2.3.2 经典嗅探器Iris

网络通信分析工具Iris可以帮助系统管理员轻易地捕获和查看进出网络的数据包，进行分析和解码，并生成多种形式的统计图表。还可以探测本机端口和网络设备的使用情况，有效地管理网络通信。使用Iris对QQ登录密码进行嗅探的具体操作步骤如下。

步骤1：启动Iris，选择绑定网卡，然后单击“确定”按钮，如图2.3.2-1所示。

步骤2：打开“Iris主窗口”，单击工具栏上的“开始捕获”按钮，如图2.3.2-2所示。

步骤3：开始捕捉所有流经的数据帧，如图2.3.2-3所示。

·左侧的“解码”窗格用树型结构显示着每个数据包的详细结构（所找到的数据包会被分解为容易理解的部分）及数据包的每个部分所包含的数据。

·右上角的“数据包列表”窗格显示所有流经的数据包列表（新产生的数据包自动添加到列表里）。在选中特定的数据包之后，其详细信息将会呈树型显示在“解码”窗格中。每一行数据包信息所包含的属性有数据包流经时间、源和目的MAC地址、帧形式、所用传输协议、源和目的IP地址、所用端口、确认标志及大小等。

·右下角的“编辑数据包”窗格分左右两部分，左边显示数据包十六进制信息，右边则显示对应ASCII值。可以在这里编辑、修改数据包并发送出去（会自动添加到数据包列表中）。

步骤4：在没有开启Filter功能之前，可能抓获的是所有进出网卡的流量。为了方便查找目标，需要进行简单的过滤，包括硬件、层（Layer）、关键字、MAC地址、IP地址、端口等的过滤，如图2.3.2-4所示。

步骤5：运行QQ的客户端软件，如图2.3.2-5所示。

这里要捕获其登录密码，所以运行QQ程序进行登录。QQ登录成功后单击Iris工具栏上的停止抓包按钮，停止对数据的捕获。密码就藏在捕获的数据包中，只需单击左侧的“解码”按钮，即可对捕获的数据包进行分析查找。

在左边的“主机活动”窗格中，选择按照服务类型显示的树型结构的主机传输信息。

·在选中某个服务之后，客户机和服务器之间的会话信息就会显示在右上角的“会话列表视图”窗格中。

·在选中某个会话记录之后，就可以在右下角的“会话数据视图”窗格里显示解码后的信息。

在“会话列表视图”窗格中每个会话的属性有服务器、客户机、服务器端口、客户机端口、客户机物理地址，还有服务器到客户机的数据量、客户机到服务器的数据量及总的数据量。

步骤6：打开主界面，单击工具栏上的“显示主机排名统计”按钮，如图2.3.2-6所示。

步骤7：查看主机排名，以图表形式查看与本机相连的数据量最大的10台主机，如图2.3.2-7所示。

尽管Iris嗅探器功能强大，但它也有一个致命的弱点：黑客必须侵入一台主机才可以使用该嗅探工具。因为只有在网段内部才可以有广播数据，而在网络之间是不会有广播数据的，所以Iris嗅探器的局限性就在于它只能使用在目标网段上。