一、NetxRay怎样运行
NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件,功能很强大。用一个功能如此强大的武器来查QQ的IP,有点“大才小用”了。
第一步:运行NetXRay,在菜单中选取tools→Matrix
第二步:选择选择下端出现的IP标签。
第三步:按右键,在弹出的菜单中选中Show Select Nodes
第四步:打开QQ和你想查的人聊上一句,同时观察窗口,在数据包发送的那一瞬间颜色有变化的数据线就是你和他之间的IP连线。看看数据线的另一头,那个ip地址
用NetXRay查QQ用户IP地址的方法还有好几种,其余的方法大家可以自己摸索试试。
二、什么是Sniffer
分类:电脑/网络>>互联网
解析:
Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和应用。
一、Sniffer原理
1.网络技术与设备简介
在讲述Sni计er的概念之前,首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。
每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Inter地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。
在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。
2.网络监听原理
Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。
基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权
3 Snifffer的分类
Sniffer分为软件和硬件两种,软件的Sniffer有 NetXray、Packetboy、Net monitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵。
实际上本文中所讲的Sniffer指的是软件。它把包抓取下来,然后打开并查看其中的内容,可以得到密码等。Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。
4.网络监听的目的
当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码,他就会立刻进人这台主机。
如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
Sniffer属于第M层次的攻击。就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。
Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。
Sniffer是一种比较复杂的攻击手段,一般只有黑客老手才有能力使用它,而对于一个网络新手来说,即使在一台主机上成功地编译并运行了Sniffer,一般也不会得到什么有用的信息,因为通常网络上的信息流量是相当大的,如果不加选择地接收所有的包,然后从中找到所需要的信息非常困难;而且,如果长时间进行监听,还有可能把放置Sniffer的机器的硬盘撑爆。
三、怎么填写netxray的东西
NetXray是上网的好东东,其现在的版本(笔者现在用的)为:NetXray/Dual-Demo,3.0.0。由于其为英文版,故很多初级网虫不太习惯它的用法。笔者现在简单介绍一下NetXray的用途和使用方法,以方便大家的使用。
首先是做好准备工作,到网上下载NetXray,并安装好。选择开始->程序->NetXray运行。此时,出现缺省的几个窗口Dashboard,Capture,Packet Generator,下面会详细介绍它们。
然后,我们开始了我们的捕捉游戏:
一、熟悉界面:
NetXray具有和其他Windows应用程序同样的友好界面:
菜单栏有六个选项,分别为文件、捕获、包、工具、窗口和帮助。
工具栏依次为:打开文件(Open)、保存(Save)、打印(Print)、取消打印(Abort Printing)、回到第一个包(First Packet)、前一个包(Previous)、下一个包(Next)、到达最后一个包(Last Packet)、仪器板(Dashboard)、捕获板(Capture Panel)、包发生器(Packet Generator)、显示主机表(Host Table)、Matrix、History、Protocol Distribution、Global Statistics、Alarm Log、Address Book。
二、过滤报文:
选择Capture菜单中Capture Filter Setting…,单击Profiles…选择New…,进入如下对话框:
在New Profile Name中输入First,以Default为模板选择OK-->Done。
设置过滤所有目标IP是202.120.224.6的报文,即Any---->202.120.224.6
开始抓包,同时用IE登陆,这时会发现窗口中的指针在移动,发现过滤到包后,就可以停止抓包了。
选中一个目标IP是202.120.224.6的报文,选择菜单条中的PacketàEdit Display Filter…,选择"Data Pattern",选择"Add Pattern",到TCP层选中8080目标端口,用鼠标选择"set data",在name中输入"TCP"。点击OK,确定,然后在Packet中选择"Apply Display Filter…"。以后用proxy规则过滤将只过滤目标IP是202.120.224.6、目标端口是8080的报文。
三、设定端口:
选择Filter SettingàData Pattern,现在你可以随意设置你所需要的过滤条件。现举一例说明:过滤经过bbs(端口2323)的IP包,先选中第一行,用Toggle AND/OR调整成OR,如下图:
选择Edit Pattern,在弹出的对话框里设置:Packet 34 2 Hex(十六进制),从顶头开始填写 09 13,因为十进制的2323对应十六进制的0x0913,而IP包使用网络字节顺序,高字节在低地址。起名为beginbbs,单击OK,再次选择Edit Pattern,Packet 36 2 Hex从顶头开始填写 09 13起名为endbbs,单击OK。于是最外层的OR下有两个叶子,分别对应两个Pattern。