NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件功能很强大IP地址查询工具 主要功能监视网络状态为优化网络性能提供资料长时间的捕获依据统计数值分析网络性能 网络中包的捕捉和解码用于故障分析尽量精确的设置捕捉规则利于精确分析 NetXray是一款常用的嗅探器也是个功能强大的软件他具备了常用的嗅探功能并且使用方便下面我们来看看他的具体用法和步骤: 整体轮廓 因为NetXray是英文版的对讨厌E文的朋友来说是件令人头疼的事所以先了解大体的筐架是有必要的:NetXray的主界面: 菜单栏有六个选项分别为文件(file)捕获(capture)包(packet)工具(tools)窗口(window)和帮助(help) 它的工具栏里集合了大部分的功能依次为:打开文件(Open)保存(Save)打印(Print)取消打印(Abort Printing)回到第一个包(First Packet)前一个包(Previous)下一个包(Next)到达最后一个包(Last Packet)仪器板(Dashboard)捕获板(Capture Panel)包发生器(Packet Generator)显示主机表(Host Table)等 NetXray的大部分功能都能用工具栏里的按钮实现 确定目标 依次点击:Capture菜单中Capture Filter Setting单击Profilems选择New进入如下对话(图)在New Profile Name中输入First以Default为模板选择OK然后选择Done在New Profile Name中输入First以Default为模板选择OK然后Done 设置过滤所有目标IP是xxxxxxxxxxxx的报文即指向Any输入:xxxxxxxxxxxx现在就可以开始抓包了同时用IE登陆你刚才输入的IP会发现NetXray窗口中的指针在移动等到他提示你过滤到包后就可以停止抓包了 选中一个目标IP是xxxxxxxxx的报文选择菜单条中的PacketàEdit Display Filte选择"Data Pattern"选择"Add Pattern"到TCP层选中目标端口用鼠标选择"set data"在name中输入"TCP"点击OK确定然后在Packet中选择"Apply Display Filter"以后用proxy规则过滤将只过滤目标IP是xxxxxxxxxxxx目标端口是的报文 设定条件(端口) 确定好了目标先面来设定嗅探的条件:依次选择:Filter SettingàData Pattern举一例说明:过滤经过bbs(端口)的IP包先选中第一行用Toggle AND/OR调整成OR如下图(图)选择Edit Pattern在弹出的对话框里设置:Packet Hex(十六进制)从顶头开始填写 (因为十进制的对应十六进制的x)而IP包使用网络字节顺序高字节在低地址起名为beginbbs单击OK再次选择 Edit PatternPacket Hex 从顶头开始填写 起名为endbbs单击OK于是最外层的OR下有两个叶子分别对应两个Pattern 实战开始 NetXray所谓的高级协议过滤事实上就是端口过滤用上面介绍的方法指定源端口目标端口均过滤x x()就可以达到和指定telnet过滤一样的效果因为telnet就是端口所以如果想捕捉一个非标准telnet的通信必须自己 指定端口过滤 如果是分析telnet协议并还原屏幕显示只需要抓从server到client的回显数据即可因为口令不回显这种过滤规则下抓不到口令明文用NetXray抓从client到server包指定过滤PASS关键字 设置方法如下先指定IP过滤规则CaptureàCapture Filter Setting…设定为 any <> any以最大可能地捕捉口令然后增加一个过滤模式Packet Hex x 再增加一个过滤模式Packet Hex x 两者是or模式因为这种关键字在网络传输中大小写不敏感剩下的就是等口令来了 注意不必指定过滤特定高级协议直接指定过滤IP协议族就可以了用这种办法ftp/pop口令是很容易看清楚的 |