数据包解析应用

数据包解析应用 网与络嗅探器使用技巧 Iris 以下容部分络自内翻自络的助文件 帮(iris 【络介】 1.Iris 一款性能不络的嗅探器。嗅探器的英文是～就是一在络络上的器～络络通络络络的它个装窃听Sniff数据。 【的安位置】 装2.Iris 作络一嗅探器～只能捕捉通络所在机器的据包～因此如果要使能捕捉可能多的信个它数它尽 息～安前络络络所络络的络有所了解。例如～在络形拓络的络中～安络在其中任一台机装网构扑构网装都可以捕捉到其机器的信息包;然不是全部,～而络于使用交络机络接的交络络～有可它当网很 能就无法捕捉到其台机器络通络的据～而只能捕捉到本机有络的信息～又例如～如果它两数与 想络络一防火络的络络效果～可以在防火络的外安个内装～捕捉信息～络行比络。 Iris【配置】 3.Iris ;捕络, Capture ,存络据络不络络～当数冲区将来数覆盖原的据包。 Run continuously Iris ,存络据络络了络～当数冲区将数并停止络行据包截络～停止络络。 Stop capture after filling bufferIris ,捕络功能络络络入络络文件络用～络络可以络行命令行方式的络络。 启并Load this filter at startup ,一般要络中～就是新捕络的据包附在以前捕将数Scroll packets list to ensure last packet visible 络络果的后面向前络络。 并 ,使用来保存地址～络住并地址和络主机名。而网Use Address BookAddress BookmacmacIp 也被用会名字络示。 netbios 解络Decode() 使用域名解析 Use DNS: 使用络络络可以络络本地解析文件个。 Edit DNS file:(host) 使用使用代理服络器～络络端口。默络络号端口 HTTP proxy:http80 解络络络 Decode UDP Datagrams:UDP 使新截络的据包络示在捕络口的最上。 数窗Scroll sessions list to ensure last session visible: ,同中的Use Address BookCaptureUse Address Book ;络配置器, 网Adapters 络络络配置器;,中截络据。 从哪个网网卡数 ;警络和日志络络, Guard ,络络合乎络络的据包络出提示音 当数声Enable alarm sound ,络络警络音路～音格式是声径声Play this wave file.wav ,络日志文件。如果络中后～符合络络的据包被截络后被络络在日志文件中。 启当数将Log to file ,可以通络本地的地址和子掩络络络地址是否是本地的地址。网Ignore all LAN connectionsIrisip 当个络络络络被不络中后～会数将接受所有的据包;包括本机收络出的,。如果络中～不接受本Iris 地络的据包。 网数 络络指定端口～在列中可以络络。 Ignore connections on these>>:(port) 络件络络生效。有被络中后～络件接受所有的据。外只有当没将会数另当Use software filter: 被络中后才能使用。 Apply filter to incoming packets Use software filter ;络络功能, Miscellaneous 络络 功能描述 ,络置用保存捕络据包最多;默络络是来数个数个, Packet buffer2000 ,磁络空络低于指定络络当将会数停止捕络和络络据。 Stop when free disk space drops ,Iris 当的占用率络络秒络到达络～会运停止行。等到Enable CPU overload protection Cpu4100%Iris恢络正常后才络始络络。 ,点络络里可以把加入到络络中。 启Start automatically with WindowsIris ,是否络络络络本络件的更新情。 启况Check update when program start【任络】 4 配置指定的络络捕络据包～络色代表捕络～白色代表停止捕络。 数Schedule:Iris 【建立络络件】 条5. 硬件络络器, a.(HardWare Filter) 噪音模式使得络于络收络～络是默络络。 网卡状个状Promiscuous (): 直接络接只接受络络本络配置器的据包～而其他的络不予接受。 网数Directed (): 多目络捕络多点络送的据包 数Multicast (): ;所有多目络,捕络所有的多目络据包 数All multicast : 广播只捕络播络～络络的都具有相同的特点～目的广真地址都是Broadcast () MACFF:FF:FF:FF:FF:FF 数据包捕络络型匹配～b.(Layer 23): 络络络络置位于个模型;四络,中的第二、三络络络和络络。 ——网运DoD 利用络络络络置～可以络络不同络络络型的据。 个数 表示包括此络络络络型的据被捕络～ 数将include: 表示包括此络络络络型的据被忽略～ 数将exclude: 也可以自定络络络络型～方法是配置文件。的络络络络～而络络络proto.datLayer 2[PROTOCOL]layer 3 相络的。我络用络事本打络～在络里多的络络可以被修改和添加。 很[IP PROTOCOL]proto.dat字符匹配c.(Words Filter) 加入想络络的络络字符到列表。列表下面有你和两个络络;有的是和～其中AllANYANDOR) 是指据包至少要匹配列表中的一络络字符～而数个络络是指所有列表中的据都要数ANYALL匹配才络示出。 会来 是指络示络有络络字的据络～而其他的据络络被抛。 数数会弃Apply filter to packets 是指所有的据络都被截络～只不络络有指定字符的据络加数会数会Mark sessions containing words上络志。 地址匹配;, d.MACMAC Address Filter第一口是个窗可是络络出的硬件地址。可以点络络些地址把他络加到下络的来你或IRISAddress 1 ～如果不络络做也可以自己络入地址到口二中你窗Address 2; 地址匹配络;, e.IPIP address 和地址匹配;,络络相络似～络是个地址匹配络。 MACMAC Address FilterIP 端口匹配络;, f.Ports 和采用的端口络络络用程序的。号来服络器的端口是号～服络CPUDP16 bitFTPTCP2 1Telnet器的端口是号～络络文件络送络络服络器的端口是号。任何络络所提TCP23TFTP()UDP69TCP/IP供的服络都用知名的,之络的端口号例如我络想截络中的用络名和密络络里我络就络络络11023.telnet络。 23 Port 高络络络配置g.(Advanced) 数据大小匹配络络;,,可以络络指定接收的据包的大小。 数Size 十六络制据匹配;数,,指定据包中所包含据的十六络制字符相匹配。 数数Data 【截络据包】 数6 在据包络络～络示着完整的据包。口分部分络成～左络的据是以十六络制字络示数区内数窗两数数～右络络络络着。点络十六络制络的任何部分～右络都络示出相络的会代络～便于。 ASCIIASCII十六络制络是允络络行络络再生的～可以重已络存在的的据包。新的据包可以被络送～或者保写数数 存到磁络中。 【据包络络】 数7. 点络络示出 来Capture > Show Packet Editor 利用工具的络络可以络行据包的保存～更改～加入到列表和络送等操作。 条数 例如想生成一系列数个数参数据包～首先点络生成一空据包～照据包格式～使得每一部TCP 分都用十六络制表示法表示。建立了一包假络由来个它个字络的络度;假络一下～个字络是10020 信息～个字络是信息～络有个数个网字络络络送的据,。络在把络包络络以太放个字络在IP20TCP60,14目地地址之前～源地址～络要置一个的络络～指示出了它络后的据络数MACMAC0x0800TCP/IP构。同络～也附加了个字络用于做校络 ;校络用络络络络据的正络性,～之后我络点络来数确4CRCCRC 络送按络。