A. 如何分析IP数据包
完全依赖于你的觉悟,数据包监测既是一个重要的管理工具,也可以成为一项邪恶的黑客技 术。事实上,它两者皆是,一个好的数据包监测软件通常可以在网络管理和黑客技术工具包中同时找到。黑客可以用数据包监测软件监听互联网,并且追踪一些敏感数据的交换如登录对话和财经交 易。网络管理员可以用数据包监测软件检测错误布线,损坏的数据包和其它网络问题。在本文中,我们覆盖了开始进行数据包监测需知的所有内容,而没有涉及太多阴暗面。通过 一个最流行工具软件的实例,你将学习到在TCP/IP网上四处监听的基本技术。文中阐述较为 详细,以帮助你理解在查看数据包时确实能看到什么,并且介绍了IP欺骗技术。当然,我们 也提供了一个更多网络资源的列表以满足你所有监听的需要。一、什么是数据包监测?数据包监测可以被认为是一根窃听电话线在计算机-网络中的等价物。当某人在“监听”网络 时,他们实际上是在阅读和解释网络上传送的数据包。如果你在互联网上,正通过其它计算机发送数据。发送一封电子邮件或请求下载一个网页都 会使数据通过你和数据目的地之间的许多计算机。这些你传输信息时经过的计算机都能够看 到你发送的数据。数据包监测工具允许某人截获数据并且查看它。 互联网和大多数数据网络一样,通过从一个主机发送信息数据包到另一个主机来工作。每个> 数据包包含有数据本身和帧头,帧头包含数据包的信息如它的目的地和来源。数据包的数据 部分包含发送到网络的信息——它可能是电子邮件,网页,注册信息包括密码,电子商务信 息包括信用卡号码,和其它一切网络上流动的东西。基于TCP/IP协议的互联网采用的体系结构是以太网,它的特点是把所有的数据包在网络中广 播。网络为大多数计算机提供的接口是一个内置的以太网卡(也叫做网卡或NIC)。这些接口卡 默认提取出目标地址和自己的网卡地址一致的数据包而过滤掉所有其它的数据包。然而,以 太网卡典型地具有一个“混合模式”选项,能够关掉过滤功能而查看经过它的所有数据包。 这个混合模式选项恰好被数据包监测程序利用来实现它们的监听功能。防火墙完全不能阻止数据包被监测。虚拟个人网络(VPN)和加密技术也不能阻止数据包被监测 ,但能使它的危害小一点。要知道许多密码在网络上传输时是不加密的,有时即使已经加密 ,也不能挫败一个数据包监测工具侵入系统的企图。一个寻找登录序列和监听加密口令的入 侵者并不需要破译口令为自己所用,而只需要依赖未经授权的加密版。对于需要高度安全的系统,一个和数据包监测技术妥协的保护密码的最好措施是执行“使用 一次即更改”的密码方案——所以即使是一个不道德的黑客可能监测了登录序列,密码在下 一次试验时就不起作用了。二、用什么监测实际上有几百种可用的数据包监测程序,许多结合起来破译和扫描特定类型的数据并被专门 设计为黑客的工具。我们在这里不讨论任何寻找密码或信用卡号的工具,但它们确实存在。 这类工具经常有内置的协议分析程序,它能够帮助翻译不同网络协议的数据包,而不是提供 原始的数字数据。一个最古老也最成功的数据包和网络分析产品是由WildPackets (以前的AG 组)出品的Ether Peek。 EtherPeek已经存在了10年,堪称互联网时代真正的恐龙。他们提供Windows版 和Mac intosh版,每个都具有网络管理员-导向的价格。这个工具软件开始只是一个网络分析器型的 数据包监测软件,经过这些年的发展已经成为一个真正的网络管理工具并具有网站监视和分 析等新的功能。在他们的网站有一个演示版,想要试验的人可以去下载。另一个能够监视网络活动捕获和分析数据包的程序是TamoSoft的CommView。这个流行的监测 程序显示网络连接和IP统计数字,能够检查单独的数据包,通过对IP协议TCP, UDP,和 ICMP 的完全分析解码到最低层。完全访问原始数据也只需要花费一个非常友好的价格9(或者 是以更低的价格获得个人许可证,它只能捕获发送到你的PC的数据包)。TamiSoft的网站同 样提供一个可以下载的演示版。如果你运行微软的Windows NT Server,将不必买任何东西——它有一个内置的数据包监测程 序叫做网络监视器。要访问它,进入网络控制面板,选择服务标签,点击添加并选择网络监 视工具和代理。一旦它已经安装你就可以从程序菜单下的管理工具中运行网络监视器。三、如何监测好了,现在你的手头至少有一个流行的数据包监测软件的测试版了,我们要开始研究事情的 真相了,看一看我们实际上能从这些数据包中学到什么。本文将以Tamisoft的CommView为例 。但同样的概念和功能在其它的数据包监测产品中也很容易适用。开始工作以前,我们需要打开监测功能,在CommView中通过从下拉菜单中选择网络适配器, 然后按下开始捕获按钮,或从文件菜单中选择开始捕获。如果发生网络阻塞,你应该立即看 到一些行为。CommView和大多数数据包监测软件一样,有一个显示IP网络信息的屏幕和一个显示数据包数 据的屏幕。在默认方式下你将看到IP统计页。你应该能够在你的浏览器中输入一个URL,或检 查你的e-mail,看这个屏幕接收通讯两端的IP地址数据。除了两端的IP地址,你应该看到端口号,发送和接受的数据包数,对话的方向(谁发送第一 个数据包),两个主机间对话的次数,和有效的主机名。CommView能和可选择的SmartWhoIs 模块相结合,所以在IP列表中右击IP号将提供一个查找信息返回关于这个IP号的所有已知的 注册信息。如果你用popmail型的帐号查收电子邮件,将在IP列表中看到一条线,端口号为1 10,标准popmail端口。你访问任意网站都会在端口80产生一条线,参见图A。 查明某些数据包来自于哪儿是数据包监测程序最普通的应用之一。通过运行一个程序如Smar tWhoIs,你能够把数据包监测程序所给出的鉴定结果——IP和以太网地址扩展到潜在的更有 用的信息,如谁管理一个IP地址指向的域。一个IP地址和以太网地址对于要追踪一个无赖用 户来说没有太多作用,但他们的域管理员可能非常重要。在CommView中点击数据包标签可以在它们经过时看到实际的数据包。这样的视图意义很含糊 ,而且如果你惧怕十六进制,这不是适合你的地方。有一个数据包列表,其中每个数据包都 有一个独一无二的数据包编号。在列表视图中你也可以看到数据包的协议(如TCP/IP),MA C (以太网)地址,IP地址和端口号。在CommView数据包窗口中间的窗格中你可以看到在列表中选择的无论什么数据包的原始数据 。既有数据包数据的十六进制表示也有一个清楚的文本翻译。底部的窗格显示了IP数据包的 解码信息,包括数据包在IP, TCP, UDP, 和 ICMP层的完整分析,参见图B。如果你正在和这些信息打交道,那么你不是在进行繁重的网络故障排除工作,就是在四处窥 探。翻译十六进制代码不是这篇文章讨论的范围,但应用正确的工具,数据包可以被解开而 看到其内容。当然这些并不是用一个数据包检测软件所能做的一切——你也可以复制数据包,为捕获数据 包建立规则和过滤器,以成打不同的方式获得各种统计数字和日志。功能更加强大的工具不 仅限于可以查看,记录和分析发送和交换数据包,利用它们不费多少功夫就可以设想出一些狡猾的应用程序。四、IP欺骗和更多资源一个完全不友好的数据包监测应用程序是一种IP欺骗技术。这时,一个不道德的用户不仅查 看经过的数据包,而且修改它们以获得另一台计算机的身份。当一个数据包监测程序在两台正在通讯的计算机段内时,一个黑客就能监听出一端的身份。 然后通过找到一个信任端口的IP地址并修改数据包头使数据包看起来好象来自于那个端口达 到攻击连接的目的。这类活动通常伴随着一个对伪造地址的拒绝服务攻击,所以它的数据包 不会被入侵干扰。关于数据包监测和IP欺骗技术的信息成吨,我们仅仅描述了对TCP/IP数据包操作的一些表面 知识。在开始数据包监测以前最好深入了解TCP/IP和网络——这样做更有意义。这里是一个 为那些想要进一步研究这个问题的人们提供的附加的资源列表。 ZDNet"s Computer Shopper Network Utilities
Packetstorm"s packet sniffer section with over 100 sniffing programs
Wild Packets, makers of EtherPeekEtherPeekTamoSoft, makers of CommView
An overview of the TCP/IP Protocol Suite 最后一句警告——小心你监测的场所。在你家里的PC上运行一个数据包监测程序学习TCP/IP ,或者是在你控制的局域网运行以解决故障是一回事,在别人的网络上偷偷地安装却是另一 回事。机敏的网络管理员在集中注意力时会发现监测他们网络的人,并且他们通常不会很高兴。
B. 用sniffer捕获的数据包怎么分析
这个比较简单,现在基本上都是用“科来网络分析系统”进行分析,这个是纯中文网络分析软件,并且支持中英文同时解码,看数据包里面的东西就没有那么晕了。
还有一个好处是,这个网络分析软件的个人版是免费的,支持sniffer、wireshark等国外产品抓的数据包,现在很多人都在用这个工具,希望对你有帮助。
数据包也就是TCP/IP协议通信传输中的数据单位,单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。
一、数据包的结构 数据包的结构非常复杂, 在这里主要了解一下它的关键构成就可以了,这对于理解TCP/IP协议的通信原理是非常重要的。
数据包主要由目的IP地址、源IP地址、净载数据等部分构成,数据包的结构与我们平常写信非常类似,目的IP地址是说明这个数据包是要发给谁的,相当于收信人地址,源IP地址是说明这个数据包是发自哪里的,相当于发信人地址,而净载数据相当于信件的内容。
二、正是因为数据包具有这样的结构, 安装了TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时,网络中其实传递的就是数据包。
理解数据包,对于网络管理的网络安全具有至关重要的意义,你上网打开网页,这个简单的动作,就是你先发送数据包给网站,它接收到了之后,根据你发送的数据包的IP地址,返回给你网页的数据包,也就是说,网页的浏览,实际上就是数据包的交换。
三、数据包过滤有时也称为静态数据包过滤 ,它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问,当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时,路由器会从数据包报头中提取某些信息,根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联模型的网络层,或是TCP/IP 的Internet 层。
四、作为第3 层设备,数据包过滤路由器根据源和目的IP 地址、源端口和目的端口以及数据包的协议 ,利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 定义的,ACL 是一系列permit 或deny 语句组成的顺序列表,应用于IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息,根据规则进行测试,然后决定是允许还是拒绝。
通过数据包捕获软件,也可以将数据包捕获并加以分析。 就是用数据包捕获软件Iris捕获到的数据包的界面图,在此,大家可以很清楚地看到捕获到的数据包的MAC地址、IP地址、协议类型端口号等细节,通过分析这些数据,网管员就可以知道网络中到底有什么样的数据包在活动了。
D. 网络数据包捕获及分析
推荐以下:
sniffer pro 4.70.530汉化注册版
sniffer pro,NAI公司出品的可能是目前最好的网络协议分析软件之一了,支持各种平台,性能优越,做为一名合格的网络管理员肯定需要有这么一套好的网络协议分析软件了,只是有点大请用下载工具下载。SN:SA154-2558Y-255T9-2LASH
Ethereal 0.10.10
·这是一款免费的网络协议分析程序,支持Unix、Linux、Windows, 它可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。 你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征, 如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。
软件名称: Netcap
软件类型: 国产软件/免费软件
软件语言: 简体中文
运行环境: Win9X/Win2000/WinXP/
软件简介: 网络数据捕获手,是一款捕获到达你计算机的所有网络数据包的工具,只要有网络数据包到达你的计算机,它就能捕获到,并获得数据包的源地址、源端口、目的地址、目的端口、所使用的协议等等数据,绝对是你的好帮手。免费绿色版,不写注册表。
你还可以试试各种XX数据包捕获器
E. 计算机网络解析ARP数据包,启动调试后显示Please input command: ParseArp output_file怎么解决
arp数据包是有格式的按着一定的格式填充数据再发送就可以了arp数据包前面还会有ip头数据包可以看一下ip数据包(ipv4/6)数据的格式以及arp数据格式来做之前做过一个arp欺骗的测试程序如果代码不想自己写的话我可以有偿代劳
F. 在网络各个层中的数据包的名称分别是什么
数据帧、数据包、数据报以及数据段
OSI参考模型的各层传输的数据和控制信息具有多种格式,常用的信息格式包括帧、数据包、数据报、段、消息、元素和数据单元。
信息交换发生在对等OSI层之间,在源端机中每一层把控制信息附加到数据中,而目的机器的每一层则对接收到的信息进行分析,并从数据中移去控制信息,下面是各信息单元的说明:
数据帧(Frame):是一种信息单位,它的起始点和目的点都是数据链路层。
数据包(Packet):也是一种信息单位,它的起始和目的地是网络层。
数据报(Datagram):通常是指起始点和目的地都使用无连接网络服务的的网络层的信息单元。
段(Segment):通常是指起始点和目的地都是传输层的信息单元。
消息(message):是指起始点和目的地都在网络层以上(经常在应用层)的信息单元。
元素(cell)是一种固定长度的信息,它的起始点和目的地都是数据链路层。
元素通常用于异步传输模式(ATM)和交换多兆位数据服务(SMDS)网络等交换环境。
数据单元(data unit)指许多信息单元。常用的数据单元有服务数据单元(SDU)、协议数据单元(PDU)。
SDU是在同一机器上的两层之间传送信息。PDU是发送机器上每层的信息发送到接收机器上的相应层(同等层间交流用的)。
Packet(数据包):封装的基本单元,它穿越网络层和数据链路层的分解面。通常一个Packet映射成一个Frame,但也有例外:即当数据链路层执行拆分或将几个Packet合成一个Frame的时候。
数据链路层的PDU叫做Frame(帧);
网络层的PDU叫做Packet(数据包);
TCP的叫做Segment(数据段);
UDP的叫做Datagram。(数据报)——在网络层中的传输单元(例如IP)。一个Datagram可能被封装成一个或几个Packets,在数据链路层中传输
帧和数据包都是数据的传输形式。帧,工作在二层,数据链路层传输的是数据帧,包含数据包,并且增加相应MAC地址与二层信息;数据包,工作在三层,网络层传输的是数据包,包含数据报文,并且增加传输使用的IP地址等三层信息。