怎麼將smsniff擷取的封包過濾

anubis

高級會員
已加入
12/22/03
訊息
1,224
互動分數
0
點數
36
小弟對資管略有興趣
想請問下站上的大大
開啟smsniff擷取封包之後
要怎樣判斷該封包的內容
 

夢夢狐

疑難雜症狐
已加入
11/13/03
訊息
3,073
互動分數
0
點數
36
網站
www.machcannon.idv.tw
如果只是純粹看封包的話,Ethereal(Wireshark)會比較方便
寫的很詳細,不過這種工具無論如何要能看懂英文、而且對TCP/IP檔頭的各參數很熟才行。



如果要再進一步,電腦自動判斷這個封包是否為惡意封包的話就是入侵防禦系統(IDS)的功能了。
 

anubis

高級會員
已加入
12/22/03
訊息
1,224
互動分數
0
點數
36
小弟換Ethereal
有去爬文 有看到史萊姆站長有拿ftp測試
真的可以看的到帳戶以及密碼 我自己測試也是這樣
有辦法隱藏嗎?
另外 像是一般的網頁以及木馬程式 要怎麼分辨他是不經用戶許可
往外輸出的封包 或者擷取該port的
假設木馬往外的port是1222
Ethereal要怎麼針對該port 過濾封包呢
 

夢夢狐

疑難雜症狐
已加入
11/13/03
訊息
3,073
互動分數
0
點數
36
網站
www.machcannon.idv.tw
小弟換Ethereal
有去爬文 有看到史萊姆站長有拿ftp測試
真的可以看的到帳戶以及密碼 我自己測試也是這樣
有辦法隱藏嗎?
另外 像是一般的網頁以及木馬程式 要怎麼分辨他是不經用戶許可
往外輸出的封包 或者擷取該port的
假設木馬往外的port是1222
Ethereal要怎麼針對該port 過濾封包呢

直接改用sFTP即可,不過那要伺服器端支援
Linux的話還好(內建此功能),如果是Windows系統的話請安裝WinSCP來使用。

http://winscp.net/eng/docs/lang:cht

TELNET也有此安全性問題,請改用ssh。

Ethereal可以下指令尋找特定的封包,不過在下不熟.....@ @
好像是下搜尋Port1222的相關指令,他就會找給你了
 

anubis

高級會員
已加入
12/22/03
訊息
1,224
互動分數
0
點數
36
小弟升級了
從一級升到二級 (後面還有98級等著我)
又換Wireshark 果然是同個作者寫的程式 核心都差不多
不過功能卻更即時性了 馬上抓馬上看
可是有個小問題
要怎樣將暗碼轉明碼 史萊姆示範也是明碼
小弟爬過文 但是找不到方法