抓包分析工具(etherpeek nx)2.1 注冊(cè)版(附注冊(cè)機(jī))

網(wǎng)絡(luò)監(jiān)聽(tīng)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。EtherPeek NX是比較常用也是功能比較強(qiáng)的一種。

EtherPeek NX軟件評(píng)估及分析整個(gè)OSI七層的架構(gòu)。

解析每個(gè)封包及即時(shí)的監(jiān)視網(wǎng)路的各種狀態(tài)，包含各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)及網(wǎng)絡(luò)架構(gòu)的問(wèn)題。

問(wèn)題的自動(dòng)識(shí)別能對(duì)其發(fā)生的問(wèn)題提供說(shuō)明及解決方案，并可以追蹤36種以上的網(wǎng)絡(luò)狀況，及提供Latency及Throughput解析。

還能將網(wǎng)絡(luò)上的所有結(jié)點(diǎn)溝通的狀態(tài)以圖形的方式完全顯示出來(lái)。它的顯示方式讓管理者能非常容易的了解網(wǎng)絡(luò)目前的狀況。

EtherPeek NX能接收局域網(wǎng)中的所有數(shù)據(jù)，并能對(duì)數(shù)據(jù)進(jìn)行分析，那么我們可以利用它來(lái)進(jìn)行網(wǎng)絡(luò)上數(shù)據(jù)的分析和偵察，找出網(wǎng)絡(luò)中非法數(shù)據(jù)，并對(duì)它作出有效的控制。下面就以網(wǎng)絡(luò)工具軟件NetRobocop（網(wǎng)絡(luò)執(zhí)法官）為例來(lái)用EtherPeek NX對(duì)它的數(shù)據(jù)包進(jìn)行分析。

NetRobocop這個(gè)軟件用于管理局域網(wǎng)，它可以獲取每個(gè)IP地址和MAC地址的對(duì)應(yīng)表，也能反映網(wǎng)絡(luò)用戶的連接狀況，可以限定各機(jī)器（包括計(jì)算機(jī)和指定了IP的網(wǎng)絡(luò)設(shè)備）所用的IP、上網(wǎng)時(shí)段，以及阻止未經(jīng)登記的計(jì)算機(jī)與網(wǎng)絡(luò)連接，記錄與網(wǎng)絡(luò)連接的各機(jī)器的上網(wǎng)時(shí)間。但是它一旦被人非法使用就會(huì)造成網(wǎng)絡(luò)的混亂，而且NetRobocop這個(gè)工具軟件也沒(méi)有公布它的原理，用EtherPeek NX對(duì)它數(shù)據(jù)包的分析也能了解一下這個(gè)軟件的原理。

以下使用了局域網(wǎng)中三臺(tái)計(jì)算機(jī)，分別是：

計(jì)算機(jī)A IP地址192.168.11.1 MAC地址 00-e0-4c-3c-0f-14

計(jì)算機(jī)B IP地址192.168.11.2 MAC地址 00-e0-4c-02-88-24

計(jì)算機(jī)C IP地址192.168.11.3 MAC地址 00-e0-4c-3c-05-20

其中在計(jì)算機(jī)C上安裝了NetRobocop軟件和EtherPeek NX軟件。

在沒(méi)有運(yùn)行NetRobocop的正常網(wǎng)絡(luò)情況下，我們查詢計(jì)算機(jī)A和B的ARP緩存表如下：

計(jì)算機(jī)A上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.1 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.2 00-e0-4c-3b-f0-46 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

計(jì)算機(jī)B上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.2 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.1 00-e0-4c-3c-0f-14 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

在運(yùn)行了NetRobocop后，它會(huì)列出所有設(shè)定IP地址網(wǎng)段內(nèi)連網(wǎng)的計(jì)算機(jī)，顯示了包括該計(jì)算機(jī)的IP地址、MAC地址、計(jì)算機(jī)名字、上線時(shí)間及網(wǎng)卡型號(hào)等信息。在沒(méi)有對(duì)其他用戶限制權(quán)限時(shí)，通過(guò)EtherPeek NX的Capture功能獲取數(shù)據(jù)進(jìn)行分析可以看到，NetRobocop是通過(guò)不停的向網(wǎng)絡(luò)上發(fā)送某個(gè)網(wǎng)段內(nèi)的所有IP地址的ARP請(qǐng)求數(shù)據(jù)，詢問(wèn)對(duì)方計(jì)算機(jī)的MAC地址，每臺(tái)計(jì)算機(jī)在收到這個(gè)ARP請(qǐng)求數(shù)據(jù)后就返回一個(gè)ARP響應(yīng)數(shù)據(jù)，返回給發(fā)送方自己的MAC地址，對(duì)這個(gè)正常的ARP響應(yīng)數(shù)據(jù)分析顯示它的信息如下（計(jì)算機(jī)B發(fā)送給計(jì)算機(jī)C的ARP響應(yīng)）：

Flags: 0x00

Status: 0x00

Packet Length:64 / 數(shù)據(jù)包長(zhǎng)度

Timestamp: 11:04:07.168000 09/25/2003

Ethernet Header

Destination: 00:E0:4C:3C:05:20 / 目標(biāo)MAC地址

Source: 00:E0:4C:3B:F0:46 / 源MAC地址

Protocol Type: 0x0806 IP ARP / 協(xié)議類型

ARP - Address Resolution Protocol

Hardware: 1 Ethernet (10Mb)

Protocol: 0x0800 IP

Hardware Address Length:6

Protocol Address Length:4

Operation: 2 ARP Response / ARP響應(yīng)

Sender Hardware Address:00:E0:4C:3B:F0:46 / 發(fā)送方MAC地址

Sender Internet Address:192.168.11.2 / 發(fā)送方IP地址

Target Hardware Address:00:E0:4C:3C:05:20 / 接收方MAC地址

Target Internet Address:192.168.11.3 / 接收方IP地址

Extra bytes

Number of bytes:

................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

.. 00 00 / 填充數(shù)據(jù)

FCS - Frame Check Sequence

FCS (Calculated): 0xDEC47B2A / 校驗(yàn)和

這時(shí)候的網(wǎng)絡(luò)充滿了ARP請(qǐng)求數(shù)據(jù)和ARP響應(yīng)數(shù)據(jù)，這些數(shù)據(jù)占用了很大的網(wǎng)絡(luò)帶寬，降低了網(wǎng)絡(luò)的流量和利用率,不管你是通過(guò)Capture獲取數(shù)據(jù)的方式來(lái)分析或者利用EtherPeek NX的協(xié)議類型數(shù)據(jù)分析或者流量分析都可以看出。