Ethereal 抓網路封包+封包內容分析+看明碼連線內容
Ethereal軟體介紹Ethereal 封包監聽器,是一套網管人員必備的超強軟體。舉凡在網路故障排除,監聽異常封包,軟體封包問題檢測等等問題,甚至包含針對網路通訊協定的教育訓練,都可以利用這套免費的軟體來做到。
Unix 及 Windows 平台封包擷取、網路分析程式 - Ethereal,可以從動態的網路擷取封包,或者是由硬碟中擷取檔案來檢查資料,您可以同時瀏覽每一個封包的擷取資料內容、檢視概要及詳細資訊,還有強大的過濾器語言顯示、檢視重建的 TCP session 串流功能。
不久之前,Sniffer 和 NetXRay 大概是網管人員最熟悉的封包監聽軟體,但 Ethereal 這套免費的軟體,由於採取開放原始碼的方式,更新通訊協定 Protocol 迅速,支援不同軟體匯出的封包擷取檔案格式,目前廣為世界各地專業網管使用。
很容易的可以選取擷取封包時間,主要透過圖形介面來表示,清晰易懂。此外,使用過濾的功能,可以讓你輕易的判別出封包種類,可以讓你清楚的分析網路中各式各樣流竄的封包內容。
目前支援620種不同的 Protocol,還在持續增加之中。相容的封包擷取檔案格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,幾乎全部知名的封包擷取軟體,通通都可以在這套軟體中讀取檢視。
目前各種不同的作業系統幾乎都有不同的版本可以支援使用。可以到網站中下載不同平台的版本。
說到抓封包看內容來說,這一套免費軟體說是超強,支援協定出乎意料的多,常常更新版本,可惜的是目前還沒有繁體中文版本
本文讀者要先知道的智識:ISO 7和TCP/IP協定,FTP基礎使用
教學內容:這一次的教學,我要使用Ethereal找出本台電腦FTP的連線密碼
以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到http://www.ethereal.com/
左上角有一下載處Download Now,點一下下載
http://etherealtool.googlepages.com/Ethereal001.jpg
這邊有分不同的作業系統有不同版本,Ethereal支援多種作業系統喔
http://etherealtool.googlepages.com/Ethereal002.jpg
這邊其實也有以前的版本下載,打上http://www.ethereal.com/distribution.../all-versions/
這有以前的版本,還包括了windows系列使用Ethereal前一定要先安裝的WinPcap,不過,自從0.99.0之後的版本,都不用另外下載安裝winpcap了,因為都封裝在ethereal裡面,那之前的版本就必須要另行下載安裝winpcap了
http://etherealtool.googlepages.com/Ethereal003.jpg
下面這張圖就是下載回來後的檔案清單,有各種版本,其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝
http://etherealtool.googlepages.com/Ethereal004.jpg
執行安裝過程的第一個歡迎畫面
http://etherealtool.googlepages.com/Ethereal005.jpg
這是協議書
http://etherealtool.googlepages.com/Ethereal006.jpg
這是選擇要安裝的套件內容,一般都全選了
http://etherealtool.googlepages.com/Ethereal007.jpg
這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列
而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關聯
http://etherealtool.googlepages.com/Ethereal008.jpg
選擇安裝的路徑
http://etherealtool.googlepages.com/Ethereal009.jpg
也就是我之前所說的,winpcap已經寺裝在一起了,所以在這裡要選擇安裝winpcap 3.1
http://etherealtool.googlepages.com/Ethereal010.jpg
開始複製檔案了……
http://etherealtool.googlepages.com/Ethereal011.jpg
會特別跳出winpcap的安裝程式
http://etherealtool.googlepages.com/Ethereal012.jpg
http://etherealtool.googlepages.com/Ethereal013.jpg
http://etherealtool.googlepages.com/Ethereal014.jpg
http://etherealtool.googlepages.com/Ethereal015.jpg
http://etherealtool.googlepages.com/Ethereal016.jpg
http://etherealtool.googlepages.com/Ethereal017.jpg
已經安裝完成
http://etherealtool.googlepages.com/Ethereal018.jpg
這是ethereal的軟體畫面了
http://etherealtool.googlepages.com/Ethereal019.jpg
我們開始來抓封包了,點選Capture->Options
http://etherealtool.googlepages.com/Ethereal020.jpg
在Interface選項裡,選擇你要抓封包的網卡,我這張圖裡有5張網卡,但我上網的是RTL8139,我就選擇RTL8139
http://etherealtool.googlepages.com/Ethereal021.jpg
選好再按START
http://etherealtool.googlepages.com/Ethereal022.jpg
這是在抓封包的過程,可以觀察得到各協定所抓到的封包數量(同時也可以看看協定比例對不對),你覺得抓得到你想要的封包時,就可以按STOP了,不過我先不按,因為這一次的教學我要找出FTP的連線密碼,當然要先作ftp連線結束才再來按stop
http://etherealtool.googlepages.com/Ethereal023.jpg
我打開我的ftp 用戶端,要連線的主機,帳號,密碼都打上了,按下我的connect連線
http://etherealtool.googlepages.com/Ethereal026.jpg
YA!連線成功
http://etherealtool.googlepages.com/Ethereal027.jpg
認證成功,伺服器回應的訊息
http://etherealtool.googlepages.com/Ethereal028.jpg
這就是一般的ftp連線登入認證時所有過程,那到底ftp軟體做了些什麼事情呢!?我們一來看看封包的內容吧
http://etherealtool.googlepages.com/Ethereal029.jpg
我們回到這個畫面,按下stop來停止封包抓取的動作
http://etherealtool.googlepages.com/Ethereal023.jpg
按stop後的畫面,這畫面有分三大部份 1.最上面的是似照封包的接收順序來排序的,就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內容,大致上有四行,這四行是TCP/IP協定內所定意的四層,最上面是 第一層-實體層和網路介面層(frame)
第二層-網路層(包括來源ip和目的地ip,有時候也有mac address)
第三層-協定的種類(如http,ftp,telnet,pop,smtp..........)
第四層-應用層(包括所傳送的內容,帳號,密碼,或msn的通話內容......這一層也是單一封包內容最多的)參考圖片:http://infotrip.ncl.edu.tw/net/graphic/tcpip.gif
3.最下面的畫面是封包真正的內容,也就是01010101010......的,不過是以16進位法表示的(看得懂的才有鬼呢...)http://etherealtool.googlepages.com/Ethereal030.jpg
因為我們所抓的封包,是只要有經過我們網卡上的封包都會被抓下來,包括是我們要的,不是我們要的,都會抓下來,如何找出我們真正想要的封包呢?
我們來點選上一圖Expression...的按鈕,會出現下圖,這是一個封包搜尋器輔助工具,也就是可以輔助我們輸入正確的關建字
http://etherealtool.googlepages.com/Ethereal031.jpg
在左邊選出我們要的協定或關鍵的字串,我們這一次是找ftp的封包,所以選完ftp就好了,如果按+號,會出現更多的細項,但我們不需要,所以直接按ok就好
http://etherealtool.googlepages.com/Ethereal032.jpg
還沒搜索出來,因為剛剛只是輔助我們輸入正確的關建字,現在在關建字多了ftp三個英文字,現在再按Filter,會出現下圖
http://etherealtool.googlepages.com/Ethereal033.jpg
這是一些說明及搜尋ftp封包時所定的條件,可以不用理會直接按ok(或在上圖中直接按Alpply)
http://etherealtool.googlepages.com/Ethereal034.jpg
這樣上圖的protocol(協定)的欄位只有ftp了,這樣就可以找到這一次封包中所收集的ftp封包
似照封包的順序來排列,這是第11個封包
http://etherealtool.googlepages.com/Ethereal035.jpg
我們直接看第四層內容
引用:
220 FTP Srver reday.\r\n
這個封包是ftp主機先say hi,說他自己是存在的,再要求我們提供資料(其中\n是Enter鍵的意思)
那我們看看我們給ftp主機什麼東西,看第12個封包
http://etherealtool.googlepages.com/Ethereal036.jpg
我們也是直接看第四層內容
引用:
USER netbird\r\n
我們的ftp軟體會輸入指令USER,再接是帳號netbird(按+是分析Request commanr:USER<回應指令是:USER>,--Request arg:netbird<回應內容是:netbird>)
下面是伺回應,第14個封包,有該帳號存在,該帳號需要密碼,請輸入密碼
http://etherealtool.googlepages.com/Ethereal039.jpg
我們到送出密碼的封包,是第15個封包,如下圖
http://etherealtool.googlepages.com/Ethereal037.jpg
看到了密碼是2pzwst87
因為ftp協定是明碼傳送封包的,所以使用ethereal是可以看得到的,明碼傳送密碼的協定有
telnet,http,ftp,pop,smtp.....等
如果說不要被看到密碼的,那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....
以上教學為教學之用,請勿使用以上技術偷竊別人的連線帳號及密碼
以上文章歡迎轉貼,但請註明出處於
<史萊姆的第一個家-附設討論區-網路疑難應用技術研討區By飛鳥>
頁:
[1]