512.htm

unix高级编程原吗

2. <br>
  <br>
选中TCP/UDP Port页，点击最顶行最右边的[ TCP/UDP Ports... ]按钮，选择New， <br>
输入端口号445，描述任意，比如TCP-SMB，Ok。 <br>
  <br>
Filter Mode选择Inclusive，选中下面的[ Exclude Non-TCP/UDP Packets ]复选框 <br>
在[ Port 1 ]里选择刚刚新创建的TCP-SMB，选择-->，在[ Port 2 ]里选择All，选 <br>
中右边的TCP复选框，UDP复选框不要选中。 <br>
  <br>
3. <br>
  <br>
选中Address页，Address Mode选择IP，选中下面的[ Exclude Non-IP Packets ]复 <br>
选框，Filter Mode选择Inclusive，在[ Address 1 ]里选择[ Any Address ]，选择 <br>
-->，在[ Address 2 ]里输入192.168.8.90(我自己的内部IP) <br>
  <br>
4. <br>
  <br>
选中Layer 3+页，假设所有的复选框都清空了，从右边开始，在TCP/UDP栏里只选择 <br>
Others，而IP/ARP栏里的TCP和UDP不用选中，提交本条过滤规则的时候LanExplorer <br>
会自动判别并替你选中IP/ARP栏里的TCP和UDP复选框，如果你此时自己选中也无妨。 <br>
  <br>
  <br>
5. <br>
  <br>
选中Layer 2/3页，假设所有的复选框都清空了，从左边开始，在Ethernet II栏里只 <br>
选择IP/ARP复选框，注意和Layer 3+页之间的关系，提交本条过滤规则的时候 <br>
LanExplorer会自动判别并替你选中LLC栏里的IP复选框以及SNAP栏里的IP/ARP复选框， <br>
如果你此时自己选中也无妨。 <br>
  <br>
6. <br>
  <br>
选中Layer 2页，假设所有的复选框都清空了，在VLAN栏里选中Others复选框，MAC栏 <br>
不用理会。点击中文的[ 确定 ]按钮(太奇怪了，LanExplorer为什么这里出现了中文 <br>
按钮，而其他地方没有) <br>
  <br>
7. <br>
  <br>
从菜单上选择Capture-->Filter，选中你要使用的过滤过则，如果刚刚创建过新规则， <br>
默认的当前过滤规则就是新规则。从菜单上选择Capture-->Start。 <br>
  <br>
这个规则设置过程很简单，显然LanExplorer的设置不如Sniffer Pro友好，至于它的 <br>
发送更是不尽人意，这些不多说了，用过的朋友自己对照。执行 <br>
net use \\192.168.8.48\ipc$或者newletmein \\192.168.8.48 -all -d之类的命令， <br>
可以验证上述过滤规则是否有效。 <br>

  <br>
很多朋友在高级过滤规则的设置上失败，其原因很多，抛开对协议本身不了解的原因， <br>
LanExplorer设置复杂是重要原因。有一点特别注意，宁可多选几个复选框，不要对 <br>
自己不了解复选框清空，你能解释第6条中为什么选择VLAN栏里的Others复选框吗？ <br>
我不能，可你的确必须如此选择。更多的东西需要自己摸索。我不喜欢这个东西，可 <br>
我现在2K下，没有别的可用。 <br>
  <br>
-------------------------------------------------------------------------- <br>
下面是NetGuy的破解 <br>
  <br>
1. Probe.exe: 1,114,112 b字节 <br>
2. crack_probe.exe: 1,114,112 b字节 <br>
  <br>
4E924:  7C      90 <br>
4E925:  18      90 <br>
4E93C:  7E      EB <br>
4EA62:  6A      EB <br>
4EA63:  00      15 <br>
4EABC:  50      EB <br>
4EABD:  E8      12 <br>
-------------------------------------------------------------------------- <br>
  <br>
  <br>
<待续> <br>
  <br>
标题：NetXray使用说明之(7.5)----LanExplorer 3.6下的过滤规则设置举例(续) <br>
  <br>
3.6据说比3.5加强了一些，包括退出后僵尸进程的问题，启动中乱报错问题，现在似 <br>
乎支持拨号适配器上的抓包了(以前如何我还真没测试过)，但在过滤规则上毫无改观。 <br>
以前过滤规则全部在升级过程中丢掉了，只好重新设置。下面是IP过滤规则的设置： <br>
  <br>
1. <br>
  <br>
从菜单上选择Capture-->Filter，选择左上角的[ New Profile ]按钮，输入你觉得 <br>
切合要求的名字，比如IP。这里有个小窍门，如果你已经有一个合理可用的Default <br>
规则，就先选中Default规则，然后点击左上角的[ New Profile ]按钮，那么新规 <br>
则以Default规则为模板生成。 <br>
  <br>
2. <br>
  <br>
不要动TCP/UDP Port页、Address页 <br>
  <br>
3. <br>
  <br>
选中Layer 3+页，假设所有的复选框都选中了，因为我们设置的是IP过滤规则，要求 <br>

抓取所有IP报文。 <br>
  <br>
注意LanExplorer把ARP归入Layer 3+页，如果你的确只想抓IP报文，清除该页第一个 <br>
ARP复选框。反之，如果你只想抓ARP报文，应该清空Layer 3+页后只选择该页第一个 <br>
ARP复选框。 <br>
  <br>
4. <br>
  <br>
选中Layer 2/3页，假设所有的复选框都清空了，从左边开始，在Ethernet II栏里只 <br>
选择IP/ARP复选框，注意和Layer 3+页之间的关系。 <br>
  <br>
3.5版这里会自动替你选中LLC栏里的IP复选框以及SNAP栏里的IP/ARP复选框，3.6版 <br>
没有这个毛病了。 <br>
  <br>
5. <br>
  <br>
选中Layer 2页，假设所有的复选框都清空了，在VLAN栏里选中Others复选框，MAC栏 <br>
根据需要指定，比如只想抓取单播IP报文，就只选中Unicast复选框。VLAN栏里 <br>
Others复选框必须选中，至于为什么，不清楚。 <br>
  <br>
回头看第三条，如果想抓ARP报文，因为Arp Request是广播报文，为了同时抓取请求 <br>
和响应报文，必须在MAC栏里选中Broadcast复选框。当然，只选中Unicast复选框， <br>

将抓取所有Arp Reply报文。 <br>
  <br>
点击中文的[ 确定 ]按钮(太奇怪了，LanExplorer为什么这里出现了中文按钮，而其 <br>
他地方没有) <br>
  <br>
6. <br>
  <br>
从菜单上选择Capture-->Filter，选中你要使用的过滤过则，如果刚刚创建过新规则， <br>
默认的当前过滤规则就是新规则。从菜单上选择Capture-->Start。 <br>
  <br>
标题：NetXray使用说明之(8)----捕捉来自特定源IP的ARP报文 <br>
  <br>
今天调试一个程序的时候，利用SIGALRM进行ARP欺骗，需要抓几个ARP响应报文确认 <br>
定时机制起作用了，但又不想都抓，ARP报文太多了。 <br>
  <br>
1. 以default为模板复制一条规则arp <br>
  <br>
2. 在"高级过滤"里选中ARP协议 <br>
  <br>
3. 在"数据模板"里选择"增加模板"，此时默认是AND规则 <br>
  <br>
4. 依次输入或选择 <br>

  <br>
   Packet 28 4 Hex <br>
  <br>
5. 从顶头开始输入 <br>
  <br>
   C0 A8 0A 19 <br>
  <br>
   就是说源IP为192.168.10.25 <br>
  <br>
   描述性文字任意，比如srcIp == 192.168.10.25 <br>
  <br>
6. 一路确定下去即可 <br>
  <br>
事实上平时设置过滤规则不需要这样麻烦，可以先用母体规则(比如default)抓取一 <br>
些报文，然后用鼠标选中你需要的报文，保持不动的情况下进入过滤规则设置界面， <br>
新建一个过滤规则arp，此时"数据模板"里的"设置数据"按钮可用，在左面选择你感 <br>
兴趣的数据域，点击"设置数据"，会自动替你生成一个"数据模板"，然后根据需要稍 <br>
微修改一下即可。即使你对TCP/IP协议非常熟悉，也没有必要自己计算偏移量。 <br>
<<NetXray使用说明之(2)>>里的"数据模板"一样推荐采用这个办法指定。 <br>
  <br>
标题：NetXray使用说明之(9)----TCP/DNS问题 <br>
  <br>
  <br>
论坛上santa朋友报告了一个关于Win2K下Sniffer Pro 4.5的问题，简单说就是解析 <br>
TCP/DNS报文的时候有点问题。flag和我一起仔细测试过，的确存在小麻烦。 <br>
  <br>
在RFC 1035的"4.2.2. TCP usage"小节对此有足够解释，TCP数据流的前两个字节是 <br>
message length，这点和UDP DNS报文明显不同。注意，既然是TCP数据流，所以并不 <br>
要求这两个字节和DNS负载出现在同一个报文中，至少RedHat下nslookup在做区传输 <br>
的时候先发送了两个字节的message length，然后发送另外一个TCP报文携带了DNS负 <br>
载。对于UDP DNS报文，UDP数据区直接对应DNS负载，UDP头部中UDP报文长度减去8就 <br>
是DNS负载长度(也就是UDP数据区长度)。 <br>
  <br>
从Win9x下的Sniffer Pro 2.6到Win2K下Sniffer Pro 4.5，事实上都意识到了TCP DNS <br>
的特殊性，解析区传输引发的TCP查询报文时，对前两个字节做了规避。偏偏前两个 <br>
字节已经单独发送到DNS SERVER去了，最终导致后续DNS负载中真正的id域被当成 <br>
message length而越过，param域被当成id域解析，再后面的域解析全部乱套。区传 <br>
输的第一个响应报文中message length和后续DNS负载位于同一个TCP报文中，所以解 <br>
析正确。 <br>
  <br>
RFC 1035没有强制要求message length如何出现，对于TCP数据流来说，这是完全正 <br>
确的，本来就没有边界概念。Sniffer Pro无法预知所有TCP数据流的表现方式，或者 <br>
说无法预知所有DNS CLIENT的具体实现方式，只能简单假设message length和后续 <br>
DNS负载位于同一个TCP报文中，不可能为了正确解析这种TCP DNS查询报文而跟踪保 <br>
持前后的TCP数据流(前后状态相关)。 <br>

  <br>
NetXray 3.03存在类似问题，但是它显式解析了message length字段，以Tcp Length <br>
显示该字段，明确提醒使用者TCP DNS报文和UDP DNS报文的差别。很奇怪，Sniffer <br>
Pro抛弃了太多NetXray的优点，这次又是一个例证。 <br>
  <br>
如果你想自己测试验证这个问题，重点在于如何激发TCP DNS报文，下面是我整理维 <br>
护的<<Unix编程/应用问答中文版>>中的内容： <br>
  <br>
-------------------------------------------------------------------------- <br>
17. 如何进行DNS区传输 <br>
  <br>
A: scz <scz@nsfocus.com> <br>
  <br>
   用nslookup是最普遍适用的 <br>
   nslookup <br>
   > server ns.tsinghua.edu.cn <br>
   > set type=axfr <br>
   > ls tsinghua.edu.cn [> tsinghua.txt] (方括号里的可选) <br>
  <br>
   有些系统提供了dig命令 <br>
   dig @ns.tsinghua.edu.cn axfr tsinghua.edu.cn <br>
  <br>
  <br>
A: lgwu <br>
  <br>
   有些系统提供了host命令，这个命令不太保险 <br>
   host -l net.tsinghua.edu.cn (后面指定域) <br>
   host -l ncic.ac.cn <br>
  <br>
18. 如何获知权威名字服务器 <br>
  <br>
A: scz <scz@nsfocus.com> <br>
  <br>
   nslookup <br>
   > set query=ns <br>
   > ncic.ac.cn (获知管辖该域的权威名字服务器) <br>
   Authoritative answers can be found from: <br>
   gatekeeper.ncic.ac.cn   internet address = 159.226.41.188 <br>
   > server gatekeeper.ncic.ac.cn <br>
   > set type=axfr (准备区传输) <br>
   > ls ncic.ac.cn > ncic.txt <br>
-------------------------------------------------------------------------- <br>
  <br>
另外有个问题，用RedHat下nslookup做区传输激发TCP DNS报文，Win2K下 <br>
LanExplorer 3.6抓取响应报文(不是分成两半的查询报文)，在企图解析时导致进程 <br>

异常退出。具体原因尚在猜测中，可能和错误处理message length字段有关。 <br>
  <br>
由此我们想到其他sniffer是否存在类似问题，针对Unix系统下snoop、tcpdump是否 <br>
有机会做exploit。 <br>
  <br>
2001-02-14 23:37 <br>
  <br>
snoop -v tcp dst host 192.168.10.1 and src port 53 and src host 192.168.0.2 <br>
这个命令会报告TCP DNS负载，但是并不像LanExplorer 3.6那样企图解析什么。 <br>
  <br>
tcpdump -S -n -t src port 53 and src host 192.168.0.2 and dst host 192.168.10.2 <br>
and ip proto \\tcp <br>
这个命令干脆不会报告DNS负载，tcpdump究竟如何才能达到效果，-v和-vv都不行。 <br>
  <br>
结论是tcpdump和snoop暂时不存在类似问题。 <br>
  <br>
<<libnet使用举例(8)>> <br>
  <br>
./dkiii --di 192.168.8.90 --num 20 <br>
  <br>
dkiii所发送的异常DNS请求分组制造了一个解析循环，NetXray3.03终止， <br>
LanExplorer 3.5在试图解析该类报文的时候异常终止。今天测试结果是 <br>

LanExplorer 3.6依旧存在该问题，98/2K下测试。此外袁哥确认qtcount值异常的时 <br>
候，LanExplorer 3.6解析过程中发生崩溃。 <br>
  <br>
  <br>
  <br>
  <br>
-- <br>
  <br>
            也许有一天，他再从海上蓬蓬的雨点中升起， <br>
            飞向西来，再形成一道江流，再冲倒两旁的石壁， <br>
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生...... <br>
</small><hr>
<p align="center">[<a href="index.htm">回到开始</a>][<a href="501.htm">上一层</a>][<a href="513.htm">下一篇</a>]
<p align="center"><a href="http://cterm.163.net">欢迎访问Cterm主页</a></p>
</table>
</body>
</html>