抓包工具分析及使用方法？包工具是一種軟件，它攔截并查看網(wǎng)絡數(shù)據(jù)包的內(nèi)容。包捕獲工具由于可以捕獲數(shù)據(jù)通信過程中的所有l(wèi)P包并逐層分析，一直是傳統(tǒng)固網(wǎng)數(shù)據(jù)通信維護中坦克常用的故障排除工具。業(yè)界流行的抓包軟

抓包工具分析及使用方法？

包工具是一種軟件，它攔截并查看網(wǎng)絡數(shù)據(jù)包的內(nèi)容。包捕獲工具由于可以捕獲數(shù)據(jù)通信過程中的所有l(wèi)P包并逐層分析，一直是傳統(tǒng)固網(wǎng)數(shù)據(jù)通信維護中坦克常用的故障排除工具。業(yè)界流行的抓包軟件接口有很多，比如Wire shark、SnifferPro、Snoop、Tcpdump等，除了應用平臺略有不同外，基本功能都差不多。

用法：

1.安裝抓袋工具。

目的是用它來分析網(wǎng)絡數(shù)據(jù)包的內(nèi)容。不難找到免費或試用的抓包工具。Sniffer、wireshark、Expert都是目前比較流行的抓包工具。我用了一個叫SpyNet3.12的抓包工具，很小很快。安裝完成后，我們有了一個抓袋主機?？梢酝ㄟ^SpyNet設置包捕獲的類型，比如是捕獲IP包還是ARP包，還可以根據(jù)不同的目的地址設置更詳細的過濾參數(shù)。

2.配置網(wǎng)絡路由。

你的路由器有默認網(wǎng)關嗎？如果有，指向哪里？病毒爆發(fā)時將默認網(wǎng)關指向另一臺路由器是很危險的(除非你想癱瘓這臺路由器)。在一些企業(yè)網(wǎng)絡中，往往只指出網(wǎng)絡中地址段的路由沒有添加默認路由，那么就把默認路由指向包捕獲主機(不下地獄誰下地獄？當然這個主機性能要好，不然很容易被病毒打死。這將允許那些病毒主機發(fā)送的大部分掃描自動送到門口?；蛘邔⒕W(wǎng)絡出口映射到數(shù)據(jù)包捕獲主機，所有外部網(wǎng)絡數(shù)據(jù)包都會被分析。

3.開始抓包。

抓包主機已經(jīng)設置好了，網(wǎng)絡中的數(shù)據(jù)包也已經(jīng)發(fā)出去了，那么我們來看看網(wǎng)絡中傳輸?shù)氖鞘裁?。打開SpyNet并單擊Capture。您會看到顯示了大量數(shù)據(jù)。這些是捕獲的數(shù)據(jù)包。

捕獲數(shù)據(jù)包的主窗口顯示捕獲數(shù)據(jù)包的情況。列出了捕獲數(shù)據(jù)包的序列號、時間、源和目的MAC地址、源和目的IP地址、協(xié)議類型、源和目的端口號。很容易看到IP地址為10.32.20.71的主機在很短的時間內(nèi)向大量不同的主機發(fā)送了訪問請求，目的端口都是445。

4.找出被感染的主機。

從搶包的情況來看，主機10.32.20.71存疑。首先，讓我們看看目的IP地址。這些地址存在于我們的網(wǎng)絡中嗎？很可能網(wǎng)絡中根本沒有這樣的網(wǎng)段。其次，正常情況下一個訪問主機有可能在這么短的時間內(nèi)發(fā)起這么多訪問請求嗎？毫秒級發(fā)送幾十個甚至上百個連接請求正常嗎？很明顯，這個10.32.20.71主機肯定有問題。我們再來看看微軟-DS協(xié)議，有一個拒絕服務攻擊的漏洞，連接端口是445，從而進一步證實了我們的判斷。這樣，我們可以很容易地找到被感染主機的IP地址。剩下的工作就是給主機操作系統(tǒng)打補丁殺毒。