Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19912517
  • 博文数量: 679
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 9308
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-18 10:51
文章分类

全部博文(679)

文章存档

2012年(5)

2011年(38)

2010年(86)

2009年(145)

2008年(170)

2007年(165)

2006年(89)

分类: 网络与安全

2008-05-15 10:56:03

       本部分需要改天下载相关的动画教程,手册等来更新。2008-5-15

       抓包的工作基本集中在capture菜单中。识别网口后,可以选择网口。

ETHEREAL分析协议比较好。下载地址:。要求pcap库和GIMP Toolkit (GTK)

       命令行的有:tethereal,和tcpdump类似。

语法:

Goal

Tcpdump Command Line

Ethereal Filter String

Show us everything but SSL web traffic

tcpdump not port 443

tcp.port != 443

Show us all outgoing web traffic from 192.168.1.100

tcpdump src host
192.168.1.100 and
dst port 80

ip.src == 192.168.1.100
and tcp.dstport == 80

Show us all UDP packets with a length (packet size) of 24 bytes (8 bytes for header, 16 for data)

tcpdump
‘udp[4:2]=24’

udp.length==24

Show us all outgoing TCP packets from 192.168.1.100 with the SYN flag set

tcp.flags.syn == 1 and
ip.src == 192.168.1.100

tcpdump 'tcp[13] & 2
!= 0 and src host
192.168.1.100'

 

应用层的分析功能比较强,比如使用以下来刺探ftp用户名和密码:

ftp.request.command == "PASS" or ftp.request.command == "USER"

类似的有:http.authbasic

ETHEREAL是个功能强大的工具,拥有很多插件。

 

ethereal 使用协议插件

ethereal 能够支持许多协议,但有些协议需要安装插件以后才能解,比如H.323,以H.323 协议为例,首先下载ethereal H.323 插件,下载地址 下载完了以后将文件(h323.dll) 解压到ethereal 安装目录的plugin.9.x 目录下面,比如我的是0.9.11 ,然后,需要进行一下设置1)启动ethereal 2)菜单Edit->Preference 3)单击Protocols 前面的"+"号,展开Protocols 4)找到Q931 ,并单击5)确保"Desegment.... TCP segments" 是选中的(即方框被按下去)6)单击TCP 7)确保"Allow....TCP streams" 是选中的8)确保没有选中"Check....TCP checksum" "Use....sequence numbers" 9)单击TPKT 10)确保"Desegment....TCP segments" 是选中的11)点击Save,然后点击Apply ,然后点击OK 你也完全可以不断地重新安装新版本winpcap ethreal 这样就可以不需在旧的ethreal 的版本中安装新的插件来支持新的协议插件

 

附上中文教程原文地址:

 

阅读(8026) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

北京绛福餐饮软件管理系统2008-05-17 16:44:19

学习了 http://www.jf-soft.com.cn