抓包分析工具(etherpeek nx)2.1 注册版(附注册机)-东坡下载

网络监听是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。EtherPeek NX是比较常用也是功能比较强的一种。

EtherPeek NX软件评估及分析整个OSI七层的架构。

解析每个封包及即时的监视网路的各种状态，包含各个网络结点及网络架构的问题。

问题的自动识别能对其发生的问题提供说明及解决方案，并可以追踪36种以上的网络状况，及提供Latency及Throughput解析。

还能将网络上的所有结点沟通的状态以图形的方式完全显示出来。它的显示方式让管理者能非常容易的了解网络目前的状况。

EtherPeek NX能接收局域网中的所有数据，并能对数据进行分析，那么我们可以利用它来进行网络上数据的分析和侦察，找出网络中非法数据，并对它作出有效的控制。下面就以网络工具软件NetRobocop（网络执法官）为例来用EtherPeek NX对它的数据包进行分析。

NetRobocop这个软件用于管理局域网，它可以获取每个IP地址和MAC地址的对应表，也能反映网络用户的连接状况，可以限定各机器（包括计算机和指定了IP的网络设备）所用的IP、上网时段，以及阻止未经登记的计算机与网络连接，记录与网络连接的各机器的上网时间。但是它一旦被人非法使用就会造成网络的混乱，而且NetRobocop这个工具软件也没有公布它的原理，用EtherPeek NX对它数据包的分析也能了解一下这个软件的原理。

以下使用了局域网中三台计算机，分别是：

计算机A IP地址192.168.11.1 MAC地址 00-e0-4c-3c-0f-14

计算机B IP地址192.168.11.2 MAC地址 00-e0-4c-02-88-24

计算机C IP地址192.168.11.3 MAC地址 00-e0-4c-3c-05-20

其中在计算机C上安装了NetRobocop软件和EtherPeek NX软件。

在没有运行NetRobocop的正常网络情况下，我们查询计算机A和B的ARP缓存表如下：

计算机A上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.1 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.2 00-e0-4c-3b-f0-46 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

计算机B上 C:\WINDOWS\Desktop>arp -a

Interface: 192.168.11.2 on Interface 0x1000002

Internet Address Physical Address Type

192.168.11.1 00-e0-4c-3c-0f-14 dynamic

192.168.11.3 00-e0-4c-3c-05-20 dynamic

在运行了NetRobocop后，它会列出所有设定IP地址网段内连网的计算机，显示了包括该计算机的IP地址、MAC地址、计算机名字、上线时间及网卡型号等信息。在没有对其他用户限制权限时，通过EtherPeek NX的Capture功能获取数据进行分析可以看到，NetRobocop是通过不停的向网络上发送某个网段内的所有IP地址的ARP请求数据，询问对方计算机的MAC地址，每台计算机在收到这个ARP请求数据后就返回一个ARP响应数据，返回给发送方自己的MAC地址，对这个正常的ARP响应数据分析显示它的信息如下（计算机B发送给计算机C的ARP响应）：

Flags: 0x00

Status: 0x00

Packet Length:64 / 数据包长度

Timestamp: 11:04:07.168000 09/25/2003

Ethernet Header

Destination: 00:E0:4C:3C:05:20 / 目标MAC地址

Source: 00:E0:4C:3B:F0:46 / 源MAC地址

Protocol Type: 0x0806 IP ARP / 协议类型

ARP - Address Resolution Protocol

Hardware: 1 Ethernet (10Mb)

Protocol: 0x0800 IP

Hardware Address Length:6