网络嗅探器4.7.使用方法

实验二网络嗅探【实验目的】1.了解ARP、ICMP等协议明文传输的特性；2.了解局域网内的监听手段；3.掌握Wireshark嗅探器软件的使用方法；4.掌握对嗅探到的数据包进行分析的基本方法，并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】两台以上装有Windows XP以上操作系统的计算机。

【实验原理】(1)嗅探原理网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器（Sniffer）是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。

它工作在网络的底层，将网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。

一般来说，以太网(共享式网络)被监听的可能性比较高，因为以太网(共享式网络)是一个广播型的网络。

微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。

因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

但是，当主机工作在监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然自己只能监听经过自己网络接口的那些包）。

在Internet上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。

但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。

巧用嗅探器保障网络稳定运行(图)安全中国 更新时间:2009-04-22 01:15:35 责任编辑:ShellExp对于网络、系统管理或安全技术人员来说，在对网络进行管理和维护的过程中，总会遇到这样或那样的问题。

例如，网络传输性能为什么突然降低？为什么网页打不开，但QQ却能上线？为什么某些主机突然掉线？诸如此类的网络问题一个又一个地不断出现，都需要我们快速有效地去解决，以便能够尽量减少由于网络问题对企业正常业务造成的影响。

因此，我们就需要一引起工具来帮助我们快速有效地找出造成上述这些问题的原因。

网络嗅探器就是这样的一种网络工具，通过对局域网所有的网络数据包，或者对进出某台工作站的数据包进行分析，就可以迅速地找到各种网络问题的原因所在，因而也就深受广大网络管理员和安全技术人员的喜爱。

可是，我们也应该知道交换机是通过MAC地址表来决定将数据包转发到哪个端口的。

原则上来讲，简单通过物理方式将网络嗅探器接入到交换机端口，然后将嗅探器的网络接口卡设为混杂模式，依然只能捕捉到进出网络嗅探器本身的数据包。

这也就是说，在交换机构建的网络环境中，网络嗅探器不使用特殊的方式是不能分析其它主机或整个局域网中的数据包的。

但是，现在的企业都是通过交换机来构建局域网，那么，如果我们要想在这样的网络环境中使用网络嗅探器来解决网络问题，就必需考虑如何将网络嗅探器接入到目标位置，才能让网络嗅探器捕捉到网络中某台主机或整个网段的网络流量。

就目前来说，对于在交换机构建的网络环境中使用网络嗅探器，可以通过利用可网管交换机的端口汇聚功能、通过接入集成器或Cable TAP接线盒及选择具有特殊功能的网络嗅探软件这3种方法来进行。

这3种可行的方式分别针对不同的交换机应用环境来使用的，本文下面就针对目前主流的几种交换机网络环境，来详细说明这3种接入方式的具体应用。

一、通过可网管交换机端口汇聚功能来达到目的现在一些可网管式交换机，一般都有一种叫做端口汇聚（port spanning）的功能，并且带有一个可以用来实现这种功能的端口。

资源嗅探使用方法全文共四篇示例，供读者参考第一篇示例：资源嗅探是一种通过网络嗅探工具来探测和分析网络通信中传输的信息和数据的技术。

它可以帮助用户监视网络流量，识别恶意活动，发现安全漏洞和提高网络性能。

在网络安全、网络管理和网络研究等领域中，资源嗅探技术起着至关重要的作用。

本文将介绍资源嗅探的使用方法，以帮助用户更好地了解和应用这项技术。

一、资源嗅探的原理和技术资源嗅探技术通常通过嗅探网络数据包的方式来收集网络流量信息。

网络数据包是网络通信过程中的基本单位，包含了发送和接收方之间的信息交互。

资源嗅探工具可以通过监控和拦截网络数据包，获取数据包中的信息内容，如源IP地址、目的IP地址、端口号、协议类型等，从而实现对网络流量的识别和分析。

资源嗅探技术主要包括以下几个方面：1. 数据包捕获：资源嗅探工具可以通过网络适配器捕获网络数据包，获取数据包的原始数据内容。

2. 数据包解析：资源嗅探工具可以解析和分析数据包的结构和内容，提取出关键信息，如头部信息、有效载荷等。

3. 流量监控：资源嗅探工具可以实时监控网络流量，统计流量数据量、速率等信息，帮助用户了解网络使用情况。

4. 表达过滤：资源嗅探工具可以根据用户设置的过滤规则，对特定的数据包进行过滤和筛选，以实现对不同类型的网络流量的监控和分析。

5. 数据分析：资源嗅探工具可以对捕获到的网络数据包进行分析，发现异常行为、识别安全威胁、检测网络漏洞等。

资源嗅探技术的核心在于对网络流量的监控和分析，在实际应用中可以帮助用户提高网络安全性、优化网络性能、发现网络问题等。

二、资源嗅探的使用方法1. 选择合适的资源嗅探工具在使用资源嗅探技术之前，首先需要选择一个适合自己需求的资源嗅探工具。

目前市面上有许多开源和商业的资源嗅探工具可供选择，如Wireshark、Tcpdump、Snort等。

用户可以根据自己的实际情况选择合适的工具。

在选择好资源嗅探工具后，用户需要对工具进行配置，以实现对需要监控的网络流量的捕获和分析。

工欲善其事，必先利其器.首先当然是准备工作啦,请出我们今天的必杀武器--- 网络嗅探器4.7.接下来就是破解步骤了:步骤一.打开大连铁通星海宽带影院,找到你想下载的电影,我们以美剧<英雄>为例.(ps:这部美剧还不错,无情强烈推荐!)步骤二. 打开网络嗅探器,开启嗅探,工作模式选获取url就可以了!步骤三. 选择英雄的第一集开始播放,当正常播放后,我们切回到网络嗅探器,发现多了许多以http://222.33.64.67/webmedia/webmedia.das?的网址.步骤四. 右键点选这些网址,选择查看数据包,找到其中的一个含有offsite=0的网址,记录下其中的prog_id=xxxx和host: xx.xx.xx.xxx 和uuid=xxxxxx 一会儿有用!步骤五.找到网络嗅探器文件夹中的"文件下载.exe",双击打开.然后新建下载任务!get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=xxxx&customer_id=1234567890&l ocal=192.168.1.4&proxy=192.168.1.4&uuid=xxxxxxx&osver=windows%20xp&useragent=6.0.2 800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: xx.xx.xx.xxx user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate说明：该步骤是和服务器通信，进行服务注册的．其中＂cmd=1＂表示下载．＂prog_id=xxxx＂是节目的id值，就是第四步时记录的值,将xxxx修改成目标电影的id值；customer_id就不用解释了．＂uuid=7b0f8acc-b9c0-4f75-9e3f-5fd2d5e05d75＂表示注册服务号，offset=0 表示偏移为０，整个下载．＂host: xx.xx.xx.xxx ＂表示服务器ｉｐ地址．本例构造如下get/webmedia/webmedia.das?cmd=1&clientver=4801&prog_id=18557&customer_id=1234567890& local=192.168.1.4&proxy=192.168.1.4&uuid=c5c1b0cc-f496-48af-bf12-f57ad33aaaeb&osver=wi ndows%20xp&useragent=6.0.2800.1106&offset=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: 222.33.64.69 user-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate修改保存路径和文件名.保存路径和.文件名自定，但保存类型应为txt ,通信服务注册后，服务器要反馈信息如：serverid值，电影真实服务器的ip 值，电影名称，电影文件类型等．下面步骤用得上．步骤六.在第四步骤找到的那个setoff=0的网址上点右键,选择用简易下载软件下载,重命名文件为rmvb,就可以开始下载了下载速度是不是很爽啊,哈哈!补充: 最近一些网站使用了防盗链技术,下载用户要从网站的程序里得对到准入码,方能下载,例如virturalwall 的准入码为＂ｖｓｉｄ＝＊＊＊＊＊＊＊＊＊＊……＂并且还设定了极短有效时间，使盗连又增加难度，这样直接下载是不可能的．当然，这也不难，只不过多费点事．我们可以模拟请求，以获得准入码．例如：某网站的请求数据包如下：get /oemui/player.asp?id=xxx http/1.1accept: */*accept-language: zh-cnaccept-encoding: gzip, deflateuser-agent: mozilla/4.0 (compatible; msie 6.0; windows nt 5.1)host: www ***** comconnection: keep-alivecookie: cnzz02=1; rtime=18; ltime=1114651849156; cnzz_eid=5193670-红色显示的须要依据实际情况而定．新建该数据包后文件以ｔｘｔ形式保存, 打开这个txt 文件就可以见到vsid值，再修改如下数据包．get /webmedia/webmedia.tfs?cmd=1&uuid=vsid=＊＊＊＊＊＊＊&prog_id=ｘｘｘ&server_id=1&customer_id=2&local=192.168.1.2&proxy=&filetype=rmvb&requesttype=0&offs et=0 http/1.1accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/vgplayer,application/x-shockwave-flash, */*connection: keep-alivehost: www.ｘｘｘｘcnuser-agent: viewgood/1.0 (1; 1; 1)accept-encoding: gzip, deflate新建好，rmvb以存盘．确定后下载．这是传的，原贴地址/blog/oqxiins/article/b0-i3142911.html。

1. 没有网络安全就没有____________，就没有_____________，广大人民群众利益也难以得到保障。

A. 国家发展、社会进步B. 国家安全、经济社会稳定运行C. 社会稳定运行、经济繁荣D. 社会安全、国家稳定运行题目1答案：国家安全、经济社会稳定运行2. 网络安全的基本属性有：可用性、完整性和_____。

A. 多样性B. 复杂性C. 保密性D. 不可否认性题目2答案：保密性3. 《中华人民共和国网络安全法》正式施行的时间是________。

A. 2017年6月1日B. 2016年11月7日C. 2017年1月1日D. 2016年12月1日题目3答案：2017年6月1日4. 下列哪个不是网络攻击的主要目的：A. 获取目标的重要信息和数据B. 对目标系统进行信息篡改和数据资料删除等C. 让目标无法正常提供服务D. 造成人员伤亡题目4答案：造成人员伤亡5. 以下哪个不是常见的网络攻击手段：A. 端口和漏洞扫描B. 破坏供电系统造成服务器停电C. 网络窃听D. 使用MS17-010漏洞获取服务器权限题目5答案：破坏供电系统造成服务器停电6. 网络嗅探器 (Network Sniffer) 是一种常用的网络管理工具，也常常被攻击者利用来进行信息获取。

以下哪个工具可以进行网络嗅探：A. fscanB. hydraC. snortD. metasploit题目6答案：snort7. 以下哪个不是常见的恶意代码：A. 病毒B. 木马C. 蠕虫D. 细菌题目7答案：细菌8. 关于勒索软件，以下哪个说明是错误的：A. 勒索软件是一种恶意软件，传播范围广，危害大。

B. 勒索软件通过加密受害者文件并试图通过威胁勒索获利。

C. 解密高手可以破解勒索软件的密钥，从而恢复出被加密的文件。

D. 勒索软件通常要求使用数字货币支付赎金，这使得追踪和起诉犯罪者都十分困难题目8答案：解密高手可以破解勒索软件的密钥，从而恢复出被加密的文件。

Iris网络嗅探器使用与技巧(以下内容部分翻译自iris自带的帮助文件1.【Iris简介】一款性能不错的嗅探器。

嗅探器的英文是Sniff，它就是一个装在电脑上的窃听器，监视通过电脑的数据。

2.【Iris的安装位置】作为一个嗅探器，它只能捕捉通过所在机器的数据包，因此如果要使它能捕捉尽可能多的信息，安装前应该对所处网络的结构有所了解。

例如，在环形拓扑结构的网络中，安装在其中任一台机都可以捕捉到其它机器的信息包（当然不是全部），而对于使用交换机连接的交换网络，很有可能就无法捕捉到其它两台机器间通讯的数据，而只能捕捉到与本机有关的信息；又例如，如果想检测一个防火墙的过滤效果，可以在防火墙的内外安装Iris，捕捉信息，进行比较。

3.【配置Iris】Capture（捕获）Run continuously ：当存储数据缓冲区不够时，Iris将覆盖原来的数据包。

Stop capture after filling buffer：当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录。

Load this filter at startup：捕获功能启动时导入过滤文件并应用，这样可以进行命令行方式的调试。

Scroll packets list to ensure last packet visible：一般要选中，就是将新捕获的数据包附在以前捕获结果的后面并向前滚动。

Use Address Book：使用Address Book来保存mac地址，并记住mac地址和网络主机名。

而Ip也会被用netbios名字显示。

Decode(解码)Use DNS:使用域名解析Edit DNS file:使用这个选项可以编辑本地解析文件(host)。

HTTP proxy:使用http使用代理服务器，编辑端口号。

默认为80端口Decode UDP Datagrams:解码UDP协议Scroll sessions list to ensure last session visible:使新截获的数据包显示在捕获窗口的最上。