Сайт программы - www.eeye.com
 
 
Пожалуй, это самый удобный сниффер/анализатор сетевого трафика под Windows. Незаменим при
изучении сетевых протоколов, работы сетевых приложений, разрешении различных проблем
в сети и т.п.
Основные возможности:
    Перехват сетевого трафика (Capture)
    Декодирование перехваченного трафика и реконструкция перехваченных сессий (Decode).
    Фиксирование попыток подключения к компьютеру (Guard).
    Ведение журналов перехваченных (Capture) и декодированных (Decode) сессий.
    Возможность создания различных фильтров для сессий перехвата (Filter), позволяющих осуществлять выборочный перехват по множеству критериев (MAC-адрес, тип протокола, номер порта, направление обмена, ключевые слова и т.п.).
    Отображение сетевой статистики по протоколам, хостам, размерам пакетов и т.п.
    Возможность использования встроенного планировщика для перехвата пакетов в выбранные интервалы времени.
    Имеется редактор пакетов, позволяющий просматривать их структуру и данные, изменять содержимое, создавать свои пакеты и выполнять их отправку как поодиночке, так и группами, однократно, циклически или заданное количество раз.
    Удобное отображение структуры пакета (заголовки MAC, IP, ICMP, TCP, UDP, данные отображаются в виде дерева с декодированными значениями)
    Возможность ведения внутренней адресной книги, позволяющей делать более удобным вид сессий за счет замены физических адресов и элементов соединений символическими именами.
    Возможность отображения декодированных сессий в виде пакетов, текста, или HTML, что позволяет в удобном виде просматривать сессии обмена клиента с сервером.
    Поддержка печати с предпросмотром, буфера обмена, возможность сохранения пакетов на диск, сохранение перехваченных сессий и их загрузка для последующего анализа.
    Удобный интерфейс. При огромных возможностях, IRIS - одна из самых простых и удобных в использовании программ - анализаторов.
   
IRIS относится к классу программам-снифферов, позволяющих выполнять перехват "чужого" сетевого трафика. В обычном режиме работы сетевая плата (и ее программное обеспечение) принимают кадры, которые адресуются ее MAC- адресом или являются широковещательными (Broadcast) посылками, имеющими в поле MAC-адреса шестнадцатиричное значение FFFFFFFFFFFF. Снифферы же переводят ее в так называемый "неразборчивый режим" (Promiscuous mode), когда принимается все кадры, независимо от того, куда они адресованы. Таким образом, можно собирать и анализировать весь сетевой трафик на выбранном сетевом адаптере (или контроллере удаленного доступа). Если сеть построена с использованием (редко, но бывает) "хабов" (Hub), то компьютер с IRIS может перехватить весь трафик коллизионного сегмента сети.
После инсталляции, IRIS готова к работе, но я рекомендую сделать некоторые настройки, выбрав "Tools -- Settings -- Miscellaneous" для увеличения размера буфера для перехвата пакетов (по умолчанию - 2000). Иногда этого маловато, и в некоторых случаях вызывает зависание системы (по крайней мере, на комбинации IRIS 2.0 в режиме непрерывного перехвата и Win2k с сетевым адаптером на базе RTL8139)
Рис.1 Настройка размера буфера для перехваченных пакетов.
   
После этого нужно выбрать сетевой адаптер (если их несколько), на котором будет
осуществляться перехват "Tools -- Settings-- Adapters".
Теперь при выборе "Capture -- Start", нажатии CTRL-A, или на кнопку
старт/стоп перехвата (см. Рис.2) начнет выполняться перехват пакетов.
Краткая информация о пакетах отображается в области "Перехваченные пакеты"
в виде таблицы. Колонки в отображаемой области можно выбрать самому (правая кнопка мыши
на заголовке таблицы). Если подсветить мышью какой-либо пакет, то слева в области структуры пакета
можно просматривать его содержимое в виде дерева элементов. Нажатие кнопки "Toogle packet hexa editor"
в группе кнопок управления отображением, открывает или закрывает окно
шестнадцатеричного редактора данных пакета. Выбор элемента структуры пакета вызывает
подсветку его шестнадцатеричного эквивалента красным цветом. Это удобно, если
вам нужно посмотреть или изменить какой-либо элемент структуры пакета с
помощью редактора. Учтите, что изменение данных пакета приводит к необходимости
изменения контрольной суммы, вычисленной для данного поля. Когда выменяете
данные в шестнадцатиричном редакторе, то в области просмотра структуры пакета
напротив поля контрольной суммы появляется строка: "Incorrect ! Should be 0xxxx",
где xxxx - правильно вычисленная контрольная сумма. Вам остается только подсветить
элемент контрольной суммы в структуре пакета и занести правильно вычисленное
значение с помощью шестнадцатеричного редактора пакета.
Рис.2 Основное окно программы.
   
Для освоения IRIS могу порекомендовать решить следующую задачу - создать "Magic Packet"
для дистанционного включения чужого компьютера в локальной сети.
Попробуйте создать правильный пакет и отправьте его на выбранный выключенный
компьютер. Если вы все сделаете верно, то компьютер должен включиться.
Конечно, есть определенные условия, которые должны быть соблюдены.
Некоторые подсказки можете найти в короткой статье "Технология Wake On Lan", ссылку на
которую найдете на главной странице.