⑴ 什麼是網路嗅探器,網路嗅探器是幹嘛的
網路嗅探器簡單說來就是使我們能夠「嗅探」到本地網路的數據,並檢查進入計算機的信息包。
另外,當我們處理自身網路問題的時候,一個信息包嗅探器向我們展示出正在網路上進行的一切活動。於是,藉助一定的知識水準,我們就可以確定問題的根源所在。必須記住的是, 信息嗅探器並不會告訴你問題究竟是什麼,而只會告訴你究竟發生了什麼。
就好比你用鼻子「嗅」,或用手去「探」,而不用眼去看,你能「嗅探」出那裡有東西,但不知道是什麼!
方法主要就是用一些嗅探工具。你在網路上搜索一下「嗅探器工具」就會有很多介紹和下載。
⑵ 有誰知道網路處理器或網路過濾器是什麼東東
網路過濾器就是過濾網路上不健康內容的軟體咯
你要的話就用瑞星的卡卡助手,或奇虎360,過濾的比較全面
⑶ 網路嗅探器怎麼用啊
Iris網路嗅探器使用與技巧
(以下內容部分翻譯自iris自帶的幫助文件
1.【Iris簡介】
一款性能不錯的嗅探器。嗅探器的英文是Sniff,它就是一個裝在電腦上的竊聽器,監視通過電腦的數據。
2.【Iris的安裝位置】
作為一個嗅探器,它只能捕捉通過所在機器的數據包,因此如果要使它能捕捉盡可能多的信息,安裝前應該對所處網路的結構有所了解。例如,在環形拓撲結構的網路中,安裝在其中任一台機都可以捕捉到其它機器的信息包(當然不是全部),而對於使用交換機連接的交換網路,很有可能就無法捕捉到其它兩台機器間通訊的數據,而只能捕捉到與本機有關的信息;又例如,如果想檢測一個防火牆的過濾效果,可以在防火牆的內外安裝Iris,捕捉信息,進行比較。
3.【配置Iris】
Capture(捕獲)
Run continuously :當存儲數據緩沖區不夠時,Iris將覆蓋原來的數據包。
Stop capture after filling buffer:當存儲數據緩沖區滿了時,Iris將停止進行數據包截獲,並停止紀錄。
Load this filter at startup:捕獲功能啟動時導入過濾文件並應用,這樣可以進行命令行方式的調試。
Scroll packets list to ensure last packet visible:一般要選中,就是將新捕獲的數據包附在以前捕獲結果的後面並向前滾動。
Use Address Book:使用Address Book來保存mac地址,並記住mac地址和網路主機名。而Ip也會被用netbios名字顯示。
Decode(解碼)
Use DNS:使用域名解析
Edit DNS file:使用這個選項可以編輯本地解析文件(host)。
HTTP proxy:使用http使用代理伺服器,編輯埠號。默認為80埠
Decode UDP Datagrams:解碼UDP協議
Scroll sessions list to ensure last session visible:使新截獲的數據包顯示在捕獲窗口的最上。
Use Address Book:同Capture中的Use Address Book
Adapters(網路配置器)
選擇從哪個網路配置器(網卡)中截獲數據。
Guard(警報和日誌選項)
Enable alarm sound:當發現合乎規則的數據包發出提示聲音
Play this wave file:選擇警報聲音路徑,聲音格式是.wav
Log to file:啟動日誌文件。如果選中後,當符合規則的數據包被截獲後將被記錄在日誌文件中。
Ignore all LAN connections:Iris可以通過本地的ip地址和子網掩碼識別地址是否是本地的地址。當這個選項被不選中後,Iris會接受所有的數據包(包括本機收發出的)。如果選中,將不接受本地網路的數據包。
Ignore connections on these>>:過濾指定埠(port),在列表中可以選擇。
Use software filter:軟體過濾方案生效。當沒有被選中後,軟體將會接受所有的數據。另外只有當Apply filter to incoming packets 被選中後Use software filter才能使用。
Miscellaneous(雜項功能)
選項 功能描述
Packet buffer:設置用來保存捕獲數據包最多個數(默認值是2000個)
Stop when free disk space drops :當磁碟空間低於指定值時,Iris將會停止捕獲和記錄數據。
Enable CPU overload protection 當Cpu的佔用率連續4秒鍾達到100%時,Iris會停止運行。等到恢復正常後才開始紀錄。
Start automatically with Windows:點擊這里可以把Iris加入到啟動組中。
Check update when program start:是否啟動時檢查本軟體的更新情況。
4【任務】
Schele:配置Iris指定的時間捕獲數據包,藍色代表捕獲,白色代錶停止捕獲。
5.【建立過濾條件】
a.硬體過濾器(HardWare Filter):
Promiscuous (噪音模式):使得網卡處於雜收狀態,這個是默認狀態。
Directed (直接連接):只接受發給本網路配置器的數據包,而其他的則不予接受。
Multicast (多目標):捕獲多點傳送的數據包
All multicast (所有多目標):捕獲所有的多目標數據包
Broadcast (廣播) 只捕獲廣播楨,這樣的真都具有相同的特點,目的MAC地址都是FF:FF:FF:FF:FF:FF
b.數據包捕獲類型匹配(Layer 2,3):
這個過濾設置位於DoD模型(四層)中的第二、三層——網路層和運輸層。
利用這個過濾設置,可以過濾不同協議類型的數據。
include:表示包括此種協議類型的數據將被捕獲;
exclude:表示包括此種協議類型的數據將被忽略;
也可以自定義協議類型,方法是配置proto.dat文件。Layer 2的協議編輯[PROTOCOL],而layer 3則編輯相應的[IP PROTOCOL]。我們用記事本打開proto.dat,在這里很多的協議可以被修改和添加。
c.字元匹配(Words Filter)
加入你想過濾的關鍵字元到列表。列表下面有All和ANY兩個選項(有的是AND和OR),其中ANY是指數據包至少要匹配列表中的一個關鍵字元,而ALL選項是指所有列表中的數據都要匹配才會顯示出來。
Apply filter to packets是指顯示帶有關鍵字的數據幀,而其他的數據幀則會被拋棄。
Mark sessions containing words是指所有的數據幀都會被截獲,只不過帶有指定字元的數據幀會加上標志。
d.MAC地址匹配(MAC Address Filter)
第一個窗口是IRIS可是識別出來的硬體地址。你可以點擊這些地址把他們加到下邊的Address 1或Address 2,如果你不這樣做也可以自己輸入地址到窗口二中;
e.IP地址匹配層(IP address)
和MAC地址匹配(MAC Address Filter)選項相類似,這個是IP地址匹配層。
f.埠匹配層(Ports)
CP和UDP採用16 bit的埠號來識別應用程序的。FTP伺服器的TCP埠號是2 1,Telnet伺服器的TCP埠號是23,TFTP(簡單文件傳送協議)伺服器的UDP埠號是69。任何TCP/IP實現所提供的服務都用知名的1~1023之間的埠號.例如我們想截獲telnet中的用戶名和密碼這里我們就應該選擇23 Port。
g.高級選項配置(Advanced)
數據大小匹配選項(Size):可以選擇指定接收的數據包的大小。
十六進制數據匹配(Data):指定數據包中所包含數據的十六進制字元相匹配。
6【截獲數據包】
在數據包編輯區內,顯示著完整的數據包。窗口分兩部分組成,左邊的數據是以十六進制數字顯示,右邊則對應著ASCII。點擊十六進制碼的任何部分,右邊都會顯示出相應的ASCII代碼,便於分析。
十六進制碼是允許進行編輯再生的,可以重寫已經存在的的數據包。新的數據包可以被發送,或者保存到磁碟中。
7.【數據包編輯】
Capture > Show Packet Editor點擊顯示出來
利用工具條的選項可以進行數據包的保存,更改,加入到列表和發送等操作。
例如想生成一系列TCP數據包,首先點擊生成一個空數據包,參照數據包格式,使得每一部分都用十六進製表示法來表示。建立了一個包假設它由100個位元組的長度(假設一下,20 個位元組是IP信息,20個位元組是TCP信息,還有60個位元組為傳送的數據)。現在把這個包發給乙太網,放14個位元組在目地MAC地址之前,源MAC地址,還要置一個0x0800的標記,它指示出了TCP/IP棧後的數據結構。同時,也附加了4個位元組用於做CRC校驗 (CRC校驗用來檢查傳輸數據的正確性),之後我們點擊發送按鈕。
⑷ 網路嗅探誰能給我詮釋一下
提到網路嗅探大家都知道sniffer了,sneff是嗅探的意思,sniffer自然就是嗅探器的含義了。Sniffer是利用計算機的網路介面截獲目的地為其它計算機的數據報文的一種工具。嗅探器最早是為網路管理人員配備的工具,有了嗅探器網路管理員可以隨時掌握網路的實際情況,查找網路漏洞和檢測網路性能,當網路性能急劇下降的時候,可以通過嗅探器分析網路流量,找出網路阻塞的來源。嗅探器也是很多程序人員在編寫網路程序時抓包測試的工具,因為我們知道網路程序都是以數據包的形式在網路中進行傳輸的,因此難免有協議頭定義不對的。
了解了嗅探器的基本用法,那它跟我們的網路安全有什麼關系?
任何東西都有它的兩面性,在黑客的手中,嗅探器就變成了一個黑客利器,上面我們已經提到了arp欺騙,這里再詳細講解arp欺騙的基本原理,實現方法,防範方式,因為很多攻擊方式都要涉及到arp欺騙,如會話劫持和ip欺騙。首先要把網路置於混雜模式,再通過欺騙抓包的方式來獲取目標主機的pass包,當然得在同一個交換環境下,也就是要先取得目標伺服器的同一網段的一台伺服器。
Arp是什麼?arp是一種將ip轉化成以ip對應的網卡的物理地址的一種協議,或者說ARP協議是一種將ip地址轉化成MAC地址的一種協議,它靠維持在內存中保存的一張表來使ip得以在網路上被目標機器應答。ARP就是IP地址與物理之間的轉換,當你在傳送數據時,IP包里就有源IP地址、源MAC地址、目標IP地址,如果在ARP表中有相對應的MAC地址,那麼它就直接訪問,反之,它就要廣播出去,對方的IP地址和你發出的目標IP地址相同,那麼對方就會發一個MAC地址給源主機。而ARP欺騙就在此處開始,侵略者若接聽到你發送的IP地址,那麼,它就可以仿冒目標主機的IP地址,然後返回自己主機的MAC地址給源主機。因為源主機發送的IP包沒有包括目標主機的MAC地址,而ARP表裡面又沒有目標IP地址和目標MAC地址的對應表。所以,容易產生ARP欺騙。例如:我們假設有三台主機A,B,C位於同一個交換式區域網中,監聽者處於主機A,而主機B,C正在通信。現在A希望能嗅探到B->C的數據, 於是A就可以偽裝成C對B做ARP欺騙——向B發送偽造的ARP應答包,應答包中IP地址為C的IP地址而MAC地址為A的MAC地址。 這個應答包會刷新B的ARP緩存,讓B認為A就是C,說詳細點,就是讓B認為C的IP地址映射到的MAC地址為主機A的MAC地址。 這樣,B想要發送給C的數據實際上卻發送給了A,就達到了嗅探的目的。我們在嗅探到數據後,還必須將此數據轉發給C, 這樣就可以保證B,C的通信不被中斷。
以上就是基於ARP欺騙的嗅探基本原理,在這種嗅探方法中,嗅探者A實際上是插入到了B->C中, B的數據先發送給了A,然後再由A轉發給C,其數據傳輸關系如下所示:
B----->A----->C
B<----A<------C
當然黑洞在進行欺騙的時候還需要進行抓包和對包進行過慮得到他們想要的信息,如用戶名、口令等。雖然網路中的數據包是以二進制的方式進行傳輸的,但嗅探器的抓包和重組還有過濾等都為他們做了這一切。
p;
網路嗅探有三種方式,一種是mac洪水,即攻擊者向交換機發送大量的虛假mac地址數據,交換機在應接不暇的情況下就象一台普通的hub那樣只是簡單的向所有埠廣播數據了,這時嗅探者就可以借機進行竊聽,但如果交換機使用靜態地址映射表的話,這種方法就不行了。第二種方式是mac地址復制,即修改本地的mac地址,使其與欲嗅探主機的mac地址相同,這樣交換機將會發現有兩個埠對應相同的mac地址,於是到該mac地址的數據包同時從這兩個埠中發出去。
第三種方式就是用得最多的了--------arp欺騙。我們可以看下自己的機器,在剛開機的時候在dos中輸入arp –a(查看本機arp緩存表的內容)可以看到arp緩存表是空的。
如:Microsoft Windows [版本 5.2.3790]
(C) 版權所有 1985-2003 Microsoft Corp.
D:\>arp -a
No ARP Entries Found
D:\>
那麼我們ping一下網關再輸入arp –a查看一下。
D:\>ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Control-C
^C
D:\>arp -a
Interface: 192.168.0.6 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-0a-e6-48-41-8b dynamic
D:\>
從上面的ping命令,我們分析包的結果是,首先本機發出一個arp包詢問誰是192.168.0.1?192.168.0.1回應一個arp包,並返回一個mac地址,接下來本機再發送request請求,目標機回應該一個reply包,最後將mac地址保存在arp緩存中。
我們再來舉一個arp欺騙的實例:
交換區域網中有A、B、C三台機器,假設ip地址和mac地址如下:
A主機:ip地址為:192.168.0.1,mac地址為:0a:0a:0a:0a:0a:0a
B主機:ip地址為:192.168.0.2,mac地址為:0b:0b:0b:0b:0b:0b
C主機:ip地址為:192.168.0.3,mac地址為:0c:0c:0c:0c:0c:0c