網絡監聽軟件 Sinffit 使用手冊

Sniffit是由LawrenceBerkeley實驗室開發的，運行于Solaris,SGI和Linux等平臺的一種免費網絡監聽軟件，具有功能強大且使用方便的特點。使用時，用戶可以選擇源、目標地址或地址集合，還可以選擇監聽的端口、協議和網絡接口等。這一工具的一些命令行參數如下：

※-t檢查發送到的數據包。
※-s檢查從發出的數據包。

以上兩個參數都可以用@來選擇一個IP地址范圍，例如：-t199.145.@和-s199．14@

※-p記錄連接到的信包,port為0意味著所有的端口。port缺省值是0。

★注意：-t或-s適用于TCP/UDP數據包，對ICMP和IP也進行解釋。而-p只用于TCP和UDP數據包。
※-i交互模式，忽略其他參數。如下所示是一些能與除了，-i之外參數組合使用的命令行參數：
※-b等同于同時使用了-t和-s，而不管使用了-t和-s中的哪一個。
※-a以ASCII形式將監聽到的結果輸出。
※-A在進行記錄時，所有不可打印字符都用來代替。
※-Pprotocol選擇要檢查的協議，缺省為TCP?？赡艿倪x擇有:IP、TCP、ICMP、UDP或它們的組合。
假設有兩臺主機在一個子網中，一臺正在運行sniffer，另一臺主機的IP地址是nnn.nnn.nn.nn，一些例子如下：

想要記錄從主機nnn.nnn.nn.nn上的一些用戶的口令：
sniffit:~/#sniffit-p23-tnnn.nnn.nn.nn

想要記錄到主機nnn.nnn.nn.nn的ftp服務：
sniffit:~/#sniffit-p21-l0-tnnn.nnn.nn.nn

記錄所有發出和發往主機nnn.nnn.nn.nn的電子郵件信息：
sniffit:~/#sniffit-p25-l0-b-tnnn.nnn.nn.nn&
或者
sniffit:~/#sniffit-p25-l0-b-snnn.nnn.nn.nn&

想要使用有菜單的界面：
sniffit:~/#sniffit-i

網絡出現一些錯誤，想要查看控制消息：
sniffit:~/#sniffit-picmp-b-snnn.nnn.nn.nn

將口令記錄在以nnn開始的文件中，可以用catnnn*來查看：
sniffit:~/#sniffit-p23-A.-tnnn.nnn.nn.nn
或者
sniffit:~/#sniffit-p23-A^-tdummy.net

下面是運行sniffit的一個例子：
#sniffit-a-A.-p23-t11.22.33.@
入口參數的設置非常簡單，為：-a接收所有信息；-A將不可打印字符用"."代替；-p監聽端口23；-t目標地址在11.22.33子網范圍（可以只監聽一臺主機或者是源主機）。使用-s參數可以指定監聽的源主機。網絡監聽程序的人口參數其實非常簡單，只要具有初步的網絡知識便可以正確地使用它們。以下是監聽到的部分結果：

PacketIDfrom-1P.port-toIP.port)：11．22．33．41．1028-11．22．33．14．23
E..35．0．.....!．(.......K.2．P.”/.:....vt100..

出現vtl00的字樣，是使用Telnet服務時，源主機與目標主機進行終端類型協商，在這一階段源主機告訴目標主機自己使用的終端類型，這是一次遠程終端服務的開始。在這之后，很可能就會傳輸用戶的登錄名和口令字。這里很清楚，使用端口1028的是客戶端，而使用端口23的是服務器端。

PacketID(fromIP·port-toIP·port)：11．22.33．41．1028-11．22．33．14．23
E..+6.@......!.............K.2CP.!....
PacketID(fromIP.port-toIP.port)：11．22．33．41．1028-11．22．33．14．23
E..+9．0．......!............:K.21P.!...

PacketID(fromIP.port_to_1P.port)：11．22．33．41．1028-11．22．33．14．23
E..)：．＠．......!.............K.21P.!.......1
PacketID(fromIP.port-tO-1P.port)：11．22．33．41．1028-11．22．33．14．23
E..(；．＠．......!.............K.2JP.!....
PacketID(fromIP.port-tO-1P.port)：11．22．33．41．1028-11．22．33．14．23
E..)＜.＠．......!.............K.2JP．!....
PacketID(fIOmIP.port-to-1P.port)11．22．33．41．1028-11．22．33．14．23-.
E..)＜.＠．:.....!.............K.2JP.!....x
...
PacketID(fIOmIP.Polt-tO-1P.port卜11．22.33.41．1028-11．22．33．14．23
E..<＝.＠........!.....:.......K.2KP.!....
PacketID(frolnIP.port-toIP.port)：11.22.33．41.1028-11．22.33.14．23
E..)＞.＠．......!.............K.2KP.!......g
PacketID(fromIP.port-to-1P.port卜11．22．33.41．1028-11．22．33．14．23
E..(？．＠．......!.............K.2LP.!....

可以看到，客戶端向服務器發送出了幾個包，其中有可打印字符，連起來就是“lxg＼這很可能就是用戶名了。
PacketID(frolnIP.port-toIP.port)：11．22．33．41．1028-11．2233．14．23
E..)C．＠．......!.............K.2WP.!...7
PacketID(fromIP.port-toIP.port)：11.22．33．41．1028-11．22.33．14．23
E..)D.0．......!.............K.2WP.!....
PacketID(frolnIP.port-tO〕P.port)：11．22．33．41．1028-11．22.33．14．23
E..)D.0．......!......:......K.2WP.!...2
PacketID(fronIIP.port-toIP.port)：11．22．33．41.1028-11.22.33．14．23
E..)E.＠．......!............K.2WP.!.....1
PacketID(frOmIP.port-tO-1P.port卜11．22．33．41．1028-11．22.33．14．23
E..)F.＠．......!.............K.2WP.!.......2
PacketID(frorrtIP.port-toIP.port)：11．22.33．41．1028-11．22.33．14．23
E..)c.＠．...已..!.............K.2WP.!.......1
Packet＝ID(fromIP.port-toIP.port)：11．22.33.41．1028-11．22.33．14．23
E..)H.0．......!.............K.2MP.!.......6
PacketID(fromIP.port-toIP.port)：11．22.33.41．1028-11．22.33．14．23
E..)1．＠．......!.............K.2WP.!....

又得到了一個字串，連起來是“721216”。這應該是用戶的口令了。
Packet10(fromIP.port-to-1P.port)：11．22．33．41．1028-11．22.33.4`．23
E..)M.＠........!.............K.4．P..E.....e
Pacbt1D(fromIP.port-tO-1P.port)：11．22．33．41．1028-11．22.33.41.1028
E..(N·＠........!.............K.4．P..D..
PaCketID(fromIP.port-to-1P.port)：11．22．33．41．1028-11．22.33.41.1028
E..)0.＠........!.............K.4．P..D.....x
Packet1D(fromIP.port-tO-1P.port)：11．22．33．41．1028-11．22.33.41.1028
E..(P.0........!.............K.4．P..C..
PacketID(fromIP．port-to-1P.port)：11．22．33．41．1028-11．22.33.14．23
E..)Q．＠........!.............K.4．P..C......i
Packet1D(fronlIP.port-to-1P.port)：11．22．33．41．1028-11．22.33．41.1028
E、·)R.＠........!.............K.4.P..B.....t
Packet1D(frolnIP.port-tO-1P.port)：11．22．33．41．1028-11．22.33.41.1028
E..(3．＠........!.............K.4．P..A...
可以看到，這個用戶執行了一個命令：exit。全部連起來，易知這個連接的有效部分是：
..........vtl00..1xg..........721216..........exit..........
事實上，sniffit完全可以產生這樣一個綜合的結果，并且在本目錄下生成一個類似于xxx.xxx.xxx.xxx.nn-yyy.yyy.yyy.yyy.mm為文件名的文件。其中，
xxx.xxx.xxx.xxx和yyy.yyy.yyy.yyy是兩個IP地址，而mm和nn是通信雙方的端口號。
另外，這個工具還可以用在交互模式下，在此模式下：

※F1or"1"輸入一個主機地址進行監聽，該主機發送數據包。
※F2or"2"輸入一個主機地址進行監聽，該主機接收數據包。
※F3or"3"輸入一個端口號進行監聽，該主機是發送數據包的。
※F4or"4"輸入一個端口號進行監聽，該主機是接收數據包的。
※F5or"5"使用參數＜frOmIP＞＜frOmport＞＜toIP＞＜toport＞來啟動一個程序?，F在，在sniffit中，可以加入一種稱為ToD的程序，英文名字是“TOuchofDeatch”，也叫做“TCP殺手”。當監聽到一個TCP連接（這個連接是某兩臺主機間的TCP連接，與監聽程序所在的主機一點關系也沒有）時，按下F5鍵，便可以將這個無辜的TCp連接切斷?？梢韵胂?，當某一個用戶好不容易連到一臺主機，正準備工作時，連接突然中斷，需要重新進行連接，這時候該多喪氣呀。這種方法的原理其實很簡單，只是向一個TCP連接的其中一臺主機發送一個斷開連接的IP包（將IP包的RST位設置為1）即可