A. Sniffer捕获到的数据包,问那个主机执行的命令完整形式是。有的是ftp打头,有的是ping打头。有的是tracert
利用它可以检查网络是否能够连通,用好它可以很好地帮助我们分析判定网络故障。应用格式:Ping IP地址。ftp ip 端口 用于上传文件至服务器或进行文件操作
B. Sniffer工具,捕获FTP数据包并进行分析
黑客工具,安全中国,小型数据包捕获工具,一看就会
C. Sniffer捕获到的数据包,主机执行的命令完整形式有的是ftp打头,有的是ping打头。有的是t
这里有trccert
命令详解http://jingyan..com/album/9c69d48f4df25713c8024e66.html
D. Sniffer抓包的过程
1、McAfee ePO 4.0的硬件平台:安装在VMware WK 6.0上,Intel 7100 CPU,1GB内存,10GB硬盘
2、McAfee ePO4.0的软件平台:Win2003 Ent SP1,IE6.0 SP1,SQL2005数据库,.NET 2.0,ePO4.0,CMA3.6.0.569,签入VSE8.5i(防病毒)、ASE8.5(反间谍模块)、HIPS7.0(主机入侵防护),工作组环境,主机名:VM-071008,IP地址:10.0.0.202/24
3、客户端的硬件平台:双Intel Xeon 2.4Ghz CPU,4GB内存,36G SCSI RAID 1 硬盘
4、客户端的软件平台:Win2003 Ent SP1,IE6.0 SP1,工作组环境,主机名:Intel-e1000,IP地址:10.0.0.221/24
5、Sniffer Pro 4.9安装平台:T61,Intel
E. 如何使用sniffer抓包
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。而在Internet安全隐患中扮演重要角色的是Sniffer和Scanner,本文将介绍Sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer 是没有效果的。再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
黑客会使用各种方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。在Solaris 2.x平台上,sniffer 程序通常被安装在/usr/bin或/dev目录下。黑客还会巧妙的修改时间,使得sniffer程序看上去是和其它系统程序同时安装的。
大多数 "ethernet sniffer"程序在后台运行,将结果输出到某个记录文件中。黑客常常会修改ps程序,使得系统管理员很难发现运行的sniffer程序。
"ethernet sniffer"程序将系统的网络接口设定为混合模式。这样,它就可以监听到所有流经同一以太网网段的数据包,不管它的接受者或发送者是不是运行sniffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后,再回到这里下载记录文件。
一、什么是sniffer
与电话电路不同,计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。
以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数 据包。如果一台主机能够接收所有数据包,而不理会数据包头内容,这种方式通常称为"混杂" 模式。
由于在一个普通的网络环境中,帐号和口令信息以明文方式在以太网中传输,一旦入侵者获 得其中一台主机的root权限,并将其置于混杂模式以窃听网络数据,从而有可能入侵网络中的所有计算机。
二、sniffer工作原理
通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都还应该有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。(代表所有的接口地址),在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:
1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有"广播地址"。
在接受到上面两种情况的数据包时,nc通过cpu产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
而sniffer就是一种能将本地nc状态设成(promiscuous)状态的软件,当nc处于这种"混杂"方式时,该nc具备"广播地址",它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的nc具备置成promiscuous方式的能力)
可见,sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。值得注意的是:sniffer是极其安静的,它是一种消极的安全攻击。
通常sniffer所要关心的内容可以分成这样几类:
1、口令:
我想这是绝大多数非法使用sniffer的理由,sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据,sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。
2、金融帐号:
许多用户很放心在网上使用自己的信用卡或现金帐号,然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。
3、偷窥
F. 应用 sniffer 软件找出 ftp 协议中,客户端使用什么命令发送账号使用什么命令发送口令
USER发送账号 PASS发送口令
G. 用arpsniffer抓包得到的txt文件为什么是乱码还有TCP80端口为什么嗅探不到用户名及密码,而FTP密码是可以
arpsniffer嗅探得到的东西本来就是乱码,其实源文件里面都是16进制字符,如果你想看懂arp数据包,你就先看看arp数据报的结构,用wiresharp嗅探吧,我觉得比arpsniffer好用。80端口是浏览器端口,一般没有用户名密码,你用浏览器浏览的时候也不用输入用户名和密码才能上网啊,而ftp是20和21,是文件传输系统,在不允许匿名登录的情况下是要输入用户名和密码的,所以能得到它的密码
H. 怎样使用sniffer软件进行数据包的捕获
如果是通过交换机连接的话,把你要抓包的目标端口的流量镜像到你的装有sniffer的pc的主机所连接的端口,把你那端口设成monitor端口。然后打开sniffer,如果你不清楚目标流量的话就用默认的过滤器就是default那个,你会把目标端口的所有流量都抓过来,数据包会很多。如果你知道目标流量的ip的话,可以设置一个只针对目标ip的过滤器,那么你就可以只抓你想要的数据包了。