《网络监听软件 Sinffit 使用手册》由会员分享,可在线阅读,更多相关《网络监听软件 Sinffit 使用手册(15页珍藏版)》请在金锄头文库上搜索。
1、网络监听软件 Sinffit 使用手册Sniffit是由 Lawrence Berkeley 实验室开发的,运行于 Solaris,SGI和Linux等平台的一种免费网络监听软件,具有功能强大且使用方便的特点。使用时,用户可以选择源、目标地址或地址集合,还可以选择监听的端口、协议和网络接口等。这一工具的一些命令行参数如下: -t检查发送到的数据包。 -s检查从发出的数据包。以上两个参数都可以用来选择一个IP地址范围,例如:-t 199.145.和 -s 19914 -p记录连接到的信包,port为0意味着所有的端口。port缺省值是0。注意:-t或-s适用于TCP/UDP数据包,对ICMP和I
2、P也进行解释。而-p只用于TCP和UDP数据包。 -i交互模式,忽略其他参数。如下所示是一些能与除了,-i之外参数组合使用的命令行参数: -b等同于同时使用了-t和-s,而不管使用了-t和-s中的哪一个。 -a以ASCII形式将监听到的结果输出。 -A在进行记录时,所有不可打印字符都用来代替。 -P protocol选择要检查的协议,缺省为TCP。可能的选择有:IP、TCP、ICMP、UDP或它们的组合。假设有两台主机在一个子网中,一台正在运行sniffer,另一台主机的IP地址是nnn.nnn.nn.nn,一些例子如下:想要记录从主机nnn.nnn.nn.nn上的一些用户的口令:sniffi
3、t:/# sniffit -p 23 -t nnn.nnn.nn.nn想要记录到主机nnn.nnn.nn.nn的ftp服务:sniffit:/# sniffit -p 21 -l 0 -t nnn.nnn.nn.nn记录所有发出和发往主机nnn.nnn.nn.nn的电子邮件信息:sniffit:/# sniffit -p 25 -l 0 -b -t nnn.nnn.nn.nn &或者sniffit:/# sniffit -p 25 -l 0 -b -s nnn.nnn.nn.nn &想要使用有菜单的界面:sniffit:/# sniffit -i网络出现一些错误,想要查看控制消息:sniffi
4、t:/# sniffit -p icmp -b -s nnn.nnn.nn.nn 将口令记录在以nnn开始的文件中,可以用cat nnn*来查看:sniffit:/# sniffit -p 23 -A . -t nnn.nnn.nn.nn 或者sniffit:/# sniffit -p 23 -A -t 下面是运行sniffit的一个例子:# sniffit -a -A . -p 23 -t 11.22.33.入口参数的设置非常简单,为:-a接收所有信息;-A将不可打印字符用.代替;-p监听端口23;-t 目标地址在11.22.33 子网范围(可以只监听一台主机或者是源主机)。使用-s 参数可
5、以指定监听的源主机。网络监听程序的人口参数其实非常简单,只要具有初步的网络知识便可以正确地使用它们。以下是监听到的部分结果:Packet ID from-1P.port-to IP.port) : 112233411028-1122331423E.350 .!(.K.2P.”/.:.vt100.出现vtl00的字样,是使用Telnet服务时,源主机与目标主机进行终端类型协商,在这一阶段源主机告诉目标主机自己使用的终端类型,这是一次远程终端服务的开始。在这之后,很可能就会传输用户的登录名和口令字。这里很清楚,使用端口1028的是客户端,而使用端口23的是服务器端。Packet ID (from
6、IPport-to IPport) : 1122.33411028-1122331423E.+6. .!.K.2CP.!.Packet ID (from IP.port-to IP.port):112233411028-1122331423E.+90 .!.:K.21P.!.Packet ID (fromIP.port_ to_ 1P.port) : 112233411028-1122331423E.): .!.K.21P.!.1Packet ID (fromIP.port-tO-1P.port) : 112233411028-1122331423E.( ; .!.K.2JP.!.Packet
7、 ID (fromIP.port-tO-1P.port) : 112233411028-1122331423E.). .!.K.2JP!.Packet ID (fIOmIP.port-to-1P.port) 11223341 1028-1122331423 -.E.). :.!.K.2JP.!.x.Packet ID (fIOmIP.Polt-tO-1P.port卜1122.33.411028-1122331423E.!.:.K.2KP.!.Packet ID (froln IP.port-to IP.port):11.22.3341.1028-1122.33.1423E.). .!.K.2K
8、P.!.gPacket ID (fromIP.port-to-1P.port卜112233.411028-1122331423E.(? .!.K.2LP.!.可以看到,客户端向服务器发送出了几个包,其中有可打印字符,连起来就是“lxg这很可能就是用户名了。Packet ID (froln IP.port-to IP.port) : 112233411028-1122331423E.)C .!.K.2WP.!.7Packet ID (from IP.port-to IP.port):11.2233411028-1122.331423E.)D.0 .!.K.2WP.!.Packet ID (fro
9、ln IP.port-tOP.port) : 112233411028-1122.331423E.)D.0 .!.:.K.2WP.!.2Packet ID (fronI IP.port-to IP.port) : 11223341.1028-11.22.331423E.)E. .!.K.2WP.!.1Packet ID (frOmIP.port-tO-1P.port卜112233411028-1122.331423E.)F. .!.K.2WP.!.2Packet ID (frorrt IP.port-to IP.port) : 1122.33411028-1122.331423E.)c. .已
10、.!.K.2WP.!.1PacketID (from IP.port-to IP.port):1122.33.411028-1122.331423E.)H.0 .!.K.2MP.!.6Packet ID (from IP.port-to IP.port) : 1122.33.411028-1122.331423E.)1 .!.K.2WP.!.又得到了一个字串,连起来是“721216”。这应该是用户的口令了。Packet10(fromIP.port-to-1P.port) : 112233411028-1122.33.423E.)M.!.K.4P.E.ePacbt1D(fromIP.port-t
11、O-1P.port) : 112233411028-1122.33.41.1028E.(N.!.K.4P.D.PaCketID(fromIP.port-to-1P.port) : 112233411028-1122.33.41.1028E.)0.!.K.4P.D.xPacket1D(fromIP.port-tO-1P.port) : 112233411028-1122.33.41.1028E.(P.0.!.K.4P.C.PacketID(fromIPport-to-1P.port) : 112233411028-1122.33.1423E.)Q.!.K.4P.C.iPacket1D(fronl
12、IP.port-to-1P.port) : 112233411028-1122.3341.1028E、)R.!.K.4.P.B.tPacket1D(frolnIP.port-tO-1P.port) : 112233411028-1122.33.41.1028E.(3.!.K.4P.A.可以看到,这个用户执行了一个命令: exit。全部连起来,易知这个连接的有效部分是:.vtl00.1xg.721216.exit.事实上, sniffit完全可以产生这样一个综合的结果,并且在本目录下生成一个类似于xxx.xxx.xxx.xxx.nn-yyy.yyy.yyy.yyy.mm为文件名的文件。其中,xxx.xxx.xxx.xxx和yyy.yyy.yyy.yyy是两个IP地址,而mm和nn是通信双方的端口号。另外,这个工具还可以用在交互模式下,在此模式下:F1 or1 输入一个主机地址进行监听,该主机发送数据包。F2 or2 输入一个主机地址进行监听,该主机接收数据包。F3 or3 输入一个端口号进行监听,该主机是发送数据包的。F4 or4 输入一个端口号进行监听,该主机是接收数据包的。F5 or5 使用参数frOm IP frOm port to IP to port来启动一个程序。现在,
