Ethereal軟體介紹
Ethereal 封包監聽器,是一套網管人員必備的超強軟體。舉凡在網路故障排除,監聽異常封包,軟體封包問題檢測等等問題,甚至包含針對網路通訊協定的教育訓練,都可以利用這套免費的軟體來做到。
Unix 及 Windows 平台封包擷取、網路分析程式 - Ethereal,可以從動態的網路擷取封包,或者是由硬碟中擷取檔案來檢查資料,您可以同時瀏覽每一個封包的擷取資料內容、檢視概要及詳細資訊,還有強 大的過濾器語言顯示、檢視重建的 TCP session 串流功能。
不久之前,Sniffer 和 NetXRay 大概是網管人員最熟悉的封包監聽軟體,但 Ethereal 這套免費的軟體,由於採取開放原始碼的方式,更新通訊協定 Protocol 迅速,支援不同軟體匯出的封包擷取檔案格式,目前廣為世界各地專業網管使用。
很容易的可以選取擷取封包時間,主要透過圖形介面來表示,清晰易懂。此外,使用過濾的功能,可以讓你輕易的判別出封包種類,可以讓你清楚的分析網路中各式各樣流竄的封包內容。
目前支援620種不同的 Protocol,還在持續增加之中。相容的封包擷取檔案格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,幾乎全部知名的封包擷取軟體,通通都可以在這套軟體中讀取檢視。
目前各種不同的作業系統幾乎都有不同的版本可以支援使用。可以到網站中下載不同平台的版本。
說到抓封包看內容來說,這一套免費軟體說是超強,支援協定出乎意料的多,常常更新版本,可惜的是目前還沒有繁體中文版本
本文讀者要先知道的智識:ISO 7和TCP/IP協定,FTP基礎使用
教學內容:這一次的教學,我要使用Ethereal找出本台電腦FTP的連線密碼
以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到http://www.ethereal.com/
左上角有一下載處Download Now,點一下下載![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFxMemxPiGLUJe9N5kloixbHpQzqN5SFZQWuxUcgD5n1zUuneXpGaFq3NIWpKugotdEFs6qd_Xucbhp0glhrlZ6s-V2XGJVIQ-tuoJyH9A1hEdLtxkeSfFjhABHca9-MDEQDa_P5Tppn7t/s320/Ethereal001.jpg)
這邊有分不同的作業系統有不同版本,Ethereal支援多種作業系統喔
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjq7NYdKQSPv8XDycdA1p20vm0OVgxfqYJGvfpZGQ_0BQlH3F5kcMpLnAu6dHq1tasVsd-C5BmkBD6E7DyMIJ9medbkxW8Lrzdtw8wLzeKfgm-q9qqhNZtBkIb8hd9d6er5qkOjHqNywAB7/s320/Ethereal002.jpg)
這邊其實也有以前的版本下載,打上http://www.ethereal.com/distribution.../all-versions/
這有以前的版本,還包括了windows系列使用Ethereal前一定要先安裝的WinPcap,不過,自從0.99.0之後的版本,都不用另外下載安裝winpcap了,因為都封裝在ethereal裡面,那之前的版本就必須要另行下載安裝winpcap了
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbXb5zMlieBkwYdFvwOEV1FiqC5dWxet73nkxx04MRFM6Ib1fRn7_IHGRCETGuqeuk8a09uZ6GAOHNpU3RSkByMe00iZfX09AobyYmw-QS2JeaeGMi5kv9G5VL3TSDEy4l2eayWcngisQ5/s320/Ethereal003.jpg)
下面這張圖就是下載回來後的檔案清單,有各種版本,其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0t88mU5gL8I4jKB-xX8ZIaq2iE5ltJgecVUfoyUpPZ-_uv7iiIFU0CzUSzIPL2XwK0OVHJCjwwB4b1PZNu3ElnCNzUED3cOkIC2KTWKa1sD2FfhG0_xvZO-GxJINv8buF5pQjBw84mJa9/s320/Ethereal004.jpg)
執行安裝過程的第一個歡迎畫面
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBxWIGkzPF5XL-5jB7dKO78E8yOJatbH4LOKzML9ALbsHrW-td-ce9lnHMVKvvrePA_ifu-unxAXaP2ZkEpbZY-PgQjpi-UAlZqo0410xnSgFvSSdb9XMDqwZ6JL904PUzGZ8oPJHwMtcN/s320/Ethereal005.jpg)
這是協議書
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK4L3s48bSXygghQtBhDeTDBR8wdy-r1FWf4-Y4gZ3qfFldcPapcu5R4V4XamOOcvodbavYnKzhDbTlN64tsffYgN3qe3M7k18p0junrvuTBykJ6-0wniAnKUxU5iGwIg9k_zpSDTwY68y/s320/Ethereal006.jpg)
這是選擇要安裝的套件內容,一般都全選了
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm0OhRb74ACfMawN0tYxHb2R_vFDVc4Ge5cDloSUygA62OQC4kIy8-bkBqv1Mk_GHTwosn6WtZ1po6MofPIInPSTg5ETMNVMJ-X45dpOrUzGXaPDjpF3jav1lmz6-O6xDyqRvKfi3RgKjP/s320/Ethereal007.jpg)
這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列
而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關聯
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir0_zm_IUap7RJgsO8GCWdnc1jJQB38soNk1KPSDpxq8bAJ61o9q8tvAIcAYgdTTPMyvnmecCmeMJ5USDsTzONwS33Hab9g-u3MgR6z7TrclChsk7LWw26_5kEPOCwuWpWtBmVQbriJeHi/s320/Ethereal008.jpg)
選擇安裝的路徑
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmIrlCBzoN0eUqbvFiMElj6UJB16ySzF1rMt1BVkrdF5h1mECyiEzRGZ_-iKAaDeQNcdCP5wgFBqmKak_g7USm8hpKP2j3rvUbrKdy7Z3SWls64jS5Cq5n44eGL2xvO-rBM9OV_K2LQoeG/s320/Ethereal009.jpg)
也就是我之前所說的,winpcap已經寺裝在一起了,所以在這裡要選擇安裝winpcap 3.1
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguoUIKFWTnvUu0pOH2ltoRWkbxFe4J_8oBr6k5dcNxm4Ikb1TL7VUMHI673H2-Qn4YBSKuWLw5_vtUcZM_Lcu-benxxtz4TQ9sx2TYFu5sVdvW6UmTJZAKFLViH1Yf4gSuZ4Z4FRGcGT_8/s320/Ethereal010.jpg)
開始複製檔案了……
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh926AJJm6ys1_qjAupjjuY6k9wW4oZplZDjkysR9YORM3VbK2zm1MPD-ef-2oTytaH-cY5-OaIi6TDKce1St-dSpff-Vs8iqOnIwOR1lBdyO6oUzkamOXz3cb576yW46CKUhV-O31ORf_x/s320/Ethereal011.jpg)
會特別跳出winpcap的安裝程式
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF4sr7Xzlk9B9Mtck78FTGsdbLnPLYK8zK72XVNb_kglrFOU3n93CLks5OtVqQzhKBAeNZcBvHANRgrNEsaldt5GLcld_OXIYxnDGwufexY4uClHNj1ajR7fL1MrxhWmp3vbxVtLM-hY9n/s320/Ethereal012.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxGFn63UeSEtOEjJBd5iY10YE1FOMKrZxbw98F0U1i-MFXHGyPKIt7s0xT3jLaZGsQz-uiTD0l8j0cA-1YddNFPv1X_SLZBrhLDqzzcEvq1l7KDW5EeN1s-M0DNh7lG_8N18hoo1v4D0Gx/s320/Ethereal013.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiL7tgUt7PpvS3D6Tfi7GxLIdwdWqoo_RXY5hVaQ6uasAwjEZQZDJ0sa6YLrL1mBQzmgYtIvQJLi5QIL7hBkpxwoQMy9ZGfBkk2DprmQjYWLa_1u9lefHiJwRSwXIrwp_EcjnIqk-ljEKzI/s320/Ethereal014.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigukLE7b83eIglubs5CxWvSFt2KdK8_ICZ4S4WQOwt-gYJPSehlPgmZ1vcVtFNHZ8Km1VjxVWEAz2mbiHqc_2S0ivS4RgiejrXh2SBo8_P8zlsQTcH9yQAbpV4T982HfY2t3vbVwXaL1Xj/s320/Ethereal015.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivAb8wDu-83rqvWMlGpzo_l-Qw1-wdrtsziwRHXKtvh5k96kdAuuRGc9HsDT1kLfEFX6u1AT8ymmM2E1xlUwquYz2EY6qbwvps3vFQBFxsrJEP0d9ZGsfB7vsnHPr7gF3Pu0JRnX6MTz2E/s320/Ethereal016.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh45fS-umXK6OYve-4peBm_SWCRtkdW4bXeYQ4xX7ZH7SwHOBoBgZqi3_PA_lausMBX0zhTA45h6ZXyvz_oO9Y4QOAJdtfNeMe-vhTXN78VFxGDOejV5DJfIhxm7sINIRsb1ND89Aruke16/s320/Ethereal017.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdWuBxggUrP8ghtoukkji-uS5roNTLbT7BMlgSUXNS-zXeyqLZ0tPzkx8EbsXYH03nAYcrI9ioruMita0ms31LmwQ5yiQyya89N1Gg270LhLrGsxOrCGPNjf_3cX24UGb3y3Q_Kgh1KXm2/s320/Ethereal018.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjr0aIlSQWljgVAh8Z2VZVl3pzhyphenhyphenMAHzXcdYUU8XfcUZU0PQO_VYteFwjEYONpWgh1EQhKAPtJsBzuxYskuCDwgIjsLpfsN9XZSL9iApl5B6bFJ29H6-1S8ApsLb6LRZut1u4ZhkBxvTKHa/s320/Ethereal019.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBCIDJADlcvg05Zpc2Xkl9Zo63oP7QETf7eQFgHD5_F2g47WV_fibqSFDH21aSz08d3Yn52ftHoO2uJTmgzMvtNBIKJ8xP62j7CwDkyx4YKanRtD_v25pTZWcpNXq5Z07CqNkvSHFdyyAI/s320/Ethereal020.jpg)
在Interface選項裡,選擇你要抓封包的網卡,我這張圖裡有5張網卡,但我上網的是RTL8139,我就選擇RTL8139
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZ6iiuVgYqT5J8z-Du14clsPg0clEc3STzpk1zjXfVHNeDDIxo_cn79BP2JNMfDiCb5M3uEhb67DbM9XLCTo7_Y7fpmNoZQyKZ_9FKW-6yw2Giy3mmNobVB1sIYe-rM0Z3E78yfJJ_exf7/s320/Ethereal021.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3zlFePelA46NWflZXXuOJSAPS67yJtRBc8K5MbH6q46hguuUhfv_DYXKyl2IjQb_rloN44ovHjWkh6EDZ01aFC41FpRW8Z4N4Erb_3l4vJMGjidRQKCcrH1omQkMagZf8jYz6u6JWo2JD/s320/Ethereal022.jpg)
這是在抓封包的過程,可以觀察得到各協定所抓到的封包數量(同時也可以看看協定比例對不對),你覺得抓得到你想要的封包時,就可以按STOP了,不過我先不按,因為這一次的教學我要找出FTP的連線密碼,當然要先作ftp連線結束才再來按stop
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijSsxy8_CBGge-DZtx-ZRPVnuLtFAyOcTtN0TAUsym5rqNgsd_kP39EFO0nbCqm_X7iu0VJEOhEuuGVFGXpN27jf-sUsXXE-zJXkdpOZM6AUaQYvRoUCVVFfiI-TkN5aqIuKLWUjE13Jw5/s320/Ethereal023.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLbFoaf2RH_mFRlPRD2j8llYNr4MP8H4AycfUgETNdHUJlYJKR1b0GuEWEAxrlWalvLCq7j7jrBPLV-Mtu_d75Ke6FsbefG40HXQBfNZHKKSTA-pX_idtwSWrhj3RpbKTFUzuqId3xE5a5/s320/Ethereal026.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQbMku-uJ49TvPY-3Q2-fdugWQzXCo6ixKbGhbyyKPfa0Luw6AefjXzOtX2RVseIjwDnZzscL2sm0FaXiT72lQBWclFcZSCCD1KkT8ZwxS_6xdeKPFY-kUvpVz_YYmMskIfD1hz8RyCGYw/s320/Ethereal027.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhYJFitX_9bHokfVmKnlwf-g0sd-CRknEARUm0qgz5W0vesHYOArxbP40TNO5BlxknVJ2Ksr-TiDRnqe7nAtPRJ78rginbRU1gMTEBHU9NFjAvqtvXW0XVqdqjo1L8oSQMG8l6njuvVNzG/s320/Ethereal028.jpg)
這就是一般的ftp連線登入認證時所有過程,那到底ftp軟體做了些什麼事情呢!?我們一來看看封包的內容吧
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNW8bCF8LysoCekZoLjYCzw7niekgrDEsWRFHdInsr_Oy6T6xV9PqJTu7IFFcsfV4qtt65oVG1jcN58S7D7tjWERS5wrPl6ngm29_wq_moTSzf2dS58kRFdhFps6a99ETDgGZeCEq4dgP0/s320/Ethereal029.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3cnL2axPvx2xao6DwPcvBSneJ6Gp5EQDP4A6QGpyjK2TKXwfhoVEF41im3l5K77N-2fIPB-3ym-mq5xQptuAOP14HOKXtm427RsaPaj4Sy1sMs7zfyE8YYPcpO0mu6G9HCDNOLo1ClVHT/s320/Ethereal030.jpg)
按stop後的畫面,這畫面有分三大部份
1.最上面的是似照封包的接收順序來排序的,就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內容,大致上有四行,這四行是TCP/IP協定內所定意的四層,最上面是
3.最下面的畫面是封包真正的內容,也就是01010101010......的,不過是以16進位法表示的(看得懂的才有鬼呢...)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3cnL2axPvx2xao6DwPcvBSneJ6Gp5EQDP4A6QGpyjK2TKXwfhoVEF41im3l5K77N-2fIPB-3ym-mq5xQptuAOP14HOKXtm427RsaPaj4Sy1sMs7zfyE8YYPcpO0mu6G9HCDNOLo1ClVHT/s320/Ethereal030.jpg)
因為我們所抓的封包,是只要有經過我們網卡上的封包都會被抓下來,包括是我們要的,不是我們要的,都會抓下來,如何找出我們真正想要的封包呢?
我們來點選上一圖Expression...的按鈕,會出現下圖,這是一個封包搜尋器輔助工具,也就是可以輔助我們輸入正確的關建字
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs3V0M-Zh5rm5Py6l3xP4uPUnoMmKN6BxR9slC-ZLdFaUztt31DqvWEHIgUnaDflVVzS0SU7tzOb28pvMGcfMjvpuJ8zpdA6Rw9fjm-UtUnEvLYCmXBrg0AGiSYNUePOHGKqTglELy7Y5a/s320/Ethereal031.jpg)
在左邊選出我們要的協定或關鍵的字串,我們這一次是找ftp的封包,所以選完ftp就好了,如果按+號,會出現更多的細項,但我們不需要,所以直接按ok就好
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirOpuxpd16ne_HBxnebVl34zh6gjoPjRdsLQhV0-UNS1GPNuveygUsEOicJ6d9F8pOCSAF6bvOm7QsEQKsG09upTci1eoHlANvT1uYQVUq_CUH5bNDVd3pFe4ofUnZ4wKjqaLWoYflz6i0/s320/Ethereal032.jpg)
還沒搜索出來,因為剛剛只是輔助我們輸入正確的關建字,現在在關建字多了ftp三個英文字,現在再按Filter,會出現下圖
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0ZnWyaQRj9DnuKvT01zFYYCVIAQ02tAvLAkO4TgC46J-O0IrvgKfHNT-FIOMov0D-yu4WHAkxVCrMGADelBGzwL1jW11aNWPPQEIfCe0jamK8MdvPeMXMRSlFCOC1nSnlAZ959eAiNBRE/s320/Ethereal033.jpg)
這是一些說明及搜尋ftp封包時所定的條件,可以不用理會直接按ok(或在上圖中直接按Alpply)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9JhSYrOZ5Ph5pBWQ1C3dCKYIomAsAu9arR2aOshMHC9DUO-P-lvcU-UQzxFAzaEi6VNZKlANdRuv5DzV1rdMHPnLSwpXLkatWFJ0cHKrxeRHVluFNEUCnbJnasN76y76QRQ7a19nVi_BK/s320/Ethereal034.jpg)
我們直接看第四層內容
這個封包是ftp主機先say hi,說他自己是存在的,再要求我們提供資料(其中\n是Enter鍵的意思)
那我們看看我們給ftp主機什麼東西,看第12個封包
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjjW2vlXv-sxVjkPgbvWDzOUuNe6SHYnVozHUHH8FXn2zfNtQ4VgQWTLN2pnak5knVcETUy4FrKX6Hd9iD_NqE3h4HGYdTVg1MgCVkkFfqAMyCtfqV0RKBgzdSn1bcRpniPz6LX8uf-0to/s320/Ethereal036.jpg)
我們也是直接看第四層內容
我們的ftp軟體會輸入指令USER,再接是帳號netbird(按+是分析Request commanr:USER<回應指令是:USER>,--Request arg:netbird<回應內容是:netbird>)
下面是伺回應,第14個封包,有該帳號存在,該帳號需要密碼,請輸入密碼
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjjW2vlXv-sxVjkPgbvWDzOUuNe6SHYnVozHUHH8FXn2zfNtQ4VgQWTLN2pnak5knVcETUy4FrKX6Hd9iD_NqE3h4HGYdTVg1MgCVkkFfqAMyCtfqV0RKBgzdSn1bcRpniPz6LX8uf-0to/s320/Ethereal036.jpg)
我們到送出密碼的封包,是第15個封包,如下圖
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjO9EN04LlKCothrFEMVIpABZMjd9Y070M-vrf-ePpmtoSzlVbvlNMWEbtFe-XrmtFgXOZmsa8swq6pOebS8MhFdWla6ewgOL72OU7zM8envJpT_ohQoQdvnei5MOLzdWAUv7BS03BJjt2A/s320/Ethereal037.jpg)
因為ftp協定是明碼傳送封包的,所以使用ethereal是可以看得到的,明碼傳送密碼的協定有
telnet,http,ftp,pop,smtp.....等
如果說不要被看到密碼的,那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....
以上教學為教學之用,請勿使用以上技術偷竊別人的連線帳號及密碼
以上文章歡迎轉貼,但請註明出處於
http://netgames123.blogspot.com/
或
<史萊姆的第一個家-附設討論區By飛鳥>
Ethereal 封包監聽器,是一套網管人員必備的超強軟體。舉凡在網路故障排除,監聽異常封包,軟體封包問題檢測等等問題,甚至包含針對網路通訊協定的教育訓練,都可以利用這套免費的軟體來做到。
Unix 及 Windows 平台封包擷取、網路分析程式 - Ethereal,可以從動態的網路擷取封包,或者是由硬碟中擷取檔案來檢查資料,您可以同時瀏覽每一個封包的擷取資料內容、檢視概要及詳細資訊,還有強 大的過濾器語言顯示、檢視重建的 TCP session 串流功能。
不久之前,Sniffer 和 NetXRay 大概是網管人員最熟悉的封包監聽軟體,但 Ethereal 這套免費的軟體,由於採取開放原始碼的方式,更新通訊協定 Protocol 迅速,支援不同軟體匯出的封包擷取檔案格式,目前廣為世界各地專業網管使用。
很容易的可以選取擷取封包時間,主要透過圖形介面來表示,清晰易懂。此外,使用過濾的功能,可以讓你輕易的判別出封包種類,可以讓你清楚的分析網路中各式各樣流竄的封包內容。
目前支援620種不同的 Protocol,還在持續增加之中。相容的封包擷取檔案格式包含:tcpdump、, NAI 的 Sniffer,NetXray,Sun snoop,AIX 的 iptrace,Microsoft 的 Network Monitor,Novell 的 LANalyzer,Cisco 的 IDS iplog 等,幾乎全部知名的封包擷取軟體,通通都可以在這套軟體中讀取檢視。
目前各種不同的作業系統幾乎都有不同的版本可以支援使用。可以到網站中下載不同平台的版本。
說到抓封包看內容來說,這一套免費軟體說是超強,支援協定出乎意料的多,常常更新版本,可惜的是目前還沒有繁體中文版本
本文讀者要先知道的智識:ISO 7和TCP/IP協定,FTP基礎使用
教學內容:這一次的教學,我要使用Ethereal找出本台電腦FTP的連線密碼
以目前筆者使用最新的版本為0.99.0
也以這一版本作介紹使用方法請到http://www.ethereal.com/
左上角有一下載處Download Now,點一下下載
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFxMemxPiGLUJe9N5kloixbHpQzqN5SFZQWuxUcgD5n1zUuneXpGaFq3NIWpKugotdEFs6qd_Xucbhp0glhrlZ6s-V2XGJVIQ-tuoJyH9A1hEdLtxkeSfFjhABHca9-MDEQDa_P5Tppn7t/s320/Ethereal001.jpg)
這邊有分不同的作業系統有不同版本,Ethereal支援多種作業系統喔
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjq7NYdKQSPv8XDycdA1p20vm0OVgxfqYJGvfpZGQ_0BQlH3F5kcMpLnAu6dHq1tasVsd-C5BmkBD6E7DyMIJ9medbkxW8Lrzdtw8wLzeKfgm-q9qqhNZtBkIb8hd9d6er5qkOjHqNywAB7/s320/Ethereal002.jpg)
這邊其實也有以前的版本下載,打上http://www.ethereal.com/distribution.../all-versions/
這有以前的版本,還包括了windows系列使用Ethereal前一定要先安裝的WinPcap,不過,自從0.99.0之後的版本,都不用另外下載安裝winpcap了,因為都封裝在ethereal裡面,那之前的版本就必須要另行下載安裝winpcap了
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbXb5zMlieBkwYdFvwOEV1FiqC5dWxet73nkxx04MRFM6Ib1fRn7_IHGRCETGuqeuk8a09uZ6GAOHNpU3RSkByMe00iZfX09AobyYmw-QS2JeaeGMi5kv9G5VL3TSDEy4l2eayWcngisQ5/s320/Ethereal003.jpg)
下面這張圖就是下載回來後的檔案清單,有各種版本,其中winpcap3.0和winpcap3.1是因為ethereal0.10的版本要另外下載安裝
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh0t88mU5gL8I4jKB-xX8ZIaq2iE5ltJgecVUfoyUpPZ-_uv7iiIFU0CzUSzIPL2XwK0OVHJCjwwB4b1PZNu3ElnCNzUED3cOkIC2KTWKa1sD2FfhG0_xvZO-GxJINv8buF5pQjBw84mJa9/s320/Ethereal004.jpg)
執行安裝過程的第一個歡迎畫面
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBxWIGkzPF5XL-5jB7dKO78E8yOJatbH4LOKzML9ALbsHrW-td-ce9lnHMVKvvrePA_ifu-unxAXaP2ZkEpbZY-PgQjpi-UAlZqo0410xnSgFvSSdb9XMDqwZ6JL904PUzGZ8oPJHwMtcN/s320/Ethereal005.jpg)
這是協議書
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhK4L3s48bSXygghQtBhDeTDBR8wdy-r1FWf4-Y4gZ3qfFldcPapcu5R4V4XamOOcvodbavYnKzhDbTlN64tsffYgN3qe3M7k18p0junrvuTBykJ6-0wniAnKUxU5iGwIg9k_zpSDTwY68y/s320/Ethereal006.jpg)
這是選擇要安裝的套件內容,一般都全選了
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm0OhRb74ACfMawN0tYxHb2R_vFDVc4Ge5cDloSUygA62OQC4kIy8-bkBqv1Mk_GHTwosn6WtZ1po6MofPIInPSTg5ETMNVMJ-X45dpOrUzGXaPDjpF3jav1lmz6-O6xDyqRvKfi3RgKjP/s320/Ethereal007.jpg)
這是選擇要在那裡建立始動捷徑
start menu group=在開始->程式集->
desktop icon=桌面
quick launch icon=快速工具列
而下面file exetnsions勾勾的就是說要把那一些副檔名和ethereal建立關聯
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir0_zm_IUap7RJgsO8GCWdnc1jJQB38soNk1KPSDpxq8bAJ61o9q8tvAIcAYgdTTPMyvnmecCmeMJ5USDsTzONwS33Hab9g-u3MgR6z7TrclChsk7LWw26_5kEPOCwuWpWtBmVQbriJeHi/s320/Ethereal008.jpg)
選擇安裝的路徑
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjmIrlCBzoN0eUqbvFiMElj6UJB16ySzF1rMt1BVkrdF5h1mECyiEzRGZ_-iKAaDeQNcdCP5wgFBqmKak_g7USm8hpKP2j3rvUbrKdy7Z3SWls64jS5Cq5n44eGL2xvO-rBM9OV_K2LQoeG/s320/Ethereal009.jpg)
也就是我之前所說的,winpcap已經寺裝在一起了,所以在這裡要選擇安裝winpcap 3.1
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEguoUIKFWTnvUu0pOH2ltoRWkbxFe4J_8oBr6k5dcNxm4Ikb1TL7VUMHI673H2-Qn4YBSKuWLw5_vtUcZM_Lcu-benxxtz4TQ9sx2TYFu5sVdvW6UmTJZAKFLViH1Yf4gSuZ4Z4FRGcGT_8/s320/Ethereal010.jpg)
開始複製檔案了……
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh926AJJm6ys1_qjAupjjuY6k9wW4oZplZDjkysR9YORM3VbK2zm1MPD-ef-2oTytaH-cY5-OaIi6TDKce1St-dSpff-Vs8iqOnIwOR1lBdyO6oUzkamOXz3cb576yW46CKUhV-O31ORf_x/s320/Ethereal011.jpg)
會特別跳出winpcap的安裝程式
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF4sr7Xzlk9B9Mtck78FTGsdbLnPLYK8zK72XVNb_kglrFOU3n93CLks5OtVqQzhKBAeNZcBvHANRgrNEsaldt5GLcld_OXIYxnDGwufexY4uClHNj1ajR7fL1MrxhWmp3vbxVtLM-hY9n/s320/Ethereal012.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxGFn63UeSEtOEjJBd5iY10YE1FOMKrZxbw98F0U1i-MFXHGyPKIt7s0xT3jLaZGsQz-uiTD0l8j0cA-1YddNFPv1X_SLZBrhLDqzzcEvq1l7KDW5EeN1s-M0DNh7lG_8N18hoo1v4D0Gx/s320/Ethereal013.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiL7tgUt7PpvS3D6Tfi7GxLIdwdWqoo_RXY5hVaQ6uasAwjEZQZDJ0sa6YLrL1mBQzmgYtIvQJLi5QIL7hBkpxwoQMy9ZGfBkk2DprmQjYWLa_1u9lefHiJwRSwXIrwp_EcjnIqk-ljEKzI/s320/Ethereal014.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigukLE7b83eIglubs5CxWvSFt2KdK8_ICZ4S4WQOwt-gYJPSehlPgmZ1vcVtFNHZ8Km1VjxVWEAz2mbiHqc_2S0ivS4RgiejrXh2SBo8_P8zlsQTcH9yQAbpV4T982HfY2t3vbVwXaL1Xj/s320/Ethereal015.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEivAb8wDu-83rqvWMlGpzo_l-Qw1-wdrtsziwRHXKtvh5k96kdAuuRGc9HsDT1kLfEFX6u1AT8ymmM2E1xlUwquYz2EY6qbwvps3vFQBFxsrJEP0d9ZGsfB7vsnHPr7gF3Pu0JRnX6MTz2E/s320/Ethereal016.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh45fS-umXK6OYve-4peBm_SWCRtkdW4bXeYQ4xX7ZH7SwHOBoBgZqi3_PA_lausMBX0zhTA45h6ZXyvz_oO9Y4QOAJdtfNeMe-vhTXN78VFxGDOejV5DJfIhxm7sINIRsb1ND89Aruke16/s320/Ethereal017.jpg)
已經安裝完成
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdWuBxggUrP8ghtoukkji-uS5roNTLbT7BMlgSUXNS-zXeyqLZ0tPzkx8EbsXYH03nAYcrI9ioruMita0ms31LmwQ5yiQyya89N1Gg270LhLrGsxOrCGPNjf_3cX24UGb3y3Q_Kgh1KXm2/s320/Ethereal018.jpg)
這是ethereal的軟體畫面了
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjr0aIlSQWljgVAh8Z2VZVl3pzhyphenhyphenMAHzXcdYUU8XfcUZU0PQO_VYteFwjEYONpWgh1EQhKAPtJsBzuxYskuCDwgIjsLpfsN9XZSL9iApl5B6bFJ29H6-1S8ApsLb6LRZut1u4ZhkBxvTKHa/s320/Ethereal019.jpg)
我們開始來抓封包了,點選Capture->Options
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhBCIDJADlcvg05Zpc2Xkl9Zo63oP7QETf7eQFgHD5_F2g47WV_fibqSFDH21aSz08d3Yn52ftHoO2uJTmgzMvtNBIKJ8xP62j7CwDkyx4YKanRtD_v25pTZWcpNXq5Z07CqNkvSHFdyyAI/s320/Ethereal020.jpg)
在Interface選項裡,選擇你要抓封包的網卡,我這張圖裡有5張網卡,但我上網的是RTL8139,我就選擇RTL8139
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZ6iiuVgYqT5J8z-Du14clsPg0clEc3STzpk1zjXfVHNeDDIxo_cn79BP2JNMfDiCb5M3uEhb67DbM9XLCTo7_Y7fpmNoZQyKZ_9FKW-6yw2Giy3mmNobVB1sIYe-rM0Z3E78yfJJ_exf7/s320/Ethereal021.jpg)
選好再按START
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3zlFePelA46NWflZXXuOJSAPS67yJtRBc8K5MbH6q46hguuUhfv_DYXKyl2IjQb_rloN44ovHjWkh6EDZ01aFC41FpRW8Z4N4Erb_3l4vJMGjidRQKCcrH1omQkMagZf8jYz6u6JWo2JD/s320/Ethereal022.jpg)
這是在抓封包的過程,可以觀察得到各協定所抓到的封包數量(同時也可以看看協定比例對不對),你覺得抓得到你想要的封包時,就可以按STOP了,不過我先不按,因為這一次的教學我要找出FTP的連線密碼,當然要先作ftp連線結束才再來按stop
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijSsxy8_CBGge-DZtx-ZRPVnuLtFAyOcTtN0TAUsym5rqNgsd_kP39EFO0nbCqm_X7iu0VJEOhEuuGVFGXpN27jf-sUsXXE-zJXkdpOZM6AUaQYvRoUCVVFfiI-TkN5aqIuKLWUjE13Jw5/s320/Ethereal023.jpg)
我打開我的ftp 用戶端,要連線的主機,帳號,密碼都打上了,按下我的connect連線
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLbFoaf2RH_mFRlPRD2j8llYNr4MP8H4AycfUgETNdHUJlYJKR1b0GuEWEAxrlWalvLCq7j7jrBPLV-Mtu_d75Ke6FsbefG40HXQBfNZHKKSTA-pX_idtwSWrhj3RpbKTFUzuqId3xE5a5/s320/Ethereal026.jpg)
YA!連線成功
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQbMku-uJ49TvPY-3Q2-fdugWQzXCo6ixKbGhbyyKPfa0Luw6AefjXzOtX2RVseIjwDnZzscL2sm0FaXiT72lQBWclFcZSCCD1KkT8ZwxS_6xdeKPFY-kUvpVz_YYmMskIfD1hz8RyCGYw/s320/Ethereal027.jpg)
認證成功,伺服器回應的訊息
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhhYJFitX_9bHokfVmKnlwf-g0sd-CRknEARUm0qgz5W0vesHYOArxbP40TNO5BlxknVJ2Ksr-TiDRnqe7nAtPRJ78rginbRU1gMTEBHU9NFjAvqtvXW0XVqdqjo1L8oSQMG8l6njuvVNzG/s320/Ethereal028.jpg)
這就是一般的ftp連線登入認證時所有過程,那到底ftp軟體做了些什麼事情呢!?我們一來看看封包的內容吧
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjNW8bCF8LysoCekZoLjYCzw7niekgrDEsWRFHdInsr_Oy6T6xV9PqJTu7IFFcsfV4qtt65oVG1jcN58S7D7tjWERS5wrPl6ngm29_wq_moTSzf2dS58kRFdhFps6a99ETDgGZeCEq4dgP0/s320/Ethereal029.jpg)
我們回到這個畫面,按下stop來停止封包抓取的動作
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3cnL2axPvx2xao6DwPcvBSneJ6Gp5EQDP4A6QGpyjK2TKXwfhoVEF41im3l5K77N-2fIPB-3ym-mq5xQptuAOP14HOKXtm427RsaPaj4Sy1sMs7zfyE8YYPcpO0mu6G9HCDNOLo1ClVHT/s320/Ethereal030.jpg)
按stop後的畫面,這畫面有分三大部份
1.最上面的是似照封包的接收順序來排序的,就是左邊的1.2.3.4.5.6.7......每一行就是一個封包
2.中間是每單一個封包的內容,大致上有四行,這四行是TCP/IP協定內所定意的四層,最上面是
第一層-實體層和網路介面層(frame)
第二層-網路層(包括來源ip和目的地ip,有時候也有mac address)
第三層-協定的種類(如http,ftp,telnet,pop,smtp..........)
第四層-應用層(包括所傳送的內容,帳號,密碼,或msn的通話內容......這一層也是單一封包內容最多的)
參考圖片:
3.最下面的畫面是封包真正的內容,也就是01010101010......的,不過是以16進位法表示的(看得懂的才有鬼呢...)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj3cnL2axPvx2xao6DwPcvBSneJ6Gp5EQDP4A6QGpyjK2TKXwfhoVEF41im3l5K77N-2fIPB-3ym-mq5xQptuAOP14HOKXtm427RsaPaj4Sy1sMs7zfyE8YYPcpO0mu6G9HCDNOLo1ClVHT/s320/Ethereal030.jpg)
因為我們所抓的封包,是只要有經過我們網卡上的封包都會被抓下來,包括是我們要的,不是我們要的,都會抓下來,如何找出我們真正想要的封包呢?
我們來點選上一圖Expression...的按鈕,會出現下圖,這是一個封包搜尋器輔助工具,也就是可以輔助我們輸入正確的關建字
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs3V0M-Zh5rm5Py6l3xP4uPUnoMmKN6BxR9slC-ZLdFaUztt31DqvWEHIgUnaDflVVzS0SU7tzOb28pvMGcfMjvpuJ8zpdA6Rw9fjm-UtUnEvLYCmXBrg0AGiSYNUePOHGKqTglELy7Y5a/s320/Ethereal031.jpg)
在左邊選出我們要的協定或關鍵的字串,我們這一次是找ftp的封包,所以選完ftp就好了,如果按+號,會出現更多的細項,但我們不需要,所以直接按ok就好
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirOpuxpd16ne_HBxnebVl34zh6gjoPjRdsLQhV0-UNS1GPNuveygUsEOicJ6d9F8pOCSAF6bvOm7QsEQKsG09upTci1eoHlANvT1uYQVUq_CUH5bNDVd3pFe4ofUnZ4wKjqaLWoYflz6i0/s320/Ethereal032.jpg)
還沒搜索出來,因為剛剛只是輔助我們輸入正確的關建字,現在在關建字多了ftp三個英文字,現在再按Filter,會出現下圖
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0ZnWyaQRj9DnuKvT01zFYYCVIAQ02tAvLAkO4TgC46J-O0IrvgKfHNT-FIOMov0D-yu4WHAkxVCrMGADelBGzwL1jW11aNWPPQEIfCe0jamK8MdvPeMXMRSlFCOC1nSnlAZ959eAiNBRE/s320/Ethereal033.jpg)
這是一些說明及搜尋ftp封包時所定的條件,可以不用理會直接按ok(或在上圖中直接按Alpply)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9JhSYrOZ5Ph5pBWQ1C3dCKYIomAsAu9arR2aOshMHC9DUO-P-lvcU-UQzxFAzaEi6VNZKlANdRuv5DzV1rdMHPnLSwpXLkatWFJ0cHKrxeRHVluFNEUCnbJnasN76y76QRQ7a19nVi_BK/s320/Ethereal034.jpg)
這樣就可以找到這一次封包中所收集的ftp封包
我們直接看第四層內容
220 FTP Srver reday.\r\n |
那我們看看我們給ftp主機什麼東西,看第12個封包
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjjW2vlXv-sxVjkPgbvWDzOUuNe6SHYnVozHUHH8FXn2zfNtQ4VgQWTLN2pnak5knVcETUy4FrKX6Hd9iD_NqE3h4HGYdTVg1MgCVkkFfqAMyCtfqV0RKBgzdSn1bcRpniPz6LX8uf-0to/s320/Ethereal036.jpg)
我們也是直接看第四層內容
引用:
USER netbird\r\n |
下面是伺回應,第14個封包,有該帳號存在,該帳號需要密碼,請輸入密碼
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjjW2vlXv-sxVjkPgbvWDzOUuNe6SHYnVozHUHH8FXn2zfNtQ4VgQWTLN2pnak5knVcETUy4FrKX6Hd9iD_NqE3h4HGYdTVg1MgCVkkFfqAMyCtfqV0RKBgzdSn1bcRpniPz6LX8uf-0to/s320/Ethereal036.jpg)
我們到送出密碼的封包,是第15個封包,如下圖
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjO9EN04LlKCothrFEMVIpABZMjd9Y070M-vrf-ePpmtoSzlVbvlNMWEbtFe-XrmtFgXOZmsa8swq6pOebS8MhFdWla6ewgOL72OU7zM8envJpT_ohQoQdvnei5MOLzdWAUv7BS03BJjt2A/s320/Ethereal037.jpg)
看到了密碼是2pzwst87
因為ftp協定是明碼傳送封包的,所以使用ethereal是可以看得到的,明碼傳送密碼的協定有
telnet,http,ftp,pop,smtp.....等
如果說不要被看到密碼的,那就請用SSL,HTTPS,POP+SSL,SMTP+SSL,SSH.....
以上教學為教學之用,請勿使用以上技術偷竊別人的連線帳號及密碼
以上文章歡迎轉貼,但請註明出處於
http://netgames123.blogspot.com/
或
<史萊姆的第一個家-附設討論區By飛鳥>
13 則留言:
受益良多,真是謝謝
我要怎麼從我電腦監聽別人的網路卡封包呢?
請問一下
作業系統是LINUX
我已經把SNORT灌好了
但就是找不到要在哪執行
請問一下,圖中寫到說"我打開我的ftp 用戶端,要連線的主機,帳號,密碼都打上了,按下我的connect連線" 是在哪裡?一定要打上帳號跟密碼嗎?又是什麼的帳號密碼阿?
請問一下,圖中說到"我打開我的ftp 用戶端,要連線的主機,帳號,密碼都打上了,按下我的connect連線" 是在哪裡阿?一定要打上帳號密碼嗎?是什麼的帳號和密碼阿?
to匿名者:
是指你的ftp軟體,比如使用CuteFTP
請問一下
在Interface選項裡,選擇你要抓封包的網卡
這一個步驟中
我可以不選擇嗎?
然後在IP的地方輸入我要抓的IP?
我想請問一下,如果我是要抓msn封包,是該如何操作呢?不好意思,我是新手,還在研究中,敬請指導,謝謝
to bkdrfof:
在選協定時,你可以選msn的協定
請問一般的外掛程式它會適用哪一種協定
最近想要破解外掛的驗證 外掛是AIKA online專用的 如果我的想法沒錯的話
找到驗證伺服器傳回來的封包加以修改
可能有辦法破解 算是學術上的研究吧
請板大給點提示 謝謝
ftp filter 之後catch nothing, why?
阿六仔偷你的東西還不貼來源~
http://www.cnpaf.net/Class/Ethereal/200810/23062.html
[匿名提到...
ftp filter 之後catch nothing, why?
]
你有使用ftp 用戶端軟體產生ftp 封包嗎?
張貼留言