l003002021-iris软件的利用

1、课程编写内容名称Iris软件的使用要求能够使用iris进行相关的网络检测PQ操作系统类型：windows2003。Windowsxp网络接口：本地连接连接要求PC网络接口，本地连接与实验网络直连描述1、学生机要求女装java环境2、一windows2003的系统环境描述1、 学生机与实验室网络直连；2、 VPCW实验室网络直连；3、 学生机与VPC1物理链路连通；识iris是对网络上的数据包进行检测和分析的工具，它可以捕获所有发出和进入的数据包，并可以对数构。iris是eeye公司的一广器，eyes豕以网络女全见长的公司，其女全检测工具retina和娄都做得非常出色。iris可用于网络数据传输

2、检测、网络协议检测等容能够使用iris进行相关的网络检测学生登录实验场景的操作1、学生单击“网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标主打开控制台tilCr打开控制自2、学生输入密码123456,登录到实验场景中的目标主机。如图所示3、打开D:tools目录，双击iris_5.2.0_demo.exe进行iris安装。点击“next”如图:文件版本：S2074创建日期:2013-42215:51大小：12.3ME12.3MJ我的电,心/开施D.tools|jlDigital-SeckrL.4、点击“iaccept”然后点击“next”，如图:Licens

3、eAgreement7airstsllsEve：DistalSecurityPisNtt.orkPafflrAr-alt/je-,voumustacptthedgr#Mient.EEYEDIGITALSECURITY(eEye)EndUserSoftwareLicenseAgreement(EULA*)IMPORTANT-READCAREFULLYThisEULAisaleqalagreementbetweenvouCanindividualoraentity)CCustomer?andeEyegovemiriqGustonnersuseofeE;espropnetan-softwarepro

4、duct(5)(fromtimetotm*theeEyeSoftware)andrelateddocumentation(inwrittenorelectronicform；(theD0cumentation,r5settingforththetectinicalspecificationsforttieuseandoperationoftheeEveSoftware.Unlessotherwise,dagreedbvthepartiesinwriting；theusagedefinitionsandrestrictionsapplicabletoCustomersuseoftheeEyeSo

5、ftwareCeEyeSoftwarell|1=fik.-4Jfmin-f11一rcIi-ifikLiianifitwfe.g.flPIacceptelltermsoftheprecedingLizenseAgreement.Cancel5、点击“next”（可以点击“browse”来选择安装路径）6、点击“next”。进行安装，如图:-ETxlieEyeVitaiSecurityIrisVetvorkTraffickn-tlyrtrSetupReadytoIntallitheApplicationCd.Nexttontginrstalkjari.CcPtheB。&buttontoreente

6、thenstahatraninrmationordickCancetoexitthewizard.7、“launchiris”表示在安装完成后运行iris，默认选中，然后点击“finish”按钮，打开iris它会首先给出提示，如图8、给出提示。点击“ok”如图:IrisThe Xcmork TnitTicVertitn5.2.0L74Thiscorriputerprogramisprotectedco卬lightI已加andintemolionaltretie?.Uriutl3oriedreproductionordistributionofthiprogram,oranportionofit

7、,mayre$utinsevetecivilandcrimriaipenalties,andwillbeprosecutedtothemwirmurriextentp踊Heunderthelaw?Copyrighr?1998-2007旺脂口己间SecM山9、我们点击“ok”即可打开iris,界面如图:10、iris的基本使用和配置iris的基本使用先看一下iris界面的各部分。如图:名南文抻T?rttt!)Capture|Ti-修，：11|RIA工心9亡.Bildr|WAX0口1*工Fachetlie-*+乂ElJ七YlyCap4口eu冲4eFilth工EoqLwHtL：pHAd-RM必UMO

8、MT网4W电vlIiij*lt仃1*附3thith4口fnalw(b4.rn*nu4pUciLo好L个陌氽KafilterCFITC。仙。UITIE1由0轮用心：后lT4T开划勒Ut3用:“3打瑶美工耳，.第1部分：这是iris的菜单和工具栏，工具栏的都包含在菜单中，下面介绍下各菜单的功能:file:文件菜单，主要用来打开和保存相关文件及退出iris。view：视图菜单，设置各小部分的显示与隐藏。capture:捕获菜单，针对数据包捕获的相关操作，开始/结束捕获，搜索数据包等。decode：解码菜单，对数据包进行解码的相关操作。filter:过滤器菜单，可以打开/关闭过滤器配置文件，设置包过滤

9、选项等。tools:工具菜单，可查看iris数据包统计，设定定时抓包任务，对iris进行设置等。第2部分：iris的解码（decode）和手包（capture）的切换。第3部分：查看iris的统计，以图表的形式显示。第4部分：iris的帮助和支持，可以查看iris的详细说明文档第5部分：小提示，它会根据你的操作给出相应的小提示。第6部分：显示iris抓到的数据包。第7部分：显示数据包中的内容，并可以对数据包进行重构。第8部分：以协议的形式显示数据包的详细信息。使用iris进行数据包探测时，只需点击工具栏上的绿色开始按钮（点击后该按钮会变为红色的停止按第6部分点击一个数据包后会在第7部分显示数据

10、包内的内容，在第7部分根据协议显示该数据包的头、ipv4头部、tcp头部等。要停止抓取数据包只需点击停止按钮（点击后该按钮又会变成绿色的开如图11、在第3部分会有以图表形式显示的统计信息，点击后就可以查看。注：由于我们使用的是试用版信息时会出现一个提示，我们点击“ok”就可以了，如图图标显示:?HJpTDecodeStatist:i二,:Eaitdwi一Frotoc耀TopHoHelpan-J后退地址)名称%iris小(S1一Ev亶stioiiYtrsiqu-15triJLdaysrcnaiaiagDecodeF_ilteTSToolsHelp蠲M4刃刷。M473CapturePicketDm

11、i十乂Time*：g：s：is，|(1M.口urmaddr|MACd白st.卷tPrgIocoJsUIEI0versiosvillnot五h，realdala.JIIdSl-IHJ空凶HuiSlEIPprotocols1不前第F:FF.F：FT.F：n.*电叼电Techni,Abou七FtFF.F?FF.AS00OthersTCP-htttp5100016C0C115C0U12C03TCPqFTP9CQ06000TCP-!-TELNETaijOLi0TCP，HTTFTCP.FTPTCP-sSM|TCP-nFTP-DATATCF-5MIF(port5)12623bytesoutof635SCIB

12、.W完毕DiAyouUmove_foucmopnfilsby工inqth*OpilmlatpeKid.nigDiuojlion.NofilterCPIT:46*-90/2(100IP192.l&S.D.46NIK:6c-3a-74-：s开g|马MJx口D：11mb扫描类工具|IrisPro*saianal12、iris的图表统计分为四部分：protocoldistribution:根据协议类型进行的统计信息tophosts:根据主机进行的统计信息sizedistribution:根据数据包字节大小进行的统计信息bandwidth:显示带宽的信息iris的基本设置iris的基本设置可以分为两部分

13、，一部分为对iris过滤器的设置，另一部分为对iris软件的设置对iris过滤器的设置打开“filter”-editfilter”或按“ctrl+e”打开过滤器选项。如下图:(1) hardwarefilter:此选项卡设置硬件过滤选项，使用默认即可，如下图：(2)layer2,3选项卡主要对第2层和第3层进行设置，选中“showalltype”后会显示所有的协议类thesetype”会将所选中的协议排除在外。(3)此选项用于对关键字进行检查，如果设置了此项iris会专门查找含有此关键字的数据包。在k字，点“add”按钮后添加。如图(4)此选项卡用于设置针对哪些主机之间的通信进行数据包抓取，a

14、ddressl和address2是ip地址;地址薄“addressbook”中拖过去，它的写法是逆序的，如网关是：92。dir设置两主机N是较常用的一项。如图文件tn ge后退白工口 白匐 Cifturi Dcod* Fillers T&els JCelp本地喷叠地址山)日 * M之刃旭画M 3 ? 3|DecoFilter 5*tti n.g隔篇。添加f重暮复将也以此fil 5 UI ，工 ， ：* ，工命劫制这b电文除BHssls a 田回 旺得mKardsfar 电 FilterLaytr 2, 3Kevlar isIF AddrCEE PortsMAC Adires-

15、s ArilvarureJ.If人4加包45 host C12,166.0,51)由 % Bro adca.it/lulti c ast 土 飒 Address Eouk：ic二己;LDir.Rd 心 e mm 212345JIExclidt thtss 式(ir”w我的E口我第二JjI确定I取消|产I共享wBldijrollknow?.-ij网上；1V丫口口c皿disablepacketsdisplayingfoxbetterperformance.学郑码|j|r|国|Jiltr：Untitli|CFU:U6；ZOOOIF:19Z.16：?.C.5nriM|图命令提示将IS费的音乐1本地遨盘

16、心：)|图th返育(5)此选项卡用于设置主要抓取使用特定端口进行数据传输的数据包，“add”按钮用于添加，“rem口移除，选中“excludethesesports”则表示不抓取使用选定端口的数据包。此项也是较常用的一DecodeAStatisticsaddrMACdast.3文件(DQ后退地址).的irispFlteToolsHelpa播M4仃刷叵MlHwdw旺咤FilterLaver2,3KevwgrdsIPAddxessPoHrMACAdlrcsiAdvmesd-FortqTiltsrel一FrutQCQlDistrife.TopHostsllkjSiDistrtintienIEmNwi

17、d+hHeLpandn.p.公/HolpT&picm电叼电罹bSiie叨TechnicslSupportKddBS53wmcBNSICHD79FFTLnwwJTTTJfrlrrINILD3390044-82413FF:PF:fP:FF.01：00：5E：aO.01：00：5E100.FF:FF:FF二FF.FFFFWFF.RF.FF.mmFF:TF;FF二FF,FF：JF：FJ：FF.FF.FF：FF：FF.680qaoSoooco11oo33010ssoooc0o_FF-6o日35nl1AbontIris取消|IF:192,156.0.46LIAI20200(1个对象_J口：,七。工扫描笑工

18、员一.|IrisLrofessionl-，.Tonamop。口mul七iplefilasbyusinth*Openuidtpjpend.ift电micjlion.fi-EidyUntitled,fCPU:1花(6)这个选项卡和“ipaddress”选项卡差不多，只不过这里用的不是ip地址，是mac地址。如图地址CD：Helpsund5tLpm_：D：vK：ni：E.：m(C:：qEuidwilhWizeDiz“settins”或按“ctrl+t”会出现针对iris的设置选项卡，如图文件M)鱼后退地址CD)名称-第旧工一IrisTrcfessional-EyluationVersion-15tr

19、ialdaysx弋i.ningFileViewCaptureDecodeFilters4ConfiguresIrissettings.ToolsHelpSendPopupMessage.1不对象CaptureAdapterStatisties.sourceaddrMACdest.8(E)_：Settings.aU?-CtrlHS_111Scheduler.PacketDeiC：56F：49B1Address:jHardws0Protoc(LengthI.ATgfh0perat;b8Sender，烈Sender*,回Target3TargeVFrameI84204:12:15:7816C：BD：

20、08：A5：.84304:12:16:4066C:9F：49:C8；.84404:12:16:7036C:5F:87:04:.84504:12:18:3756C:3C:56:4X:.84604:12:18:8436C;BD;08:A5；84704:12:19:5466C：3C：56:4k：.84804:12:19:9846C:BD；08:A5：.4A.：.C8：.FF:PF:Fr：FF.FF:fF：Fr：FF.FF：TF：FJ：FF.FF:FF:FF：FF.FF:FF:FF:FF.FF:PF:FF:FF.FF:FF;FF:FF.FF：fF：Fr：FF.FF:TF：FF：FF.000000100

21、0200030FFFFFF080006000000000000FF040000FF000000FF0100006C6cCO00EEEEA800C6C600008F8FD600080800003131000008CO0006A800Did.youIrnov.YoucanopenmultiplefilesbyvisingtheOpenandappend.menuoption.(3Pilter：Vntitied,fCPU：0%84W2000IP:6MA(，开始jLJD：Ho。1人扫描类工具.|(InsProfessional.文f牛珥)Q后退地址名糖用iris.File熊懵Ca

22、ptwrDecodeF_iltersToalsHei?*rStatistics4*FratocolDistrife.曲TopHosts而iDistrilutiin心eE近版idthHelpand.n.p./Hol/TopicsjeEy电WebStie叨T巨cJiTiicslSupportoutInsA2addrMACdest.取U:.FF:PF:FF;FF.日FFJF：FJ：FF.IX：.FF.fF：f?lFF.%:一FF:FF:FF二FF.出FFFF:FF:FF龙:FF.TP.FPiFF.XS;FF;TF;H;FF.33：.FF：JF：FJ：FF.Ik：.FF.FF：FF：FF.ier;s*

23、106】ooC8屿cooo310631CCMOO005ASooi不耐第fi-Eidjr串则WJ*Dil4*事一CULlkun”P,.apaniMiltifl*filesbyusinth*Openuidtppend.例置muojlion.(3mter：Untitied,fCPU:3案吃nodIF:192,156.0.46LIAl八扫描类工具一|5InsFrofess!onal(2) capture选项卡用于设置捕获数据包的相关选项，runcontinuousl表示如果包缓冲区存满时会开始的数据包将会被覆盖。rununitlbuffer表示如果包缓冲区存满时会停止运行。Decode选项卡用于设置解

24、码数据包白相关参数，默认不解码udp数据报，可选中“decodeudpdatagudp数据报。adapters选项卡用于设置使用哪块网卡，有多块网卡时可选用。capturelogs和decodelogs分别用于设置捕获数据包和解码数据包的日志文件，可启用并给它们指miscellaneous选项卡主要用于设置iris的数据包缓存的大/、,“stopwhenfreediskspacedrop值，表值磁盘空间剩余多小m时停止。使用iris捕获数据包并分析本实例通过使用iris进行抓包分析以取得某用户的ftp用户名和密码，下面看一下实际的操作步骤确定目标主机我们首先要确定当前局域网内所有的上线用户，打

25、开“view”-“addressbook”或按“ctrl+b”专击右上方和放大镜按钮查找当前局域网内的活动主机，如图：本地喈盘（cjIriiFT4fessi-IvalnttiaikVfrsioiL-15trinJ.daysTEiTiitb芸后退File i. Capture Decode Palters Tools Kelp.描里丝旦也同网= UI xlxl 团咆Protocol Distri.文件和文DecadeAddxess B。*哈藏添力山搜索;地址曲重命; 移动i 复制i 将逐 W2bEMkdwi dthSi re Bi striluti on.m?HpDate/T(U ： D ! V

26、/h ： m： E ; msHelp and Sup. _ _? Help Tomiosx删除HanneMAC addressMAE aliasIT addressTyiC8：3A：35：TF：.192. 163. 0.1G白1瞄 PCBe.70：F4：n；.192. IBS. 0.3H：102. 168.0.29H*!6C;7C;津田9,1S. 1GS,0.33Hff；00:25:90:67?.192. iss.o.ggH*!BC-OI：A1：DF：.1S2 168. 0. 150Ho:www&5O4e lObTSf sc.-趾二兆例:DF: 一.192. 16S. 0.51HoJR电色的其

27、它位置t ， 一 - - 一二的的享上我我共网1口&引工郑码,T I|3皿球：出七皿工狙即：th146/2000PT: :NetworktrafficstaDidyaiU.7*Tcu亡皿disablepAeketedisplayiikg*ttti&rper.图命今提示将I总我的音乐1本地磁盘度二）可以点击放大镜右边的按钮让iris自动寻找刚上线的主机。ip为的为我们的一个虚拟机14、过滤器设置过滤器进行设置设置，让iris抓取3主机和网关之间的通信，端口过滤为注释：ip地址可直接从addressbook栏拉下来*本地用盘（cj文

28、件（?）辩IrisFrefesciomil-Evsluationer&i4n_15tril4也v二reaining后退f修弋廿Raptw电Qcdefilters工9即Help地址m）亡一曲制叵MI系统住:EEQ隐需I添加P搜索二FilterS&ttjugsN盯切盯FilterIPAldtas5FortsMACAddress值TWOfd二Ad.7irLCd文件和文二+1*-al*1-命动制这b电文除重暮复将we以此删/犷口。OX由曲TopHosts|匕，SizeDistrilutienBandwidthHelpUkdlSup_.,食?HelpTopicseEyeWebSileTechnicLStupportAboutIrisEl-Jkd业a与mRo也k理10