Iris使用详解—提高篇
作者:劲刀狂舞(webmaster@heihoo)
相关网站:黑狐网络(www.heihoo)
eEye Digital Security (/iris/)
在上一篇文章《Iris使用详解-基础篇》当中我们给大家介绍了怎样使用网络sniffer来截获数据包和进行数据包的解码。这篇文章则是上一篇的补充,我要则要讲一讲怎样更高效的使用工具IRIS。我们再看一下文章之前,不但先要仔细阅读上篇文章外,还需要懂得一些关于网络协议的相关知识,尤其是TCP/IP协议集。这里建议阅读RFC文档资料。五.建立过滤策略
一般情况下,IRIS不再需要其他设置;不过如果你想彻底的研究一下网络数据,那么以下的这些设置你有必要知道一下。更重要的是如果你不利用”Filter”这项“取其精华,去其糟粕”,而“全盘继承”的话,成千上万的报文会将你的硬盘撑爆。这还不是更可怕的,小心分析协议时吧你累死。我们到菜单栏中Filters>Edit Filter就可以进行过滤器的配置。这里有如下功能:
1. 硬件过滤器(HardWare Filter):
如图1所示:
图1
这个过滤设置位于OSI七层模型中的第一层——链路层。通常包括操作系统中的设备驱
动程序和计算机中对应的网络接口卡。软件主要提供了如下模式以供选择,见表1:
选项功能描述
Promiscuous (噪音模式)使得网卡处于杂收状态,这个是默认状态。Directed  (直接连接)只接受发给本网络配置器的数据包,而其他
的则不予接受。
Multicast  (多目标)捕获多点传送的数据包
All multicast (所有多目标)捕获所有的多目标数据包
Broadcast (广播)只捕获广播桢,这样的真都具有相同的特点,
目的MAC地址都是FF:FF:FF:FF:FF:FF
表1
其它的还有:Functional、Mac Frame、Source Routing、Group、Smt、All Functional 等都不常见,这里不做叙述。
2.数据包捕获类型匹配(Layer 2,3):
这个过滤设置位于OSI七层模型中的第二、三层——网络层和运输层。网络层在
其中两个主要的协议TCP/IP协议族中,网络层协议包括IP协议(网际协议),ICMP协议(Internet互联网控制报文协议),以及IGMP协议(Internet组管理协议)。而运输层TCP/ IP协议族中,有两个互不相同的传输协议:TCP(传输控制协议)和UDP(用户数据报协议)。
如图2所示:
图2
上图中,我们指定要截获TCP和UDP协议的数据包。
在这里我们也可以自定义协议类型,方法是配置proto.dat文件。Layer 2的协议编辑[PROTOCOL],而layer 3则编辑相应的[IP PROTOCOL]。我们用记事本打开proto.dat,在这里很多的协议可以被修改和添加。
例如在第4573行中显中1001-100F Berkeley Trainer
这就意味着1001,100F等值就会被解码成Berkeley Trainer。更改这个值,重新启动IRIS配置将发生变化。
3.特定字符匹配(Words Filter)
该选项可以对截获的数据包内容进行关键字过滤触发,如图3所示:
图3
加入你想过滤的关键字符到列表。列表下面有AND和OR两个选项,其中OR是指数据包至少要匹配列表中的一个关键字符,而AND选项是指所有列表中的数据都要匹配才会显示出来。
其中选项Apply filter to packets是指显示带有关键字的数据帧,而其他的数据帧则会被抛弃。而选项Mar
k sessions containing words是指所有的数据帧都会被截获,只不过带有指定字符的数据帧会加上标志。
4.MAC地址匹配(MAC Address Filter)
这一层是硬件MAC (Media Access Control)地址匹配层。如图4所示:
图4
第一个窗口是IRIS可是识别出来的硬件地址。你可以点击这些地址把他们加到下边的Address 1或Address 2,如果你不这样做也可以自己输入地址到如窗口二中。
5.IP地址匹配层(IP address)
图5
和上边的选项相类似,这个是IP地址匹配层。如图5所示,这里窗口一中显示了本地地址192.168.0.1和广播地址,其中Address Book是我们前面配置的地址簿,这里不再赘述。这部分比较容易理解。
5.端口匹配层(Ports)
TCP和UDP采用16 bit的端口号来识别应用程序的。对于每个TCP/IP实现来说,FTP服务器的TCP端口号都是2 1,每个Telnet服务器的TCP端口号都是23,每个TFTP(简单文件传送协议)服务器的UDP端口号都是69。任何TCP/IP实现所提供的服务都用知名的1~1023之间的端口号。这一层位于OSI七层中的应用层,对于我们想截取特定的网络服务中的数据包,这个层次的配置是很有用处的。例如我们想截获telnet中的用户名和密码这里我们就应该选择23 Port。
配置界面如图6所示:
图6
这里我们选择了telnet Ftp和http三种端口进行截获。端口号分别显示在左边的列表框里边,而右边则对应着被选框。
我们也可以通过配置文件proto.dat自行的添加删除更改端口号列表,例如:我们想添加以Windows 2000终端服务到列表框中,则在文件proto.dat里面到[TCP PORTS]选项,添加3389 Terminal Server到3333 DEC-NOTES和3421 BMAP之间,重新启动IRIS则可以是配置生效。
6高级选项配置(Advanced)
这里只有两个选项供使用者配置,如图7所示:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。