A. Sniffer捕獲到的數據包,問那個主機執行的命令完整形式是。有的是ftp打頭,有的是ping打頭。有的是tracert
利用它可以檢查網路是否能夠連通,用好它可以很好地幫助我們分析判定網路故障。應用格式:Ping IP地址。ftp ip 埠 用於上傳文件至伺服器或進行文件操作
B. Sniffer工具,捕獲FTP數據包並進行分析
黑客工具,安全中國,小型數據包捕獲工具,一看就會
C. Sniffer捕獲到的數據包,主機執行的命令完整形式有的是ftp打頭,有的是ping打頭。有的是t
這里有trccert
命令詳解http://jingyan..com/album/9c69d48f4df25713c8024e66.html
D. Sniffer抓包的過程
1、McAfee ePO 4.0的硬體平台:安裝在VMware WK 6.0上,Intel 7100 CPU,1GB內存,10GB硬碟
2、McAfee ePO4.0的軟體平台:Win2003 Ent SP1,IE6.0 SP1,SQL2005資料庫,.NET 2.0,ePO4.0,CMA3.6.0.569,簽入VSE8.5i(防病毒)、ASE8.5(反間諜模塊)、HIPS7.0(主機入侵防護),工作組環境,主機名:VM-071008,IP地址:10.0.0.202/24
3、客戶端的硬體平台:雙Intel Xeon 2.4Ghz CPU,4GB內存,36G SCSI RAID 1 硬碟
4、客戶端的軟體平台:Win2003 Ent SP1,IE6.0 SP1,工作組環境,主機名:Intel-e1000,IP地址:10.0.0.221/24
5、Sniffer Pro 4.9安裝平台:T61,Intel
E. 如何使用sniffer抓包
隨著Internet及電子商務的日益普及,Internet的安全也越來越受到重視。而在Internet安全隱患中扮演重要角色的是Sniffer和Scanner,本文將介紹Sniffer以及如何阻止sniffer。
大多數的黑客僅僅為了探測內部網上的主機並取得控制權,只有那些"雄心勃勃"的黑客,為了控制整個網路才會安裝特洛伊木馬和後門程序,並清除記錄。他們經常使用的手法是安裝sniffer。
在內部網上,黑客要想迅速獲得大量的賬號(包括用戶名和密碼),最為有效的手段是使用 "sniffer" 程序。這種方法要求運行Sniffer 程序的主機和被監聽的主機必須在同一個乙太網段上,故而在外部主機上運行sniffer 是沒有效果的。再者,必須以root的身份使用sniffer 程序,才能夠監聽到乙太網段上的數據流。
黑客會使用各種方法,獲得系統的控制權並留下再次侵入的後門,以保證sniffer能夠執行。在Solaris 2.x平台上,sniffer 程序通常被安裝在/usr/bin或/dev目錄下。黑客還會巧妙的修改時間,使得sniffer程序看上去是和其它系統程序同時安裝的。
大多數 "ethernet sniffer"程序在後台運行,將結果輸出到某個記錄文件中。黑客常常會修改ps程序,使得系統管理員很難發現運行的sniffer程序。
"ethernet sniffer"程序將系統的網路介面設定為混合模式。這樣,它就可以監聽到所有流經同一乙太網網段的數據包,不管它的接受者或發送者是不是運行sniffer的主機。 程序將用戶名、密碼和其它黑客感興趣的數據存入log文件。黑客會等待一段時間 ----- 比如一周後,再回到這里下載記錄文件。
一、什麼是sniffer
與電話電路不同,計算機網路是共享通訊通道的。共享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網路中傳輸的數據信息就稱為sniffing(竊聽)。
乙太網是現在應用最廣泛的計算機連網方式。乙太網協議是在同一迴路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數 據包。如果一台主機能夠接收所有數據包,而不理會數據包頭內容,這種方式通常稱為"混雜" 模式。
由於在一個普通的網路環境中,帳號和口令信息以明文方式在乙太網中傳輸,一旦入侵者獲 得其中一台主機的root許可權,並將其置於混雜模式以竊聽網路數據,從而有可能入侵網路中的所有計算機。
二、sniffer工作原理
通常在同一個網段的所有網路介面都有訪問在物理媒體上傳輸的所有數據的能力,而每個網路介面都還應該有一個硬體地址,該硬體地址不同於網路中存在的其他網路介面的硬體地址,同時,每個網路至少還要一個廣播地址。(代表所有的介面地址),在正常情況下,一個合法的網路介面應該只響應這樣的兩種數據幀:
1、幀的目標區域具有和本地網路介面相匹配的硬體地址。
2、幀的目標區域具有"廣播地址"。
在接受到上面兩種情況的數據包時,nc通過cpu產生一個硬體中斷,該中斷能引起操作系統注意,然後將幀中所包含的數據傳送給系統進一步處理。
而sniffer就是一種能將本地nc狀態設成(promiscuous)狀態的軟體,當nc處於這種"混雜"方式時,該nc具備"廣播地址",它對所有遭遇到的每一個幀都產生一個硬體中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。(絕大多數的nc具備置成promiscuous方式的能力)
可見,sniffer工作在網路環境中的底層,它會攔截所有的正在網路上傳送的數據,並且通過相應的軟體處理,可以實時分析這些數據的內容,進而分析所處的網路狀態和整體布局。值得注意的是:sniffer是極其安靜的,它是一種消極的安全攻擊。
通常sniffer所要關心的內容可以分成這樣幾類:
1、口令:
我想這是絕大多數非法使用sniffer的理由,sniffer可以記錄到明文傳送的userid和passwd.就算你在網路傳送過程中使用了加密的數據,sniffer記錄的數據一樣有可能使入侵者在家裡邊吃肉串邊想辦法算出你的演算法。
2、金融帳號:
許多用戶很放心在網上使用自己的信用卡或現金帳號,然而sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin。
3、偷窺
F. 應用 sniffer 軟體找出 ftp 協議中,客戶端使用什麼命令發送賬號使用什麼命令發送口令
USER發送賬號 PASS發送口令
G. 用arpsniffer抓包得到的txt文件為什麼是亂碼還有TCP80埠為什麼嗅探不到用戶名及密碼,而FTP密碼是可以
arpsniffer嗅探得到的東西本來就是亂碼,其實源文件裡面都是16進制字元,如果你想看懂arp數據包,你就先看看arp數據報的結構,用wiresharp嗅探吧,我覺得比arpsniffer好用。80埠是瀏覽器埠,一般沒有用戶名密碼,你用瀏覽器瀏覽的時候也不用輸入用戶名和密碼才能上網啊,而ftp是20和21,是文件傳輸系統,在不允許匿名登錄的情況下是要輸入用戶名和密碼的,所以能得到它的密碼
H. 怎樣使用sniffer軟體進行數據包的捕獲
如果是通過交換機連接的話,把你要抓包的目標埠的流量鏡像到你的裝有sniffer的pc的主機所連接的埠,把你那埠設成monitor埠。然後打開sniffer,如果你不清楚目標流量的話就用默認的過濾器就是default那個,你會把目標埠的所有流量都抓過來,數據包會很多。如果你知道目標流量的ip的話,可以設置一個只針對目標ip的過濾器,那麼你就可以只抓你想要的數據包了。