。
工具栏依次为:
打开文件(Open)、保存(Save)、打印(Print)、取消打印(AbortPrinting)、回到第一个包(FirstPacket)、前一个包(Previous)、下一个包(Next)、到达最后一个包(LastPacket)、仪器板(Dashboard)、捕获板(CapturePanel)、包发生器(PacketGenerator)、显示主机表(HostTable)、Matrix、History、ProtocolDistribution、GlobalStatistics、AlarmLog、AddressBook。
二、过滤报文:
选择Capture菜单中CaptureFilterSetting…,单击Profiles…选择New…,进入如下对话框:
在NewProfileName中输入First,以Default为模板选择OK-->Done。
设置过滤所有目标IP是202.120.224.6的报文,即Any---->202.120.224.6
开始抓包,同时用IE登陆http:
//202.120.224.6,这时会发现窗口中的指针在移动,发现过滤到包后,就可以停止抓包了。
选中一个目标IP是202.120.224.6的报文,选择菜单条中的PacketàEditDisplayFilter…,选择"DataPattern",选择"AddPattern",到TCP层选中8080目标端口,用鼠标选择"setdata",在name中输入"TCP"。
点击OK,确定,然后在Packet中选择"ApplyDisplayFilter…"。
以后用proxy规则过滤将只过滤目标IP是202.120.224.6、目标端口是8080的报文。
三、设定端口:
选择FilterSettingàDataPattern,现在你可以随意设置你所需要的过滤条件。
现举一例说明:
过滤经过bbs(端口2323)的IP包,先选中第一行,用ToggleAND/OR调整成OR,如下图:
选择EditPattern,在弹出的对话框里设置:
Packet342Hex(十六进制),从顶头开始填写0913,因为十进制的2323对应十六进制的0x0913,而IP包使用网络字节顺序,高字节在低地址。
起名为beginbbs,单击OK,再次选择EditPattern,Packet362Hex从顶头开始填写0913起名为endbbs,单击OK。
于是最外层的OR下有两个叶子,分别对应两个Pattern。
[Page]
四、抓ftp/pop3口令明文:
NetXray所谓的高级协议过滤事实上就是端口过滤,用上面介绍的方法指定源端口、目标端口均过滤0x000x17(23),就可以达到和指定telnet过滤一样的效果。
因为telnet就是23端口,所以如果想捕捉一个非标准telnet的通信,必须自己指定端口过滤。
如果是分析telnet协议并还原屏幕显示,只需要抓从server到client的回显数据即可,因为口令不回显,这种过滤规则下抓不到口令明文。
用NetXray抓从client到server包,指定过滤PASS关键字。
设置方法如下:
先指定IP过滤规则,CaptureàCaptureFilterSetting…设定为any<-->any,以最大可能地捕捉口令。
然后增加一个过滤模式,Packet544Hex0x50415353,再增加一个过滤模式,Packet544Hex0x70617373。
两者是or模式,因为这种关键字在网络传输中大小写不敏感。
剩下的就是等口令来了。
注意,不必指定过滤特定高级协议,直接指定过滤IP协议族就可以了,用这种办法ftp/pop3口令是很容易看清楚的。
其它的还有用NetXray获得OICQ好友的ip地址等应用,这些都可以从黑客教程中看到,这里就不再详细介绍,当然用好NetXray最重要的是网友们的亲身实践。
IPv4就是现行的网际协议(InternetProtocol),是对应于OSI参考模型的第三层的重要协议。
它是用来管理客户端和服务器端之间的报文传送的,它为上层提供不可靠、无连接的服务。
因为是不可靠的,所以它不能保证数据报会被成功的传送,TCP协议可以保证传输的可靠性;它提供无连接的服务说明数据并不能按顺序到达,这样可以提供更好的路由。
Netxray已由笔者在第六期做过简介,现拟用Netxray解析IP协议的头部,通过实例可以更好的学习和掌握IP协议。
1.概述IP头部
①版本号
当前的IP版本为4,下一代为Ipv6,此处为4。
②头长度
报文的头部的总长度,接收端通过该域获得报文头部的结束处即数据的起点。
它的单位是4字节(32bit),因为该字段长4位,所以最大值为15,即IP数据报头长度最大为60字节。
最常见的为20字节没有附加选项的报头。
③服务类型
此字段在大多数情况下并不使用,它们用来表示报文的重要程度,以便作相应的有限处理。
该字段后文会详细解析。
④总长度
这个域指明该数据报的总长度,包括报头。
其单位为字节,所以IP报的最大长度为65535字节。
用该字段值减去头部字节数即得数据大小。
⑤标识
本字段是一唯一的16比特的值,用于接收端重组相关的分段。
故分段的数据报含有相同的标识字段值。
⑥标志
此域用于说明该数据报是否分段,关于分段的细节在下文有详细的叙述。
⑦段偏移
如果分段,此域说明本片段在原数据报中的偏移量。
一旦某数据报的分段全部到达,接收端即可根据每个片断中的偏移量的值按顺序重组。
此处需要说明的一点就是有的读者要问关于对部分到达的分段的处理方式。
接收端根据同一标识的分段的偏移量来判断收否受到全部的数据。
在全部收到这些数据之前,系统先将已收的分段存储起来。
如果生存时间(见下面)的值变为零,而所有的片段没有到达,那么,所有已收到的片段也将会被丢弃,否则就进行重组。
⑧生存时间
原本的含义为时间(s)计数,生存时间的最大值为255s,其对接收转发的时间期望值为1s,现在的含义已变为跳数,即数据报可经过的最多的路由器数,IP数据报每经过一个路由器,字段的值减一,当字段值变为零时,该数据报就会被丢弃。
这样可以保证IP包不会永远的循环于Internet。
⑨协议
此域指出发送该数据报的上层协议号。
比如,1表示为ICMP协议,2表示为IGMP协议,6表示为TCP协议,17表示为UDP协议。
⑩校验和
首部检验和字段是根据IP首部计算的检验和码。
它不对首部后面的数据进行计算。
ICMP,IGMP,UDP和TCP在它们各自的首部中均含有同时覆盖首部和数据检验和码。
为了计算一份数据报的IP检验和,首先把检验和字段置为0。
然后,对首部中每个16bit的二进制反码进行求和(整个首部看成是由一串16bit的字组成),结果存在检验和字段中。
当收到一份IP数据报后,同样对首部中每个16bit的二进制反码进行求和。
由于收方在计算过程中包含了发方存在首部中的检验和,因此首部在传输过程中没有发生任何差错时,收方计算的结果应该为全1。
如果结果不是全1(即检验和错误),那么IP就丢弃收到的数据报。
但是不生成差错报文,由上层去发现丢失的数据报并进行重传。
ICMP,IGMP,UDP和TCP都采用相同的检验和算法,尽管TCP和UDP除了本身的首部和数据外,在IP首部中还包含不同的字段。
由于路由器经常只修改TTL字段(减1),因此当路由器转发一份报文时可以增加它的检验和,而不需要对IP整个首部进行重新计算。
下面分别是源主机的IP地址、目的主机的IP地址、选项字段。
目前,这些任选项定义如下:
安全和处理限制(用于军事领域)、记录路径(让每个路由器都记下它的IP地址)、时间戳(让每个路由器都记下它的IP地址和时间)、宽松的源站选路(为数据报指定一系列必须经过的IP地址)、严格的源站选路(与宽松的源站选路类似,但是它要求只能经过指定的这些地址,不能经过其它的地址)。
这些选项很少被使用,因为并非所有的主机和路由器都支持这些选项。
选项字段一直都是以32bit作为界限,在必要的时候插入值为0的填充字节。
这样就保证IP首部始终是32bit的整数倍(这是首部长度字段所要求的)。
2.实例解析(其中以至少1字节为单位介绍)
如上图所示,第一部分(IP的)显示的是关于IP的版本信息,它的当前版本号为4,并说明其占有4位。
第二部分也是4位长,为头部的长度,其单位是32-bit的字,本例中值为5,说明其为无选项的报头。
NetXray使用说明总汇
NetXray使用说明之
(1)
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4这是一个ShareHub连接下的局域网
|
|
5.5.5.5这是一个8080端口上的http/ftpproxy
|
|
Internet
启动Capture,进入CaptureSetting,选择Profiles-->New,
以Default为模板,起名叫proxy,选择ok-->Done,
设置过滤所有目标IP是5.5.5.5的报文,即Any---->5.5.5.5
开始抓包,同时从本机使用httpproxy,然后就可以停止抓包。
选中一个目标IP是5.5.5.5的报文,按鼠标右键,选择"编辑显示过滤",
选择"数据模式",选择AddPattern,到TCP层选中8080目标端口,
用鼠标选择"设置数据",起名"目标端口8080"。
回去选择"应用显示
过滤"。
以后用proxy规则过滤将只过滤目标IP是5.5.5.5、目标端口
是8080的报文。
要是对协议分析熟悉,根本不用写这么多,以后
要问NetXray的使用说明,请直奔主题,否则回答起来实在罗嗦。
关键是有些人太懒惰,不乐意自己实践。
标题:
NetXray使用说明之
(2)
如何指定源端口、目标端口?
1.注意DataPattern和Address是逻辑与的关系
2.进入DataPattern设置页
比如你想设置这样一个过滤规则,源端口是2323或者目标端口是2323
的IP包,先选中第一行,用ToggleAND/OR调整成OR,因为你的逻辑表达式
的最外层是OR
3.选择AddPattern,在弹出的对话框里设置
Packet342Hex
从顶头开始填写0913,因为十进制的2323对应十六进制的0x0913,而IP包
使用网络字节顺序,高字节在低地址。
起名任意,比如源端口2323,确定
再次选择AddPattern
Packet362Hex从顶头开始填写0913
起名任意,比如目标端口2323,确定
于是最外层的OR下有两个叶子,分别对应两个Pattern。
4.还有很多变化,但都和这个基本例子差不多,你的过滤规则可以非常复杂。
最外层的OR表示它下面的所有叶子之间都是OR的关系,所以我建议当你企图
建立一个非常复杂的规则的时候先写出逻辑表达式再来操作,以免不必要的
重复劳动。
标题:
NetXray使用说明之(3)
如何抓ftp/pop3口令明文?
NetXray所谓的高级协议过滤事实上就是端口过滤,用
(2)中介绍的方法指定源端口
目标端口均过滤0x000x17,就可以达到和指定telnet过滤一样的效果。
NetXray
认为telnet就是23端口,所以如果想捕捉一个非标准telnetd的通信,必须自己
指定端口过滤。
此外Pwin98下services文件的修改不影响NetXray认为telnet就是
端口23。
每次指定捕捉telnet协议,但显示的时候可能会发现有些包没有标记成telnet,而
是tcp,为什么?
因为这些标记成tcp的包没有telnet数据区,虽然在完整的物理帧
中有数据,但根据IP报头中的ntohs(ip->tot_len),对于IP报文来说没有
telnet数据区。
物理帧中为什么有?
可能是考虑"填充",我不知道是数据链路层从
内核返回的时候带上来的"填充",还是对端发送的时候就已经"填充",在linux下用
sock_packet抓包也存在同样的问题,一般情况下recvfrom返回的字节数减去各个报
头长度得到数据区长度,但出现"填充"时就不是这样了,所以处理IP协议族时,一
定要用ntohs(ip->tot_len),我写linuxkiller时才认真注意到这个问题。
那么
用NetXray时,不要看第三栏,那里是完整的物理帧,有很多干扰信息,应该看第二
栏的数据区。
如果是分析telnet协议并还原屏幕显示,只需要抓从server到client的回显数据即
可,因为口令不回显,这种过滤规则下抓不到口令明文。
在linux下编程实现时需要
考虑95个可打印字符、汉字以及32个控制字符的显示过滤问题。
如果想抓telnet的
口令明文,需要抓client到server的数据。
Pred写的Sniff监听别人的BBS登录就象
看动画,但看不到口令,应该是只抓从server到client的回显数据。
nethackii可以抓pop3/ftp/telnet的口令,对于前两者很容易实现,因为有PASS关
键字可以鉴别,后者稍微麻烦些,需要重组。
值得一提的是foxmail的邮件监视器,
简直就是定时发送口令明文,用NetXray抓从client到server包,指定过滤PASS关键
字,非常清楚。
下面简单说一下这个设置:
先指定IP过滤规则,应该只指定any<-->any,或者干脆不指定IP地址,以最大
可能地捕捉口令。
然后增加一个过滤模式,Packet544Hex0x50415353
再增加一个过滤模式,Packet544Hex0x70617373
两者是or模式,后者是因为这种关键字在网络传输中大小写不敏感,比如
cuteftp发送的是pass。
剩下的就是等口令来了。
注意,不必指定过滤特定高级协
议,直接指定过滤IP协议族就可以了,用这种办法ftp/pop3口令是很容易看清楚的。
因为许多ftp/pop3的口令可以telnet23,所以......
标题:
NetXray使用说明之(4)
unix/linux下执行clear命令究竟发送了什么字符串到终端才导致清屏效果出现,
用NetXray捕捉server到client的回显数据,发现如下字符串:
1B5B481B5B4A
可以用fprintf输出这些字符到屏幕上,结果就是导致清屏效果。
对于UDP报文的源端口/目标端口过滤基本上和TCP报文的设置一样,不过这次换种方
式指定:
Protocol202Hex源端口
Protocol222Hex目标端口
这些都是在没有使用IP选项的情况下指定,如果使用了IP选项就需要做相应改变。
标题:
NetXray使用说明之(5)
这里的使用说明可以用于snifferpro2.6,因为这两个东西实际是一个公司的。
虽然很多人告诉我snifferpro比netxray强大,但是我个人觉得在协议分析方面
netxray比snifferpro要方便,虽然支持的协议少了点,但是在设置过滤规则和
应用过滤规则等小操作上,显然snifferpro没有吸取netxray的精华,这些小操
作平时很难遇到,但真正做协议分析指定一些复杂的过滤规则的时候就会碰上。
今天我们介绍的是如何抓取RPC报文,下面给出的办法仅仅是种尝试而已。
因为RPCServer使用动态端口,所以你无法进行常规的端口过滤设置,如果一定
要设置可能需要尝试,具体例子请参看<>
这里给一种不是很科学的办法:
1.指定进行IP过滤,设置Any<-->RPCServerIP
2.指定对TCP以及UDP协议进行过滤,因为RPCServer可能的底层支持协议包括二者。
3.进入DataPattern设置页,用ToggleAND/OR调整成OR,因为你的逻辑表达式
的最外层是OR
4.选择AddPattern,在弹出的对话框里设置
Protocol608Hex0000000000000002
起名TCPRPCCALL
5.同4的步骤,依次选择AddPattern,在弹出的对话框里设置
Protocol604Hex00000001
起名TCPRPCREPLY
Protocol328Hex0000000000000002
起名UDPRPCCALL
Protocol324Hex00000001
起名UDPRPCREPLY
这里给的办法仅仅代表一种思路,如果你发现并没有抓住某个特定RPCSERVER
的报文,可以自行调整过滤规则。
要理解这个过滤规则,需要RPC本身的知识,
可以参看<>。
我曾经想设置远程程序号的过滤规则,但发现RPCREPLY报文中没有固定字段对
应远程程序号,只好放弃。
如果你只想抓RPCCALL报文,可以考虑这个思路。
标题:
NetXray使用说明之(6)----捕捉oicqmessage报文
NetXray发包前可以在decode状态下编辑,snifferpro2.6却不象NetXray那样
善解人意,只能进行二进制编辑。
snifferpro的AddPattern里的TAB键极其混
帐,并且这里也不提供decode支持。
始终不能理解这些地方。
不过破解版的
NetXray在decode时有些地方对不准,菜单window也不时失灵。
暂略(回头补吧,没时间了)
今天讲讲oicqmessage报文的捕捉。
1.首先设置进行IP/UDP报文过滤,IP/TCP暂时就不必了,因为oicqmessage报文多
是IP/UDP报文,我还没有看到过IP/TCP,应该是没有的。
2.根据需要在Address/IPInclude里设置通信双方的IP,假设我们需要捕获所有与
本机oicq.exe通信的oicqmessage报文,设置成myIp<---->Any
3.进入DataPattern设置页,用<(2)>>里的办法指定
((srcPort==4000)&&(dstPort!
=8000))
||
((srcPort!
=8000)&&(dstPort==4000))
第一条的意思是本机向别人发消息,第二条是别人向本机发消息,之所以排除掉
8000,你可以进入oicqchatroom看看此时涉及的端口。
那么为什么不指定两头
都是4000呢,因为如果过了透明网关之类的,UDPRELAY的时候会改变源端口,
一般都不会是4000了。
反过来,如果你发现一个入包的源端口不是4000,他/她应
该在类似sygate的代理后面。
不过此时UDPDATAPIPE已经建立,即使他/她在
sygate后面,还是可以利用刚才抓到的IP/PORT和他/她通信,意味着很多事情都
可能发生。
这里假设都通过oicq.exe通信,如果用自己写的程序与oicq.exe通信,源端口不
必非是4000,可以任意指定。
4.算了,还是详细说说条目3中高级过滤规则的指定
a.用ToggleAND/OR把最上层调成OR
b.选中OR,然后AddAND/OR增加两个上去,分别用ToggleAND/OR调成AND
c.选中第一个AND,然后AddPattern,选中增加的Pattern,选择
Packet342Hex,从1开始输入0FA0,就是0x0fa0的意思,
srcPort==4000
d.选中第一个AND,然后AddNOT,选中增加的NOT,用ToggleNOT确认已经调成
NOT,选中NOT,然后AddPattern,选中增加的Pattern,选择
Packet362Hex,从1开始输入1F40,就是0x1f40的意思,
dstPort!
=8000
e.选中第二个AND,重复"类似"c、d的步骤,分别指定srcPort!
=8000以及
dstPort==4000
f.选中最上层的OR,看看summary,是否符合你预想的逻辑表达式,如果不符合,
继续调整,直至正确。
虽然这里是针对oicq.exe设置高级过滤规则,但这是一个很完整而又略显复杂的设置
说明,对<(2)>>是个很好的补充。
标题:
NetXray使用说明之(小插曲)----分析netants的1975问题
设置过滤规则为:
myIp-->any:
1975
设置捕获IP/TCP协议,注意不要指定捕获HTTP协议,NetXray是根据端口区分协议的,
你指定HTTP协议,就只捕获80端口的报文了。
过一段时间1975上的连接自动切断。
在本机用netstat-a或者netstat-na看到如下信息:
TCPscz:
1475ad2-:
1975ESTABLISHED
TCP192.168.8.90:
1475216.37.13.140:
1975ESTABLISHED
标题:
NetXray使用说明之(7)----LanExplorer3.5下的过滤规则设置
作者:
小四scz@>
主页
日期:
2000-08-2820:
21
--------------------------------------------------------------------------
下面是咱们的大放厥词:
LanExplorer3.5,9x/NT/2K下的协议分析软件,7MB,
破解如下:
安装完成后,用HEXEDIT打
升级会员 