Снифферы
ление пакета. Возможные значения - in (входящий), out (исходящий), и pass (транзитный).
etherproto – Протокол Ethernet (13й и 14й байты пакета). Допустимыми значениями являются числа (например, etherproto=0x0800 соответствует протоколу IP), или известные аббревиатуры (например, etherproto=ARP, что соответствует 0x0806).
ipproto – Протокол IP. Допустимыми значениями являются числа (например, ipproto!=0x06 соответствует протоколу TCP), или известные аббревиатуры (например, ipproto=UDP, что соответствует 0x11).
smac – MAC источника. Допустимыми значениями являются MAC адреса источников в шестнадцатеричном виде (например, smac=00:00:21:0A:13:0F), или алиасы.
dmac – MAC получателя.
sip – IP адрес источника. Допустимыми значениями являются IP адреса, записанные через точку (например, sip=192.168.0.1), IP адреса с карт-бланшами (то есть, sip!=*.*.*.255), сетевые адреса с масками подсетей (например, sip=192.168.0.4/255.255.255.240 или sip=192.168.0.5/28), диапазоны IP адресов (то есть, sip from 192.168.0.15 to 192.168.0.18 или sip in 192.168.0.15 .. 192.168.0.18 ), или алиасы.
dip - IP адрес получателя.
sport – Номер порта-источника пакета TCP или UDP. Допустимыми значениями являются числа (например, sport=80 соответствует HTTP), диапазоны (то есть, sport from 20 to 50 или sport in 20..50 для любых портов в диапазоне от 20 до 50) или алиасы, известные операционной системе (например, sport=ftp, что соответствует порту 21). Проверить список алиасов, известных ОС, можно нажав View(Просмотр) => Port Reference(Список портов).
dport – Порт-получатель пакетов TCP или UDP.
flag – Флаги TCP. Допустимыми значениями являются числа (например, 0x18 соответствует PSH ACK), одна или несколько букв из следующего списка: F (FIN), S (SYN), R (RST), P (PSH), A (ACK), and U (URG), или ключевое слово has, означающее, что флаг содержит определённое значение. Например: flag=0x18, flag=SA, flag has F.
size – Размер пакета. Допустимыми значениями являются числа (например, size=1514), или диапазоны (то есть, size from 64 to 84 или size in 64..84 для размеров с 64 до 84 байтов).
str – Содержимое пакета. Используйте эту функцию, чтобы задать условие, что пакет должен содержать определённую строку. Функция имеет три аргумента: образец поиска, местоположение, чувствительность к регистру. Первый аргумент – строка, например, 'GET'. Второй аргумент – число, показывающее смешение строки в пакете. Счёт начинается с нуля – первый байт пакета надо искать, задавая смещение равное 0. Чтобы искать строку в любом месте пакета, задайте смещение равным –1. Третий аргумент устанавливает чувствительность к регистру и может принимать значения false (без учёта регистра) или true (с учётом регистра). Второй и третий аргументы необязательны, по умолчанию имеют значения –1 и false соответственно (искать во всём пакете, без учёта регистра). Примеры: str('GET',-1,false), str('GET',-1), str ('GET').
hex - Содержимое пакета. Используйте эту функцию, чтобы задать условие, что пакет должен содержать определённую последовательность байтов. Функция имеет два аргумента: образец поиска и местоположение. Первый аргумент – шестнадцатеричная величина, например, 0x4500. Второй аргумент – число, показывающее смешение в пакете. Счёт начинается с нуля – первый байт пакета надо искать, задавая смещение равное 0. Чтобы искать во всём пакете, задайте смещение равным –1. Второй аргумент необязателен, по умолчанию имеет значение –1 (искать во всём пакете). Пример: hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101).
Вышеописанные ключевые слова можно использовать со следующими операторами:
and – конъюнкция, Булево И.
or - дизъюнкция, Булево ИЛИ.
not – Булево отрицание.
= - Арифметическое равенство.
!= - Арифметическое неравенство.
<> - Арифметическое неравенство.
> - Арифметическое условие "больше, чем".
< - Арифметическое условие "меньше, чем".
( ) – скобки, управляющие порядком вычисления правил.
Числа могут быть в десятичной или шестнадцатеричной системе. Для указания на шестнадцатеричную нотацию, используйте 0x перед значением, например, 15 и 0x0F задают одно и тоже число.
Примеры:
Ниже приведены несколько примеров, поясняющих синтаксис правил. К каждому правилу, даны комментарии, отделяемые двойной косой чертой.
• dir!=pass // Захватывать только входящие и исходящие пакеты. Транзитные пакеты игнорируются.
• (smac=00:00:21:0A:13:0E or smac=00:00:21:0A:13:0F) and etherproto=arp // Захватывать пакеты ARP, посылаемые двумя компьютерами с MAC 00:00:21:0A:13:0E и 00:00:21:0A:13:0F.
• ipproto=udp and dport=137 // Захватывать пакеты UDP/IP, посылаемые в порт 137.
• dport=25 and str('RCPT TO:', -1, true) // Захватывать пакеты TCP/IP или UDP/IP, содержащие строку "RCPT TO:" и направляемые в порт 25.
• not (sport>110) // Захватывать все пакеты, кроме тех, что имеют порт-источник с номером, выше 110.
• (sip=192.168.0.3 and dip=192.168.0.15) or (sip=192.168.0.15 and dip=192.168.0.3) // Захватывать только IP пакеты, следующие между двумя хостами, 192.168.0.3 и 192.168.0.15. Все остальные игнорируются.
• ((sip from 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (size in 200..600) // Захватывать TCP пакеты, размер которых лежит в диапазоне от 200 до 600 байтов, приходящие с IP адресов в диапазоне 192.168.0.3 - 192.168.0.7, при чём IP адреса получателей находятся в сегменте 192.168.1.0/255.255.255.240, и имеющие TCP флаг PSH ACK.
• Hex(0x0203, 89) and (dir<>in) // Захватывать пакеты, содержащие 0x0203 в смещении 89, при этом, направление пакета не "входящий".
Реконструкция TCP сессий.
С помощью этой утилиты можно просмотреть процесс общения двух хостов по TCP. Чтобы восстановить TCP сессию, необходимо сначала выбрать пакет TCP в закладке Packets(Пакеты). Если Вы хотите восстановить сессию целиком, целесообразно выбрать первый пакет этой сессии, иначе реконструкция может начаться с середины. Найдя и выбравнужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Reconstruct TCP Session(Реконструкция TCP сессии), как показано здесь:
Эта утилита нагляднее всего работает на текстовых протоколах - POP3, Telnet, или HTTP. Возможна также и реконструкция процесса пересылки, например "зазипованного" архива, но на восстановление нескольких мегабайтов данных CommView потребуется слишком много времени, да и в большинстве случаев полученная информация будет совершенно бесполезна. Ниже показан пример реконструкции HTTP сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:
В режиме отображения HTML, страницы HTML не содержат графических объектов, так как по протоколу HTTP они (объекты) передаются в отдельных сессиях. Для просмотра изображений необходимо перейти к следующей TCP сессии. Ниже приведён пример HTTP сессии, содержащей графические объекты, отображаемые в режиме HTML:
По умолчанию, CommView распаковывает GZIP-содержимое трафика и восстанавливает картинки. Чтобы выключить этот режим, воспользуйтесь закладкой Decoding(Декодирование) в меню Options(Опции). Можно игнорировать данные, следовавшие в выбранном направлении, установив/сняв флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если Вы хотите изменить цвет отображения, выберите Settings(Установки) =>Colors(Цвет) и воспользуйтесь палитрой. Можно включить или выключить перенос слов пунктом Word Wrap(Перенос слов) в меню Settings(Установки).
Выпадающее меню Display type (Тип отображения) позволяет выбрать ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки) и EBCDIC (IBM mainframes' data encoding) режимы просмотра. Данные в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (Вы не увидите графические объекты и т.п.), однако вполне можно понять, как выглядела данная страница на самом деле.
Кнопки перемещения Navigation позволяют перескакивать к следующей или предыдущей сессиям, имеющимся в буфере. Первая кнопка “вперёд” [>>] перейдёт к следующей сессии между теми же хостами, что и при первом вызове реконструкции. Вторая кнопка “вперёд” [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [<<] не может перейти на сессию раньше той, с которой началась реконструкция.
Полученные данные Вы можете записать на диск в двоичном виде, в текстовом или RTF формате, выбрав File(Файл) =>Save As…(Сохранить как…). Кроме того, нажав Edit(Редактировать) => Find…(Найти…) можно искать строку в пределах сессии.
Генератор пакетов.
Эта утилита позволяет создавать и передавать пакеты через сетевой адаптер. Утилита доступна только под Windows NT/2000/XP/2003. Выберите в меню View(Просмотр) =>Packet Generator(Генератор пакетов), или выбрав пакет в закладке Packets(Пакеты), щёлкните правой кнопкой мышки на нём, а затем выберите команду Send Packet(Передать пакет).
Обратите внимание на то, что Генератор Пакетов не может и не должен быть использован для посылки пакетов с уровня приложений, то есть, он не следит за правильными значениями полей SEQ, ACK, значениями контрольных сумм и размерами пакетов, и так далее. Если требуется генерировать валидный
| |  скачать работу |
Снифферы |
