Netværkstrafikanalysator sniffer. Hvad er en sniffer: beskrivelse. Næsten alt, hvad du ville vide om sniffere Sniffer-beskyttelse

Efterlad en kommentar 6,950

Hvert af ][-teamet har deres egne præferencer med hensyn til software og hjælpeprogrammer til
pen test. Efter høring fandt vi ud af, at valget varierer så meget, at du kan
lav et rigtigt gentleman-sæt af gennemprøvede programmer. På det og
besluttede. For ikke at lave en kombineret hodgepodge opdelte vi hele listen i emner - og i
denne gang vil vi komme ind på værktøjer til sniffning og pakkemanipulation. Brug på
sundhed.

Wireshark

netkat

Hvis vi taler om dataaflytning, så netværksminer tag det ud af luften
(eller fra et forhåndsforberedt dump i PCAP-format) filer, certifikater,
billeder og andre medier, samt adgangskoder og anden information til autorisation.
En nyttig funktion er søgningen efter de datasektioner, der indeholder nøgleord
(f.eks. brugerlogin).

Scapy

Websted:
www.secdev.org/projects/scapy

Must-have for enhver hacker, som er det mest kraftfulde værktøj til
interaktiv pakkemanipulation. Modtag og afkode flest pakker
forskellige protokoller, svare på en anmodning, injicere en ændret og
håndlavet pakke - alt er nemt! Med den kan du udføre en helhed
en række klassiske opgaver som scanning, tracorute, angreb og detektion
netværksinfrastruktur. I én flaske får vi en erstatning for så populære hjælpeprogrammer,
som: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f osv. På det
samme tid Scapy giver dig mulighed for at udføre enhver, selv den mest specifikke
en opgave, som aldrig vil være i stand til at udføre allerede oprettet af en anden udvikler
midler. I stedet for at skrive et helt bjerg af linjer i C, så man f.eks.
generer den forkerte pakke og fuzz en dæmon, det er nok
smide et par linjer kode vha Scapy! Programmet har nr
grafisk grænseflade, og interaktivitet opnås gennem tolken
Python. Væn dig lidt til det, og det vil ikke koste dig noget at lave forkert
pakker, injicer de nødvendige 802.11-rammer, kombinere forskellige tilgange i angreb
(f.eks. ARP-cacheforgiftning og VLAN-hopping) osv. Udviklerne insisterer
på det faktum, at Scapys muligheder bruges i andre projekter. Forbinder hende
som et modul er det nemt at skabe et værktøj til forskellige former for lokal forskning,
søgning efter sårbarheder, Wi-Fi-injektion, automatisk udførelse af specifikke
opgaver mv.

pakker

Websted:
Platform: *nix, der er en port til Windows

En interessant udvikling, der gør det muligt på den ene side at generere evt
ethernet-pakke, og på den anden side sende sekvenser af pakker til
gennemløbskontrol. I modsætning til andre lignende værktøjer, pakker
har en grafisk grænseflade, så du kan oprette pakker på den mest enkle måde
form. Desuden. Især udarbejdet oprettelsen og afsendelsen
pakkesekvenser. Du kan indstille forsinkelser mellem afsendelse,
sende pakker med maksimal hastighed for at teste gennemløbet
sektion af netværket (ja, det er her de vil gøre det) og hvad der er endnu mere interessant -
ændre dynamisk parametre i pakker (f.eks. IP- eller MAC-adresse).

Sniffere(Sniffers) er programmer, der er i stand til at opsnappe og efterfølgende analysere netværkstrafik. Sniffere er nyttige i tilfælde, hvor du skal opsnappe adgangskoder eller udføre netværksdiagnostik. Programmet kan installeres på én enhed, som du har adgang til og inden for kort tid modtage alle de transmitterede data fra undernettet.

Princippet om drift af sniffere

Du kan opsnappe trafik gennem en sniffer på følgende måder:

Ved at lytte i den normale tilstand af netværksgrænsefladen, har denne metode kun en effekt, når der bruges hubs, ikke switches, i et bestemt felt.
Hvis du forbinder en sniffer (sniffer) til stedet for kanalbruddet, så kan du opsnappe trafikken.
Adapteren eller programmet ændrer trafikstien og sender en kopi til snifferen.
Forfalskede elektromagnetiske emissioner analyserer og genskaber trafik for at lytte.
Angreb linket og netværkslaget, som vil omdirigere trafik til snifferen for at modtage data, hvorefter trafikken sendes ad den forrige rute.

Trafikken opfanget af snifferen analyseres, hvilket gør det muligt at identificere:

Konventionelle sniffere analyserer trafik meget enkelt ved at bruge de mest automatiserede værktøjer til rådighed, og er kun i stand til at analysere meget små mængder.

Eksempler på de mest berømte sniffere:

WinSniffer 1.3 er den bedste sniffer, har mange forskellige tilpassede tilstande, er i stand til at fange adgangskoder til forskellige tjenester;
CommViev 5.0 fanger og analyserer internettrafik såvel som det lokale netværk. Indsamler informationsdata relateret til modemmet og netværkskortet og afkoder dem. Dette gør det muligt at se en komplet liste over forbindelser på netværket, IP-statistik. Den opsnappede information gemmes i en separat fil til yderligere analyse, desuden giver et praktisk filtreringssystem dig mulighed for at ignorere unødvendige pakker og efterlader kun dem, som angriberen har brug for;
ZxSniffer 4.3 er en lille 333 kb sniffer, der kan placeres på ethvert moderne medie og kan bruges med;
SpyNet er en ret kendt og populær sniffer. Hovedfunktionaliteten omfatter aflytning af trafik og afkodning af datapakker;
IRIS- har en bred vifte af filtreringsmuligheder. I stand til at fange pakker med specificerede grænser.

Klassificering af sniffere (Sniffers)

Sniffere opdeles efter brugsmetoden i lovlige og ulovlige. Samtidig anvendes selve begrebet sniffere netop i forhold til ulovlig brug, og lovlige kaldes "Traffic Analyzer".

For at modtage fuldstændig information om netværkets tilstand og forstå, hvad medarbejderne laver på deres arbejdspladser, bruges lovlige sniffere (trafikanalysatorer). Det er umuligt at overvurdere hjælpen fra sniffere, når det er nødvendigt at "lytte" på programmernes porte, hvorigennem de kan sende fortrolige oplysninger til deres ejere. For programmører hjælper de med at fejlsøge og interagere med programmer. Ved at bruge trafikanalysatorer kan du rettidigt opdage uautoriseret adgang til data eller et DoS-angreb.

Ulovlig brug involverer spionage på netværksbrugere, en angriber vil være i stand til at få information om hvilke websteder brugeren bruger, sender data, lærer om de programmer, der bruges til kommunikation. Hovedformålet med at "lytte" til trafik er at få logins og adgangskoder transmitteret i ukrypteret form.

Trafikanalysatorer adskiller sig i følgende funktioner:

Understøttelse af linklagsprotokoller samt fysiske grænseflader.
Kvalitet af protokolafkodning.
brugergrænseflade.
Giv adgang til statistik, se trafik i realtid osv.

Trusselskilde

Sniffere kan arbejde med:

Router - al trafik, der passerer gennem enheden, kan analyseres.
I slutningen af netværket - alle data, der overføres over netværket, er tilgængelige for alle netværkskort, men i standarddriftstilstanden bemærker netværkskort, som dataene ikke er beregnet til, dem simpelthen ikke. I dette tilfælde, hvis netværkskortet skiftes til promiskuøs tilstand, vil det være muligt at modtage alle de data, der overføres på netværket. Og selvfølgelig giver sniffere dig mulighed for at skifte til denne tilstand.

Risikoanalyse

Enhver organisation kan risikere at snuse. Samtidig er der flere muligheder for, hvordan man beskytter organisationen mod datalæk. Først skal du bruge kryptering. For det andet kan du bruge anti-sniffere.

En antisniffer er et software- eller hardwareværktøj, der fungerer på et netværk og giver dig mulighed for at finde sniffere.

Ved kun at bruge kryptering under datatransmission vil det ikke være muligt at skjule selve transmissionen. Derfor kan du bruge kryptering sammen med en anti-sniffer.

En sniffer kaldes også en trafikanalysator – det er et program eller anden hardwareenhed, der opsnapper og derefter analyserer netværkstrafikken. I øjeblikket har disse programmer en fuldstændig juridisk begrundelse, derfor er de meget brugt på netværket, men de kan bruges både til gavn og til skade.

Historien om deres oprindelse går tilbage til 90'erne, hvor hackere, der brugte sådan software, nemt kunne fange brugerens login og adgangskode, som på det tidspunkt var meget svagt krypteret.

Ordet sniffer kommer fra engelsk. at snuse - snuse, princippet om handling er, at dette program registrere og analysere programmer, der er installeret på maskiner, der transmitterer informationspakker. For at udlæsningen skal være effektiv, skal den være tæt på værts-pc'en.

Programmører bruger denne applikation til trafikanalyse, andre mål forfølges af hackere på netværket, de sporer bare adgangskoder eller andre oplysninger, de har brug for.

Typer af trafikanalysatorer

Sniffere er forskellige i typer, de kan være online-applets eller applikationer installeret direkte på en computer, som igen er opdelt i hardware og firmware.

Oftest bruges de at opsnappe adgangskoder, mens applikationen får adgang til koderne for krypteret information. Dette kan medføre store besvær for brugeren, da det ikke er ualmindeligt, at flere programmer eller websteder har den samme adgangskode, hvilket i sidste ende fører til tab af adgang til de nødvendige ressourcer.

Der er en type sniffning, der bruges til at tage et øjebliksbillede af RAM'en, da det er svært at læse informationen hele tiden uden at bruge processorkraften. Opdag spion Det er muligt ved at spore pc'ens maksimale filbelastning under drift.

En anden type program fungerer med en stor datatransmissionskanal, mens skadedyret kan generere op til 10 megabyte protokoller hver dag.

Hvordan det virker

Analysatorer fungerer kun med TCP / IP-protokoller, sådanne programmer har brug for en kablet forbindelse, for eksempel routere, der distribuerer internettet. Dataoverførsel udføres ved hjælp af separate pakker, som, når det endelige mål er nået, igen bliver til en helhed. De er også i stand til at opsnappe pakker på et hvilket som helst tidspunkt af transmissionen og komme sammen med værdifulde oplysninger i form af usikre adgangskoder. Under alle omstændigheder er det ved hjælp af dekrypteringsprogrammer muligt at få en nøgle selv til en sikker adgangskode.

Den nemmeste måde at bruge WiFi-sniffer på er i netværk med svag beskyttelse - på cafeer, offentlige steder osv.

Udbydere gennem disse programmer kan spore uautoriseret adgang til eksterne systemadresser.

Sådan beskytter du dig selv mod sniffere

For at forstå, at nogen har trængt ind i det lokale netværk, bør du først og fremmest være opmærksom på pakke download hastighed, hvis det er væsentligt lavere end angivet, bør dette advare. Din computers ydeevne kan overvåges ved hjælp af Task Manager. Du kan bruge specielle hjælpeprogrammer, men de er oftest i konflikt med Windows-firewallen, så det er bedst at slå den fra i et stykke tid.

For systemadministratorer er det en nødvendig opgave at kontrollere og søge efter trafikanalysatorer på det lokale netværk. For at opdage skadelige programmer kan du bruge velkendte netværks-antivirus, såsom Doctor Web eller Kaspersky Anti-Virus, som giver dig mulighed for at opdage skadedyr både på fjernværter og direkte inde i det lokale netværk.

Ud over specielle applikationer, der blot er installeret på en computer, kan du bruge mere komplekse adgangskoder og kryptografiske systemer. Kryptografiske systemer arbejder direkte med information og krypterer den ved hjælp af en elektronisk signatur.

Applikationsoversigt og hovedfunktioner

commview

CommView afkoder pakkerne med transmitteret information, viser statistikken for de anvendte protokoller i form af diagrammer. Trafiksnifferen giver dig mulighed for at analysere IP-pakker og dem, der er nødvendige. Sniffer til Windows arbejder med kendte protokoller: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP m.fl. CommView fungerer med Ethernet-modemmer, wi-fi og mere. Pakker fanges gennem en etableret forbindelse ved hjælp af " NuværendeIP- forbindelser”, hvor du kan oprette adressealiasser.

Faneblad « Pakker” viser information om dem, mens de kan kopieres til udklipsholderen.

« LOG-filer” giver dig mulighed for at se pakker i NFC-format.

Faneblad « Regler". Her kan du indstille betingelserne for at fange pakker. Sektionerne på denne fane er: IP-adresser, MAC-adresser, porte, proces, formler og individuelle indstillinger.

« Advarsel”: giver mulighed for opsætning af meddelelser på det lokale netværk, funktioner ved hjælp af knappen “Tilføj”. Her kan du indstille betingelser, type begivenheder:

"Pakker per sekund" - når netværksbelastningsniveauet overskrides.
"Bytes per sekund" - når frekvensen af datatransmission overskrides.
"Ukendt adresse", dvs. registrering af uautoriserede forbindelser.

Faneblad « Udsigt» - trafikstatistikker vises her.

CommView er kompatibel med Windows 98, 2000, XP, 2003. Der kræves en Ethernet-adapter for at køre programmet.

Fordele: brugervenlig grænseflade på russisk, understøtter almindelige typer netværksadaptere, statistikker visualiseres. Den eneste ulempe er den høje pris.

Spynet

Spynet udfører funktionerne med at afkode pakker og opsnappe dem. Med den kan du genskabe de sider, som brugeren besøger. Består af 2 programmer CaptureNet og PipeNet. Det er praktisk at bruge i det lokale netværk. CaptureNet scanner datapakker, det andet program styrer processen.

Grænsefladen er ret enkel:

Knap Modificere filter- indstilling af filtre.
Knap lag 2,3 – installerer Flame-IP-protokoller; Lag 3 - TCP.
Knap mønster Matchende søger efter pakker med de givne parametre.
Knap IP— Adresser giver dig mulighed for at scanne de nødvendige IP-adresser, der overfører oplysninger af interesse. (Mulighed 1-2, 2-1, 2=1). I sidstnævnte tilfælde al trafik.
Knap Havne, altså valget af havne.

For at opsnappe data er det nødvendigt at køre Capture Start-programmet (start), dvs. processen med at fange data startes. Filen med den gemte information kopieres først efter Stop-kommandoen, dvs. afbrydelse af opsamlingshandlingen.

Fordelen ved Spynet er muligheden for at afkode de websider, som brugeren har besøgt. Programmet kan også downloades gratis, selvom det er ret svært at finde. Ulemperne omfatter et lille sæt funktioner i Windows. Virker i Windows XP, Vista.

BUTTSniffer

BUTTSniffer analyserer netværkspakker direkte. Operationsprincippet er aflytning af transmitterede data samt muligheden for automatisk at gemme dem på mediet, hvilket er meget praktisk. Dette program er lanceret via kommandolinjen. Der er også filtermuligheder. Programmet består af BUTTSniff.exe og BUTTSniff. dll.

Væsentlige ulemper ved BUTTSniffer inkluderer ustabil drift, hyppige nedbrud op til nedrivningen af OS (blue screen of death).

Ud over disse sniffer-programmer er der mange andre lige så kendte: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Der findes også online sniffere (online sniffer), der udover at indhente offerets IP-adresse ændrer IP-adressen på angriberen direkte. De der. Hackeren registrerer sig først under en eller anden IP-adresse, sender et billede til ofrets computer, som skal downloades, eller en e-mail, som du blot skal åbne. Derefter får hackeren alle de nødvendige data.

Det er værd at huske på, at forstyrrelse af dataene på en andens computer er en strafbar handling.

Et program eller software- og hardwareenhed designet til at opfange og derefter analysere, eller kun analysere, netværkstrafik bestemt til andre knudepunkter.

Under driften af snifferen skifter netværksgrænsefladen til den såkaldte. "lyttetilstand" (Promiskuøs tilstand), som gør det muligt at modtage pakker adresseret til andre grænseflader på netværket.

Trafikaflytning kan udføres:

den sædvanlige "lytning" til netværksgrænsefladen (metoden er effektiv, når den bruges i segmentet af hubs (hubs) i stedet for switches (switches), ellers er metoden ineffektiv, da kun individuelle frames kommer til snifferen);
at forbinde en sniffer til et kanalgab;
forgrening (software eller hardware) trafik og sende en kopi af den til snifferen;
gennem analysen af falsk elektromagnetisk stråling og genoprettelse af den således lyttede til trafik;
gennem et angreb på kanal (2) (MAC-spoofing) eller netværk (3) niveau (IP-spoofing), hvilket fører til omdirigering af ofrets trafik eller al segmenttrafik til snifferen og derefter returnere trafikken til den korrekte adresse.

I begyndelsen af 1990'erne blev det meget brugt af hackere til at fange brugerlogin og adgangskoder, som i en række netværksprotokoller transmitteres i klar eller svagt krypteret form. Den brede fordeling af hubs gjorde det muligt at fange trafik uden stor indsats i store netværkssegmenter med ringe eller ingen risiko for at blive opdaget.

Da den "klassiske" sniffer analyserer trafikken manuelt ved kun at bruge de enkleste automatiseringsværktøjer (analyse af protokoller, gendannelse af en TCP-strøm), er den egnet til kun at analysere små mængder af den.

se også

Links

Wikimedia Foundation. 2010 .

Se, hvad "Sniffer" er i andre ordbøger:

Sniffer- , ein Programm zum unberechtigten Ausspionieren sensibler Daten. Der Sniffer wird in et Netzwerk installiert and zeichnet wahllos vorüberkommende Datenpakete auf. Ved en efterfølgende Analyse können auf disse Weise Daten … Universal-Lexikon

Sniffer- Ein Sniffer (eng. to sniff‚ riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten cann. Es handelt sich også um ein Werkzeug der Netzwerkanalyse. Inhaltsverzeichnis 1… … Deutsch Wikipedia

sniffer- snifer ou sniffer [snife] v. tr. konjug. : 1v. 1978; del engl. at snuse «renifler» ♦ Anglic. (arg. de la drogue) Prizer (un stupéfiant). ⇒ reniferer. Snifer de la kokain. N. SNIF(F)EUR, EUSE . Les sniffers de colle. ● sniffer ... ... Encyclopedie Universelle

Sniffer- Packet sniffer Les packet sniffers (littéralement "renifleurs de paquets", aussi connus sous le nom de renifleurs eller sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d un réseau local. Ils ... ... Wikipedia en Francais

Ideen om at skrive dette materiale blev født, som det skete i de fleste tilfælde, takket være spørgsmål fra læsere og andre bekendte om teknologier til at opsnappe og analysere netværkstrafik. Disse spørgsmål er betinget opdelt i 3 kategorier: er det i princippet muligt at opsnappe og afkode data, der bevæger sig over netværket, hvordan og med hvilken software dette kan gøres. Den tredje gruppe spørgsmål afspejler en vis forvirring i terminologien, især følgende muligheder er mulige: en person kender essensen af teknologien, men ved ikke, hvad den hedder. Derfor, når det kommer til f.eks. en sniffer, svarer han, når han kigger ned, at han ikke ved, hvad det er. Er det ikke tid til at prikke i'erne i dette ekstremt vigtige nummer for både begyndere og avancerede netværkere? Lad os komme igang...

Lad os starte med en lille smule terminologi.

Ordet sniffer (bogstaveligt fra engelsk kan det oversættes til "sniffer" eller "sniffer") i den mest generelle betydning er en slags lytteenhed indlejret i netværket for at opsnappe data, der sendes over det. I en snævrere forstand er en sniffer software, der interagerer med (ofte siges "sid ned" kom fra er et registreret varemærke tilhørende Network Associates, der henviser til produktet "Sniffer (r) Network Analyzer", men efterfølgende led ordet samme skæbne som pc'en, xerox, kleenex - snifferen er ved at blive en husstandsbetegnelse, der betegner hele klassen af lignende produkter.

I noget litteratur og dokumentation, såvel som i elektroniske ordbøger som Lingvo, er udtrykket sniffer (netværkssniffer) identificeret med begreber som "netværkstrafikanalysator", "pakkeanalysator", "protokolanalysator", "netværksanalysator". Lad mig dog være lidt uenig i denne tilgang.

Alligevel ville det være mere logisk at sige, at sniffning er et sæt foranstaltninger til at opsnappe trafik. Inden for rammerne af et bestemt produkt kan følgende ting implementeres: packet capturing. På dette stadium får vi en slags rå (maskinlæsbar) datadump, normalt opdelt i stykker langs ramme (pakke) grænser. Og hvad vi skal med ham er vores problem. Men som regel, siden vi startede snifferen af en eller anden grund, er vi interesserede i at få et resultat i et menneskeligt læsbart format, hvortil pakkeafkodning eller protokolanalyse bruges;

Faktisk er dette processen med at "rive" vores losseplads. Her havde vi for eksempel sådan en råvare.

Som du kan se, består denne fil af tre kolonner: forskydningen af hver linje, dataene i hexadecimalt format og dets ASCII-ækvivalent. Denne pakke indeholder en 14-byte Ethernet-header, en 20-byte IP-header, en 20-byte TCP-header, en HTTP-header, der ender på to på hinanden følgende CRLF (0D 0A 0D 0A), og derefter de faktiske applikationslagsdata, i vores tilfælde , webtrafikken.

Nogle gange er en sådan repræsentation tilstrækkelig til at opnå den nødvendige information, men det er stadig mere bekvemt for pakken at blive afkodet og analyseret på alle niveauer af protokolstakken. Når alt kommer til alt, er det virkelig mere behageligt at få sådan et billede?

ETHER: Destinationsadresse: 0000BA5EBA11 ETHER: Kildeadresse: 00A0C9B05EBD ETHER: Rammelængde: 1514 (0x05EA) ETHER: Ethernet Type: 0x0800 (IP) IP: Version = 4 (0x4) IP: Header Længde = 20 (0x14) IP: Tjenestetype = 0 (0x0) IP: Præcedens = Rutine-IP:...0.... = Normal forsinkelse IP:.... 0... = Normal gennemløbs-IP:.....0.. = Normal pålidelighed IP: Samlet længde = 1500 (0x5DC) IP: Identifikation = 7652 (0x1DE4) IP: Flagoversigt = 2 (0x2) IP:.. .....0 = Sidste fragment i datagram IP:......1. = Kan ikke fragmentere datagram IP: Fragment Offset = 0 (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protokol = TCP - Transmissionskontrol IP: Kontrolsum = 0xC26D IP: Kildeadresse = 10.0.0.2 IP: Destinationsadresse = 10.0.1.201 TCP: Kildeport = Hypertekstoverførselsprotokol TCP: Destinationsport = 0x0775 TCP: Sekvensnummer = 97517760 (0x5D000C0) TCP: Kvitteringsnummer = 78544373 (0x4AE7DF5) TCP: Dataforskydning = 24) 00x (TCP0x) : Flag = 0x10:.A.... TCP:..0..... = Ingen presserende data TCP:...1.... = Kvitteringsfelt signifikant TCP:....0... = Ingen Push funktion TCP:.....0.. = Ingen Nulstil TCP:......0. = Nej Synkroniser TCP:.......0 = Ingen Fin TCP: Vindue = 28793 (0x7079) TCP: Checksum = 0x8F27 TCP: Hasterende pointer = 0 (0x0) HTTP: Svar (til klient, der bruger port 1909) HTTP: Protokolversion = HTTP/1.1 HTTP: Statuskode = OK HTTP: Årsag = OK....

Udover ovenstående kan andre "funktioner" implementeres, såsom at se kørende pakker i realtid, filtrering efter et givent scenarie, forskellige typer trafikstatistikker - antal fejl, intensitet og så videre.

typer sniffere og sniffer

Alt, hvad der vil blive beskrevet i dette afsnit, har selvfølgelig en vis nuance af konventionalitet, da ingen endnu har beskrevet den officielle "Teori om Sniffing". Vi bliver nødt til at finde på en klassificering "på farten" ;)

Så ifølge "placeringen" (hvis dette udtryk er relevant her), kan snifferen arbejde:

På routeren (gateway)

I dette scenarie kan du opsnappe trafik, der passerer gennem denne gateways grænseflader. For eksempel fra dit lokale netværk til et andet netværk og omvendt. Hvis vi installerer en sniffer på en internetudbyders router, kan vi følgelig spore dens brugeres trafik og så videre...

I slutningen af netværket

Med hensyn til Ethernet vil vi have to hoved mulige muligheder for aflytning. Klassisk, uswitched Ethernet forudsætter, at hver netværksgrænseflade i princippet "hører" al trafikken i sit segment. Ved normal drift af netværkskortet, efter at have læst de første 48 bit af rammeoverskriften, sammenligner stationen sin MAC-adresse med destinationsadressen angivet i rammen. Hvis adressen er en andens, "lukker stationen skam ørerne", det vil sige, at den holder op med at læse en andens ramme. I normal tilstand kan du således kun opsnappe og analysere din egen trafik. For at opsnappe pakkerne fra alle stationer i segmentet, skal du sætte dit netværkskort i en tilstand kaldet promiskuøs tilstand, så det "skamløst" fortsætter med at læse pakker, der ikke er beregnet til det. Næsten alle sniffer-implementeringer tillader kortet at skifte til promiskuøs tilstand.

Bemærk: Brugen af switched Ethernet skaber en situation, hvor selv at skifte kortet til promiskuøs tilstand gør det næsten umuligt at lytte til trafik, der ikke er beregnet til din station. Der er dog en teknologi til at organisere sådan lytning gennem den såkaldte ARP-spoofing. Den nederste linje er denne: Switchen opretter et såkaldt "broadcast-domæne", og en vært med en installeret sniffer kan foregive at være for eksempel en grænserouter, der bruger ARP-meddelelsesforfalskning (sender ARP-beskeder konstant, hvor netværksadressen på routeren svarer til lyttestationens MAC-adresse). Dermed vil naboernes trafik tvangsvende i retning af "spionen".

Ellers kan sniffere afvige fra hinanden hovedsageligt i funktionalitet, såsom:

Understøttede fysiske grænseflader og linklagsprotokoller;

Kvaliteten af afkodning og antallet af "genkendelige" protokoller;

Brugergrænseflade og display bekvemmelighed;

Yderligere funktioner: statistik, visning i realtid, generering eller ændring af pakker og mere...

Når du vælger en sniffer (såvel som enhver anden software i øvrigt), giver det mening at blive styret af følgende overvejelser: ud fra det, der findes under dit OS, vælger vi enten, hvad der præcist matcher dine opgaver (det giver mening, hvis du er planlægning af enten en engangsbegivenhed eller konstant udførelse af den samme operation) eller den mest sofistikerede løsning, hvis du føler, at snifferen vil være nyttig for dig, men stadig ikke ved i hvilken situation :) Men situationer er forskellige ...

hvorfor har vi brug for en sniffer?

Traditionelt levede ideen om at snuse som om i to former: lovlig og ulovlig brug. Sigende nok bruges ordet "sniffer" oftere i den ulovlige sfære, og "netværksanalysator" - i den lovlige. Lad os starte med den juridiske anvendelse;)

Fejlfinding (detektion af problemer og netværksflaskehalse). I avanceret tilstand, når snifferen opererer i et ikke-switchet segment eller på en gateway, kan vi få et næsten fuldstændigt billede af de begivenheder, der finder sted i vores netværk: trafikintensitet over tid, efter arbejdsstationer, efter protokoller, antallet af fejl af forskellige typer. Derudover kan vi i begge tilstande "rake" mere specifikke problemer, når f.eks. en bestemt station ikke formår at organisere noget interaktion over netværket, og dette på trods af at netværket ser ret funktionelt ud udefra. En sniffer er især nyttig i tilfælde, hvor netværkssoftware er dårligt dokumenteret eller bruger sine egne lukkede (udokumenterede), ofte mistænkelige teknologier (protokoller).

For eksempel: ICQ, Europe Online. Mistænkelige teknologier/software skal forstås som situationer, hvor du har mistanke om, at et program indeholder en fane eller anden udokumenteret funktionalitet. For eksempel var der rygter om, at klientdelen af den berømte cDc Back Orifice også er en trojansk hest og sender nogle oplysninger til ejerne - softwarens forfattere. At indstille BO-klienten til at "lytte" viste, at rygterne ikke var sande.

Ikke mindre nyttig er en sniffer til fejlretning af din egen software. Jeg vil aldrig glemme det øjeblik, hvor proxyserveren nægtede at etablere en forbindelse, hvis GET-anmodningen endte med \n\n i stedet for den påkrævede \r\n\r\n. Kun at undersøge pakker sendt af den "legitime" browser og sammenligne dem med pakker sendt af mit "upstart" script pegede mig på en uheldig fejl. Meget, meget ofte i min daglige administrationspraksis skal jeg også beskæftige mig med analyse på TCP/UDP-niveau.

Uddannelse. Du kan blive svimmel ved at huske forskellige protokolpakkeheader-formater og interaktionsmetoder (f.eks. 3-vejs TCP-håndtryk, DNS, traceroute plan-applikationsmetoder), men denne viden er død, indtil du forsøger at "røre den med dine hænder" - efter at have skrevet gang program eller ... kigger ind i snifferen! Efter at have læst dokumentationen for en ukendt eller dårligt forstået protokol, prøv at simulere interaktion, opsnappe pakker og analysere dem - jeg forsikrer dig, alt vil blive ekstremt klart, og desuden er denne viden mere realistisk og vil blive deponeret i dit hoved i lang tid tid. I tilfælde af lukkede teknologier kan en sniffer være næsten det eneste middel til at studere dem.

Netværkstrafiklogning. Der kan være megen diskussion om lovligheden og etikken ved at logge brugertrafik af en administrator til yderligere gennemgang, men faktum er, at mange organisationer inkluderer denne teknologi i deres sikkerhedspolitik. Min personlige mening er, at mesteren er mesteren, det vil sige, at hvis en virksomhed forsyner sine medarbejdere med udstyr, forbindelser til lokale og globale netværk, har den ret til at kræve korrekt brug af disse ressourcer. Den anden vigtige grund til at logge trafik er at opdage uautoriserede adgangsforsøg og andre ondsindede aktiviteter - DoS-angreb for eksempel. Med sådanne logfiler kan administratoren vide med 100 % nøjagtighed, hvad der sker i hans netværksbesiddelser.

Lad os nu tale om den ulovlige side af snuse. Nå, først og fremmest er det banalt.

Aflytning. Når du har installeret en sniffer korrekt, kan du spionere på dine naboer og fjernere - fjender, venner, ægtefæller;) Du kan være interesseret i sådanne spørgsmål: hvorfor bruger en person netværket, hvilke webressourcer besøger han, hvilke data bruger han transmittere, med hvem og hvad kommunikerer han om? Må de statslige sikkerhedsmyndigheder tilgive mig, men den berygtede SORM, hvis legitimitet i form af total trafiklogning er et stort spørgsmål, jeg henviser stadig til dette afsnit, selvom det også kunne stå i sidste afsnit af "lovlig sniffing" ;)

Mere merkantil aflytning. En væsentlig del af "hacker"-miljøet bytter dog ikke deres talenter ud med at spionere på utro ægtefæller og anden hverdag. Oftest er en angriber interesseret i noget materiale, som du kan komme videre med i den svære opgave at bryde ind i andres systemer og netværk. Som du måske har gættet, handler det primært om at opsnappe brugernavne og adgangskoder, der passerer over netværket i ukrypteret (almindelig tekst) form. Dette gælder især adgangskoder til telnet, POP, IMAP, NNTP, IRC, webapplikationer, der ikke bruger kryptering, SNMP v1 community-strings mv.

implementering

Nu, efter at have mere eller mindre behandlet den teoretiske del, lad os vende tilbage til den syndige jord - lad os tale om specifikke implementeringer af sniffere til forskellige platforme. Faktisk er der en masse af sådan software, forskellen i funktionalitet og pris (især i sidstnævnte) er kolossal. Kompileren af "Sniffing (netværks-aflytning, sniffer) FAQ" Robert Graham anbefaler at prøve følgende produkter:

Network Associates Sniffer (til Windows)
http://www.nai.com/mktg/survey.asp?type=d&code=2483

WinNT server
Microsofts WinNT Server kommer med et indbygget program kaldet "Netværksmonitor" Gå til netværkskontrolpanelet, vælg "Tjenester", klik på "Tilføj..." og vælg "Netværksovervågningsværktøjer og -agent" Efter installationen er programmet vil være tilgængelig i startmenuen i afsnittet "Administrative værktøjer".

BlackICE er faktisk et Intrusion Detection System (IDS), men en af dets funktioner er at skrive råpakkedumps i en form, der er acceptabel til dekryptering af protokolanalysatorer. En ting: Programmet ser kun på trafik, der passerer gennem de lokale grænseflader på værten, som det fungerer på, det vil sige, at det ikke er promiskuøst.

Dette program kan tværtimod kun analysere pakker optaget af en sniffer som BlackICE Pro.

Gratis protokolanalysator.

Naturligvis er denne liste langt fra komplet, du kan gå til enhver søgemaskine eller downloade softwaresamling og finde noget andet. Desuden nævner anmeldelsen ikke det mest, efter min mening, det mest fremragende produkt af denne art til Win32 - NetXRay, nu omdøbt til Sniffer Basic. Vi vil tale om det lidt senere.

snøfte
En sniffer baseret på libpcap med avancerede filtreringsmuligheder.

Igen er listen langt fra perfekt, du kan kigge efter noget andet. En anden ting er, at i *NIX-fællesskabet er det ikke specielt sædvanligt at "sprede" - der er tidstestede, konstant forbedrende førende produkter, og størstedelen foretrækker netop dem, uden selv at forsøge at lede efter et alternativ. De absolutte ledere her er tcpdump og sniffit.

tcpdump & winddump

(af Ghost//Necrosoft)

Som nævnt ovenfor er TcpDump den mest brugte sniffer under *nix-systemer. Du kan finde det i enhver af de nyeste distributioner af det operativsystem, du bruger. Den bedste måde at beskrive tcpdump på er blot at liste alle dens kommandolinjeindstillinger - på den måde får du en liste over dens funktioner og en direkte guide til handling - "i én flaske".

WinDump er en port af TcpDump fra *nix-systemer, udfører de samme funktioner og har samme syntaks som TcpDump, men har et par ekstra kommandolinjemuligheder, som vil blive diskuteret nedenfor.

En lille anmærkning til brug af TcpDump under forskellige systemer. På SunOS, der bruger nit- eller bpf-enheder: For at køre tcpdump skal du have læseadgang til /dev/nit eller /dev/bpf*. Under Solaris med dlpi bør du kunne få adgang til pseudo-netværksadaptere såsom /dev/le. Under HP-UX med dlpi: du skal være root eller tcpdump skal have uid indstillet til root. Under IRIX med snoop og Linux: krav svarende til HP-UX. Under Ultrix og Digital UNIX: kun superbruger kan få adgang til promiskuøse tilstandsoperationer ved hjælp af pfconfig (8) du kan få tilladelse til at køre tcpdump Under BSD: du skal have adgang til /dev/bpf* Under Win32: du skal installere NDIS-pakkefangstdriveren.

Lad os nu se nærmere på kommandolinjeindstillingerne.

TcpDump[ -adeflnNOpqStvx] [-ctælle] [-Ffil] [-jeginterface] [-rfil] [-sSnaplen] [-Ttype] [-wfil] [udtryk]. Windump specifikke muligheder [- D] [ -Bstørrelse].

Giver dig mulighed for at konvertere netværks- og udsendelsesadresser til navne.

Output efter forarbejdning tælle pakker.

D udskriver pakkens indhold i menneskelæselig form.

Dd udsender indholdet af pakken som et fragment af et C-program.

Ddd viser indholdet af pakken i decimalform.

Udskriver linklagets overskrifter på hver ny linje.

F udskriver adresserne på eksterne og lokale værter uden konvertering til navne.

Brug fil med en beskrivelse af filtreringsparametrene (yderligere udtryk på kommandolinjen ignoreres).

Jeg bruger grænsefladen interface til sporing. Hvis ikke defineret, tcpdump finder den aktive netværksgrænseflade med lavest nummer (eksklusive loopback). På Windows interface- netværksadapternavn eller nummer (kan findes ved at køre WinDump -D).

L bruger bufferet output til stdout. En konstruktion som "tcpdump -l | tee dat"" eller "tcpdump -l > dat & tail -f dat"" kan være nyttig.

N oversætter ikke adresser (dvs. værtsadresse, portnummer osv.) til navne.

Udskriv ikke domænenavnet i værtsnavnet. De der. hvis dette flag bruges, tcpdump vil udskrive "nic"" i stedet for "nic.ddn.mil"".

Kør ikke pakkeoptimeringsværktøjet. Denne mulighed er nyttig, hvis du selv håndterer pakker.

Indstil ikke netværksgrænsefladen til "promiskuøs tilstand".

Qforkortet output. Viser information i en forkortet form.

Genlæs pakker fra en fil fil(som er oprettet med muligheden -w). Hvis du vil bruge konsollen som input, så fil det "-"".

Sissues Snaplen bytes pr. pakke (i SunOS's NIT er minimum 96) 68 bytes er tilstrækkeligt til IP-, ICMP-, TCP- og UDP-protokoller, men trunkerer information fra højere niveauer, såsom DNS- og NFS-pakker.

Tving fortolkning af pakker efter type type svarende til masken " udtryk". Følgende typer er i øjeblikket kendt: rpc(Fjern procedureopkald), rtp(Real-Time Applications protokol), rtcp(Real-Time Applications kontrolprotokol), moms(Visuelt lydværktøj), og wb(uddelt White Board).

S viser det absolutte TCP-pakkenummer.

Udskriver ikke tiden på hver linje.

Tt udskriver den uformaterede tid på hver linje.

Detaljeret output. For eksempel pakkelevetid og servicetype.

Vv mere detaljeret output. For eksempel visning af yderligere felter NFS-svarpakker.

Skriver råpakker til fil, som du senere kan dekryptere ved hjælp af -r muligheden. Hvis du vil bruge konsollen som output, så fil det "-"".

X udskriver hver pakke i hexadecimal (ingen overskrift). Outputtet vil blive sendt Snaplen byte.

Yderligere WinDump-indstillinger:

Bindstiller bufferstørrelsen for driveren størrelse i kilobyte. Standardbufferstørrelsen er 1 megabyte. Hvis nogle pakker ikke vises under drift, kan du prøve at øge bufferstørrelsen. Hvis du har en PPP-forbindelse eller 10 Mbit Ethernet, så kan bufferstørrelsen halveres eller tredobles.

-D viser en liste over netværksenheder, der findes på dit system. Listen ser sådan ud: nummer- netværksenhedsnummer i systemet, navn- dens navn efterfulgt af en beskrivelse af enheden. Senere vil du være i stand til at bruge disse data til at arbejde med alle tilgængelige netværksgrænseflader på dit system, som er tilgængelige i øjeblikket. Og du kan vælge en enhed ved at bruge indstillingen -I - "WinDump -i navn" eller "WinDump -i nummer".

udtryk - faktisk et udtryk, der specificerer pakkefiltreringskriteriet. Hvis feltet udtryk mangler, vises alle pakker. Ellers udskrives kun de pakker, der matcher masken. udtryk.

udtryk kan bestå af en eller flere primitiver. Primitiver består ofte af id(navn eller nummer) på kvalifikationen. Der er tre hovedtyper af kvalifikationer:

type qualifier, der specificerer den generelle politik. Mulige typer - vært,net og Havn. De der. "host foo", "net 128.3", "port 20". Hvis type ikke angivet, standard er vært.

dir qualifier, der angiver retningen, hvori pakker sendes. Mulige muligheder src,dst,src eller dst og src ogdst. Dvs. "src foo", "dst net 128.3", "src eller dst port ftp-data". Hvis dir ikke angivet, standard er src eller dst. Til "nul" forbindelser (det er ppp eller slip) brug indgående og udgående kvalifikation for at angive den ønskede retning.

Proto-kvalifikationen giver dig mulighed for at filtrere pakker baseret på en specifik protokol. Mulige protokoller: æter,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp og udp. De der. "ether src foo", "arp net 128.3", "tcp port 21". Hvis kvalifikationen er fraværende, filtreres ingen pakker. ("fddi" er faktisk et alias for "ether", fordi FDDI-pakker i de fleste tilfælde indeholder Ethernet-adressen på kilden og destinationen og ofte indeholder pakkernes Ethernet-typer. FDDI-headere indeholder også andre felter, der ikke er i filterliste.)

Ud over ovenstående har nogle specielle primitiver ikke skabeloner, disse er: gateway,udsende,mindre,større og aritmetiske udtryk. Om dette lidt længere.

Mange sammensatte filterudtryk bruger ord og,eller og ikke at kombinere primitiver. For eksempel "host foo og ikke port ftp og ikke port ftp-data". Nogle kvalifikationer kan udelades for at forenkle indtastningen. For eksempel er "tcp dst port ftp eller ftp-data eller domæne" det samme som "tcp dst port ftp eller tcp dst port ftp-data eller tcp dst port domain".

Følgende udtryk er tilladt:

dst vært vært sandt, hvis pakkens IP-destinationsfelt er vært, kan være en adresse eller et værtsnavn.

src vært vært sand, hvis pakkens IP-kildefelt er vært.

vært vært sand, hvis kilden eller destinationen for pakken er vært. Præfikser kan også bruges: ip,arp, eller rarp hvordan: iphostvært hvilket svarer til etherproto\ipog værtvært. Hvis vært- et navn med flere IP-adresser, hver adresse kontrolleres for ensartethed.

æter dst ehost Sandt, hvis destinationens Ethernet-adresse er ehost.vært- et hvilket som helst af navnene i /etc/ethers eller et tal (se ethere(3N).

ether src ehost sand, hvis afsenderens Ethernet-adresse er ehost.

ether vært ehost sand, hvis destinations- eller kilde-Ethernet-adresserne er ehost.

gateway vært sandt hvis vært- gateway. De der. Ethernet-adresse på afsender eller modtager - vært, men hverken afsender-IP eller modtager-IP er det vært.Vært kan være et navn og kan også være i /etc/hosts og /etc/ethers. (Hvilket svarer til ether værtehostog ikke værtvært, som kan bruges med ethvert navn eller nummer til vært/ehost.)

dst net net sand, hvis modtagerens IP-adresse er - net.Net- enhver indtastning fra /etc/networks eller netværksadresse.

src net net sand, hvis afsenderens IP-adresse er - net.

net net Sandt, hvis modtagerens eller afsenderens IP har en netværksadresse - net.

net netmaskemaske Sandt, hvis IP-adressen matcher net med den passende netmaske. Kan defineres med src eller dst.

net net/len sandt, hvis IP er net, en undernetmaske - len bitvis (CIDR-format). Kan defineres med src eller dst.

dst port Havn sand, hvis pakken er ip/tcp eller ip/udp og har en destinationsport - Havn.Havn kan være et nummer eller findes i /etc/services (se tcp(4P) og udp(4P)). Hvis navnet bruges til to eller flere porte, kontrolleres både portnumre og protokoller. Hvis et ugyldigt portnummer eller navn bruges, er det kun portnumre, der kontrolleres (dvs. dst port 513 udsender tcp/login og udp/who trafik, og port domæne output tcp/domæne og udp/domæne).

src port Havn sand, hvis afsenderporten er Havn.

Havn Havn sand, hvis kilde- eller destinationsporten er Havn. Nogle udtryk kan kombineres, for eksempel: tcp src portHavn- kun tcp-pakker, der har en port - Havn.

mindre længde sand, hvis pakkens længde er mindre end eller lig med længde, hvilket svarer til len<= længde.

større længde sand, hvis pakkens længde er større end eller lig med længde, hvilket svarer til len >=længde.

ipproto protokol sand, hvis pakken er en IP-pakke med protokol protokol.Protokol kan have et nummer eller et af navnene icmp,igrp,udp,nd, eller tcp.

ether broadcast er sand, hvis pakken er en Ethernet broadcast pakke. Udtryk æter er valgfri.

ip broadcast er sand, hvis pakken er en IP broadcast pakke.

ether multicast er sandt, hvis pakken er en Ethernet multicast-pakke. Udtryk æter er valgfri. Dette er en forkortelse for " æter&1!=0".

ip multicast er sand, hvis pakken er en IP multicast-pakke.

etherproto protokol sand, hvis pakken er af typen Ethernet. Protokol kan være et nummer eller et navn: ip,arp, eller rarp.

decnet src vært sand, hvis modtagerens DECNET-adresse er vært, som kan være en adresse som "10.123"" eller et DECNET-værtsnavn (DECNET-værtsnavn er kun understøttet på Ultrix-systemer).

decnet dst vært Sandt, hvis modtagerens DECNET-adresse er vært.

decnet vært vært Sandt, hvis DECNET-adressen på modtageren eller afsenderen er vært.

proto [ udtr: størrelse]

Proto en af følgende protokoller ether, fddi, ip, arp, rarp, tcp, udp ellericmp, og viser protokolniveauet for denne operation. Byte offset for et givet protokolniveau tages fra udtr.størrelse- valgfri, viser det ønskede antal bytes ved den givne offset, kan være 1,2 eller 4, standard 1.

Eksempler på brug af tcpdump

Udsender alle indgående og udgående pakker fra solnedgang:tcpdump vært solnedgang

Udstedelse af trafik mellem helios og en af to hed eller es:tcpdump host helios og \(hot eller ace \)

Udstedelse af alle prakets mellem es og andre værter, undtagen helios:tcpdump ip vært ace og ikke helios

Udstedelse af trafik mellem den lokale maskine og maskinen placeret i Berkeley: tcpdump net ucb-ether

Udstedelse af ftp-trafik gennem gatewayen snup:tcpdump "gateway snup og (port ftp eller ftp-data)"

Udskrivning af trafik, der ikke tilhører maskiner på det lokale netværk (hvis din maskine er en gateway til et andet netværk, vil tcpdump ikke være i stand til at dumpe trafik på dit lokale netværk). tcpdump ip og ikke netlokalt net

Udstedelse af gamle og stop-pakker (SYN- og FIN-pakker), der ikke tilhører det lokale netværk. tcpdump "tcp & 3!= 0 og ikke src og dst netlokalt net"

Udstedelse af IP-pakker længere end 576 bytes transmitteret gennem gatewayen snup:tcpdump "gateway snup og ip > 576"

Udsendelse af IP-broadcast- eller multicast-pakker, der ikke sendes via Ethernet-broadcast eller multicast: tcpdump "ether & 1 = 0 og ip >= 224"

Returner alle ICMP-pakker, der ikke er ekkoanmodning/svar (dvs. ikke ping-pakker): tcpdump "icmp!=8 og icmp!=0"

af Alice D. Saemon

Den eneste jeg elsker...

For lang tid siden... NetXRay var den første sniffer, der kom til min opmærksomhed. Så, i 1997, lavede dette engelske program et sprøjt i kredsene af vinduesorienterede netværkere. Der er gået flere år, men den gamle version af NetXRay (3.0.1) er stadig i drift, i det daglige arbejde på min arbejdsstation. Til dato er produktet blevet omdøbt til Sniffer Basic, nogle nye funktioner er blevet tilføjet, men fra et større synspunkt er hovedfunktionaliteten forblevet uændret siden 3.0.1. Dette er den første grund til, at NetXRay 3.0.1 vil blive beskrevet i papiret. Den anden grund ... (ser rundt på politiet mod piratkopiering) er, at produktet er meget dyrt (1643 pund, hvilket er sterling), og forsøgsrestriktionerne er meget alvorlige. Så lad os komme i gang.

Pakken består af et sæt forskellige funktioner og kan virkelig kaldes en netværksanalysator frem for en sniffer. Alle funktioner (moduler) er grupperet i menuen "Værktøjer", og forskellige indstillinger er også placeret der. Lad os starte med dem. Du kan vælge den adapter, som den aktuelle test udføres for (sonde). Adapteren skal understøtte NDIS 3.0/3.1-standarden.

OBS, fejl! Hvis du "sætter" NetXRay på den "forkerte" adapter efter dens mening eller fanger pakker, som den ikke kan afkode på link-netværksniveau (for eksempel udnytter trafik, der sender skævt fragmenterede pakker) - på afkodningsstadiet (protokolanalyse), programmet fryser tæt.

Samtidig kan du teste på flere grænseflader, for hvilke der oprettes flere programinkarnationer (sonder). I en ny probe kan du kopiere alle indstillingerne for enhver af de eksisterende.

I indstillingerne kan du konfigurere følgende ting: skrivebordsudseende, standardportnumre for forskellige protokoller (3 muligheder - meget nyttigt i tilfælde, hvor netværksapplikationer fungerer på ikke-standardporte), reaktion på forekomsten af en begivenhed, tærskler for forskellige typer statistik og andet

Nå, lad os nu komme ned til pakkens funktionelle moduler.

capture (pakke capture)

Hjertet i NetXRay er faktisk, at der i den folkelige forståelse er en sniffer. Lad mig derfor beskrive det så detaljeret som muligt.

Når dette modul er aktiveret, dukker et lille vindue op foran os med et "dashboard" og et par knapper. Alle handlinger, som vi kan udføre i dette vindue, duplikeres i menuen Capture. Og vi kan gøre dette: begynde at fange pakker, stop, stop + se indholdet af bufferen og se blot indholdet af bufferen, forudsat at capture blev stoppet. Samme sted kan vi finjustere filtrene:

Adressen på afsender og modtager. For at lette denne opgave er der en adressebog og et sæt forudindstillede adresser, såsom "Enhver".

Efter skabeloner. Hvis du har brug for at fange pakker, der indeholder nogle specifikke data hvor som helst i pakken, kan du skrive et fancy mønster. Desuden, hvilket er særligt rart, kan du designe skabeloner i enhver repræsentation, der er praktisk for dig: binær, hexadecimal, ASCII og EBCDIC.

Ifølge protokoller kendt af programmet. Det her:

netværk: AppleTalk, AppleTalk ARP, APOLLO, DECNET, IP, IP ARP, IPX, LAT, NetBEUI, OSI, SNA, VINES, VINES Loopback, VINES Echo, XNS

højere i IP-stakken: transport, service og routing - ICMP, IGMP, GGP, EGP, IGP, ISO-TP4, HELLO, IP-VINES, IGRP, OSPF, TCP, UDP; applikationslag - FTP, REXEC, RLOGIN, RSH, PRINTER, SMTP, TELNET, DNS(TCP), GOPHER, HTTP, POP, SUNRPC(TCP), NNTP, NETBIOS, X-WINDOW, DNS(UDP), BOOTP, TFTP, SUNRPC(UDP), SNMP, SNMPTRAP, BIFF, WHO, SYSLOG, RIP, GDP, NFS.

højere i IPX-stakken: NCP, SAP, NRIP, NBIOS, DIAGNOSTIC, SERIALISATION, NMPI, NLSP, NSNMP, NSNMPTRAP, SPX.

Som du kan se, ikke så lidt, vil jeg sige - endda overflødigt for det virkelige liv.

Opmærksomhed! Protokolfilteret har en lidt mærkelig grænseflade: det antages, at hvis alle afkrydsningsfelter inden for et niveaus grænser ikke er markeret, bliver alle protokolpakker på dette niveau og alt over (lavere, når man ser på brugergrænsefladen ;)) fanget. Således, hvis du ikke har sat en eneste "fugl" - er absolut alt fanget. Naturligvis fanges ukendte applikationslagsprotokoller også i dette tilfælde, men de afkodes ikke til en menneskelig læsbar form, hvilket er naturligt, da de er ukendte :))

Derudover kan du justere bufferstørrelsen eller angive filen, hvor pakkeopsamlingsresultatet skal slippes.

Filterindstillinger kan skrives til en såkaldt profil, gives et navn og efterfølgende vælges fra listen.

Efter at have udarbejdet indfangningen af det nødvendige antal pakker, når visningen er aktiveret, falder vi ud i det såkaldte "resultatvindue", som som standard har navnene XRay1, XRay2 og så videre i henhold til antallet af aktuelle buffere. Du kan se et sådant vindue på skærmbilledet: ovenfor - en liste over pakker med en kort "annotation", i midten - afkodede data (nå, jeg kunne afkode;) og nedenfor - en rå pakke. Det er mærkeligt, at når du klikker på interessefeltet i den afkodede sektion, er det tilsvarende sted i råpakken fremhævet - du kan tjekke kvaliteten af protokolanalysatoren;)

Brugergrænsefladen til "resultatvinduet" har sammen med fordele (evnen til at anvende et hvilket som helst af filtrene diskuteret ovenfor på den viste buffer, evnen til at sende enhver pakke eller buffer til netværket med et museklik eller kopiere et antal pakker til en separat buffer, en meget smuk visning af afkodede data, selv med en vis indlejring for felter af ringe interesse for den gennemsnitlige bruger) samt åbenlyse ulemper (du kan ikke slette et par pakker fra bufferen, der er ingen clipboard-operabilitet , dvs. resultaterne kan for eksempel ikke kopieres og gemmes i tekstformat).

Udover at akkumulere pakker i en buffer eller fil til efterfølgende afkodning, er der også mulighed for at se trafik i realtid.

Sandt a) visuelt ser det forfærdeligt ud b) denne mulighed er aktiveret på et så ulogisk sted, at selv sådan en gammel NetXRay-bruger som mig glemmer, hvor denne "fugl" er. Fuglen er installeret i menuen Værktøjer | Indstillinger... Fanen Generelt, Realtime Display afkrydsningsfeltet, og ikke i Capture-indstillingerne, hvor det ville være logisk at lede efter det;-/

Derudover indeholder "resultatvinduet" bogmærker til statistiske data om optagelsessessionen, men vi vil ikke dvæle ved dem.

pakke generator

Dette er virkelig en vidunderlig ting: du kan "skitsere" fra bunden og sende absolut enhver pakke til netværket. Interfacet består af hovedvinduet og den såkaldte pakkedesigner, opdelt i to sektioner - Konfigurer og Afkod.

I den første har vi et portræt af en standarddump (se den teoretiske del af artiklen), fyldt med nuller. Vi begynder at indtaste hexadecimale tal der - i afkodningssektionen, som ligner den dekrypterede pakke i "resultatvinduet" i Capture, dukker en analyse af vores pakke op.

Men i dette tilfælde kan vi ikke kun se på den afkodede pakke, men også foretage ændringer ved at klikke på det ønskede felt med musen. Sandt, under alle omstændigheder, ændring af værdierne udføres kun i hexadecimal form, og inputfelterne forbløffer med deres besvær: (Der er flere muligheder for at generere og sende pakker: send den aktuelle pakke, send den aktuelle buffer, skriv en pakke fra bunden, eller send en redigeret pakke fra det, du har indsamlet.

Bemærk om grænsefladen: hvis "send aktuel pakke"-indstillingen kaldes fra "resultatvinduet" i Capture, sendes pakken med det samme uden at kalde pakkekonstruktøren, men den forbliver i den aktuelle "sendbuffer" og kan rettes der senere.

Hvis "send den aktuelle pakke" kaldes fra Packet Generator-vinduet, kaldes pakkekonstruktøren automatisk. Vær forsigtig!

I pakkekonstruktøren, i Decode-sektionen, vil programmet give dig nogle hints, især vil det beregne en ny kontrolsum, når du ændrer pakken (det ville stadig selv foretage de relevante ændringer, doven oprettelse;). Imidlertid adskiller AI sig fra det menneskelige sind ved, at det ikke ved, hvordan det skal tænke ordentligt. Så når du for eksempel ændrer modtagerens IP-adresse, så overvej om du samtidig skal ændre dennes MAC-adresse?;)

Pakker kan sendes i forskellige tilstande: et klik - en pakke, et bestemt antal pakker eller i en løkke. På denne måde kan du generere trafik. Generelt kan du finde en masse applikationer til pakkegeneratoren, det er op til din fantasi og opfindsomhed.

alle mulige ting

Udover ovenstående indeholder programmet en masse andre nyttige og ikke særlig (som nogen;) klokker og fløjter. Kort om dem:

Dashboard. Netværksbelastningsstatistikker, mere præcist af den del af det, du kan se. Antal pakker, bytes, fejl af alle typer, udnyttelsesberegning. Jeg har altid været forvirret over denne funktion, for jeg har aldrig set fejlmeddelelser i mit liv - jamen, det kan ikke være, at der ikke er nogen!;)

værtsbord. Fanger forskellige oplysninger om værterne, der er synlige for snifferen og deres aktiviteter (uden fuld indfangning og analyse af pakker)

matrix. Næsten det samme som værtsbordet, men præsenteret i et lidt anderledes format.

historie. Tegner grafer og diagrammer over netværkets adfærd i et bestemt tidsrum.

protokol distribution. Som navnet antyder, fører den statistik over brugen af forskellige protokoller.

Statistikker. Statistik over udnyttelse og størrelse af personale.

Alarm log. En log over hændelser defineret af dig.

Nå, det er alt sammen i en nøddeskal. (wow, "det viste sig kort % -()) Download og test for sundhed - for din egen glæde og for at trodse dine fjender :)

konklusion

Nå, fortællingen om sniffere er forbi for i dag. Hvem lyttede (læs til ende) - godt gået, jeg håber du fik svar på de fleste af dine spørgsmål. For retfærdighedens skyld bemærker jeg: ikke ALLE spørgsmål blev behandlet inden for rammerne af denne artikel. Mindst to store emner blev udeladt: den interne struktur af sniffere, inklusive metoder og tilgange til at skrive sådan software, samt måder at imødegå sniffering.

Med hensyn til det første, her er hvad jeg synes: emnet er interessant, kræver separat materiale, men det vil primært være beregnet til programmører. Lad os finde ud af noget om dette. Hvad angår det andet spørgsmål, er svaret på det stort set det samme: kryptering, kryptering og igen kryptering, hvilket er indlysende. Der er selvfølgelig metoder til at genkende tilstedeværelsen af en sniffer på netværket og endda modstå det, men de er ret private og ikke smertefuldt effektive.