科来网络分析系统学习成长日志－第三天(图文）

liuheliuxi

学习科来网络分析系统成长日志

作者：始皇帝_嬴政

邮箱：liuheliuxi@163.com

第三天 过滤器的使用技巧

    经过前两天的学习，我基本了解科来系统的安装的使用，配合Sniffer使用可以监控整个网络数据，但是可惜科来还是只能打开50个节点，这样还是不方便，那除了破解科来还有没有其他的办法来查看呢？其实很简单，就是使用科来系统的过滤器！设置过滤器是我们改变捕获数据范围的重要手段。通过过滤器，我们可以只显示我需要看的IP地址范围等。我公司是120台电脑，我把他分为3个地址段A：1-50 | B：51-100 | C：101-120 这样设置后，只需要在过滤器上面简单的设置一下就可以打开特定的网络段了。

    过滤器非常强大，除了这些简单的功能外，我就抛砖引玉说一个小技巧－如何查看登陆网站的用户名密码！大家了解这个原理对大家管理网络和设计网络的时候会有一些启发，不过大家别用来学坏哦！大家可以根据这个技巧发掘更多的功能。大家有所成长后记得发贴告诉大家哦，一起成长吧。

一、设置过滤器
    设置过滤器是我们改变捕获数据范围的重要手段。通过过滤器，我们可以只捕获所需的特定数据包，把重要的数据分离出来。这样，你就可以只关注存在网络故障或网络攻击的数据信息，而不用在大量的数据中逐个寻找。

图表 025

1、用户可在工程设置中来定义过滤器设置，选择工具栏图标中的过滤器则进入过滤器设置对话框。

图表 026

2、默认情况下是没有过滤器，接受所有数据包，点击添加按钮添加新的过滤器

图表 027

3、如果感兴趣，可以设定查找病毒的过滤器，查找BT数据包的过滤器等。按照直观性，科来把过滤器的设置又分为简单过滤器和高级过滤器。由于高级过滤的筛选条件多于简单过滤，这样简单过滤器可以转换为高级过滤器，而高级过滤器转换为简单过滤器将会丢失一些筛选条件。

图表 028

4、名称和注释就随便填了，这里如果我们需要采集IP地址段1-50的IP段，那么就选择地址过虑，并选择“IPV4 范围”，在里面填写你指定的IP地址段。方向选择双向，这样所有和外界通讯的数据包就会都截获下来。

图表 029

图表 030

5、这样设置后保存下来，再打开用Sniffer的工程包，你就会惊奇的发现，科来只打开你想看到的IP地址段了。这样你想打开哪个IP地址段就设置一下过滤器就可以了。全网的数据你都可以用科来来看了，虽然每次都只能看见50个节点，但毕竟是免费使用，知足吧！呵呵。

图表 031

*每个过滤器都可以使用“接收”和“排除”来指定其过滤条件。也可以随意组合其中的过滤器来制定数据包的捕获范围。

6、如果你嫌每次都设置太麻烦，那么你就可以使用过滤器的“导入、导出”功能了，你设置好每一个过滤器都将其导出，需要用的时候导入就可以了。

图表 032

二、用过滤器过虑网络中的用户名和密码

    网络是不安全的，因为大部分的网络传播数据都是以明码的格式传输的，包括用户名和密码！这样的话，只要我们使用网络分析系统截获了传输用户名和密码的数据包，那么我们就可以看见这个用户的用户名和密码了。下面我来教大家怎么截获网址http://www.csna.cn 也就是我们常上的CSNA网络分析论坛的登陆名和密码！

1、首先设置好我们的过滤器，因为就是一个登陆过程，产生的数据包还是太多了，我们只需要看见我们能看见的数据包就可以了。先建立一个新的过滤器，选择高级

图表 033

2、名称和注释就随便怎么填了，选择与（A）下面的“地址”，添加一个过虑IP地址过滤器

图表 034

3、在地址过滤器中选择IPV4地址，IP地址栏目输入本机地址，方向选择“地址1到2” 只截获本机出去的数据包。

图表 035

4、选择与（A）下面的“协议”，添加一个过虑协议的过滤器

图表 036

5、选择HTTP协议，这里只截获与网站交流的数据包，其他的全部丢弃。

图表 037

6、再选择与（A）下面的“数据包大小”过滤器

图表 038

7、选择之间，大小为200字节到300字节！因为传送用户名和密码的数据包只有200-300大小左右，那么我们只截获这一部分大小的数据包就可以了。

图表 039

8、这样我们设置的过滤器完成了，这个过滤器的意思就是

A、只截获10.7.131.165（也就是本机）的数据

B、并只截获HTTP协议的数据包

C、并只截获大小为200字节到300字节的数据包

图表 040

9、好了，过滤器设置好了，那么就点击“立即开始采集数据”开始采集本机的用户名和密码吧。我们接着在网页上打开CSNA网络分析论坛的登陆页面，输入用户名和密码！

图表 041

10、好了，登陆进去了吧，不用管网页了，转到我们的科来系统，停止采集吧。转到数据包栏目下面看看我们都采集了多少数据包吧

图表 042

11、从图上看见，我只采集到了一个数据包，也就是我希望能采集的数据包了，看看这个数据包的说明，从本机出发的，目标222.73.10.102的，协议为HTTP，大小为260的数据包，完全符合我设置的过虑条件。那么是否有我想要的信息呢，我们接着看最下面的数据包信息

图表 043

12、看见了吗？红色标注的部分就是我刚才填写的用户名和密码：username=ceshi001&Password=abcdefg

图表 044

13、好了，截获到我们需要的信息了，但是我这个过滤器只能截获到这一个网站的登陆信息，换一个网站就不行了，因为我是根据数据包大小来判断的，但是每个网站传送的登陆用户名和密码的数据包都不一样。可能有人要问，怎么才能知道数据包应该多大呢？呵呵，我也不知道，所以在测试的时候，我只上这么一个网站，然后截获所有的HTTP协议的数据，然后一个一个找，才找到这个数据包。经过对这个数据包的分析，我才能确定了这个数据包的大小。同理，如果大家要截获某些特定的数据包，也可以像我这样尝试看看。当然，如果你发现某个数据包有某个特征很明显，想用这个特征做过滤器，也可以在数据包特征处（比如“源地址”）用鼠标右键点击，然后选择过滤器，然后输入你要过虑的条件，就会自动生成相应的过滤器了。

图表 045

图表 046

14、呵呵，很恐怖吧，我们的用户名和密码居然就这么轻易给截获了，而且我很负责的告诉你们，整个网络大部分的网站都是这样以明码的方式传输用户名和密码的，只有少部分大网站和一些需要保密的网站才会在客户端就对用户名和密码进行加密后发送出去。我在这里可不是鼓励大家去偷看网络的用户名和密码，而是一个很有趣的实例给大家参考，大家别囫囵吞枣的学我的设置，要多看看其中设置的是否有哪个部分的设置可以修改一下就可以用在其他地方了。过滤器是一个很强大的工具，但是需要大家对网络各种知识都非常熟悉才能用好它，大家多研究研究，可能中国就出现一批网络分析师了。如果你们成名后不要忘记曾经看过我始皇帝_嬴政写的文章，我就很满意了





[ 本帖最后由 liuheliuxi 于 2008-2-1 09:06 编辑 ]

chinaheiyu

知道用户名和密码后，用软件进行解码计算，呵，就出来了。

从零开始

向楼主学习，佩服啊！

xiasixia

我试过我的yahoo密码，截获了，可是他用的加密很厉害，好象两次加密，第一次是MD5，后面还用了公钥加密，没法解。如果真的解不了，我可就放心了，因为我一直用YAHOO的邮箱，别的密码都放里面呢。

liuheliuxi

我在考虑第四天写什么方面的经验？大家有什么建议和意见可以提出来，我会尽量努力写好后面的日志的。谢谢大家的支持！也感谢科来客服人员对我の支持

jardan

为什么你学的这么快呢..我看了好多天啦..但是还是觉得一头雾水.....真是很佩服你呀....以后多多写点吧..不要太复杂哦.不然.我这样的新人看不懂哇..

liuheliuxi

原帖由 jardan 于 2008-2-1 11:10 发表
为什么你学的这么快呢..我看了好多天啦..但是还是觉得一头雾水.....真是很佩服你呀....以后多多写点吧..不要太复杂哦.不然.我这样的新人看不懂哇..

呵呵，只要你能看懂我写的东西，我就很高兴了。

[ 本帖最后由 liuheliuxi 于 2008-2-1 16:03 编辑 ]

jardan

我晕了..我刚刚试为什么说我设置的地址1  2无效呢?

liuheliuxi

原帖由 jardan 于 2008-2-1 16:17 发表
我晕了..我刚刚试为什么说我设置的地址1  2无效呢?

你截图上来给大家看看

jardan

帮忙看一下..谢谢了...

liuheliuxi

那就是你地址1错误了，你地址1应该是选择范围，而不是子网 192.168.1.1 - 192.168.1.50

[ 本帖最后由 liuheliuxi 于 2008-2-1 17:00 编辑 ]

jardan

哈哈......刚刚反复看你的文章现在又懂了不少...爽......!~~~~~~~      支持!~~~~~~

红盟过客

精典之作 希望看到更多的这样的好东东。

lxhjohn

楼主的文章很经典啊，拜读了

lcdy

希望看到更多的这样的好东东。

dtzqxx

请问一般用什么样的解码软件可以解科来数据包的码????谢谢

liuheliuxi

原帖由 dtzqxx 于 2008-2-21 09:19 发表
请问一般用什么样的解码软件可以解科来数据包的码????谢谢

科来自己就能解读大部分数据包，如果有加密的数据包，你必须找相应的解码软件，只要你把相应的数据包导出就可以了。

yuqian

怎么样也要顶一个

天使一族

内容不错啊！我支持你

sesun

fing

向楼主学习 加油加油

ssvtdj

学习了............

zhangdi19870615

为什么我按照你说的 设置了  没有捕捉到数据包呢   土豆  163 的都没反应啊
楼主帮忙啊

zzyuhuan

写得很好，支持，顶顶顶

连振威

想问一下，楼主QQ？

oldhen

想请问，您是如何判断该数据包的大小在那个数值段呢，而不是其他的呢？

webshare

好长一段时间没有来论坛了,真高兴看到楼主的新作啊.

细光

我试了，我上的那个网站的数据包是914个字节，
我开始也是设置了200-300个字节，一个包都没抓到，呵呵。
后来我就把数据包大小的限制取消了，因为我自已的密码我知道呀，
我就在抓到的所有的数据包里查找了一下，一下就找到了那个包含密码的数据包，呵呵。
谢谢楼主。

细光

再问个问题。刚才我又试了一下，可是用户名我无法转换过来，请问这是一些什么字符
UserName=%E8%B。。。后面的省略。。
我该如何知道用户名是些什么字符呢？
希望能提供一个转换的软件，谢谢。

细光

找到一个转换的。。
但有些转换出来的字符是不认识的，有些可以转换正常。。
以下是原代码。。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> URLDecode </TITLE>
<META NAME="Generator" CONTENT="EditPlus">
<META NAME="Author" CONTENT="">
<META NAME="Keywords" CONTENT="">
<META NAME="Description" CONTENT="">
</HEAD>

<BODY>
URLDecoder<br />
<TEXTAREA NAME="txtCode" ROWS="5" COLS="80"></TEXTAREA><br />
<INPUT TYPE="submit" onclick="vbscript:txtText.value=URLDecode(txtCode.value)"><br />
<TEXTAREA NAME="txtText" ROWS="5" COLS="80"></TEXTAREA>
<SCRIPT LANGUAGE="VBScript">
<!--
Public Function LShift(ByVal lValue, ByVal iShiftBits)
LShift = lValue * (2 ^ iShiftBits)
End Function

Public Function RShift(ByVal lValue, ByVal iShiftBits)
RShift = lValue \ (2 ^ iShiftBits)
End Function

Function Hex2Dec(ByVal sHex)
sHex=UCase(sHex)
For i=1 To Len(sHex)
byChar=Asc(Mid(sHex,i,1))
If byChar>57 Then
byChar=byChar-65+10
Else
byChar=byChar-48
End If
lReturn=lReturn+byChar*16^(Len(sHex)-i)
Next
Hex2Dec=lReturn
End Function
'%B1%F1%C8%FD
Function URLDecode(ByVal sHex)
Dim sText
Dim i
Dim lChar,byChar,byChar2,lUniCount
Dim sByte
sHex = UCase(Replace(sHex, vbCrLf, ""))
If Left(sHex,1)="%" Then sHex=Right(sHex,Len(sHex)-1)
sByte = Split(sHex, "%")
For i = 0 To UBound(sByte)
byChar = Hex2Dec(sByte(i))
If byChar>128 Then
lUniCount=lUniCount+1
If lUniCount Mod 2 = 0 Then
lChar=LShift(byChar2, 8) Or byChar
sText = sText & Chr(lChar)
End If
byChar2=byChar
Else
sText = sText & Chr(byChar)
End If
Next
URLDecode=sText
End Function
//-->
</SCRIPT>
</BODY>
</HTML>