512.htm

unix高级编程原吗

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>CTerm非常精华下载</title>
</head>
<body bgcolor="#FFFFFF">
<table border="0" width="100%" cellspacing="0" cellpadding="0" height="577">
<tr><td width="32%" rowspan="3" height="123"><img src="DDl_back.jpg" width="300" height="129" alt="DDl_back.jpg"></td><td width="30%" background="DDl_back2.jpg" height="35"><p align="center"><a href="http://apue.dhs.org"><font face="黑体"><big><big>apue</big></big></font></a></td></tr>
<tr>
<td width="68%" background="DDl_back2.jpg" height="44"><big><big><font face="黑体"><p align="center">               ● UNIX网络编程                       (BM: clown)                </font></big></big></td></tr>
<tr>
<td width="68%" height="44" bgcolor="#000000"><font face="黑体"><big><big><p   align="center"></big></big><a href="http://cterm.163.net"><img src="banner.gif" width="400" height="60" alt="banner.gif"border="0"></a></font></td>
</tr>
<tr><td width="100%" colspan="2" height="100" align="center" valign="top"><br><p align="center">[<a href="index.htm">回到开始</a>][<a href="501.htm">上一层</a>][<a href="513.htm">下一篇</a>]
<hr><p align="left"><small>发信人: scz (小四), 信区: Security WWW-POST <br>
标  题: NetXray使用说明总汇(2001-03-29) <br>
发信站: 武汉白云黄鹤站 (Thu Mar 29 11:28:20 2001) , 转信 <br>
  <br>
标题：NetXray使用说明之(1) <br>
  <br>
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 这是一个ShareHub连接下的局域网 <br>
              | <br>
              | <br>
           5.5.5.5 这是一个8080端口上的http/ftp proxy <br>
              | <br>
              | <br>
           Internet <br>
  <br>
启动Capture，进入Capture Setting，选择Profiles-->New， <br>
以Default为模板，起名叫proxy，选择ok-->Done， <br>
设置过滤所有目标IP是5.5.5.5的报文，即Any---->5.5.5.5 <br>
开始抓包，同时从本机使用http proxy，然后就可以停止抓包。 <br>
选中一个目标IP是5.5.5.5的报文，按鼠标右键，选择"编辑显示过滤"， <br>
选择"数据模式"，选择Add Pattern，到TCP层选中8080目标端口， <br>
用鼠标选择"设置数据"，起名"目标端口8080"。回去选择"应用显示 <br>
过滤"。以后用proxy规则过滤将只过滤目标IP是5.5.5.5、目标端口 <br>
是8080的报文。要是对协议分析熟悉，根本不用写这么多，以后 <br>

要问NetXray的使用说明，请直奔主题，否则回答起来实在罗嗦。 <br>
关键是有些人太懒惰，不乐意自己实践。 <br>
  <br>
标题：NetXray使用说明之(2) <br>
  <br>
如何指定源端口、目标端口？ <br>
  <br>
1. 注意Data Pattern和Address是逻辑与的关系 <br>
2. 进入Data Pattern设置页 <br>
   比如你想设置这样一个过滤规则，源端口是2323或者目标端口是2323 <br>
   的IP包，先选中第一行，用Toggle AND/OR调整成OR，因为你的逻辑表达式 <br>
   的最外层是 OR <br>
3. 选择Add Pattern，在弹出的对话框里设置 <br>
  <br>
   Packet 34 2 Hex <br>
   从顶头开始填写 09 13，因为十进制的2323对应十六进制的0x0913，而IP包 <br>
   使用网络字节顺序，高字节在低地址。 <br>
   起名任意，比如源端口2323，确定 <br>
  <br>
   再次选择Add Pattern <br>
   Packet 36 2 Hex 从顶头开始填写 09 13 <br>
   起名任意，比如目标端口2323，确定 <br>

  <br>
   于是最外层的OR下有两个叶子，分别对应两个Pattern。 <br>
4. 还有很多变化，但都和这个基本例子差不多，你的过滤规则可以非常复杂。 <br>
   最外层的OR表示它下面的所有叶子之间都是OR的关系，所以我建议当你企图 <br>
   建立一个非常复杂的规则的时候先写出逻辑表达式再来操作，以免不必要的 <br>
   重复劳动。 <br>
  <br>
标题：NetXray使用说明之(3) <br>
  <br>
如何抓ftp/pop3口令明文？ <br>
  <br>
NetXray所谓的高级协议过滤事实上就是端口过滤，用(2)中介绍的方法指定源端口 <br>
目标端口均过滤0x00 0x17，就可以达到和指定telnet过滤一样的效果。NetXray <br>
认为telnet就是23端口，所以如果想捕捉一个非标准telnetd的通信，必须自己 <br>
指定端口过滤。此外Pwin98下services文件的修改不影响NetXray认为telnet就是 <br>
端口23。 <br>
  <br>
每次指定捕捉telnet协议，但显示的时候可能会发现有些包没有标记成telnet，而 <br>
是tcp，为什么？因为这些标记成tcp的包没有telnet数据区，虽然在完整的物理帧 <br>
中有数据，但根据IP报头中的 ntohs( ip->tot_len ) ，对于IP报文来说没有 <br>
telnet数据区。物理帧中为什么有？可能是考虑"填充"，我不知道是数据链路层从 <br>
内核返回的时候带上来的"填充"，还是对端发送的时候就已经"填充"，在linux下用 <br>

sock_packet抓包也存在同样的问题，一般情况下recvfrom返回的字节数减去各个报 <br>
头长度得到数据区长度，但出现"填充"时就不是这样了，所以处理IP协议族时，一 <br>
定要用 ntohs( ip->tot_len ) ，我写linuxkiller时才认真注意到这个问题。那么 <br>
用NetXray时，不要看第三栏，那里是完整的物理帧，有很多干扰信息，应该看第二 <br>
栏的数据区。 <br>
  <br>
如果是分析telnet协议并还原屏幕显示，只需要抓从server到client的回显数据即 <br>
可，因为口令不回显，这种过滤规则下抓不到口令明文。在linux下编程实现时需要 <br>
考虑95个可打印字符、汉字以及32个控制字符的显示过滤问题。如果想抓telnet的 <br>
口令明文，需要抓client到server的数据。Pred写的Sniff监听别人的BBS登录就象 <br>
看动画，但看不到口令，应该是只抓从server到client的回显数据。 <br>
  <br>
nethackii可以抓pop3/ftp/telnet的口令，对于前两者很容易实现，因为有PASS关 <br>
键字可以鉴别，后者稍微麻烦些，需要重组。值得一提的是foxmail的邮件监视器， <br>
简直就是定时发送口令明文，用NetXray抓从client到server包，指定过滤PASS关键 <br>
字，非常清楚。下面简单说一下这个设置： <br>
  <br>
先指定IP过滤规则，应该只指定 any <--> any，或者干脆不指定IP地址，以最大 <br>
可能地捕捉口令。 <br>
然后增加一个过滤模式，Packet 54 4 Hex 0x50 41 53 53 <br>
再增加一个过滤模式，Packet 54 4 Hex 0x70 61 73 73 <br>
两者是or模式，后者是因为这种关键字在网络传输中大小写不敏感，比如 <br>

cuteftp发送的是pass。剩下的就是等口令来了。注意，不必指定过滤特定高级协 <br>
议，直接指定过滤IP协议族就可以了，用这种办法ftp/pop3口令是很容易看清楚的。 <br>
因为许多ftp/pop3的口令可以telnet 23，所以...... <br>
  <br>
标题：NetXray使用说明之(4) <br>
  <br>
unix/linux下执行clear命令究竟发送了什么字符串到终端才导致清屏效果出现， <br>
用NetXray捕捉server到client的回显数据，发现如下字符串： <br>
1B 5B 48 1B 5B 4A <br>
可以用fprintf输出这些字符到屏幕上，结果就是导致清屏效果。 <br>
  <br>
对于UDP报文的源端口/目标端口过滤基本上和TCP报文的设置一样，不过这次换种方 <br>
式指定： <br>
Protocol 20 2 Hex 源端口 <br>
Protocol 22 2 Hex 目标端口 <br>
这些都是在没有使用IP选项的情况下指定，如果使用了IP选项就需要做相应改变。 <br>
  <br>
标题：NetXray使用说明之(5) <br>
  <br>
这里的使用说明可以用于sniffer pro 2.6，因为这两个东西实际是一个公司的。 <br>
虽然很多人告诉我sniffer pro比netxray强大，但是我个人觉得在协议分析方面 <br>
netxray比sniffer pro要方便，虽然支持的协议少了点，但是在设置过滤规则和 <br>

应用过滤规则等小操作上，显然sniffer pro没有吸取netxray的精华，这些小操 <br>
作平时很难遇到，但真正做协议分析指定一些复杂的过滤规则的时候就会碰上。 <br>
  <br>
今天我们介绍的是如何抓取RPC报文，下面给出的办法仅仅是种尝试而已。 <br>
  <br>
因为RPC Server使用动态端口，所以你无法进行常规的端口过滤设置，如果一定 <br>
要设置可能需要尝试，具体例子请参看<< RPC/XDR/NFS系列之----NFS/Mount协议 >> <br>
  <br>
这里给一种不是很科学的办法： <br>
  <br>
1. 指定进行IP过滤，设置Any <--> RPC Server IP <br>
2. 指定对TCP以及UDP协议进行过滤，因为RPC Server可能的底层支持协议包括二者。 <br>
3. 进入Data Pattern设置页，用Toggle AND/OR调整成OR，因为你的逻辑表达式 <br>
   的最外层是 OR <br>
4. 选择Add Pattern，在弹出的对话框里设置 <br>
  <br>
   Protocol 60 8 Hex 00 00 00 00 00 00 00 02 <br>
   起名TCP RPC CALL <br>
  <br>
5. 同4的步骤，依次选择Add Pattern，在弹出的对话框里设置 <br>
  <br>
   Protocol 60 4 Hex 00 00 00 01 <br>

   起名TCP RPC REPLY <br>
  <br>
   Protocol 32 8 Hex 00 00 00 00 00 00 00 02 <br>
   起名UDP RPC CALL <br>
  <br>
   Protocol 32 4 Hex 00 00 00 01 <br>
   起名UDP RPC REPLY <br>
  <br>
这里给的办法仅仅代表一种思路，如果你发现并没有抓住某个特定RPC SERVER <br>
的报文，可以自行调整过滤规则。要理解这个过滤规则，需要RPC本身的知识， <br>
可以参看<< RPC/XDR/NFS系列 >>。 <br>
  <br>
我曾经想设置远程程序号的过滤规则，但发现RPC REPLY报文中没有固定字段对 <br>
应远程程序号，只好放弃。如果你只想抓RPC CALL报文，可以考虑这个思路。 <br>
  <br>
标题：NetXray使用说明之(6)----捕捉oicq message报文 <br>
  <br>
NetXray发包前可以在decode状态下编辑，sniffer pro 2.6却不象NetXray那样 <br>
善解人意，只能进行二进制编辑。sniffer pro的Add Pattern里的TAB键极其混 <br>
帐，并且这里也不提供decode支持。始终不能理解这些地方。不过破解版的 <br>
NetXray在decode时有些地方对不准，菜单window也不时失灵。 <br>
  <br>
  <br>
暂略(回头补吧，没时间了) <br>
  <br>
今天讲讲oicq message报文的捕捉。 <br>
  <br>
1. 首先设置进行IP/UDP报文过滤，IP/TCP暂时就不必了，因为oicq message报文多 <br>
   是IP/UDP报文，我还没有看到过IP/TCP，应该是没有的。 <br>
  <br>
2. 根据需要在Address/IP Include里设置通信双方的IP，假设我们需要捕获所有与 <br>
   本机oicq.exe通信的oicq message报文，设置成 myIp <----> Any <br>
  <br>
3. 进入Data Pattern设置页，用<< NetXray使用说明之(2) >>里的办法指定 <br>
   ( ( srcPort == 4000 ) && ( dstPort != 8000 ) ) <br>
   || <br>
   ( ( srcPort != 8000 ) && ( dstPort == 4000 ) ) <br>
  <br>
   第一条的意思是本机向别人发消息，第二条是别人向本机发消息，之所以排除掉 <br>
   8000，你可以进入oicq chat room看看此时涉及的端口。那么为什么不指定两头 <br>
   都是4000呢，因为如果过了透明网关之类的，UDP RELAY的时候会改变源端口， <br>
   一般都不会是4000了。反过来，如果你发现一个入包的源端口不是4000，他/她应 <br>
   该在类似sygate的代理后面。不过此时UDP DATA PIPE已经建立，即使他/她在 <br>
   sygate后面，还是可以利用刚才抓到的IP/PORT和他/她通信，意味着很多事情都 <br>
   可能发生。 <br>
   可能发生。 <br>
  <br>
   这里假设都通过oicq.exe通信，如果用自己写的程序与oicq.exe通信，源端口不 <br>
   必非是4000，可以任意指定。 <br>
  <br>
4. 算了，还是详细说说条目3中高级过滤规则的指定 <br>
  <br>
   a. 用Toggle AND/OR把最上层调成OR <br>
   b. 选中OR，然后Add AND/OR增加两个上去，分别用Toggle AND/OR调成AND <br>
   c. 选中第一个AND，然后Add Pattern，选中增加的Pattern，选择 <br>
      Packet 34 2 Hex，从1开始输入 0F A0，就是0x0fa0的意思， <br>
      srcPort == 4000 <br>
   d. 选中第一个AND，然后Add NOT，选中增加的NOT，用Toggle NOT确认已经调成 <br>
      NOT，选中NOT，然后Add Pattern，选中增加的Pattern，选择 <br>
      Packet 36 2 Hex，从1开始输入 1F 40，就是0x1f40的意思， <br>
      dstPort != 8000 <br>
   e. 选中第二个AND，重复"类似"c、d的步骤，分别指定srcPort != 8000以及 <br>
      dstPort == 4000 <br>
   f. 选中最上层的OR，看看summary，是否符合你预想的逻辑表达式，如果不符合， <br>
      继续调整，直至正确。 <br>
  <br>
虽然这里是针对oicq.exe设置高级过滤规则，但这是一个很完整而又略显复杂的设置 <br>
说明，对<< NetXray使用说明之(2) >>是个很好的补充。 <br>

  <br>
标题：NetXray使用说明之(小插曲)----分析netants的1975问题 <br>
  <br>
设置过滤规则为：myIp --> any:1975 <br>
  <br>
设置捕获IP/TCP协议，注意不要指定捕获HTTP协议，NetXray是根据端口区分协议的， <br>
你指定HTTP协议，就只捕获80端口的报文了。 <br>
  <br>
过一段时间1975上的连接自动切断。 <br>
  <br>
在本机用netstat -a 或者 netstat -na 看到如下信息： <br>
  <br>
TCP    scz:1475             ad2-1.aureate.com:1975    ESTABLISHED <br>
TCP    192.168.8.90:1475    216.37.13.140:1975        ESTABLISHED <br>
  <br>
标题：NetXray使用说明之(7)----LanExplorer 3.5下的过滤规则设置 <br>
  <br>
作者：小四 < mailto: scz@nsfocus.com > <br>
主页：http://www.nsfocus.com <br>
日期：2000-08-28 20:21 <br>
  <br>
-------------------------------------------------------------------------- <br>

下面是咱们<ipxodi@nsfocus.com>的大放厥词： <br>
  <br>
LanExplorer 3.5，9x/NT/2K下的协议分析软件，7MB， <br>
http://www.intellimax.com <br>
  <br>
破解如下： <br>
  <br>
安装完成后，用HEXEDIT打开probe.exe <br>
CTRL+G 跳到0x4eac7，把75改成eb，保存。 <br>
以后运行提示注册，点击Cancel进入即可。 <br>
-------------------------------------------------------------------------- <br>
  <br>
实际上LanExplorer和NetXray不是一个厂家的产品，从使用上也很多不同，但是从协 <br>
议分析角度来看，没有区别，姑且放到一起介绍。这个系列完全是为初学者写的，前 <br>
阵有人问起续篇，将就着再写写，实在是没意思的东西。 <br>
  <br>
1. <br>
  <br>
从菜单上选择Capture-->Filter，选择左上角的[ New Profile ]按钮，输入你觉得 <br>
切合要求的名字，比如TCP-SMB。这里有个小窍门，如果你已经有一个合理可用的IP <br>
规则，就先选中IP规则，然后点击左上角的[ New Profile ]按钮，那么新规则以IP <br>
规则为模板生成。 <br>

  <br>