网站抓包工具_利用抓包攻击网站

抓包违法吗

【法律分析】：抓包分析不违法。抓包属于 *** 调试的一种 *** ，本身并不违法，但如果在 *** 中不论以任何形式进行抓包，抓取别人的数据，并对数据进行恶意利用，则会涉及违法，例如通过抓包获取他人银行卡信息，并进行盗窃等活动。抓包是一种威胁性极大的被动攻击工具。使用这种工具，可以监视 *** 的状态、数据流动情况以及 *** 上传输的信息。当信息以明文的形式在 *** 上传输时，便可以使用 *** 监听的方式来进行攻击。

【法律依据】：《中华人民共和国 *** 安全法》 第六十二条　违反本法第二十六条规定，开展 *** 安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、 *** 攻击、 *** 侵入等 *** 安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

*** 抓包的用途何在？

主要作用

通过对 *** 上传输的数据进行抓取，可以对其进行分析，对于软件的Debug很大的帮助。当然也可以通过抓取用户发送的涉及用户名和密码的数据包来获取用户的密码。

（1） *** 通讯的真实内容。

（2） *** 故障分析。

（3）程序 *** 接口分析。

（4）木马通讯数据内容。

扩展资料：

抓包工具

抓包工具是拦截查看 *** 数据包内容的软件。通过对抓获的数据包进行分析，可以得到有用的信息。目前流行的抓包工具有很多，比较出名的有wireshark、sniffer、httpwatch、iptool等。这些抓包工具功能各异，但基本原理相同。

我们的计算机通过向 *** 上传和从 *** 下载一些数据包来实现数据在 *** 中的传播。通常这些数据包会由发出或者接受的软件自行处理，普通用户并不过问，这些数据包一般也不会一直保存在用户的计算机上。

抓包工具可以帮助我们将这些数据包保存下来，如果这些数据包是以明文形式进行传送或者我们能够知道其加密 *** ，那么我们就可以分析出这些数据包的内容以及它们的用途。

目前抓包工具更多的用于 *** 安全，比如查找感染病毒的计算机。有时也用于获取网页的源代码，以及了解攻击者所用 *** 、追查攻击者的ip地址等。

参考资料来源：百度百科-抓包

如何抓包分析报文防护 DDoS 攻击

1、使用 ip verfy unicast reverse-path *** 接口命令 这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达 *** 接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。 单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止 *** URF攻击和其它基于IP地址伪装的攻击。这能够保护 *** 和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的 *** 接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个 *** 接口或子接口上激活的输入端功能，处理路由器接收的数据包。 在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。 2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址 参考以下例子： interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文 参考以下例子： {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端 *** } ISP端边界路由器应该只接受源地址属于客户端 *** 的通信，而客户端 *** 则应该只接受源地址未被客户端 *** 过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子： access-list 190 permit ip {客户端 *** } {客户端 *** 掩码} any access-list 190 deny ip any any [log] interface {内部 *** 接口} { *** 接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子： access-list 187 deny ip {客户端 *** } {客户端 *** 掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端 *** } {客户端 *** 掩码} any access-list 188 deny ip any any interface {外部 *** 接口} { *** 接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的 *** 接口并不需要是CEF交换接口。 4、使用CAR（Control Access Rate）限制ICMP数据包流量速率 参考以下例子： interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action tran *** it exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。

怎么用抓包技术刷东西？求教 谢谢

*** ：

1．安装抓包工具。目的就是用它分析 *** 数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置 *** 路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能更好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把 *** 的出口映像到抓包主机上，所有对外访问的 *** 包都会被分析到。

3．开始抓包。抓包主机已经设置好了， *** 里的数据包也已经送过来了，那么我们看看 *** 里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们 *** 里存在吗？很可能 *** 里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

*** 抓包是什么意思，网吧被攻击要 *** 抓包，

你是 *** 管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现 *** 性能急剧下降， *** 服务不能正常提供，服务器访问速度极慢甚至不能访问， *** 交换机端口指示灯疯狂地闪烁、 *** 出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了 *** 设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的 *** 杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞 *** 、感染主机，让 *** 管理员苦不堪言。当 *** 病毒出现时，如何才能及时发现染毒主机？下面我根据 *** 病毒都有扫描 *** 地址的特点，给大家介绍一个很实用的 *** ：用抓包工具寻找病毒源。

1．安装抓包工具。目的就是用它分析 *** 数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置 *** 路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能更好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把 *** 的出口映像到抓包主机上，所有对外访问的 *** 包都会被分析到。

3．开始抓包。抓包主机已经设置好了， *** 里的数据包也已经送过来了，那么我们看看 *** 里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们 *** 里存在吗？很可能 *** 里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：

这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。