Ethereal 抓包、封包內容分析、查看明码教学 (现在改名叫什么 wireshare)
Ethereal软体介绍
Ethereal 封包监听器,是一套网管人员必备的超强软体。举凡在网路故障排除,监听异常封包,软体封包问题检测等等问题,甚至包含针对网路通讯协定的教育训练,都可以利用这套免费的软体来做到。
Unix
及 Windows 平台封包撷取、网路分析程式 -
Ethereal,可以从动态的网路撷取封包,或者是由硬碟中撷取档桉来检查资料,您可以同时浏览每一个封包的撷取资料内容、检视概要及详细资讯,还有强
大的过滤器语言显示、检视重建的 TCP session 串流功能。
不久之前,Sniffer 和 NetXRay 大概是网管人员最熟悉的封包监听软体,但 Ethereal 这套免费的软体,由于採取开放原始码的方式,更新通讯协定 Protocol 迅速,支援不同软体汇出的封包撷取档桉格式,目前广为世界各地专业网管使用。
很容易的可以选取撷取封包时间,主要透过图形介面来表示,清晰易懂。此外,使用过滤的功能,可以让你轻易的判别出封包种类,可以让你清楚的分析网路中各式各样流窜的封包内容。
目
前支援620种不同的 Protocol,还在持续增加之中。相容的封包撷取档桉格式包含:tcpdump、, NAI 的
Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network
Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog
等,几乎全部知名的封包撷取软体,通通都可以在这套软体中读取检视。
目前各种不同的作业系统几乎都有不同的版本可以支援使用。可以到网站中下载不同平台的版本。
说到抓封包看内容来说,这一套免费软体说是超强,支援协定出乎意料的多,常常更新版本,可惜的是目前还没有繁体中文版本
本文读者要先知道的智识:ISO 7和TCP/IP协定,FTP基础使用
教学内容:这一次的教学,我要使用Ethereal找出本台电脑FTP的连线密码
以目前笔者使用最新的版本为0.99.0
也以这一版本作介绍使用方法请到http://www.ethereal.com/
左上角有一下载处Download Now,点一下下载
这边有分不同的作业系统有不同版本,Ethereal支援多种作业系统喔
这边其实也有以前的版本下载,打上http://www.ethereal.com/distribution.../all-versions/
这有以前的版本,还包括了windows系列使用Ethereal前一定要先安装的WinPcap,不过,自从0.99.0之后的版本,都不用另外下载安装winpcap了,因为都封装在ethereal裡面,那之前的版本就必须要另行下载安装winpcap了
下面这张图就是下载回来后的档桉清单,有各种版本,其中winpcap3.0和winpcap3.1是因为ethereal0.10的版本要另外下载安装
执行安装过程的第一个欢迎画面
这是协议书
这是选择要安装的套件内容,一般都全选了
这是选择要在那裡建立始动捷径
start menu group=在开始->程式集->
desktop icon=桌面
quick launch icon=快速工具列
而下面file exetnsions勾勾的就是说要把那一些副档名和ethereal建立关联
选择安装的路径
也就是我之前所说的,winpcap已经寺装在一起了,所以在这裡要选择安装winpcap 3.1
开始複製档桉了……
会特别跳出winpcap的安装程式
在Interface选项裡,选择你要抓封包的网卡,我这张图裡有5张网卡,但我上网的是RTL8139,我就选择RTL8139
这是在抓封包的过程,可以观察得到各协定所抓到的封包数量(同时也可以看看协定比例对不对),你觉得抓得到你想要的封包时,就可以按STOP了,不过我先不按,因为这一次的教学我要找出FTP的连线密码,当然要先作ftp连线结束才再来按stop
这就是一般的ftp连线登入认证时所有过程,那到底ftp软体做了些什麽事情呢!?我们一来看看封包的内容吧
按stop后的画面,这画面有分三大部份
1.最上面的是似照封包的接收顺序来排序的,就是左边的1.2.3.4.5.6.7......每一行就是一个封包
2.中间是每单一个封包的内容,大致上有四行,这四行是TCP/IP协定内所定意的四层,最上面是
第一层-实体层和网路介面层(frame)
第二层-网路层(包括来源ip和目的地ip,有时候也有mac address)
第三层-协定的种类(如http,ftp,telnet,pop,smtp..........)
第四层-应用层(包括所传送的内容,帐号,密码,或msn的通话内容......这一层也是单一封包内容最多的)
参考图片:
3.最下面的画面是封包真正的内容,也就是01010101010......的,不过是以16进位法表示的(看得懂的才有鬼呢...)
因为我们所抓的封包,是只要有经过我们网卡上的封包都会被抓下来,包括是我们要的,不是我们要的,都会抓下来,如何找出我们真正想要的封包呢?
我们来点选上一图Expression...的按钮,会出现下图,这是一个封包搜寻器辅助工具,也就是可以辅助我们输入正确的关建字
在左边选出我们要的协定或关键的字串,我们这一次是找ftp的封包,所以选完ftp就好了,如果按+号,会出现更多的细项,但我们不需要,所以直接按ok就好
还没搜索出来,因为刚刚只是辅助我们输入正确的关建字,现在在关建字多了ftp三个英文字,现在再按Filter,会出现下图
这是一些说明及搜寻ftp封包时所定的条件,可以不用理会直接按ok(或在上图中直接按Alpply)
我们直接看第四层内容
220 FTP Srver reday.rn
|
这个封包是ftp主机先say hi,说他自己是存在的,再要求我们提供资料(其中n是Enter键的意思)
那我们看看我们给ftp主机什麽东西,看第12个封包
我们也是直接看第四层内容
USER netbirdrn
|
我们的ftp软体会输入指令USER,再接是帐号netbird(按+是分析Request commanr:USER<回应指令是:USER>,--Request arg:netbird<回应内容是:netbird>)
下面是伺回应,第14个封包,有该帐号存在,该帐号需要密码,请输入密码
我们到送出密码的封包,是第15个封包,如下图
因为ftp协定是明码传送封包的,所以使用ethereal是可以看得到的,明码传送密码的协定有
telnet,http,ftp,pop,smtp.....等
如果说不要被看到密码的,那就请用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....