抓包工具分析及使用方法？包工具是一種軟件，它攔截并查看網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容。包捕獲工具由于可以捕獲數(shù)據(jù)通信過(guò)程中的所有l(wèi)P包并逐層分析，一直是傳統(tǒng)固網(wǎng)數(shù)據(jù)通信維護(hù)中坦克常用的故障排除工具。業(yè)界流行的抓包軟

抓包工具分析及使用方法？

包工具是一種軟件，它攔截并查看網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容。包捕獲工具由于可以捕獲數(shù)據(jù)通信過(guò)程中的所有l(wèi)P包并逐層分析，一直是傳統(tǒng)固網(wǎng)數(shù)據(jù)通信維護(hù)中坦克常用的故障排除工具。業(yè)界流行的抓包軟件接口有很多，比如Wire shark、SnifferPro、Snoop、Tcpdump等，除了應(yīng)用平臺(tái)略有不同外，基本功能都差不多。

用法：

1.安裝抓袋工具。

目的是用它來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容。不難找到免費(fèi)或試用的抓包工具。Sniffer、wireshark、Expert都是目前比較流行的抓包工具。我用了一個(gè)叫SpyNet3.12的抓包工具，很小很快。安裝完成后，我們有了一個(gè)抓袋主機(jī)?？梢酝ㄟ^(guò)SpyNet設(shè)置包捕獲的類型，比如是捕獲IP包還是ARP包，還可以根據(jù)不同的目的地址設(shè)置更詳細(xì)的過(guò)濾參數(shù)。

2.配置網(wǎng)絡(luò)路由。

你的路由器有默認(rèn)網(wǎng)關(guān)嗎？如果有，指向哪里？病毒爆發(fā)時(shí)將默認(rèn)網(wǎng)關(guān)指向另一臺(tái)路由器是很危險(xiǎn)的(除非你想癱瘓這臺(tái)路由器)。在一些企業(yè)網(wǎng)絡(luò)中，往往只指出網(wǎng)絡(luò)中地址段的路由沒(méi)有添加默認(rèn)路由，那么就把默認(rèn)路由指向包捕獲主機(jī)(不下地獄誰(shuí)下地獄？當(dāng)然這個(gè)主機(jī)性能要好，不然很容易被病毒打死。這將允許那些病毒主機(jī)發(fā)送的大部分掃描自動(dòng)送到門口?；蛘邔⒕W(wǎng)絡(luò)出口映射到數(shù)據(jù)包捕獲主機(jī)，所有外部網(wǎng)絡(luò)數(shù)據(jù)包都會(huì)被分析。

3.開始抓包。

抓包主機(jī)已經(jīng)設(shè)置好了，網(wǎng)絡(luò)中的數(shù)據(jù)包也已經(jīng)發(fā)出去了，那么我們來(lái)看看網(wǎng)絡(luò)中傳輸?shù)氖鞘裁?。打開SpyNet并單擊Capture。您會(huì)看到顯示了大量數(shù)據(jù)。這些是捕獲的數(shù)據(jù)包。

捕獲數(shù)據(jù)包的主窗口顯示捕獲數(shù)據(jù)包的情況。列出了捕獲數(shù)據(jù)包的序列號(hào)、時(shí)間、源和目的MAC地址、源和目的IP地址、協(xié)議類型、源和目的端口號(hào)。很容易看到IP地址為10.32.20.71的主機(jī)在很短的時(shí)間內(nèi)向大量不同的主機(jī)發(fā)送了訪問(wèn)請(qǐng)求，目的端口都是445。

4.找出被感染的主機(jī)。

從搶包的情況來(lái)看，主機(jī)10.32.20.71存疑。首先，讓我們看看目的IP地址。這些地址存在于我們的網(wǎng)絡(luò)中嗎？很可能網(wǎng)絡(luò)中根本沒(méi)有這樣的網(wǎng)段。其次，正常情況下一個(gè)訪問(wèn)主機(jī)有可能在這么短的時(shí)間內(nèi)發(fā)起這么多訪問(wèn)請(qǐng)求嗎？毫秒級(jí)發(fā)送幾十個(gè)甚至上百個(gè)連接請(qǐng)求正常嗎？很明顯，這個(gè)10.32.20.71主機(jī)肯定有問(wèn)題。我們?cè)賮?lái)看看微軟-DS協(xié)議，有一個(gè)拒絕服務(wù)攻擊的漏洞，連接端口是445，從而進(jìn)一步證實(shí)了我們的判斷。這樣，我們可以很容易地找到被感染主機(jī)的IP地址。剩下的工作就是給主機(jī)操作系統(tǒng)打補(bǔ)丁殺毒。