NetXray使用方法

《NetXray使用方法》由会员分享，可在线阅读，更多相关《NetXray使用方法（5页珍藏版）》请在装配图网上搜索。

1、NetXray使用简介 上期我们发了一篇关于 NetXray介绍的文章，可是很多朋友还是看不懂， 所以我找了一些图 片又做了一篇教程来给大家参考。 NetXray是上网的好东东，NetXray/Dual-Demo,3.0.0 。由于其 为英文版，故很多初级网虫不太习惯它的用法。 笔者现在简单介绍一下 NetXray的用途和使用方 法，以方便大家的使用。 首先是做好准备工作，到网上下载 NetXray ,并安装好。选择开始-> 程序->NetXray 运行。 此时，出现缺省的几个窗口 Dashboard , Capture , Packet Generator ,下面会详细介绍它们。

2、 然后，我们开始了我们的捕捉游戏： 一、 熟悉界面： NetXray具有和其他Windows应用程序同样的友好界面： 菜单栏有六个选项，分别为文件、捕获、包、工具、窗口和帮助。 工具栏依次为： 打开文件(Open)、保存(Save)、打印(Print )、取消打印(Abort Printing )、 回到第一个包(First Packet )、前一个包(Previous )、下一个包(Next )、到达最后一个包 (Last Packet )、仪器板(Dashboard )、捕获板(Capture Panel )、包发生器(Packet Generator )、 显示主机

3、表(Host Table )、Matrix、History、Protocol Distribution 、Global Statistics 、 Alarm Log、Address Book。 二、过滤报文： 选择Capture 菜单中Capture Filter Setting …，单击Profiles …选择New, 进入如下 对话框: 在 New Profile Name 中输入 First ,以 Default 为模板选择 OK-->Done。 设置过滤所有目标 IP是202.120.224.6 的报文，即Any---->202.120.224.6 开始抓包，同时

4、用IE登陆http://202.120.224.6, 这时会发现窗口中的指针在移动，发现过 滤到包后，就可以停止抓包了。 选中一个目标IP是202.120.224.6 的报文，选择菜单条中的 Packet cEdit Display Filter … 选择"Data Pattern"，选择"Add Pattern"，到TCP层选中8080目标端口，用鼠标选择"set data", 在name中输入"TCP"。点击 OK,确定，然后在 Packet中选择"Apply Display Filter …"。以后 用proxy规则过滤将只过滤目标 IP是202.120.224.6 、目标端口是80

5、80的报文。 三、设定端口： 选才F Filter Setting ①ata Pattern, 现在你可以随意设置你所需要的过滤条件。现举一例 说明：过滤经过 bbs （端口 2323）的IP包，先选中第一行，用 Toggle AND/OR调整成OR如下 图： 选才E Edit Pattern ,在弹出的对话框里设置： Packet 34 2 Hex (十六进制)，从顶头开始 填写09 13 ,因为十进制的2323对应十六进制的0x0913 ,而IP包使用网络字节顺序，高字节 在低地址。起名为 beginbbs ,单击 OK再次选择 Edit Pattern , Packet

6、36 2 Hex 从顶头开始 填写09 13起名为endbbs ,单击OE于是最外层的 OR下有两个叶子，分别对应两个 Pattern。 四、抓ftp/pop3 口令明文： NetXray所谓的高级协议过滤事实上就是端口过滤，用上面介绍的方法指定源端口、目标端 口均过滤0x00 0x17 (23),就可以达到和指定 telnet 过滤一样的效果。因为 telnet 就是23 端口，所以如果想捕捉一个非标准 telnet 的通信，必须自己指定端口过滤。 如果是分析telnet 协议并还原屏幕显示，只需要抓从 server到client 的回显数据即可， 因为口令不回显， 这种过滤规则

7、下抓不到口令明文。 用NetXray抓从client 到server包，指定 过滤PASS关键字。设置方法如下： 先指定IP过滤规则，Capture cCapture Filter Setting …设定为any <--> any ,以最大可 能地捕捉口令。然后增加一个过滤模式， Packet 54 4 Hex 0x50 41 53 53 ,再增加一个过滤模 式，Packet 54 4 Hex 0x70 61 73 73 。两者是or模式，因为这种关键字在网络传输中大小写不 敏感。剩下的就是等口令来了。注意，不必指定过滤特定高级协议，直接指定过滤 IP协议族就 可以了，用这种办法 f

8、tp/pop3 口令是很容易看清楚的。 其它的还有用 NetXray获彳# OICQ好友的ip地址等应用，这些都可以从黑客教程中看到 ，这里 就不再详细介绍，当然用好NetXray最重要的是网友们的亲身实践。 IPv4就是现行的网际协议(Internet Protocol),是对应于OSI参考模型的第三层的重要协 议。它是用来管理客户端和服务器端之间的报文传送的，它为上层提供不可靠、无连接的服务。 因为是不可靠的，所以它不能保证数据报会被成功的传送， TCP协议可以保证传输的可靠性；它 提供无连接的服务说明数据并不能按顺序到达，这样可以提供更好的路由。 Netxray已由笔者在第六期

9、做过简介，现拟用 Netxray解析IP协议的头部，通过实例可以 更好的学习和掌握IP协议。 1 .概述IP头部 ①版本号 当前的IP版本为4,下一代为Ipv6 ,此处为4。 ②头长度 报文的头部的总长度，接收端通过该域获得报文头部的结束处即数据的起点。它的单位是 4 字节(32bit ),因为该字段长 4位，所以最大值为 15,即IP数据报头长度最大为 60字节。最 常见的为20字节没有附加选项的报头。 ③服务类型 此字段在大多数情况下并不使用，它们用来表示报文的重要程度，以便作相应的有限处理。 该字段后文会详细解析。 ④总长度 这个域指明该数据报的总长度，包括

10、报头。其单位为字节，所以 IP报的最大长度为 65535 字节。用该字段值减去头部字节数即得数据大小。 ⑤标识 本字段是一唯一的 16比特的值，用于接收端重组相关的分段。故分段的数据报含有相同的 标识字段值。 ⑥标志 此域用于说明该数据报是否分段，关于分段的细节在下文有详细的叙述。 ⑦段偏移 如果分段，此域说明本片段在原数据报中的偏移量。一旦某数据报的分段全部到达， 接收端 即可根据每个片断中的偏移量的值按顺序重组。 此处需要说明的一点就是有的读者要问关于对部分到达的分段的处理方式。 接收端根据同一标识的分段的偏移量来判断收否受到全部的数据。在全部收到这些数据之 前，系统先

11、将已收的分段存储起来。如果生存时间（见下面）的值变为零，而所有的片段没有到 达，那么，所有已收到的片段也将会被丢弃，否则就进行重组。 ⑧生存时间 原本的含义为时间 （s）计数，生存时间的最大值为 255s ,其对接收转发的时间期望值为 1s, 现在的含义已变为跳数，即数据报可经过的最多的路由器数， IP数据报每经过一个路由器，字 段的值减一，当字段值变为零时，该数据报就会被丢弃。这样可以保证 IP包不会永远的循环于 Internet 。 ⑨协议 此域指出发送该数据报的上层协议号。比如， 1表示为ICMP协议，2表示为IGMP协议，6 表示为TCP协议，17表示为UDP协议。 ⑩

12、校验和 首部检验和字段是根据 IP首部计算的检验和码。它不对首部后面的数据进行计算。 ICMP, IGMP, UD所口 TCP在它们各自的首部中均含有同时覆盖首部和数据检验和码。 为了计算一份数据报的 IP检验和，首先把检马^和字段置为 0。然后，对首部中每个 16 bit 的二进制反码进行求和（整个首部看成是由一串 16 bit 的字组成），结果存在检验和字段中。 当收到一份IP数据报后，同样又t首部中每个 16 bit的二进制反码进行求和。由于收方在计算过 程中包含了发方存在首部中的检验和， 因此首部在传输过程中没有发生任何差错时， 收方计算的 结果应该为全1。如果结果不是全

13、 1 （即检验和错误），那么 IP就丢弃收到的数据报。但是不生 成差错报文，由上层去发现丢失的数据报并进行重传。 ICMP, IGMP, UDP和TCP都采用相同的检验和算法，尽管 TCP和UDP除了本身的首部和数据 外，在IP首部中还包含不同的字段。由于路由器经常只修改 TTL字段（减1）,因此当路由器 转发一份报文时可以增加它的检验和，而不需要对 IP整个首部进行重新计算。 下面分别是源主机的 IP地址、目的主机的IP地址、选项字段。目前，这些任选项定义如下： 安全和处理限制（用于军事领域）、 记录路径（让每个路由器都记下它的 IP地址）、时间戳（让 每个路由器都记下它的 IP

14、地址和时间）、宽松的源站选路（为数据报指定一系列必须经过的 IP 地址）、严格的源站选路（与宽松的源站选路类似，但是它要求只能经过指定的这些地址，不能 经过其它的地址）。这些选项很少被使用， 因为并非所有的主机和路由器都支持这些选项。选项 字段一直都是以32 bit作为界限，在必要的时候插入值为 0的填充字节。这样就保证 IP首部始 终是32 bit的整数倍（这是首部长度字段所要求的）。 2.实例解析（其中以至少 1字节为单位介绍） 如上图所示，第一部分（IP的）显示的是关于IP的版本信息，它的当前版本号为 4,并说明其 占有4位。第二部分也是 4位长，为头部的长度，其单位是 32-bit的字，本例中值为 5,说明 其为无选项的报头。