Iris網絡嗅探器使用與技巧

　　 
　　1.【Iris簡介】

一款性能不錯的嗅探器。嗅探器的英文是Sniff，它就是一個裝在電腦上的竊聽器，監視通過電腦的數據。

2.【Iris的安裝位置】

作為一個嗅探器，它只能捕捉通過所在機器的數據包，因此如果要使它能捕捉盡可能多的信息，安裝前應該對所處網絡的結構有所了解。例如，在環形拓撲結構的網絡中，安裝在其中任一臺機都可以捕捉到其它機器的信息包（當然不是全部），而對于使用交換機連接的交換網絡，很有可能就無法捕捉到其它兩臺機器間通訊的數據，而只能捕捉到與本機有關的信息；又例如，如果想檢測一個防火墻的過濾效果，可以在防火墻的內外安裝Iris，捕捉信息，進行比較。

3.【配置Iris】

Capture（捕獲）

Run continuously ：當存儲數據緩沖區不夠時，Iris將覆蓋原來的數據包。

Stop capture after filling buffer：當存儲數據緩沖區滿了時，Iris將停止進行數據包截獲，并停止紀錄。

Load this filter at startup：捕獲功能啟動時導入過濾文件并應用，這樣可以進行命令行方式的調試。

Scroll packets list to ensure last packet visible：一般要選中，就是將新捕獲的數據包附在以前捕獲結果的后面并向前滾動。

Use Address Book：使用Address Book來保存mac地址，并記住mac地址和網絡主機名。而Ip也會被.netbios名字顯示。

Decode(解碼)

Use DNS:使用域名解析

Edit DNS file:使用這個選項可以編輯本地解析文件(host)。

HTTP proxy:使用http使用代理服務器，編輯端口號。默認為80端口

Decode UDP Datagrams:解碼UDP協議

Scroll sessions list to ensure last session visible:使新截獲的數據包顯示在捕獲窗口的最上。

Use Address Book：同Capture中的Use Address Book

Adapters（網絡配置器）

選擇從哪個網絡配置器（網卡）中截獲數據。

Guard（警報和日志選項）

Enable alarm sound：當發現合乎規則的數據包發出提示聲音

Play this wave file：選擇警報聲音路徑，聲音格式是.wav

Log to file：啟動日志文件。如果選中后，當符合規則的數據包被截獲后將被記錄在日志文件中。

Ignore all LAN connections：Iris可以通過本地的ip地址和子網掩碼識別地址是否是本地的地址。當這個選項被不選中后，Iris會接受所有的數據包（包括本機收發出的）。如果選中，將不接受本地網絡的數據包。

Ignore connections on these>>:過濾指定端口(port)，在列表中可以選擇。

Use software filter:軟件過濾方案生效。當沒有被選中后，軟件將會接受所有的數據。另外只有當Apply filter to incoming packets 被選中后Use software filter才能使用。

Miscellaneous（雜項功能）

選項 功能描述

Packet buffer：設置用來保存捕獲數據包最多個數（默認值是2000個）

Stop when free disk space drops ：當磁盤空間低于指定值時,Iris將會停止捕獲和記錄數據。

Enable CPU overload protection 當Cpu的占用率連續4秒鐘達到100%時，Iris會停止運行。等到恢復正常后才開始紀錄。

Start automatically with Windows：點擊這里可以把Iris加入到啟動組中。

Check update when program start：是否啟動時檢查本軟件的更新情況。

4【任務】

Schedule:配置Iris指定的時間捕獲數據包，藍色代表捕獲，白色代表停止捕獲。

5.【建立過濾條件】

a.硬件過濾器(HardWare Filter)：

Promiscuous (噪音模式):使得網卡處于雜收狀態，這個是默認狀態。

Directed (直接連接):只接受發給本網絡配置器的數據包，而其他的則不予接受。

Multicast (多目標):捕獲多點傳送的數據包

All multicast （所有多目標）:捕獲所有的多目標數據包

Broadcast (廣播) 只捕獲廣播楨，這樣的真都具有相同的特點，目的MAC地址都是FF:FF:FF:FF:FF:FF

b.數據包捕獲類型匹配(Layer 2，3):

這個過濾設置位于DoD模型（四層）中的第二、三層——網絡層和運輸層。

利用這個過濾設置，可以過濾不同協議類型的數據。

include:表示包括此種協議類型的數據將被捕獲；

exclude:表示包括此種協議類型的數據將被忽略；

也可以自定義協議類型，方法是配置proto.dat文件。Layer 2的協議編輯[PROTOCOL]，而layer 3則編輯相應的[IP PROTOCOL]。我們用記事本打開proto.dat，在這里很多的協議可以被修改和添加?！?

c.字符匹配(Words Filter)

加入你想過濾的關鍵字符到列表。列表下面有All和ANY兩個選項（有的是AND和OR)，其中ANY是指數據包至少要匹配列表中的一個關鍵字符，而ALL選項是指所有列表中的數據都要匹配才會顯示出來。

Apply filter to packets是指顯示帶有關鍵字的數據幀，而其他的數據幀則會被拋棄。

Mark sessions containing words是指所有的數據幀都會被截獲，只不過帶有指定字符的數據幀會加上標志。

d.MAC地址匹配（MAC Address Filter）

第一個窗口是IRIS可是識別出來的硬件地址。你可以點擊這些地址把他們加到下邊的Address 1或Address 2，如果你不這樣做也可以自己輸入地址到窗口二中;

e.IP地址匹配層（IP address）

和MAC地址匹配（MAC Address Filter）選項相類似，這個是IP地址匹配層。

f.端口匹配層（Ports）

CP和UDP采用16 bit的端口號來識別應用程序的。FTP服務器的TCP端口號是2 1，Telnet服務器的TCP端口號是23，TFTP(簡單文件傳送協議)服務器的UDP端口號是69。任何TCP/IP實現所提供的服務都用知名的1～1023之間的端口號.例如我們想截獲telnet中的用戶名和密碼這里我們就應該選擇23 Port。

g.高級選項配置(Advanced)

數據大小匹配選項（Size）：可以選擇指定接收的數據包的大小。

十六進制數據匹配（Data）：指定數據包中所包含數據的十六進制字符相匹配。

6【截獲數據包】

在數據包編輯區內，顯示著完整的數據包。窗口分兩部分組成，左邊的數據是以十六進制數字顯示，右邊則對應著ASCII。點擊十六進制碼的任何部分，右邊都會顯示出相應的ASCII代碼，便于分析。

十六進制碼是允許進行編輯再生的，可以重寫已經存在的的數據包。新的數據包可以被發送，或者保存到磁盤中。

　

7.【數據包編輯】

Capture > Show Packet Editor點擊顯示出來

利用工具條的選項可以進行數據包的保存，更改，加入到列表和發送等操作。

例如想生成一系列TCP數據包，首先點擊生成一個空數據包，參照數據包格式，使得每一部分都用十六進制表示法來表示。建立了一個包假設它由100個字節的長度（假設一下，20 個字節是IP信息，20個字節是TCP信息，還有60個字節為傳送的數據）?，F在把這個包發給以太網,放14個字節在目地MAC地址之前，源MAC地址，還要置一個0x0800的標記，它指示出了TCP/IP棧后的數據結構。同時，也附加了4個字節用于做CRC校驗 （CRC校驗用來檢查傳輸數據的正確性），之后我們點擊發送按鈕。

原文轉自：http://www.kjueaiud.com