Ethereal軟體介紹
Ethereal 封包監(jiān)聽器,是一套網(wǎng)管人員必備的超強(qiáng)軟體。舉凡在網(wǎng)路故障排除,監(jiān)聽異常封包,軟體封包問題檢測等等問題,甚至包含針對網(wǎng)路通訊協(xié)定的教育訓(xùn)練,都可以利用這套免費(fèi)的軟體來做到。
Unix 及 Windows 平臺封包擷取、網(wǎng)路分析程式 - Ethereal,可以從動態(tài)的網(wǎng)路擷取封包,或者是由硬碟中擷取檔案來檢查資料,您可以同時瀏覽每一個封包的擷取資料內(nèi)容、檢視概要及詳細(xì)資訊,還有強(qiáng)大的過濾器語言顯示、檢視重建的 TCP session 串流功能。
不久之前,Sniffer 和 NetXRay 大概是網(wǎng)管人員最熟悉的封包監(jiān)聽軟體,但 Ethereal 這套免費(fèi)的軟體,由於採取開放原始碼的方式,更新通訊協(xié)定 Protocol 迅速,支援不同軟體匯出的封包擷取檔案格式,目前廣為世界各地專業(yè)網(wǎng)管使用。
很容易的可以選取擷取封包時間,主要透過圖形介面來表示,清晰易懂。此外,使用過濾的功能,可以讓你輕易的判別出封包種類,可以讓你清楚的分析網(wǎng)路中各式各樣流竄的封包內(nèi)容。
目前支援620種不同的 Protocol,還在持續(xù)增加之中。相容的封包擷取檔案格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,幾乎全部知名的封包擷取軟體,通通都可以在這套軟體中讀取檢視。
目前各種不同的作業(yè)系統(tǒng)幾乎都有不同的版本可以支援使用。可以到網(wǎng)站中下載不同平臺的版本。
說到抓封包看內(nèi)容來說,這一套免費(fèi)軟體說是超強(qiáng),支援協(xié)定出乎意料的多,常常更新版本,可惜的是目前還沒有繁體中文版本
本文讀者要先知道的智識:ISO 7和TCP/IP協(xié)定,F(xiàn)TP基礎(chǔ)使用
教學(xué)內(nèi)容:這一次的教學(xué),我要使用Ethereal找出本臺電腦FTP的連線密碼
以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到
http://www.ethereal.com/
左上角有一下載處Download Now,點(diǎn)一下下載
這邊有分不同的作業(yè)系統(tǒng)有不同版本,Ethereal支援多種作業(yè)系統(tǒng)喔
這邊其實也有以前的版本下載,打上
http://www.ethereal.com/distribution.../all-versions/
這有以前的版本,還包括了windows系列使用Ethereal前一定要先安裝的
WinPcap,不過,自從0.99.0之後的版本,都不用另外下載安裝winpcap了,因為都封裝在ethereal裡面,那之前的版本就必須要另行下載安裝winpcap了
下面這張圖就是下載回來後的檔案清單,有各種版本,其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝
執(zhí)行安裝過程的第一個歡迎畫面
這是協(xié)議書
這是選擇要安裝的套件內(nèi)容,一般都全選了
這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列
而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關(guān)聯(lián)
選擇安裝的路徑
也就是我之前所說的,winpcap已經(jīng)寺裝在一起了,所以在這裡要選擇安裝winpcap 3.1
開始複製檔案了……
會特別跳出winpcap的安裝程式
已經(jīng)安裝完成
這是ethereal的軟體畫面了
我們開始來抓封包了,點(diǎn)選Capture->Options
在Interface選項裡,選擇你要抓封包的網(wǎng)卡,我這張圖裡有5張網(wǎng)卡,但我上網(wǎng)的是RTL8139,我就選擇RTL8139
選好再按START
這是在抓封包的過程,可以觀察得到各協(xié)定所抓到的封包數(shù)量(同時也可以看看協(xié)定比例對不對),你覺得抓得到你想要的封包時,就可以按STOP了,不過我先不按,因為這一次的教學(xué)我要找出FTP的連線密碼,當(dāng)然要先作ftp連線結(jié)束才再來按stop
我打開我的ftp 用戶端,要連線的主機(jī),帳號,密碼都打上了,按下我的connect連線
YA!連線成功
認(rèn)證成功,伺服器回應(yīng)的訊息
這就是一般的ftp連線登入認(rèn)證時所有過程,那到底ftp軟體做了些什麼事情呢!?我們一來看看封包的內(nèi)容吧
我們回到這個畫面,按下stop來停止封包抓取的動作
按stop後的畫面,這畫面有分三大部份
1.最上面的是似照封包的接收順序來排序的,就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內(nèi)容,大致上有四行,這四行是TCP/IP協(xié)定內(nèi)所定意的四層,最上面是
第一層-實體層和網(wǎng)路介面層(frame)
第二層-網(wǎng)路層(包括來源ip和目的地ip,有時候也有mac address)
第三層-協(xié)定的種類(如http,ftp,telnet,pop,smtp..........)
第四層-應(yīng)用層(包括所傳送的內(nèi)容,帳號,密碼,或msn的通話內(nèi)容......這一層也是單一封包內(nèi)容最多的)
參考圖片:
3.最下面的畫面是封包真正的內(nèi)容,也就是01010101010......的,不過是以16進(jìn)位法表示的(看得懂的才有鬼呢...)
因為我們所抓的封包,是只要有經(jīng)過我們網(wǎng)卡上的封包都會被抓下來,包括是我們要的,不是我們要的,都會抓下來,如何找出我們真正想要的封包呢?
我們來點(diǎn)選上一圖Expression...的按鈕,會出現(xiàn)下圖,這是一個封包搜尋器輔助工具,也就是可以輔助我們輸入正確的關(guān)建字
在左邊選出我們要的協(xié)定或關(guān)鍵的字串,我們這一次是找ftp的封包,所以選完ftp就好了,如果按
+號,會出現(xiàn)更多的細(xì)項,但我們不需要,所以直接按ok就好
還沒搜索出來,因為剛剛只是輔助我們輸入正確的關(guān)建字,現(xiàn)在在關(guān)建字多了ftp三個英文字,現(xiàn)在再按Filter,會出現(xiàn)下圖
這是一些說明及搜尋ftp封包時所定的條件,可以不用理會直接按ok(或在上圖中直接按Alpply)
這樣上圖的protocol(協(xié)定)的欄位只有ftp了,這樣就可以找到這一次封包中所收集的ftp封包
似照封包的順序來排列,這是第11個封包
我們直接看第四層內(nèi)容
這個封包是ftp主機(jī)先say hi,說他自己是存在的,再要求我們提供資料(其中\(zhòng)n是Enter鍵的意思)
那我們看看我們給ftp主機(jī)什麼東西,看第12個封包
我們也是直接看第四層內(nèi)容
我們的ftp軟體會輸入指令USER,再接是帳號netbird(按+是分析Request commanr:USER<回應(yīng)指令是:USER>,--Request arg:netbird<回應(yīng)內(nèi)容是:netbird>)
下面是伺回應(yīng),第14個封包,有該帳號存在,該帳號需要密碼,請輸入密碼
我們到送出密碼的封包,是第15個封包,如下圖
看到了密碼是2pzwst87
因為ftp協(xié)定是明碼傳送封包的,所以使用ethereal是可以看得到的,明碼傳送密碼的協(xié)定有
telnet,http,ftp,pop,smtp.....等
如果說不要被看到密碼的,那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....
以上教學(xué)為教學(xué)之用,請勿使用以上技術(shù)偷竊別人的連線帳號及密碼
以上文章歡迎轉(zhuǎn)貼,但請註明出處於
<史萊姆的第一個家-附設(shè)討論區(qū)-網(wǎng)路疑難應(yīng)用技術(shù)研討區(qū)By飛鳥>