NetXray使用简介 上期我们发了一篇关于NetXray介绍的文章,可是很多朋友还是看不懂,所以我找了一些图片又做了一篇教程来给大家参考。NetXray是上网的好东东,NetXray/Dual-Demo,3.0.0。由于其为英文版,故很多初级网虫不太习惯它的用法。笔者现在简单介绍一下NetXray的用途和使用方法,以方便大家的使用。 首先是做好准备工作,到网上下载NetXray,并安装好。选择开始->程序->NetXray运行。此时,出现缺省的几个窗口Dashboard,Capture,Packet Generator,下面会详细介绍它们。 然后,我们开始了我们的捕捉游戏: 一、 熟悉界面: NetXray具有和其他Windows应用程序同样的友好界面: 菜单栏有六个选项,分别为文件、捕获、包、工具、窗口和帮助。 工具栏依次为:打开文件(Open)、保存(Save)、打印(Print)、取消打印(Abort Printing)、回到第一个包(First Packet)、前一个包(Previous)、下一个包(Next)、到达最后一个包(Last Packet)、仪器板(Dashboard)、捕获板(Capture Panel)、包发生器(Packet Generator)、显示主机表(Host Table)、Matrix、History、Protocol Distribution、Global Statistics、Alarm Log、Address Book。 二、过滤报文: 选择Capture菜单中Capture Filter Setting…,单击Profiles…选择New…,进入如下对话框: 在New Profile Name中输入First,以Default为模板选择OK-->Done。 设置过滤所有目标IP是202.120.224.6的报文,即Any---->202.120.224.6 开始抓包,同时用IE登陆http://202.120.224.6,这时会发现窗口中的指针在移动,发现过滤到包后,就可以停止抓包了。 选中一个目标IP是202.120.224.6的报文,选择菜单条中的PacketàEdit Display Filter…,选择"Data Pattern",选择"Add Pattern",到TCP层选中8080目标端口,用鼠标选择"set data",在name中输入"TCP"。点击OK,确定,然后在Packet中选择"Apply Display Filter…"。以后用proxy规则过滤将只过滤目标IP是202.120.224.6、目标端口是8080的报文。 三、设定端口: 选择Filter SettingàData Pattern,现在你可以随意设置你所需要的过滤条件。现举一例说明:过滤经过bbs(端口2323)的IP包,先选中第一行,用Toggle AND/OR调整成OR,如下图: 选择Edit Pattern,在弹出的对话框里设置:Packet 34 2 Hex(十六进制),从顶头开始填写 09 13,因为十进制的2323对应十六进制的0x0913,而IP包使用网络字节顺序,高字节在低地址。起名为beginbbs,单击OK,再次选择Edit Pattern,Packet 36 2 Hex 从顶头开始填写 09 13 起名为endbbs,单击OK。于是最外层的OR下有两个叶子,分别对应两个Pattern。 四、抓ftp/pop3口令明文: NetXray所谓的高级
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
过滤事实上就是端口过滤,用上面介绍的方法指定源端口、目标端口均过滤0x00 0x17(23),就可以达到和指定telnet过滤一样的效果。因为telnet就是23端口,所以如果想捕捉一个非
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
telnet的通信,必须自己指定端口过滤。 如果是分析telnet协议并还原屏幕显示,只需要抓从server到client的回显数据即可,因为口令不回显,这种过滤规则下抓不到口令明文。用NetXray抓从client到server包,指定过滤PASS关键字。设置方法如下: 先指定IP过滤规则,CaptureàCapture Filter Setting…设定为 any <--> any,以最大可能地捕捉口令。然后增加一个过滤模式,Packet 54 4 Hex 0x50 41 53 53,再增加一个过滤模式,Packet 54 4 Hex 0x70 61 73 73。两者是or模式,因为这种关键字在网络传输中大小写不敏感。剩下的就是等口令来了。注意,不必指定过滤特定高级协议,直接指定过滤IP协议族就可以了,用这种办法ftp/pop3口令是很容易看清楚的。 其它的还有用NetXray获得OICQ好友的ip地址等应用,这些都可以从黑客教程中看到,这里就不再详细介绍,当然用好NetXray最重要的是网友们的亲身实践。 IPv4就是现行的网际协议(Internet Protocol),是对应于OSI参考模型的第三层的重要协议。它是用来管理客户端和服务器端之间的报文传送的,它为上层提供不可靠、无连接的服务。因为是不可靠的,所以它不能保证数据报会被成功的传送,TCP协议可以保证传输的可靠性;它提供无连接的服务说明数据并不能按顺序到达,这样可以提供更好的路由。 Netxray已由笔者在第六期做过简介,现拟用Netxray解析IP协议的头部,通过实例可以更好的学习和掌握IP协议。 1. 概述IP头部 ① 版本号 当前的IP版本为4,下一代为Ipv6,此处为4。 ② 头长度 报文的头部的总长度,接收端通过该域获得报文头部的结束处即数据的起点。它的单位是4字节(32bit),因为该字段长4位,所以最大值为15,即IP数据报头长度最大为60字节。最常见的为20字节没有附加选项的报头。 ③ 服务类型 此字段在大多数情况下并不使用,它们用来表示报文的重要程度,以便作相应的有限处理。该字段后文会详细解析。 ④ 总长度 这个域指明该数据报的总长度,包括报头。其单位为字节,所以IP报的最大长度为65535字节。用该字段值减去头部字节数即得数据大小。 ⑤ 标识 本字段是一唯一的16比特的值,用于接收端重组相关的分段。故分段的数据报含有相同的标识字段值。 ⑥ 标志 此域用于说明该数据报是否分段,关于分段的细节在下文有详细的叙述。 ⑦ 段偏移 如果分段,此域说明本片段在原数据报中的偏移量。一旦某数据报的分段全部到达,接收端即可根据每个片断中的偏移量的值按顺序重组。 此处需要说明的一点就是有的读者要问关于对部分到达的分段的处理方式。 接收端根据同一标识的分段的偏移量来判断收否受到全部的数据。在全部收到这些数据之前,系统先将已收的分段存储起来。如果生存时间(见下面)的值变为零,而所有的片段没有到达,那么,所有已收到的片段也将会被丢弃,否则就进行重组。 ⑧ 生存时间 原本的含义为时间(s)计数,生存时间的最大值为255s,其对接收转发的时间期望值为1s,现在的含义已变为跳数,即数据报可经过的最多的路由器数,IP数据报每经过一个路由器,字段的值减一,当字段值变为零时,该数据报就会被丢弃。这样可以保证IP包不会永远的循环于Internet。 ⑨ 协议 此域指出发送该数据报的上层协议号。比如,1表示为ICMP协议,2表示为IGMP协议,6表示为TCP协议,17表示为UDP协议。 ⑩校验和 首部检验和字段是根据IP首部计算的检验和码。它不对首部后面的数据进行计算。ICMP,IGMP,UDP和TCP在它们各自的首部中均含有同时覆盖首部和数据检验和码。 为了计算一份数据报的IP检验和,首先把检验和字段置为0。然后,对首部中每个16 bit的二进制反码进行求和(整个首部看成是由一串16 bit的字组成),结果存在检验和字段中。当收到一份IP数据报后,同样对首部中每个16 bit的二进制反码进行求和。由于收方在计算过程中包含了发方存在首部中的检验和,因此首部在传输过程中没有发生任何差错时,收方计算的结果应该为全1。如果结果不是全1(即检验和错误),那么IP就丢弃收到的数据报。但是不生成差错报文,由上层去发现丢失的数据报并进行重传。 ICMP,IGMP,UDP和TCP都采用相同的检验和算法,尽管TCP和UDP除了本身的首部和数据外,在IP首部中还包含不同的字段。由于路由器经常只修改TTL字段(减1),因此当路由器转发一份报文时可以增加它的检验和,而不需要对IP整个首部进行重新计算。 下面分别是源主机的IP地址、目的主机的IP地址、选项字段。目前,这些任选项定义如下:安全和处理限制(用于军事领域)、记录路径(让每个路由器都记下它的IP地址)、时间戳(让每个路由器都记下它的IP地址和时间)、宽松的源站选路(为数据报指定一系列必须经过的IP地址)、严格的源站选路(与宽松的源站选路类似,但是它
要求
对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗
只能经过指定的这些地址,不能经过其它的地址)。这些选项很少被使用,因为并非所有的主机和路由器都支持这些选项。选项字段一直都是以32 bit作为界限,在必要的时候插入值为0的填充字节。这样就保证IP首部始终是32 bit的整数倍(这是首部长度字段所要求的)。 2. 实例解析(其中以至少1字节为单位介绍) 如上图所示,第一部分(IP的)显示的是关于IP的版本信息,它的当前版本号为4,并说明其占有4位。第二部分也是4位长,为头部的长度,其单位是32-bit的字,本例中值为5,说明其为无选项的报头。
浙公网安备 33021202002483