Ethereal 抓包、封包內容分析、查看明码教学 (现在改名叫什么 wireshare)

Ethereal软体介绍

Ethereal 封包监听器,是一套网管人员必备的超强软体。举凡在网路故障排除,监听异常封包,软体封包问题检测等等问题,甚至包含针对网路通讯协定的教育训练,都可以利用这套免费的软体来做到。

Unix 及 Windows 平台封包撷取、网路分析程式 - Ethereal,可以从动态的网路撷取封包,或者是由硬碟中撷取档桉来检查资料,您可以同时浏览每一个封包的撷取资料内容、检视概要及详细资讯,还有强 大的过滤器语言显示、检视重建的 TCP session 串流功能。

不久之前,Sniffer 和 NetXRay 大概是网管人员最熟悉的封包监听软体,但 Ethereal 这套免费的软体,由于採取开放原始码的方式,更新通讯协定 Protocol 迅速,支援不同软体汇出的封包撷取档桉格式,目前广为世界各地专业网管使用。

很容易的可以选取撷取封包时间,主要透过图形介面来表示,清晰易懂。此外,使用过滤的功能,可以让你轻易的判别出封包种类,可以让你清楚的分析网路中各式各样流窜的封包内容。

目 前支援620种不同的 Protocol,还在持续增加之中。相容的封包撷取档桉格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,几乎全部知名的封包撷取软体,通通都可以在这套软体中读取检视。

目前各种不同的作业系统几乎都有不同的版本可以支援使用。可以到网站中下载不同平台的版本。

说到抓封包看内容来说,这一套免费软体说是超强,支援协定出乎意料的多,常常更新版本,可惜的是目前还没有繁体中文版本

本文读者要先知道的智识:ISO 7和TCP/IP协定,FTP基础使用

教学内容:这一次的教学,我要使用Ethereal找出本台电脑FTP的连线密码

以目前笔者使用最新的版本为0.99.0
也以这一版本作介绍使用方法请到http://www.ethereal.com/
左上角有一下载处Download Now,点一下下载


这边有分不同的作业系统有不同版本,Ethereal支援多种作业系统喔

这边其实也有以前的版本下载,打上http://www.ethereal.com/distribution.../all-versions/
这有以前的版本,还包括了windows系列使用Ethereal前一定要先安装的WinPcap,不过,自从0.99.0之后的版本,都不用另外下载安装winpcap了,因为都封装在ethereal裡面,那之前的版本就必须要另行下载安装winpcap了

下面这张图就是下载回来后的档桉清单,有各种版本,其中winpcap3.0和winpcap3.1是因为ethereal0.10的版本要另外下载安装

执行安装过程的第一个欢迎画面

这是协议书

这是选择要安装的套件内容,一般都全选了

这是选择要在那裡建立始动捷径
start menu group=在开始->程式集->
desktop icon=桌面
quick launch icon=快速工具列

而下面file exetnsions勾勾的就是说要把那一些副档名和ethereal建立关联

选择安装的路径


也就是我之前所说的,winpcap已经寺装在一起了,所以在这裡要选择安装winpcap 3.1


开始複製档桉了……


会特别跳出winpcap的安装程式




已经安装完成

这是ethereal的软体画面了



我们开始来抓封包了,点选Capture->Options



在Interface选项裡,选择你要抓封包的网卡,我这张图裡有5张网卡,但我上网的是RTL8139,我就选择RTL8139

选好再按START



这是在抓封包的过程,可以观察得到各协定所抓到的封包数量(同时也可以看看协定比例对不对),你觉得抓得到你想要的封包时,就可以按STOP了,不过我先不按,因为这一次的教学我要找出FTP的连线密码,当然要先作ftp连线结束才再来按stop

我打开我的ftp 用户端,要连线的主机,帐号,密码都打上了,按下我的connect连线

YA!连线成功


认证成功,伺服器回应的讯息


这就是一般的ftp连线登入认证时所有过程,那到底ftp软体做了些什麽事情呢!?我们一来看看封包的内容吧

我们回到这个画面,按下stop来停止封包抓取的动作



按stop后的画面,这画面有分三大部份
1.最上面的是似照封包的接收顺序来排序的,就是左边的1.2.3.4.5.6.7......每一行就是一个封包
2.中间是每单一个封包的内容,大致上有四行,这四行是TCP/IP协定内所定意的四层,最上面是


第一层-实体层和网路介面层(frame)
第二层-网路层(包括来源ip和目的地ip,有时候也有mac address)
第三层-协定的种类(如http,ftp,telnet,pop,smtp..........)
第四层-应用层(包括所传送的内容,帐号,密码,或msn的通话内容......这一层也是单一封包内容最多的)
参考图片:


3.最下面的画面是封包真正的内容,也就是01010101010......的,不过是以16进位法表示的(看得懂的才有鬼呢...)

因为我们所抓的封包,是只要有经过我们网卡上的封包都会被抓下来,包括是我们要的,不是我们要的,都会抓下来,如何找出我们真正想要的封包呢?

我们来点选上一图Expression...的按钮,会出现下图,这是一个封包搜寻器辅助工具,也就是可以辅助我们输入正确的关建字


在左边选出我们要的协定或关键的字串,我们这一次是找ftp的封包,所以选完ftp就好了,如果按+号,会出现更多的细项,但我们不需要,所以直接按ok就好


还没搜索出来,因为刚刚只是辅助我们输入正确的关建字,现在在关建字多了ftp三个英文字,现在再按Filter,会出现下图


是一些说明及搜寻ftp封包时所定的条件,可以不用理会直接按ok(或在上图中直接按Alpply)

这样就可以找到这一次封包中所收集的ftp封包

 

点一下NO.,似照封包的顺序来排列,这是第11个封包


我们直接看第四层内容

220 FTP Srver reday.rn

这个封包是ftp主机先say hi,说他自己是存在的,再要求我们提供资料(其中n是Enter键的意思)

那我们看看我们给ftp主机什麽东西,看第12个封包

我们也是直接看第四层内容

引用:
USER netbirdrn

我们的ftp软体会输入指令USER,再接是帐号netbird(按+是分析Request commanr:USER<回应指令是:USER>,--Request arg:netbird<回应内容是:netbird>)

下面是伺回应,第14个封包,有该帐号存在,该帐号需要密码,请输入密码


我们到送出密码的封包,是第15个封包,如下图

看到了密码是2pzwst87


因为ftp协定是明码传送封包的,所以使用ethereal是可以看得到的,明码传送密码的协定有
telnet,http,ftp,pop,smtp.....等

如果说不要被看到密码的,那就请用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....

 

posted @ 2009-06-11 09:51  h-hello  阅读(1331)  评论(0编辑  收藏  举报