L00300Iris软件的使用.docx
《L00300Iris软件的使用.docx》由会员分享,可在线阅读,更多相关《L00300Iris软件的使用.docx(21页珍藏版)》请在冰点文库上搜索。
L00300Iris软件的使用
课程编写
类别
内容
实验课题名称
Iris软件的使用
实验目的与要求
能够使用iris进行相关的网络检测
实验环境
VPC1(虚拟PC)
操作系统类型:
windows2003。
Windowsxp网络接口:
本地连接
VPC1 连接要求
PC 网络接口,本地连接与实验网络直连
软件描述
1、学生机要求安装java环境
2、一台windows2003的系统
实验环境描述
1、 学生机与实验室网络直连;
2、 VPC1与实验室网络直连;
3、 学生机与VPC1物理链路连通;
预备知识
iris是对网络上的数据包进行检测和分析的工具,它可以捕获所有发出和进入的数据包,并可以对数据包进行分析和重构。
iris是eeye公司的一款产器,eyes是一家以网络安全见长的公司,其安全检测工具retina和数据包探测工具iris都做得非常出色。
iris可用于网络数据传输检测、网络协议检测等
实验内容
能够使用iris进行相关的网络检测
实验步骤
学生登录实验场景的操作
1、学生单击“网络拓扑”进入实验场景,单击windows2003中的“打开控制台”按钮,进入目标主机。
如图所示:
2、学生输入密码123456,登录到实验场景中的目标主机。
如图所示:
3、打开D:
\tools目录,双击iris_5.2.0_demo.exe进行iris安装。
点击“next”如图:
4、点击“iaccept”然后点击“next”,如图:
5、点击“next”(可以点击“browse”来选择安装路径)
6、点击“next”。
进行安装,如图:
7、“launchiris”表示在安装完成后运行iris,默认选中,然后点击“finish”按钮,打开iris,因为是试用版本,它会首先给出提示,如图
8、给出提示。
点击“ok”如图:
9、我们点击“ok”即可打开iris,界面如图:
10、iris的基本使用和配置
iris的基本使用
先看一下iris界面的各部分。
如图:
第1部分:
这是iris的菜单和工具栏,工具栏的都包含在菜单中,下面介绍下各菜单的功能:
file:
文件菜单,主要用来打开和保存相关文件及退出iris。
view:
视图菜单,设置各小部分的显示与隐藏。
capture:
捕获菜单,针对数据包捕获的相关操作,开始/结束捕获,搜索数据包等。
decode:
解码菜单,对数据包进行解码的相关操作。
filter:
过滤器菜单,可以打开/关闭过滤器配置文件,设置包过滤选项等。
tools:
工具菜单,可查看iris数据包统计,设定定时抓包任务,对iris进行设置等。
第2部分:
iris的解码(decode)和手包(capture)的切换。
第3部分:
查看iris的统计,以图表的形式显示。
第4部分:
iris的帮助和支持,可以查看iris的详细说明文档
第5部分:
小提示,它会根据你的操作给出相应的小提示。
第6部分:
显示iris抓到的数据包。
第7部分:
显示数据包中的内容,并可以对数据包进行重构。
第8部分:
以协议的形式显示数据包的详细信息。
使用iris进行数据包探测时,只需点击工具栏上的绿色开始按钮(点击后该按钮会变为红色的停止按钮)就可以了,在第6部分点击一个数据包后会在第7部分显示数据包内的内容,在第7部分根据协议显示该数据包的详细内容,包括mac头、ipv4头部、tcp头部等。
要停止抓取数据包只需点击停止按钮(点击后该按钮又会变成绿包的开始按钮)就可以了,如图
11、在第3部分会有以图表形式显示的统计信息,点击后就可以查看。
注:
由于我们使用的是试用版本,点击查看统计信息时会出现一个提示,我们点击“ok”就可以了,如图
图标显示:
12、iris的图表统计分为四部分:
protocoldistribution:
根据协议类型进行的统计信息
tophosts:
根据主机进行的统计信息
sizedistribution:
根据数据包字节大小进行的统计信息
bandwidth:
显示带宽的信息
iris的基本设置
iris的基本设置可以分为两部分,一部分为对iris过滤器的设置,另一部分为对iris软件的设置。
对iris过滤器的设置
打开“filter”->“editfilter”或按“ctrl+e”打开过滤器选项。
如下图:
(1)hardwarefilter:
此选项卡设置硬件过滤选项,使用默认即可,如下图:
(2)layer2,3选项卡主要对第2层和第3层进行设置,选中“showalltype”后会显示所有的协议类型,选中“excludethesetype”会将所选中的协议排除在外。
(3)此选项用于对关键字进行检查,如果设置了此项iris会专门查找含有此关键字的数据包。
在keywords处输入关键字,点“add”按钮后添加。
如图
(4)此选项卡用于设置针对哪些主机之间的通信进行数据包抓取,address1和address2是ip地址和网关,可以直接从地址薄“addressbook”中拖过去,它的写法是逆序的,如网关是:
1.0.168.192。
dir设置两主机之通信的方向。
此项是较常用的一项。
如图
(5)此选项卡用于设置主要抓取使用特定端口进行数据传输的数据包,“add”按钮用于添加,“remote”按钮用于将端口移除,选中“excludethesesports”则表示不抓取使用选定端口的数据包。
此项也是较常用的一项。
如图
(6)这个选项卡和“ipaddress”选项卡差不多,只不过这里用的不是ip地址,是mac地址。
如图
(7)根据包的大小和数据包中所含有的内容进行设置,只包抓取符合此条件的数据包。
13、对iris软件的设置
(1)打开“tools”->“settins”或按“ctrl+t”会出现针对iris的设置选项卡,如图
(2)capture选项卡用于设置捕获数据包的相关选项,runcontinuousl表示如果包缓冲区存满时会继续运行,此时最开始的数据包将会被覆盖。
rununitlbuffer表示如果包缓冲区存满时会停止运行。
Decode选项卡用于设置解码数据包的相关参数,默认不解码udp数据报,可选中“decodeudpdatagrams”让iris解码udp数据报。
adapters选项卡用于设置使用哪块网卡,有多块网卡时可选用。
capturelogs和decodelogs分别用于设置捕获数据包和解码数据包的日志文件,可启用并给它们指定一个存储位置
miscellaneous选项卡主要用于设置iris的数据包缓存的大小,“stopwhenfreediskspacedrops0m”指定一个数值,表值磁盘空间剩余多小m时停止。
使用iris捕获数据包并分析
本实例通过使用iris进行抓包分析以取得某用户的ftp用户名和密码,下面看一下实际的操作步骤:
确定目标主机
我们首先要确定当前局域网内所有的上线用户,打开“view”->“addressbook”或按“ctrl+b”键,打开地址薄,点击右上方和放大镜按钮查找当前局域网内的活动主机,如图:
可以点击放大镜右边的按钮让iris自动寻找刚上线的主机。
ip为192.168.0.33的为我们的一个虚拟机。
14、过滤器设置
过滤器进行设置设置,让iris抓取192.168.0.33主机和网关192.168.0.1之间的通信,端口过滤为20和21。
如图
注释:
ip地址可直接从addressbook栏拖下来
端口过滤:
15、抓包
设置好后点击开始按钮开始抓包,然后登录ftp,关闭iris后会看到iris抓到的含有刚才登录信息的数据包。
注意:
因为此为试用版本,对其它主机的抓包功能受到了限制,所以我们用本机登录进行测试,此时只需设置对20、21端口进行抓包即可,ipaddress选项不用设置。
首先打开iris数据包抓取
后登录ftp服务器,如图(注:
ftp192.168.0.33为windows2003的ip地址,并架设了简单的ftp服务)
注意:
我们这里使用了一个不正确的用户名和密码,分别为:
nihao,nia
16、然后关闭iris,发现它已捕获到ftp192.168.0.33的包,并且下面红字还显示了我们输入的错误的用户名“nihao”密码“nia”。
如下图。
(注:
192.168.0.33为windows2003的ip,架设了简单的ftp服务)
17、到此实验结束了。
升级会员 