netxray 3.03是由(yóu)CincoNetworks公(gōng)司开发的一个用于高级分组检(jiǎn)错的软件(jiàn)。
netxray 3.03是一款络(luò)信息检(jiǎn)测工具,使用NETxray中文版可以轻松检测网络(luò)中的状态,比如正在(zài)运行的网站的(de)信息检测和(hé)网络包抓(zhuā)取等等。
1、监视网络状态,为(wéi)优化网络性能提供资料:长时(shí)间的(de)捕(bǔ)获,依据统计数值分(fèn)析网络性能。
2、网络中(zhōng)包的捕(bǔ)捉和解码,用于故障分析:尽(jìn)量精确的设(shè)置捕捉规则,利于(yú)精确(què)分(fèn)析。
3、特(tè)点:精美的图(tú)形化界面,灵活的过滤策略和辅助功能。
4、捕获并分析数据包,发(fā)送数据包,网络管理查(chá)看(kàn)。
5、协议分析软件。
6、运(yùn)行于数据链(liàn)路层,对数据(jù)帧进行捕捉和(hé)分(fèn)析。此时工作网(wǎng)卡处于(yú)(混(hún)杂(zá)模式)。
7、可以分(fèn)析数据链路层及以上的协议(yì)及特定用户数据(jù)。
8、不能处理物(wù)理层(céng)协(xié)议,如:电信(xìn)号的(de)串扰、衰减等。
NetXray具备了常用的嗅探功能,并且使用方便,下面(miàn)我们来看看他的(de)具体用法和步骤:
1、整(zhěng)体(tǐ)轮廓
NetXray的主界面:菜单栏有六个选项,分别为文件(jiàn)(file)、捕获(capture)、包(bāo)(packet)、工具(tools)、窗(chuāng)口(window)和帮助(help)。
它 的(de)工(gōng)具栏(lán)里集合了大部分的功能,依次(cì)为:打开文(wén)件(Open)、保(bǎo)存(Save)、打(dǎ)印(Print)、取(qǔ)消(xiāo)打(dǎ)印(Abort Printing)、回到第一(yī)个包(bāo)(First Packet)、前一个包(Previous)、下一个包(bāo)(Next)、到达最后一个包(bāo)(Last Packet)、仪器板(Dashboard)、捕获板(Capture Panel)、包发生器(Packet Generator)、显示主机表(biǎo)(Host Table)等,NetXray的大部分功(gōng)能都能用工具栏里的按钮(niǔ)实现。
2、确(què)定目标(biāo)
依(yī)次 点击:Capture菜单中Capture Filter Setting,单击Profilems选择New,进入(rù)如下(xià)对话(图2),在New Profile Name中输入First,以Default为模板选择OK,然(rán)后选择(zé)Done,在New Profile Name中输入First,以Default为模板(bǎn)选择OK,然后Done。
设置过滤(lǜ)所(suǒ)有目标(biāo)IP是(shì)xxx.xxx.xxx.xxx的报文,即指向Any输入(rù):xxx.xxx.xxx.xxx现在就可以(yǐ)开始(shǐ)抓包(bāo)了(le),同时用IE登陆你刚才输入的IP,会发现NetXray窗口中的指(zhǐ)针在移动(dòng),等到他提示你过滤到包后,就可以停止抓包(bāo)了。
选 中(zhōng)一个(gè)目(mù)标(biāo)IP是(shì)xxx.xxx.xxx的报(bào)文,选择菜单条(tiáo)中的PacketàEdit Display Filte,选择"Data Pattern",选择"Add Pattern",到TCP层选中8080目标(biāo)端口,用鼠标选择"set data",在name中(zhōng)输(shū)入"TCP"。点击OK,确定,然后在Packet中选择"Apply Display Filter"。以后(hòu)用proxy规则过滤(lǜ)将(jiāng)只过滤目标IP是xxx.xxx.xxx.xxx、目(mù)标端口是8080的(de)报文(wén)。
3、设定条件(端口)
确(què) 定好了(le)目标,先面来设定嗅探的条件:依次选择:Filter SettingàData Pattern,举一(yī)例说明:过滤经(jīng)过bbs(端口2323)的IP包,先选中第一行,用Toggle AND/OR调整成OR,如(rú)下图(图3)选择Edit Pattern,在(zài)弹出的(de)对话(huà)框里设置(zhì):Packet 34 2 Hex(十(shí)六进制),从顶头开始填写 09 13,(因为十进制的(de)2323对(duì)应十六进制的0x0913),而IP包使(shǐ)用网络字节顺(shùn)序,高字节在低地址。起名为beginbbs,单击OK,再(zài)次选择 Edit Pattern,Packet 36 2 Hex 从顶头开始填写 09 13 起名为endbbs,单击OK。于(yú)是最(zuì)外层的OR下(xià)有(yǒu)两(liǎng)个叶(yè)子,分别(bié)对应两个Pattern。
4、实战开始
NetXray所谓的高级协议 过(guò)滤事实上(shàng)就是(shì)端口过滤(lǜ),用上面介绍的方法指定源端(duān)口、目标(biāo)端口(kǒu)均过滤0x00 0x17(23),就可(kě)以达到和指定telnet过滤一样的效(xiào)果(guǒ)。因为telnet就是23端口,所以如果想(xiǎng)捕(bǔ)捉一个非(fēi)标准telnet的(de)通(tōng)信,必须自己(jǐ) 指定端(duān)口过滤(lǜ)。
如果是分(fèn)析telnet协议并还原屏幕显示(shì),只需要抓从server到client的回显数据即可,因为(wéi)口(kǒu)令不回显,这(zhè)种过滤(lǜ)规则(zé)下抓不到口令明(míng)文。用NetXray抓从client到server包,指定过滤PASS关键字(zì)。
设 置方法如下先指定IP过滤规则(zé),CaptureàCapture Filter Setting…设定为 any <--> any,以最大(dà)可能地捕捉口令。然(rán)后(hòu)增加一个过滤模式,Packet 54 4 Hex 0x50 41 53 53,再增加(jiā)一个过滤模式,Packet 54 4 Hex 0x70 61 73 73。两者是or模式,因为这(zhè)种(zhǒng)关键(jiàn)字在网络传输(shū)中大小写不敏(mǐn)感,剩(shèng)下的就是等口令来了。
1N-34567890-SSXS1z
