本部分需要改天下载相关的动画教程,手册等来更新。2008-5-15
抓包的工作基本集中在capture菜单中。识别网口后,可以选择网口。
ETHEREAL分析协议比较好。下载地址:http://www.ethereal.com/。要求pcap库和GIMP Toolkit (GTK)。
命令行的有:tethereal,和tcpdump类似。
语法:
|
Goal
|
Tcpdump Command Line
|
Ethereal Filter String
|
|
Show us everything but SSL web traffic
|
tcpdump not port 443
|
tcp.port != 443
|
|
Show us all outgoing web traffic from 192.168.1.100
|
tcpdump src host
192.168.1.100 and
dst port 80
|
ip.src == 192.168.1.100
and tcp.dstport == 80
|
|
Show us all UDP packets with a length (packet size) of 24 bytes (8 bytes
for header, 16 for data)
|
tcpdump
‘udp[4:2]=24’
|
udp.length==24
|
|
Show us all outgoing TCP packets from 192.168.1.100 with the SYN flag
set
|
tcp.flags.syn == 1 and
ip.src == 192.168.1.100
|
tcpdump 'tcp[13] & 2
!= 0 and src host
192.168.1.100'
|
应用层的分析功能比较强,比如使用以下来刺探ftp用户名和密码:
ftp.request.command == "PASS" or ftp.request.command == "USER"
类似的有:http.authbasic
ETHEREAL是个功能强大的工具,拥有很多插件。
在ethereal 使用协议插件
ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal 的H.323 插件,下载地址http://www.voice2sniff.org/ 下载完了以后将文件(h323.dll) 解压到ethereal 安装目录的plugin.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置1)启动ethereal 2)菜单Edit->Preference 3)单击Protocols 前面的"+"号,展开Protocols 4)找到Q931 ,并单击5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)6)单击TCP 7)确保"Allow....TCP streams" 是选中的8)确保没有选中"Check....TCP checksum" 和"Use....sequence numbers" 9)单击TPKT 10)确保"Desegment....TCP segments" 是选中的11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap 和ethreal, 这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件
附上中文教程原文地址:http://www.mstc.com.cn/archiver/tid-4395.html
