Специальная компьютерная программа для перехвата пакетных данных их декодирования и анализа
York - это сниффер для сетевого трафика и анализатор сетевых пакетов в одной программе.
tPacketCapture
Пакетный снифер для Android, использующий VPN вместо root-доступа.
Intercepter-NG
Сетевой парольный сниффер.
Professional Look at Net
Сетевой сканер и сниффер в одной программе.
bkhive
Инструмент для получения syskey bootkey из hive-файла system в Windows NT/2K/XP.
Ettercap
Ettercap – сетевой sniffer/interceptor/logger для switched LAN. Позволяет перехватывать и расшифровывать данные зашифрованных протоколов.
Engage Packet builder
конструктор пакетов, позволяет строить пакеты с целью испытания защиты вашей межсетевой системы.
Scapy
Scapy - мощная утилита для интерактивной работы с пакетами.
SkyGrabber
SkyGrabber — это программа для спутниковой "рыбалки". SkyGrabber принимает и обрабатывает трафик, передаваемый со спутника, извлекает из него файлы и сохраняет их на ваш жесткий диск в соответствии с настроенными фильтрами.
IP Tools
IP-Tools - это сетевой сниффер.
Network Probe
Утилита дает полную картинку сетевого траффика, позволяет обнаружить проблемы в сети и устранить их.
ARP Builder
Утилита для создания и отправки ARP пакетов.
Packit
Packit - сетевая утилита, предоставляющая полный контроль над трафиком IPv4. Бывает очень полезной для тестирования firewall'ов и общего TCP/IP аудитинга.
Etherscan Analyzer
Etherscan Analyzer - продвинутый анализатор сетевого трафика для Windows систем.
TCP Viewer
Утилита TCP Viewer перехватывает и отображает в специальном окошке все данные, пересылаемые между клиентскими процессами по протоколу TCP/IP.
EtherSnoop
Бесплатный снифер для перехвата сетевого трафика с возможностью выборо протоколов и записи перехваченных данных в файл.
Analyzer 3.0
программа для анализа сетевых пакетов для Win32 сред
Simple TCP Re-engineering Tool v 1.4.2
Simple TCP Re-engineering Tool контролирует и анализирует данные, переданные между клиентом и сервером через TCP подключение.
Анализ трафика — важнейший этап тестирования на проникновение (или даже взлома). В передаваемых по сети пакетах можно обнаружить много интересного, например пароли для доступа к разным ресурсам и другие ценные данные. Для перехвата и анализа трафика используются снифферы, которых человечество придумало великое множество. Сегодня мы поговорим о самых популярных снифферах под винду.
Теория
Чтобы перехватывать трафик, анализаторы могут использовать перенаправление пакетов или задействовать так называемый Promiscuous mode — «неразборчивый» режим работы сетевого адаптера, при котором отключается фильтрация и адаптер принимает все пакеты независимо от того, кому они адресованы. В обычной ситуации Ethernet-интерфейс фильтрует пакеты на канальном уровне. При такой фильтрации сетевая карта принимает только широковещательные запросы и пакеты, MAC-адрес в заголовке которых совпадает с ее собственным. В режиме Promiscuous все остальные пакеты не отбрасываются, что и позволяет снифферу перехватывать данные.
Нередко анализаторы трафика применяются в «мирных» целях — для диагностики сети, выявления и устранения неполадок, обнаружения вредоносного ПО или чтобы выяснить, чем заняты пользователи и какие сайты они посещают. Но именно при исследовании безопасности сетевого периметра или тестировании на проникновение сниффер — незаменимый инструмент для разведки и сбора данных. Существуют снифферы для различных операционных систем, кроме того, подобное ПО можно установить на роутере и исследовать весь проходящий через него трафик. Сегодня мы поговорим о наиболее распространенных популярных анализаторах трафика для платформы Microsoft Windows.
Wireshark
Об этой программе знает, наверное, каждый, кто хотя бы раз сталкивался с задачей анализа трафика. Популярность Wireshark вполне оправданна: во‑первых, данный продукт бесплатен, во‑вторых, его возможностей вполне хватает для решения самых насущных вопросов, касающихся перехвата и анализа передаваемых по сети данных. Продукт пользуется заслуженной популярностью у вирусных аналитиков, реверс‑инженеров, системных администраторов и, безусловно, пентестеров.
Что такое Wireshark, знает, наверное, каждый
Этот анализатор имеет русскоязычный интерфейс, умеет работать с большим количеством сетевых протоколов (перечислять здесь их все лишено смысла: полный список можно найти на сайте производителя). В Wireshark можно разобрать каждый перехваченный пакет на части, просмотреть его заголовки и содержимое. У приложения очень удобный механизм навигации по пакетам, включая различные алгоритмы их поиска и фильтрации, есть мощный механизм сбора статистики. Сохраненные данные можно экспортировать в разные форматы, кроме того, существует возможность автоматизировать работу Wireshark с помощью скриптов на Lua и подключать дополнительные (даже разработанные самостоятельно) модули для разбора и анализа трафика.
Помимо Ethernet, сниффер умеет перехватывать трафик беспроводных сетей (стандарты 802.11 и протокол Bluetooth). Тулза позволяет анализировать трафик IP-телефонии и восстанавливать TCP-потоки, поддерживается анализ туннелированного трафика. Wireshark отлично справляется с задачей декодирования протоколов, но, чтобы понять результаты этого декодирования, надо, безусловно, хорошо разбираться в их структуре.
К недостаткам Wireshark можно отнести то, что восстановленные потоки не рассматриваются программой как единый буфер памяти, из‑за чего затруднена их последующая обработка. При анализе туннелированного трафика используется сразу несколько модулей разбора, и каждый последующий в окне программы замещает результат работы предыдущего — в итоге анализ трафика в многоуровневых туннелях становится невозможен.
В целом Wireshark — не просто популярный, но очень добротный продукт, позволяющий отследить содержимое гуляющих по сети пакетов, скорость их передачи, найти «проблемные места» в сетевой инфраструктуре. Но в отличие от коммерческих приложений здесь нет удобных инструментов визуализации. Кроме того, с помощью Wireshark не так уж и просто, например, выловить из трафика логины и пароли, а это одна из типичных задач при тестировании на проникновение.
CommView
Среди существующих ныне снифферов CommView — один из самых старых и заслуженных ветеранов, об этом продукте «Хакер» писал еще в 2001 году. Проект жив и по сей день, активно развивается и обновляется: последняя на текущий момент версия датирована 2020 годом. Несмотря на то что продукт платный, производитель предлагает скачать триал, который позволяет посмотреть работу приложения на практике — пробная версия сниффера перехватывает трафик в течение пяти минут, после чего просит денег.
CommView — заслуженный «ветеран» в мире снифферов
Программа имеет русскоязычный интерфейс, что может стать определяющим фактором при выборе сниффера для пользователей, не владеющих английским. Главное преимущество CommView — возможность гибко настроить правила фильтрации пакетов: можно выбрать отдельные протоколы, которые будет отслеживать приложение, сортировать пакеты по ряду признаков, например по размеру или заголовку. Ассортимент поддерживаемых протоколов также весьма велик: сниффер умеет работать с самыми распространенными прикладными протоколами, а также выполнять реконструкцию TCP-сессии и UDP-потока. При этом CommView позволяет анализировать трафик вплоть до пакетов протоколов самого низкого уровня — TCP, UDP, ICMP, а также просматривать «сырые» данные. Программа показывает заголовки перехваченных пакетов, собирает подробную статистику IP-трафика. Сохраненные данные можно экспортировать в 12 различных форматов, начиная с .txt и .csv и заканчивая файлами других анализаторов вроде Wireshark.
Помимо трафика на сетевой карте, CommView может мониторить соединения по VPN, а также трафика, проходящего через модемы — аналоговые, мобильные, ADSL, ISDN и другие, для чего в систему устанавливается специальный драйвер. Есть возможность перехвата VoIP-трафика и сессий SIP-телефонии. В состав приложения входит генератор пакетов, с помощью которого можно отправить на заданный Ethernet-интерфейс пакет указанной длины, с произвольными заголовками и содержимым. Есть также довольно удобный просмотрщик лог‑файлов, позволяющий открывать файлы журналов в отдельном окне сниффера и выполнять поиск по их содержимому.
Тулза, вне всяких сомнений, крайне удобная и полезная, если бы не «кусачие» цены на лицензию. Для профессионального пентестера покупка такого инструмента наверняка будет оправданна, но ради того, чтобы разок «глянуть сеть», можно поискать альтернативные — более дешевые или бесплатные решения.
Intercepter-NG
Это тоже очень старый и убеленный сединами инструмент — впервые «Хакер» написал о нем еще в 2012 году. C тех пор разрабатываемый нашими соотечественниками проект не только не исчез с просторов интернета, как многие его конкуренты, но даже активно развивался и совершенствовался — последняя актуальная редакция сниффера датирована 2020 годом. Существует версия программы для Android в виде .APK-файла и даже консольная версия этого инструмента для Unix.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для снифинга и манипулирования пакетами. Пользуйся на
здоровье.
Wireshark
Фантастически успешный анализатор пакетов для винды и никсов, который многие
помнят и даже по-прежнему называют Ethereal (новое имя появилось лишь с
лета 2006 года). Wireshark «на лету» анализирует трафик из локальной сети
или из заранее подготовленного дампа на диске. То, насколько он удобен – выше
всяческой похвалы: ты можешь свободно перемещаться по всей отснифанной инфе,
просматривая данные в той детализации, которая тебе нужна. Главные козыри - это
автоматический разбор пакетов на определенные для данного протокола понятные
поля, а также система фильтров, избавляющая от просмотра всего подряд, которая
отображает лишь то, что тебя может заинтересовать. Последние версии Wireshark
радуют продвинутыми механизмами для анализа голосового трафика VoIP, а также
дешифровкой таких протоколов как IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP,
и WPA/WPA2. На лету расшифровываются и данные, сжатые gzip'ом. Снифер может
работать не только в Ethernet, но и IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB,
Token Ring, Frame Relay, FDDI сетях.
Инструмент определенно один из лучших! Даже если у тебя есть дамп другого
снифера, не поленись скормить его Wireshark'у - никогда не будет лишним
воспользоваться такими умопомрачительными возможностями.
TCPDump
Название этого снифера знакомо каждому. Еще бы: до появления на сцене
Ethereal'а (Wireshark) он считался стандартом де-факто, да и теперь
многие по привычке используют его, вполне радуясь жизни. Да, у него нет
классного GUI-интерфейса и возможности автоматически распарсить данные
популярных протоколов, но это, в любом случае, отличное средство, чтобы
отснифать в локалке трафик и получить вожделенный дамп данных. Вообще, более
неприхотливого средства, пожалуй, не найти: и это, отчасти, хорошая сторона
того, что новые возможности в нем практически не появляются. К тому же, в
отличие от того же Wireshark, TCPDump может похвастать куда меньшим
количеством проблем с безопасностью и просто багов. Многие мои знакомые админы
успешно юзают этот снифер для мониторинга активности и решения самых различных
сетевых проблем. Исходные коды TCPDump частично используются библиотеками
Libpcap/WinPcap, предназначенными для перехвата пакетов и используемыми
известным сканером nmap и другими тулзами.
Ettercap
Помнится, когда мы впервые рассказывали об ARP-спуфинге (приеме, позволяющем
снифать трафик в локальных сетях, построенных на считах), то в качестве снифера
применяли именно Ettercap. Сами разработчики продвигают свой продукт как
средство для совершения атак man-in-the-middle. Утилита поддерживает снифинг в
реальном времени, фильтрацию контента «на лету», инжекцию пакетов и многие
другие интересные трики. Учти, что по дефолту программа выполняет множество
лишних действий (например, dns-резолвинг найденных адресов). Кроме того,
активный arpoisoning и некоторые другие действия могут скомпрометировать хакера,
использующего Ettercap. Если точнее, то даже в самой программе встроена
функция обнаружения себе подобных :). В Ettercap предусмотрена возможность
проверки, находишься ли ты в локалке со свитчами или нет (сейчас это уже почти
не актуально), а также встроено средство для fingerprint'а, которое активными и
пассивными методиками может определить разные девайсы, операционки на хостах и
общую схему сети.
0x4553-Intercepter
Помимо чисто сниферных функций, 0x4553-Intercepter обладает набором
весьма соблазнительных фич. Начнем с банального обнаружения узлов в сети,
которое осуществляется отнюдь не тупым сканированием IP-адресов. В нужном
диапазоне. 0x4553-Intercepter посылает широковещательный ARP-запрос,
требуя, чтобы все узлы, которые его получили, сообщили свои IP-адреса. Причем,
0x4553-Intercepter способен выявлять другие сниферы. DHCP DISCOVERY
позволяет осуществить поиск DHCP-серверов. Интегрированный перепрограмматор
MAC-адресов позволяет быстро поменять MAC-адрес. Я уже не говорю о модуле ARP
POISON - это само собой разумеющееся.
Подробнее про 0x4553-Intercepter ты можешь прочитать в
статье Криса Касперски.
Netcat
Своеобразный швейцарский нож любого взломщика. Эта чрезвычайно простая
утилита позволяет читать и писать данные в TCP и UDP соединениях. Иными словами,
Netcat позволяет тебе соединиться с чем угодно, да и делать что угодно. В
результате, получаем одну единственную утилиту с 1000 и одним применением. В
самом простом варианте Netcat позволяет создавать TCP и UDP соединения,
умеет «слушать» входящие соединения (можно приказать тулзе ждать соединения
только с указанных тобой адресов и даже портов!), может сканировать порты,
разрешать DNS-запросы, посылать любые команды со стандартного ввода, выполнять
заранее предопределенные действия в ответ на соединение, которое слушает
«котенок» (логотип нетката), делать Hex-дамп отправленных и полученных данных (а
вот и функции снифера) и много-много чего еще.
Вообще, Netcat - это мощнейшее средство для отладки и эксплуатации
различных уязвимостей, поскольку позволяет установить соединение любого типа,
который тебе нужен. Оригинальная версия Netcat была выпущена еще в 1995
году, но, несмотря на бешеную популярность проект, не развивается. Но сама
концепция программы, совмещающая предельную простоту и, в тоже время, огромную
функциональность, привела к появлению других реализаций. Одной из самых
интересных стала Socat, которая дополняет оригинальный Netcat для
поддержки SSL-шифрования, SOCKS прокси и т.д. С не меньшим успехом ее можно
юзать как соксифаер, безопасный туннеллер, снифер и т.д. Помимо этого, есть Ncat,
предоставляющий дополнительные функции, а также ryptcat, Netcat6, PNetcat, SBD и
др.
Cain and Abel
Если ищешь утилиту для восстановления всевозможных паролей, то лучшего
инструмента, пожалуй, не найти. В буквальном смысле «универсальный солдат» готов
на все. Допустим, тебе нужно вспомнить пароль и личные данные, сохраненные в
браузере. Не проблема! Клик по нужной иконке - и они твои! Интересуешься
пассами, которые непрерывно передаются по твоей локалке (и, следовательно, их
хорошо бы шифровать)? Воспользуйся встроенным снифером. Правда, понадобится
драйвер WinPcap, но не беда – в случае необходимости Cain & Abel
заинсталлит его прямо во время установки. А далее – делай, что хочешь. Замечу,
что дело не ограничивается одним перехватом паролей от всевозможных сервисов,
начиная от банальных FTP/POP3 и заканчивая экзотикой, вроде ключей для
Radius-серверов. Реально перехватить идентификационные данные и сами разговоры
клиентов VoIP-телефонии (но только, если используется SIP-протокол) или даже
пакеты с голосовыми данными, из которых несложно извлечь запись разговора с
помощью специальных конвертеров. Чтобы не было проблем со свитчами, прога
отлично владеет приемом ARP-спуфинга. Умелые манипуляции с MAC-адресами и
заголовками пакетов приводят к результатам: снифер работает почти безотказно
(хотя это палится любыми IDS). С помощью 15 встроенных утилит Cain & Abel
может взломать 25 типов хешей, провести исследование беспроводной сети, а также
выполнить еще целый ряд уникальных действий (нацеленных, прежде всего, на подбор
или расшивку паролей).
Ngrep
Nemesis
Эта консольная тулза для разборки сетевых пакетов, их модификации и
дальнейшей инжекции в Сеть не раз выручала меня в тестировании IDS, файрволов и
сетевых демонов. Благодаря работе через консоль, Nemesis легко
приспосабливается к любым сторонним скриптам для пен-теста. Оригинальная версия
может распарсить и инжектировать произвольные пакеты ARP, DNS, ETHERNET, ICMP,
IGMP, IP, OSPF, RIP, TCP и UDP.
Hping2
Network Miner
Если говорить о перехвате данных, то Network Miner снимет с «эфира»
(или из заранее подготовленного дампа в PCAP-формате) файлы, сертификаты,
изображения и другие медиа, а также пароли и прочую инфу для авторизации.
Полезная возможность - поиск тех участков данных, что содержат ключевые слова
(например, логин пользователя).
Scapy
Must-have для любого хакера, представляющий собой мощнейшую тулзу для
интерактивной манипуляции пакетами. Принять и декодировать пакеты самых
различных протоколов, ответить на запрос, инжектировать модифицированный и
собственноручно созданный пакет - все легко! С ее помощью можно выполнять целый
ряд классических задач, вроде сканирования, tracorute, атак и определения
инфраструктуры сети. В одном флаконе мы получаем замену таких популярных утилит,
как: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и т.д. В то
же самое время Scapy позволяет выполнить любое, даже самое специфическое
задание, которое никогда не сможет сделать уже созданное другим разработчиком
средство. Вместо того чтобы писать целую гору строк на Си, чтобы, например,
сгенерировать неправильный пакет и сделать фаззинг какого-то демона, достаточно
накидать пару строчек кода с использованием Scapy! У программы нет
графического интерфейса, а интерактивность достигается за счет интерпретатора
Python. Чуть освоишься, и тебе уже ничего не будет стоить создать некорректные
пакеты, инжектировать нужные фреймы 802.11, совмещать различные подходы в атаках
(скажем, ARP cache poisoning и VLAN hopping) и т.д. Разработчики сами настаивают
на том, чтобы возможности Scapy использовались в других проектах. Подключив ее
как модуль, легко создать утилиту для различного рода исследования локалки,
поиска уязвимостей, Wi-Fi инжекции, автоматического выполнения специфических
задач и т.д.
packeth
Интересная разработка, позволяющая, с одной стороны, генерировать любой
ethernet пакет, и, с другой, отправлять последовательности пакетов с целью
проверки пропускной способности. В отличие от других подобных тулз, packeth
имеет графический интерфейс, позволяя создавать пакеты в максимально простой
форме. Дальше - больше. Особенно проработано создание и отправка
последовательностей пакетов. Ты можешь устанавливать задержки между отправкой,
слать пакеты с максимальной скоростью, чтобы проверить пропускную способность
участка сети (ага, вот сюда-то и будут ддосить) и, что еще интереснее -
динамически изменять параметры в пакетах (например, IP или MAC-адрес).
Последнее обновление:23 июля 2016
Снифферинг – что это такое?
Анализатор проходящего трафика сети, или «сниффер» (от английского слова to sniff – «нюхать») – компьютерная программа для перенаправления (перехвата) пакетных данных с возможностью их декодирования и анализа. Снифферинг (перехват данных) особенно популярен в людных местах (в ресторанах, на вокзалах, в торговых центрах и просто на улице). Везде, где есть общедоступная сеть вайфай, ничего не подозревающий пользователь интернета может стать жертвой злоумышленника. С виду мошенник может быть таким же беззаботным посетителем кафе, внимание которого приковано к экрану личного ноутбука.
В то же время, на устройстве преступника активировано приложение-сниффер, включена точка доступа wifi с именем, созвучным названию заведения или публичного места (к примеру, macdonalds). Когда ничего не подозревающий пользователь подключается к одной из доступных общественных сетей, он запросто может стать потенциальной жертвой злоумышленника. Весь проходящий трафик перехватывается сниффером, и анализируются на предмет имён и паролей пользователя платёжных систем, номеров кредитных карт, паролей подтверждения оплаты, и так далее. Фактически перехватывается весь ваш трафик, но при условии, что вы подключились именно к псевдо-сети мошенника.
Перехват трафика может осуществляться не только через wifi, известны следующие способы:
- «Прослушивание» сети, подключившись к сетевому интерфейсу (свободному порту хаба или коммутатора). Данный метод будет эффективен лишь при использовании в сегменте сети обычных хабов (концентраторов) вместо коммутаторов (свитчей). Дело в том, что хаб – это обычный разветвитель, через каждый порт которого проходят все пакеты, а коммутаторы – интеллектуальные устройства, где поток данных может быть разделён на различные каналы, поэтому общую картину передаваемых данных в них, при подключению к одному порту, не получить;
- Подключение сниффера в разрыв сетевого канала;
- Ответвление (программное или аппаратное) сетевого трафика с направлением его копии на сниффер (Network tap);
- Анализ побочных электромагнитных излучений и восстановление прослушиваемого трафика;
- Атака на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к незаметному перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.
Перехват данных через Wi-Fi. Как обезопасить себя?
Абсолютного рецепта по защите от снифферинга практически не существует, и в основном рекомендации специалистов по информационной безопасности сводятся к наипростейшему: ни в коем случае не допускать осуществления операций финансового характера в общественных сетях. В идеале стоит использовать для выхода в интернет собственный мобильный телефон или ноутбук с 3G-модем, что наверняка позволит избежать перехвата трафика злоумышленниками в местах общего пользования.
А через общедоступные высокоскоростные интернет-соединения wifi можно разве что просматривать видеоматериалы YouTube, играть в онлайн-игры, скачивать музыку и фильмы…
В любом случае отдавайте предпочтение вайфай-сетям с шифрованием и при возможности используйте VPN соединение с шифрованием. Для справки. VPN (от англ. Virtual Private Network – виртуальная частная сеть) — это набор технологий, который позволяет создавать отдельные защищенные сети поверх (или внутри) уже существующих.
-
Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда! Альфа-Банка, бесплатное обслуживание, 1 год без % на любые покупки! Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 25% банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету
В итоге, возвращаясь ещё раз к вышесказанному по тексту, можно сделать единственный вывод: следует избегать операций финансового характера в интернете, если передача данных осуществляется в условиях общедоступной сети. Безопасность и неприкосновенность данных – забота преимущественно самого пользователя. Только в этом случае снифферинг (перехват данных) вам абсолютно не грозит!
Снифферы - это проги, которые перехватывают
весь сетевой трафик. Снифферы полезны для диагностики сети (для админов) и
для перехвата паролей (понятно для кого:)). Например если ты получил доступ к
одной сетевой машине и установил там сниффер,
то скоро все пароли от
их подсети будут твои. Снифферы ставят
сетевую карту в прослушивающий
режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать
все отправляемые пакеты со всех машин (если вы не разделены всякими хабами),
так
как там практикуется широковещание.
Снифферы могут перехватывать все
пакеты (что очень неудобно, ужасно быстро переполняется лог файл,
зато для более детального анализа сети самое оно)
или только первые байты от всяких
ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах
содержится имя и пароль:)). Снифферов сейчас
развелось. Множество снифферов есть
как под Unix, так и под Windows (даже под DOS есть:)).
Снифферы могут
поддерживать только определенную ось (например linux_sniffer.c,который
поддерживает Linux:)), либо несколько (например Sniffit,
работает с BSD, Linux, Solaris). Снифферы так разжились из-за того,
что пароли передаются по сети открытым текстом.
Таких служб
уйма. Это telnet, ftp, pop3, www и т.д. Этими службами
пользуется уйма
народу:). После бума снифферов начали появляться различные
алгоритмы
шифрования этих протоколов. Появился SSH (альтернатива
telnet, поддерживающий
шифрование), SSL(Secure Socket Layer - разработка Netscape, способная зашифровать
www сеанс). Появились всякие Kerberous, VPN(Virtual Private
Network). Заюзались некие AntiSniff'ы, ifstatus'ы и т.д. Но это в корне не
изменило положения. Службы, которые используют
передачу пароля plain text'ом
юзаются во всю:). Поэтому сниффать еще долго будут:).
Windows реализации снифферов
Analyzer - neworder.box.sk
Analyzer
требует установку специального драйвера, вложенного в
пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой
карте. Также Analyzer поддерживает работу с командной строкой.
Он
прекрасно работает с локальной сетью. Имеет несколько
утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего
выдающегося.
WinDUMP
Аналог TCPdump for Unix. Этот сниффак действует через
командную строку и представляет минимальные возможности по конфигурации и еще
требует библиотеку WinPcap. Мне не очень.
SniffitNT
Тоже требует WinPcap. Работа только как командной строкой,
так и в интерактивном режиме. Со
сложными опциями. Мне не очень.
ButtSniff
Обычный пакетный
сниффер созданный
известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том,
что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной
строки.
Существуют еще множество снифферов,
таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д.
Пойдем
дальне.
Unix'овые снифферы
linsniffer
Это простой сниффер для перехвата
логинов/паролей. Стандартная компиляция (gcc -o linsniffer
linsniffer.c).
Логи пишет в tcp.log.
linux_sniffer
Linux_sniffer
требуется тогда, когда вы хотите
детально изучить сеть. Стандартная
компиляция. Выдает всякую шнягу дополнительно,
типа isn, ack, syn, echo_request (ping) и т.д.
Как видите, сниффит поддерживает множество
опций. Можно использовать сниффак в интерактивном режиме.
Сниффит хоть и
довольно полезная прога, но я ей не пользуюсь.
Почему? Потому что у Sniffit
большие проблемы с защитой. Для Sniffit'a уже вышли ремоутный рут и дос для
линукса и дебиана! Не каждый сниффер себе такое позволяет:).
READSMB
Сниффер READSMB вырезан из LophtCrack и портирован под
Unix (как ни странно:)). Readsmb перехватывает SMB
пакеты.
В общем, снифф полезен для отладки сетей,
нахождения неисправностей и
т.д.
Защита от снифферов
Unix sniffer detect:
Сниффер
можно обнаружить командой:
ppp0 Link
encap:Point-to-Point Protocol
inet addr:195.170.y.x
P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281
errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0
dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
Как
видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор
загрузил снифф для
проверки сети, либо вас уже имеют. Но помните,
что ifconfig можно спокойно
подменить, поэтому юзайте tripwire для обнаружения
изменений и всяческие проги
для проверки на сниффы.
Читайте также: