A. 如何用ethereal捕獲ip數據包
一、打開抓包配置項:
1. 通過CaptureOptions,點開抓包選項配置
Ethereal使用方法:[1]開始網路抓包
二、設置抓包配置項
1. 設置抓包的網卡
2. 設置抓包的過濾項:只有滿足條件的數據才會被Ethereal 捕捉,如果不填則
捕捉所有的數據包
Ethereal使用方法:[1]開始網路抓包
三、開始抓包
1. 點擊Capture 按鈕,開始Ethereal 開始抓包
Ethereal使用方法:[1]開始網路抓包
四、停止抓包
1. 點擊停止按鈕,停止抓包
Ethereal使用方法:[1]開始網路抓包
5
五、再次開始抓包
1. 如果不需要重新設置抓包的選項,可以直接點擊CaptureStart 來再次抓包
B. 如何分析IP數據包
完全依賴於你的覺悟,數據包監測既是一個重要的管理工具,也可以成為一項邪惡的黑客技 術。事實上,它兩者皆是,一個好的數據包監測軟體通常可以在網路管理和黑客技術工具包中同時找到。黑客可以用數據包監測軟體監聽互聯網,並且追蹤一些敏感數據的交換如登錄對話和財經交 易。網路管理員可以用數據包監測軟體檢測錯誤布線,損壞的數據包和其它網路問題。在本文中,我們覆蓋了開始進行數據包監測需知的所有內容,而沒有涉及太多陰暗面。通過 一個最流行工具軟體的實例,你將學習到在TCP/IP網上四處監聽的基本技術。文中闡述較為 詳細,以幫助你理解在查看數據包時確實能看到什麼,並且介紹了IP欺騙技術。當然,我們 也提供了一個更多網路資源的列表以滿足你所有監聽的需要。一、什麼是數據包監測?數據包監測可以被認為是一根竊聽電話線在計算機-網路中的等價物。當某人在「監聽」網路 時,他們實際上是在閱讀和解釋網路上傳送的數據包。如果你在互聯網上,正通過其它計算機發送數據。發送一封電子郵件或請求下載一個網頁都 會使數據通過你和數據目的地之間的許多計算機。這些你傳輸信息時經過的計算機都能夠看 到你發送的數據。數據包監測工具允許某人截獲數據並且查看它。 互聯網和大多數數據網路一樣,通過從一個主機發送信息數據包到另一個主機來工作。每個> 數據包包含有數據本身和幀頭,幀頭包含數據包的信息如它的目的地和來源。數據包的數據 部分包含發送到網路的信息——它可能是電子郵件,網頁,注冊信息包括密碼,電子商務信 息包括信用卡號碼,和其它一切網路上流動的東西。基於TCP/IP協議的互聯網採用的體系結構是乙太網,它的特點是把所有的數據包在網路中廣 播。網路為大多數計算機提供的介面是一個內置的乙太網卡(也叫做網卡或NIC)。這些介面卡 默認提取出目標地址和自己的網卡地址一致的數據包而過濾掉所有其它的數據包。然而,以 太網卡典型地具有一個「混合模式」選項,能夠關掉過濾功能而查看經過它的所有數據包。 這個混合模式選項恰好被數據包監測程序利用來實現它們的監聽功能。防火牆完全不能阻止數據包被監測。虛擬個人網路(VPN)和加密技術也不能阻止數據包被監測 ,但能使它的危害小一點。要知道許多密碼在網路上傳輸時是不加密的,有時即使已經加密 ,也不能挫敗一個數據包監測工具侵入系統的企圖。一個尋找登錄序列和監聽加密口令的入 侵者並不需要破譯口令為自己所用,而只需要依賴未經授權的加密版。對於需要高度安全的系統,一個和數據包監測技術妥協的保護密碼的最好措施是執行「使用 一次即更改」的密碼方案——所以即使是一個不道德的黑客可能監測了登錄序列,密碼在下 一次試驗時就不起作用了。二、用什麼監測實際上有幾百種可用的數據包監測程序,許多結合起來破譯和掃描特定類型的數據並被專門 設計為黑客的工具。我們在這里不討論任何尋找密碼或信用卡號的工具,但它們確實存在。 這類工具經常有內置的協議分析程序,它能夠幫助翻譯不同網路協議的數據包,而不是提供 原始的數字數據。一個最古老也最成功的數據包和網路分析產品是由WildPackets (以前的AG 組)出品的Ether Peek。 EtherPeek已經存在了10年,堪稱互聯網時代真正的恐龍。他們提供Windows版 和Mac intosh版,每個都具有網路管理員-導向的價格。這個工具軟體開始只是一個網路分析器型的 數據包監測軟體,經過這些年的發展已經成為一個真正的網路管理工具並具有網站監視和分 析等新的功能。在他們的網站有一個演示版,想要試驗的人可以去下載。另一個能夠監視網路活動捕獲和分析數據包的程序是TamoSoft的CommView。這個流行的監測 程序顯示網路連接和IP統計數字,能夠檢查單獨的數據包,通過對IP協議TCP, UDP,和 ICMP 的完全分析解碼到最低層。完全訪問原始數據也只需要花費一個非常友好的價格9(或者 是以更低的價格獲得個人許可證,它只能捕獲發送到你的PC的數據包)。TamiSoft的網站同 樣提供一個可以下載的演示版。如果你運行微軟的Windows NT Server,將不必買任何東西——它有一個內置的數據包監測程 序叫做網路監視器。要訪問它,進入網路控制面板,選擇服務標簽,點擊添加並選擇網路監 視工具和代理。一旦它已經安裝你就可以從程序菜單下的管理工具中運行網路監視器。三、如何監測好了,現在你的手頭至少有一個流行的數據包監測軟體的測試版了,我們要開始研究事情的 真相了,看一看我們實際上能從這些數據包中學到什麼。本文將以Tamisoft的CommView為例 。但同樣的概念和功能在其它的數據包監測產品中也很容易適用。開始工作以前,我們需要打開監測功能,在CommView中通過從下拉菜單中選擇網路適配器, 然後按下開始捕獲按鈕,或從文件菜單中選擇開始捕獲。如果發生網路阻塞,你應該立即看 到一些行為。CommView和大多數數據包監測軟體一樣,有一個顯示IP網路信息的屏幕和一個顯示數據包數 據的屏幕。在默認方式下你將看到IP統計頁。你應該能夠在你的瀏覽器中輸入一個URL,或檢 查你的e-mail,看這個屏幕接收通訊兩端的IP地址數據。除了兩端的IP地址,你應該看到埠號,發送和接受的數據包數,對話的方向(誰發送第一 個數據包),兩個主機間對話的次數,和有效的主機名。CommView能和可選擇的SmartWhoIs 模塊相結合,所以在IP列表中右擊IP號將提供一個查找信息返回關於這個IP號的所有已知的 注冊信息。如果你用popmail型的帳號查收電子郵件,將在IP列表中看到一條線,埠號為1 10,標准popmail埠。你訪問任意網站都會在埠80產生一條線,參見圖A。 查明某些數據包來自於哪兒是數據包監測程序最普通的應用之一。通過運行一個程序如Smar tWhoIs,你能夠把數據包監測程序所給出的鑒定結果——IP和乙太網地址擴展到潛在的更有 用的信息,如誰管理一個IP地址指向的域。一個IP地址和乙太網地址對於要追蹤一個無賴用 戶來說沒有太多作用,但他們的域管理員可能非常重要。在CommView中點擊數據包標簽可以在它們經過時看到實際的數據包。這樣的視圖意義很含糊 ,而且如果你懼怕十六進制,這不是適合你的地方。有一個數據包列表,其中每個數據包都 有一個獨一無二的數據包編號。在列表視圖中你也可以看到數據包的協議(如TCP/IP),MA C (乙太網)地址,IP地址和埠號。在CommView數據包窗口中間的窗格中你可以看到在列表中選擇的無論什麼數據包的原始數據 。既有數據包數據的十六進製表示也有一個清楚的文本翻譯。底部的窗格顯示了IP數據包的 解碼信息,包括數據包在IP, TCP, UDP, 和 ICMP層的完整分析,參見圖B。如果你正在和這些信息打交道,那麼你不是在進行繁重的網路故障排除工作,就是在四處窺 探。翻譯十六進制代碼不是這篇文章討論的范圍,但應用正確的工具,數據包可以被解開而 看到其內容。當然這些並不是用一個數據包檢測軟體所能做的一切——你也可以復制數據包,為捕獲數據 包建立規則和過濾器,以成打不同的方式獲得各種統計數字和日誌。功能更加強大的工具不 僅限於可以查看,記錄和分析發送和交換數據包,利用它們不費多少功夫就可以設想出一些狡猾的應用程序。四、IP欺騙和更多資源一個完全不友好的數據包監測應用程序是一種IP欺騙技術。這時,一個不道德的用戶不僅查 看經過的數據包,而且修改它們以獲得另一台計算機的身份。當一個數據包監測程序在兩台正在通訊的計算機段內時,一個黑客就能監聽出一端的身份。 然後通過找到一個信任埠的IP地址並修改數據包頭使數據包看起來好象來自於那個埠達 到攻擊連接的目的。這類活動通常伴隨著一個對偽造地址的拒絕服務攻擊,所以它的數據包 不會被入侵干擾。關於數據包監測和IP欺騙技術的信息成噸,我們僅僅描述了對TCP/IP數據包操作的一些表面 知識。在開始數據包監測以前最好深入了解TCP/IP和網路——這樣做更有意義。這里是一個 為那些想要進一步研究這個問題的人們提供的附加的資源列表。 ZDNet"s Computer Shopper Network Utilities
Packetstorm"s packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeekEtherPeekTamoSoft, makers of CommView
An overview of the TCP/IP Protocol Suite 最後一句警告——小心你監測的場所。在你家裡的PC上運行一個數據包監測程序學習TCP/IP ,或者是在你控制的區域網運行以解決故障是一回事,在別人的網路上偷偷地安裝卻是另一 回事。機敏的網路管理員在集中注意力時會發現監測他們網路的人,並且他們通常不會很高興。