说到Sniffer软件大家可能马上就能想起NAI的Sniffer Pro。Sniffer Pro虽然功能特性丰富,但是操作起来有些繁缛。再这里我给大家介绍一款简单实用的Sniffer软件,那就是我们今天的主角:Iris Traffic Analyzer。
我将以Iris Traffic Analyzer 4.0.7为蓝本结合几个简单案例给大家简单讲讲Iris的使用
一. IRIS特性简介
Iris师出名门---eeye,eeye是一家以网络安全见长的公司,它的扫描器以及其他安全方案在业界也算鼎鼎大名了。
好了,我也不废话了,先简单但说说Iris有哪些特性和优点。
简单小巧
Iris的最大特点,在你安装完成之后,只需简单的点一下界面上一个按钮就可以开始Sniffing抓包了!
Iris的安装文件也不到5M,安装下来才占用10多M。对比Sniffer Pro这些而言可谓苗条身材。
见下图中话圆圈的地方:
易上手
没有那么繁多的功能+简单易用的界面。上手当然是易如反掌。
再说说Iris有那些值得称道的功能。
(1)抓包
嘿嘿,只要是Sniffing软件这个功能是必备的!
Iris的一个非常好的方面就是把抓包和Decode,察看包的内容集成在一个界面里面。这样你就可以在一边抓包一边察看包的内容,以及包头含义等等。
(2)解码
支持大部分的TCP/IP协议!这样对一般的抓包分析应用就已经足够了。
(3)包的编辑以及重新发送功能
你可以对自己抓到的数据报文进行简单修改然后重新发送。
同时,IRIS也带简单的流量统计分析功能!
二.IRIS的安装
Iris可以运行在Win95/98/Me/NT/2k/XP环境下。
Iris的安装和普通的windows应用程序安装一样都是向导式的安装,按下一步一直到完成就可以方便的安装完成!所以对于Iris的安装我就不一一叙述了
三.IRIS的主界面
安装好Iris之后,我们就可以马上运行了,Iris第一次运行时需要选择在那块网络适配卡上运行Iris。
Iris的主界面如下图:
这个界面是可以调整的,但是建议大家如没特殊需求还是不要更改,因为这个缺省界面已经是经过优化了的。
四.简单实例
在简单了解了Iris的大体全貌之后,接着我们就进入学习具体功能的部分,最好的学习方法,当然就是实际操练。所以我准备了三个简单的事例。
(1)利用Iris捕获邮箱密码
有时候我们经常会忘记一些事情,比如邮箱密码。如果你把密码保存在客户端软件上那么你就能够找回密码的希望!当然找回密码的方式多种多样,我在这里介绍一种笨方法
介绍笨方法不是我的本意,我的本意是让大家从这个事例中学习Iris的功能!
好了,废话少说,切入正题!
在开工之前,我们需要简单了解了解收发E-Mail涉及的两种协议SMTP和POP3
SMTP是发送邮件的协议,POP3是收发邮件的协议。在收发邮件的时候,密码和拥护名都是明文发送,所以就给了我们找回密码的机会!
第一步:开启抓包功能
点选工具栏上类似播放健的那个按钮(Start/Stop Capture),就是 这个按钮!
第二步:开启Filter功能
在没有开启Filter功能之前,你可能抓获的是所有进出你网卡的流量,有过路的,有看热闹的,当然也有你要找的,为了方便我们查找目标,我们需要简单的过滤一下!
Iris内置了几个预先定义好了的Filter,刚好有一个email.flt,那我们就不用费劲的自己定义了!
选择菜单Filter-->àemail.flt
第三步:运行你的邮件客户端软件,收一下邮件
第四步:停止抓包
点工具栏上Stop Capture按钮
第五步:寻找密码
因为Email收发邮件的用户名和密码都是明文传输的,所以你的密码就藏在你捕获的那些报文里面现在你只需要一个一个检视。
如下图:
(2)利用Iris捕获Telnet会话密码
在讲完上面那个例子之后大家肯定对Iris的抓包功能有了一定的了解,为了大家对
IRIS 的解码(decode)功能有个深刻的认识
刚好,在网络分析论坛看到一个抓包分析Telnet会话密码的,刚好借鉴过来作为这个简易教程的第二个实例!
在开始之前简单说一下Telnet这个协议的特点。当然它也是明文的,但是它有两个麻烦的地方相比POP3这些协议,由于Telnet是个交互式协议,所以当你敲一个字符的时候有可能就被发往服务器端了,服务器端又发回相应的回显字符!再加上它没有POP3
明显的PASS命令,所以如果还是采用第一个例子里面的一个报文一个报文的查看肯定是非常麻烦的。所以我们必须有某种新的方法来解决这个问题!
第一步 抓包!
还不会?那继续看前面那个例子。。。
第二步 开启Filter功能
刚好这次又有现成的!
菜单Filteràtext_protocol.flt
第三步 开个Telnet会话
第四步 停止抓包
第五步 切换到Decode解码模式
切换的方法有多种
第一种你可以选择工具栏里面的
第二种你可以选在左边工具栏里面的
第三种 菜单 DecodeàSend Buffer To decode
这样我们就进入了Iris的Decode模式!这个时候Iris会根据Capture的报文对TCP会话进行解码。这样我们就可以清晰的看到一个Telnet会话的过程!
如下图:
红圈处大家就可以看到我输入的密码!
是:ixix 而不是[mi*x*i*x*
这是因为[m是控制字符,*是回显字符!
五.如何得到进一步的帮助
看完上面事例,大家肯定对Iris有了一定的了解,可以基本使用它了,但是如果大家在使用过程中可能还会遇到各种各样的问题。所以最后我给大家准备了几条锦囊妙计
1.看IRIS自带的帮助文件
你90%的问题都可以在这里找到答案。
2.去Iris的老家www.eeye.com看看
一些比较棘手的问题,你可能在帮助那里找不到答案,这个时候你可以到软件的官方网站上看看,也许你会有一定的帮助。
3.利用搜索引擎比如:Google,Yahoo,Baidu
还找不到答案?那就翠花,上狗狗。
4.如果还没有得到解决,那就把问题详细描述出来,在论坛上发贴求助。
六. 结束语
第一次写这种软件教程类的咚咚,写的不好,还望各位看官多多见谅