標(biāo)題：NetXray使用說明之(1)1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 這是一個(gè)ShareHub連接下的局域網(wǎng) | | 5.5.5.5 這是一個(gè)8080端口上的http/ftp proxy | | Internet啟動(dòng)Capture，進(jìn)入Capture Setting，選擇Profiles-->New，以Default為模板，起名叫proxy，選擇ok-->Done，設(shè)置過濾所有目標(biāo)IP是5.5.5.5的報(bào)文，即Any---->5.5.5.5開始抓包，同時(shí)從本機(jī)使用http proxy，然后就可以停止抓包。選中一個(gè)目標(biāo)IP是5.5.5.5的報(bào)文，按鼠標(biāo)右鍵，選擇"編輯顯示過濾"，選擇"數(shù)據(jù)模式"，選擇Add Pattern，到TCP層選中8080目標(biāo)端口，用鼠標(biāo)選擇"設(shè)置數(shù)據(jù)"，起名"目標(biāo)端口8080"?；厝ミx擇"應(yīng)用顯示過濾"。以后用proxy規(guī)則過濾將只過濾目標(biāo)IP是5.5.5.5、目標(biāo)端口是8080的報(bào)文。要是對(duì)協(xié)議分析熟悉，根本不用寫這么多，以后要問NetXray的使用說明，請(qǐng)直奔主題，否則回答起來實(shí)在羅嗦。關(guān)鍵是有些人太懶惰，不樂意自己實(shí)踐。標(biāo)題：NetXray使用說明之(2)如何指定源端口、目標(biāo)端口？1. 注意Data Pattern和Address是邏輯與的關(guān)系2. 進(jìn)入Data Pattern設(shè)置頁 比如你想設(shè)置這樣一個(gè)過濾規(guī)則，源端口是2323或者目標(biāo)端口是2323 的IP包，先選中第一行，用Toggle AND/OR調(diào)整成OR，因?yàn)槟愕倪壿嫳磉_(dá)式 的最外層是 OR3. 選擇Add Pattern，在彈出的對(duì)話框里設(shè)置 Packet 34 2 Hex 從頂頭開始填寫 09 13，因?yàn)槭M(jìn)制的2323對(duì)應(yīng)十六進(jìn)制的0x0913，而IP包 使用網(wǎng)絡(luò)字節(jié)順序，高字節(jié)在低地址。 起名任意，比如源端口2323，確定 再次選擇Add Pattern Packet 36 2 Hex 從頂頭開始填寫 09 13 起名任意，比如目標(biāo)端口2323，確定 于是最外層的OR下有兩個(gè)葉子，分別對(duì)應(yīng)兩個(gè)Pattern。4. 還有很多變化，但都和這個(gè)基本例子差不多，你的過濾規(guī)則可以非常復(fù)雜。 最外層的OR表示它下面的所有葉子之間都是OR的關(guān)系，所以我建議當(dāng)你企圖 建立一個(gè)非常復(fù)雜的規(guī)則的時(shí)候先寫出邏輯表達(dá)式再來操作，以免不必要的 重復(fù)勞動(dòng)。標(biāo)題：NetXray使用說明之(3)如何抓ftp/pop3口令明文？NetXray所謂的高級(jí)協(xié)議過濾事實(shí)上就是端口過濾，用(2)中介紹的方法指定源端口目標(biāo)端口均過濾0x00 0x17，就可以達(dá)到和指定telnet過濾一樣的效果。NetXray認(rèn)為telnet就是23端口，所以如果想捕捉一個(gè)非標(biāo)準(zhǔn)telnetd的通信，必須自己指定端口過濾。此外Pwin98下services文件的修改不影響NetXray認(rèn)為telnet就是端口23。每次指定捕捉telnet協(xié)議，但顯示的時(shí)候可能會(huì)發(fā)現(xiàn)有些包沒有標(biāo)記成telnet，而是tcp，為什么？因?yàn)檫@些標(biāo)記成tcp的包沒有telnet數(shù)據(jù)區(qū)，雖然在完整的物理幀中有數(shù)據(jù)，但根據(jù)IP報(bào)頭中的 ntohs( ip->tot_len ) ，對(duì)于IP報(bào)文來說沒有telnet數(shù)據(jù)區(qū)。物理幀中為什么有？可能是考慮"填充"，我不知道是數(shù)據(jù)鏈路層從內(nèi)核返回的時(shí)候帶上來的"填充"，還是對(duì)端發(fā)送的時(shí)候就已經(jīng)"填充"，在linux下用sock_packet抓包也存在同樣的問題，一般情況下recvfrom返回的字節(jié)數(shù)減去各個(gè)報(bào)頭長(zhǎng)度得到數(shù)據(jù)區(qū)長(zhǎng)度，但出現(xiàn)"填充"時(shí)就不是這樣了，所以處理IP協(xié)議族時(shí)，一定要用 ntohs( ip->tot_len ) ，我寫linuxkiller時(shí)才認(rèn)真注意到這個(gè)問題。那么用NetXray時(shí)，不要看第三欄，那里是完整的物理幀，有很多干擾信息，應(yīng)該看第二欄的數(shù)據(jù)區(qū)。如果是分析telnet協(xié)議并還原屏幕顯示，只需要抓從server到client的回顯數(shù)據(jù)即可，因?yàn)榭诹畈换仫@，這種過濾規(guī)則下抓不到口令明文。在linux下編程實(shí)現(xiàn)時(shí)需要考慮95個(gè)可打印字符、漢字以及32個(gè)控制字符的顯示過濾問題。如果想抓telnet的口令明文，需要抓client到server的數(shù)據(jù)。Pred寫的Sniff監(jiān)聽別人的BBS登錄就象看動(dòng)畫，但看不到口令，應(yīng)該是只抓從server到client的回顯數(shù)據(jù)。nethackii可以抓pop3/ftp/telnet的口令，對(duì)于前兩者很容易實(shí)現(xiàn)，因?yàn)橛蠵ASS關(guān)鍵字可以鑒別，后者稍微麻煩些，需要重組。值得一提的是foxmail的郵件監(jiān)視器，簡(jiǎn)直就是定時(shí)發(fā)送口令明文，用NetXray抓從client到server包，指定過濾PASS關(guān)鍵字，非常清楚。下面簡(jiǎn)單說一下這個(gè)設(shè)置：先指定IP過濾規(guī)則，應(yīng)該只指定 any <--> any，或者干脆不指定IP地址，以最大可能地捕捉口令。然后增加一個(gè)過濾模式，Packet 54 4 Hex 0x50 41 53 53再增加一個(gè)過濾模式，Packet 54 4 Hex 0x70 61 73 73兩者是or模式，后者是因?yàn)檫@種關(guān)鍵字在網(wǎng)絡(luò)傳輸中大小寫不敏感，比如cuteftp發(fā)送的是pass。剩下的就是等口令來了。注意，不必指定過濾特定高級(jí)協(xié)議，直接指定過濾IP協(xié)議族就可以了，用這種辦法ftp/pop3口令是很容易看清楚的。因?yàn)樵S多ftp/pop3的口令可以telnet 23，所以......標(biāo)題：NetXray使用說明之(4)unix/linux下執(zhí)行clear命令究竟發(fā)送了什么字符串到終端才導(dǎo)致清屏效果出現(xiàn)，用NetXray捕捉server到client的回顯數(shù)據(jù)，發(fā)現(xiàn)如下字符串：1B 5B 48 1B 5B 4A 可以用fprintf輸出這些字符到屏幕上，結(jié)果就是導(dǎo)致清屏效果。對(duì)于UDP報(bào)文的源端口/目標(biāo)端口過濾基本上和TCP報(bào)文的設(shè)置一樣，不過這次換種方式指定：Protocol 20 2 Hex 源端口Protocol 22 2 Hex 目標(biāo)端口這些都是在沒有使用IP選項(xiàng)的情況下指定，如果使用了IP選項(xiàng)就需要做相應(yīng)改變。標(biāo)題：NetXray使用說明之(5)這里的使用說明可以用于sniffer pro 2.6，因?yàn)檫@兩個(gè)東西實(shí)際是一個(gè)公司的。雖然很多人告訴我sniffer pro比netxray強(qiáng)大，但是我個(gè)人覺得在協(xié)議分析方面netxray比sniffer pro要方便，雖然支持的協(xié)議少了點(diǎn)，但是在設(shè)置過濾規(guī)則和應(yīng)用過濾規(guī)則等小操作上，顯然sniffer pro沒有吸取netxray的精華，這些小操作平時(shí)很難遇到，但真正做協(xié)議分析指定一些復(fù)雜的過濾規(guī)則的時(shí)候就會(huì)碰上。今天我們介紹的是如何抓取RPC報(bào)文，下面給出的辦法僅僅是種嘗試而已。因?yàn)镽PC Server使用動(dòng)態(tài)端口，所以你無法進(jìn)行常規(guī)的端口過濾設(shè)置，如果一定要設(shè)置可能需要嘗試，具體例子請(qǐng)參看<< RPC/XDR/NFS系列之----NFS/Mount協(xié)議 >>這里給一種不是很科學(xué)的辦法：1. 指定進(jìn)行IP過濾，設(shè)置Any <--> RPC Server IP2. 指定對(duì)TCP以及UDP協(xié)議進(jìn)行過濾，因?yàn)镽PC Server可能的底層支持協(xié)議包括二者。3. 進(jìn)入Data Pattern設(shè)置頁，用Toggle AND/OR調(diào)整成OR，因?yàn)槟愕倪壿嫳磉_(dá)式 的最外層是 OR4. 選擇Add Pattern，在彈出的對(duì)話框里設(shè)置 Protocol 60 8 Hex 00 00 00 00 00 00 00 02 起名TCP RPC CALL5. 同4的步驟，依次選擇Add Pattern，在彈出的對(duì)話框里設(shè)置 Protocol 60 4 Hex 00 00 00 01 起名TCP RPC REPLY Protocol 32 8 Hex 00 00 00 00 00 00 00 02 起名UDP RPC CALL Protocol 32 4 Hex 00 00 00 01 起名UDP RPC REPLY這里給的辦法僅僅代表一種思路，如果你發(fā)現(xiàn)并沒有抓住某個(gè)特定RPC SERVER的報(bào)文，可以自行調(diào)整過濾規(guī)則。要理解這個(gè)過濾規(guī)則，需要RPC本身的知識(shí)，可以參看<< RPC/XDR/NFS系列 >>。我曾經(jīng)想設(shè)置遠(yuǎn)程程序號(hào)的過濾規(guī)則，但發(fā)現(xiàn)RPC REPLY報(bào)文中沒有固定字段對(duì)應(yīng)遠(yuǎn)程程序號(hào)，只好放棄。如果你只想抓RPC CALL報(bào)文，可以考慮這個(gè)思路。標(biāo)題：NetXray使用說明之(6)----捕捉oicq message報(bào)文NetXray發(fā)包前可以在decode狀態(tài)下編輯，sniffer pro 2.6卻不象NetXray那樣善解人意，只能進(jìn)行二進(jìn)制編輯。sniffer pro的Add Pattern里的TAB鍵極其混帳，并且這里也不提供decode支持。始終不能理解這些地方。不過破解版的NetXray在decode時(shí)有些地方對(duì)不準(zhǔn)，菜單window也不時(shí)失靈。暫略(回頭補(bǔ)吧，沒時(shí)間了)今天講講oicq message報(bào)文的捕捉。1. 首先設(shè)置進(jìn)行IP/UDP報(bào)文過濾，IP/TCP暫時(shí)就不必了，因?yàn)閛icq message報(bào)文多 是IP/UDP報(bào)文，我還沒有看到過IP/TCP，應(yīng)該是沒有的。2. 根據(jù)需要在Address/IP Include里設(shè)置通信雙方的IP，假設(shè)我們需要捕獲所有與 本機(jī)oicq.exe通信的oicq message報(bào)文，設(shè)置成 myIp <----> Any3. 進(jìn)入Data Pattern設(shè)置頁，用<< NetXray使用說明之(2) >>里的辦法指定 ( ( srcPort == 4000 ) && ( dstPort != 8000 ) ) || ( ( srcPort != 8000 ) && ( dstPort == 4000 ) ) 第一條的意思是本機(jī)向別人發(fā)消息，第二條是別人向本機(jī)發(fā)消息，之所以排除掉 8000，你可以進(jìn)入oicq chat room看看此時(shí)涉及的端口。那么為什么不指定兩頭 都是4000呢，因?yàn)槿绻^了透明網(wǎng)關(guān)之類的，UDP RELAY的時(shí)候會(huì)改變?cè)炊丝冢? 一般都不會(huì)是4000了。反過來，如果你發(fā)現(xiàn)一個(gè)入包的源端口不是4000，他/她應(yīng) 該在類似sygate的代理后面。不過此時(shí)UDP DATA PIPE已經(jīng)建立，即使他/她在 sygate后面，還是可以利用剛才抓到的IP/PORT和他/她通信，意味著很多事情都 可能發(fā)生。 這里假設(shè)都通過oicq.exe通信，如果用自己寫的程序與oicq.exe通信，源端口不 必非是4000，可以任意指定。4. 算了，還是詳細(xì)說說條目3中高級(jí)過濾規(guī)則的指定 a. 用Toggle AND/OR把最上層調(diào)成OR b. 選中OR，然后Add AND/OR增加兩個(gè)上去，分別用Toggle AND/OR調(diào)成AND c. 選中第一個(gè)AND，然后Add Pattern，選中增加的Pattern，選擇 Packet 34 2 Hex，從1開始輸入 0F A0，就是0x0fa0的意思， srcPort == 4000 d. 選中第一個(gè)AND，然后Add NOT，選中增加的NOT，用Toggle NOT確認(rèn)已經(jīng)調(diào)成 NOT，選中NOT，然后Add Pattern，選中增加的Pattern，選擇 Packet 36 2 Hex，從1開始輸入 1F 40，就是0x1f40的意思， dstPort != 8000 e. 選中第二個(gè)AND，重復(fù)"類似"c、d的步驟，分別指定srcPort != 8000以及 dstPort == 4000 f. 選中最上層的OR，看看summary，是否符合你預(yù)想的邏輯表達(dá)式，如果不符合， 繼續(xù)調(diào)整，直至正確。雖然這里是針對(duì)oicq.exe設(shè)置高級(jí)過濾規(guī)則，但這是一個(gè)很完整而又略顯復(fù)雜的設(shè)置說明，對(duì)<< NetXray使用說明之(2) >>是個(gè)很好的補(bǔ)充。標(biāo)題：NetXray使用說明之(小插曲)----分析netants的1975問題設(shè)置過濾規(guī)則為：myIp --> any:1975設(shè)置捕獲IP/TCP協(xié)議，注意不要指定捕獲HTTP協(xié)議，NetXray是根據(jù)端口區(qū)分協(xié)議的，你指定HTTP協(xié)議，就只捕獲80端口的報(bào)文了。過一段時(shí)間1975上的連接自動(dòng)切斷。在本機(jī)用netstat -a 或者 netstat -na 看到如下信息：TCP scz:1475 ad2-1.aureate.com:1975 ESTABLISHEDTCP 192.168.8.90:1475 216.37.13.140:1975 ESTABLISHED標(biāo)題：NetXray使用說明之(7)----LanExplorer 3.5下的過濾規(guī)則設(shè)置作者：小四 < mailto: scz@nsfocus.com >主頁：http://www.nsfocus.com日期：2000-08-28 20:21--------------------------------------------------------------------------下面是咱們<ipxodi@nsfocus.com>的大放厥詞：LanExplorer 3.5，9x/NT/2K下的協(xié)議分析軟件，7MB，http://www.intellimax.com破解如下：安裝完成后，用HEXEDIT打開probe.exeCTRL G 跳到0x4eac7，把75改成eb，保存。以后運(yùn)行提示注冊(cè)，點(diǎn)擊Cancel進(jìn)入即可。--------------------------------------------------------------------------實(shí)際上LanExplorer和NetXray不是一個(gè)廠家的產(chǎn)品，從使用上也很多不同，但是從協(xié)議分析角度來看，沒有區(qū)別，姑且放到一起介紹。這個(gè)系列完全是為初學(xué)者寫的，前陣有人問起續(xù)篇，將就著再寫寫，實(shí)在是沒意思的東西。1.從菜單上選擇Capture-->Filter，選擇左上角的[ New Profile ]按鈕，輸入你覺得切合要求的名字，比如TCP-SMB。這里有個(gè)小竅門，如果你已經(jīng)有一個(gè)合理可用的IP規(guī)則，就先選中IP規(guī)則，然后點(diǎn)擊左上角的[ New Profile ]按鈕，那么新規(guī)則以IP規(guī)則為模板生成。2.選中TCP/UDP Port頁，點(diǎn)擊最頂行最右邊的[ TCP/UDP Ports... ]按鈕，選擇New，輸入端口號(hào)445，描述任意，比如TCP-SMB，Ok。Filter Mode選擇Inclusive，選中下面的[ Exclude Non-TCP/UDP Packets ]復(fù)選框在[ Port 1 ]里選擇剛剛新創(chuàng)建的TCP-SMB，選擇-->，在[ Port 2 ]里選擇All，選中右邊的TCP復(fù)選框，UDP復(fù)選框不要選中。3.選中Address頁，Address Mode選擇IP，選中下面的[ Exclude Non-IP Packets ]復(fù)選框，F(xiàn)ilter Mode選擇Inclusive，在[ Address 1 ]里選擇[ Any Address ]，選擇-->，在[ Address 2 ]里輸入192.168.8.90(我自己的內(nèi)部IP)4.選中Layer 3 頁，假設(shè)所有的復(fù)選框都清空了，從右邊開始，在TCP/UDP欄里只選擇Others，而IP/ARP欄里的TCP和UDP不用選中，提交本條過濾規(guī)則的時(shí)候LanExplorer會(huì)自動(dòng)判別并替你選中IP/ARP欄里的TCP和UDP復(fù)選框，如果你此時(shí)自己選中也無妨。5.選中Layer 2/3頁，假設(shè)所有的復(fù)選框都清空了，從左邊開始，在Ethernet II欄里只選擇IP/ARP復(fù)選框，注意和Layer 3 頁之間的關(guān)系，提交本條過濾規(guī)則的時(shí)候LanExplorer會(huì)自動(dòng)判別并替你選中LLC欄里的IP復(fù)選框以及SNAP欄里的IP/ARP復(fù)選框，如果你此時(shí)自己選中也無妨。6.選中Layer 2頁，假設(shè)所有的復(fù)選框都清空了，在VLAN欄里選中Others復(fù)選框，MAC欄不用理會(huì)。點(diǎn)擊中文的[ 確定 ]按鈕(太奇怪了，LanExplorer為什么這里出現(xiàn)了中文按鈕，而其他地方?jīng)]有)7.從菜單上選擇Capture-->Filter，選中你要使用的過濾過則，如果剛剛創(chuàng)建過新規(guī)則，默認(rèn)的當(dāng)前過濾規(guī)則就是新規(guī)則。從菜單上選擇Capture-->Start。這個(gè)規(guī)則設(shè)置過程很簡(jiǎn)單，顯然LanExplorer的設(shè)置不如Sniffer Pro友好，至于它的發(fā)送更是不盡人意，這些不多說了，用過的朋友自己對(duì)照。執(zhí)行net use \\192.168.8.48\ipc$或者newletmein \\192.168.8.48 -all -d之類的命令，可以驗(yàn)證上述過濾規(guī)則是否有效。很多朋友在高級(jí)過濾規(guī)則的設(shè)置上失敗，其原因很多，拋開對(duì)協(xié)議本身不了解的原因，LanExplorer設(shè)置復(fù)雜是重要原因。有一點(diǎn)特別注意，寧可多選幾個(gè)復(fù)選框，不要對(duì)自己不了解復(fù)選框清空，你能解釋第6條中為什么選擇VLAN欄里的Others復(fù)選框嗎？我不能，可你的確必須如此選擇。更多的東西需要自己摸索。我不喜歡這個(gè)東西，可我現(xiàn)在2K下，沒有別的可用。--------------------------------------------------------------------------下面是NetGuy的破解1. Probe.exe: 1,114,112 b字節(jié)2. crack_probe.exe: 1,114,112 b字節(jié)4E924: 7C 904E925: 18 904E93C: 7E EB4EA62: 6A EB4EA63: 00 154EABC: 50 EB4EABD: E8 12--------------------------------------------------------------------------<待續(xù)>標(biāo)題：NetXray使用說明之(7.5)----LanExplorer 3.6下的過濾規(guī)則設(shè)置舉例(續(xù))3.6據(jù)說比3.5加強(qiáng)了一些，包括退出后僵尸進(jìn)程的問題，啟動(dòng)中亂報(bào)錯(cuò)問題，現(xiàn)在似乎支持撥號(hào)適配器上的抓包了(以前如何我還真沒測(cè)試過)，但在過濾規(guī)則上毫無改觀。以前過濾規(guī)則全部在升級(jí)過程中丟掉了，只好重新設(shè)置。下面是IP過濾規(guī)則的設(shè)置：1.從菜單上選擇Capture-->Filter，選擇左上角的[ New Profile ]按鈕，輸入你覺得切合要求的名字，比如IP。這里有個(gè)小竅門，如果你已經(jīng)有一個(gè)合理可用的Default規(guī)則，就先選中Default規(guī)則，然后點(diǎn)擊左上角的[ New Profile ]按鈕，那么新規(guī)則以Default規(guī)則為模板生成。2.不要?jiǎng)覶CP/UDP Port頁、Address頁3.選中Layer 3 頁，假設(shè)所有的復(fù)選框都選中了，因?yàn)槲覀冊(cè)O(shè)置的是IP過濾規(guī)則，要求抓取所有IP報(bào)文。注意LanExplorer把ARP歸入Layer 3 頁，如果你的確只想抓IP報(bào)文，清除該頁第一個(gè)ARP復(fù)選框。反之，如果你只想抓ARP報(bào)文，應(yīng)該清空Layer 3 頁后只選擇該頁第一個(gè)ARP復(fù)選框。4.選中Layer 2/3頁，假設(shè)所有的復(fù)選框都清空了，從左邊開始，在Ethernet II欄里只選擇IP/ARP復(fù)選框，注意和Layer 3 頁之間的關(guān)系。3.5版這里會(huì)自動(dòng)替你選中LLC欄里的IP復(fù)選框以及SNAP欄里的IP/ARP復(fù)選框，3.6版沒有這個(gè)毛病了。5.選中Layer 2頁，假設(shè)所有的復(fù)選框都清空了，在VLAN欄里選中Others復(fù)選框，MAC欄根據(jù)需要指定，比如只想抓取單播IP報(bào)文，就只選中Unicast復(fù)選框。VLAN欄里Others復(fù)選框必須選中，至于為什么，不清楚?；仡^看第三條，如果想抓ARP報(bào)文，因?yàn)锳rp Request是廣播報(bào)文，為了同時(shí)抓取請(qǐng)求和響應(yīng)報(bào)文，必須在MAC欄里選中Broadcast復(fù)選框。當(dāng)然，只選中Unicast復(fù)選框，將抓取所有Arp Reply報(bào)文。點(diǎn)擊中文的[ 確定 ]按鈕(太奇怪了，LanExplorer為什么這里出現(xiàn)了中文按鈕，而其他地方?jīng)]有)6.從菜單上選擇Capture-->Filter，選中你要使用的過濾過則，如果剛剛創(chuàng)建過新規(guī)則，默認(rèn)的當(dāng)前過濾規(guī)則就是新規(guī)則。從菜單上選擇Capture-->Start。標(biāo)題：NetXray使用說明之(8)----捕捉來自特定源IP的ARP報(bào)文今天調(diào)試一個(gè)程序的時(shí)候，利用SIGALRM進(jìn)行ARP欺騙，需要抓幾個(gè)ARP響應(yīng)報(bào)文確認(rèn)定時(shí)機(jī)制起作用了，但又不想都抓，ARP報(bào)文太多了。1. 以default為模板復(fù)制一條規(guī)則arp2. 在"高級(jí)過濾"里選中ARP協(xié)議3. 在"數(shù)據(jù)模板"里選擇"增加模板"，此時(shí)默認(rèn)是AND規(guī)則4. 依次輸入或選擇 Packet 28 4 Hex5. 從頂頭開始輸入 C0 A8 0A 19 就是說源IP為192.168.10.25 描述性文字任意，比如srcIp == 192.168.10.256. 一路確定下去即可事實(shí)上平時(shí)設(shè)置過濾規(guī)則不需要這樣麻煩，可以先用母體規(guī)則(比如default)抓取一些報(bào)文，然后用鼠標(biāo)選中你需要的報(bào)文，保持不動(dòng)的情況下進(jìn)入過濾規(guī)則設(shè)置界面，新建一個(gè)過濾規(guī)則arp，此時(shí)"數(shù)據(jù)模板"里的"設(shè)置數(shù)據(jù)"按鈕可用，在左面選擇你感興趣的數(shù)據(jù)域，點(diǎn)擊"設(shè)置數(shù)據(jù)"，會(huì)自動(dòng)替你生成一個(gè)"數(shù)據(jù)模板"，然后根據(jù)需要稍微修改一下即可。即使你對(duì)TCP/IP協(xié)議非常熟悉，也沒有必要自己計(jì)算偏移量。<<NetXray使用說明之(2)>>里的"數(shù)據(jù)模板"一樣推薦采用這個(gè)辦法指定。標(biāo)題：NetXray使用說明之(9)----TCP/DNS問題論壇上santa朋友報(bào)告了一個(gè)關(guān)于Win2K下Sniffer Pro 4.5的問題，簡(jiǎn)單說就是解析TCP/DNS報(bào)文的時(shí)候有點(diǎn)問題。flag和我一起仔細(xì)測(cè)試過，的確存在小麻煩。在RFC 1035的"4.2.2. TCP usage"小節(jié)對(duì)此有足夠解釋，TCP數(shù)據(jù)流的前兩個(gè)字節(jié)是message length，這點(diǎn)和UDP DNS報(bào)文明顯不同。注意，既然是TCP數(shù)據(jù)流，所以并不要求這兩個(gè)字節(jié)和DNS負(fù)載出現(xiàn)在同一個(gè)報(bào)文中，至少RedHat下nslookup在做區(qū)傳輸?shù)臅r(shí)候先發(fā)送了兩個(gè)字節(jié)的message length，然后發(fā)送另外一個(gè)TCP報(bào)文攜帶了DNS負(fù)載。對(duì)于UDP DNS報(bào)文，UDP數(shù)據(jù)區(qū)直接對(duì)應(yīng)DNS負(fù)載，UDP頭部中UDP報(bào)文長(zhǎng)度減去8就是DNS負(fù)載長(zhǎng)度(也就是UDP數(shù)據(jù)區(qū)長(zhǎng)度)。從Win9x下的Sniffer Pro 2.6到Win2K下Sniffer Pro 4.5，事實(shí)上都意識(shí)到了TCP DNS的特殊性，解析區(qū)傳輸引發(fā)的TCP查詢報(bào)文時(shí)，對(duì)前兩個(gè)字節(jié)做了規(guī)避。偏偏前兩個(gè)字節(jié)已經(jīng)單獨(dú)發(fā)送到DNS SERVER去了，最終導(dǎo)致后續(xù)DNS負(fù)載中真正的id域被當(dāng)成message length而越過，param域被當(dāng)成id域解析，再后面的域解析全部亂套。區(qū)傳輸?shù)牡谝粋€(gè)響應(yīng)報(bào)文中message length和后續(xù)DNS負(fù)載位于同一個(gè)TCP報(bào)文中，所以解析正確。RFC 1035沒有強(qiáng)制要求message length如何出現(xiàn)，對(duì)于TCP數(shù)據(jù)流來說，這是完全正確的，本來就沒有邊界概念。Sniffer Pro無法預(yù)知所有TCP數(shù)據(jù)流的表現(xiàn)方式，或者說無法預(yù)知所有DNS CLIENT的具體實(shí)現(xiàn)方式，只能簡(jiǎn)單假設(shè)message length和后續(xù)DNS負(fù)載位于同一個(gè)TCP報(bào)文中，不可能為了正確解析這種TCP DNS查詢報(bào)文而跟蹤保持前后的TCP數(shù)據(jù)流(前后狀態(tài)相關(guān))。NetXray 3.03存在類似問題，但是它顯式解析了message length字段，以Tcp Length顯示該字段，明確提醒使用者TCP DNS報(bào)文和UDP DNS報(bào)文的差別。很奇怪，SnifferPro拋棄了太多NetXray的優(yōu)點(diǎn)，這次又是一個(gè)例證。如果你想自己測(cè)試驗(yàn)證這個(gè)問題，重點(diǎn)在于如何激發(fā)TCP DNS報(bào)文，下面是我整理維護(hù)的<<Unix編程/應(yīng)用問答中文版>>中的內(nèi)容：--------------------------------------------------------------------------17. 如何進(jìn)行DNS區(qū)傳輸A: scz <scz@nsfocus.com> 用nslookup是最普遍適用的 nslookup > server ns.tsinghua.edu.cn > set type=axfr > ls tsinghua.edu.cn [> tsinghua.txt] (方括號(hào)里的可選) 有些系統(tǒng)提供了dig命令 dig @ns.tsinghua.edu.cn axfr tsinghua.edu.cnA: lgwu 有些系統(tǒng)提供了host命令，這個(gè)命令不太保險(xiǎn) host -l net.tsinghua.edu.cn (后面指定域) host -l ncic.ac.cn18. 如何獲知權(quán)威名字服務(wù)器A: scz <scz@nsfocus.com> nslookup > set query=ns > ncic.ac.cn (獲知管轄該域的權(quán)威名字服務(wù)器) Authoritative answers can be found from: gatekeeper.ncic.ac.cn internet address = 159.226.41.188 > server gatekeeper.ncic.ac.cn > set type=axfr (準(zhǔn)備區(qū)傳輸) > ls ncic.ac.cn > ncic.txt--------------------------------------------------------------------------另外有個(gè)問題，用RedHat下nslookup做區(qū)傳輸激發(fā)TCP DNS報(bào)文，Win2K下LanExplorer 3.6抓取響應(yīng)報(bào)文(不是分成兩半的查詢報(bào)文)，在企圖解析時(shí)導(dǎo)致進(jìn)程異常退出。具體原因尚在猜測(cè)中，可能和錯(cuò)誤處理message length字段有關(guān)。由此我們想到其他sniffer是否存在類似問題，針對(duì)Unix系統(tǒng)下snoop、tcpdump是否有機(jī)會(huì)做exploit。2001-02-14 23:37snoop -v tcp dst host 192.168.10.1 and src port 53 and src host 192.168.0.2這個(gè)命令會(huì)報(bào)告TCP DNS負(fù)載，但是并不像LanExplorer 3.6那樣企圖解析什么。tcpdump -S -n -t src port 53 and src host 192.168.0.2 and dst host 192.168.10.2 and ip proto \\tcp這個(gè)命令干脆不會(huì)報(bào)告DNS負(fù)載，tcpdump究竟如何才能達(dá)到效果，-v和-vv都不行。結(jié)論是tcpdump和snoop暫時(shí)不存在類似問題。<<libnet使用舉例(8)>>./dkiii --di 192.168.8.90 --num 20dkiii所發(fā)送的異常DNS請(qǐng)求分組制造了一個(gè)解析循環(huán)，NetXray3.03終止，LanExplorer 3.5在試圖解析該類報(bào)文的時(shí)候異常終止。今天測(cè)試結(jié)果是LanExplorer 3.6依舊存在該問題，98/2K下測(cè)試。此外袁哥確認(rèn)qtcount值異常的時(shí)候，LanExplorer 3.6解析過程中發(fā)生崩潰。發(fā)信人: scz (小四), 信區(qū): Security WWW-POST標(biāo) 題: NetXray使用說明之(10)----捕獲telnet登錄口令發(fā)信站: 武漢白云黃鶴站 (Sun Apr 15 19:41:40 2001) , 轉(zhuǎn)信今天逛CERNET/BBS的時(shí)候看到又有人問如何抓telnet登錄口令的事情，再寫一遍好了。其實(shí)如果你有現(xiàn)成的口令監(jiān)聽工具，就不必看這里的介紹了，我也不喜歡用本來是協(xié)議分析工具的Sniffer Pro去做這種事情。僅僅是進(jìn)一步演示高級(jí)過濾規(guī)則和觸發(fā)器的使用。原理如下：telnet登錄時(shí)口令部分不回顯，只能抓取從client到server的報(bào)文才能獲取明文口令。所以一般那些監(jiān)視還原軟件無法直接看到口令，看到的多半就是星號(hào)(*)。缺省情況下telnet登錄時(shí)進(jìn)入字符輸入模式，而非行輸入模式，此時(shí)基本上是客戶端一有擊鍵就立即向服務(wù)器發(fā)送字符，TCP數(shù)據(jù)區(qū)就一個(gè)字節(jié)。在不考慮IP選項(xiàng)、TCP選項(xiàng)介入的復(fù)雜情況下，整個(gè)物理幀長(zhǎng)度14 20 20 1 = 55。我是懶得升級(jí)，所以一直用Pwin98下的Sniffer Pro 2.6(就是deepin上傳到spp那里的那個(gè))和古老的NetXray。下面的舉例以Sniffer Pro 2.6為準(zhǔn)，更高版本基本類似，不想切換到2K下測(cè)試4.5版了。Capture --> Define Filter... --> Profiles... --> New...如果你已經(jīng)有TCP模板或者更精確的模板，就選它們，沒有的話，選擇根據(jù)Default模板創(chuàng)建，起個(gè)相關(guān)點(diǎn)的名字，別什么test1、test2的就來了，我起名telnet_username_passwd。一路確定(Done)，回到Define Filter對(duì)話框。進(jìn)入Advanced設(shè)置頁，選中IP/TCP/TELNET。Packet Size Packet TypeEqual 59 只選中NormalSize = 59進(jìn)入Data Pattern設(shè)置頁，Add Pattern，選擇Packet 46 2 Hex數(shù)據(jù)區(qū)設(shè)置50 18描述成"tcp頭20字節(jié)、ack psh"(這里任意描述，但應(yīng)該有意義)進(jìn)入Address設(shè)置頁，設(shè)置根據(jù)IP地址過濾，設(shè)置"clientIp --> serverIp"的過濾模式。不要設(shè)置成雙向或者"serverIp --> clientIp"，否則干擾信息太多。點(diǎn)擊確定后這條"telnet_username_passwd"過濾規(guī)則就設(shè)置完了。什么意思？很直白，只捕獲從客戶端到服務(wù)器的、TCP數(shù)據(jù)區(qū)只有一個(gè)字節(jié)的、帶ACK PSH標(biāo)志的、不帶IP選項(xiàng)和TCP選項(xiàng)的正常TELNET報(bào)文?？赡苣阌幸蓡?，為什么設(shè)置Size = 59，而不是55。我也很想知道Sniffer Pro哪里吃錯(cuò)藥了。以太網(wǎng)幀的確應(yīng)該是55，可是如果加上4字節(jié)的CRC校驗(yàn)和，就是59了。Sniffer Pro在decode顯示中沒有顯示這個(gè)4字節(jié)CRC校驗(yàn)和，卻在設(shè)置Packet Size的地方包含了它，簡(jiǎn)直就是毛病。NetXray在decode顯示中顯示了4字節(jié)CRC校驗(yàn)和，在設(shè)置Packet Size的地方并不包含它，也就是說，同樣的規(guī)則如果換到NetXray那里，應(yīng)該是Size = 55。顯然我們習(xí)慣NetXray的這些地方，可惜sniffer pro丟棄了太多NetXray好的一面，這次又是一個(gè)例證。順便問一下，誰知道在Unix/Linux下編程的時(shí)候如何得到這4字節(jié)的CRC校驗(yàn)和，鏈路層編程收包得到的僅僅是以太網(wǎng)幀，沒有CRC?；氐娇纯诹畹膯栴}上來，設(shè)置了上述規(guī)則后，實(shí)際就可以看到用戶名、口令以及登錄后的擊鍵了。干擾信息相當(dāng)少，一眼就可以看出哪個(gè)是哪個(gè)。如果要玩點(diǎn)玄的，比如Trigger，我們可以這樣考慮問題。第一個(gè)有效包應(yīng)該是59字節(jié)，前面的其他報(bào)文在做三次握手、TELNET協(xié)商，長(zhǎng)度都不是59字節(jié)(可以抓包確認(rèn)這個(gè)結(jié)論)。定義一條規(guī)則"telnet_username begin"，對(duì)于這次的舉例，實(shí)際就和"telnet_username_passwd"一樣，但是最好選擇后者做模板單獨(dú)重新定義一次，為什么？這個(gè)以后自然就會(huì)明白，至少可以讓設(shè)置清晰、直觀些。最后一個(gè)有效包(就是說看到這個(gè)包后停止抓包)應(yīng)該是什么呢？不能是60字節(jié)的0D0A(對(duì)于微軟平臺(tái)的telnet)或者0D 00(Unix平臺(tái))，因?yàn)橛脩裘斎虢Y(jié)束的時(shí)候就有一次60字節(jié)的報(bào)文出現(xiàn)，如果選擇這樣的報(bào)文做結(jié)束報(bào)文，口令就抓不到了?？紤]登錄成功后服務(wù)器都會(huì)向客戶機(jī)發(fā)送"Last login:"一類的信息，同一個(gè)包中還包括登錄后的shell顯示，這個(gè)包顯然要比前后附近的包大很多(不是三四個(gè)字節(jié)的問題)。我們以此包為結(jié)束觸發(fā)報(bào)文。定義一條規(guī)則"telnet_passwd end"，以"telnet_username begin"為模板創(chuàng)建，修改兩個(gè)地方，一個(gè)是"Size > 100"，一個(gè)是"clientIp <-- serverIp"(反向，因?yàn)檫@個(gè)報(bào)文是從服務(wù)器到客戶機(jī)的)。至此我們定義了三條規(guī)則，一個(gè)開始觸發(fā)規(guī)則、一個(gè)持續(xù)抓包規(guī)則、一個(gè)結(jié)束觸發(fā)規(guī)則。開始設(shè)置Trigger：Capture --> Trigger Setup...四個(gè)復(fù)選框中只選中"Start Tigger"、"Stop Trigger"。因?yàn)橐郧皼]有設(shè)置過，無法從下拉列表中選擇什么，只能分別定義觸發(fā)器。以Start Trigger為例，進(jìn)入Define，New一個(gè)新的觸發(fā)器名字，起名"telnet_username begin"(不必和過濾規(guī)則一致，但是保持一致比較清晰)，右邊三個(gè)復(fù)選框只選中最下面的"Event filter"，那個(gè)下拉列表里實(shí)際對(duì)應(yīng)過濾規(guī)則，選中"telnet_username begin"過濾規(guī)則，確定。這里還可以設(shè)置什么時(shí)間開始觸發(fā)，不過作為演示，簡(jiǎn)化這些可能。Capture的下拉列表里也是對(duì)應(yīng)的過濾規(guī)則，選中"telnet_username_passwd"過濾規(guī)則(持續(xù)抓包規(guī)則)。"Stop Trigger"的定義類似"Start Trigger"，這次選擇"telnet_passwd end"過濾規(guī)則，起名"telnet_passwd end"。同樣，演示中不考慮時(shí)間設(shè)置，簡(jiǎn)化操作?？梢灾付ㄔ诮Y(jié)束觸發(fā)條件滿足后還多抓幾個(gè)包，比如指定多抓2個(gè)包。確定后這個(gè)觸發(fā)器生效。什么意思呢。Sniffer Pro自動(dòng)開始捕獲報(bào)文，但是并不保存，直到碰上一個(gè)報(bào)文匹配了"telnet_username begin"過濾規(guī)則，此時(shí)開始保存在自己的緩沖區(qū)中。然后根據(jù)Capture處選擇的"telnet_username_passwd"過濾規(guī)則持續(xù)抓包。一直到結(jié)束觸發(fā)條件"telnet_passwd end"被滿足。多抓兩個(gè)包后徹底停止抓包。查看結(jié)果，就完整地對(duì)應(yīng)了登錄過程中用戶名、口令的輸入過程，很容易恢復(fù)出口令明文和用戶名。Trigger作用下的顯示結(jié)果顯式標(biāo)注了Start Trigger和Stop Trigger的位置，這之間的就是我們關(guān)心的內(nèi)容。先是用戶名，然后緊跟口令明文，最后是兩次登錄成功的擊鍵。0D 0A或者0D 00被過濾掉，登錄協(xié)商信息也被扔掉了。如果不熟悉sniffer pro的操作，可能看了之后還是比較模糊，可以對(duì)照著實(shí)地操作一下，其實(shí)不難。開始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則可以不一樣，這次舉例比較特殊而已?，F(xiàn)在交換環(huán)境以及加密傳輸越來越普及，單純靠這些小把戲抓口令已經(jīng)意義不大了。很多人估計(jì)從來就沒有用過Trigger。你驗(yàn)證過之后完全可以根據(jù)自己實(shí)際需要定義Trigger，基本思路是，定義三條規(guī)則，一個(gè)開始觸發(fā)、一個(gè)持續(xù)抓包、一個(gè)結(jié)束觸發(fā)，要區(qū)分共性、特性，考慮結(jié)合時(shí)間觸發(fā)設(shè)置。至于Alarm觸發(fā)設(shè)置，以后有實(shí)際應(yīng)用舉例的時(shí)候再介紹，現(xiàn)在介紹你暈我也暈。Pwin98下Sniffer Pro 2.6毛病很多，使用Trigger后很容易藍(lán)屏。我沒有切換到2K下測(cè)試4.5版是否還有這個(gè)毛病。今天發(fā)現(xiàn)telnet過程使用行輸入模式是荒蕪陳舊的，不推薦使用，但用戶可以Ctrl-]進(jìn)入telnet>模式，輸入mode line(可能要兩次)切換到行輸入模式，Pwin98的telnet.exe如何切換進(jìn)入行輸入模式，我也不知道。如果有人吃瘋了，以行輸入模式登錄，口令明文就在單包中，用戶名在另一單包中，更容易恢復(fù)出來。作為上述Trigger設(shè)置卻要失效了。Cterm登錄的時(shí)候用的應(yīng)該就是行輸入模式。此時(shí)一個(gè)辦法就是不用Trigger，直接抓包看就可以了。如果要指定Trigger，應(yīng)該修改開始觸發(fā)規(guī)則和持續(xù)抓包規(guī)則，結(jié)束觸發(fā)規(guī)則不必修改。持續(xù)抓包規(guī)則就設(shè)置成telnet協(xié)議報(bào)文即可，因?yàn)橛脩裘涂诹蠲魑牡降锥嚅L(zhǎng)不清楚，即使還做數(shù)據(jù)區(qū)長(zhǎng)度限制，也應(yīng)該換成 58 < Size < 100。開始觸發(fā)規(guī)則換成Size = 70，從客戶機(jī)到服務(wù)器，這樣的包在login提示符出現(xiàn)前只有一個(gè)，是個(gè)telnet協(xié)商報(bào)文，也比較靠近login提示符出現(xiàn)的時(shí)候，干擾信息較少，我暫時(shí)沒有更好的想法來設(shè)置開始觸發(fā)規(guī)則。修正后的Trigger既可以對(duì)付單字符輸入模式登錄，也可以對(duì)付行輸入模式登錄，不過在對(duì)付單字符輸入模式登錄的時(shí)候沒有前一個(gè)Trigger好，干擾信息稍微多了幾個(gè)。這里介紹的Trigger不是最好的，僅僅是演示效果。大家可以發(fā)揮自己的想象力設(shè)置高效實(shí)用的Trigger(我憎恨Trigger，回去睡覺，2001-04-15 07:56)。下午過來時(shí)想到，開始觸發(fā)規(guī)則可以用clientIp <-- serverIp，服務(wù)器始終會(huì)給客戶機(jī)一個(gè)"login:"提示，可以用它做開始觸發(fā)。對(duì)于登錄Solaris和Linux有所不同，需要分別抓包確認(rèn)其中區(qū)別，比如Solaris提示"login:"之后還有一些協(xié)商過程，而Linux沒有。輸入口令錯(cuò)誤，第二次提示"login:"的報(bào)文就和Linux一樣了，也是65個(gè)字節(jié)(包括CRC)。提示"login:"的時(shí)候，如果連續(xù)兩次回車，服務(wù)器給客戶機(jī)的提示報(bào)文又有不同。根據(jù)具體情況抓包分析，按照某種原則選擇合適的報(bào)文，設(shè)置開始觸發(fā)規(guī)則。顯然沒有一勞永逸、放之四海皆準(zhǔn)的觸發(fā)規(guī)則。對(duì)于結(jié)束觸發(fā)規(guī)則，如果服務(wù)器上用戶主目錄$HOME下有一個(gè).hushlogin文件存在，則服務(wù)器回顯客戶機(jī)的時(shí)候，沒有"Last login:"信息，頂多是登錄shell的顯示(也就幾個(gè)字節(jié))，此時(shí)前面設(shè)置的結(jié)束觸發(fā)規(guī)則失效。演示舉例中不考慮這些非普遍現(xiàn)象，真要對(duì)付所有情況，應(yīng)該自己寫程序做內(nèi)容過濾，確定各種觸發(fā)條件?，F(xiàn)在來總結(jié)一下稍微通用點(diǎn)的Trigger設(shè)置：1) 開始觸發(fā)規(guī)則"telnet_username begin"clientIp <-- serverIp 這個(gè)根據(jù)需要調(diào)整，必要時(shí)可以使用Any，不過對(duì)于Trigger，使用Any的可能不大，仔細(xì)想想為什么。TELNET協(xié)議，只抓Normal報(bào)文。ACK PSH 標(biāo)志，至少不要讓帶SYN的兩個(gè)報(bào)文混進(jìn)來吧。也就是在Data Pattern處設(shè)置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。這樣做了之后實(shí)際意味著帶IP選項(xiàng)、TCP選項(xiàng)的報(bào)文被丟棄，進(jìn)一步減少干擾信息。69 < Packet Size < 72，不解釋了，分別登錄Solaris/Linux，自己抓包看看。2) 持續(xù)抓包規(guī)則"telnet_username_passwd"clientIp --> serverIp 因?yàn)榭诹畈换仫@，只能抓從客戶機(jī)到服務(wù)器的擊鍵獲取口令。沒有必要抓服務(wù)器的回顯，減少干擾信息。TELNET協(xié)議，只抓Normal報(bào)文。58 < Packet Size < 100 主要是考慮了使用Cterm登錄的時(shí)候，進(jìn)入行輸入模式。如果不考慮這種情況，完全可以指定Size = 59，這樣要精確得多。在Data Pattern處設(shè)置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。解釋同上。3) 結(jié)束觸發(fā)規(guī)則"telnet_passwd end"clientIp <-- serverIp，telnet協(xié)議，Packet Size > 100，只抓Normal報(bào)文。在Data Pattern處設(shè)置Packet 46 2 Hex，數(shù)據(jù)區(qū)設(shè)置50 18。解釋同上。上面是說如何捕獲telnet登錄口令，同理，要在公共機(jī)房捕獲BBS登錄口令，首先抓包簡(jiǎn)單分析一下，設(shè)置不同的觸發(fā)條件，一樣容易實(shí)現(xiàn)。這個(gè)我就不寫那么直白了，否則要被人砍死的。修改持續(xù)抓包規(guī)則，Size = 59，其他不變，起名"telnet_key"，不設(shè)置Trigger，直接捕獲客戶機(jī)到服務(wù)器的擊鍵，我覺得這個(gè)設(shè)置簡(jiǎn)單、高效、實(shí)用。

最新評(píng)論