NetXRay是由Cinco Networks公司開發的一個用於高級分組檢錯的軟件功能很強大IP地址查詢工具
主要功能監視網絡狀態為優化網絡性能提供資料長時間的捕獲依據統計數值分析網絡性能
網絡中包的捕捉和解碼用於故障分析盡量精確的設置捕捉規則利於精確分析
NetXray是一款常用的嗅探器也是個功能強大的軟件他具備了常用的嗅探功能並且使用方便下面我們來看看他的具體用法和步驟:
整體輪廓
因為NetXray是英文版的對討厭E文的朋友來說是件令人頭疼的事所以先了解大體的筐架是有必要的:NetXray的主界面:
菜單欄有六個選項分別為文件(file)捕獲(capture)包(packet)工具(tools)窗口(window)和幫助(help)
它的工具欄裡集合了大部分的功能依次為:打開文件(Open)保存(Save)打印(Print)取消打印(Abort Printing)回到第一個包(First Packet)前一個包(Previous)下一個包(Next)到達最後一個包(Last Packet)儀器板(Dashboard)捕獲板(Capture Panel)包發生器(Packet Generator)顯示主機表(Host Table)等
NetXray的大部分功能都能用工具欄裡的按鈕實現
確定目標
依次點擊:Capture菜單中Capture Filter Setting單擊Profilems選擇New進入如下對話(圖)在New Profile Name中輸入First以Default為模板選擇OK然後選擇Done在New Profile Name中輸入First以Default為模板選擇OK然後Done
設置過濾所有目標IP是xxxxxxxxxxxx的報文即指向Any輸入:xxxxxxxxxxxx現在就可以開始抓包了同時用IE登陸你剛才輸入的IP會發現NetXray窗口中的指針在移動等到他提示你過濾到包後就可以停止抓包了
選中一個目標IP是xxxxxxxxx的報文選擇菜單條中的PacketàEdit Display Filte選擇"Data Pattern"選擇"Add Pattern"到TCP層選中目標端口用鼠標選擇"set data"在name中輸入"TCP"點擊OK確定然後在Packet中選擇"Apply Display Filter"以後用proxy規則過濾將只過濾目標IP是xxxxxxxxxxxx目標端口是的報文
設定條件(端口)
確定好了目標先面來設定嗅探的條件:依次選擇:Filter SettingàData Pattern舉一例說明:過濾經過bbs(端口)的IP包先選中第一行用Toggle AND/OR調整成OR如下圖(圖)選擇Edit Pattern在彈出的對話框裡設置:Packet Hex(十六進制)從頂頭開始填寫 (因為十進制的對應十六進制的x)而IP包使用網絡字節順序高字節在低地址起名為beginbbs單擊OK再次選擇 Edit PatternPacket Hex 從頂頭開始填寫 起名為endbbs單擊OK於是最外層的OR下有兩個葉子分別對應兩個Pattern
實戰開始
NetXray所謂的高級協議過濾事實上就是端口過濾用上面介紹的方法指定源端口目標端口均過濾x x()就可以達到和指定telnet過濾一樣的效果因為telnet就是端口所以如果想捕捉一個非標准telnet的通信必須自己 指定端口過濾
如果是分析telnet協議並還原屏幕顯示只需要抓從server到client的回顯數據即可因為口令不回顯這種過濾規則下抓不到口令明文用NetXray抓從client到server包指定過濾PASS關鍵字
設置方法如下先指定IP過濾規則CaptureàCapture Filter Setting…設定為 any <> any以最大可能地捕捉口令然後增加一個過濾模式Packet Hex x 再增加一個過濾模式Packet Hex x 兩者是or模式因為這種關鍵字在網絡傳輸中大小寫不敏感剩下的就是等口令來了
注意不必指定過濾特定高級協議直接指定過濾IP協議族就可以了用這種辦法ftp/pop口令是很容易看清楚的
From:http://tw.wingwit.com/Article/Common/201311/8249.html
