扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
首先要介绍一下软件
1.netlimiter 2 pro===主要的作用是查看每个进程的连接。。可以看到进程开启的端口。与外界相连接时的本地和远端的端口。当然还可以限制流量。。关闭指定的线程等。。具体就大家去开发了。。
2.Iris=========相信你上网去google一下就知道这是很出名的嗅探器。。作用就不用说了。。就是抓包。。
3.iceSword冰刃=====别告诉我你没有这款经典的工具。。我主要用它来看查隐藏的进程。文件。。注册表项。
4.灰鸽子 [Version 2.03]====这个就不多说了。
先看一下。。没中招前的服务。。相信大家都是用2000以上的系统了吧。。所以关于在98下面不以服务启动的鸽子就不讨论了。。
服务1.gif
进程端口2.gif
然后再配置一个鸽子的服务端。。由于是测试用的。。里面的服务名称我就不作调整了。。
我是用较多人用的那个上线方法:FTP上线,,客户的ip在这个文件上面/UpLoadFiles/NewsPhoto/>服务端的配置3.gif
然后我就运行服务端
这时在iceSword中就会看到iexplore.exe是一个红色的。。就表示是隐藏的进程了。。
中鸽子后的进程4.gif
中鸽子后的服务5.gif
本机的ip是 218.13.52.26
我的ip反向所在地址为:219.136.252.180
d:\hacker\ipc>ping free.6to23.com
Pinging cache014.6to23.net [219.136.252.180] with 32 bytes of data:
Reply from 219.136.252.180: bytes=32 time=18ms TTL=119
Reply from 219.136.252.180: bytes=32 time=15ms TTL=119
Reply from 219.136.252.180: bytes=32 time=15ms TTL=119
下面就分析一下抓到的数据包
首先看到的是著名的TCP协议的三次握手。
1.218.13.52.26:1708=》61.151.241.97:80,FLage:S
先由本机(218.13.52.26)从1708端口向对方(61.151.241.91)的80端口发包,syn=1表示发起一个连接,生成随机seq
2.61.151.241.97:80=》218.13.52.26:1708,FLage:AS
对方收到后将seq+1置于Ack发回给本机。并且syn=1,ACK=1表示对前者的确认,生成随机seq发回本机
3.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机收到后将seq+1置于Ack发回给对方,将对方Ack置于Seq
这样就完成了三次握手。
下面就进行数据的传送了
4.218.13.52.26:1708=》61.151.241.97:80,FLage:AP
本机向对方确认,并且PSH=1(PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。 )。这个我理解为本机向远程请求数据。
5.61.151.241.97:80=》218.13.52.26:1708,FLage:A
远程向本机传送数据
6.61.151.241.97:80=》218.13.52.26:1708,FLage:A
远程向本机传送数据
"建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "
7.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机对5.6发过来的数据的确认。
4~7均为数据包的传送。我理解为一直在传送同一个文件的不同大小的包。
要注意的是它们的seq与ack一直在存在seq+数据包大小=ack的关系。。
(TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时,接受端要发送一条应答信息,表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送,接受端收到这些数据后再将它们组合在一起。
例如:6的seq=3222831523,size=1502,=>7的ack=3222831523+1502-62=(14mac头+20ip头+20tcp头+8PPPoe头)
6行显示对方给本机发送了大小为1502字节大小的数据,注意我们前文讲过数据发送时是层层加协议头的,1502字节=14字节以太网头 + 8字节PPPoe头(因为我是电信宽带上网的) + 20字节IP头 + 20字节TCP头 + 1440字节数据
7行显示的应答信号ACK为:32222832963,这个数是6行得SEQ序号3222831523加上传送的数据1440,本机将这个应答信号发给对方说明已收到发来的数据(1440)。
"建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。 "
8.61.151.241.97:80=》218.13.52.26:1708,FLage:APF
对方发完最后一个数据包size=1078,并向本机请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )
9.218.13.52.26:1708=》61.151.241.97:80,FLage:A
本机收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了对方=>本机这个方向的传输。
10.218.13.52.26:1708=》61.151.241.97:80,FLage:AF
本机向对方请求终止,Fin=1(FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。 )
11.61.151.241.97:80=》218.13.52.26:1708,FLage:A
对方收到本机的fin=1后。。将seq+1=ack,回复本机,发回一个确认,并将应答信号ack设置为收到序号seq加1,这样就终止了本机=>对方这个方向的传输。
12~14三握手(s=>as=>a)
15~16数据传送
17~20四次握手(af=>a=>af=>a)
21~23我用鸽子Ftp更新了我的ip
24~26三次握手(s=>as=>a)
27注意。。这里就是重点了。鸽子读取ip.txt文件。。是明文的。。很容易就看到了:
GET /alex0008/tmp/ip.txt HTTP/1.0..User-Agent: MYURL..Host: free.6to23.com..Pragma
28读取ip.txt 里的内容后确定鸽子的客户端ip!!!也是明文的。。很容易就看到了:
http://218.13.52.26/wwwroot/....
配置过鸽子的人都知道wwwroot是它的特征。。注意我用的鸽子是新版的。。所以跟旧版的鸽子设置文件略有不同如果是旧版应该是这样的http://218.13.52.26:5326/wwwroot/后面跟着的是端口
至此。。我们基本就掌握到了放鸽子的一些重要的资料了。。你可以直接扫描一下对方。。看有没漏洞。。也可以破解了它的ftp空间。。更改他的ip.txt 文件。。让对方的鸽子飞到你这里来。。呵呵。。就看你的本事有多大了。。
做这个分析用了我两个晚上。。原因没别的。。昨天晚上。。单就找一个合用的iris就找了老半天。以前我也下载过。但是在连接上网络的情况下面就是注册不了。。。好不容易。。问网友:凌三少。。发了个3.7版的过来。。凑合着用。。但旧版的包解码。不及4.07的详细。。。搞来搞去在黑基软件中找到了也是4.07的。。不过。。是带注册机了。。看了上面的说明。。才明白我一直装不上。。原来是网络更新作的怪吧。。好了。。不多说了。。大家如果有兴趣自己去研究一下。。我分析的那32个数据包。。我也打包上来了。。方便大家用iris对照着来学习。。这个分析个人觉得还不错。。不但分析出了放鸽子的一些重要资料。。也让大家对tcp/ip协议的工作原理有个较清晰的了解。。
by the way。。我原本是想用iris分析出鸽子的连接密码的。。但是实际分析中。。却没抓到本机的服务端与本机的客户端的连接。。怪我功力不够。。最后也想请教一下高手:如何让隐藏的进程现身。。我的意思是让它变成普通的进程。。以方便用嗅探类的软件去分析它。。这个问题我事前也google过了。。没收获。。在有问必答里也发了贴。。希望大家都来关注一下这个问题。。谢谢
发表了才发现自己没有上传附件的权限。。晕哦。。
那些包我就抓图吧。。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。