Ethereal 抓包、封包內容分析、查看明码教学

Ethereal软体介绍

Ethereal 封包监听器，是一套网管人员必备的超强软体。举凡在网路故障排除，监听异常封包，软体封包问题检测等等问题，甚至包含针对网路通讯协定的教育训练，都可以利用这套免费的软体来做到。

Unix 及 Windows 平台封包撷取、网路分析程式 - Ethereal，可以从动态的网路撷取封包，或者是由硬碟中撷取档桉来检查资料，您可以同时浏览每一个封包的撷取资料内容、检视概要及详细资讯，还有强 大的过滤器语言显示、检视重建的 TCP session 串流功能。

不久之前，Sniffer 和 NetXRay 大概是网管人员最熟悉的封包监听软体，但 Ethereal 这套免费的软体，由于採取开放原始码的方式，更新通讯协定 Protocol 迅速，支援不同软体汇出的封包撷取档桉格式，目前广为世界各地专业网管使用。

很容易的可以选取撷取封包时间，主要透过图形介面来表示，清晰易懂。此外，使用过滤的功能，可以让你轻易的判别出封包种类，可以让你清楚的分析网路中各式各样流窜的封包内容。

目 前支援620种不同的 Protocol，还在持续增加之中。相容的封包撷取档桉格式包含：tcpdump、, NAI 的 Sniffer，NetXray，Sun snoop，AIX 的 iptrace，Microsoft 的 Network Monitor，Novell 的 LANalyzer，Cisco 的 IDS iplog 等，几乎全部知名的封包撷取软体，通通都可以在这套软体中读取检视。

目前各种不同的作业系统几乎都有不同的版本可以支援使用。可以到网站中下载不同平台的版本。

说到抓封包看内容来说，这一套免费软体说是超强，支援协定出乎意料的多，常常更新版本，可惜的是目前还没有繁体中文版本

本文读者要先知道的智识：ISO 7和TCP/IP协定，FTP基础使用

教学内容：这一次的教学，我要使用 Ethereal找出本台电脑FTP的连线密码

以目前笔者使用最新的版本为0.99.0
也以这一版本作介绍使用方法请到http://www.ethereal.com/
左上角有一下载处Download Now，点一下下载

这边有分不同的作业系统有不同版本，Ethereal支援多种作业系统喔

这边其实也有以前的版本下载，打上http://www.ethereal.com/distribution.../all-versions/
这有以前的版本，还包括了windows系列使用Ethereal前一定要先安装的WinPcap，不过，自从0.99.0之后的版本，都不用另外下载安装winpcap了，因为都封装在ethereal裡面，那之前的版本就必须要另行下载安装winpcap了

下面这张图就是下载回来后的档桉清单，有各种版本，其中winpcap3.0和winpcap3.1是因为ethereal0.10的版本要另外下载安装

执行安装过程的第一个欢迎画面

这是协议书

这是选择要安装的套件内容，一般都全选了

这是选择要在那裡建立始动捷径
start menu group=在开始->程式集->
desktop icon=桌面
quick launch icon=快速工具列

而下面file exetnsions勾勾的就是说要把那一些副档名和ethereal建立关联

选择安装的路径


也就是我之前所说的，winpcap已经寺装在一起了，所以在这裡要选择安装winpcap 3.1


开始複製档桉了……


会特别跳出winpcap的安装程式

已经安装完成

这是ethereal的软体画面了

我们开始来抓封包了，点选Capture->Options

在Interface选项裡，选择你要抓封包的网卡，我这张图裡有5张网卡，但我上网的是RTL8139，我就选择RTL8139

选好再按START

这是在抓封包的过程，可以观察得到各协定所抓到的封包数量(同时也可以看看协定比例对不对)，你觉得抓得到你想要的封包时，就可以按STOP了，不过我先不按，因为这一次的教学我要找出FTP的连线密码，当然要先作ftp连线结束才再来按stop

我打开我的ftp 用户端，要连线的主机，帐号，密码都打上了，按下我的connect连线

YA！连线成功

认证成功，伺服器回应的讯息

这就是一般的ftp连线登入认证时所有过程，那到底ftp软体做了些什麽事情呢！？我们一来看看封包的内容吧

我们回到这个画面，按下stop来停止封包抓取的动作

按stop后的画面，这画面有分三大部份
1.最上面的是似照封包的接收顺序来排序的，就是左边的1.2.3.4.5.6.7......每一行就是一个封包
2.中间是每单一个封包的内容，大致上有四行，这四行是TCP/IP协定内所定意的四层，最上面是

第一层-实体层和网路介面层(frame)
第二层-网路层(包括来源ip和目的地ip，有时候也有mac address)
第三层-协定的种类(如http,ftp,telnet,pop,smtp..........)
第四层-应用层(包括所传送的内容，帐号，密码，或msn的通话内容......这一层也是单一封包内容最多的)
参考图片：

3.最下面的画面是封包真正的内容，也就是01010101010......的，不过是以16进位法表示的(看得懂的才有鬼呢...)

因为我们所抓的封包，是只要有经过我们网卡上的封包都会被抓下来，包括是我们要的，不是我们要的，都会抓下来，如何找出我们真正想要的封包呢？

我们来点选上一图Expression...的按钮，会出现下图，这是一个封包搜寻器辅助工具，也就是可以辅助我们输入正确的关建字


在左边选出我们要的协定或关键的字串，我们这一次是找ftp的封包，所以选完ftp就好了，如果按+号，会出现更多的细项，但我们不需要，所以直接按ok就好


还没搜索出来，因为刚刚只是辅助我们输入正确的关建字，现在在关建字多了ftp三个英文字，现在再按Filter，会出现下图


这是一些说明及搜寻ftp封包时所定的条件，可以不用理会直接按ok(或在上图中直接按Alpply)

这样就可以找到这一次封包中所收集的ftp封包

点一下NO.，似照封包的顺序来排列，这是第11个封包

我们直接看第四层内容

220 FTP Srver reday.rn

这个封包是ftp主机先say hi，说他自己是存在的，再要求我们提供资料(其中n是Enter键的意思)

那我们看看我们给ftp主机什麽东西，看第12个封包

我们也是直接看第四层内容

引用:

USER netbirdrn

我们的ftp软体会输入指令USER，再接是帐号netbird(按+是分析Request commanr:USER<回应指令是:USER>,--Request arg:netbird<回应内容是:netbird>)

下面是伺回应，第14个封包，有该帐号存在，该帐号需要密码，请输入密码


我们到送出密码的封包，是第15个封包，如下图

看到了密码是2pzwst87

因为ftp协定是明码传送封包的，所以使用ethereal是可以看得到的，明码传送密码的协定有
telnet,http,ftp,pop,smtp.....等

如果说不要被看到密码的，那就请用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....