网络嗅探软件全接触(1)
本文共 4896 字,大约阅读时间需要 16 分钟。
网络嗅探软件之间的不同之处,主要是依靠一些特性来区分的。例如一些网络嗅探软件只支持以太网适配器或无线适配器,而有些却支持多种类型的适配器,并且允许用户定制;还有,尽管许多网络嗅探软件可以解码相同的网络协议,但是,其中的某些嗅探软件就有可能比其它的嗅探软件更适合你的网络结构。究竟哪一款网络嗅探软件才适合你,只有在你充分了解了自己的需求,以及详细了解了网络嗅探软件的功能特点后,才能够做出正确的选择。
一、以太网下常用的网络嗅探软件
1 、 WireShark
WireShark 是一个基于开源的免费的具有商业品质的高性能网络分析软件,它的前身就是非常著名的网络分析软件Ethereal 。你可以使用它来解决网络疑难问题,进行网络协议分析,以及作为软件或通信协议的开发参考,同时也可以用来作为学习各种网络协议的教学工具等等。WireShark 支持现已经出现了绝大多数的以太网适配器,以及主流的无线适配器。
具有的特点 :
(1) 、支持多种操作系统平台,可以运行于 Windows , Linux , OS X , Solaris , FreeBSD
等操作系统上。
(2) 、支持超过上千种的网络协议,并且会不断的增加新的协议支持;
(3) 、支持实时捕捉,然后可在离线状态下进行分析;
(4) 、支持VOIP 分析;
(5) 、在它的图形界面中,使用标准的三个显示框来分别显示实时信息、高层协议信息和二进信息,它还有一个支持字符模式的版本“TShark ”;
(6) 、支持对通过 IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and
WPA/WPA2 等协议加密了的数据包解密 ;
(7) 、可以实时获取来自 Ethernet , IEEE 802.11 , PPP/HDLC , ATM , Bluetooth , USB , Token Ring , Frame Relay , FDDI 等网络中的数据包 ;
(8) 、支持读取和保存许多其它网络嗅探软件保存的文件格式。包括Tcpdump ,Sniffer pro ,EtherPeek ,Microsoft Network Monitor ,CISCO Secure IDS IPLOG 等软件;
(9) 、支持以各种过滤条件进行捕捉,支持通过设置显示过滤来显示指定的内容,并能以不同的颜色来显示过滤后的报文;
(10) 、具有网络报文数据统计功能;
(11) 、可以将它捕捉到的数据导出为 XML 、 PostScript 、 CSV 及普通文本文件的格式。
需求的文件 :
现在它的最终版本是WireShark0.99.8 ,你可以在 载它。当要将WireShark 在Windows 系统下运行时,还需要Winpcap 驱动库。现在它稳定版本是WinPcap 4.0.2 ,最新的测试版本是WinPcap 4.1 beta3 ,你 可以从http:// 系统下使用时,就应当使用Libpcap 驱动库,它现在的版本是 ,你可以从 上下载。
WireShark 在Windows 和Linux 系统下安装之前,首先你得保证系统上已经安装了Winpcap 或Linpcap 。下图2.1 就是WireShark 在Windows 系统下运行时的主界面。
图2.1 WireShark 在Windows 系统下运行时的主界面
2 、 Tcpdump
Tcpdump 是一个老牌的使用最频繁的网络协议分析软件之一,它是一个基于命令行的工具。Tcpdump 通过使用基本的命令表达式,来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。
Tcpdump 是一个工作在被动模式下的网络嗅探器。你可以用它来在Linux 系统下捕获网络中进出某台主机接口卡中的数据包,或者整个网络段中的数据包,然后对这些捕获到的网络协议(如TCP 、ARP )数据包进行分析和输出,来发现网络中正在发生的各种状况。例如当出现网络连通性故障时,通过对TCP 三次握手过程进行分析,可以得出问题出现在哪个步骤。而许多网络或安全专家,都喜欢用它来发现网络中是否存在ARP 地址欺骗。你也可以将它捕获到数据包先写入到一个文件当中,然后用WireShark 等有图形界面的嗅探器读取和再分析。
它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名]
[ -s snaplen] [ -T 类型 ] [ -w 文件名 ] [ 表达式 ]
你可以使用-i 参数来指定要捕捉的网络接口卡,用-r 来读取已经存在的捕捉文件,用-w 来将捕捉到的数据写入到一个文件中。至于其它的参数,你可以从它的man 文档中得到详细的说明,或者你可以输入“tcpdump –-help ”来到它的帮助信息。
Tcpdum 有一个非常重要的特点就是可以使用正则表达式来作为过滤网络报文的条件,这使得它的使用变得非常灵活。你可以通过它内建的各种关键字来指定想要过滤的条件,一旦一个网络数据包满足表达式的条件,则这个数据包就会被捕获。如果你没有给出任何条件,那么所有通过指定网络接口卡中的网络报文都会被捕获。
Tcpdump 使用以下三种类型的关键字:
(1 )、用于表式类型的关键字,主要有Host 、Net 和Port 。它们分别用来指定主机的IP 地址、指定网络地址和指定端口。如果你没有指定关键字,它就会使用缺省的Host 类型。
(2 )、用于表式传输方向的关键字,主要有Src 、Dst 。分别用来指定要捕捉的源IP 地址是什么或目的IP 地址是什么的包。
(3 )、用来表式捕捉什么协议的关键字,主要有ip ,arp ,tcp ,udp 等。
这些关键字之间可以使用逻辑运算关键字来连接,以便于你指定某个范围或排除某个主机等。这些逻辑运算关键字也有三个,分别是取非运算“not ”,或者可以用“!”符号表示;与运算“and ”,可以用“&& ” 符号表示;或运算“or ”,可以用“|| ”符号表示。
Tcpdump 的关键字还有很多,我就不在此全部列出。你可以通过它的帮助文档来得到它们的详细说明。
支持的系统平台 :
Tcpdump 可以很好地运行在UNIX 、Linux 和Mac OSX 操作系统上,现在还可以运行在Windows 操作系统下。
需要的文件 :
Tcpdump 是一个基于开源的免费的网络嗅探软件,它现在的最新版本是TCPDUMP 3.9.8 。你可以从 上下载它的二进制包。当然你也可得到它的RPM 安装包,但是得通过邮件列表的方式才能得到。同时,你还应当从 网站上下载到Libpcap0.9.8 这个驱动库,如果要在Windows 系统下使用,还应当从 及以上的版本。
在Windows 系统下还有一个基于Tcpdump 技术开发的版本Windump 。它也是一个免费的基于命令行方式的网络分析软件。当然,你在使用Windump 之前,你应当确保你的Windows 系统中已经安装了winpcap 。Windump 和winpcap 都可以从
3、 Ettercap
Ettercap 也是一个高级网络嗅探软件。它可以在使用交换机的网络环境当中使用。Ettercap 能够对大多数的网络协议数据包进行解码,不论这个数据包是不是加密过了的。它也支持现在已经出现了的绝大多数以太网适配器。它还拥有一些独特的方法,用来捕获主机或整个网络的流量,并对这些流量进行相应的分析。
Ettercap 具有如下所示的特点:
(1)、判断网络中活动主机的操作系统类型;
(2)、得到网络中所有活动主机的IP 地址和MAC 地址;
(3)、可以指定以静态或被动模式进行工作;
(4)、可以从指定的过滤规则文件中加入过滤规则;
(5)、具有包过滤功能,在数据流量比较大的情况下让你便于得到需要的信息。
(6)、可以用来收集网络中以明文方式传输的用户名和密码;
(7)、可以将捕获到的数据保存到指定位置的文件中;
(8)、可以用来检测网络中是否还有其它活动的嗅探器;
(9)、支持以插件的方式来扩展功能;
(10)、可以通过一些主动的攻击,来得到加密了的数据;
(11)、它内建了许多攻击方法,如ARP 地址欺骗,以及字符注入攻击等。
Ettercap 的大部分特性与DSniff 相似之处,因此,它也是许多攻击者非常喜爱的嗅探软件之一。Ettercap 可以工作在字符模式,也可以在使用Ncurses based GUI 和GTK2 接口的图形界面上工作。当你安装完Ettercap 以后,你可以用“-T ”选项指定它运行在字符模式下,以“-C ”选项指定它运行在使用Ncurses based GUI 的图形模式下,还可以“-G ”选项指定它运行在使用GTK2 接口的图形模式下。它的命令格式如下:
Ettercap [ 选项] [host:port] [host:port] [mac] [mac]
它有许多选项,你可以在字符模式下输入“ettercap –help ”命令来得到它们的说明。
支持的系统平台
Ettercap 支持Linux2.0 及以上、Windows2000 及以上、FreeBSD 4.x0 及
以上、OpenBSD 2.0 及以上、NetBSD 1.5 、Mac OS X 6.0 及以上、Sloaris2.0 及以上操作系统。
需要的文件
当你在Linux 下使用Ettercap 嗅探软件时,你应当有下列所有的文件:
(1)、ettercap-NG-0.7.3.tar.gz ;
(2)、libpcap >= 0.8.1 ;
(3)、libnet >= 1.1.2.1 ;
(4)、libpthread ;
(5)、zlib 。
如果你还要在图形界面中使用或者还想得到SSH 和SSL 加密了的数据。你还应当得到下列的文件:
(1)、libltdl ,它是libtool 的一部分;
(2)、libpcre ;
(3)、openssl 0.9.7 ;
(4)、ncurses >= 5.3 ;
(5)、pkgconfig >= 0.15.0 ;
(6)、Glib >= 2.4.x 、Pango >= 1.4.x 。
如果你想要在Windows 系统下使用它,你应当拥有以下的文件:
(1)、Ettercap-NG-0.7.3-win32.exe ;
(2)、winpcap4.0 及以上版本 。
上述 在Linux 发行版本中使的文件,你可以在 网站下载到。Ettercap 在Windows 系统下的安装包,你可以在 上下载。你还可以在 网站上找到它们。图2.4 就是Ettercap 在Windows 系统下的主界面。
图2.4 Ettercap 在Windows 系统下的主界面
在以太网中,还有一些网络嗅探软件也是比较常用的。例如Sniffer Pro 网络分析软件,它可以在多种平台下运行,用来对网络运行状况进行实时分析,而且又有丰富的图示功能。以及Analyzer ,它是一个运行在Windows 操作系统下的免费的网络嗅探软件。另外,还一些商业性质的网络嗅探软件,虽然它们需要支付一定的费用,但是,它们的功能也是没得说的,其中比较著名的代表就是EtherPeek 套件。
本文转自 雪源梅香 51CTO博客,原文链接: http://blog.51cto.com/liuyuanljy/174182 ,如需转载请自行联系原作者
你可能感兴趣的文章
shell脚本——爬取域名一级页面元素并判断其可缓存性
查看>>
Linux平台下代理服务器的实现(squid)
查看>>
简单的tab切换
查看>>
yii中文显示
查看>>
四层和七层负载均衡
查看>>
2016清单
查看>>
从一个多层嵌套循环中直接跳出(先想想自己代码设计的是否合理)
查看>>
linux升级内核
查看>>
安卓仿微信右上角弹出菜单窗口
查看>>
PVS让存储颤抖,系列博文之三:PVS的写缓存新技术之Win7桌面实测篇
查看>>
Java控制车速
查看>>
传入含中文的字符串 返回中文首字母
查看>>
thinkphp5 下 Linux 定时任务
查看>>
IOS 动画组
查看>>
数据库模型设计——关系的实现,主键的设计
查看>>
webistrano的安装方法和一些用法
查看>>
Memcache集群高可用方案
查看>>
mysql数据据存储引擎InnoDB和MyISAM的优势及区别
查看>>
PowerShell中iso8601格式日期和DateTime对象互转实例
查看>>
MySQL Cluster, Fabric, Cobar 三大集群特性对比
查看>>