Uso y técnicas del rastreador de red Iris
(El siguiente contenido está traducido parcialmente del archivo de ayuda que viene con iris
1. Introducción a Iris
Un sniffer con buen rendimiento El nombre en inglés del sniffer es Sniff Es un error instalado en la computadora y monitorea los datos que pasan por la computadora
ubicación de instalación de Iris<. /p>
Como rastreador, solo puede capturar paquetes de datos que pasan a través de la máquina donde se encuentra. Por lo tanto, si desea capturar la mayor cantidad de información posible, debe comprender la estructura de la red antes de la instalación. Por ejemplo, en una red con topología en anillo, cualquier máquina instalada en ella puede capturar los paquetes de información de otras máquinas (por supuesto, no todas), pero para una red conmutada conectada por un conmutador, es muy probable que no pueda. para capturar las otras dos máquinas, los datos de comunicación entre máquinas solo pueden capturar información relacionada con la máquina local, por ejemplo, si desea detectar el efecto de filtrado de un firewall, puede instalar Iris dentro y fuera del firewall para capturar información y compararla.
3. Configurar Iris
Captura (captura)
Ejecutar continuamente: cuando el búfer de datos de almacenamiento no es suficiente, Iris sobrescribirá el paquete de datos original <. /p>
Detener la captura después de llenar el búfer: cuando el búfer de datos de almacenamiento esté lleno, Iris detendrá la interceptación de paquetes y dejará de grabar.
Cargue este filtro al inicio: importe el archivo de filtro y aplíquelo. cuando se inicia la función de captura. La depuración de la línea de comando está disponible
Desplazar la lista de paquetes para garantizar que el último paquete esté visible: Generalmente seleccionado, los paquetes recién capturados se agregan a los resultados de la captura anterior y se desplazan hacia adelante. >
Usar libreta de direcciones: use la libreta de direcciones para guardar la dirección mac y recordar la dirección mac y el nombre del host de la red, y la IP también se mostrará con el nombre de netbios
Decodificar (decodificar). >
Usar DNS: usar resolución de nombre de dominio
Editar archivo DNS: usar esta opción para editar el archivo de resolución local (host)
Proxy HTTP: usar paquetes de ing cuando se selecciona. se puede utilizar el filtro de software
Varios (funciones varias)
Descripción de la función de opción
Búfer de paquetes: establece el número máximo de paquetes capturados (valor predeterminado). 2000)
Detener cuando el espacio libre en disco disminuya: cuando el espacio en disco caiga por debajo del valor especificado, Iris dejará de capturar y grabar datos.
Habilite la protección contra sobrecarga de la CPU Cuando el uso de la CPU alcance 100 durante 4 segundos consecutivos, Iris dejará de ejecutarse. Comience a grabar después de volver a la normalidad.
Iniciar automáticamente con Windows: Haz clic aquí para agregar Iris al grupo de inicio.
Verificar actualización cuando se inicia el programa: si se debe verificar el estado de actualización de este software cuando se inicia.
4 tareas
Programación: Configurar Iris para capturar paquetes de datos en un momento específico. El azul representa la captura y el blanco representa detener la captura.
5. Establezca condiciones de filtrado
a. Filtro de hardware:
Promiscuo (modo de ruido): coloca la tarjeta de red en un estado promiscuo. estado.
Dirigida (conexión directa): Sólo acepta paquetes de datos enviados a este configurador de red, pero no a otros.
Multidifusión: captura paquetes de multidifusión
Todo multidifusión: captura todos los paquetes de multidifusión
Difusión (Broadcast) Solo se capturan tramas de difusión. Todas estas tramas tienen las mismas características. Las direcciones MAC de destino son todas FF:FF:FF:FF:FF:FF
b. Coincidencia de tipo de captura de paquetes (Capa 2, 3):
Se encuentra esta configuración de filtrado. en la segunda y tercera capa del modelo DoD (cuatro capas): la capa de red y la capa de transporte.
Al utilizar esta configuración de filtrado, puede filtrar datos de diferentes tipos de protocolo.
incluir: indica que se capturarán los datos que incluyan este tipo de protocolo;
excluir: indica que los datos que incluyan este tipo de protocolo se ignorarán
también el protocolo; El tipo se puede personalizar configurando el archivo proto.dat. El protocolo de la Capa 2 edita el [PROTOCOLO], y el de la capa 3 edita el [PROTOCOLO IP] correspondiente. Usamos el Bloc de notas para abrir proto.dat, donde se pueden modificar y agregar muchos protocolos.
c. Coincidencia de caracteres (Filtro de palabras)
Agregue los caracteres clave que desea filtrar a la lista. Hay dos opciones, Todos y CUALQUIERA (algunas son Y y O) debajo de la lista, donde CUALQUIER significa que el paquete de datos debe coincidir con al menos un carácter clave de la lista, y la opción TODO significa que todos los datos de la lista deben coincidir. antes de que se muestre.
Aplicar filtro a paquetes significa mostrar marcos de datos con palabras clave, mientras que otros marcos de datos se descartarán.
Marcar sesiones que contienen palabras significa que se interceptarán todos los marcos de datos, pero se marcarán los marcos de datos con caracteres específicos.
d. Filtro de dirección MAC
La primera ventana es la dirección de hardware reconocida por IRIS. Puede hacer clic en estas direcciones para agregarlas a la Dirección 1 o a la Dirección 2 a continuación. Si no hace esto, también puede ingresar las direcciones usted mismo en la ventana 2
e. dirección)
Similar a la opción de filtro de dirección MAC, esta es la capa de coincidencia de direcciones IP.
f. Capa de coincidencia de puertos (Puertos)
CP y UDP utilizan números de puerto de 16 bits para identificar aplicaciones. El número de puerto TCP del servidor FTP es 2 1, el número de puerto TCP del servidor Telnet es 23 y el número de puerto UDP del servidor TFTP (Protocolo trivial de transferencia de archivos) es 69. Los servicios proporcionados por cualquier implementación TCP/IP utilizan los números de puerto conocidos entre 1 y 1023. Por ejemplo, si queremos interceptar el nombre de usuario y la contraseña en telnet, debemos elegir el puerto 23.
g. Configuración de opciones avanzadas (Advanced)
Opción de coincidencia de tamaño de datos (Size): Puede elegir especificar el tamaño del paquete de datos recibido.
Coincidencia de datos hexadecimales (Data): Coincide con los caracteres hexadecimales de los datos contenidos en el paquete de datos especificado.
6. Paquetes de datos interceptados
En el área de edición de paquetes de datos se muestra el paquete de datos completo. La ventana está dividida en dos partes. Los datos de la izquierda se muestran en números hexadecimales y los datos de la derecha corresponden a ASCII. Haga clic en cualquier parte del código hexadecimal y el código ASCII correspondiente se mostrará a la derecha para facilitar el análisis.
El código hexadecimal permite editar y regenerar, y se pueden reescribir los paquetes de datos existentes. Se pueden enviar o guardar paquetes nuevos en el disco.
7. Edición de paquetes
Capture gt; haga clic en Mostrar editor de paquetes para mostrarlo
Utilice las opciones de la barra de herramientas para guardar, cambiar y agregar paquetes de datos a la lista. y enviar operaciones.
Por ejemplo, si desea generar una serie de paquetes de datos TCP, primero haga clic para generar un paquete de datos vacío y consulte el formato del paquete de datos para que cada parte se exprese en notación hexadecimal. Se crea un paquete suponiendo que tiene 100 bytes de longitud (suponiendo que 20 bytes son información de IP, 20 bytes son información de TCP y 60 bytes son los datos transmitidos). Ahora envíe este paquete a Ethernet, coloque 14 bytes antes de la dirección MAC de destino, la dirección MAC de origen y una marca 0x0800, que indica la estructura de datos detrás de la pila TCP/IP. Al mismo tiempo, también se agregan 4 bytes para la verificación CRC (la verificación CRC se utiliza para verificar la exactitud de los datos transmitidos) y luego hacemos clic en el botón enviar.