Sn
fit是由Lawrence Berkeley Laboratory开发
可以在Linux、Solaris、SGI等各种平台运行 网络监听软件Software它主要是针对TCP/IP不性对运行该机器进行监听——当然数据包必须经过运行snfit机器才能进行监听因此它只能够监听在同
个网段上机器
而且还能够自由地为其 增加某些插件以实现额外功能 、安装 软件Software安装很简单: 1、用tar zvfx sn
fit.*.*.*.tgz将下来snfit.*.*.*.tgz解压缩到你想要目文件夹 如果版本是0.3.7话(应该是最新版本吧我不敢确定……)你会看到该目录下出现个snfit.0.3.7目录 2、cd sn
fit.0.3.7 3、./configure && make
只要在这个过程中终端上没有意外error信息出现你就算编译成功 了——可以得到个 2进制snfit文件 4、make clean把不用
垃圾扫掉…… 2、使用思路方法
1、参数
这个东东具有如下
命令选项: -v 显示版本信息
-t <ip nr/name> 让
去监听指定流向某IP数据包 -s <ip nr/name>让
去监听从某IP流出IP数据包可以使用@通配符如 -t 199.145.@ -i 显示出窗口界面
能察看当前在你所属网络上进行连接机器 -I 扩展
交互模式忽略所有其它选项比-i强大得多…… -c <file> 利用脚本来运行
-F <device> 强制使
使用网络硬盘 -n 显示出假
数据包象使用ARP、RARP或者其他不是IP数据包也会显示出来 -N 只运行plugin时
选项使其它选项失效 在-i 模式下无法工作
参数: -b 同时做-t和-s
工作…… -d 将监听所得内容显示在当前终端——以十 6进制表示
-a 将监听所得内容显示在当前终端——以ASCII
表示 -x 打印TCP包
扩展信息(SEQ, ACK, Flags)可以和'-a', '-d', '-s', '-t', '-b'起运作注意——它是输出在标准输出如果只用-t,-s,-b 而没有其它参数配合话不会被写入文件 -R <file> 将所有通信记录在文件中
-r <file> 这
选项将记录文件送往snfit,它需要-F参数配合指明设备假设你用 'eth0'(第块网卡)来记录文件你必须在命令行里面加上'-F eth0'或者 '或者'或者'或者'或者'-F eth' -A 遇到不认 识时用指定代替 -P <protocol> 定义监听
DEFAULT为TCP——也可以选IP、ICMP、UDP…… -p <prot >定义监听端口
默认为全部 -l <length> 设定数据包大小
default是300字节 -M <plugin> 激活插件
-I
-i 模式下参数 -D <device> 所有
记录会被送到这个磁盘上 -c 模式下
参数 -L<logparam>
其中logparam可以是如下
内容: raw : 轻度
norm : 常规
telnet: 记录口令(端口23)
ftp : 记录口令(端口21)
mail : 记录信件内容(端口25)
比如说"ftpmailnorm"就是
个合法logparam 2、图形仿真界面
就是上面所说
-i选项啦我们输入snfit -i 会出现个窗口环境从中可以看到自己所在 网络中有哪些机器正在连接使用什么端口号其中可用命令如下: q 退出窗口环境
结束 r 刷新屏幕
重新显示正在在连线机器 n 产生
个小窗口包括TCP、IP、ICMP、UDP等协议流量 g 产生数据包
正常情况下只有UDP协议才会产生执行此命令要回答些有关数据包问题 F1 改变来源网域
IP地址默认为全部 F2 改变目
网域IP地址默认为全部 F3 改变来源机器
端口号默认为全部 F4 改变目
机器端口号默认为全部 3、
些举例 假设有以下
设置:在个子网中有两台主机台运行了snfer我们称的为snfit.com另 台是66.66.66.7我们称的为target.com 1、你希望检查sn
fer是否能运行 sn
fit:~/# snfit -d -p 7 -t 66.66.66.7 并且开另
个窗口: sn
fit:~/$ telnet target.com 7 你可以看到sn
fer将你telnet到对方7号端口echo服务包捕获了 2、你希望截获target.com上
用户密码 sn
fit:~/# snfit -p 23 -t 66.66.66.7 3、target.com主机
根用户声称有奇怪FTP连接并且希望找出他们击键snfit:~/# snfit -p 21 -l 0 -t 66.66.66.7 4. 你希望能阅读所有进出target.com
信件 sn
fit:~/# snfit -p 25 -l 0 -b -t 66.66.66.7 & 或者
sn
fit:~/# snfit -p 25 -l 0 -b -s 66.66.66.7 & 5. 你希望使用用户交互界面
sn
fit:~/# snfit -i 6. 有
发生而且你希望截获控制信息 sn
fit:~/# snfit -P icmp -b -s 66.66.66.7 7. Go wild on scrolling the screen.
sn
fit:~/# snfit -P ip -P icmp -P tcp -p 0 -b -a -d -x -s 66.66.66.7和的效果相当是snfit:~/# snfit -P ipicmptcp -p 0 -b -a -d -x -s 66.66.66.7 8. 你可以用'more 66*'读取下列方式记录下
密码 sn
fit:~/# snfit -p 23 -A . -t 66.66.66.7 或者
sn
fit:~/# snfit -p 23 -A ^ -t dummy.net 3、高级应用
1、用脚本执行
这是配合选项-c
其执行思路方法也很简单比如以如下方式编辑个叫sh文件 select from host 180.180.180.1
select to host 180.180.180.10
select both port 21
然后执行:sn
fit -c sh 介绍说明:监听从180.180.180.1送往180.180.180.10
数据包端口为FTP口这里不做更多介绍说明你 可以自己去看里面README 2、插件
要获取
个插件是很简单你将它放入snfit目录下并且象如下方式编辑sn_plugin.h 文件: #
PLUGIN1_NAME "My plugin" #
PLUGIN1(x) 
_plugin_function(x) #
"my_plugin.plug" 注意:
a) 你可以让plugin从0-9
所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续 d) #
"my_plugin.plug" 这是我插件源代码放置地方 如果想详细了解话还是看看里面 plugin.howto吧 3、介绍 tod
这东东便是sn
fit最有名个插件了为什么叫TOD呢——touch of death,它可以轻易地切断个TCP连接原理是向个TCP连接中台主机发送个断开连接IP包这个IP包RST位置1便可以了 将下来
tod.tar.gz拷贝到snfit所在目录下解压安装后ln -s tod snfit_key5就可以将这相和F5键连接起来想切断哪台机器话只要在窗口中将光标指到需要断线机器上按下F5键就可以了你可以自由地定义成其它F功能键——F1~F4不行它们已经被定义过了……
最新评论