Защита и взлом информацииРефераты >> Информатика >> Защита и взлом информации
• ((sipfrom 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (sizein 200 600) // Захватывать TCP пакеты, размер которых лежит в диапазоне от 200 до 600 байтов, приходящие с IP адресов в диапазоне 192.168.0.3 - 192.168.0.7, при чём IP адреса получателей находятся в сегменте 192.168.1.0/255.255.255.240, и имеющие TCP флаг PSH ACK.
• Hex(0x0203, 89) and (dir<>in) // Захватывать пакеты, содержащие 0x0203 в смещении 89, при этом, направление пакета не "входящий".
Реконструкция TCP сессий.
С помощью этой утилиты можно просмотреть процесс общения двух хостов по TCP. Чтобы восстановить TCP сессию, необходимо сначала выбрать пакет TCP в закладке Packets(Пакеты). Если Вы хотите восстановить сессию целиком, целесообразно выбрать первый пакет этой сессии, иначе реконструкция может начаться с середины. Найдя и выбравнужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Reconstruct TCP Session(Реконструкция TCP сессии), как показано здесь:
Эта утилита нагляднее всего работает на текстовых протоколах - POP3, Telnet, или HTTP. Возможна также и реконструкция процесса пересылки, например "зазипованного" архива, но на восстановление нескольких мегабайтов данных CommView потребуется слишком много времени, да и в большинстве случаев полученная информация будет совершенно бесполезна. Ниже показан пример реконструкции HTTP сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:
В режиме отображения HTML, страницы HTML не содержат графических объектов, так как по протоколу HTTP они (объекты) передаются в отдельных сессиях. Для просмотра изображений необходимо перейти к следующей TCP сессии. Ниже приведён пример HTTP сессии, содержащей графические объекты, отображаемые в режиме HTML:
По умолчанию, CommView распаковывает GZIP-содержимое трафика и восстанавливает картинки. Чтобы выключить этот режим, воспользуйтесь закладкой Decoding(Декодирование) в меню Options(Опции). Можно игнорировать данные, следовавшие в выбранном направлении, установив/сняв флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если Вы хотите изменить цвет отображения, выберите Settings(Установки) =>Colors(Цвет) и воспользуйтесь палитрой. Можно включить или выключить перенос слов пунктом Word Wrap(Перенос слов) в меню Settings(Установки).
Выпадающее меню Display type (Тип отображения) позволяет выбрать ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки) и EBCDIC (IBM mainframes' data encoding) режимы просмотра. Данные в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (Вы не увидите графические объекты и т.п.), однако вполне можно понять, как выглядела данная страница на самом деле.
Кнопки перемещения Navigation позволяют перескакивать к следующей или предыдущей сессиям, имеющимся в буфере. Первая кнопка “вперёд” [>>] перейдёт к следующей сессии между теми же хостами, что и при первом вызове реконструкции. Вторая кнопка “вперёд” [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [<<] не может перейти на сессию раньше той, с которой началась реконструкция.
Полученные данные Вы можете записать на диск в двоичном виде, в текстовом или RTF формате, выбрав File(Файл) =>Save As…(Сохранить как…). Кроме того, нажав Edit(Редактировать) => Find…(Найти…) можно искать строку в пределах сессии.
Генератор пакетов.
Эта утилита позволяет создавать и передавать пакеты через сетевой адаптер. Утилита доступна только под Windows NT/2000/XP/2003. Выберите в меню View(Просмотр) =>Packet Generator(Генератор пакетов), или выбрав пакет в закладке Packets(Пакеты), щёлкните правой кнопкой мышки на нём, а затем выберите команду Send Packet(Передать пакет).
Обратите внимание на то, что Генератор Пакетов не может и не должен быть использован для посылки пакетов с уровня приложений, то есть, он не следит за правильными значениями полей SEQ, ACK, значениями контрольных сумм и размерами пакетов, и так далее. Если требуется генерировать валидный поток TCP – воспользуйтесь соответствующей Winsock-совместимой программой. Данная утилита предназначена для воспроизведения уже захваченного трафика, тестирования межсетевых экранов и систем обнаружения вторжения, а так же для других целей, где требуется ручная обработка пакетов.
Генератор пакетов позволяет задавать содержимое пакета любого типа и декодировать его в левом окне по мере редактирования. Для пакетов IP, TCP, UDP и ICMP контрольная сумма автоматически обновляется при нажатии на кнопку "сигма". Воспользуйтесь кнопками TCP, UDP и ICMP для быстрой загрузки готовых шаблонов пакетов. В шаблонах TCP, UDP и ICMP пакетов вам потребуется изменить на нужные значения такие поля, как MAC и IP адреса, номера портов, SEQ и ACK номера, и так далее. Можно создать собственные шаблоны, загрузив файлы в формате CCF в директорию программы.
Имена файлов шаблонов должны быть "template_tcp.ccf", "template_udp.ccf" и "template_icmp.ccf". Если в директории CommView есть хоть один такой файл, нажатие на кнопку шаблонов будет загружать из него соответствующий пакет. Хотя в файле-шаблоне может быть и несколько пакетов, CommView загрузит только первый.
Ниже приведены доступные параметры передачи:
Packet Size – изменяет размер пакета.
Packets Per Second – устанавливает частоту передачи пакетов. Будьте осторожны, чтобы не превысить пропускную способность соединения. Попытка посылать 5000 раз в секунду пакеты длиной в 1000 байтов превысит возможности 10Mbit-ного сетевого адаптера.
Continuously – (Непрерывно) – включает режим непрерывной передачи, пока не нажмёте Stop.
Time(s) – (Количество) – задаёт число отправок пакета в сеть.
Send/Stop – (Старт/Стоп) – включает/выключает режим передачи пакета.
Работа с несколькими пакетами одновременно.
Генератор пакетов может передавать несколько пакетов одновременно. Выберите нужные Вам пакеты из списка и, правым щелчком мышки, вызовите Генератор Пакетов. Кроме того, можно просто перетащить файл с пакетами (в любом поддерживаемом формате) в окно Генератора Пакетов. При работе в этом режиме декодер и редактор пакетов отключаются.