A. 如何分析IP數據包
完全依賴於你的覺悟,數據包監測既是一個重要的管理工具,也可以成為一項邪惡的黑客技 術。事實上,它兩者皆是,一個好的數據包監測軟體通常可以在網路管理和黑客技術工具包中同時找到。黑客可以用數據包監測軟體監聽互聯網,並且追蹤一些敏感數據的交換如登錄對話和財經交 易。網路管理員可以用數據包監測軟體檢測錯誤布線,損壞的數據包和其它網路問題。在本文中,我們覆蓋了開始進行數據包監測需知的所有內容,而沒有涉及太多陰暗面。通過 一個最流行工具軟體的實例,你將學習到在TCP/IP網上四處監聽的基本技術。文中闡述較為 詳細,以幫助你理解在查看數據包時確實能看到什麼,並且介紹了IP欺騙技術。當然,我們 也提供了一個更多網路資源的列表以滿足你所有監聽的需要。一、什麼是數據包監測?數據包監測可以被認為是一根竊聽電話線在計算機-網路中的等價物。當某人在「監聽」網路 時,他們實際上是在閱讀和解釋網路上傳送的數據包。如果你在互聯網上,正通過其它計算機發送數據。發送一封電子郵件或請求下載一個網頁都 會使數據通過你和數據目的地之間的許多計算機。這些你傳輸信息時經過的計算機都能夠看 到你發送的數據。數據包監測工具允許某人截獲數據並且查看它。 互聯網和大多數數據網路一樣,通過從一個主機發送信息數據包到另一個主機來工作。每個> 數據包包含有數據本身和幀頭,幀頭包含數據包的信息如它的目的地和來源。數據包的數據 部分包含發送到網路的信息——它可能是電子郵件,網頁,注冊信息包括密碼,電子商務信 息包括信用卡號碼,和其它一切網路上流動的東西。基於TCP/IP協議的互聯網採用的體系結構是乙太網,它的特點是把所有的數據包在網路中廣 播。網路為大多數計算機提供的介面是一個內置的乙太網卡(也叫做網卡或NIC)。這些介面卡 默認提取出目標地址和自己的網卡地址一致的數據包而過濾掉所有其它的數據包。然而,以 太網卡典型地具有一個「混合模式」選項,能夠關掉過濾功能而查看經過它的所有數據包。 這個混合模式選項恰好被數據包監測程序利用來實現它們的監聽功能。防火牆完全不能阻止數據包被監測。虛擬個人網路(VPN)和加密技術也不能阻止數據包被監測 ,但能使它的危害小一點。要知道許多密碼在網路上傳輸時是不加密的,有時即使已經加密 ,也不能挫敗一個數據包監測工具侵入系統的企圖。一個尋找登錄序列和監聽加密口令的入 侵者並不需要破譯口令為自己所用,而只需要依賴未經授權的加密版。對於需要高度安全的系統,一個和數據包監測技術妥協的保護密碼的最好措施是執行「使用 一次即更改」的密碼方案——所以即使是一個不道德的黑客可能監測了登錄序列,密碼在下 一次試驗時就不起作用了。二、用什麼監測實際上有幾百種可用的數據包監測程序,許多結合起來破譯和掃描特定類型的數據並被專門 設計為黑客的工具。我們在這里不討論任何尋找密碼或信用卡號的工具,但它們確實存在。 這類工具經常有內置的協議分析程序,它能夠幫助翻譯不同網路協議的數據包,而不是提供 原始的數字數據。一個最古老也最成功的數據包和網路分析產品是由WildPackets (以前的AG 組)出品的Ether Peek。 EtherPeek已經存在了10年,堪稱互聯網時代真正的恐龍。他們提供Windows版 和Mac intosh版,每個都具有網路管理員-導向的價格。這個工具軟體開始只是一個網路分析器型的 數據包監測軟體,經過這些年的發展已經成為一個真正的網路管理工具並具有網站監視和分 析等新的功能。在他們的網站有一個演示版,想要試驗的人可以去下載。另一個能夠監視網路活動捕獲和分析數據包的程序是TamoSoft的CommView。這個流行的監測 程序顯示網路連接和IP統計數字,能夠檢查單獨的數據包,通過對IP協議TCP, UDP,和 ICMP 的完全分析解碼到最低層。完全訪問原始數據也只需要花費一個非常友好的價格9(或者 是以更低的價格獲得個人許可證,它只能捕獲發送到你的PC的數據包)。TamiSoft的網站同 樣提供一個可以下載的演示版。如果你運行微軟的Windows NT Server,將不必買任何東西——它有一個內置的數據包監測程 序叫做網路監視器。要訪問它,進入網路控制面板,選擇服務標簽,點擊添加並選擇網路監 視工具和代理。一旦它已經安裝你就可以從程序菜單下的管理工具中運行網路監視器。三、如何監測好了,現在你的手頭至少有一個流行的數據包監測軟體的測試版了,我們要開始研究事情的 真相了,看一看我們實際上能從這些數據包中學到什麼。本文將以Tamisoft的CommView為例 。但同樣的概念和功能在其它的數據包監測產品中也很容易適用。開始工作以前,我們需要打開監測功能,在CommView中通過從下拉菜單中選擇網路適配器, 然後按下開始捕獲按鈕,或從文件菜單中選擇開始捕獲。如果發生網路阻塞,你應該立即看 到一些行為。CommView和大多數數據包監測軟體一樣,有一個顯示IP網路信息的屏幕和一個顯示數據包數 據的屏幕。在默認方式下你將看到IP統計頁。你應該能夠在你的瀏覽器中輸入一個URL,或檢 查你的e-mail,看這個屏幕接收通訊兩端的IP地址數據。除了兩端的IP地址,你應該看到埠號,發送和接受的數據包數,對話的方向(誰發送第一 個數據包),兩個主機間對話的次數,和有效的主機名。CommView能和可選擇的SmartWhoIs 模塊相結合,所以在IP列表中右擊IP號將提供一個查找信息返回關於這個IP號的所有已知的 注冊信息。如果你用popmail型的帳號查收電子郵件,將在IP列表中看到一條線,埠號為1 10,標准popmail埠。你訪問任意網站都會在埠80產生一條線,參見圖A。 查明某些數據包來自於哪兒是數據包監測程序最普通的應用之一。通過運行一個程序如Smar tWhoIs,你能夠把數據包監測程序所給出的鑒定結果——IP和乙太網地址擴展到潛在的更有 用的信息,如誰管理一個IP地址指向的域。一個IP地址和乙太網地址對於要追蹤一個無賴用 戶來說沒有太多作用,但他們的域管理員可能非常重要。在CommView中點擊數據包標簽可以在它們經過時看到實際的數據包。這樣的視圖意義很含糊 ,而且如果你懼怕十六進制,這不是適合你的地方。有一個數據包列表,其中每個數據包都 有一個獨一無二的數據包編號。在列表視圖中你也可以看到數據包的協議(如TCP/IP),MA C (乙太網)地址,IP地址和埠號。在CommView數據包窗口中間的窗格中你可以看到在列表中選擇的無論什麼數據包的原始數據 。既有數據包數據的十六進製表示也有一個清楚的文本翻譯。底部的窗格顯示了IP數據包的 解碼信息,包括數據包在IP, TCP, UDP, 和 ICMP層的完整分析,參見圖B。如果你正在和這些信息打交道,那麼你不是在進行繁重的網路故障排除工作,就是在四處窺 探。翻譯十六進制代碼不是這篇文章討論的范圍,但應用正確的工具,數據包可以被解開而 看到其內容。當然這些並不是用一個數據包檢測軟體所能做的一切——你也可以復制數據包,為捕獲數據 包建立規則和過濾器,以成打不同的方式獲得各種統計數字和日誌。功能更加強大的工具不 僅限於可以查看,記錄和分析發送和交換數據包,利用它們不費多少功夫就可以設想出一些狡猾的應用程序。四、IP欺騙和更多資源一個完全不友好的數據包監測應用程序是一種IP欺騙技術。這時,一個不道德的用戶不僅查 看經過的數據包,而且修改它們以獲得另一台計算機的身份。當一個數據包監測程序在兩台正在通訊的計算機段內時,一個黑客就能監聽出一端的身份。 然後通過找到一個信任埠的IP地址並修改數據包頭使數據包看起來好象來自於那個埠達 到攻擊連接的目的。這類活動通常伴隨著一個對偽造地址的拒絕服務攻擊,所以它的數據包 不會被入侵干擾。關於數據包監測和IP欺騙技術的信息成噸,我們僅僅描述了對TCP/IP數據包操作的一些表面 知識。在開始數據包監測以前最好深入了解TCP/IP和網路——這樣做更有意義。這里是一個 為那些想要進一步研究這個問題的人們提供的附加的資源列表。 ZDNet"s Computer Shopper Network Utilities
Packetstorm"s packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeekEtherPeekTamoSoft, makers of CommView
An overview of the TCP/IP Protocol Suite 最後一句警告——小心你監測的場所。在你家裡的PC上運行一個數據包監測程序學習TCP/IP ,或者是在你控制的區域網運行以解決故障是一回事,在別人的網路上偷偷地安裝卻是另一 回事。機敏的網路管理員在集中注意力時會發現監測他們網路的人,並且他們通常不會很高興。
B. 用sniffer捕獲的數據包怎麼分析
這個比較簡單,現在基本上都是用「科來網路分析系統」進行分析,這個是純中文網路分析軟體,並且支持中英文同時解碼,看數據包裡面的東西就沒有那麼暈了。
還有一個好處是,這個網路分析軟體的個人版是免費的,支持sniffer、wireshark等國外產品抓的數據包,現在很多人都在用這個工具,希望對你有幫助。
數據包也就是TCP/IP協議通信傳輸中的數據單位,單個消息被劃分為多個數據塊,這些數據塊稱為包,它包含發送者和接收者的地址信息。這些包然後沿著不同的路徑在一個或多個網路中傳輸,並且在目的地重新組合。
一、數據包的結構 數據包的結構非常復雜, 在這里主要了解一下它的關鍵構成就可以了,這對於理解TCP/IP協議的通信原理是非常重要的。
數據包主要由目的IP地址、源IP地址、凈載數據等部分構成,數據包的結構與我們平常寫信非常類似,目的IP地址是說明這個數據包是要發給誰的,相當於收信人地址,源IP地址是說明這個數據包是發自哪裡的,相當於發信人地址,而凈載數據相當於信件的內容。
二、正是因為數據包具有這樣的結構, 安裝了TCP/IP協議的計算機之間才能相互通信。我們在使用基於TCP/IP協議的網路時,網路中其實傳遞的就是數據包。
理解數據包,對於網路管理的網路安全具有至關重要的意義,你上網打開網頁,這個簡單的動作,就是你先發送數據包給網站,它接收到了之後,根據你發送的數據包的IP地址,返回給你網頁的數據包,也就是說,網頁的瀏覽,實際上就是數據包的交換。
三、數據包過濾有時也稱為靜態數據包過濾 ,它通過分析傳入和傳出的數據包以及根據既定標准傳遞或阻止數據包來控制對網路的訪問,當路由器根據過濾規則轉發或拒絕數據包時,它便充當了一種數據包過濾器。
當數據包到達過濾數據包的路由器時,路由器會從數據包報頭中提取某些信息,根據過濾規則決定該數據包是應該通過還是應該丟棄。數據包過濾工作在開放式系統互聯模型的網路層,或是TCP/IP 的Internet 層。
四、作為第3 層設備,數據包過濾路由器根據源和目的IP 地址、源埠和目的埠以及數據包的協議 ,利用規則來決定是應該允許還是拒絕流量。這些規則是使用訪問控制列表 定義的,ACL 是一系列permit 或deny 語句組成的順序列表,應用於IP 地址或上層協議。ACL 可以從數據包報頭中提取以下信息,根據規則進行測試,然後決定是允許還是拒絕。
通過數據包捕獲軟體,也可以將數據包捕獲並加以分析。 就是用數據包捕獲軟體Iris捕獲到的數據包的界面圖,在此,大家可以很清楚地看到捕獲到的數據包的MAC地址、IP地址、協議類型埠號等細節,通過分析這些數據,網管員就可以知道網路中到底有什麼樣的數據包在活動了。
D. 網路數據包捕獲及分析
推薦以下:
sniffer pro 4.70.530漢化注冊版
sniffer pro,NAI公司出品的可能是目前最好的網路協議分析軟體之一了,支持各種平台,性能優越,做為一名合格的網路管理員肯定需要有這么一套好的網路協議分析軟體了,只是有點大請用下載工具下載。SN:SA154-2558Y-255T9-2LASH
Ethereal 0.10.10
·這是一款免費的網路協議分析程序,支持Unix、Linux、Windows, 它可以直接從網路上抓取數據進行分析,也可以對由其他嗅探器抓取後保存在硬碟上的數據進行分析。 你能互動式地瀏覽抓取到的數據包,查看每一個數據包的摘要和詳細信息。Ethereal有多種強大的特徵, 如支持幾乎所有的協議、豐富的過濾語言、易於查看TCP會話經重構後的數據流等。
軟體名稱: Netcap
軟體類型: 國產軟體/免費軟體
軟體語言: 簡體中文
運行環境: Win9X/Win2000/WinXP/
軟體簡介: 網路數據捕獲手,是一款捕獲到達你計算機的所有網路數據包的工具,只要有網路數據包到達你的計算機,它就能捕獲到,並獲得數據包的源地址、源埠、目的地址、目的埠、所使用的協議等等數據,絕對是你的好幫手。免費綠色版,不寫注冊表。
你還可以試試各種XX數據包捕獲器
E. 計算機網路解析ARP數據包,啟動調試後顯示Please input command: ParseArp output_file怎麼解決
arp數據包是有格式的按著一定的格式填充數據再發送就可以了arp數據包前面還會有ip頭數據包可以看一下ip數據包(ipv4/6)數據的格式以及arp數據格式來做之前做過一個arp欺騙的測試程序如果代碼不想自己寫的話我可以有償代勞
F. 在網路各個層中的數據包的名稱分別是什麼
數據幀、數據包、數據報以及數據段
OSI參考模型的各層傳輸的數據和控制信息具有多種格式,常用的信息格式包括幀、數據包、數據報、段、消息、元素和數據單元。
信息交換發生在對等OSI層之間,在源端機中每一層把控制信息附加到數據中,而目的機器的每一層則對接收到的信息進行分析,並從數據中移去控制信息,下面是各信息單元的說明:
數據幀(Frame):是一種信息單位,它的起始點和目的點都是數據鏈路層。
數據包(Packet):也是一種信息單位,它的起始和目的地是網路層。
數據報(Datagram):通常是指起始點和目的地都使用無連接網路服務的的網路層的信息單元。
段(Segment):通常是指起始點和目的地都是傳輸層的信息單元。
消息(message):是指起始點和目的地都在網路層以上(經常在應用層)的信息單元。
元素(cell)是一種固定長度的信息,它的起始點和目的地都是數據鏈路層。
元素通常用於非同步傳輸模式(ATM)和交換多兆位數據服務(SMDS)網路等交換環境。
數據單元(data unit)指許多信息單元。常用的數據單元有服務數據單元(SDU)、協議數據單元(PDU)。
SDU是在同一機器上的兩層之間傳送信息。PDU是發送機器上每層的信息發送到接收機器上的相應層(同等層間交流用的)。
Packet(數據包):封裝的基本單元,它穿越網路層和數據鏈路層的分解面。通常一個Packet映射成一個Frame,但也有例外:即當數據鏈路層執行拆分或將幾個Packet合成一個Frame的時候。
數據鏈路層的PDU叫做Frame(幀);
網路層的PDU叫做Packet(數據包);
TCP的叫做Segment(數據段);
UDP的叫做Datagram。(數據報)——在網路層中的傳輸單元(例如IP)。一個Datagram可能被封裝成一個或幾個Packets,在數據鏈路層中傳輸
幀和數據包都是數據的傳輸形式。幀,工作在二層,數據鏈路層傳輸的是數據幀,包含數據包,並且增加相應MAC地址與二層信息;數據包,工作在三層,網路層傳輸的是數據包,包含數據報文,並且增加傳輸使用的IP地址等三層信息。