NetXray嗅探器介紹

NetXray是一款常用的嗅探器，也是個功能強大的軟體，他具備了常用的嗅探功能，并且使用友善。下面我們來看看他的具體用法和步驟:

1，整體輪廓

因為NetXray是英文版的，對讨厭E文的朋友來說是件令人頭疼的事，是以先了解大體的筐架是有必要的:NetXray的主界面:

菜單欄有六個選項，分别為檔案(file)、捕獲(capture)、包(packet)、工具(tools)、視窗(window)和幫助(help)。

它的工具欄裡集合了大部分的功能，依次為:打開檔案(Open)、儲存(Save)、列印(Print)、取消列印(Abort Printing)、回到第一個包(First Packet)、前一個包(Previous)、下一個包(Next)、到達最後一個包(Last Packet)、儀器闆(Dashboard)、捕獲闆(Capture Panel)、包發生器(Packet Generator)、顯示主機表(Host Table)等。

NetXray的大部分功能都能用工具欄裡的按鈕實作。

2，确定目标

依次點選:Capture菜單中Capture Filter Setting，單擊Profilems選擇New，進入如下對話(圖2)，在New Profile Name中輸入First，以Default為模闆選擇OK，然後選擇Done，在New Profile Name中輸入First，以Default為模闆選擇OK，然後Done。

設定過濾所有目标IP是xxx.xxx.xxx.xxx的封包，即指向Any輸入:xxx.xxx.xxx.xxx現在就可以開始抓包了，同時用IE登陸你剛才輸入的IP，會發現NetXray視窗中的指針在移動，等到他提示你過濾到包後，就可以停止抓包了。

選中一個目标IP是xxx.xxx.xxx的封包，選擇菜單條中的PacketàEdit Display Filte，選擇"Data Pattern"，選擇"Add Pattern"，到TCP層選中8080目标端口，用滑鼠選擇"set data"，在name中輸入"TCP"。點選OK，确定，然後在Packet中選擇"Apply Display Filter"。以後用proxy規則過濾将隻過濾目标IP是xxx.xxx.xxx.xxx、目标端口是8080的封包。

3，設定條件(端口)

确定好了目标，先面來設定嗅探的條件:依次選擇:Filter SettingàData Pattern，舉一例說明:過濾經過bbs(端口2323)的IP包，先選中第一行，用Toggle AND/OR調整成OR，如下圖(圖3)選擇Edit Pattern，在彈出的對話框裡設定:Packet 34 2 Hex(十六進制)，從頂頭開始填寫 09 13，(因為十進制的2323對應十六進制的0x0913)，而IP包使用網絡位元組順序，高位元組在低位址。起名為beginbbs，單擊OK，再次選擇Edit Pattern，Packet 36 2 Hex 從頂頭開始填寫 09 13 起名為endbbs，單擊OK。于是最外層的OR下有兩個葉子，分别對應兩個Pattern。

4，實戰開始

NetXray所謂的進階協定過濾事實上就是端口過濾，用上面介紹的方法指定源端口、目标端口均過濾0x00 0x17(23)，就可以達到和指定telnet過濾一樣的效果。因為telnet就是23端口，是以如果想捕捉一個非标準telnet的通信，必須自己指定端口過濾。

如果是分析telnet協定并還原螢幕顯示，隻需要抓從server到client的回顯資料即可，因為密碼不回顯，這種過濾規則下抓不到密碼明文。用NetXray抓從client到server包，指定過濾PASS關鍵字。