实验四数据包嗅探工具NetXray的应用解析.doc

实验四 数据包嗅探工具NetXray的应用 一．实验目的： 二、实验内容 三、实验条件 四、实验过程 五、结果及其分析 NetXray使用简介NetXray是上网的好东东,NetXray/Dual-Demo,3.0.0。由于其为英文版，故很多初级网虫不太习惯它的用法。笔者现在简单介绍一下NetXray的用途和使用方法，以方便大家的使用。　　首先是做好准备工作，到网上下载NetXray，并安装好。选择开始-程序-NetXray运行。此时，出现缺省的几个窗口Dashboard，Capture，Packet Generator，下面会详细介绍它们。　　然后，我们开始了我们的捕捉游戏：　　一、 熟悉界面：　　NetXray具有和其他Windows应用程序同样的友好界面： 菜单栏有六个选项，分别为文件、捕获、包、工具、窗口和帮助。　　工具栏依次为：打开文件（Open）、保存（Save）、打印（Print）、取消打印（Abort Printing）、回到第一个包（First Packet）、前一个包（Previous）、下一个包（Next）、到达最后一个包（Last Packet）、仪器板（Dashboard）、捕获板（Capture Panel）、包发生器（Packet Generator）、显示主机表（Host Table）、Matrix、History、Protocol Distribution、Global Statistics、Alarm Log、Address Book。　　二、过滤报文：　　选择Capture菜单中Capture Filter Setting…，单击Profiles…选择New…，进入如下对话框： 在New Profile Name中输入First，以Default为模板选择OK--Done。　　设置过滤所有目标IP是的报文，即Any　　开始抓包，同时用IE登陆,这时会发现窗口中的指针在移动,发现过滤到包后,就可以停止抓包了。　　选中一个目标IP是的报文，选择菜单条中的PacketàEdit Display Filter…,选择Data Pattern，选择Add Pattern，到TCP层选中8080目标端口，用鼠标选择set data，在name中输入TCP。点击OK，确定，然后在Packet中选择Apply Display Filter…。以后用proxy规则过滤将只过滤目标IP是、目标端口是8080的报文。　　三、设定端口：　　选择Filter SettingàData Pattern,现在你可以随意设置你所需要的过滤条件。现举一例说明：过滤经过bbs（端口2323）的IP包，先选中第一行，用Toggle AND/OR调整成OR，如下图： 　　选择Edit Pattern，在弹出的对话框里设置：Packet 34 2 Hex（十六进制），从顶头开始填写 09 13，因为十进制的2323对应十六进制的0x0913，而IP包使用网络字节顺序，高字节在低地址。起名为beginbbs，单击OK，再次选择Edit Pattern，Packet 36 2 Hex 从顶头开始填写 09 13 起名为endbbs，单击OK。于是最外层的OR下有两个叶子，分别对应两个Pattern。[Page]　　四、抓ftp/pop3口令明文：　　NetXray所谓的高级协议过滤事实上就是端口过滤，用上面介绍的方法指定源端口、目标端口均过滤0x00 0x17（23），就可以达到和指定telnet过滤一样的效果。因为telnet就是23端口，所以如果想捕捉一个非标准telnet的通信，必须自己指定端口过滤。　　如果是分析telnet协议并还原屏幕显示，只需要抓从server到client的回显数据即可，因为口令不回显，这种过滤规则下抓不到口令明文。用NetXray抓从client到server包，指定过滤PASS关键字。设置方法如下：　　先指定IP过滤规则，CaptureàCapture Filter Setting…设定为 any -- any，以最大可能地捕捉口令。然后增加一个过滤模式，Packet 54 4 Hex 0x50 41 53 53，再增加一个过滤模式，Packet 54 4 Hex 0x70 61 73 73。两者是or模式，因为这种关键字在网络传输中大小写不敏感。剩下的就是等口令来了。注意，不必指定过滤特定高级协议，直接指定过滤IP协议族就可以了，用这种办法ftp/pop3口令是很容易看清楚的。　　其它的还有用NetXray获得OICQ好友的ip地址等应用,这些都可以从黑客教程中看到,这里就不再详细介绍,当然用好NetXray最重要的是