1.
一款性能不錯(cuò)的嗅探器。嗅探器的英文是Sniff,它就是一個(gè)裝在電腦上的竊聽(tīng)器,監(jiān)視通過(guò)電腦的數(shù)據(jù)。
2.
作為一個(gè)嗅探器,它只能捕捉通過(guò)所在機(jī)器的數(shù)據(jù)包,因此如果要使它能捕捉盡可能多的信息,安裝前應(yīng)該對(duì)所處網(wǎng)絡(luò)的結(jié)構(gòu)有所了解。例如,在環(huán)形拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)中,安裝在其中任一臺(tái)機(jī)都可以捕捉到其它機(jī)器的信息包(當(dāng)然不是全部),而對(duì)于使用交換機(jī)連接的交換網(wǎng)絡(luò),很有可能就無(wú)法捕捉到其它兩臺(tái)機(jī)器間通訊的數(shù)據(jù),而只能捕捉到與本機(jī)有關(guān)的信息;又例如,如果想檢測(cè)一個(gè)防火墻的過(guò)濾效果,可以在防火墻的內(nèi)外安裝Iris,捕捉信息,進(jìn)行比較。
3.
Capture(捕獲)
Run continuously :當(dāng)存儲(chǔ)數(shù)據(jù)緩沖區(qū)不夠時(shí),Iris將覆蓋原來(lái)的數(shù)據(jù)包。
Stop capture after filling buffer:當(dāng)存儲(chǔ)數(shù)據(jù)緩沖區(qū)滿了時(shí),Iris將停止進(jìn)行數(shù)據(jù)包截獲,并停止紀(jì)錄。
Load this filter at startup:捕獲功能啟動(dòng)時(shí)導(dǎo)入過(guò)濾文件并應(yīng)用,這樣可以進(jìn)行命令行方式的調(diào)試。
Scroll packets list to ensure last packet visible:一般要選中,就是將新捕獲的數(shù)據(jù)包附在以前捕獲結(jié)果的后面并向前滾動(dòng)。
Use Address Book:使用Address Book來(lái)保存mac地址,并記住mac地址和網(wǎng)絡(luò)主機(jī)名。而Ip也會(huì)被用netbios名字顯示。
Decode(解碼)
Use DNS:使用域名解析
Edit DNS file:使用這個(gè)選項(xiàng)可以編輯本地解析文件(host)。
HTTP proxy:使用http使用代理服務(wù)器,編輯端口號(hào)。默認(rèn)為80端口
Decode UDP Datagrams:解碼UDP協(xié)議
Scroll sessions list to ensure last session visible:使新截獲的數(shù)據(jù)包顯示在捕獲窗口的最上。
Use Address Book:同Capture中的Use Address Book
Adapters(網(wǎng)絡(luò)配置器)
選擇從哪個(gè)網(wǎng)絡(luò)配置器(網(wǎng)卡)中截獲數(shù)據(jù)。
Guard(警報(bào)和日志選項(xiàng))
Enable alarm sound:當(dāng)發(fā)現(xiàn)合乎規(guī)則的數(shù)據(jù)包發(fā)出提示聲音
Play this wave file:選擇警報(bào)聲音路徑,聲音格式是.wav
Log to file:?jiǎn)?dòng)日志文件。如果選中后,當(dāng)符合規(guī)則的數(shù)據(jù)包被截獲后將被記錄在日志文件中。
Ignore all LAN connections:Iris可以通過(guò)本地的ip地址和子網(wǎng)掩碼識(shí)別地址是否是本地的地址。當(dāng)這個(gè)選項(xiàng)被不選中后,Iris會(huì)接受所有的數(shù)據(jù)包(包括本機(jī)收發(fā)出的)。如果選中,將不接受本地網(wǎng)絡(luò)的數(shù)據(jù)包。
Ignore connections on these>>:過(guò)濾指定端口(port),在列表中可以選擇。
Use software filter:軟件過(guò)濾方案生效。當(dāng)沒(méi)有被選中后,軟件將會(huì)接受所有的數(shù)據(jù)。另外只有當(dāng)Apply filter to incoming packets 被選中后Use software filter才能使用。
Miscellaneous(雜項(xiàng)功能)
選項(xiàng) 功能描述
Packet buffer:設(shè)置用來(lái)保存捕獲數(shù)據(jù)包最多個(gè)數(shù)(默認(rèn)值是2000個(gè))
Stop when free disk space drops :當(dāng)磁盤(pán)空間低于指定值時(shí),Iris將會(huì)停止捕獲和記錄數(shù)據(jù)。
Enable CPU overload protection 當(dāng)Cpu的占用率連續(xù)4秒鐘達(dá)到100%時(shí),Iris會(huì)停止運(yùn)行。等到恢復(fù)正常后才開(kāi)始紀(jì)錄。
Start automatically with Windows:點(diǎn)擊這里可以把Iris加入到啟動(dòng)組中。
Check update when program start:是否啟動(dòng)時(shí)檢查本軟件的更新情況。
4
Schedule:配置Iris指定的時(shí)間捕獲數(shù)據(jù)包,藍(lán)色代表捕獲,白色代表停止捕獲。
5.
a.硬件過(guò)濾器(HardWare Filter):
Promiscuous (噪音模式):使得網(wǎng)卡處于雜收狀態(tài),這個(gè)是默認(rèn)狀態(tài)。
Directed (直接連接):只接受發(fā)給本網(wǎng)絡(luò)配置器的數(shù)據(jù)包,而其他的則不予接受。
Multicast (多目標(biāo)):捕獲多點(diǎn)傳送的數(shù)據(jù)包
All multicast (所有多目標(biāo)):捕獲所有的多目標(biāo)數(shù)據(jù)包
Broadcast (廣播) 只捕獲廣播楨,這樣的真都具有相同的特點(diǎn),目的MAC地址都是FF:FF:FF:FF:FF:FF
b.數(shù)據(jù)包捕獲類(lèi)型匹配(Layer 2,3):
這個(gè)過(guò)濾設(shè)置位于DoD模型(四層)中的第二、三層——網(wǎng)絡(luò)層和運(yùn)輸層。
利用這個(gè)過(guò)濾設(shè)置,可以過(guò)濾不同協(xié)議類(lèi)型的數(shù)據(jù)。
include:表示包括此種協(xié)議類(lèi)型的數(shù)據(jù)將被捕獲;
exclude:表示包括此種協(xié)議類(lèi)型的數(shù)據(jù)將被忽略;
也可以自定義協(xié)議類(lèi)型,方法是配置proto.dat文件。Layer 2的協(xié)議編輯[PROTOCOL],而layer 3則編輯相應(yīng)的[IP PROTOCOL]。我們用記事本打開(kāi)proto.dat,在這里很多的協(xié)議可以被修改和添加。
c.字符匹配(Words Filter)
加入你想過(guò)濾的關(guān)鍵字符到列表。列表下面有All和ANY兩個(gè)選項(xiàng)(有的是AND和OR),其中ANY是指數(shù)據(jù)包至少要匹配列表中的一個(gè)關(guān)鍵字符,而ALL選項(xiàng)是指所有列表中的數(shù)據(jù)都要匹配才會(huì)顯示出來(lái)。
Apply filter to packets是指顯示帶有關(guān)鍵字的數(shù)據(jù)幀,而其他的數(shù)據(jù)幀則會(huì)被拋棄。
Mark sessions containing words是指所有的數(shù)據(jù)幀都會(huì)被截獲,只不過(guò)帶有指定字符的數(shù)據(jù)幀會(huì)加上標(biāo)志。
d.MAC地址匹配(MAC Address Filter)
第一個(gè)窗口是IRIS可是識(shí)別出來(lái)的硬件地址。你可以點(diǎn)擊這些地址把他們加到下邊的Address 1或Address 2,如果你不這樣做也可以自己輸入地址到窗口二中;
e.IP地址匹配層(IP address)
和MAC地址匹配(MAC Address Filter)選項(xiàng)相類(lèi)似,這個(gè)是IP地址匹配層。
f.端口匹配層(Ports)
CP和UDP采用16 bit的端口號(hào)來(lái)識(shí)別應(yīng)用程序的。FTP服務(wù)器的TCP端口號(hào)是2 1,Telnet服務(wù)器的TCP端口號(hào)是23,TFTP(簡(jiǎn)單文件傳送協(xié)議)服務(wù)器的UDP端口號(hào)是69。任何TCP/IP實(shí)現(xiàn)所提供的服務(wù)都用知名的1~1023之間的端口號(hào).例如我們想截獲telnet中的用戶(hù)名和密碼這里我們就應(yīng)該選擇23 Port。
g.高級(jí)選項(xiàng)配置(Advanced)
數(shù)據(jù)大小匹配選項(xiàng)(Size):可以選擇指定接收的數(shù)據(jù)包的大小。
十六進(jìn)制數(shù)據(jù)匹配(Data):指定數(shù)據(jù)包中所包含數(shù)據(jù)的十六進(jìn)制字符相匹配。
6
在數(shù)據(jù)包編輯區(qū)內(nèi),顯示著完整的數(shù)據(jù)包。窗口分兩部分組成,左邊的數(shù)據(jù)是以十六進(jìn)制數(shù)字顯示,右邊則對(duì)應(yīng)著ASCII。點(diǎn)擊十六進(jìn)制碼的任何部分,右邊都會(huì)顯示出相應(yīng)的ASCII代碼,便于分析。
十六進(jìn)制碼是允許進(jìn)行編輯再生的,可以重寫(xiě)已經(jīng)存在的的數(shù)據(jù)包。新的數(shù)據(jù)包可以被發(fā)送,或者保存到磁盤(pán)中。
7.
Capture > Show Packet Editor點(diǎn)擊顯示出來(lái)
利用工具條的選項(xiàng)可以進(jìn)行數(shù)據(jù)包的保存,更改,加入到列表和發(fā)送等操作。
例如想生成一系列TCP數(shù)據(jù)包,首先點(diǎn)擊生成一個(gè)空數(shù)據(jù)包,參照數(shù)據(jù)包格式,使得每一部分都用十六進(jìn)制表示法來(lái)表示。建立了一個(gè)包假設(shè)它由100個(gè)字節(jié)的長(zhǎng)度(假設(shè)一下,20 個(gè)字節(jié)是IP信息,20個(gè)字節(jié)是TCP信息,還有60個(gè)字節(jié)為傳送的數(shù)據(jù))。現(xiàn)在把這個(gè)包發(fā)給以太網(wǎng),放14個(gè)字節(jié)在目地MAC地址之前,源MAC地址,還要置一個(gè)0x0800的標(biāo)記,它指示出了TCP/IP棧后的數(shù)據(jù)結(jié)構(gòu)。同時(shí),也附加了4個(gè)字節(jié)用于做CRC校驗(yàn) (CRC校驗(yàn)用來(lái)檢查傳輸數(shù)據(jù)的正確性),之后我們點(diǎn)擊發(fā)送按鈕。
