PHPor 的Blog

下载地址： http://www.cngr.cn/dir/207/219/2006121115903.html

使用帮助：

实战网络数据包拦截分析工具Iris
文/郑志勇
Iris是一款最常用的，功能强大的数据包拦截分析工具，可用于拦截通过网络传输的各类TCP/IP/UDP/ICMP数据包，同时可对拦截的数据包进行分析，了解网络协议的结构和组成，方便监控通过网络传输的数据、检测木马程序等。
一、安装配置
由于Iris可能被别有用心的人非法使用，所以绝大多数的软件下载站点并不提供该软件的下载，软件只能在一些网络安全网站上找到，建议直接到软件开发公司eEye Digital Security的主页处下载，下载地址是http://www.eeye.com/html/Products/Iris/Download.html。目前的最新版本是4.0.6，未注册只能使用15天。
程序安装比较简单，一路Next就可以了。第一次运行需要配置一些参数。
（1）Capture(捕获) 设置数据包捕获的运行及显示方式，此项可不设置。
（2）Decode(解码)  设置数据包解码参数，此项可不设置。
（3）Adapters(网卡) 设置要捕获数据包的网卡，此项是必须要做的。如果你的机器只有一块网卡，直接单击网卡名，再单击“应用”按钮即可。如果你的机器有两块以上的网卡，就要根据具体的情况选择了。下面举个简单的例子：
假设单位内所有的机器都通过一台服务器接入Internet，服务器有两块网卡，一块和Internet连接，一块作为内网连接，所有的内网机器的数据包都将通过该网卡，为了监视内部网络数据包，就必须选择内部网卡作为Iris的工作网卡。要了解你的网卡类型和名称可通过右击“网上邻居”，选择“属性”进行查看。
（4）Guard(警告) 设置报警声及过滤特征，此项可不设置。
（5）Miscellaneous(混合) 设置数据包缓冲区的大小及其他，此项可不设置。
二、 形势分析
Iris启动运行界面比较复杂，到处是按钮和图标，从哪里下手是初学者最先遇到的问题。要想充分发挥Iris的功能，第一步就是首先要了解目前网络的使用情况，可通过下面步骤进行：
1.运行Iris。
2.打开菜单“Capture/Start（捕获/开始）”，或单击菜单下的绿色三角形工具按钮。
3.单击右边的“Capture（捕获）”工具按钮，可以看到Iris正在辛勤工作，不断地捕获数据包。
4.工作一段时间后（建议捕获2000个数据包），打开菜单“Capture/Stop（捕获/停止）”或单击菜单下的红色正方形工具按钮停止捕获数据。此时，你可以看到大量的数据包在列表，看不懂没关系，先放在那里。
5.使用Iris的Decode（解码）功能分析一下数据。单击右边的“Decode”工具按钮，可以发现Iris已经把所有正在上网的机器都在“Hosta  activity（活动的计算机）”中列出来了。
图一  查看活动的计算机
查看网络上有哪些电脑正在运行，也可以通过菜单下的“Address Book（地址簿）”来实现，不过需要花费很长时间，不建议使用。
三、 分析“敌”情
掌握了目前有哪些电脑在上网是第一步，下面来看看用户在做什么？单击“Hosta activity”右上角“+”，可以展开“Hosta activity”下的所有资料。此时你就可以发现Iris自动帮你分析出用户正在使用网络服务的类型，有HTTP，MSN Messenger，SMTP ， FTP 等一一列出！在单击其中一项，看看右下角的窗口里有什么，里面还有具体的内容哦！哈哈！在看新闻，有意思！我也看看，单击窗口上的“GO”按钮即可，不过有时单击“GO”按钮只是下载页面的其中一个文件，要想了解整个页面的情况，可以在窗口中查找“Referer: ”后面跟的就是网址。来告诉他一下，单击窗口上的小人按钮，马上发个信息给他，请礼貌用语哦！还有许多数据包Iris无法分析，没关系一个个地往下移，看看。哈！他在玩联众游戏！当然发现这些，就要靠平时的经验积累了，例如：玩不同的网络游戏都有什么不同的文字提示、哪些服务要使用哪些端口号、不同服务使用的是什么协议之类都要熟悉。只有这样才能更好的使用Iris。
图二  分析结果
四、重点突破
掌握了网络总体情况，下面就可以针对具体的用户进行数据分析了，下面以分析MSN Messenger的数据传递过程为例，介绍一下具体的操作过程。
1.了解使用Msn Messager的机器的IP地址。通过前面的分析很容易发现哪些机器使用MSN Messenger将其IP地址记录下来。
2.设置Filters(过滤)，设置Filters的目的在于，拦截和所要达到的目标不相干的数据包，只允许想要的数据包通过，方便对数据分析。
3.单击右边的“Filters”工具按钮，即可设置过滤的条件。
可以选择过滤的方式有：Hardware filter(硬件过滤)、Layer2,3(数据链路层网络层过滤)、Words(单词过滤)、Mac address(Mac 地址)、IP address(IP 地址)、Ports(端口)、Advance(高级)七种形式。如果你了解相关知识，可以很容易设置。如果不了解，就不用设置过滤，Iris提供的数据非常直观，慢慢看也没有关系。
4.要分析MSN Messenger的数据传递过程，只要设置IP address(IP 地址)、Ports(端口)即可，在“Edit filters settings（编辑过滤设置）”窗口中，单击“IP address（IP地址）”按钮，“Mode(模式)”选择为“Include(包含)”，“Address 1”中输入要分析的机器的IP地址，“Dir(方向)”选择双向箭头，“Address 2”不必设置。最后单击“应用”按钮。
5.在“Edit filters settings”窗口中，单击“Ports”按钮，模式选择为“Include”，在Known ports（已知端口）中，找到“MSN Messenger”后双击，单击“确定”退出设置界面。
6.下面就可以打开菜单“Capture/Start”，开始捕获数据包。
只要目标机器打开MSN开始聊天，你就可以发现Iris不断地捕获到数据，停止捕获后就可以分析数据包了。
使用同样的办法，还可以对特定的机器的SMTP协议，POP3协议等等各种协议的数据进行捕获和分析以便了解用户网络的使用并进行管理和维护。
五、保卫战
利用Iris的数据包捕获功能，还可以把它作为简易的木马检测工具来使用（不过确实大材小用了），具体的操作步骤和分析MSN Messenger的数据传递过程有些类似，不同的是，不需要设置Ports，这样就能够发现所有进出你计算机的数据包，可以通过检查数据包的合法性，来判断是否已经中了木马!
同时还可以单击右边的“Guard”(警告)工具按钮，随时提醒是否有其它电脑连接你的计算机。一旦发现其它电脑连接你的计算机，Iris自动发出警报声，并记录下对方的地址，提供给使用者分析。
最后要说的是Iris能够分析每个网络数据包的组成及含义，它本身就是一个非常生动的TCP/IP协议教程，对Internet编程爱好者来说，死啃TCP/IP协议教程是非常辛苦的事，但如果你使用了Iris，可以将抽象的协议标准和实际应用紧密联系在一起，可达到事半功倍的效果。
(编者注：由于Iris功能强大，请不要将本软件用于非法目的，如非法获取他人密码，监控他人电脑等。由于软件特殊，恕不提供。) 

相关文章：
用协议分析工具学习TCP/IP(二)：http://tech.ccidnet.com/art/1084/20040205/88746_1.html
ICMP协议概述：http://hi.baidu.com/kizz1986/blog/item/1c977387ad9f802bc75cc351.html

工具的名称就能猜到工具的作用，就是重放TCP的报文，但是这个工具究竟功能如何，是不是仅仅局限于在一个网卡上回放报文，这篇说明书主要介绍tcprelay的一些与测试有关的使用，在介绍tcpreplay命令的使用之前，先要介绍与之密切相关的一个命令：tcpprep，中文直译就是tcp准备的意思，它的作用可以参见官方网站的介绍说明：

tcpprep is the pcap pre-processor for tcpreplay and tcprewrite. The purpose of tcpprep is to create a cache file which is used to "split" traffic into two sides (often called primary/secondary or client/server). If you are intending to use tcpreplay with two NIC’s, then tcpprep is what decides which interface each packet will use. By using a seperate process to generate cache files, tcpreplay can send packets at a much higher rate then if it had to do the calculations to split traffic itself.

个人翻译：（建议大家看man文件，阅读3次就能够比较好的理解了）

 

P:<list> – Must be one of the listed packets where the list corresponds to the packet number in the capture file.

Ex: -xP:1-5,9,15 would only send packets 1 through 5, 9 and 15.

根据参数后的参数值（报文编号）发送指定的报文。可以在ethereal中确认报文的编号，然后把需要的报文发送。可以用于排除ARP报文。

F:"<filter>" – BPF filter. See the tcpdump(8) man page for syntax.

未知，以后补充。

-X <match> Send all the packets except those specified

可选参数，就是-x参数的取反，参数内容也是一样。

-v Verbose

可选参数，显示trpprep生成cache文件的处理过程，就是一些信息的即时打印。

-V Version

显示版本号。
Tcpprep使用小结

再构造cache文件的过程中我用的比较多的选项参数就-v、-P、-xB、-xP，一般都是client和server的模式，其它两种模式没有实验过，暂时还不知道怎么使用，bridge模式我使用过一次，结果发现报文是从一个网卡送出。

对于tcp和udp协议都做了测试，是可以支持的，icmp还没有成功。对于网络上的BT报文，只要你有pcap文件，也是可以构造cache文件来模拟完全真实的BT流量。

目前的使用就是这么多，感觉还是很有用的，tcpreplay的参数有一部分是和tcpprep重复，下面的帮助文件说明就不详细说明了，但是特殊有好用的参数会使用蓝色字体标记出来给予重视。存在的不足是还没有学会在nat模式下重放报文，现在所有的报文重放都是在透明模式下完成的。
Tcpreplay帮助文件说明

Usage: tcpreplay [args] <file(s)>

-A "<args>" Pass arguments to tcpdump decoder (use w/ -v)

可选参数，在使用tcpdump风格打印输出信息时，同时再调用tcpdump中的参数，默认已经带有“-n,-l”，所以一般看到的都是ip地址，而没有主机名的打印，注意这个是在tcpreplay使用了-v参数时，才能使用，不带-v不会报错，但是没有实际意义。格式：-vA “nnt”表示以tcpdump风格输出报文信息，并且不打印时间戳、主机名、端口服务名称。注意不要使用-c参数来指定打印的数据报文的个数，这样发送出去的报文也会变少。

-b Bridge two broadcast domains in sniffer mode

可选参数，没有用过

-c <cachefile> Split traffic via cache file

双网卡回放报文必选参数，后面紧跟cache文件名，该文件为tcpprep根据对应的pcap文件构造出来。

-C <CIDR1,CIDR2,…> Split traffic by matching src IP

可选参数，

-D Data dump mode (set this BEFORE -w and -W)

可选参数，把应用层的数据，使用dump mode写入到指定文件中去，和-w、-W参数一起使用。

-e <ip1:ip2> Specify IP endpoint rewriting

可选参数，指定端点的ip，即把发送报文的和接收的报文的ip都修改称对应的参数值中指定的ip，但是这样发送的出的报文不会区分client和server，还没有发现使用的地方。

-f <configfile> Specify configuration file

可选参数，指定配置文件，目前不会使用。

-F Fix IP, TCP, UDP and ICMP checksums

可选参数，在发送报文时，自动纠正错误的校验和。对测试DUT的校验和检验还是有用的。

-h Help

显示帮助文件。

-i <nic> Primary interface to send traffic out of

双网卡回放报文必选参数，指定主接口。

-I <mac> Rewrite dest MAC on primary interface

可选参数，重写主网卡发送出报文的目的MAC地址。

-j <nic> Secondary interface to send traffic out of

双网卡回放报文必选参数，指定从接口。

-J <mac> Rewrite dest MAC on secondary interface

可选参数，重写从网卡发送出报文的目的MAC地址。

-k <mac> Rewrite source MAC on primary interface

可选参数，重写主网卡发送报文的源MAC地址。

-K <mac> Rewrite source MAC on secondary interface

可选参数，重写从网卡发送报文的源MAC地址。

-l <loop> Specify number of times to loop

可选参数，指定循环的次数，测试过程发现不是那么好用，有待确认。

-L <limit> Specify the maximum number of packets to send

可选参数，指定最大的发包数量。可以在确认连接的调试时使用。

-m <multiple> Set replay speed to given multiple

可选参数，指定一个倍数值，就是必默认发送速率要快多少倍的速率发送报文。加大发送的速率后，对于DUT可能意味着有更多的并发连接和连接数，特别是对于BT报文的重放，因为连接的超时是固定的，如果速率增大的话，留在session表中的连接数量增大，还可以通过修改连接的超时时间来达到该目的。

-M Disable sending martian IP packets

可选参数，表示不发送“火星”的ip报文，man文件中的定义是0/8、172/8、255/8。

-n Not nosy mode (not promisc in sniff/bridge mode)

可选参数，在使用-S参数，不对混杂模式进行侦听。没有测试过。

-N <CIDR1:CIDR2,…> Rewrite IP’s via pseudo-NAT

可选参数，通过伪造的NAT，重写IP地址。这个参数应该有很重要的应用，目前没有测试使用。

-O One output mode

可选参数，没有测试使用

-p <packetrate> Set replay speed to given rate (packets/sec)

可选参数，指定每秒发送报文的个数，指定该参数，其它速率相关的参数被忽略，最后的打印信息不会有速率和每秒发送报文的统计。

-P Print PID

可选参数，表示在输出信息中打印PID的信息，用于单用户或单帐户模式下暂停和重启程序。

-r <rate> Set replay speed to given rate (Mbps)

可选参数，指定发送的速率。目前-m/-r/-p这3个参数的相互关系还需要确认。

-R Set replay speed to as fast as possible

可选参数，让报文线速发送。

-s <seed> Randomize src/dst IP addresses w/ given seed

可选参数，

-S <snaplen> Sniff interface(s) and set the snaplen length

可选参数，

-t <mtu> Override MTU (defaults to 1500)

可选参数，指定MTU，标准的10/100M网卡的默认值是1500。

-T Truncate packets > MTU so they can be sent

可选参数，截去报文中MTU大于标准值的部分再发送出去，默认是不发送，skip掉。目前还有疑问，为什么会产生MTU大于1500字节的包，在BT报文中，这种包比较常见。

-u pad|trunc Pad/Truncate packets which are larger than the snaplen

可选参数，后面的参数值二选一，snaplen是指保留数据包的长度，这里的trunc参数值和MTU没有任何关系，不要混淆。

-v Verbose: print packet decodes for each packet sent

可选参数，没发送一个报文都以tcpdump的风格打印出对应的信息。

-V Version

查看版本号。

-w <file> Write (primary) packets or data to file

可选参数，将主网卡发送的报文写入一个文件中，参数后紧跟文件名。

-W <file> Write secondary packets or data to file

可选参数，将从网卡发送的报文写入一个文件中，参数后紧跟文件名。

-x <match> Only send the packets specified

可选参数，发送匹配参数值的报文，这里各个参数具体的含义和tcpprep中的一样，

S:<CIDR1>,… – Src IP must match specified CIDR(s)

在CIDR模式下必须匹配源IP，格式：-xS:100.1.1.0/24,10.10.10.0/26。多个用逗号隔开，参数个数没有试过，3个没有问题。

D:<CIDR1>,… – Dst IP must match specified CIDR(s)

在CIDR模式下必须匹配目的IP，格式同上。

B:<CIDR1>,… – Both src and dst addresses must match

必须同时匹配源和目的IP，格式同上。

E:<CIDR1>,… – Either src or dst address must match

匹配源或目的IP，格式同上。

P:<list> – Must be one of the listed packets where the list corresponds to the packet number in the capture file.

Ex: -xP:1-5,9,15 would only send packets 1 through 5, 9 and 15.

根据参数后的参数值（报文编号）发送指定的报文。可以在ethereal中确认报文的编号，然后把需要的报文发送。可以用于排除ARP报文。

F:"<filter>" – BPF filter. See the tcpdump(8) man page for syntax.

未知，以后补充。

-X <match> Send all the packets except those specified

可选参数，-x的参数内容取反。参数内容一样。

-1 Send one packet per key press

可选参数，参数内容就是阿拉伯数字1，这个参数对于确定连接的建立，相当好用，根据按回车键发送报文，可以将报文一个一个发送，来判断连接的状态。也可以用于故障定位。

-2 <datafile> Layer 2 data

可选参数，在2层加入数据。

-4 <PORT1:PORT2,…> Rewrite port numbers

可选参数，重写端口号，对于测试特殊端口的应用比较实用。

<file1> <file2> … File list to replay

可选参数，没有实验过。
配置实例

1、 重放在客户端ftp连接的报文

a、 在客户端使用ethereal抓包，存为ftp.pcap文件

b、 将ftp.pcap文件进行tcpprep操作，制作cache文件。

[root@A ~]# tcpprep -an client -i ftp.pcap -o ftp.cache –v

c、 将DUT设备的两个接口和PC的两个接口使用网线连接，使用tcpreplay重放报文。注意防火墙的配置为网桥（透明）模式。

[root@A ~]# tcpreplay -c ftp.cache -i eth0 -j eth1 ftp.pcap -R –v

-R参数表示全速发送，-v显示打印信息。

2、 重放在客户端BT连接的报文

a、 在实验室BT下载一些台湾的娱乐节目和热门的大片，使用ethereal抓包，存为bt.pcap文件。注意pcap文件大小的控制，对pc的内存要求比较高，我保存了一个600多M的pcap文件用了40多分钟，大家有需要可以直接从实验室copy。

b、 将bt.pcap文件进行tcpprep操作，制作cache文件。

[root@A ~]# tcpprep -an client -i bt.pcap -o bt.cache -C "100M BT Packet" –v

制作cache文件，在cache文件中写入“100M BT Packet”的注释。

c、 使用tcpreplay重放报文。

[root@A ~]# tcpreplay -c bt.cache -i eth0 -j eth1 bt.pcap -v –R

3、 重放tftp服务器上抓到的报文

a、 在tftp服务器上使用ethereal抓包，存为tftp.pcap文件。

b、 将pcap文件进行tcpprep的操作，制作cache文件。

[root@A ~]# tcpprep -an server -i tftp.pcap -o tftp.cache –v

注意：我在测试的时候犯了一个错误，使用DUT的tftp升级来做实验，同时穿过DUT重放报文，结果在网卡发送报文的后，DUT的mac地址做了的回应，导致交互过程没有穿过DUT，这个问题比较搞笑，上午弄了半天才发现原因，开始还以为udp的连接不能重放。

c、 使用tcpreplay重放报文。

[root@A ~]# tcpreplay -c tftp.cache -i eth0 -j eth1 tftp.pcap –v
Tcpprep和Tcprepaly的原理

对于原理部分，目前还没有看过代码，王海斌同学打算先看过源码后，再在windows上调试一个tcpreplay的程序供测试使用。具体的实现原理日后补充。

 

tcpprep是一个在tcpreplay和tcprewrite（3.0.beta11版本才有，这里不讨论）之前使用的pcap文件的处理程序。使用tcpprep的目的就是建立一个cache文件，用于分离通信流量中的两方（通常叫做 主要的/次要的 或者 客户端/服务器）。如果你正打算在两块网卡上使用tcpreplay的话，那么tcpprep就是用来决定每一个报文（packet）从哪一个接口发出。通过使用这样一个分离的程序来建立一个cache文件，tcpreplay就可以根据这个cache文件通过自身的计算来分离流量，高速率的发送报文。

目前王海斌看过代码后，对cache文件的作用解释，主要是加速报文的发送，cache文件中存放着pcap文件中每个帧的编号和时间戳等信息，以达到tcpreplay回放时可以更加快速的发送报文的目的。

其实我们要使用tcpreplay的功能的话，肯定就是它的重放功能，而重放的话肯定是一个客户端和服务器的交互过程，例如ftp、tftp、sqlnet、rtsp、mms等应用层协议的交互过程，我们只要有正确和足够的pcap文件，只需要制作cache文件，使用tcpreplay的命令，就不需要每次都搭建一个真实的测试环境来测试DUT对该协议的支持程度。所以在介绍tcpreplay之前先介绍tcpprep这个命令的使用。tcprewrite提供的功能暂时不做研究。

Tcpprep帮助文件说明

    由于时间问题，这次不能对man文件一一做解释，这个说明文档主要是对-h打印出来的命令参数作一个说明，结合几个实际的例子来说明tcpprep的使用。强烈建议大家去官方网站去阅读他们提供的文档，http://tcpreplay.synfin.net/trac/，我这里有打印的内容，有兴趣的可以拿去看一下。

    Usage: tcpprep [-a -n <mode> -N <type> | -c <cidr> | -p | -r <regex>]

                -o <out> -i <in> <args>

 

                 -a <st1:city w:st="on"><st1:place w:st="on">Split</st1:place></st1:city> traffic in Auto Mode<o:p></o:p>

一般情况下都需要该参数，表示按模式自动分离的通讯流量生成cache文件，这个参数一半都和-n参数一起使用，表示自动分离采取的拓扑模式，来决定采取那种模式分离通讯流量的双方。

-c CIDR1,CIDR2,…      Split traffic in CIDR Mode

可选参数，表示分离流量时采用CIDR（无类别域间路由选择）模式。格式：tcpprep  -ac <st1:chsdate w:st="on" isrocdate="False" islunardate="False" day="30" month="12" year="1899">10.10.0</st1:chsdate>.0/24，表示把源地址匹配10.10.0.0/24网段的报文全部由主网卡发送，剩下的报文由从网卡发送出来，这里还有一点需要补充，就是tcpreplay在重放报文时对两个网卡的定义很明确，一个主网卡（primary interface），一个是从网卡（secondary interface），不同的模式，两块网卡的属性不一样。该参数不能和-r,-a一起使用。<o:p></o:p>

-C <comment>            Embed comment in tcpprep cache file

可选参数，表示在cache文件中嵌入注释内容，可以用于注释说明cache文件的内容，注意使用时参数位置，不要放在最后，我测试时放在-o参数值的后面就报错，放到-i参数之前就可以。生成cache文件后使用-P可以查看写入的内容。

-h                      Help

显示帮助文件。

-i <capfile>            Input capture file to process

生成cache文件的必带参数，后面紧跟pcap文件名，表示这个pcap文件需要处理。

-m <minmask>            Minimum mask length in Auto/Router mode

可选参数，在选用router模式时使用，表示最小掩码，默认是30（2个有效ip地址）。

-M <maxmask>            Maximum mask length in Auto/Router mode

可选参数，在选用router模式时使用，表示最大掩码，默认是8（1600万个ip地址）。

-n <auto mode>          Use specified algorithm in Auto Mode

生成cache文件的必带参数，后面紧跟模式名称，可选项有(bridge|router|client|server)，目前<st1:chsdate w:st="on" isrocdate="False" islunardate="False" day="30" month="12" year="1899">2.3.5</st1:chsdate>版本只支持这4种模式。模式的选择很关键，例如在客户端使用ftp软件下载文件，那么你在客户端抓到的报文生成的pcap文件，那么就选用client模式，在服务器端抓到的报文生成的pcap文件就选用server模式。只有模式选对了，才能正确的分离流量从正确的接口发出正确的报文。注意：Server端的报文由主网卡发送出去，Client端的报文由从网卡发送出去。怎么确定主从网卡由tcpreplay的命令（-i –j两个参数）来决定。

-N client|server        Classify non-IP traffic as client/server

可选参数，表示非IP的流量（例如ARP报文）从哪个接口送出，因为很多的tcpprcp支持的模式中，都依赖于IP头部中的IP地址信息来决定报文是从client端还是从server端发送出去。但是并不是所有的报文都是IPv4结构的，所以这种情况下，tcpprep不能确定这些非IPv4类型的报文应该从哪个接口发送出去，所以，默认的配置就是从client的接口发送出去。如果你硬要正确的分离出非IPv4报文的话，可以使用MAC address模式（–mac）。3.0版本才支持。

-o <outputfile>         Output cache file name

生成cache文件的必带参数，后面紧跟cache文件名，表示这个输出的cache文件以这个名字命名。

-p                     <st1:place w:st="on"><st1:city w:st="on">Split</st1:city></st1:place> traffic based on destination port

    可选参数，基于目的端口来分离通讯流量，它区分的依据是认为0-1023端口都是服务器的端发出的报文，其它的端口都是客户端发出的报文，具体的端口对应的/etc/services文件里的的内容。使用的格式：-p /etc/services，可以根据自己的需要来制作一个文件也可以。

-P <file>               Print comment in tcpprep file

    可选参数，查看cache文件的内容。

-r <regex>             <st1:place w:st="on"><st1:city w:st="on">Split</st1:city></st1:place> traffic in Regex Mode

    可选参数，表示使用Regex模式分离通讯流量，有点类似于CIDR模式，但是它匹配的是服务器的源IP。man文件提示不能和-a、-c参数一起使用，但是我使用了也没有报错，格式：-r "(192)"或-r "(192|172)\…..*"，具体应用还有待实验。

-R <ratio>              Specify a ratio to use in Auto Mode

    可选参数，一个比例值，这个比例值的意义是服务器端发起的连接数和客户端发起的连接数的比例，这个值大于2的话就视为server端。这个英文原意我也不是太肯定，大家可以参考一下原文：

The ratio of server connections to client connections  necessary to  be classified as a server in auto mode.  A system is classified as a server if [# server connections] >= ([# client connections] * [ratio]).  Default is: 2.0

-s <file>               Specify service ports in /etc/services format

    可选参数，在man文件中没有对该参数的解释，估计就是按/etc/services文件里的格式来定义服务的端口，没有太多的研究意义。

-x <match>              Only send the packets specified

    重要的可选参数，表示按照参数定义的需求来定义发送报文。后面还有具体的参数，因为在我们的抓包过程中，可能会由于网络环境原因，抓到了许多我们不需要回放的报文，我们就可以根据这个参数决定我们需要回放哪些报文内容。具体的参数意思如下：

    S:<CIDR1>,… – Src IP must match specified CIDR(s)

    在CIDR模式下必须匹配源IP，格式：-xS:100.1.1.0/24,<st1:chsdate w:st="on" year="1899" month="12" day="30" islunardate="False" isrocdate="False">10.10.10</st1:chsdate>.0/26。多个用逗号隔开，参数个数没有试过，3个没有问题。

D:<CIDR1>,… – Dst IP must match specified CIDR(s)

在CIDR模式下必须匹配目的IP，格式同上。

B:<CIDR1>,… – Both src and dst addresses must match

必须同时匹配源和目的IP，格式同上。

E:<CIDR1>,… – Either src or dst address must match

匹配源或目的IP，格式同上。

在从事网络产品尤其是网络安全产品开发时，我们一直面临着一个问题，就是对产品的 UDP报文的构造
先看man文件中显示支持可以构造的UDP报文字段有哪些，然后在参数后直接说明该字段的含义。构造报文首先要求对报文的各个字段非常熟悉，所以先看一下UDP首部的图表：

<h2>ICMP报文的构造</h2>

小结：

<h2>帮助文件说明</h2>

ipv4报文的构造

<h2>TCP报文的构造</h2>

(转)解决ARP攻击的方法和原理

【故障原因】

　　局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。

【故障原理】

　　要了解故障原理，我们先来了解一下ARP协议。

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。

主机             IP地址              MAC地址
A             192.168.16.1    aa-aa-aa-aa-aa-aa
B             192.168.16.2    bb-bb-bb-bb-bb-bb
C             192.168.16.3    cc-cc-cc-cc-cc-cc
D             192.168.16.4    dd-dd-dd-dd-dd-dd

　　我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

　　从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。

　　A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

　　做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。

　　D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

【故障现象】

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

　　切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

【HiPER用户快速发现ARP欺骗木马】

　　在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：

　　MAC Chged 10.128.103.124
　　 MAC Old 00:01:6c:36:d1:7f
　　 MAC New 00:05:5d:60:c7:18

　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
　　 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

【在局域网内查找病毒主机】

　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：http://www.utt.com.cn/upload/nbtscan.rar）工具来快速查找它。

　　NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

　　NBTSCAN的使用范例：

　　假设查找一台MAC地址为“000d870d585f”的病毒主机。

　　1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

　　2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

　　3）通过查询IP–MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决思路】

　　1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。

　　2、设置静态的MAC–>IP对应表，不要让主机刷新你设定好的转换表。

　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。

　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

　　5、使用"proxy"代理IP的传输。

　　6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。

　　7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。

　　8、管理员定期轮询，检查主机上的ARP缓存。

　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

【HiPER用户的解决方案】

　　建议用户采用双向绑定的方法解决并且防止ARP欺骗。

　　1、在PC上绑定路由器的IP和MAC地址：

　　1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

　　2）编写一个批处理文件rarp.bat内容如下：

　　@echo off
　　 arp -d
　　 arp -s 192.168.16.254 00-22-aa-00-22-aa

　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

　　将这个批处理软件拖到“windows–开始–程序–启动”中。

　　3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and SettingsAll Users「开始」菜单程序启动”。

　　2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：

　　在HiPER管理界面–高级配置–用户管理中将局域网每台主机均作绑定。

 

另一篇：

对付ARP欺骗现在使用最多就是双向IP_MAC绑定

具体操作是在所有电脑上用批处理绑定或间隔一定时间自动绑定路由的MAC, 假如路由IP为192.168.0.1 MAC为00-AA-BB-CC-DD-EE, 则在每个电脑上运行arp -s 192.168.0.1 00-AA-BB-CC-DD-EE
然后再在路由器上绑定所有电脑的IP-MAC

以上方法可以防止ARP欺骗, 游戏帐号的就不会被盗, (在有些操作系统中这样操作也还会被欺骗)
另外你如果要防止内部游戏服务器、电影服务器以及收银机能不被ARP欺骗，则你还要把这些机器的IP-MAC与所有电脑以及路由器绑定。

但是这样一样不能阻止ARP攻击的发生,
有些软件通过限制某些文件安装的方式来限制ARP攻击软件的安装, 实际上一方面你限制的范围很有限, 另外一个方面病毒软件完全可以破你这个限制, 病毒可以把你的限制去掉, 还可以简单的修改调用的dll的文件名, 你就没戏了,  所以说这个方法就好比小孩子办家家.

由于ARP攻击启动时发送大量ARP数据包, 所有的交换机下的网络设备无论是否在相同网断都会收到这些数据报, 并且都会对这些数据报作出响应, 发送ARP回应数据报, 就好比一个电脑在调用所有电脑同时互相攻击, 而局域网数据通讯对带宽的利用是有多少用多少, 没有限制, 这样, 网络中就不断爆发ARP数据流量, 你的网络肯定会瘫痪,  也就是说ARP攻击一启动, 即使你的电脑不被欺骗, 也一样会掉线, 因为ARP流量堵塞了整个网络, 你的网络就瘫痪了
所以说绑定没用

1. 经常遇到vim中backspace不能删除字符的问题，下面是解决办法：

在vimrc中添加如下内容即可：

se nocompatible
se bs=2

具体含义，参看
：help compatible

vi中就不要这么弄了，不支持

2. vim中方向键不好使的解决办法

set t_ku=^[OA
set t_kd=^[OB
set t_kr=^[OC
set t_kl=^[OD

不过可能和term有关系，set term=xterm 试试