抓包分析工具(etherpeek nx)2.1 注冊版(附注冊機)

網(wǎng)絡監(jiān)聽是利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。EtherPeek NX是比較常用也是功能比較強的一種。

EtherPeek NX軟件評估及分析整個OSI七層的架構。

解析每個封包及即時的監(jiān)視網(wǎng)路的各種狀態(tài)，包含各個網(wǎng)絡結點及網(wǎng)絡架構的問題。

問題的自動識別能對其發(fā)生的問題提供說明及解決方案，并可以追蹤36種以上的網(wǎng)絡狀況，及提供Latency及Throughput解析。

還能將網(wǎng)絡上的所有結點溝通的狀態(tài)以圖形的方式完全顯示出來。它的顯示方式讓管理者能非常容易的了解網(wǎng)絡目前的狀況。

EtherPeek NX能接收局域網(wǎng)中的所有數(shù)據(jù)，并能對數(shù)據(jù)進行分析，那么我們可以利用它來進行網(wǎng)絡上數(shù)據(jù)的分析和偵察，找出網(wǎng)絡中非法數(shù)據(jù)，并對它作出有效的控制。下面就以網(wǎng)絡工具軟件NetRobocop（網(wǎng)絡執(zhí)法官）為例來用EtherPeek NX對它的數(shù)據(jù)包進行分析。

NetRobocop這個軟件用于管理局域網(wǎng)，它可以獲取每個IP地址和MAC地址的對應表，也能反映網(wǎng)絡用戶的連接狀況，可以限定各機器（包括計算機和指定了IP的網(wǎng)絡設備）所用的IP、上網(wǎng)時段，以及阻止未經(jīng)登記的計算機與網(wǎng)絡連接，記錄與網(wǎng)絡連接的各機器的上網(wǎng)時間。但是它一旦被人非法使用就會造成網(wǎng)絡的混亂，而且NetRobocop這個工具軟件也沒有公布它的原理，用EtherPeek NX對它數(shù)據(jù)包的分析也能了解一下這個軟件的原理。

以下使用了局域網(wǎng)中三臺計算機，分別是：

計算機A IP地址192.168.11.1 MAC地址 00-e0-4c-3c-0f-14

計算機B IP地址192.168.11.2 MAC地址 00-e0-4c-02-88-24

計算機C IP地址192.168.11.3 MAC地址 00-e0-4c-3c-05-20

其中在計算機C上安裝了NetRobocop軟件和EtherPeek NX軟件。

在沒有運行NetRobocop的正常網(wǎng)絡情況下，我們查詢計算機A和B的ARP緩存表如下：

計算機A上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.1 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.2 00-e0-4c-3b-f0-46 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

計算機B上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.2 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.1 00-e0-4c-3c-0f-14 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

在運行了NetRobocop后，它會列出所有設定IP地址網(wǎng)段內連網(wǎng)的計算機，顯示了包括該計算機的IP地址、MAC地址、計算機名字、上線時間及網(wǎng)卡型號等信息。在沒有對其他用戶限制權限時，通過EtherPeek NX的Capture功能獲取數(shù)據(jù)進行分析可以看到，NetRobocop是通過不停的向網(wǎng)絡上發(fā)送某個網(wǎng)段內的所有IP地址的ARP請求數(shù)據(jù)，詢問對方計算機的MAC地址，每臺計算機在收到這個ARP請求數(shù)據(jù)后就返回一個ARP響應數(shù)據(jù)，返回給發(fā)送方自己的MAC地址，對這個正常的ARP響應數(shù)據(jù)分析顯示它的信息如下（計算機B發(fā)送給計算機C的ARP響應）：

Flags: 0x00

Status: 0x00

Packet Length:64 / 數(shù)據(jù)包長度

Timestamp: 11:04:07.168000 09/25/2003

Ethernet Header

Destination: 00:E0:4C:3C:05:20 / 目標MAC地址

Source: 00:E0:4C:3B:F0:46 / 源MAC地址

Protocol Type: 0x0806 IP ARP / 協(xié)議類型

ARP - Address Resolution Protocol

Hardware: 1 Ethernet (10Mb)

Protocol: 0x0800 IP

Hardware Address Length:6

Protocol Address Length:4

Operation: 2 ARP Response / ARP響應

Sender Hardware Address:00:E0:4C:3B:F0:46 / 發(fā)送方MAC地址

Sender Internet Address:192.168.11.2 / 發(fā)送方IP地址

Target Hardware Address:00:E0:4C:3C:05:20 / 接收方MAC地址

Target Internet Address:192.168.11.3 / 接收方IP地址

Extra bytes

Number of bytes:

................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

.. 00 00 / 填充數(shù)據(jù)

FCS - Frame Check Sequence

FCS (Calculated): 0xDEC47B2A / 校驗和

這時候的網(wǎng)絡充滿了ARP請求數(shù)據(jù)和ARP響應數(shù)據(jù)，這些數(shù)據(jù)占用了很大的網(wǎng)絡帶寬，降低了網(wǎng)絡的流量和利用率,不管你是通過Capture獲取數(shù)據(jù)的方式來分析或者利用EtherPeek NX的協(xié)議類型數(shù)據(jù)分析或者流量分析都可以看出。