NetXray是一款常用的嗅探器,也是個功能強大的軟件,他具備了常用的嗅探功能,并且使用方便��。下面我們來看看他的具體用法和步驟:
1,整體輪廓
因為NetXray是英文版的,對討厭E文的朋友來說是件令人頭疼的事,所以先了解大體的筐架是有必要的:NetXray的主界面:
菜單欄有六個選項,分別為文件(file)�����、捕獲(capture)��、包(packet)����、工具(tools)�����、窗口(window)和幫助(help)�����。
它的工具欄里集合了大部分的功能,依次為:打開文件(Open)���、保存(Save)�、打印(Print)��、取消打印(Abort Printing)�����、回到第一個包(First Packet)��、前一個包(Previous)��、下一個包(Next)���、到達最后一個包(Last Packet)�、儀器板(Dashboard)�����、捕獲板(Capture Panel)����、包發生器(Packet Generator)�、顯示主機表(Host Table)等����。
NetXray的大部分功能都能用工具欄里的按鈕實現��。
2,確定目標
依次點擊:Capture菜單中Capture Filter Setting,單擊Profilems選擇New,進入如下對話(圖2),在New Profile Name中輸入First,以Default為模板選擇OK,然后選擇Done,在New Profile Name中輸入First,以Default為模板選擇OK,然后Done��。
設置過濾所有目標IP是xxx.xxx.xxx.xxx的報文,即指向Any輸入:xxx.xxx.xxx.xxx現在就可以開始抓包了,同時用IE登陸你剛才輸入的IP,會發現NetXray窗口中的指針在移動,等到他提示你過濾到包后,就可以停止抓包了����。
選中一個目標IP是xxx.xxx.xxx的報文,選擇菜單條中的PacketàEdit Display Filte,選擇"Data Pattern",選擇"Add Pattern",到TCP層選中8080目標端口,用鼠標選擇"set data",在name中輸入"TCP"��。點擊OK,確定,然后在Packet中選擇"Apply Display Filter"�����。以后用proxy規則過濾將只過濾目標IP是xxx.xxx.xxx.xxx�����、目標端口是8080的報文���。
3,設定條件(端口)
確定好了目標,先面來設定嗅探的條件:依次選擇:Filter SettingàData Pattern,舉一例說明:過濾經過bbs(端口2323)的IP包,先選中第一行,用Toggle AND/OR調整成OR,如下圖(圖3)選擇Edit Pattern,在彈出的對話框里設置:Packet 34 2 Hex(十六進制),從頂頭開始填寫 09 13,(因為十進制的2323對應十六進制的0x0913),而IP包使用網絡字節順序,高字節在低地址��。起名為beginbbs,單擊OK,再次選擇Edit Pattern,Packet 36 2 Hex 從頂頭開始填寫 09 13 起名為endbbs,單擊OK���。于是最外層的OR下有兩個葉子,分別對應兩個Pattern���。
4,實戰開始
NetXray所謂的高級協議過濾事實上就是端口過濾,用上面介紹的方法指定源端口���、目標端口均過濾0x00 0x17(23),就可以達到和指定telnet過濾一樣的效果���。因為telnet就是23端口,所以如果想捕捉一個非標準telnet的通信,必須自己指定端口過濾��。
如果是分析telnet協議并還原屏幕顯示,只需要抓從server到client的回顯數據即可,因為口令不回顯,這種過濾規則下抓不到口令明文�����。用NetXray抓從client到server包,指定過濾PASS關鍵字�����。
設置方法如下先指定IP過濾規則,CaptureàCapture Filter Setting…設定為 any <--> any,以最大可能地捕捉口令���。然后增加一個過濾模式,Packet 54 4 Hex 0x50 41 53 53,再增加一個過濾模式,Packet 54 4 Hex 0x70 61 73 73�。兩者是or模式,因為這種關鍵字在網絡傳輸中大小寫不敏感�。剩下的就是等口令來了���。
注意,不必指定過濾特定高級協議,直接指定過濾IP協議族就可以了,用這種辦法ftp/pop3口令是很容易看清楚的����。
轉載于:https://blog.51cto.com/osman/1252935
