Снифер за анализатор на мрежов трафик. Какво е снифер: описание. Почти всичко, което искате да знаете за сниферите Защита срещу снифери

Оставете коментар 6,950

Всеки от екипа] [има свои собствени предпочитания по отношение на софтуер и помощни програми за
тест с писалка. След известно обсъждане разбрахме, че изборът е толкова различен, че можете
съставете истински джентълменски набор от доказани програми. На това и
реши. За да не правим отборна шаша, разделихме целия списък на теми - и в
този път ще засегнем помощните програми за подслушване и манипулиране на пакети. Използвайте на
здраве.

Wireshark

Netcat

Ако говорим за прихващане на данни, тогава Мрежов миньорще свали от въздуха
(или от подготвен дъмп във формат PCAP) файлове, сертификати,
изображения и други носители, както и пароли и друга информация за оторизация.
Полезна функция е търсенето на онези части от данните, които съдържат ключови думи
(например потребителско име).

Скапи

сайт:
www.secdev.org/projects/scapy

Задължителен за всеки хакер, мощен инструмент за
интерактивна манипулация на пакети. Получаване и декодиране на повечето пакети
различни протоколи, отговорете на заявката, инжектирайте модифицирани и
самостоятелно създаден пакет - всичко е лесно! С негова помощ можете да изпълните едно цяло
редица класически задачи като сканиране, tracorute, атаки и откриване
мрежова инфраструктура. В една бутилка получаваме заместител на такива популярни помощни програми,
като: hping, nmap, arppoof, arp-sk, arping, tcpdump, tetheral, p0f и т.н. На това
същото време Скапиви позволява да изпълнявате всякакви, дори най-конкретни
задача, която никога не може да бъде извършена, вече създадена от друг разработчик
означава. Вместо да напишете цяла планина от редове в C, например,
генериране на грешен пакет и fuzz някакъв демон, това е достатъчно
хвърлете няколко реда код с помощта на Скапи! Програмата няма
графичен интерфейс, а интерактивността се постига чрез интерпретатора
Python. Ще свикнете малко и няма да ви струва нищо да създадете неправилно
пакети, инжектиране на желаните 802.11 кадри, комбиниране на различни подходи при атаки
(да речем отравяне на ARP кеша и прескачане на VLAN) и т.н. Самите разработчици настояват
за гарантиране, че възможностите на Scapy се използват в други проекти. Свързването му
като модул е лесно да се създаде помощна програма за различни видове местни изследвания,
търсене на уязвимости, Wi-Fi инжекция, автоматично изпълнение на специфични
задачи и др.

пакети

сайт:
Платформа: * nix, има порт за Windows

Интересно развитие, което позволява, от една страна, да генерира всякакви
ethernet пакет и, от друга страна, изпраща поредици от пакети с целта
проверки на честотната лента. За разлика от други подобни инструменти, пакети
има графичен интерфейс, който ви позволява да създавате пакети по възможно най-простия начин
форма. Освен това. Създаването и изпращането е специално разработено
поредици от пакети. Можете да зададете закъснения между изпращанията,
изпращайте пакети с максимална скорост, за да проверите пропускателната способност
участък от мрежата (да, това е мястото, където те ще получават таксуване) и, което е още по-интересно -
динамична промяна на параметрите в пакети (например IP или MAC адрес).

Смъркачи(Sniffers) са програми, способни да прихващат и впоследствие да анализират мрежовия трафик. Сниферите са полезни, когато трябва да прихванете пароли или да извършите мрежова диагностика. Програмата може да бъде инсталирана на едно устройство, до което има достъп и за кратко време да получи всички предадени данни от подмрежата.

Как работят нюхачите

Можете да прихващате трафик чрез снифер по следните начини:

Като слушате в нормален режим на мрежовия интерфейс, този метод има ефект само когато хъбовете се използват в определено поле, а не превключватели.
Ако свържете снифер на мястото, където каналът е счупен, можете да прихванете трафика.
Адаптер или програма променят пътя на трафика и изпращат копие до снифера.
Фалшиво електромагнитно излъчване за анализиране и възстановяване на трафика за слушане.
Атакувайте канала и мрежовия слой, който ще пренасочи трафика към снифера за получаване на данни, след което трафикът се насочва по предишния маршрут.

Трафикът, прихванат от снифера, се анализира, за да разкрие:

Обикновените снифери анализират трафика много просто, като използват най-автоматизираните налични инструменти и могат да анализират само много малки обеми.

Примери за най-известните смъркачи:

WinSniffer 1.3 - най-добрият снифър, има много различни конфигурируеми режими, може да улавя пароли от различни услуги;
CommViev 5.0 улавя и анализира интернет трафика, както и локалната мрежа. Събира информационни данни, свързани с модема и мрежовата карта, и ги подлага на декодиране. Това дава възможност да се види пълен списък с връзки в мрежата, IP статистика. Прихванатата информация се записва в отделен файл за последващ анализ, освен това удобната система за филтриране ви позволява да игнорирате ненужните пакети и оставяте само тези, които са необходими на нападателя;
ZxSniffer 4.3 е малък снифер с обем от 333 kb, той се побира на всяка съвременна среда за съхранение и може да се използва от;
SpyNet е добре познат и популярен снифър. Основната функционалност включва прихващане на трафик и декодиране на пакети данни;
IRIS- има широки възможности за филтриране. Възможност за улавяне на пакети с определени ограничения.

Класификация на смъркачите

Сниферите се разделят според начина на използване на легални и нелегални. В същото време самата концепция за снифери се прилага именно по отношение на незаконната употреба, а законните се наричат "Traffic Analyzer".

За да получат пълна информация за състоянието на мрежата и да разберат какво правят служителите на работните си места, те използват легални снифери (трафик анализатори). Помощта на сниферите не може да бъде преувеличена, когато е необходимо да се „прослушват“ портовете на програмите, чрез които те могат да изпращат поверителна информация до своите господари. За програмистите те помагат за отстраняване на грешки и взаимодействие с програми. С помощта на анализатори на трафик можете навреме да откриете неоторизиран достъп до данни или DoS атаки.

Незаконно използване означава шпиониране на потребители на мрежата, нападателят ще може да получи информация кои сайтове използва потребителят, изпраща данни, научава за програмите, използвани за комуникация. Основната цел на "слушането" на трафика е да се получат входове и пароли, предадени в некриптирана форма.

Анализаторите на трафика се различават по следните възможности:

Поддръжка на протоколи за връзка за данни, както и физически интерфейси.
Качеството на декодирането на протокола.
Потребителски интерфейс.
Осигурете достъп до статистика, преглед на трафика в реално време и др.

Източник на заплаха

Сниферите могат да работят върху:

Рутер - целият трафик, преминаващ през устройството, може да бъде анализиран.
На крайния възел на мрежата - всички данни, предавани по мрежата, са достъпни за всички мрежови карти, но в стандартен режим на работа мрежовите карти, за които данните не са предназначени, просто не ги забелязват. В същото време, ако превключите мрежовата карта в безразборен режим, ще можете да получавате всички данни, предавани в мрежата. И разбира се, сниферите ви позволяват да преминете към този режим.

Анализ на риска

Всяка организация може да бъде изложена на риск от подсмърчане. В същото време има няколко варианта как да защитим организацията от изтичане на данни. Първо, трябва да използвате криптиране. Второ, можете да използвате анти-снифери.

Antisniffer е софтуерен или хардуерен инструмент, който работи в мрежа и ви позволява да намирате снифери.

Използвайки само криптиране при прехвърляне на данни, няма да е възможно да се скрие фактът на трансфера. Следователно, можете да използвате криптиране във връзка с анти-снифер.

Сниферът се нарича още анализатор на трафик - това е програма или друго хардуерно устройство, което прихваща и след това анализира мрежовия трафик. Понастоящем тези програми имат напълно законово оправдание, поради което се използват широко в мрежата, но могат да се използват както за добро, така и за вреда.

Историята на техния произход датира от 90-те години, когато хакерите можеха да използват такъв софтуер, за да уловят лесно потребителско име и парола, които по това време бяха много слабо криптирани.

Думата sniffer идва от английската. to sniff - to sniff, принципът на действие е, че тази програма регистри и анализипрограми, които са инсталирани на машини, предаващи информационни пакети. Той трябва да е близо до хост компютъра, за да е ефективна операцията за четене.

Програмистите използват това приложение за анализ на трафика, други цели се преследват от хакери в мрежата, те просто издирват пароли или друга информация, от която се нуждаят.

Видове анализатори на трафик

Сниферите се различават по видове, те могат да бъдат онлайн аплети или приложения, инсталирани директно на компютър, които от своя страна са разделени на хардуер и софтуер и хардуер.

Най-често те се използват за прихващане на пароли, докато приложението получава достъп до кодовете на криптираната информация. Това може да донесе огромно неудобство за потребителя, тъй като често има случаи, когато едни и същи пароли са зададени за няколко програми или сайтове, което в крайна сметка води до загуба на достъп до необходимите ресурси.

Има вид подслушване, което се използва за прихващане на моментна снимка на RAM, тъй като е трудно да се чете информация през цялото време, без да се изразходва мощността на процесора. Открийте шпионинтова е възможно чрез проследяване на максималното натоварване на файловете на компютъра по време на работа.

Друг тип програма работи с голям канал за предаване на данни, докато вредителят може да генерира до 10 мегабайта протоколи всеки ден.

Как работи

Анализаторите работят само с TCP / IP протоколи, такива програми се нуждаят от кабелна връзка, например рутери, които разпространяват интернет. Предаването на данни се извършва с помощта на отделни пакети, които отново се превръщат в едно цяло при постигане на крайната цел. Те също така са в състояние да прихващат пакети на всеки етап от предаването и да получават ценна информация заедно с нея под формата на незащитени пароли. Във всеки случай, с помощта на програми за декодиране е възможно да се получи ключ дори за защитена парола.

Най-лесният начин за използване на WiFi снифери е в мрежи със слаба защита - в кафенета, обществени места и т.н.

Доставчиците, които използват тези програми, могат проследяване на неоторизиран достъпкъм външни системни адреси.

Как да се предпазите от смъркачи

За да разберете, че някой е проникнал в локалната мрежа, на първо място, трябва да обърнете внимание скорост на изтегляне на пакетаако е значително по-ниска от декларираната, това би трябвало да е тревожно. Производителността на компютъра може да се наблюдава с помощта на диспечера на задачите. Можете да използвате специални помощни програми, но те най-често влизат в конфликт със защитната стена на Windows, така че е по-добре да я изключите за известно време.

За системните администратори проверката и намирането на анализатори на трафик в локалната мрежа е задължителна. За да откриете вредни приложения, можете да използвате добре познати мрежови антивируси, като Doctor Web или Kaspersky Anti-Virus, които могат да откриват вредители както на отдалечени хостове, така и директно в локалната мрежа.

В допълнение към специалните приложения, които просто се инсталират на компютър, можете да използвате по-сложни паролии криптографски системи. Криптографските системи работят директно с информацията, като я криптират с помощта на електронен подпис.

Преглед на приложението и ключови функции

CommView

CommView декодира пакети от предавана информация, показва статистика на използваните протоколи под формата на диаграми. Сниферът за трафик ви позволява да анализирате IP пакети и тези, които са необходими. Снифер за Windows работи с известни протоколи: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP и др. CommView работи с Ethernet, wi-fi и други модеми. Пакетите се улавят чрез установена връзка с помощта на " ТекущIP-връзки", където можете да създавате псевдоними на адреси.

Раздел " Пакети»Отразява информация за тях, докато те могат да бъдат копирани в клипборда.

« LOG-файлове»Позволява ви да преглеждате пакети в NFC формат.

Раздел " правила". Тук можете да зададете условията за улавяне на пакети. Раздели на този раздел: IP-адреси, MAC-адреси, Портове, Процес, Формули и Индивидуални параметри.

« Внимание": Осигурява настройка на известия в локалната мрежа, функционира с бутона" Добавяне". Тук можете да зададете условия, тип събития:

"Пакети в секунда" - когато нивото на натоварване на мрежата е надвишено.
"Байтове в секунда" - когато честотата на предаване на данни е надвишена.
„Неизвестен адрес“, тоест откриване на неоторизирани връзки.

Раздел " Преглед"- тук се показва статистика за трафика.

CommView е съвместим с Windows 98, 2000, XP, 2003. Приложението изисква Ethernet адаптер.

Предимства: лесен за използване интерфейс на руски език, поддържа често срещани типове мрежови адаптери, визуализира се статистика. Недостатъците включват само високата цена.

Spynet

Spynet изпълнява функции за декодиране и прихващане на пакети. С негова помощ можете да пресъздадете посетените от потребителя страници. Състои се от 2 програми CaptureNet и PipeNet. Удобно е да го използвате в локална мрежа. CaptureNet сканира пакети с данни, втора програма следи процеса.

Интерфейсът е доста прост:

Бутон Промяна Филтрирайте- настройка на филтри.
Бутон Слой 2,3 - инсталира протоколите Flame - IP; Слой 3 - TCP.
Бутон модел Съчетаванетърси пакети с определени параметри.
Бутон IP— Адресиви позволява да сканирате необходимите IP-адреси, предавайки информацията, която ви интересува. (Опции 1-2, 2-1, 2 = 1). В последния случай целият трафик.
Бутон Пристанища, тоест избор на портове.

За да прихванете данни, трябва да стартирате програмата Capture Start, тоест процесът на заснемане на данни започва. Файлът със запазената информация се копира само след командата Стоп, т.е. прекратяване на действията по заснемане.

Предимството на Spynet е възможността за декодиране на уеб страници, които потребителят е посетил. Програмата също може да бъде изтеглена безплатно, въпреки че е доста трудна за намиране. Недостатъците включват малък набор от функции в Windows. Работи в Windows XP, Vista.

BUTTSniffer

BUTTSniffer анализира директно мрежови пакети. Принципът на действие е прихващането на предаваните данни, както и възможността за автоматичното им запазване на носителя, което е много удобно. Стартирането на тази програма се случва чрез командния ред... Има и опции за филтриране. Програмата се състои от BUTTSniff.exe и BUTTSniff. dll.

Значителните недостатъци на BUTTSniffer включват нестабилна работа, чести повреди до разрушаване на ОС (син екран на смъртта).

В допълнение към тези програми за снифер, има много други, не по-малко известни: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Има и онлайн снифери, които освен че получават IP адреса на жертвата, променят директно IP адреса на нападателя. Тези. Нападателят първо влиза под IP адрес, изпраща снимка до компютъра на жертвата, която трябва да бъде изтеглена, или имейл, който просто трябва да се отвори. След това хакерът получава всички необходими данни.

Струва си да припомним, че намесата в данните на компютъра на някой друг е криминално престъпление.

Програма или софтуерно и хардуерно устройство, предназначено да прихваща и след това анализира или анализира само мрежовия трафик, предназначен за други възли.

Докато сниферът работи, мрежовият интерфейс преминава към т.нар. „Режим на слушане“ (Promiscuous mode), който му позволява да получава пакети, адресирани до други интерфейси в мрежата.

Прихващането на трафика може да се извърши:

обичайното "слушане" на мрежовия интерфейс (методът е ефективен при използване на концентратори (хъбове) вместо превключватели (превключватели) в сегмента, в противен случай методът е неефективен, тъй като само отделни кадри достигат до снифера);
свързване на снифер към празнината на канала;
разклоняване (софтуерно или хардуерен) трафик и насочване на копието му към снифера;
чрез анализ на фалшиви електромагнитни емисии и възстановяване на подслушвания трафик по този начин;
чрез атака на канал (2) (MAC-spoofing) или мрежов (3) слой (IP-spoofing), водеща до пренасочване на трафика на жертвата или целия трафик на сегмента към снифера, с последващо връщане на трафика до правилния адрес.

В началото на 90-те години той беше широко използван от хакери за улавяне на потребителски влизания и пароли, които в редица мрежови протоколи се предават в некриптирана или слабо криптирана форма. Широкото използване на хъбове направи възможно улавянето на трафик без усилие в големи мрежови сегменти с малък или никакъв риск от откриване.

Тъй като в „класическия“ снифер анализът на трафика се извършва ръчно, като се използват само най-простите инструменти за автоматизация (анализ на протокола, възстановяване на TCP поток), той е подходящ за анализиране само на малки обеми от него.

Вижте също

Връзки

Фондация Уикимедия. 2010 г.

Вижте какво е "Sniffer" в други речници:

Смърч-, ein Programm zum unberechtigten Ausspionieren sensibler Daten. Der Sniffer wird in einem Netzwerk installiert und zeichnet wahllos vorüberkommende Datenpakete auf. Bei einer nachfolgenden Analyze können auf diese Weise Daten… Universal-Lexikon

Смърч- Ein Sniffer (англ. To sniff ‚riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich също um ein Werkzeug der Netzwerkanalyse. Inhaltsverzeichnis 1…… Deutsch Wikipedia

нюхач- snifer ou sniffer [snife] v. tr. конюг. : 1 v. 1978 г.; де л англ. да подуши "renifler" ♦ англ. (arg. de la drogue) Priser (un stupéfiant). ⇒ ренифлер. Snifer de la cocaine. N. SNIF (F) EUR, EUSE. Les sniffeurs de colle. ● нюхач…… Encyclopédie Universelle

Смърч- Снифер на пакети Les packet sniffers (litteralement "renifleurs de paquets", aussi connus sous le nom de renifleurs ou sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d un réseau local. Ils…… Wikipédia en Français

Идеята за написването на този материал се роди, както беше в повечето случаи, благодарение на въпроси от читатели и други познати относно технологиите за прихващане и анализиране на мрежов трафик. Тези въпроси са условно разделени на 3 категории: възможно ли е по принцип да се прихващат и декодират данни, движещи се през мрежата, как и с какъв софтуер може да се направи. Третата група въпроси отразява известно объркване в терминологията, по-специално са възможни следните опции: човек знае същността на технологията, но не знае как се нарича. Ето защо, когато става дума за, да речем, смърч, той, гледайки надолу, отговаря, че не знае какво е това. Не е ли време да поставите точки над i в този изключително важен въпрос както за начинаещ, така и за напреднал мрежов човек? Да започваме ...

Нека започнем с малко терминология.

Думата снифър (буквално от английски може да се преведе като "снифер" или "снифер") в най-общия смисъл е вид слушащо устройство, вградено в мрежа за прихващане на данни, предавани по нея. В по-тесен смисъл, снифърът е софтуер, който взаимодейства с (често се казва, че "седи" идва от регистрирана търговска марка на Network Associates, която се отнася до продукта "Sniffer (r) Network Analyzer", но по-късно думата страда същата съдба като PC, xerox, kleenex - sniffer се превръща в битов термин, обозначаващ целия клас подобни продукти.

В част от литературата и документацията, както и в електронните речници като Lingvo, терминът sniffer (мрежов анализатор) се идентифицира с понятия като "анализатор на мрежов трафик", "анализатор на пакети", "анализатор на протоколи", "мрежов анализатор". Нека обаче да не се съглася малко с този подход.

Все пак би било по-логично да се твърди, че подслушването е набор от мерки за прихващане на трафик. В рамките на конкретен продукт могат да се реализират следните неща: улавяне на пакети. На този етап получаваме един вид необработен (машинно четим) дъмп на данни, обикновено разделен на парчета по границите на рамката (пакета). И какво ще правим с него - нашите проблеми. Но обикновено, тъй като сме стартирали снифера по някаква причина, ние се интересуваме от получаване на определен резултат в четим от човека формат, за който се използва декодиране на пакети или анализ на протоколи;

Всъщност това е процесът на „загребване“ на бунището ни. Например, имахме такава суровина.

Както може би сте забелязали, този случай се състои от три колони: отместване на всеки ред, данните в шестнадесетичен формат и техния ASCII еквивалент. Този пакет съдържа 14-байтова Ethernet заглавка, 20-байтова IP-заглавка, 20-байтова TCP заглавка, HTTP заглавка, завършваща на два CRLF (0D 0A 0D 0A), и след това действителните данни на слоя на приложението, в нашия случай , уеб трафика.

Понякога това представяне е достатъчно за получаване на необходимата информация, но все пак е по-удобно пакетът да бъде декодиран и анализиран на всички нива на стека на протоколите. Не е ли по-приятно да се получи такава снимка?

ETHER: Адрес на местоназначение: 0000BA5EBA11 ETHER: Адрес на източник: 00A0C9B05EBD ETHER: Дължина на рамката: 1514 (0x05EA) ETHER: Ethernet Тип: 0x0800 (IP) IP: Версия = 4 (0x4) IP: Дължина на заглавката = 20 (0x14) IP: Тип на услугата = 0 (0x0) IP: Приоритет = Рутинен IP: ... 0 .... = IP за нормално забавяне: .... 0 ... = IP с нормална пропускателна способност: ..... 0 .. = IP с нормална надеждност: Обща дължина = 1500 (0x5DC) IP: Идентификация = 7652 (0x1DE4) IP: Резюме на флагове = 2 (0x2) IP: .. ..... 0 = Последен фрагмент в IP адрес на дейтаграма: ...... 1. = Не може да се фрагментира IP адрес на дейтаграмата: Отместване на фрагмента = 0 (0x0) байта IP: Време за живот = 127 (0x7F) IP: Протокол = TCP - Контрол на предаването IP: Контролна сума = 0xC26D IP: Адрес на източника = 10.0.0.2 IP: Адрес на местоназначение = 10.0.1.201 TCP: Изходен порт = Протокол за прехвърляне на хипертекст TCP: Порт на местоназначението = 0x0775 TCP: Пореден номер = 97517760 (0x5D000C0) TCP: Номер на потвърждение = 78544373 (0x4AE7DF5) TCP: Отместване на данните: Reserved0 (Reserved0) (Reserved0) TCP0 (Reserved0) : Флагове = 0x10: .A .... TCP: .. 0 ..... = Няма спешни данни TCP: ... 1 .... = Значение на полето за потвърждение TCP: .... 0 ... = Без функция за натискане TCP: ..... 0 .. = Няма нулиране на TCP: ...... 0. = Няма синхронизиране на TCP: ....... 0 = Няма Fin TCP: Прозорец = 28793 (0x7079) TCP: Контролна сума = 0x8F27 TCP: Спешен указател = 0 (0x0) HTTP: Отговор (до клиент, използващ порт 1909) HTTP: Версия на протокола = HTTP / 1.1 HTTP: Код на състоянието = OK HTTP: Причина = OK....

В допълнение към изброените по-горе могат да бъдат реализирани и други „функции“, като преглед на преминаващите пакети в реално време, филтриране по даден сценарий, различни видове статистика на трафика – брой грешки, интензитет и т.н.

видове смъркачи и смъркане

Всичко, което ще бъде описано в този параграф, естествено, има известен нюанс на условност, тъй като никой все още не е описал напълно официалната "Теория на смъркането". Ще трябва да измислим класификация "в движение";)

И така, според „местоположението“ (ако този термин е приложим тук), сниферът може да работи:

На рутера (шлюз)

В тази ситуация можете да прихванете трафик, преминаващ през интерфейсите на този шлюз. Например от вашата локална мрежа към друга мрежа и в обратната посока. Съответно, ако инсталираме снифер на рутера на интернет доставчик, можем да наблюдаваме трафика на неговите потребители и т.н.

В края на мрежата

По отношение на Ethernet ще имаме две основни възможни опции за подслушване. Класическият, некомутиран Ethernet предполага, че всеки мрежов интерфейс по принцип "чува" трафика на своя сегмент. Въпреки това, при нормална работа на мрежовата карта, след прочитане на първите 48 бита от заглавката на рамката, станцията сравнява своя MAC адрес с адреса на местоназначението, посочен в рамката. Ако адресът е чужд, станцията "срамежливо си затваря ушите", тоест спира да чете чужда рамка. По този начин, в нормален режим, можете само да прихващате и анализирате собствения си трафик. За да прихванете пакети от всички станции в даден сегмент, трябва да поставите вашата мрежова карта в режим, наречен безразборен режим, така че тя "безсрамно" да продължи да чете пакети, които не са предназначени за нея. Почти всички реализации на снифер позволяват на картата да премине в безразборен режим.

Забележка: използването на комутиран Ethernet създава ситуация, при която дори преминаването на картата в безразборен режим прави практически невъзможно слушането на трафик, който не е предназначен за вашата станция. Има обаче технология за организиране на такова подслушване чрез т. нар. ARP спуфинг. Изводът е следният: превключвателят създава така наречения „бродкаст домейн“ и хостът с инсталиран снифер може да се преструва, че е например граничен рутер, като фалшифицира ARP съобщения (изпраща постоянно ARP съобщения, където рутера мрежовият адрес съответства на MAC адреса на слушащата станция). Така трафикът на съседите ще завива принудително в посока "шпиен".

В останалата част сниферите могат да се различават един от друг главно по функционалност, като например:

Поддържани физически интерфейси и протоколи на слоя на връзката;

Качество на декодиране и брой "разпознаваеми" протоколи;

Потребителски интерфейс и удобство на дисплея;

Допълнителни функции: статистика, гледане в реално време, генериране или модифициране на пакети и други ...

Когато избирате снифер (както и всеки друг софтуер), има смисъл да се ръководите от следните съображения: от това, което съществува за вашата ОС, ние избираме или това, което точно отговаря на вашите задачи (има смисъл, ако планирате или еднократно събитие, или постоянното изпълнение на една и съща операция) или най-сложното решение, в случай че смятате, че сниферът ще ви бъде полезен, но все още не знаете в каква ситуация :) И ситуациите са различни. ..

защо ни е нужен снифер?

Традиционно идеята за подушване е съществувала в две форми: законна и незаконна употреба. Показателно е, че думата "снифер" се използва по-често в нелегалната сфера, а "мрежов анализатор" - в легалната. Да започнем с легалната употреба;)

Отстраняване на неизправности (откриване на проблеми и тесни места в мрежата). В разширен режим, когато сниферът работи в некомутиран сегмент или на шлюз, можем да получим почти пълна картина на събитията, случващи се в нашата мрежа: интензивност на трафика във времето, по работни станции, по протоколи, броят на грешките от различен тип. Освен това и в двата режима можем да „загребем“ по-специфични проблеми, когато, да речем, определена станция не може да организира някакво взаимодействие през мрежата, и това въпреки факта, че мрежата изглежда доста работеща отвън. Сниферът е особено полезен в случаите, когато мрежовият софтуер е лошо документиран или използва свои собствени (недокументирани), често подозрителни технологии (протоколи).

Например: ICQ, Europe Online. Под съмнителни технологии/софтуер трябва да се разбират ситуации, когато подозирате наличието на отметка или друга недокументирана функционалност в програмата. Например, имаше слухове, че клиентската страна на известния cDc Back Orifice също е троянски кон и изпраща някаква информация до собствениците - авторите на софтуера. Инсталирането на BO Client "за слушане" показа, че слуховете не са верни.

Сниферът е също толкова полезен за отстраняване на грешки във вашия собствен софтуер. Никога няма да забравя момента, в който прокси сървърът не искаше да установи връзка, ако GET заявката завърши с \ n \ n вместо изискваното \ r \ n \ r \ n. Само разглеждането на пакетите, изпратени от "спазващия закона" браузър и сравняването им с пакетите, изпратени от моя скрипт за стартиране, ме насочи към досадна грешка. Много, много често в моята ежедневна администраторска практика ми се налага да се занимавам с анализ на ниво TCP/UDP.

Образование. Можете да припаднете, като запомните формати на заглавки на пакети на различни протоколи и методи за комуникация (да речем, 3-посочно TCP ръкостискане, DNS, методи за прилагане на план за трасиране), но това знание ще бъде мъртво, докато не се опитате да го „докоснете с ръцете си“ - веднъж написана програма или ... като погледнете в снифера! След като прочетете документацията за неизвестен или лошо разбран протокол, опитайте се да симулирате взаимодействието, прихващайте пакети и ги анализирайте - уверявам ви, всичко ще стане изключително ясно и освен това това знание е по-реално и ще остане в главата ви за известно време. дълго време. В случай на затворени технологии, сниферът може да е почти единственият начин за тяхното изследване.

Регистриране на мрежов трафик. Възможно е да се спори много за законността и етиката на администратора, регистриращ потребителски трафик за по-нататъшно разглеждане, но остава фактът, че много организации включват тази технология в своята политика за сигурност. Личното ми мнение е, че собственикът е майстор, тоест ако една фирма осигурява на служителите си оборудване, връзки към локални и глобални мрежи, има право да изисква правилното използване на тези ресурси. Втората важна причина за регистриране на трафика е откриването на опити за неоторизиран достъп и други злонамерени заплахи – например DoS атаки. С такива логове администраторът може да знае със 100% точност какво се случва в неговия мрежов домейн.

Сега нека поговорим за незаконната страна на смъркането. Е, първо, това е обичайно

Подслушване. След като правилно инсталирате снифер, можете да шпионирате вашите съседи и отдалечени - врагове, приятели, съпрузи;) Може да се интересувате от следните въпроси: защо човек използва мрежата, какви уеб ресурси посещава, какви данни прави той предава, с кого и с какво общува? Да, агенциите за държавна сигурност ще ми простят, но прословутият SORM, чиято легитимност под формата на тотално регистриране на трафика е баааал въпрос, се позовавам дотук на този раздел, въпреки че може да се появи в последния параграф на "законен смъркане" ;)

По-материалистично подслушване. Значителна част от "хакерската" общност обаче не разменят талантите си за шпиониране на неверни съпрузи и други ежедневни неща. Най-често нападателят се интересува от някакъв материал, с който човек може да напредне в трудната задача за проникване в системи и мрежи на други хора. Както може би се досещате, става дума основно за прихващане на потребителски имена и пароли, преминаващи през мрежата в обикновен текст. По-специално, това се отнася за пароли за telnet, POP, IMAP, NNTP, IRC, за уеб приложения, които не използват криптиране, SNMP v1 общностни низове и др.

изпълнение

Сега, след като малко или много се занимаваме с теоретичната част, нека се върнем към грешната земя - нека поговорим за конкретни реализации на снифери за различни платформи. Всъщност има много такъв софтуер, разликата във функционалността и цената (особено в последния) е колосална. Често задаваните въпроси за Sniffing (мрежово подслушване, подслушване), Робърт Греъм, препоръчва да опитате следните продукти:

Network Associates Sniffer (за Windows)
http://www.nai.com/mktg/survey.asp?type=d&code=2483

WinNT сървър
WinNT Server на Microsoft идва с вградена програма, наречена “Network Monitor.” Отидете на мрежовия контролен панел, изберете “Services”, щракнете върху “Add...” и изберете “Network Monitor Tools and Agent.” След инсталирането програмата ще бъде наличен в стартовото меню в секцията "Административни инструменти".

Всъщност BlackICE е система за откриване на проникване (IDS), но една от функциите му е да пише необработени пакети във форма, която може да бъде декодирана от анализатори на протоколи. Едно нещо: програмата само сканира трафика, преминаващ през локалните интерфейси на хоста, на който се изпълнява, тоест не е безразборна.

Тази програма, от друга страна, може да анализира само пакети, записани от снифер като BlackICE Pro.

Безплатен анализатор на протоколи.

Естествено, този списък далеч не е пълен, можете да отидете до всяка търсачка или колекция от софтуер за изтегляне и да намерите нещо друго. Освен това в ревюто не се споменава най-много, според мен, изключителен продукт от този вид за Win32 - NetXRay, сега преименуван на Sniffer Basic. За него ще говорим малко по-късно.

изсумтя
Снифер, базиран на libpcap, с разширени възможности за филтриране.

Отново списъкът далеч не е перфектен, можете да потърсите другаде. Друго нещо е, че в * NIX-общността не е особено прието да бъдат „разпръснати“ – има изпитани във времето, постоянно подобряващи се продукти-лидери и мнозинството ги предпочита, без дори да се опитват да търсят алтернатива. Абсолютните лидери тук са tcpdump и sniffit.

Tcpdump & WinDump

(от Ghost // Necrosoft)

Както бе споменато по-горе, TcpDump е най-често използваният снифер за * nix системи. Можете да го намерите във всяка от най-новите дистрибуции на операционната система, която използвате. Най-добре е да опишете tcpdump, като просто изброите всички негови опции на командния ред - по този начин получавате списък с неговите възможности и директно ръководство за действие - "в една бутилка".

WinDump е порт на TcpDump от * nix системи, изпълнява същите функции и има същия синтаксис като TcpDump, но има няколко допълнителни опции на командния ред, които ще бъдат разгледани по-долу.

Малка анотация за използването на TcpDump под различни системи. На SunOS с помощта на nit или bpf устройства: Трябва да имате достъп за четене до / dev / nit или / dev / bpf *, за да стартирате tcpdump. На Solaris с dlpi трябва да имате достъп до псевдомрежови адаптери като / dev / le. На HP-UX с dlpi: трябва да сте root или tcpdump трябва да има uid, зададен на root. На IRIX с snoop и Linux: Изисквания, подобни на HP-UX. На Ultrix и Digital UNIX: Само надзорникът има операции в безразборен режим, използвайки pfconfig (8) можете да получите правото да стартирате tcpdump Под BSD: трябва да имате достъп до / dev / bpf * Под Win32: трябва да инсталирате драйвера за улавяне на NDIS пакети.

Сега нека разгледаме по-отблизо опциите на командния ред.

TcpDump [ -adeflnNOpqStvx] [-° Сброя] [-Ффайл] [-iинтерфейс] [-rфайл] [-сsnaplen] [-ТТип] [-wфайл] [изразяване]. Специфични опции за Windump [- д] [ -Бразмер].

A позволява преобразуване на мрежови и излъчващи адреси в имена.

Излезте след обработка брояпакети.

D Отпечатва съдържанието на пакета в четима от човека форма.

Dd извежда съдържанието на пакет като фрагмент от C програма.

Ddd Показва съдържанието на пакет в десетична форма.

E Извежда заглавките на слоя на връзката на всеки нов ред.

F Отпечатва адресите на отдалечени и локални хостове без преобразуване в имена.

Предпазител файлс описание на параметрите за филтриране (допълнителните изрази в командния ред се игнорират).

Iuse интерфейс интерфейсза проследяване. Ако не е дефинирано, tcpdumpнамира най-ниско номерирания активен мрежов интерфейс (с изключение на loopback). На Windows интерфейс- името на мрежовия адаптер или неговия номер (можете да го намерите, като стартирате WinDump -D).

L използва буфериран изход към stdout. Конструкция като "tcpdump -l | tee dat" "или" tcpdump -l> dat & tail -f dat "" може да бъде полезна.

Не превеждайте адреси (т.е. адрес на хост, номер на порт и т.н.) в имена.

Не отпечатвайте името на домейна в името на хоста. Тези. ако се използва този флаг, tcpdumpще отпечата "nic" "вместо" nic.ddn.mil "".

Не стартирайте оптимизатора на пакети. Тази опция е полезна, ако сами събирате пакети.

Не поставяйте мрежовия интерфейс в "промискуитетен режим".

Q е съкратеният изход. Показва информация в съкратена форма.

Чете пакети от файл файл(които се създават с опцията -w). Ако искате да използвате конзолата като вход, тогава файлто "-"".

S проблеми snaplenбайта на всеки пакет (на SunOS "NIT минимум 96.) 68 байта са достатъчни за IP, ICMP, TCP и UDP протоколи, но съкращава информацията от по-високи нива, да речем DNS и NFS пакети.

T принудително тълкуване на пакети по тип Типсъвпадаща маска " изразяване". В момента са известни следните видове: rpc(Отдалечено повикване за процедура), rtp(протокол за приложения в реално време), rtcp(Протокол за управление на приложения в реално време), ДДС(Визуален аудио инструмент) и wb(раздадена Бяла дъска).

S Отпечатва абсолютния номер на TCP пакета.

T не отпечатва времето на всеки ред.

Tt отпечатва неформатираното време на всеки ред.

V подробен изход. Например, живот на пакета и тип услуга.

Vv е по-подробен изход. Например, показване на допълнителни полета за NFS пакети за отговор.

W записва необработени пакети в файл,които можете допълнително да дешифрирате, като използвате опцията -r. Ако искате да използвате конзолата като изход, тогава файлто "-"".

X Извежда всеки пакет в шестнадесетичен (без заглавка). За теглене ще бъде изпратено snaplenбайт.

Допълнителни опции за WinDump:

Задава размера на буфера на драйвера размерв килобайти. Размерът на буфера по подразбиране е 1 мегабайт. Ако някои пакети не се показват по време на работа, опитайте да увеличите размера на буфера. Ако имате PPP връзка или 10 Mbps Ethernet, тогава размерът на буфера може да бъде намален наполовина или три пъти.

-дизброява мрежовите устройства, които присъстват във вашата система. Списъкът изглежда така: номер- номера на мрежовото устройство в системата, име- неговото име, последвано от описание на устройството. Впоследствие можете да използвате тези данни, за да работите с всички налични мрежови интерфейси на вашата система, които са налични в момента. И можете да изберете устройство с помощта на -I - "WinDump -i име"или" WinDump -i номер".

изразът всъщност е израз, който задава критерия за филтриране на пакети. Ако полето изразяванелипсва, тогава се показват всички пакети. В противен случай се показват само онези пакети, които отговарят на маската изразяване.

изразът може да се състои от един или повече примитиви. Примитивите често се състоят от документ за самоличност(име или номер) квалификатор. Има три ключови типа квалификации:

тип-квалификатор, определящ общата политика. Възможните видове са - домакин,нетои пристанище... Тези. "хост foo", "net 128.3", "порт 20". Ако Типне е посочено, тогава се използва по подразбиране домакин.

dir-квалификатор, указващ посоката на предаване на пакетите. Възможни опции src,dst,src или dstи src иdst... Т.е. "src foo", "dst net 128.3", "src или dst порт ftp-data". Ако режнеопределен, по подразбиране е src или dst.За "нулеви" връзки (това е ppp или slip) използвайте входящи изходящадетерминанта за указване на желаната посока.

proto-qualifier ви позволява да филтрирате пакети по конкретен протокол. Възможни протоколи: етер,fddi,ip,arp,rarp,decnet,лат,sca,moprc,mopdl,tcpи udp... Тези. "ether src foo", "arp net 128.3", "tcp порт 21". Ако няма квалификатор, тогава не се филтрират пакети. („fddi“ всъщност е псевдоним за „ether“, тъй като в повечето случаи FDDI пакетите съдържат Ethernet адресите на източника и местоназначението и често съдържат типове Ethernet пакети. Заглавките на FDDI съдържат и други полета, които не са в списъка с филтри.)

В допълнение към горното, някои специални примитиви нямат шаблони, това са: шлюз,излъчване,по-малко,по-голямаи аритметични изрази. Повече за това по-късно.

Много изрази за съставен филтър използват думи и,илии неза комбиниране на примитиви. Например "хост foo, а не порт ftp и не порт ftp-data". За по-лесно влизане някои квалификации могат да бъдат пропуснати. Например „tcp dst port ftp или ftp-data или домейн“ е същото като „tcp dst port ftp или tcp dst port ftp-data или tcp dst port domain“.

Следните изрази са позволени:

dst хост домакин true, ако полето за IP дестинация на пакета е домакин, може да бъде адрес или име на хост.

src хост домакин true, ако полето IP източник на пакета е домакин.

домакин домакин true, ако източникът или местоназначението на пакета е домакин... Могат да се използват и префикси: ip,arp, или rarpкак: IP хостдомакинкоето е еквивалентно етер прото\ ipи домакиндомакин... Ако домакин- име с няколко IP адреса, като всеки адрес се проверява за съответствие.

етер dst ehostВярно, ако Ethernet адресът на местоназначението е ehost.Ehost- някое от имената / etc / етери или номер (вж. етери(3N).

етер src ehost true, ако Ethernet адресът на подателя е ehost.

етерен хост ehost true, ако Ethernet адресите на получателя или подателя са - ehost.

шлюз домакинвярно, ако домакин- шлюз. Тези. Ethernet адрес на изпращача или получателя - домакин, но нито IP адресът на подателя, нито IP адресът на получателя са такива домакин.Домакинможе да бъде име и може да се намира в / etc / hosts и / etc / етери. (Което е еквивалентно на етерен хостehostа не домакиндомакинкойто може да се използва с произволно име или номер за хост / ehost.)

dst net нето true, ако IP адресът на получателя има адрес - нето.Нет- всеки запис от / etc / мрежи или мрежов адрес.

src net нето true, ако IP адресът на подателя има адрес - нето.

нето нетоВярно е, ако IP на получателя или подателя има мрежов адрес - нето.

нето нетомаскамаскаВярно е, ако IP адресът е същият като нетосъс съответната мрежова маска. Може да се дефинира във връзка с srcили dst.

нето нето/lenвярно, ако IP е мрежа,маска на подмрежа - lenв битова форма (CIDR формат). Може да се дефинира във връзка с srcили dst.

dst порт пристанище true, ако пакетът е ip / tcp или ip / udp и има порт дестинация - пристанище.пристанищеможе да бъде номер или да присъства в / etc / услуги (вж tcp(4Р) и udp(4Р)). Ако се използва име за два или повече порта, тогава се проверяват както номерата на портовете, така и протоколите. Ако се използва невалиден номер или име на порт, тогава се проверяват само номерата на портове (т.е. dst порт 513отпечатва tcp / login и udp / who traffic, и порт домейнизвежда tcp / домейн и udp / домейн).

src порт пристанище true, ако портът на изпращача е пристанище.

пристанище пристанище true, ако портът източник или местоназначение е пристанище... Някои изрази могат да се комбинират, например: tcp src портпристанище- само tcp пакети с порт - пристанище.

по-малко дължина true, ако дължината на пакета е по-малка или равна на дължинакоето е еквивалентно на len<= дължина.

по-голяма дължина true, ако дължината на пакета е по-голяма или равна на дължинакоето е еквивалентно на len> =дължина.

ip прото протокол true, ако пакетът е IP пакет с протокол протокол.протоколможе да има номер или едно от имената icmp,igrp,udp,nd, или tcp.

ether broadcast е вярно, ако пакетът е Ethernet излъчващ пакет. Изразяване етере по избор.

ip излъчването е вярно, ако пакетът е пакет за IP излъчване.

ether multicast е вярно, ако пакетът е Ethernet мултикаст пакет. Изразяване етере по избор. Това е съкращение за " етер и 1! = 0".

ip multicast е вярно, ако пакетът е IP пакет за множествено предаване.

етер прото протокол true, ако пакетът е от тип Ethernet. протоколможе да бъде число или име: ip,arp, или rarp.

decnet src домакин true, ако DECNET адресът на получателя е домакин, който може да бъде адрес като "10.123" ", или име на хост DECNET. (DECNET име на хост се поддържа само в системи Ultrix).

decnet dst домакинВярно, ако DECNET адресът на получателя е домакин.

decnet хост домакинВярно, ако DECNET адресът на получателя или подателя е домакин.

прото [ изр: размер]

Протоколирайте един от следните протоколи етер, fddi, ip, arp, rarp, tcp, udp илиicmpи показва нивото на протокола за тази операция. Отместването на байта за този протоколен слой се взема от изр.размер- по избор, показва желания брой байтове при даденото отместване, може да бъде 1,2 или 4, по подразбиране е 1.

Примери за използване на tcpdump

Издаване на всички входящи и изходящи пакети от залез слънце:tcpdump залез на хоста

Доставка на трафик между хелиоси едно от двете горещоили асо:tcpdump хост helios и \ (hot или ace \)

Издаване на всички практики между асои други хостове, с изключение на хелиос:tcpdump ip хост асо, а не helios

Издърпване на трафик между локалната машина и машината в Бъркли: tcpdump net ucb-ether

Издаване на ftp трафик през шлюз хълца:tcpdump "шлюз snup и (порт ftp или ftp-данни)"

Показване на трафик, който не принадлежи на машини в локалната мрежа (ако вашата машина е шлюз към друга мрежа, tcpdump няма да може да показва трафик във вашата локална мрежа). tcpdump ip, а не netлокална мрежа

Издаване на стари и стоп пакети (SYN и FIN пакети), които не принадлежат към локалната мрежа. tcpdump "tcp & 3! = 0, а не src и dst netлокална мрежа"

Издаване на IP пакети, по-дълги от 576 байта, предавани през шлюза хълца:tcpdump "шлюз snup и ip> 576"

Издаване на IP излъчване или мултикаст пакети, които не се изпращат чрез Ethernet излъчване или мултикаст: tcpdump "ether & 1 = 0 и ip> = 224"

Издаване на всички ICMP пакети, които не са ехо заявки/отговори (т.е. не ping пакети): tcpdump "icmp! = 8 и icmp! = 0"

от Алис Д. Сеймон

Този който обичам ...

Много отдавна ... NetXRay беше първият снифър, който влезе в полезрението ми. Тогава, през 1997 г., тази английска програма нашумя в средите на ориентираните към Windows мрежови хора. Минаха години, но старата версия на NetXRay (3.0.1) все още е в експлоатация, в ежедневна работа на моята работна станция. Днес продуктът е преименуван на Sniffer Basic, добавени са някои нови функции, но, от друга страна, основната функционалност остава непроменена от 3.0.1. Това е първата причина, поради която NetXRay 3.0.1 ще бъде описан във вестника. Втората причина ... (поглеждайки към антипиратската полиция) е много скъп продукт (£ 1643, което е стерлинги), а пробните ограничения са много сериозни. Така че нека да започнем.

Пакетът се състои от набор от различни функции и наистина може да се нарече мрежов анализатор, а не снифер. Всички функции (модули) са групирани в менюто "Инструменти", има и различни настройки. Да започнем с тях. Можете да изберете адаптера, за който се извършва текущата сонда. Адаптерът трябва да поддържа стандарта NDIS 3.0 / 3.1.

Внимание, бъг! Ако "настроите" NetXRay на адаптер "погрешно" според него или улавяте пакети, които не може да декодира на слоя връзка-мрежа (например трафик от експлойти, които изпращат криво фрагментирани пакети) - на етапа на декодиране (анализ на протокола ) програмата виси здраво...

Можете да тествате едновременно на няколко интерфейса, за които се създават множество хипостази на програмата (сонди). Всички настройки на която и да е от съществуващите могат да бъдат копирани в нова сонда.

В опциите можете да конфигурирате следните неща: външен вид на работния плот, стандартни номера на портове за различни протоколи (3 опции - много полезни в случаите, когато мрежовите приложения работят на нестандартни портове), реакция при възникване на някакво събитие, прагови стойности за различни видове статистически данни и dr.

Е, сега да преминем към функционалните модули на пакета.

улавяне (прихващане на пакети)

Сърцето на NetXRay всъщност е, че в популярното разбиране има снифер. Затова ще си позволя да го опиша по-подробно.

Когато този модул е активиран, пред нас се появява малък прозорец с "табло" и няколко бутона. Всички действия, които можем да извършим в този прозорец, се дублират в менюто Capture. И можем да направим това: започнете да улавяте пакети, спрете, спрете + прегледайте съдържанието на буфера и просто прегледайте съдържанието на буфера, при условие че улавянето е спряно. Можем също да настроим фино филтрите там:

По адресите на подателя и получателя. За да се улесни тази задача, има адресна книга и набор от предварително зададени адреси, например "Всяко".

По шаблони. Ако трябва да хванете пакети, съдържащи някои специфични данни навсякъде в пакета, можете да напишете умен шаблон. Освен това, което е особено приятно, можете да проектирате шаблони във всяко удобно за вас представяне: двоично, шестнадесетично, ASCII и EBCDIC.

Според протоколите, известни на програмата. Това:

мрежа: AppleTalk, AppleTalk ARP, APOLLO, DECNET, IP, IP ARP, IPX, LAT, NetBEUI, OSI, SNA, VINES, VINES Loopback, VINES Echo, XNS

по-високо в IP стека: транспорт, обслужване и маршрутизиране - ICMP, IGMP, GGP, EGP, IGP, ISO-TP4, HELLO, IP-VINES, IGRP, OSPF, TCP, UDP; слой на приложението - FTP, REXEC, RLOGIN, RSH, PRINTER, SMTP, TELNET, DNS (TCP), GOPHER, HTTP, POP, SUNRPC (TCP), NNTP, NETBIOS, X-WINDOW, DNS (UDP), BOOTP, TFTP, SUNRPC (UDP), SNMP, SNMPTRAP, BIFF, WHO, SYSLOG, RIP, GDP, NFS.

по-високо в IPX стека: NCP, SAP, NRIP, NBIOS, ДИАГНОСТИКА, СЕРИАЛИЗИРАНЕ, NMPI, NLSP, NSNMP, NSNMPTRAP, SPX.

Както виждате, не толкова малко, бих казал – дори излишно за реалния живот.

Внимание! Филтърът на протокола има малко странен интерфейс: предполага се, че ако всички квадратчета за отметка в границите на един слой не са маркирани, всички протоколни пакети на този слой и всичко по-горе се улавят (по-долу, ако погледнете потребителския интерфейс;). Така, ако не сте поставили нито една "птица", се хваща абсолютно всичко. Естествено, неизвестни протоколи на приложния слой също се улавят в този случай, но не се декодират в четим вид, което е естествено, тъй като те са неизвестни :))

Освен това можете да регулирате размера на буфера или да посочите файла, къде да пуснете резултата от улавяне на пакета.

Настройките на филтъра могат да бъдат записани в така наречения профил, да им се даде име и впоследствие да бъдат избрани от списъка.

След заснемане на необходимия брой пакети, при активиране на изгледа попадаме в така наречения "резултат прозорец", който по подразбиране има имената XRay1, XRay2 и така нататък, според броя на текущите буфери. Можете да видите такъв прозорец на екранната снимка: отгоре - списък с пакети с кратка "анотация", в средата - декодирани данни (е, можех да декодирам;) и отдолу - необработен пакет. Любопитно е, че когато щракнете върху полето на интерес в декодирания раздел, съответното място в суровия пакет се маркира - можете да проверите качеството на анализатора на протокола;)

Потребителският интерфейс на "прозореца с резултати" има, наред с предимствата (способността да се прилага всеки от филтрите, обсъдени по-горе към показания буфер, възможността да се изпрати всеки пакет или буфер към мрежата с едно щракване на мишката или да се копира определен брой пакети в отделен буфер, много красиво показване на декодирани данни, дори с известно влагане за полета, които не представляват интерес за обикновен потребител) и очевидни недостатъци (не можете да премахнете няколко пакета от буфера, няма работоспособност на клипборда , тоест резултатите не могат например да бъдат копирани и записани в текстов формат).

В допълнение към натрупването на пакети в буфер или файл за последващо декодиране, също така е възможно да видите трафика в реално време.

Вярно а) визуално изглежда ужасно б) тази опция е включена на толкова нелогично място, че дори такъв стар потребител на NetXRay като мен забравя къде е това "птиче". Птицата е инсталирана в Инструменти | Опции ... раздела Общи, квадратчето за отметка Дисплей в реално време, а не в настройките за заснемане, където би било логично да го търсите; - /

Освен това „прозорецът с резултати“ съдържа раздели за статистически данни за проведената сесия на заснемане, но няма да се спираме на тях.

генератор на пакети

Това наистина е чудесно нещо: можете да „скицирате“ и да изпращате абсолютно всеки пакет към мрежата от нулата. Интерфейсът се състои от главния прозорец и т. нар. пакет дизайнер, разделен на две секции – Конфигуриране и Декодиране.

В първия имаме портрет на стандартно сметище (вижте теоретичната част на статията), изпълнено с нули. Там започваме да въвеждаме шестнадесетични числа - в секцията за декодиране, която изглежда точно като декриптирания пакет в "прозореца с резултати" на Capture, се появява анализ на нашия пакет.

Но в този случай можем не само да разгледаме декодирания пакет, но и да направим промени, като щракнем върху необходимото поле. Вярно е, че промяната на стойностите във всеки случай се извършва само в шестнадесетична форма и полетата за въвеждане са поразителни в своето неудобство: (Има няколко опции за генериране и изпращане на пакети: изпращане на текущия пакет, изпращане на текущия буфер, запис пакет от нулата или изпратете редактиран пакет от събраното ...

Забележка относно интерфейса: ако опцията „изпращане на текущ пакет“ се извика от „прозореца за резултати“ на Capture, пакетът се изпраща незабавно, без да се извиква конструкторът на пакети, но остава в текущия „буфер за изпращане“ и той може да се коригира там по-късно.

Ако от прозореца на генератора на пакети се извика "изпрати текущ пакет" и - автоматично се извиква конструкторът на пакети. Внимавайте!

В дизайнера на пакети, в секцията Декодиране, програмата ще ви даде някои съвети, по-специално да изчислите нова контролна сума при модифициране на пакета (това също така сама ще направи съответните промени, мързеливо създаване;). Въпреки това, AI се различава от човешкия ум по това, че не знае как да мисли правилно. Така че, когато например промените IP адреса на получателя, помислете дали не трябва да смените MAC адреса му едновременно?;)

Пакетите могат да се изпращат в различни режими: едно щракване - един пакет, определен брой пакети или в цикъл. По този начин можете да генерирате трафик. Като цяло можете да намерите много приложения за генератора на пакети, тук зависи от вашето въображение и изобретателност.

всякакви неща

В допълнение към горното, програмата съдържа много други полезни и не много (както всеки;) звънци и свирки. Накратко за тях:

Табло. Статистика за претоварването на мрежата, или по-скоро частта от нея, която е видима за вас. Брой пакети, байтове, грешки от всякакъв вид, изчисляване на използването. Винаги съм бил объркан от тази функция, защото никога през живота си не съм виждал съобщения за грешки - е, не може да ги няма!;)

Таблица за домакини. Улавя различна информация за хостовете, видими от снифера, и техните дейности (без пълно улавяне и анализ на пакети)

Матрица. Почти същото като Host Table, но представено в малко по-различен формат.

История. Начертава графики и диаграми за поведението на мрежата за определен период от време.

Разпределение на протоколи. Както подсказва името, той води статистика за използването на различни протоколи.

Статистика. Статистика за използването и размера на персонала.

Дневник на алармите. Дневник на събитията, дефинирани от вас.

Е, накратко, това е всичко. (уау "накратко се оказа% - ()) Изтеглете и тествайте за здраве - за ваша радост и за враговете ви за зло :)

заключение

Е, това приключи за днес приказката за смъркачите. Който слуша (прочете до края) - браво, надявам се, че сте получили отговори на повечето от въпросите си. За справедливост отбелязвам: далеч не ВСИЧКИ въпроси бяха разгледани в рамките на тази статия. Най-малко две големи теми бяха оставени извън борда: вътрешната структура на сниферите, включително методи и подходи за писане на такъв софтуер, както и начини за противопоставяне на подслушването.

Що се отнася до първия, ето какво мисля: темата е интересна, изисква отделен материал, но ще е предназначена основно за програмисти. Нека да разберем нещо по въпроса. Що се отнася до втория въпрос, отговорът на него е по същество същият: криптиране, криптиране и отново криптиране, което е очевидно. Има, разбира се, методи за разпознаване на присъствието на снифер в мрежата и дори за противопоставяне, но те са доста лични и не са болезнено ефективни.