Iris 网络抓包、解包工具

下载地址: http://www.cngr.cn/dir/207/219/2006121115903.html

使用帮助:

实战网络数据包拦截分析工具Iris
文/郑志勇
Iris是一款最常用的,功能强大的数据包拦截分析工具,可用于拦截通过网络传输的各类TCP/IP/UDP/ICMP数据包,同时可对拦截的数据包进行分析,了解网络协议的结构和组成,方便监控通过网络传输的数据、检测木马程序等。
一、安装配置
由于Iris可能被别有用心的人非法使用,所以绝大多数的软件下载站点并不提供该软件的下载,软件只能在一些网络安全网站上找到,建议直接到软件开发公司eEye Digital Security的主页处下载,下载地址是
http://www.eeye.com/html/Products/Iris/Download.html。目前的最新版本是4.0.6,未注册只能使用15天。
程序安装比较简单,一路Next就可以了。第一次运行需要配置一些参数。
(1)Capture(捕获) 设置数据包捕获的运行及显示方式,此项可不设置。
(2)Decode(解码)  设置数据包解码参数,此项可不设置。
(3)Adapters(网卡) 设置要捕获数据包的网卡,此项是必须要做的。如果你的机器只有一块网卡,直接单击网卡名,再单击“应用”按钮即可。如果你的机器有两块以上的网卡,就要根据具体的情况选择了。下面举个简单的例子:
假设单位内所有的机器都通过一台服务器接入Internet,服务器有两块网卡,一块和Internet连接,一块作为内网连接,所有的内网机器的数据包都将通过该网卡,为了监视内部网络数据包,就必须选择内部网卡作为Iris的工作网卡。要了解你的网卡类型和名称可通过右击“网上邻居”,选择“属性”进行查看。
(4)Guard(警告) 设置报警声及过滤特征,此项可不设置。
(5)Miscellaneous(混合) 设置数据包缓冲区的大小及其他,此项可不设置。
二、 形势分析
Iris启动运行界面比较复杂,到处是按钮和图标,从哪里下手是初学者最先遇到的问题。要想充分发挥Iris的功能,第一步就是首先要了解目前网络的使用情况,可通过下面步骤进行:
1.运行Iris。
2.打开菜单“Capture/Start(捕获/开始)”,或单击菜单下的绿色三角形工具按钮。
3.单击右边的“Capture(捕获)”工具按钮,可以看到Iris正在辛勤工作,不断地捕获数据包。
4.工作一段时间后(建议捕获2000个数据包),打开菜单“Capture/Stop(捕获/停止)”或单击菜单下的红色正方形工具按钮停止捕获数据。此时,你可以看到大量的数据包在列表,看不懂没关系,先放在那里。
5.使用Iris的Decode(解码)功能分析一下数据。单击右边的“Decode”工具按钮,可以发现Iris已经把所有正在上网的机器都在“Hosta  activity(活动的计算机)”中列出来了。
图一  查看活动的计算机
查看网络上有哪些电脑正在运行,也可以通过菜单下的“Address Book(地址簿)”来实现,不过需要花费很长时间,不建议使用。
三、 分析“敌”情
掌握了目前有哪些电脑在上网是第一步,下面来看看用户在做什么?单击“Hosta activity”右上角“+”,可以展开“Hosta activity”下的所有资料。此时你就可以发现Iris自动帮你分析出用户正在使用网络服务的类型,有HTTP,MSN Messenger,SMTP , FTP 等一一列出!在单击其中一项,看看右下角的窗口里有什么,里面还有具体的内容哦!哈哈!在看新闻,有意思!我也看看,单击窗口上的“GO”按钮即可,不过有时单击“GO”按钮只是下载页面的其中一个文件,要想了解整个页面的情况,可以在窗口中查找“Referer: ”后面跟的就是网址。来告诉他一下,单击窗口上的小人按钮,马上发个信息给他,请礼貌用语哦!还有许多数据包Iris无法分析,没关系一个个地往下移,看看。哈!他在玩联众游戏!当然发现这些,就要靠平时的经验积累了,例如:玩不同的网络游戏都有什么不同的文字提示、哪些服务要使用哪些端口号、不同服务使用的是什么协议之类都要熟悉。只有这样才能更好的使用Iris。
图二  分析结果
四、重点突破
掌握了网络总体情况,下面就可以针对具体的用户进行数据分析了,下面以分析MSN Messenger的数据传递过程为例,介绍一下具体的操作过程。
1.了解使用Msn Messager的机器的IP地址。通过前面的分析很容易发现哪些机器使用MSN Messenger将其IP地址记录下来。
2.设置Filters(过滤),设置Filters的目的在于,拦截和所要达到的目标不相干的数据包,只允许想要的数据包通过,方便对数据分析。
3.单击右边的“Filters”工具按钮,即可设置过滤的条件。
可以选择过滤的方式有:Hardware filter(硬件过滤)、Layer2,3(数据链路层网络层过滤)、Words(单词过滤)、Mac address(Mac 地址)、IP address(IP 地址)、Ports(端口)、Advance(高级)七种形式。如果你了解相关知识,可以很容易设置。如果不了解,就不用设置过滤,Iris提供的数据非常直观,慢慢看也没有关系。
4.要分析MSN Messenger的数据传递过程,只要设置IP address(IP 地址)、Ports(端口)即可,在“Edit filters settings(编辑过滤设置)”窗口中,单击“IP address(IP地址)”按钮,“Mode(模式)”选择为“Include(包含)”,“Address 1”中输入要分析的机器的IP地址,“Dir(方向)”选择双向箭头,“Address 2”不必设置。最后单击“应用”按钮。
5.在“Edit filters settings”窗口中,单击“Ports”按钮,模式选择为“Include”,在Known ports(已知端口)中,找到“MSN Messenger”后双击,单击“确定”退出设置界面。
6.下面就可以打开菜单“Capture/Start”,开始捕获数据包。
只要目标机器打开MSN开始聊天,你就可以发现Iris不断地捕获到数据,停止捕获后就可以分析数据包了。
使用同样的办法,还可以对特定的机器的SMTP协议,POP3协议等等各种协议的数据进行捕获和分析以便了解用户网络的使用并进行管理和维护。
五、保卫战
利用Iris的数据包捕获功能,还可以把它作为简易的木马检测工具来使用(不过确实大材小用了),具体的操作步骤和分析MSN Messenger的数据传递过程有些类似,不同的是,不需要设置Ports,这样就能够发现所有进出你计算机的数据包,可以通过检查数据包的合法性,来判断是否已经中了木马!
同时还可以单击右边的“Guard”(警告)工具按钮,随时提醒是否有其它电脑连接你的计算机。一旦发现其它电脑连接你的计算机,Iris自动发出警报声,并记录下对方的地址,提供给使用者分析。
最后要说的是Iris能够分析每个网络数据包的组成及含义,它本身就是一个非常生动的TCP/IP协议教程,对Internet编程爱好者来说,死啃TCP/IP协议教程是非常辛苦的事,但如果你使用了Iris,可以将抽象的协议标准和实际应用紧密联系在一起,可达到事半功倍的效果。
(编者注:由于Iris功能强大,请不要将本软件用于非法目的,如非法获取他人密码,监控他人电脑等。由于软件特殊,恕不提供。) 

相关文章:
用协议分析工具学习TCP/IP(二):http://tech.ccidnet.com/art/1084/20040205/88746_1.html
ICMP协议概述:http://hi.baidu.com/kizz1986/blog/item/1c977387ad9f802bc75cc351.html

留下评论

邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据