ettercap有线网络著名sniffer工具下载地址.docx
《ettercap有线网络著名sniffer工具下载地址.docx》由会员分享,可在线阅读,更多相关《ettercap有线网络著名sniffer工具下载地址.docx(29页珍藏版)》请在冰豆网上搜索。
ettercap有线网络著名sniffer工具下载地址
有线网络sniffer工具比较著名的ettercap
无线网络sniffer工具比较著名的WinAircrackPack
网络协议分析器-Sniffer
随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。
应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。
目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。
毕竟,靠网络管理员的经验和一些简单传统的排查方法:
无论从时间上面还是准确性上面都存在很大的误差,同时也影响了工作效率和正常业务的运行。
SnifferPro著名网络协议分析软件。
本文利用其强大的流量图文系统HostTable来实时监控网络流量。
在监控软件上,我们选择了较为常用的NAI公司的snifferpro,事实上,很多网吧管理员都有过相关监控网络经验:
在网络出现问题、或者探查网络情况时,使用P2P终结者、网络执法官等网络监控软件。
这样的软件有一个很大优点:
不要配置端口镜像就可以进行流量查询(其实snifferpro也可以变通的工作在这样的环境下)。
这种看起来很快捷的方法,仍然存在很多弊端:
由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝的问题,如掉线、网络变慢、ARP广播巨增等。
这对于要求正常的网络来说,是不可思议的。
在这里,我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻。
硬件环境(网吧):
100M网络环境下,92台终端数量,主交换采用D-LINK(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。
光纤10M接入,华为2620做为接入网关。
软件环境:
操作系统Windows2003Server企业标准版(SnifferPro4.6及以上版本均支持Windows2000Windows-xpWindows2003)、NAI协议分析软件-SnifferPortable4.75(本文选用网络上较容易下载到的版本做为测试)
环境要求:
1、如果需要监控全网流量,安装有SnifferPortable4.7.5(以下简称SnifferPro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。
(监控所有流经此网卡的数据)
2、Snffierpro475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本
网络拓扑:
图
监控目的:
通过SnifferPro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。
对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。
SnifferPro强大的实用功能还包括:
网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。
同时,我们将数据包捕获后,通过SnifferPro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。
步骤一:
配置交换机端口镜像(MirroringConfigurations)
以DES-3226S二层交换机为例,我们来通过WEB方式配置端口镜像(也可用CLI命令行模式配置)。
如果您的设备不支持WEB方式配置,请参考相关用户手册。
1.DES-3226S默认登陆IP为:
10.90.90.90因此,需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。
如图
(1)所示:
图1
2.使用鼠标点击上方红色字体:
“Login”,如果您是第一次配置,输入默认用户名称、密码:
admin自动登陆管理主界面。
3.如图
(2)所示,主界面上方以图形方式模拟交换机界面,其中绿色灯亮起表示此端口正在使用。
下方文字列出交换机的一些基本信息。
图2
4.如图(3):
鼠标点击左下方菜单中的advancedsetup->MirroringConfigurations(高级配置—镜像配置)
图3
5.将MirrorStatus选择为Enable(默认为关闭状态,开启),本例中将Port-1端口设置为监听端口:
TargetPort=Port-1,其余端口选择为Both,既:
监听双向数据(Rx接收Tx发送),选择完毕后,点击Apply应用设置。
此时所有的端口数据都将复制一份到Port-1。
(如图4)
图4
接下来,我们就可以在Port-1端口,接入计算机并安装配置SnifferPro。
步骤二:
SnifferPro安装、启动、配置
SnifferPro安装过程与其它应用软件没有什么太大的区别,在安装过程中需要注意的是:
①SnifferPro安装大约占用70M左右的硬盘空间。
②安装完毕SnifferPro后,会自动在网卡上加载SnifferPro特殊的驱动程序(如图5)。
③安装的最后将提示填入相关信息及序列号,正确填写完毕,安装程序需要重新启动计算机。
④对于英文不好的管理员可以下载网上的汉化补丁。
图5
我们来启动SnifferPro。
第一次启动SnifferPro时,需要选择程序从那一个网络适配器接收数据,我们指定位于端口镜像所在位置的网卡。
具体位于:
File->SelectSettings->New
名称自定义、选择所在网卡下拉菜单,点击确定即可。
(如图6)
图6
这样我们就进入了SnifferPro的主界面。
步骤三:
新手上路,查询网关流量
下面以图文的方式介绍,如何查询网关(路由、代理:
219.*.238.65)流量,这也是最为常用、重要的查询之一。
1. 扫描IP-MAC对应关系。
这样做是为了在查询流量时,方便判断具体流量终端的位置,MAC地址不如IP地址方便。
选择菜单栏中Tools->AddressBook点击左边的放大镜(autodiscovery扫描)在弹出的窗口中输入您所要扫描的IP地址段,本例输入:
219.*.238.64-219.*.238.159点击OK,系统会自动扫描IP-MAC对应关系。
扫描完毕后,点击DataBase->SaveAddressBook系统会自动保存对应关系,以备以后使用。
(如图7)
图7
2.查看网关流量。
点击Monitor->HostTable,选择Hosttable界面左下角的MAC-IP-IPX中的MAC。
(为什么选择MAC?
在网络中,所有终端的对外数据,例如使用QQ、浏览网站、上传、下载等行为,都是各终端与网关在数据链路层中进行的)(如图8)
图8
3.找到网关的IP地址->选择singlestation->bar(本例中网关IP为219.*.238.65)
图9
如图(9)所示:
219.*.238.65(网关)流量TOP-10此图为实时流量图。
在此之前如果我们没有做扫描IP(AddressBook)的工作,右边将会以网卡物理地址-MAC地址的方式显示,现在转换为IP地址形式(或计算机名),现在很容易定位终端所在位置。
流量以3D柱形图的方式动态显示,其中最左边绿色柱形图与网关流量最大,其它依次减小。
本图中219.*.238.93与网关流量最大,且与其它终端流量差距悬殊,如果这个时候网络出现问题,可以重点检查此IP是否有大流量相关的操作。
如果要查看219.*.238.65(网关)与内部所有流量通信图,我们可以点击左边菜单中,排列第一位的->MAP按钮
如图(10)所示,网关与内网间的所有流量都在这里动态的显示。
图10
需要注意的是:
绿色线条状态为:
正在通讯中
暗蓝色线条状态为:
通信中断
线条的粗细与流量的大小成正比
如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小(包括接收、发送)、并自动计算流量占当前网络的百分比。
其它主要功能:
PIE:
饼图的方式显示TOP10的流量占用百分比。
Detail:
将Protocol(协议类型)、FromHost(原主机)、in/outpackets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。
您所在的位置:
首页>网络安全>原创>
网络嗅探教程:
使用SnifferPro监控网络流量
(1)
2007-09-2715:
34 banker 51CTO.com 我要评论(21)
∙摘要:
SnifferPro著名网络协议分析软件。
本文利用其强大的流量图文系统HostTable来实时监控网络流量。
在监控软件上,我们选择了较为常用的NAI公司的snifferpro,事实上,很多网吧管理员都有过相关监控网络经验:
在网络出现问题、或者探查网络情况时,使用P2P终结者、网络执法官等网络监控软件。
这样的软件有一个很大优点:
不要配置端口镜像就可以进行流量查询(其实snifferpro也可以变通的工作在这样的环境下)。
∙标签:
Sniffer 嗅探 监控 网络流量
∙
【51CTO.com独家特稿】随着互联网多层次性、多样性的发展,网吧已由过去即时通信、浏览网页、电子邮件等简单的应用,扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。
应用特点也呈现出多样性和复杂性,因此,这些应用对我们的网络服务质量要求更为严格和苛刻。
目前,大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能,当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时,很多网络管理员显的心有于而力不足。
毕竟,靠网络管理员的经验和一些简单传统的排查方法:
无论从时间上面还是准确性上面都存在很大的误差,同时也影响了工作效率和正常业务的运行。
SnifferPro著名网络协议分析软件。
本文利用其强大的流量图文系统HostTable来实时监控网络流量。
在监控软件上,我们选择了较为常用的NAI公司的snifferpro,事实上,很多网吧管理员都有过相关监控网络经验:
在网络出现问题、或者探查网络情况时,使用P2P终结者、网络执法官等网络监控软件。
这样的软件有一个很大优点:
不要配置端口镜像就可以进行流量查询(其实snifferpro也可以变通的工作在这样的环境下)。
这种看起来很快捷的方法,仍然存在很多弊端:
由于其工作原理利用ARP地址表,对地址表进行欺骗,因此可能会衍生出很多节外生枝的问题,如掉线、网络变慢、ARP广播巨增等。
这对于要求正常的网络来说,是不可思议的。
在这里,我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案,这对于很多管理员来说,将是个梦寐以求的时刻。
硬件环境(网吧):
100M网络环境下,92台终端数量,主交换采用D-LINK(友讯)DES-3226S二层交换机(支持端口镜像功能),级联普通傻瓜型交换机。
光纤10M接入,华为2620做为接入网关。
软件环境:
操作系统Windows2003Server企业标准版(SnifferPro4.6及以上版本均支持Windows2000Windows-xpWindows2003)、NAI协议分析软件-SnifferPortable4.75(本文选用网络上较容易下载到的版本做为测试)
环境要求:
1、如果需要监控全网流量,安装有SnifferPortable4.7.5(以下简称SnifferPro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。
(监控所有流经此网卡的数据)
2、Snffierpro475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本
网络拓扑:
图
监控目的:
通过SnifferPro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。
对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。
SnifferPro强大的实用功能还包括:
网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。
同时,我们将数据包捕获后,通过SnifferPro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。
转载文章:
运行环境及安装
SnifferPro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。
本文用的版本是4.6该版本是不要序列号的。
安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。
最好在win2000下运行,在win2003下运行网络流量表有问题。
常用功能介绍
1、Dashboard(网络流量表)
点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。
通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。
每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。
在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。
很多初学者对Kbps、KB、Mbps等单位不太明白,B和b分别代表Bytes(字节)和bits(比特),1比特就是0或1。
1Byte=8bits。
1Mbps(megabitspersecond兆比特每秒),亦即1x1024/8=128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒512K比特(Kb),也就是每秒512/8=64K字节(KB)
图1
图2
2、Hosttable(主机列表)
如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。
图3
图4中清楚地显示出该机器连接的地址。
点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
图4
3、Detail(协议列表)
点击图5所示的“Detail”图标,图中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。
注意,此时是在图3的界面上点击的,如果在图4的界面上点击显示的是那台机器的情况。
图5
4、Bar(流量列表)
点击图6所示的“Bar”图标,图中显示的是整个网络中的机器所用带宽前10名的情况。
显示方式是柱状图,图7显示的内容与图6相同,只是显示方式是饼图。
图6
图7
5、Matrix(网络连接)
点击图8中箭头所指的图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。
将鼠标放到线上可以看出连接情况。
鼠标右键在弹出的菜单中可选择放大(zoom)此图。
图8
抓包实例
1、抓某台机器的所有数据包
如图9所示,本例要抓192.168.113.208这台机器的所有数据包,如图中①选择这台机器。
点击②所指图标,出现图10界面,等到图10中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图11界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
图9
图10
图11
2、抓Telnet密码
本例从192.168.113.208这台机器telnet到192.168.113.50,用SniffPro抓到用户名和密码。
步骤1:
设置规则
如图12所示,选择Capture菜单中的DefindFilter,出现图13界面,选择图13中的ADDress项,在station1和2中分别填写两台机器的IP地址,如图14所示选择Advanced选项,选择选IP/TCP/Telnet,将PacketSize设置为Equal55,PacketType设置为Normal.。
图12
图13
图14
步骤2:
抓包
按F10键出现图15界面,开始抓包。
图15
步骤3:
运行telnet命令
本例使telnet到一台开有telnet服务的Linux机器上。
telnet192.168.113.50
login:
test
Password:
步骤4:
察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图17界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
可以清楚地看出用户名为test密码为123456。
图16
图17
解释:
虽然把密码抓到了,但大家也许对包大小(PacketSize)设为55不理解,网上的数据传送是把数据分成若干个包来传送,根据协议的不同包的大小也不相同,从图18可以看出当客户端telnet到服务端时一次只传送一个字节的数据,由于协议的头长度是一定的,所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数据(一个字节)=55字节,这样将PacketSize设为55正好能抓到用户名和密码,否则将抓到许多不相关的包。
图18
3、抓FTP密码
本例从192.168.113.208这台机器ftp到192.168.113.50,用SniffPro抓到用户名和密码。
步骤1:
设置规则
如图12所示,选择Capture菜单中的DefindFilter出现图19界面,选择图19中的ADDress项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP,将PacketSize设置为InBetween63-71,PacketType设置为Normal。
如图20所示,选择DataPattern项,点击箭头所指的AddPattern按钮,出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意起。
确定后如图22点击AddNOT按钮,再点击AddPattern按钮增加第二条规则,按图23所示设置好规则,确定后如图24所示。
图19
图20
图21
图22
图23
图24
步骤2:
抓包按F10键出现图15界面,开始抓包。
步骤3:
运行FTP命令
本例使FTP到一台开有FTP服务的Linux机器上
D:
/>ftp192.168.113.50
Connectedto192.168.113.50.
220test1FTPserver(Versionwu-2.6.1
(1)WedAug905:
54:
50EDT2000)ready.
User(192.168.113.50:
(none)):
test
331Passwordrequiredfortest.
Password:
步骤4:
察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
可以清楚地看出用户名为test密码为123456789。
图25
解释:
虽然把密码抓到了,但大家也许设不理解,将图19中PacketSize设置为63-71是根据用户名和口令的包大小来设置的,图25可以看出口令的数据包长度为70字节,其中协议头长度为:
14+20+20=54,与telnet的头长度相同。
Ftp的数据长度为16,其中关键字PASS占4个字节,空格占1个字节,密码占9个字节,Od0a(回车换行)占2个字节,包长度=54+16=70。
如果用户名和密码比较长那么PacketSize的值也要相应的增长。
DataPattern中的设置是根据用户名和密码中包的特有规则设定的,为了更好的说明这个问题,请在开着图15的情况下选择Capture菜单中的DefindFilter,如图20所示,选择DataPattern项,点击箭头所指的AddPattern按钮,出现图26界面,选择图中1所指然后点击2所指的SetData按钮。
OFFset、方格内、Name将填上相应的值。
同理图27中也是如此。
这些规则的设置都是根据你要抓的包的相应特征来设置的,这些都需要对TCP/IP协议的深入了解,从图28中可以看出网上传输的都是一位一位的比特流,操作系统将比特流转换为二进制,Sniffer这类的软件又把二进制换算为16进制,然后又为这些数赋予相应的意思,图中的18指的是TCP协议中的标志位是18。
OFFset指的是数据包中某位数据的位置,方格内填的是值。
图26
图27
图28
4、抓HTTP密码
步骤1:
设置规则
按照下图29、30进行设置规则,设置方法同上。
图29
图30
步骤2:
抓包按F10键开始抓包。
步骤3:
访问网站
步骤4:
察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图31界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
在Summary中找到含有POST关键字的包,可以清楚地看出用户名为qiangkn997,密码为?
,这可是我邮箱的真实密码!
当然不能告诉你,不过欢迎来信进行交流。
图31
后记
本文中的例子是网内试验,若捕捉全网机器的有关数据请将图13中的station设置为any<->any,作为学习研究可以,可别做坏事!
如果要用好SniffPro必须有扎实的网络基础知识特别是TCP/IP协议的知识,其实SniffPro本身也是学习这些知识的好工具。
升级会员 