Анализатори на мрежови пакети. Преобразуване на IP заглавката в низ

Оставете коментар 6,950

Смъркачи(Sniffers) са програми, способни да прихващат и впоследствие да анализират мрежовия трафик. Сниферите са полезни, когато трябва да прихванете пароли или да извършите мрежова диагностика. Програмата може да бъде инсталирана на едно устройство, до което има достъп и за кратко време да получи всички предадени данни от подмрежата.

Как работят нюхачите

Можете да прихващате трафик чрез снифер по следните начини:

  • Като слушате в нормален режим на мрежовия интерфейс, този метод има ефект само когато хъбовете се използват в определено поле, а не превключватели.
  • Ако свържете снифер на мястото, където каналът е счупен, можете да прихванете трафика.
  • Адаптер или програма променят пътя на трафика и изпращат копие до снифера.
  • Фалшивите електромагнитни емисии анализират и възстановяват трафика за слушане.
  • Атакувайте канала и мрежовия слой, който ще пренасочи трафика към снифера за получаване на данни, след което трафикът се насочва по предишния маршрут.

Трафикът, прихванат от снифера, се анализира, за да разкрие:

Обикновените снифери анализират трафика много просто, като използват най-автоматизираните налични инструменти и могат да анализират само много малки обеми.

Примери за най-известните смъркачи:

  • WinSniffer 1.3 - най-добрият снифър, има много различни конфигурируеми режими, може да улавя пароли от различни услуги;
  • CommViev 5.0 улавя и анализира интернет трафика, както и локалната мрежа. Събира информационни данни, свързани с модема и мрежовата карта, и ги подлага на декодиране. Това дава възможност да се види пълен списък с връзки в мрежата, IP статистика. Прихванатата информация се записва в отделен файл за последващ анализ, освен това удобната система за филтриране ви позволява да игнорирате ненужните пакети и оставяте само тези, които са необходими на нападателя;
  • ZxSniffer 4.3 е ​​малък снифер с обем от 333 kb, той се побира на всяка съвременна среда за съхранение и може да се използва от;
  • SpyNet е добре познат и популярен снифър. Основната функционалност включва прихващане на трафик и декодиране на пакети данни;
  • IRIS- има широки възможности за филтриране. Възможност за улавяне на пакети с определени ограничения.

Класификация на смъркачите

Сниферите се разделят според начина на използване на легални и нелегални. В същото време самата концепция за снифери се прилага именно по отношение на незаконната употреба, а законните се наричат ​​"Traffic Analyzer".

За да получат пълна информация за състоянието на мрежата и да разберат какво правят служителите на работните си места, те използват легални снифери (трафик анализатори). Помощта на сниферите не може да бъде преувеличена, когато е необходимо да се "слушат" портовете на програмите, чрез които те могат да изпращат поверителна информация до своите господари. За програмистите те помагат за отстраняване на грешки и взаимодействие с програми. С помощта на анализатори на трафик можете навреме да откривате неоторизиран достъп до данни или DoS атаки.

Незаконно използване означава шпиониране на потребители на мрежата, нападателят ще може да получи информация за това кои сайтове използва потребителят, изпраща данни, научава за програмите, използвани за комуникация. Основната цел на "слушането" на трафика е да се получат входове и пароли, предадени в некриптирана форма.

Анализаторите на трафика се различават по следните възможности:

  • Поддръжка на протоколи за връзка за данни, както и физически интерфейси.
  • Качеството на декодирането на протокола.
  • Потребителски интерфейс.
  • Осигурете достъп до статистика, преглед на трафика в реално време и др.

Източник на заплаха

Сниферите могат да работят върху:

  • Рутер - целият трафик, преминаващ през устройството, може да бъде анализиран.
  • На крайния възел на мрежата - всички данни, предавани по мрежата, са достъпни за всички мрежови карти, но в стандартен режим на работа мрежовите карти, за които данните не са предназначени, просто не ги забелязват. В същото време, ако превключите мрежовата карта в безразборен режим, ще можете да получавате всички данни, предавани в мрежата. И разбира се, сниферите ви позволяват да преминете към този режим.

Анализ на риска

Всяка организация може да бъде изложена на риск от подсмърчане. В същото време има няколко варианта как да защитим организацията от изтичане на данни. Първо, трябва да използвате криптиране. Второ, можете да използвате анти-снифери.

Antisniffer е софтуерен или хардуерен инструмент, който работи в мрежа и ви позволява да намирате снифери.

Използвайки само криптиране при прехвърляне на данни, няма да е възможно да се скрие фактът на прехвърляне. Следователно, можете да използвате криптиране във връзка с анти-снифер.

За всякакви въпроси, свързани с програмата, можете да се свържете със службата за техническа поддръжка

електронна поща [защитен с имейл]
WhatsApp +19299995773 (само чат, без обаждания)
(Седем дни в седмицата от 09:00 до 21:00 московско време)

Характеристики на използването на снифери

Всяко онлайн проследяване се основава на използването на сниферни технологии (анализатори на мрежови пакети). Какво е нюхач?

Сниферът е компютърна програма или част от компютърен хардуер, която може да прихваща и анализира трафика, преминаващ през цифрова мрежа или част от нея. Анализаторът улавя всички потоци (прихваща и регистрира интернет трафик) и, ако е необходимо, декодира данните, като последователно запазва предадената потребителска информация.


Нюансите на използването на онлайн проследяване чрез снифери.

В канала за излъчване на компютърната мрежа на потребителя LAN (Local Area Network), в зависимост от структурата на мрежата (превключвател или хъб хъб), сниферите прихващат трафик от цялата или част от мрежата, изходящ от един лаптоп или компютър. Въпреки това, използвайки различни методи (например ARP спуфинг) е възможно да се постигне интернет трафик и други компютърни системи, свързани към мрежата.

Сниферите често се използват за наблюдение на компютърни мрежи. Чрез извършване на постоянен, непрекъснат мониторинг, анализаторите на мрежови пакети идентифицират бавни, неизправни системи и предават (по поща, телефон или сървър) получената информация за неизправностите на администратора.

Използването на мрежово докосване (Network tap) в някои случаи е по-надежден начин за наблюдение на интернет трафика онлайн, отколкото наблюдението на портове. В същото време вероятността за откриване на дефектни пакети (потоци) се увеличава, което има положителен ефект при голямо натоварване на мрежата.
В допълнение, сниферите са добри в проследяването на безжични единични и многоканални локални мрежи (т.нар. Wireless LAN), когато се използват множество адаптери.

В LAN мрежите сниферът може ефективно да прихваща както еднопосочен трафик (предаване на пакет информация до един адрес), така и мултикаст. В този случай мрежовият адаптер трябва да е в безразборен режим.

В безжичните мрежи, дори когато адаптерът е в "промискуитет" режим, пакетите с данни, които не се препращат от конфигурираната (основната) система, ще бъдат автоматично игнорирани. За да наблюдава тези информационни пакети, адаптерът трябва да е в различен режим — наблюдение.


Последователност на прихващане на информационни пакети.

1. Прихващане на заглавки или цялото съдържание.

Сниферите могат да прихващат или цялото съдържание на пакетите с данни, или само техните заглавки. Вторият вариант ви позволява да намалите общите изисквания за съхранение на информация, както и да избегнете правни проблеми, свързани с неоторизирано премахване на лична информация на потребителите. В същото време историята на заглавките на предадените пакети може да има достатъчно количество информация, за да идентифицира необходимата информация или да диагностицира неизправности.


2. Декодиране на пакети.

Прихванатата информация се декодира от цифров (нечетлив) в лесен за четене, четим тип. Сниферната система позволява на администраторите на анализатора на протоколи лесно да преглеждат информацията, която е изпратена или получена от потребителя.

Анализаторите се различават по:

  • възможности за показване на данни(създаване на времеви диаграми, реконструкция на UDP, TCP протоколи за данни и др.);
  • вид приложение(за откриване на грешки, основни причини или за проследяване на потребителите онлайн).

Някои снифери могат да генерират трафик и да действат като устройство източник. Например, те могат да се използват като тестери на протоколи. Тези тестови системи за анализиране генерират правилния трафик, необходим за функционалното тестване. Освен това сниферите могат целенасочено да инжектират грешки, за да тестват възможностите на тестваното устройство.


Хардуерни снифери.


Анализаторите на трафик могат да бъдат от хардуерен тип, под формата на сонда или дисков масив (по-често срещаният тип). Тези устройства записват информационни пакети или техните части върху дисков масив. Това ви позволява да пресъздадете всяка информация, получена или предадена от потребителя в Интернет, или да идентифицирате своевременно неизправността на интернет трафика.


Методи на приложение.

Анализаторите на мрежови пакети се използват за:

  • анализ на съществуващи проблеми в мрежата;
  • откриване на опити за проникване в мрежата;
  • откриване на злоупотреби с трафик от потребители (вътре в системата и извън нея);
  • документиране на регулаторни изисквания (възможен периметър за влизане, крайни точки на разпределение на трафика);
  • получаване на информация за възможностите за проникване в мрежата;
  • изолация на управлявани системи;
  • наблюдение на зареждането на WAN канали;
  • използване за проследяване на състоянието на мрежата (включително дейностите на потребителите както в системата, така и извън нея);
  • наблюдение на премествани данни;
  • Проследяване на WAN и състояние на сигурността на крайната точка;
  • събиране на мрежова статистика;
  • филтриране на подозрително съдържание от мрежовия трафик;
  • създаване на първичен източник на данни за наблюдение на здравето и управление на мрежата;
  • проследяване онлайн като шпионин, който събира поверителна информация на потребителите;
  • сървър за отстраняване на грешки, клиентска комуникация;
  • проверка на ефективността на вътрешния контрол (контрол на достъпа, защитни стени, филтри за спам и др.).

Сниферите се използват и в правоприлагащите органи за проследяване на дейностите на заподозрени нарушители. Моля, имайте предвид, че всички доставчици на интернет и интернет доставчици в Съединените щати и Европа спазват законите и разпоредбите за подслушване (CALEA).


Популярни смъркачи.

Най-функционалните системни анализатори за онлайн проследяване:


Шпионски софтуер NeoSpy, чиято основна дейност онлайн проследяване на действията на потребителите включва, освен универсалния код за снифер, кодове за кейлогър (кейлогъри) и други системи за скрито проследяване.


Наличност! 10% отстъпка за харесване на VKontakte!

Кликнете върху „Харесвам“ и вземете 10% отстъпка за всяка версия на NeoSpy за компютър.

2) Щракнете върху бутона „Харесвам“. и "Кажи на приятели"в долната част на главната страница;

3) Отидете на страницата за покупка, изберете версия и кликнете върху „Купете“;

4) Въведете своя VKontakte ID в полето "Купон за отстъпка", например вашият идентификатор е 1234567, в този случай трябва да въведете "id1234567" без кавички в полето.
Необходимо е да въведете идентификатора на страницата, а не кратък текстов адрес.

За да видите личната си карта, отидете на своя

Със сигурност много потребители на компютърни системи са чували за "смъркача", въпреки че не всеки разбира напълно какво означава това понятие. Също така днес е възможно да се отделят доста ограничен кръг от потребители, които знаят как и къде се използват такива програми и "хардуерни" компоненти. Нека се опитаме да разберем какво е какво.

Какво е нюхач?

На първо място, помислете за определението на този термин. За да разберете същността на този въпрос, първо трябва да преведете думата "нюхач". Буквално преведено, sniffer означава "смърчач" на английски. По-просто казано, това е програма или оборудване, което въз основа на анализа на трафика под формата на предавани и получени данни извлича цялата необходима информация, например криптирани пароли, външни мрежови IP адреси или поверителна информация. самите те могат да бъдат използвани както за вреда, така и за добро.

Смъркачи: основни видове

Ако говорим за основните видове снифери, тогава това може да не е непременно софтуер, който е инсталиран на компютърен терминал или направен под формата на онлайн аплет. Доста често днес можете да срещнете снифери, направени под формата на "желязно" оборудване или негови компоненти, които съчетават физически и софтуерни функции. Основната класификация на сниферите включва следните видове:

- софтуер;

- хардуер;

- софтуер и хардуер;

- онлайн компоненти.

Също така с основната класификация може да се разграничи разделение в посоката на анализ. Най-често, например, има такова разнообразие като анализатор на парола. Основната задача на този инструмент е да извлича отворени или криптирани кодове за достъп или друга информация от информационни пакети. Съществуват и снифери, които включват изчисляване на IP адресите на конкретен компютърен терминал, за да получите достъп до компютъра на потребителя и информацията, съхранявана на него.

Как работи? Технологията за прихващане на мрежов трафик може да се прилага само за мрежи, изградени на базата на TCP/IP протоколи, както и за връзка, реализирана чрез Ethernet мрежови карти. Безжичните мрежи също могат да бъдат анализирани. В такава система първоначално все още има кабелна връзка (към разпределящия стационарен компютър или лаптоп, рутер). В мрежата предаването на данни се извършва не в един блок, а чрез разделянето му на стандартни сегменти и пакети, които, когато бъдат получени от приемащата страна, се комбинират в едно цяло. Сниферите могат да проследяват различните канали за предаване на всеки сегмент. В момента на предаване на незащитени пакети към свързани устройства, например комутатори, концентратори, рутери, компютри или мобилни устройства, се извлича необходимата информация, която може да съдържа пароли. Разбиването на парола става въпрос на техника, особено ако не е правилно криптирана. Дори със съвременните технологии за криптиране на парола, тя може да се предава заедно със съответния ключ. Ако този ключ е публичен, тогава ще бъде много лесно да получите паролата. Ако ключът е криптиран, тогава нападателят може да използва някаква програма за декриптиране. В крайна сметка това все пак ще доведе до пробив на данни.

Къде може да се използва мрежов анализатор? Област на приложение

Обхватът на използване на сниферите е доста особен. Не мислете, че някакъв удобен снифер на руски език е само инструмент за хакери, които се опитват да извършват неоторизирана намеса в мрежовия трафик, за да получат важна информация. Сниферите могат да се използват и от доставчици, които на базата на своите данни анализират трафика на своите потребители, като по този начин повишават сигурността на компютърните системи. Подобно оборудване и приложения се наричат ​​анти-снифери, но в действителност те са обикновени снифери, които работят в обратната посока. Разбира се, никой не уведомява потребителите за подобни действия на доставчика. Освен това няма много смисъл. Малко вероятно е обикновен потребител да може самостоятелно да предприеме някакви ефективни мерки. За доставчик анализът на трафика често е много важен момент, тъй като може да предотврати външни опити за намеса в работата на мрежите. Чрез анализиране на достъпа до предаваните пакети е възможно да се проследи неоторизиран достъп до тях дори въз основа на външни IP адреси, които се опитват да прихванат предадените сегменти. Това е най-простият пример. Като цяло технологията изглежда много по-сложна.

Как да открием наличието на снифер?

Нека оставим настрана такова нещо като "смърчане" засега. Вече е малко ясно какво е. Нека сега да видим какви знаци можете да използвате, за да определите независимо „подслушване“ от снифър. Ако като цяло всичко е наред с компютърната система и интернет връзката и мрежовото оборудване работи без прекъсвания, тогава първият признак за смущения отвън е намаляване на скоростта на пренос на данни в сравнение с декларираната от доставчика. В операционните системи от семейството на Windows обикновеният потребител е малко вероятно да може да определи скоростта с помощта на стандартни инструменти, дори когато извика менюто за състоянието, като щракне върху иконата за връзка. Тук е посочен само броят на получените и изпратените пакети. Намаляването на скоростта може да се дължи на ограниченията на самия ресурс, до който се осъществява достъп. Най-добре би било да използвате специални помощни програми за анализ. Трябва да се отбележи, че те работят на принципа на смъркача. Единственият момент, на който трябва да обърнете внимание, е, че програмите от този тип след инсталиране могат да причинят грешки, които се появяват в резултат на конфликти със защитни стени (програми на трети страни или вградена защитна стена на Windows). Поради тази причина по време на анализа е препоръчително да деактивирате напълно защитните екрани.

Заключение

Накратко разгледахме основните въпроси, които се отнасят до такова понятие като "смърчане". Сега по принцип трябва да е ясно какво е това от гледна точка на инструмент за защита или хакване. Има само няколко думи за онлайн аплети. Те могат да бъдат използвани в по-голямата си част от киберпрестъпниците за получаване на IP адреса на жертвата и достъп до поверителна информация. Такъв онлайн снифер изпълнява и директната си функция; IP адресът на нападателя също се променя. Тези аплети донякъде напомнят на анонимни прокси сървъри, които крият истинския IP адрес на потребителя. По очевидни причини данни за такива интернет ресурси не се предоставят, така че намесата в работата на чужди компютърни системи с помощта на тези привидно официално публикувани софтуерни продукти е престъпно и незаконно.

Какво е Intercepter-NG

Нека разгледаме същността на ARP функционирането с прост пример. Компютър A (IP адрес 10.0.0.1) и компютър B (IP адрес 10.22.22.2) са свързани чрез Ethernet мрежа. Компютър А иска да изпрати пакет данни до компютър Б и знае IP адреса на компютър Б. Въпреки това, Ethernet мрежата, към която са свързани, не работи с IP адреси. Следователно компютър А трябва да знае адреса на компютър Б в Ethernet мрежата (MAC адрес в термините на Ethernet), за да предава през Ethernet. За тази задача се използва ARP протоколът. Този протокол използва компютър А за изпращане на заявка за излъчване до всички компютри в един и същ домейн на излъчване. Същността на заявката: "компютър с IP адрес 10.22.22.2, кажете вашия MAC адрес на компютъра с MAC адрес (напр. a0: ea: d1: 11: f1: 01)". Ethernet мрежата доставя тази заявка до всички устройства в същия Ethernet сегмент, включително компютър B. Компютър B отговаря на заявката до компютър A и съобщава своя MAC адрес (напр. 00: ea: d1: 11: f1: 11) Сега, След като получи MAC адреса на компютър B, компютър A може да предава всякакви данни към него чрез Ethernet мрежата.

За да се избегне необходимостта от използване на ARP протокола преди всяко изпращане на данни, получените MAC адреси и съответните IP адреси се записват в таблицата за известно време. Ако трябва да изпращате данни до същия IP, тогава няма нужда да анкетирате устройствата всеки път в търсене на желания MAC.

Както току-що видяхме, ARP включва заявка и отговор. MAC адресът от отговора се записва в MAC / IP таблицата. При получаване на отговор не се проверява по никакъв начин за автентичност. Освен това дори не се проверява дали искането е направено. Тези. можете незабавно да изпратите ARP отговор до целевите устройства (дори и без заявка) с подправени данни и тези данни ще бъдат включени в таблицата MAC / IP и ще се използват за предаване на данни. Това е същността на атаката за спуфинг на ARP, която понякога се нарича ARP отравяне, отравяне на ARP кеша.

Описание на ARP-spoofing атака

Два компютъра (възли) M и N в локалната Ethernet мрежа обменят съобщения. Атакуващият X в същата мрежа иска да прихваща съобщения между тези възли. Преди да се приложи ARP спуфинг към мрежовия интерфейс на възел M, ARP таблицата съдържа IP и MAC адреса на възел N. Също така, на мрежовия интерфейс на възел N, ARP таблицата съдържа IP и MAC адреса на възел M.

По време на атака с ARP спуфинг, хост X (нападателят) изпраща два ARP отговора (без заявка) - към хост M и към хост N. ARP отговорът към хост M съдържа IP адреса N и MAC адреса на X. ARP отговорът към хост N съдържа IP адреса M и MAC адреса X.

Тъй като компютри M и N поддържат спонтанен ARP, след като получат ARP отговор, те променят своите ARP таблици и сега ARP таблицата M съдържа MAC адреса X, свързан с IP адрес N, а ARP таблицата N съдържа MAC адреса X, свързан с М.

По този начин атаката на ARP-spoofing е завършена и сега всички пакети (кадъри) между M и N преминават през X. Например, ако M иска да изпрати пакет до N, тогава M разглежда своята ARP таблица, намира запис с IP адреса на хост N, избира MAC адреса от там (и вече има MAC адреса на възел X) и предава пакета. Пакетът пристига в X интерфейса, анализиран от него и след това се препраща към N възела.



© Авторско право 2017, https://qzoreteam.ru