24h購物| | PChome| 登入
2012-05-17 11:25:00| 人氣4,305| 回應1 | 上一篇 | 下一篇

[轉貼]Ethereal 抓網路封包+封包內容分析+看明碼連線教學內容

推薦 0 收藏 0 轉貼0 訂閱站台

網路上其他參考資料
[轉貼]FTP連線觀測與分析(檔案傳輸通訊協定)
實驗五 FTP連線觀測與分析
實驗二 網路與多媒體實驗


資料來源:鳥巢學習it home

2007年10月8日星期一

Ethereal 抓網路封包+封包內容分析+看明碼連線教學內容

Ethereal 抓網路封包+封包內容分析+看明碼連線內容
Ethereal軟體介紹

Ethereal 封包監聽器,是一套網管人員必備的超強軟體。舉凡在網路故障排除,監聽異常封包,軟體封包問題檢測等等問題,甚至包含針對網路通訊協定的教育訓練,都可以利用這套免費的軟體來做到。

Unix 及 Windows 平台封包擷取、網路分析程式 - Ethereal,可以從動態的網路擷取封包,或者是由硬碟中擷取檔案來檢查資料,您可以同時瀏覽每一個封包的擷取資料內容、檢視概要及詳細資訊,還有強 大的過濾器語言顯示、檢視重建的 TCP session 串流功能。

不久之前,Sniffer 和 NetXRay 大概是網管人員最熟悉的封包監聽軟體,但 Ethereal 這套免費的軟體,由於採取開放原始碼的方式,更新通訊協定 Protocol 迅速,支援不同軟體匯出的封包擷取檔案格式,目前廣為世界各地專業網管使用。

很容易的可以選取擷取封包時間,主要透過圖形介面來表示,清晰易懂。此外,使用過濾的功能,可以讓你輕易的判別出封包種類,可以讓你清楚的分析網路中各式各樣流竄的封包內容。

目前支援620種不同的 Protocol,還在持續增加之中。相容的封包擷取檔案格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,幾乎全部知名的封包擷取軟體,通通都可以在這套軟體中讀取檢視。

目前各種不同的作業系統幾乎都有不同的版本可以支援使用。可以到網站中下載不同平台的版本。

說到抓封包看內容來說,這一套免費軟體說是超強,支援協定出乎意料的多,常常更新版本,可惜的是目前還沒有繁體中文版本

本文讀者要先知道的智識:ISO 7和TCP/IP協定,FTP基礎使用

教學內容:這一次的教學,我要使用Ethereal找出本台電腦FTP的連線密碼

以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到http://www.ethereal.com/
左上角有一下載處Download Now,點一下下載
這邊有分不同的作業系統有不同版本,Ethereal支援多種作業系統喔

這邊其實也有以前的版本下載,打上http://www.ethereal.com/distribution.../all-versions/
這有以前的版本,還包括了windows系列使用Ethereal前一定要先安裝的WinPcap,不過,自從0.99.0之後的版本,都不用另外下載安裝winpcap了,因為都封裝在ethereal裡面,那之前的版本就必須要另行下載安裝winpcap了

下面這張圖就是下載回來後的檔案清單,有各種版本,其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝

執行安裝過程的第一個歡迎畫面

這是協議書

這是選擇要安裝的套件內容,一般都全選了

這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列

而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關聯

選擇安裝的路徑


也就是我之前所說的,winpcap已經寺裝在一起了,所以在這裡要選擇安裝winpcap 3.1


開始複製檔案了……


會特別跳出winpcap的安裝程式




已經安裝完成

這是ethereal的軟體畫面了



我們開始來抓封包了,點選Capture->Options


在Interface選項裡,選擇你要抓封包的網卡,我這張圖裡有5張網卡,但我上網的是RTL8139,我就選擇RTL8139


選好再按START


這是在抓封包的過程,可以觀察得到各協定所抓到的封包數量(同時也可以看看協定比例對不對),你覺得抓得到你想要的封包時,就可以按STOP了,不過我先不按,因為這一次的教學我要找出FTP的連線密碼,當然要先作ftp連線結束才再來按stop

我打開我的ftp 用戶端,要連線的主機,帳號,密碼都打上了,按下我的connect連線

YA!連線成功


認證成功,伺服器回應的訊息


這就是一般的ftp連線登入認證時所有過程,那到底ftp軟體做了些什麼事情呢!?我們一來看看封包的內容吧


我們回到這個畫面,按下stop來停止封包抓取的動作


按stop後的畫面,這畫面有分三大部份
1.最上面的是似照封包的接收順序來排序的,就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內容,大致上有四行,這四行是TCP/IP協定內所定意的四層,最上面是

第一層-實體層和網路介面層(frame)
第二層-網路層(包括來源ip和目的地ip,有時候也有mac address)
第三層-協定的種類(如http,ftp,telnet,pop,smtp..........)
第四層-應用層(包括所傳送的內容,帳號,密碼,或msn的通話內容......這一層也是單一封包內容最多的)
參考圖片:

3.最下面的畫面是封包真正的內容,也就是01010101010......的,不過是以16進位法表示的(看得懂的才有鬼呢...)

因為我們所抓的封包,是只要有經過我們網卡上的封包都會被抓下來,包括是我們要的,不是我們要的,都會抓下來,如何找出我們真正想要的封包呢?

我們來點選上一圖Expression...的按鈕,會出現下圖,這是一個封包搜尋器輔助工具,也就是可以輔助我們輸入正確的關建字


在左邊選出我們要的協定或關鍵的字串,我們這一次是找ftp的封包,所以選完ftp就好了,如果按+號,會出現更多的細項,但我們不需要,所以直接按ok就好


還沒搜索出來,因為剛剛只是輔助我們輸入正確的關建字,現在在關建字多了ftp三個英文字,現在再按Filter,會出現下圖


是一些說明及搜尋ftp封包時所定的條件,可以不用理會直接按ok(或在上圖中直接按Alpply)


這樣就可以找到這一次封包中所收集的ftp封包

點一下NO.,似照封包的順序來排列,這是第11個封包


我們直接看第四層內容
220 FTP Srver reday.\r\n
這個封包是ftp主機先say hi,說他自己是存在的,再要求我們提供資料(其中\n是Enter鍵的意思)

那我們看看我們給ftp主機什麼東西,看第12個封包

我們也是直接看第四層內容
引用:
USER netbird\r\n
我們的ftp軟體會輸入指令USER,再接是帳號netbird(按+是分析Request commanr:USER<回應指令是:USER>,--Request arg:netbird<回應內容是:netbird>)

下面是伺回應,第14個封包,有該帳號存在,該帳號需要密碼,請輸入密碼


我們到送出密碼的封包,是第15個封包,如下圖


看到了密碼是2pzwst87

因為ftp協定是明碼傳送封包的,所以使用ethereal是可以看得到的,明碼傳送密碼的協定有
telnet,http,ftp,pop,smtp.....等

如果說不要被看到密碼的,那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....


以上教學為教學之用,請勿使用以上技術偷竊別人的連線帳號及密碼

以上文章歡迎轉貼,但請註明出處於
http://netgames123.blogspot.com/

<
史萊姆的第一個家-附設討論區By飛鳥>

台長: nut
人氣(4,305) | 回應(1)| 推薦 (0)| 收藏 (0)| 轉寄
全站分類: 不分類 | 個人分類: 技術 |
此分類下一篇:[轉貼]開源之道
此分類上一篇:[轉貼]google雲端硬碟

春藥哪裡買
很不錯的分享~~!


http://www.yyj.tw/
2020-01-10 10:29:23
是 (若未登入"個人新聞台帳號"則看不到回覆唷!)
* 請輸入識別碼:
請輸入圖片中算式的結果(可能為0) 
(有*為必填)
TOP
詳全文