簡單實用的Sniffer軟件IRIS Traffic Analyzer圖文教程

Anti ARP Sniffer 網卡掃描工具V2.1綠色特別版

• 類型：IP 工具大�。�353KB語言：中文 評分：8.0
• 標簽：

立即下載

說到Sniffer軟件大家可能馬上就能想起NAI的Sniffer Pro。Sniffer Pro雖然功能特性豐富，但是操作起來有些繁縟。再這里我給大家介紹一款簡單實用的Sniffer軟件，那就是我們今天的主角：Iris Traffic Analyzer。

我將以Iris Traffic Analyzer 4.0.7為藍本結合幾個簡單案例給大家簡單講講Iris的使用

一．  IRIS特性簡介
　　Iris師出名門---eeye，eeye是一家以網絡安全見長的公司，它的掃描器以及其他安全方案在業(yè)界也算鼎鼎大名了。
好了，我也不廢話了，先簡單但說說Iris有哪些特性和優(yōu)點。
簡單小巧
Iris的最大特點，在你安裝完成之后，只需簡單的點一下界面上一個按鈕就可以開始Sniffing抓包了！
Iris的安裝文件也不到5M，安裝下來才占用10多M。對比Sniffer Pro這些而言可謂苗條身材。
見下圖中話圓圈的地方：

 
易上手
沒有那么繁多的功能+簡單易用的界面。上手當然是易如反掌。
   
再說說Iris有那些值得稱道的功能。
（1）抓包
嘿嘿，只要是Sniffing軟件這個功能是必備的！
Iris的一個非常好的方面就是把抓包和Decode，察看包的內容集成在一個界面里面。這樣你就可以在一邊抓包一邊察看包的內容，以及包頭含義等等。
（2）解碼
支持大部分的TCP/IP協(xié)議！這樣對一般的抓包分析應用就已經足夠了。
（3）包的編輯以及重新發(fā)送功能
你可以對自己抓到的數據報文進行簡單修改然后重新發(fā)送。
同時，IRIS也帶簡單的流量統(tǒng)計分析功能！

二．IRIS的安裝
Iris可以運行在Win95/98/Me/NT/2k/XP環(huán)境下。
Iris的安裝和普通的windows應用程序安裝一樣都是向導式的安裝，按下一步一直到完成就可以方便的安裝完成！所以對于Iris的安裝我就不一一敘述了
三．IRIS的主界面
安裝好Iris之后，我們就可以馬上運行了，Iris第一次運行時需要選擇在那塊網絡適配卡上運行Iris。
Iris的主界面如下圖：

這個界面是可以調整的，但是建議大家如沒特殊需求還是不要更改，因為這個缺省界面已經是經過優(yōu)化了的。

四．簡單實例
在簡單了解了Iris的大體全貌之后，接著我們就進入學習具體功能的部分，最好的學習方法，當然就是實際操練。所以我準備了三個簡單的事例。

（1）利用Iris捕獲郵箱密碼
有時候我們經常會忘記一些事情，比如郵箱密碼。如果你把密碼保存在客戶端軟件上那么你就能夠找回密碼的希望！當然找回密碼的方式多種多樣，我在這里介紹一種笨方法
介紹笨方法不是我的本意，我的本意是讓大家從這個事例中學習Iris的功能！
好了，廢話少說，切入正題！
在開工之前，我們需要簡單了解了解收發(fā)E-Mail涉及的兩種協(xié)議SMTP和POP3
SMTP是發(fā)送郵件的協(xié)議，POP3是收發(fā)郵件的協(xié)議。在收發(fā)郵件的時候，密碼和擁護名都是明文發(fā)送，所以就給了我們找回密碼的機會！
   
第一步：開啟抓包功能
點選工具欄上類似播放健的那個按鈕(Start/Stop Capture)，就是 這個按鈕！

第二步：開啟Filter功能

在沒有開啟Filter功能之前，你可能抓獲的是所有進出你網卡的流量，有過路的，有看熱鬧的，當然也有你要找的，為了方便我們查找目標，我們需要簡單的過濾一下！
Iris內置了幾個預先定義好了的Filter，剛好有一個email.flt，那我們就不用費勁的自己定義了！

選擇菜單Filter-->àemail.flt
第三步：運行你的郵件客戶端軟件，收一下郵件

第四步：停止抓包
點工具欄上Stop Capture按鈕

第五步：尋找密碼
因為Email收發(fā)郵件的用戶名和密碼都是明文傳輸的，所以你的密碼就藏在你捕獲的那些報文里面現在你只需要一個一個檢視。
如下圖：

（2）利用Iris捕獲Telnet會話密碼
在講完上面那個例子之后大家肯定對Iris的抓包功能有了一定的了解，為了大家對
IRIS 的解碼（decode）功能有個深刻的認識

剛好，在網絡分析論壇看到一個抓包分析Telnet會話密碼的，剛好借鑒過來作為這個簡易教程的第二個實例！

在開始之前簡單說一下Telnet這個協(xié)議的特點。當然它也是明文的，但是它有兩個麻煩的地方相比POP3這些協(xié)議，由于Telnet是個交互式協(xié)議，所以當你敲一個字符的時候有可能就被發(fā)往服務器端了，服務器端又發(fā)回相應的回顯字符！再加上它沒有POP3
明顯的PASS命令，所以如果還是采用第一個例子里面的一個報文一個報文的查看肯定是非常麻煩的。所以我們必須有某種新的方法來解決這個問題！

第一步 抓包！
還不會?那繼續(xù)看前面那個例子。。。

第二步 開啟Filter功能
剛好這次又有現成的！
菜單Filteràtext_protocol.flt

第三步 開個Telnet會話

第四步 停止抓包

第五步 切換到Decode解碼模式
切換的方法有多種
第一種你可以選擇工具欄里面的
第二種你可以選在左邊工具欄里面的
第三種 菜單 DecodeàSend Buffer To decode

這樣我們就進入了Iris的Decode模式！這個時候Iris會根據Capture的報文對TCP會話進行解碼。這樣我們就可以清晰的看到一個Telnet會話的過程！
如下圖：
紅圈處大家就可以看到我輸入的密碼！

是：ixix 而不是[mi*x*i*x*
這是因為[m是控制字符，*是回顯字符！

五．如何得到進一步的幫助
看完上面事例，大家肯定對Iris有了一定的了解，可以基本使用它了，但是如果大家在使用過程中可能還會遇到各種各樣的問題。所以最后我給大家準備了幾條錦囊妙計

1．看IRIS自帶的幫助文件
你90%的問題都可以在這里找到答案。
2．去Iris的老家www.eeye.com看看
一些比較棘手的問題，你可能在幫助那里找不到答案，這個時候你可以到軟件的官方網站上看看，也許你會有一定的幫助。
3．利用搜索引擎比如：Google,Yahoo,Baidu
還找不到答案？那就翠花，上狗狗。
4．如果還沒有得到解決，那就把問題詳細描述出來，在論壇上發(fā)貼求助。

六． 結束語
第一次寫這種軟件教程類的咚咚，寫的不好，還望各位看官多多見諒