怎麼將smsniff擷取的封包過濾

[anubis]

小弟對資管略有興趣
想請問下站上的大大
開啟smsniff擷取封包之後
要怎樣判斷該封包的內容

 

[夢夢狐]

如果只是純粹看封包的話，Ethereal(Wireshark)會比較方便
寫的很詳細，不過這種工具無論如何要能看懂英文、而且對TCP/IP檔頭的各參數很熟才行。

如果要再進一步，電腦自動判斷這個封包是否為惡意封包的話就是入侵防禦系統(IDS)的功能了。

 

[anubis]

小弟換Ethereal
有去爬文 有看到史萊姆站長有拿ftp測試
真的可以看的到帳戶以及密碼 我自己測試也是這樣
有辦法隱藏嗎?
另外 像是一般的網頁以及木馬程式 要怎麼分辨他是不經用戶許可
往外輸出的封包 或者擷取該port的
假設木馬往外的port是1222
Ethereal要怎麼針對該port 過濾封包呢

 

[夢夢狐]

小弟換Ethereal
有去爬文 有看到史萊姆站長有拿ftp測試
真的可以看的到帳戶以及密碼 我自己測試也是這樣
有辦法隱藏嗎?
另外 像是一般的網頁以及木馬程式 要怎麼分辨他是不經用戶許可
往外輸出的封包 或者擷取該port的
假設木馬往外的port是1222
Ethereal要怎麼針對該port 過濾封包呢

直接改用sFTP即可，不過那要伺服器端支援
Linux的話還好(內建此功能)，如果是Windows系統的話請安裝WinSCP來使用。

http://winscp.net/eng/docs/lang:cht

TELNET也有此安全性問題，請改用ssh。

Ethereal可以下指令尋找特定的封包，不過在下不熟.....@ @
好像是下搜尋Port1222的相關指令，他就會找給你了

 

[anubis]

小弟升級了
從一級升到二級 (後面還有98級等著我)
又換Wireshark 果然是同個作者寫的程式 核心都差不多
不過功能卻更即時性了 馬上抓馬上看
可是有個小問題
要怎樣將暗碼轉明碼 史萊姆示範也是明碼
小弟爬過文 但是找不到方法