⑴ 怎麼樣在ethereal中設置過濾規則來捕捉QQ的數據包
QQ消息傳送用udp,埠是4000(發送)8000(接收)
抓udp的包,然後看源埠和目的埠分別是4000和8000的就是qq的數據包
⑵ 關於網路嗅探軟體
1、WireShark WireShark是一個開源免費的高性能網路協議分析軟體,它的前身就是非常著名的網路分析軟體Ethereal。你可以使用它來解決網路疑難問題,進行網路協議分析,以及作為軟體或通信協議的開發參考,同時也可以用來作為學習各種網路協議的教學工具等等。WireShark支持現在已經出現了絕大多數的乙太網網卡,以及主流的無線網卡。WireShark具有如下所示的特點:(1) 支持多種操作系統平台,可以運行於Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系統上;(2) 支持超過上千種的網路協議,並且還會不斷的增加對新協議的支持;(3) 支持實時捕捉,然後可在離線狀態下進行分析;(4) 支持對VOIP數據包進行分析;(5) 支持對通過IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2等協議加密了的數據包解密;(6) 可以實時獲取來自乙太網、IEEE 802.11、PPP/HDLC、ATM、藍牙、令牌環和FDDI(光纖)等網路中的數據包;(7) 支持讀取和分析許多其它網路嗅探軟體保存的文件格式,包括Tcpmp、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等軟體;(8) 支持以各種過濾條件進行捕捉,支持通過設置顯示過濾來顯示指定的內容,並能以不同的顏色來顯示過濾後的報文;(9) 具有網路報文數據統計功能;(10) 可以將它捕捉到的數據導出為XML、PostScript、CSV及普通文本文件的格式。運行WireShark所需的文件:現在WireShark的最終版本是1.0.5,我們可以到www.wireshark.org/download/上下載它。如果WireShark要在Windows系統下運行時,還需要一個名為Winpcap的驅動庫,現在它的穩定版本是WinPcap 4.0.2,最新的測試版本是WinPcap 4.1 beta3,我們可以從 http://www.winpcap.org上下載。如果是在Linux系統下使用時,就應當使用Libpcap驅動庫,它現在的版本是Libpcap1.0.0,我們可以從www.tcpmp.org上下載。2、Tcpmp和WinmpTcpmp是一個老牌的使用最頻繁的網路協議分析軟體之一,它是一個基於命令行的工具。Tcpmp通過使用基本的命令表達式,來過濾網路介面卡上要捕捉的流量。它支持現在已經出現了絕大多數的乙太網適配器。Tcpmp是一個工作在被動模式下的網路嗅探器。我們可以用它來在Linux系統下捕獲網路中進出某台主機介面卡中的數據包,或者整個網路段中的數據包,然後對這些捕獲到的網路協議(如TCP、ARP)數據包進行分析和輸出,來發現網路中正在發生的各種狀況。例如當出現網路連通性故障時,通過對TCP三次握手過程進行分析,可以得出問題出現在哪個步驟。而許多網路或安全專家,都喜歡用它來發現網路中是否存在ARP地址欺騙。我們也可以將它捕獲到的數據包先寫入到一個文件當中,然後用WireShark等有圖形界面的嗅探器讀取 它的命令格式為:tcpmp [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ][ -i 網路介面 ] [ -r 文件名][ -s snaplen] [ -T 類型 ] [ -w 文件名 ] [表達式 ]我們可以使用-i參數來指定要捕捉的網路介面卡,用-r來讀取已經存在的捕捉文件,用-w來將捕捉到的數據寫入到一個文件中。至於其它的參數,我們可以從它的man文檔中得到詳細的說明,或者通過輸入「tcpmp –-help」來到它的幫助信息。Tcpm有一個非常重要的特點就是可以使用正則表達式來作為過濾網路報文的條件,這使得它的使用變得非常靈活。我們可以通過它內建的各種關鍵字來指定想要過濾的條件,一旦一個網路數據包滿足表達式的條件,則這個數據包就會被捕獲。如果我們沒有給出任何條件,那麼所有通過指定網路介面卡中的網路報文都會被捕獲。 Tcpmp使用以下三種類型的關鍵字:(1)、用於表式類型的關鍵字,主要有Host、Net和Port。它們分別用來指定主機的IP地址、指定網路地址和指定埠。如果你沒有指定關鍵字,它就會使用預設的Host類型。(2)、用於表式傳輸方向的關鍵字,主要有Src、Dst。分別用來指定要捕捉的源IP地址是什麼或目的IP地址是什麼的包。(3)、用來表式捕捉什麼協議的關鍵字,主要有ip,arp,tcp,udp等。這些關鍵字之間可以使用邏輯運算關鍵字來連接,以便於我們指定某個范圍或排除某個主機等。這些邏輯運算關鍵字也有三個,分別是取非運算「not」,或者可以用「!」符號表示;與運算「and」,可以用「&&」 符號表示;或運算「or」,可以用「||」符號表示。Tcpmp的關鍵字還有很多,我就不在此全部列出。其它的可以通過它的幫助文檔來得到它們的詳細說明。運行Tcpmp需要的文件:Tcpmp可以很好地運行在UNIX、Linux和Mac OSX操作系統上,它現在的最新版本是TCPDUMP 4.0.0,我們可以從www.tcpmp.org上下載它的二進制包。同時,要運行它,也需要系統中安裝有Libpcap1.0.0這個驅動庫。 3、 DSniffDSniff是一個非常強大的網路嗅探軟體套件,它是最先將傳統的被動嗅探方式向主動方式改進的網路嗅探軟體之一。DSniff軟體套件中包含了許多具有特殊功能的網路嗅探軟體,這些特殊的網路嗅探軟體可以使用一系列的主動攻擊方法,將網路流量重新定向到網路嗅探器主機,使得網路嗅探器有機會捕獲到網路中某台主機或整個網路的流量。這樣一來,我們就可以將DSniff在交換或路由的網路環境中,以及Cable modem拔號上網的環境中使用。甚至,當安裝有DSniff的網路嗅探器不直接連接到目標網路當中,它依然可以通過運程的方式捕獲到目標網路中的網路報文。DSniff支持Telnet 、Ftp、Smtp、P0P3、HTTP,以及其它的一些高層網路應用協議。它的套件當中,有一些網路嗅探軟體具有特殊的竊取密碼的方法,可以用來支持對SSL和SSH加密了的數據進行捕獲和解密。DSniff支持現在已經出現了的絕大多數的乙太網網卡。 4、 EttercapEttercap也是一個高級網路嗅探軟體,它可以在使用交換機的網路環境中使用。Ettercap能夠對大多數的網路協議數據包進行解碼,不論這個數據包是不是加密過了的。它也支持現在已經出現了的絕大多數乙太網網卡。Ettercap還擁有一些獨特的方法,用來捕獲主機或整個網路的流量,並對這些流量進行相應的分析 5、NetStumblerNetStumbler是一個用來尋找使用IEEE802.11a/b/g標準的無線區域網工具。它支持 包括PCMCIA 無線適配器在內的絕大多數主流無線適配器,同時,還加入了對全球 GPS 衛星定位系統的支持