国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　1.【Iris簡介】

　　一款性能不錯(cuò)的嗅探器。嗅探器的英文是Sniff，它就是一個(gè)裝在電腦上的竊聽器，監(jiān)視通過電腦的數(shù)據(jù)。

　　2.【Iris的安裝位置】

　　作為一個(gè)嗅探器，它只能捕捉通過所在機(jī)器的數(shù)據(jù)包，因此如果要使它能捕捉盡可能多的信息，安裝前應(yīng)該對所處網(wǎng)絡(luò)的結(jié)構(gòu)有所了解。例如，在環(huán)形拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)中，安裝在其中任一臺機(jī)都可以捕捉到其它機(jī)器的信息包(當(dāng)然不是全部)，而對于使用連接的交換網(wǎng)絡(luò)，很有可能就無法捕捉到其它兩臺機(jī)器間通訊的數(shù)據(jù)，而只能捕捉到與本機(jī)有關(guān)的信息;又例如，如果想檢測一個(gè)的過濾效果，可以在防火墻的內(nèi)外安裝Iris，捕捉信息，進(jìn)行比較。

　　3.【配置Iris】

　　Capture(捕獲)

　　Run continuously ：當(dāng)數(shù)據(jù)緩沖區(qū)不夠時(shí)，Iris將覆蓋原來的數(shù)據(jù)包。

　　Stop capture after filling buffer：當(dāng)存儲數(shù)據(jù)緩沖區(qū)滿了時(shí)，Iris將停止進(jìn)行數(shù)據(jù)包截獲，并停止紀(jì)錄。

　　Load this filter at startup：捕獲功能啟動時(shí)導(dǎo)入過濾文件并應(yīng)用，這樣可以進(jìn)行命令行方式的調(diào)試。

　　Scroll packets list to ensure last packet visible：一般要選中，就是將新捕獲的數(shù)據(jù)包附在以前捕獲結(jié)果的后面并向前滾動。

　　Use Address Book：使用Address Book來保存地址，并記住mac地址和網(wǎng)絡(luò)主機(jī)名。而Ip也會被用netbios名字顯示。

　　Decode(解碼)

　　Use DNS:使用解析

　　Edit DNS file:使用這個(gè)選項(xiàng)可以編輯本地解析文件(host)。

　　HTTP proxy:使用http使用代理，編輯端口號。默認(rèn)為80端口

　　Decode UDP Datagrams:解碼UDP協(xié)議

　　Scroll sessions list to ensure last session visible:使新截獲的數(shù)據(jù)包顯示在捕獲窗口的最上。

　　Use Address Book：同Capture中的Use Address Book

　　Adapters(網(wǎng)絡(luò)配置器)

　　選擇從哪個(gè)網(wǎng)絡(luò)配置器(網(wǎng)卡)中截獲數(shù)據(jù)。

　　Guard(警報(bào)和日志選項(xiàng))

　　Enable alarm sound：當(dāng)發(fā)現(xiàn)合乎規(guī)則的數(shù)據(jù)包發(fā)出提示聲音

　　Play this wave file：選擇警報(bào)聲音路徑，聲音格式是.wav

　　Log to file：啟動日志文件。如果選中后，當(dāng)符合規(guī)則的數(shù)據(jù)包被截獲后將被記錄在日志文件中。

　　Ignore all LAN connections：Iris可以通過本地的ip地址和子網(wǎng)掩碼識別地址是否是本地的地址。當(dāng)這個(gè)選項(xiàng)被不選中后，Iris會接受所有的數(shù)據(jù)包(包括本機(jī)收發(fā)出的)。如果選中，將不接受本地網(wǎng)絡(luò)的數(shù)據(jù)包。

　　Ignore connections on these>>:過濾指定端口(port)，在列表中可以選擇。

　　Use software filter:軟件過濾生效。當(dāng)沒有被選中后，軟件將會接受所有的數(shù)據(jù)。另外只有當(dāng)Apply filter to incoming packets 被選中后Use software filter才能使用。

　　Miscellaneous(雜項(xiàng)功能)

　　選項(xiàng) 功能描述

　　Packet buffer：設(shè)置用來保存捕獲數(shù)據(jù)包最多個(gè)數(shù)(默認(rèn)值是2000個(gè))

　　Stop when free disk space drops ：當(dāng)空間低于指定值時(shí),Iris將會停止捕獲和記錄數(shù)據(jù)。

　　Enable CPU overload protection 當(dāng)Cpu的占用率連續(xù)4秒鐘達(dá)到100%時(shí)，Iris會停止運(yùn)行。等到恢復(fù)正常后才開始紀(jì)錄。

　　Start automatically with Windows：點(diǎn)擊這里可以把Iris加入到啟動組中。

　　Check update when program start：是否啟動時(shí)檢查本軟件的更新情況。

　　4【任務(wù)】

　　Schedule:配置Iris指定的時(shí)間捕獲數(shù)據(jù)包，藍(lán)色代表捕獲，白色代表停止捕獲。

　　5.【建立過濾條件】

　　a.硬件過濾器(HardWare Filter)：

　　Promiscuous (噪音模式):使得網(wǎng)卡處于雜收狀態(tài)，這個(gè)是默認(rèn)狀態(tài)。

　　Directed (直接連接):只接受發(fā)給本網(wǎng)絡(luò)配置器的數(shù)據(jù)包，而其他的則不予接受。

　　Multicast (多目標(biāo)):捕獲多點(diǎn)傳送的數(shù)據(jù)包

　　All multicast (所有多目標(biāo)):捕獲所有的多目標(biāo)數(shù)據(jù)包

　　Broadcast (廣播) 只捕獲廣播楨，這樣的真都具有相同的特點(diǎn)，目的MAC地址都是FF:FF:FF:FF:FF:FF

　　b.數(shù)據(jù)包捕獲類型匹配(Layer 2，3):

　　這個(gè)過濾設(shè)置位于DoD模型(四層)中的第二、三層——網(wǎng)絡(luò)層和運(yùn)輸層。

　　利用這個(gè)過濾設(shè)置，可以過濾不同協(xié)議類型的數(shù)據(jù)。

　　include:表示包括此種協(xié)議類型的數(shù)據(jù)將被捕獲;

　　exclude:表示包括此種協(xié)議類型的數(shù)據(jù)將被忽略;

　　也可以自定義協(xié)議類型，方法是配置proto.dat文件。Layer 2的協(xié)議編輯[PROTOCOL]，而layer 3則編輯相應(yīng)的[IP PROTOCOL]。我們用記事本打開proto.dat，在這里很多的協(xié)議可以被修改和添加。

　　c.字符匹配(Words Filter)

　　加入你想過濾的關(guān)鍵字符到列表。列表下面有All和ANY兩個(gè)選項(xiàng)(有的是AND和OR)，其中ANY是指數(shù)據(jù)包至少要匹配列表中的一個(gè)關(guān)鍵字符，而ALL選項(xiàng)是指所有列表中的數(shù)據(jù)都要匹配才會顯示出來。

　　Apply filter to packets是指顯示帶有關(guān)鍵字的數(shù)據(jù)幀，而其他的數(shù)據(jù)幀則會被拋棄。

　　Mark sessions containing words是指所有的數(shù)據(jù)幀都會被截獲，只不過帶有指定字符的數(shù)據(jù)幀會加上標(biāo)志。

　　d.MAC地址匹配(MAC Address Filter)

　　第一個(gè)窗口是IRIS可是識別出來的硬件地址。你可以點(diǎn)擊這些地址把他們加到下邊的Address 1或Address 2，如果你不這樣做也可以自己輸入地址到窗口二中;

　　e.IP地址匹配層(IP address)

　　和MAC地址匹配(MAC Address Filter)選項(xiàng)相類似，這個(gè)是IP地址匹配層。

　　f.端口匹配層(Ports)

　　CP和UDP采用16 bit的端口號來識別應(yīng)用程序的。服務(wù)器的TCP端口號是2 1，Telnet服務(wù)器的TCP端口號是23，TFTP(簡單文件傳送協(xié)議)服務(wù)器的UDP端口號是69。任何實(shí)現(xiàn)所提供的服務(wù)都用知名的1～1023之間的端口號.例如我們想截獲telnet中的用戶名和密碼這里我們就應(yīng)該選擇23 Port。

　　g.高級選項(xiàng)配置(Advanced)

　　數(shù)據(jù)大小匹配選項(xiàng)(Size)：可以選擇指定接收的數(shù)據(jù)包的大小。

　　十六進(jìn)制數(shù)據(jù)匹配(Data)：指定數(shù)據(jù)包中所包含數(shù)據(jù)的十六進(jìn)制字符相匹配。

　　6【截獲數(shù)據(jù)包】

　　在數(shù)據(jù)包編輯區(qū)內(nèi)，顯示著完整的數(shù)據(jù)包。窗口分兩部分組成，左邊的數(shù)據(jù)是以十六進(jìn)制數(shù)字顯示，右邊則對應(yīng)著ASCII。點(diǎn)擊十六進(jìn)制碼的任何部分，右邊都會顯示出相應(yīng)的ASCII代碼，便于分析。

　　十六進(jìn)制碼是允許進(jìn)行編輯再生的，可以重寫已經(jīng)存在的的數(shù)據(jù)包。新的數(shù)據(jù)包可以被發(fā)送，或者保存到磁盤中。

　　7.【數(shù)據(jù)包編輯】

　　Capture > Show Packet Editor點(diǎn)擊顯示出來

　　利用工具條的選項(xiàng)可以進(jìn)行數(shù)據(jù)包的保存，更改，加入到列表和發(fā)送等操作。

　　例如想生成一系列TCP數(shù)據(jù)包，首先點(diǎn)擊生成一個(gè)空數(shù)據(jù)包，參照數(shù)據(jù)包格式，使得每一部分都用十六進(jìn)制表示法來表示。建立了一個(gè)包假設(shè)它由100個(gè)字節(jié)的長度(假設(shè)一下，20 個(gè)字節(jié)是IP信息，20個(gè)字節(jié)是TCP信息，還有60個(gè)字節(jié)為傳送的數(shù)據(jù))?，F(xiàn)在把這個(gè)包發(fā)給以太網(wǎng),放14個(gè)字節(jié)在目地MAC地址之前，源MAC地址，還要置一個(gè)0x0800的標(biāo)記，它指示出了TCP/IP棧后的數(shù)據(jù)結(jié)構(gòu)。同時(shí)，也附加了4個(gè)字節(jié)用于做CRC校驗(yàn) (CRC校驗(yàn)用來檢查傳輸數(shù)據(jù)的正確性)，之后我們點(diǎn)擊發(fā)送按鈕。