1、软件如何正确抓CD轨

2、如何使用抓包

真是强大的要命嘛，哼，不见得吧，操作好复杂啊，这样的Cool Edit软件，能好吗？

Cool Edit Pro 2.0提供了2种CD抓轨方法。

1．接打开法

这种方法的操作简单无比，直接在单轨模式下的File（文件）菜单中选择Open（打开）文件，然后如图选择打开后缀名为.cda的CD音频文件格式。就可以直接把CD中的音乐文件打开了，并且可以一次选取打开多个文件。打开后的波形文件可以直接编辑，修改，和普通的wav文件没什么区别。然后你可以通过save as（另存为）把它作为wav文件或者mp3文件等保存到你的硬盘上。

2．取文件法

第一种方法虽然简单，但是不为用户提供更多的抓轨选项，对于一些老的光驱，可能会在打开文件的时候出现爆音或抓轨不连续。

为此，Cool Edit Pro 2.0还提供了更强大灵活的第2种方法。

在单轨模式下的File（文件）菜单中选择Extract Audio from CD...，就可以打开数字抓轨窗口。这个对话框里有很多选项，你可以根据自己的需要和机器情况选择正确的抓轨方式，下面来详细讲讲。

根据图中箭头所示顺序：

箭头1：Device，如果你的电脑里不止一个光驱，在这里选择你需要抓取的光驱。

箭头2：Source Selection，这里可以选择两种抓驱音乐的途径------Track（歌曲） 和 Time（时间）. 前者是按照一个一个歌曲为单位来抓取，你可以选择你要抓取的歌（可以一次选取多个）。后者是按照时间为单位来抓取，你可以选择抓取的开始时间点和总时间长。

这种方法可以选择只抓取某个歌曲的某个部分，对于截选那种所有歌曲连在一起的现场音乐会也非常有用。

箭头3：Interface Options，这里可以选择Generic Win32 或者ASPI / SPTI，一般情况请选择后者ASPI / SPTI ，如果效果不理想可以试试前者。

如果选择了ASPI/SPTI，那么底下还有一些选项。

Read Method 这里选择读取CD文件的方式，一般情况下如果你的光驱不是特别古老的话，都应选择第一项MMC Read CD。否则你可以试试其他选项的效果。

CD Speed 根据你光驱的速度来选择，一般选择"Max Speed"都没问题。如果最终的效果有声音不连续的现象，可以把速度选的低一些。

Buffer Size 缓冲区大小，一般就请使用默认值16。

最下面的3个选项让它们空着吧：）

箭头4：Error Correction，在抓取过程中进行纠错。如果你的光驱支持SCSI3 和 ReadCD，则支持自动纠错CDDA Accurate。否则可以选择No Correction或者Jitter Correction。

建议只要你的光驱不是很古老，选择No Correctio就可以了。

箭头5：Presets，预置参数。你可以把你的设置结果保存成参数，这样下一次抓取的时候，就可以直接调用你的设置结果了：）

歌曲选择好，并全部设置完毕以后，点击OK按钮就可以了。CD上的音乐将会在Cool Edit中被打开，你可以通过"另存为"将其保存成你需要的文件格式。

数字抓轨就讲到这里，下面我们来讲讲Cool Edit Pro 2.0的另一个极棒的功能：批处理式的音乐压缩和格式转换。

通过这个功能，当我们要把wav文件压缩成mp3的时候，就不必一个一个文件的压了，而可以把任务批处理化，然后一点鼠标就搞定。

我下面以批量压缩CD上的.cda歌曲文件成mp3文件为例来说明，这个操作可能也是大家最经常使用的吧。

在单轨模式下的File（文件）菜单中选择"Batch File Convert..."，打开批处理对话框如图：

点"Add Files"按钮，选择你打算批量处理的音乐文件。

如果箭头所示的"Hide Path"被选中，则不显示文件的路径。

文件选定以后，第二步点击分页面"Resample"，进入转换采样率对话框如图：

如果Convert Sample Type的复选框不选中，则表示不改变文件的采样率。否则点击箭头所指的按钮，可以进入Cool Edit的采样率设置窗口，调整你需要的采样率等。

下一步进入了"New Format"，在这里定义你要得到的新文件格式。

如图我们选择了mp3格式作为输出的文件格式。（你也可以选择其他你需要的文件格式）

最后一步在"Destination"里设置文件的输出路径。

如果你想让输出的文件和源文件在同一目录下，则选择"same folder as the file's source folder"。

否则，你可以在箭头标示的地方选择文件输出的路径。

下面几个选项的含义：

Overwrite existing files:如果输出路径下有同名的文件，将其覆盖。

Delete source files if converted ok:文件转换成功后，删除掉源文件。

Remove from file list if converted ok:文件转换成功后，将其从任务列表中去除。

再下面是文件的输出名称模板设置，你可以通过通配符(如*,)来定义输出的文件名，非常方便。这部分在对话框最下面有示范例子，可以参考。

全部设定好了以后，点击箭头所指quot;Run Batch"按钮，就不用你费心了：）

相比国产软件"超级解霸"的类似功能，Cool Edit pro 2.0明显要强出很多，首先它具有更丰富的设置选择，可以自由转换采样率，拥有更多的输出格式；其次速度上也具有很好的保证；最后，也是最重要的，在抓取CD音轨和音频文件压缩的音质上，Cool Edit Pro具有专业的算法和水准，得到的输出音乐质量要比超级解霸高出许多。

Cool Edit Pro 2.0的这两个新功能就讲到这里，相信你能感觉到这个软件对于用户需求考虑得很周到，并且操作非常简明。所以它的用户群不断大幅度增加，也就不足为奇了。

好样的，Cool Edit软件？

软件

如何使用抓包

如何使用sniffer抓包2007-12-16 12:26

一、什么是sniffer

与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。

以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。

由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

二、sniffer工作原理

通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有"广播地址"。

在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成promiscuous方式的能力）

可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

通常sniffer所要关心的内容可以分成这样几类：

1、口令：

我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。

2、金融帐号：

许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。

3、偷窥机密或敏感的信息数据：

通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

4、窥探低级的协议信息：

这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大条得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）。

三、哪里可以得到sniffer

Sniffer是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行sniffer，了解它是如何有效地危及本地机器安全。

Sniffer可以是硬件，也可以是软件。现在品种最多,应用最广的是软件Sniffer, 绝大多数黑客们用的也是软件Sniffer。

以下是一些也被广泛用于调试网络故障的sniffer工具：

商用sniffer：

1 Network General.

Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"Distrbuted SnifferSystem"可以将UNIX工作站作为sniffer控制台，而将snifferagents（代理）分布到远程主机上。

2 Microsoft's Net Monitor

对于某些商业站点，可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种sniffer帮助解决网络问题，因为许多sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NTNetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MS Windows平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

免费软件sniffer

1 Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次登陆会话进程刚刚好。

2 SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。

3 TCPDUMP：这个SNIFFER很有名，linux,FREEBSD还搭带在系统上，是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，How Mitnick hacked Tsutomu Shimomura with an IP sequence attack

(，另一台是66.66.66.7，我们称之为target。

1>你希望检查sniffer是否能运行sniffit:~/#sniffit-d-p7-t66.66.66.7，并且开另一个窗口:

sniffit:~/$telnettarget7，你可以看到sniffer将你telnet到对方7号端口echo服务的包捕获了。

<2>你希望截获target上的用户密码sniffit:~/#sniffit-p23-t66.66.66.7

<3>target主机的根用户声称有奇怪的FTP连接并且希望找出他们的击键sniffit:~/#sniffit-p21-l0-t66.66.66.7

<4>你希望能阅读所有进出target的信件sniffit:~/#sniffit-p25-l0-b-t66.66.66.7&，或者sniffit:~/#sniffit-p25-l0-b-s66.66.66.7&

<5>你希望使用用户交互界面sniffit:~/#sniffit-i

<6>有错误发生而且你希望截获控制信息sniffit:~/#sniffit-Picmp-b-s66.66.66.7

<7>Gowildonscrollingthescreen. sniffit:~/#sniffit-Pip-Picmp-Ptcp-p0-b-a-d-x-s66.66.66.7，与之效果相当的是sniffit:~/#sniffit-Pipicmptcp-p0-b-a-d-x-s66.66.66.7

<8>你可以用'more66*'读取下列方式记录下的密码sniffit:~/#sniffit-p23-A.-t66.66.66.7，或者sniffit:~/#sniffit-p23-A^-tdummy



高级应用

1、用脚本执行

这是配合选项-c的，其执行方法也很简单，比如以如下方式编辑一个叫sh的文件

selectfromhost180.180.180.1

selecttohost180.180.180.10

selectbothport21

然后执行：sniffit-csh

说明：监听从180.180.180.1送往180.180.180.10的数据包，端口为FTP口。这里不做更多说明，你可以自己去看里面的README。

2、插件

要获取一个插件是很简单的，你将它放入sniffit的目录下，并且象如下方式编辑sn_plugin.h文件：

#definePLUGIN1_NAME"Myplugin"

#definePLUGIN1(x)main_plugin_function(x)

#include"my_plugin.plug"

注意:

a)你可以让plugin从0-9，所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续的

d)#include"my_plugin.plug"这是我的插件源代码放置的地方。如果想详细了解的话，还是看看里面的plugin.howto吧。

3、介绍tod

这东东便是sniffit最有名的一个插件了，为什么叫TOD呢--touchofdeath,它可以轻易地切断一个TCP连接，原理是向一个TCP连接中的一台主机发送一个断开连接的IP包，这个IP包的RST位置1，便可以了。

将下载下来的tod.tar.gz拷贝到sniffit所在目录下，解压安装后ln-stodsniffit_key5，就可以将这相程序与F5键连接起来，想切断哪台机器的话，只要在窗口中将光标指到需要断线的机器上按下F5键就可以了。你可以自由地定义成其它的F功能键--F1~F4不行，它们已经被定义过了……

[2]，在nt下的sniffit

Sniffit 0.3.7推出了NT版本，也支持WINDOWS2000，这个sniffit需要WinPcap包，就是类似与libpcap的包，支持WIN32平台上可以信息包捕获和网络分析,是基于UNIX的libpcap和BPF（Berkeley 分帧过滤器）模型的包。它包括内核级的包过滤驱动程序，低级动态连接库(packet.dll),和高级系统无关性库(libpcap,基于0.4a6版本）。

这个WinPcap信息包捕获启动程序可把设备驱动增加在Windows 95, Windows 98, Windows NT 和 Windows 2000 上，可以有能力捕获和发送通过原始套接口的信息包（raw packets),Packet.dll是一个能用来直接访问BPF驱动程序的API。

WinPcap在，另一台是66.66.66.7，我们称之为target。

1>你希望检查sniffer是否能运行sniffit:~/#sniffit-d-p7-t66.66.66.7，并且开另一个窗口:

sniffit:~/$telnettarget7，你可以看到sniffer将你telnet到对方7号端口echo服务的包捕获了。

<2>你希望截获target上的用户密码sniffit:~/#sniffit-p23-t66.66.66.7

<3>target主机的根用户声称有奇怪的FTP连接并且希望找出他们的击键sniffit:~/#sniffit-p21-l0-t66.66.66.7

<4>你希望能阅读所有进出target的信件sniffit:~/#sniffit-p25-l0-b-t66.66.66.7&，或者sniffit:~/#sniffit-p25-l0-b-s66.66.66.7&

<5>你希望使用用户交互界面sniffit:~/#sniffit-i

<6>有错误发生而且你希望截获控制信息sniffit:~/#sniffit-Picmp-b-s66.66.66.7

<7>Gowildonscrollingthescreen. sniffit:~/#sniffit-Pip-Picmp-Ptcp-p0-b-a-d-x-s66.66.66.7，与之效果相当的是sniffit:~/#sniffit-Pipicmptcp-p0-b-a-d-x-s66.66.66.7

<8>你可以用'more66*'读取下列方式记录下的密码sniffit:~/#sniffit-p23-A.-t66.66.66.7，或者sniffit:~/#sniffit-p23-A^-tdummy



高级应用

1、用脚本执行

这是配合选项-c的，其执行方法也很简单，比如以如下方式编辑一个叫sh的文件

selectfromhost180.180.180.1

selecttohost180.180.180.10

selectbothport21

然后执行：sniffit-csh

说明：监听从180.180.180.1送往180.180.180.10的数据包，端口为FTP口。这里不做更多说明，你可以自己去看里面的README。

2、插件

要获取一个插件是很简单的，你将它放入sniffit的目录下，并且象如下方式编辑sn_plugin.h文件：

#definePLUGIN1_NAME"Myplugin"

#definePLUGIN1(x)main_plugin_function(x)

#include"my_plugin.plug"

注意:

a)你可以让plugin从0-9，所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续的

d)#include"my_plugin.plug"这是我的插件源代码放置的地方。如果想详细了解的话，还是看看里面的plugin.howto吧。

3、介绍tod

这东东便是sniffit最有名的一个插件了，为什么叫TOD呢--touchofdeath,它可以轻易地切断一个TCP连接，原理是向一个TCP连接中的一台主机发送一个断开连接的IP包，这个IP包的RST位置1，便可以了。

将下载下来的tod.tar.gz拷贝到sniffit所在目录下，解压安装后ln-stodsniffit_key5，就可以将这相程序与F5键连接起来，想切断哪台机器的话，只要在窗口中将光标指到需要断线的机器上按下F5键就可以了。你可以自由地定义成其它的F功能键--F1~F4不行，它们已经被定义过了……

[2]，在nt下的sniffit

Sniffit 0.3.7推出了NT版本，也支持WINDOWS2000，这个sniffit需要WinPcap包，就是类似与libpcap的包，支持WIN32平台上可以信息包捕获和网络分析,是基于UNIX的libpcap和BPF（Berkeley 分帧过滤器）模型的包。它包括内核级的包过滤驱动程序，低级动态连接库(packet.dll),和高级系统无关性库(libpcap,基于0.4a6版本）。

这个WinPcap信息包捕获启动程序可把设备驱动增加在Windows 95, Windows 98, Windows NT 和 Windows 2000 上，可以有能力捕获和发送通过原始套接口的信息包（raw packets),Packet.dll是一个能用来直接访问BPF驱动程序的API。

WinPcap在，另一台是66.66.66.7，我们称之为target。

1>你希望检查sniffer是否能运行sniffit:~/#sniffit-d-p7-t66.66.66.7，并且开另一个窗口:

sniffit:~/$telnettarget7，你可以看到sniffer将你telnet到对方7号端口echo服务的包捕获了。

<2>你希望截获target上的用户密码sniffit:~/#sniffit-p23-t66.66.66.7

<3>target主机的根用户声称有奇怪的FTP连接并且希望找出他们的击键sniffit:~/#sniffit-p21-l0-t66.66.66.7

<4>你希望能阅读所有进出target的信件sniffit:~/#sniffit-p25-l0-b-t66.66.66.7&，或者sniffit:~/#sniffit-p25-l0-b-s66.66.66.7&

<5>你希望使用用户交互界面sniffit:~/#sniffit-i

<6>有错误发生而且你希望截获控制信息sniffit:~/#sniffit-Picmp-b-s66.66.66.7

<7>Gowildonscrollingthescreen. sniffit:~/#sniffit-Pip-Picmp-Ptcp-p0-b-a-d-x-s66.66.66.7，与之效果相当的是sniffit:~/#sniffit-Pipicmptcp-p0-b-a-d-x-s66.66.66.7

<8>你可以用'more66*'读取下列方式记录下的密码sniffit:~/#sniffit-p23-A.-t66.66.66.7，或者sniffit:~/#sniffit-p23-A^-tdummy



高级应用

1、用脚本执行

这是配合选项-c的，其执行方法也很简单，比如以如下方式编辑一个叫sh的文件

selectfromhost180.180.180.1

selecttohost180.180.180.10

selectbothport21

然后执行：sniffit-csh

说明：监听从180.180.180.1送往180.180.180.10的数据包，端口为FTP口。这里不做更多说明，你可以自己去看里面的README。

2、插件

要获取一个插件是很简单的，你将它放入sniffit的目录下，并且象如下方式编辑sn_plugin.h文件：

#definePLUGIN1_NAME"Myplugin"

#definePLUGIN1(x)main_plugin_function(x)

#include"my_plugin.plug"

注意:

a)你可以让plugin从0-9，所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续的

d)#include"my_plugin.plug"这是我的插件源代码放置的地方。如果想详细了解的话，还是看看里面的plugin.howto吧。

3、介绍tod

这东东便是sniffit最有名的一个插件了，为什么叫TOD呢--touchofdeath,它可以轻易地切断一个TCP连接，原理是向一个TCP连接中的一台主机发送一个断开连接的IP包，这个IP包的RST位置1，便可以了。

将下载下来的tod.tar.gz拷贝到sniffit所在目录下，解压安装后ln-stodsniffit_key5，就可以将这相程序与F5键连接起来，想切断哪台机器的话，只要在窗口中将光标指到需要断线的机器上按下F5键就可以了。你可以自由地定义成其它的F功能键--F1~F4不行，它们已经被定义过了……

[2]，在nt下的sniffit

Sniffit 0.3.7推出了NT版本，也支持WINDOWS2000，这个sniffit需要WinPcap包，就是类似与libpcap的包，支持WIN32平台上可以信息包捕获和网络分析,是基于UNIX的libpcap和BPF（Berkeley 分帧过滤器）模型的包。它包括内核级的包过滤驱动程序，低级动态连接库(packet.dll),和高级系统无关性库(libpcap,基于0.4a6版本）。

这个WinPcap信息包捕获启动程序可把设备驱动增加在Windows 95, Windows 98, Windows NT 和 Windows 2000 上，可以有能力捕获和发送通过原始套接口的信息包（raw packets),Packet.dll是一个能用来直接访问BPF驱动程序的API。

WinPcap在http://netgroup-serv.polito.it/windump和http://netgroup-serv.polito.it/analyzer这两个工具中成功应用。最新的WinPcap是版本2.02，修补了2.01版本中的一些缺陷，并且支持WIN2000。具体信息和源代码可以在下面这个站点找到：

http://netgroup-serv.polito.it/winpcap/

下面是在WIN2K中安装的步骤：

1）先下载packet.exe这个程序后展开安装

2）打开WINDOWS2000的控制面板

3）从控制面板中双击"网络和拨号连接"图标，在打开"本地连接"图标，并选择属性选项

4）在显示的对话框中选择"安装",安装网络组件

5）再在出现的对话框中选择"协议"，点击"增加"

6）在出现的对话框中选择"从磁盘安装"，选择正确路径，就是刚才你解压的网络设备驱动程序（这个文件夹中必须包含packet.inf和packet.sys)的地方，在选择确定

7）在选择"acket capture Driver v X.XX ",并按照指示来完成安装，往往要你WINDOWS2000的安装光盘

8）查看网络组件中有没有 Packet capture Driver v X.XX 这一行，有的话说明这个驱动程序已经建立并绑定了网络接口

再重新启动机器

然后解压sniffit_nt.0.3.7.beta，再使用命令行模式，我简单的使用了一个命令行，刚开始是使用sniffit -t 192.168.0.1 -p 21，想监视下21 FTP端口的密码捕获成不成功，但出现"Automatic network device lookup not yet supported in Win32、version... use '-F DevicePacket_31BB7ED2-125E-11D4-8F11-D79985727802' 、to force the choice，Read the README.FIRST on how to force network devices. 的提示，于是我按照其提示所示，使用了sniffit -F Devicepacket_31BB7ED2-125E-11D4-8F11-D79985727、802 -t 192.168.0.1 -p 21命令，这时出现下面的提示：

Forcing device to Devicepacket_31BB7ED2-125E-11D4-8F1 quested)...

Make sure you have read the docs carefully.

Sniffit.0.3.7 Beta is up and running.... (192.168.0.1)

这就表明sniffit在工作了，于是在FTP到NT的端口，输入密码，随即就可以在刚才SNIFFIT的目录下看到一个关于192.168.0.2.1281-192.168.0.1.21的文件，打开后查看里面的内容如下所示：

USER xundi

PASS xxxxxxx------我隐藏了

SYST

PORT 192,168,0,2,5,2

LIST

PORT 192,168,0,2,5,3

LIST

CWD g:

CWD c

PORT 192,168,0,2,5,26

LIST

CWD hack

PORT 192,168,0,2,5,88

LIST

看，是不是很整洁啊，至于文件名为何是这样192.168.0.2.1281-192.168.0.1.21，那是应该是一个客户/服务器模式，客户端的连接是随意开一个1281端口地址和192.168.0.1的21口连接。

五、如何监测主机正在窃听（sniffed）

如何才知道有没有sniffer在我的网上跑呢？这也是一个很难说明的问题，比较有说服力的理由证明你的网络有sniffer目前有这么几条：

1、你的网络通讯掉包率反常的高。

通过一些网络软件，你可以看到你的信息包传送情况（不是sniffer），向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在听，那么你的信息包传送将无法每次都顺畅的流到你的目的地。（这是由于sniffer拦截每个包导致的）

2、你的网络带宽将出现反常。

通过某些带宽控制器（通常是火墙所带），你可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在听。在非高速信道上，如56Kddn等，如果网络中存在sniffer,你应该也可以察觉出网络通讯速度的变化。

3、通常一个sniffer的记录文件会很快增大并填满文件空间。在一个大型网络中，sniffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现sniffer。

4、一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行sniffer，但这样将只能捕获本机会话。只有混杂模式下的 sniffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。

对于SunOS、linux和其它BSD Unix系统，如下命令：

"ifconfig -a"

会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令：

# netstat -r

Routing tables

Internet:

Destination Gateway Flags Refs Use Interface

default iss UG 1 24949 le0

localhost localhost UH 2 83 lo0

然后通过如下命令检查每个网络接口：

#ifconfig le0

le0: flags=8863

inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

入侵者经常会替换ifconfig等命令来避开检查，因此一定要检查命令程序的校验值。

在ftp.cert.org:/pub/tools/的cpm程序（SunOS平台）可以检查接口是否有混杂模式标记。

这些命令只在sniffer与内核存在链接时有效。而在缺省情况，sniffer是没有与内核链接的。大多数的Unix系统，例如Irix、Solaris、SCO等，都没有任何标记来指示是否处于混杂模式，因此入侵者能够窃听整个网络而却无法监测到它。

如果机器上使用两块网卡，把一块设置为杂乱模式，并把IP地址设置为0.0.0.0，另一块卡处于正常的模式并是正确的地址，这样将很难发现SNIFFER的存在。

注意：要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接,不可能仅通过远程发送数据包或ping就可以检查计算机是否正在窃听.

六、如何阻止sniffer

<1>交换

随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使sniffer失效的设备。目前最常见的交换机在第三层（网络层）根据数据包目标地址进行转发，而不太采取集线器的广播方式，从理论上讲，通过交换设备对网络进行分段后，sniffer将无法透过边界而窥探另一边的数据包。但是，请注意：这是在边界设备不转发广播包的情况下（这也是通常的网络情况）。一旦入侵者使用spoofer诱骗某个边界设备而将自己的广播包流入不该进入的网段后，原理上还是在一个共享设备端使用sniffer,而实际上将是听到了边界的另一边).当然，这样会牵涉到ip欺诈和Mac欺诈的问题，然而,你别忘了，sniffer和spoofer是很少分开来的。

<2>加密

目前有许多软件包可用于加密连接，从而使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。