Iris是一款最常用的，功能强大的数据包拦截分析工具，可用于拦截通过网络传输的各类TCP/IP/UDP/ICMP数据包，同时可对拦截的数据包进行分析，了解网络协议的结构和组成，方便监控通过网络传输的数据、检测木马程序等。

　　一、安装配置

　　由于Iris可能被别有用心的人非法使用，所以绝大多数的软件下载站点并不提供该软件的下载，软件只能在一些网络安全网站上找到，建议直接到软件开发公司eEyeDigitalSecurity的主页处下载，下载地址是http://www.eeye.com/html/Products/Iris/Download.html。目前的最新版本是4.0.6，未注册只能使用15天。

　　程序安装比较简单，一路Next就可以了。第一次运行需要配置一些参数。

　　（1）Capture(捕获) 设置数据包捕获的运行及显示方式，此项可不设置。

　　（2）Decode(解码) 设置数据包解码参数，此项可不设置。

　　（3）Adapters(网卡)设置要捕获数据包的网卡，此项是必须要做的。如果你的机器只有一块网卡，直接单击网卡名，再单击"应用"按钮即可。如果你的机器有两块以上的网卡，就要根据具体的情况选择了。下面举个简单的例子：

　　假设单位内所有的机器都通过一台服务器接入Internet，服务器有两块网卡，一块和Internet连接，一块作为内网连接，所有的内网机器的数据包都将通过该网卡，为了监视内部网络数据包，就必须选择内部网卡作为Iris的工作网卡。要了解你的网卡类型和名称可通过右击"网上邻居"，选择"属性"进行查看。

　　（4）Guard(警告) 设置报警声及过滤特征，此项可不设置。

　　（5）Miscellaneous(混合) 设置数据包缓冲区的大小及其他，此项可不设置。

　　二、 形势分析

　　Iris启动运行界面比较复杂，到处是按钮和图标，从哪里下手是初学者最先遇到的问题。要想充分发挥Iris的功能，第一步就是首先要了解目前网络的使用情况，可通过下面步骤进行：

　　1.运行Iris。

　　2.打开菜单"Capture/Start（捕获/开始）"，或单击菜单下的绿色三角形工具按钮。

　　3.单击右边的"Capture（捕获）"工具按钮，可以看到Iris正在辛勤工作，不断地捕获数据包。

　　4.工作一段时间后（建议捕获2000个数据包），打开菜单"Capture/Stop（捕获/停止）"或单击菜单下的红色正方形工具按钮停止捕获数据。此时，你可以看到大量的数据包在列表，看不懂没关系，先放在那里。

　　5.使用Iris的Decode（解码）功能分析一下数据。单击右边的"Decode"工具按钮，可以发现Iris已经把所有正在上网的机器都在"Hostaactivity（活动的计算机）"中列出来了。

　　图一 查看活动的计算机

　　查看网络上有哪些电脑正在运行，也可以通过菜单下的"AddressBook（地址簿）"来实现，不过需要花费很长时间，不建议使用。

　　三、 分析"敌"情

　　掌握了目前有哪些电脑在上网是第一步，下面来看看用户在做什么？单击"Hosta activity"右上角"+"，可以展开"Hostaactivity"下的所有资料。此时你就可以发现Iris自动帮你分析出用户正在使用网络服务的类型，有HTTP，MSNMessenger，SMTP ， FTP等一一列出！在单击其中一项，看看右下角的窗口里有什么，里面还有具体的内容哦！哈哈！在看新闻，有意思！我也看看，单击窗口上的"GO"按钮即可，不过有时单击"GO"按钮只是下载页面的其中一个文件，要想了解整个页面的情况，可以在窗口中查找"Referer:"后面跟的就是网址。来告诉他一下，单击窗口上的小人按钮，马上发个信息给他，请礼貌用语哦！还有许多数据包Iris无法分析，没关系一个个地往下移，看看。哈！他在玩联众游戏！当然发现这些，就要靠平时的经验积累了，例如：玩不同的网络游戏都有什么不同的文字提示、哪些服务要使用哪些端口号、不同服务使用的是什么协议之类都要熟悉。只有这样才能更好的使用Iris。

　　图二 分析结果

　　四、重点突破

　　掌握了网络总体情况，下面就可以针对具体的用户进行数据分析了，下面以分析MSNMessenger的数据传递过程为例，介绍一下具体的操作过程。

　　1.了解使用Msn Messager的机器的IP地址。通过前面的分析很容易发现哪些机器使用MSNMessenger将其IP地址记录下来。

　　2.设置Filters(过滤)，设置Filters的目的在于，拦截和所要达到的目标不相干的数据包，只允许想要的数据包通过，方便对数据分析。

　　3.单击右边的"Filters"工具按钮，即可设置过滤的条件。

　　可以选择过滤的方式有：Hardwarefilter(硬件过滤)、Layer2,3(数据链路层网络层过滤)、Words(单词过滤)、Macaddress(Mac 地址)、IP address(IP地址)、Ports(端口)、Advance(高级)七种形式。如果你了解相关知识，可以很容易设置。如果不了解，就不用设置过滤，Iris提供的数据非常直观，慢慢看也没有关系。

　　4.要分析MSN Messenger的数据传递过程，只要设置IP address(IP地址)、Ports(端口)即可，在"Edit filters settings（编辑过滤设置）"窗口中，单击"IPaddress（IP地址）"按钮，"Mode(模式)"选择为"Include(包含)"，"Address1"中输入要分析的机器的IP地址，"Dir(方向)"选择双向箭头，"Address 2"不必设置。最后单击"应用"按钮。

　　5.在"Edit filters settings"窗口中，单击"Ports"按钮，模式选择为"Include"，在Knownports（已知端口）中，找到"MSN Messenger"后双击，单击"确定"退出设置界面。

　　6.下面就可以打开菜单"Capture/Start"，开始捕获数据包。

　　只要目标机器打开MSN开始聊天，你就可以发现Iris不断地捕获到数据，停止捕获后就可以分析数据包了。

　　使用同样的办法，还可以对特定的机器的SMTP协议，POP3协议等等各种协议的数据进行捕获和分析以便了解用户网络的使用并进行管理和维护。

　　五、保卫战

　　利用Iris的数据包捕获功能，还可以把它作为简易的木马检测工具来使用（不过确实大材小用了），具体的操作步骤和分析MSNMessenger的数据传递过程有些类似，不同的是，不需要设置Ports，这样就能够发现所有进出你计算机的数据包，可以通过检查数据包的合法性，来判断是否已经中了木马!

　　同时还可以单击右边的"Guard"(警告)工具按钮，随时提醒是否有其它电脑连接你的计算机。一旦发现其它电脑连接你的计算机，Iris自动发出警报声，并记录下对方的地址，提供给使用者分析。

　　最后要说的是Iris能够分析每个网络数据包的组成及含义，它本身就是一个非常生动的TCP/IP协议教程，对Internet编程爱好者来说，死啃TCP/IP协议教程是非常辛苦的事，但如果你使用了Iris，可以将抽象的协议标准和实际应用紧密联系在一起，可达到事半功倍的效果。

　　(编者注：由于Iris功能强大，请不要将本软件用于非法目的，如非法获取他人密码，监控他人电脑等。由于软件特殊，恕不提供。)

　　Iris网络嗅探器使用与技巧

　　(以下内容部分翻译自iris自带的帮助文件

　　1.【Iris简介】

　　一款性能不错的嗅探器。嗅探器的英文是Sniff，它就是一个装在电脑上的窃听器，监视通过电脑的数据。

　　2.【Iris的安装位置】

　　作为一个嗅探器，它只能捕捉通过所在机器的数据包，因此如果要使它能捕捉尽可能多的信息，安装前应该对所处网络的结构有所了解。例如，在环形拓扑结构的网络中，安装在其中任一台机都可以捕捉到其它机器的信息包（当然不是全部），而对于使用交换机连接的交换网络，很有可能就无法捕捉到其它两台机器间通讯的数据，而只能捕捉到与本机有关的信息；又例如，如果想检测一个防火墙的过滤效果，可以在防火墙的内外安装Iris，捕捉信息，进行比较。

　　3.【配置Iris】

　　Capture（捕获）

　　Run continuously ：当存储数据缓冲区不够时，Iris将覆盖原来的数据包。

　　Stop capture after fillingbuffer：当存储数据缓冲区满了时，Iris将停止进行数据包截获，并停止纪录。

　　Load this filter atstartup：捕获功能启动时导入过滤文件并应用，这样可以进行命令行方式的调试。

　　Scroll packets list to ensure last packetvisible：一般要选中，就是将新捕获的数据包附在以前捕获结果的后面并向前滚动。

　　Use Address Book：使用AddressBook来保存mac地址，并记住mac地址和网络主机名。而Ip也会被用netbios名字显示。

　　Decode(解码)

　　Use DNS:使用域名解析
实战网络数据包拦截分析工具Iris .>　　Edit DNSfile:使用这个选项可以编辑本地解析文件(host)。

　　HTTP proxy:使用http使用代理服务器，编辑端口号。默认为80端口

　　Decode UDP Datagrams:解码UDP协议

　　Scroll sessions list to ensure last sessionvisible:使新截获的数据包显示在捕获窗口的最上。

　　Use Address Book：同Capture中的Use Address Book

　　Adapters（网络配置器）

　　选择从哪个网络配置器（网卡）中截获数据。

　　Guard（警报和日志选项）

　　Enable alarm sound：当发现合乎规则的数据包发出提示声音

　　Play this wave file：选择警报声音路径，声音格式是.wav

　　Log to file：启动日志文件。如果选中后，当符合规则的数据包被截获后将被记录在日志文件中。

　　Ignore all LANconnections：Iris可以通过本地的ip地址和子网掩码识别地址是否是本地的地址。当这个选项被不选中后，Iris会接受所有的数据包（包括本机收发出的）。如果选中，将不接受本地网络的数据包。

　　Ignore connections onthese>>:过滤指定端口(port)，在列表中可以选择。

　　Use software filter:软件过滤方案生效。当没有被选中后，软件将会接受所有的数据。另外只有当Applyfilter to incoming packets 被选中后Use software filter才能使用。

　　Miscellaneous（杂项功能）

　　选项 功能描述

　　Packet buffer：设置用来保存捕获数据包最多个数（默认值是2000个）

　　Stop when free disk space drops：当磁盘空间低于指定值时,Iris将会停止捕获和记录数据。

　　Enable CPU overload protection当Cpu的占用率连续4秒钟达到100%时，Iris会停止运行。等到恢复正常后才开始纪录。

　　Start automatically with Windows：点击这里可以把Iris加入到启动组中。

　　Check update when program start：是否启动时检查本软件的更新情况。

　　4【任务】

　　Schedule:配置Iris指定的时间捕获数据包，蓝色代表捕获，白色代表停止捕获。

　　5.【建立过滤条件】

　　a.硬件过滤器(HardWare Filter)：

　　Promiscuous (噪音模式):使得网卡处于杂收状态，这个是默认状态。

　　Directed (直接连接):只接受发给本网络配置器的数据包，而其他的则不予接受。

　　Multicast (多目标):捕获多点传送的数据包

　　All multicast （所有多目标）:捕获所有的多目标数据包

　　Broadcast (广播)只捕获广播桢，这样的真都具有相同的特点，目的MAC地址都是FF:FF:FF:FF:FF:FF

　　b.数据包捕获类型匹配(Layer 2，3):

　　这个过滤设置位于DoD模型（四层）中的第二、三层--网络层和运输层。

　　利用这个过滤设置，可以过滤不同协议类型的数据。

　　include:表示包括此种协议类型的数据将被捕获；

　　exclude:表示包括此种协议类型的数据将被忽略；

　　也可以自定义协议类型，方法是配置proto.dat文件。Layer 2的协议编辑[PROTOCOL]，而layer3则编辑相应的[IP PROTOCOL]。我们用记事本打开proto.dat，在这里很多的协议可以被修改和添加。

　　c.字符匹配(Words Filter)

　　加入你想过滤的关键字符到列表。列表下面有All和ANY两个选项（有的是AND和OR)，其中ANY是指数据包至少要匹配列表中的一个关键字符，而ALL选项是指所有列表中的数据都要匹配才会显示出来。

　　Apply filter to packets是指显示带有关键字的数据帧，而其他的数据帧则会被抛弃。

　　Mark sessions containingwords是指所有的数据帧都会被截获，只不过带有指定字符的数据帧会加上标志。

　　d.MAC地址匹配（MAC Address Filter）

　　第一个窗口是IRIS可是识别出来的硬件地址。你可以点击这些地址把他们加到下边的Address 1或Address2，如果你不这样做也可以自己输入地址到窗口二中;

　　e.IP地址匹配层（IP address）

　　和MAC地址匹配（MAC Address Filter）选项相类似，这个是IP地址匹配层。

　　f.端口匹配层（Ports）

　　CP和UDP采用16 bit的端口号来识别应用程序的。FTP服务器的TCP端口号是21，Telnet服务器的TCP端口号是23，TFTP(简单文件传送协议)服务器的UDP端口号是69。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号.例如我们想截获telnet中的用户名和密码这里我们就应该选择23Port。

　　g.高级选项配置(Advanced)

　　数据大小匹配选项（Size）：可以选择指定接收的数据包的大小。

　　十六进制数据匹配（Data）：指定数据包中所包含数据的十六进制字符相匹配。

　　6【截获数据包】

　　在数据包编辑区内，显示着完整的数据包。窗口分两部分组成，左边的数据是以十六进制数字显示，右边则对应着ASCII。点击十六进制码的任何部分，右边都会显示出相应的ASCII代码，便于分析。

　　十六进制码是允许进行编辑再生的，可以重写已经存在的的数据包。新的数据包可以被发送，或者保存到磁盘中。

　　7.【数据包编辑】

　　Capture > Show Packet Editor点击显示出来

　　利用工具条的选项可以进行数据包的保存，更改，加入到列表和发送等操作。

　　例如想生成一系列TCP数据包，首先点击生成一个空数据包，参照数据包格式，使得每一部分都用十六进制表示法来表示。建立了一个包假设它由100个字节的长度（假设一下，20个字节是IP信息，20个字节是TCP信息，还有60个字节为传送的数据）。现在把这个包发给以太网,放14个字节在目地MAC地址之前，源MAC地址，还要置一个0x0800的标记，它指示出了TCP/IP栈后的数据结构。同时，也附加了4个字节用于做CRC校验（CRC校验用来检查传输数据的正确性），之后我们点击发送按钮。

　　blog.csdn.net/beingstudio/archive/2007/03/05/15209 52.aspx

---转载