嗅探器(Sniff)是能够捕获网络报文的设备,可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所产生的众多的信息,今天给大家简单讲讲嗅探技术。
一、原理及分类
要了解嗅探器及其工作方法,先我们要知道他的原理:
网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网是由错综复杂的各种网络交汇而成的,也就是说:当你的数据从网络的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中,有人看到了传输中的数据,那么问题就出现了――这就好比你给人发了一封邮件,在半路上被人拆开偷看一样,这样说或许你还不是很怕,那要是你传送的数据是你们企业的机密文件那,或是你的信用卡帐号和密码那?……
嗅探侦听主要有两种途径,一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上,(比如网关服务器,路由器)――当然要实现这样的效果可能也需要通过其他黑客技术来实现:比如通过木马方式将嗅探器发给某个网络管理员,使其不自觉的为攻击者进行了安装。另外一种是针对不安全的局域网(采用交换hub实现),放到个人电脑上就可以实现对整个局域网的侦听,这里的原理是这样的:共享hub获得一个子网内需要接收的数据时,并不是直接发送到指定主机,而是通过广播方式发送到每个电脑,对于处于接受者地位的电脑就会处理该数据,而其他非接受者的电脑就会过滤这些数据,这些操作与电脑操作者无关,是系统自动完成的,但是电脑操作者如果有意的话,他是可以将那些原本不属于他的数据打开!――这就是安全隐患!
嗅探器分软件和硬件两种,一种是硬件的,一种是软件的,硬件的不是我们这些喜欢用down的网虫能用的起的,所以还是用软件的――而且是免费的!
二、实用工具介绍――NetXray
NetXray是一款常用的嗅探器,也是个功能强大的东东,他具备了常用的嗅探功能,并且使用方便。下面我们来看看他的具体用法和步骤:(:NetXray是个功能和很强大的软件,由于篇幅限制,不可能全部把他的功能讲完,所以只能选择它常用的功能略做介绍,其他的留待有兴趣的你你去慢慢摸索。)
1,整体轮廓
因为NetXray是英文版的,对讨厌E文的朋友来说是件令人头疼的事,所以先了解大体的筐架是有必要的:NetXray的主界面:
菜单栏有六个选项,分别为文件(file)、捕获(capture)、包(packet)、工具(tools)、窗口(window)和帮助(help)。
它的工具栏里集合了大部分的功能,依次为:打开文件(Open)、保存(Save)、打印(Print)、取消打印(Abort Printing)、回到第一个包(First Packet)、前一个包(Previous)、下一个包(Next)、到达最后一个包(Last Packet)、仪器板(Dashboard)、捕获板(Capture Panel)、包发生器(Packet Generator)、显示主机表(Host Table)等。
NetXray的大部分功能都能用工具栏里的按钮实现。
2,确定目标
依次点击:Capture菜单中Capture Filter Setting,单击Profilems选择New,进入如下对话(图2),在New Profile Name中输入First,以Default为模板选择OK,然后选择Done,在New Profile Name中输入First,以Default为模板选择OK,然后Done。
设置过滤所有目标IP是xxx.xxx.xxx.xxx的报文,即指向Any输入:xxx.xxx.xxx.xxx现在就可以开始抓包了,同时用IE登陆你刚才输入的IP,会发现NetXray窗口中的指针在移动,等到他提示你过滤到包后,就可以停止抓包了。
选中一个目标IP是xxx.xxx.xxx的报文,选择菜单条中的PacketàEdit Display Filte,选择"Data Pattern",选择"Add Pattern",到TCP层选中8080目标端口,用鼠标选择"set data",在name中输入"TCP"。点击OK,确定,然后在Packet中选择"Apply Display Filter"。以后用proxy规则过滤将只过滤目标IP是xxx.xxx.xxx.xxx、目标端口是8080的报文。
