Sniffer voor netwerkverkeeranalysator. Wat is een sniffer: beschrijving. Bijna alles wat je wilde weten over sniffers Sniffer bescherming

laat een reactie achter 6,950

Elk van het ][-team heeft zijn eigen voorkeuren met betrekking tot software en hulpprogramma's voor:
pennentest. Na overleg kwamen we erachter dat de keuze zo varieert dat je dat wel kunt
maak een echte gentleman's set van bewezen programma's. op dat en
beslist. Om geen gecombineerd mengelmoes te maken, hebben we de hele lijst opgedeeld in onderwerpen - en in
deze keer zullen we het hebben over hulpprogramma's voor snuiven en pakketmanipulatie. Gebruik op
Gezondheid.

Wireshark

netcat

Als we het hebben over het onderscheppen van gegevens, dan: netwerk mijnwerker haal het uit de lucht
(of van een vooraf voorbereide dump in PCAP-formaat) bestanden, certificaten,
afbeeldingen en andere media, evenals wachtwoorden en andere informatie voor autorisatie.
Een handige functie is het zoeken naar die gegevenssecties die trefwoorden bevatten
(bijv. gebruikerslogin).

Scapy

Website:
www.secdev.org/projects/scapy

Must-have voor elke hacker, de krachtigste tool voor
interactieve pakketmanipulatie. Ontvang en decodeer de meeste pakketten
verschillende protocollen, reageren op een verzoek, injecteren een gewijzigde en
met de hand gemaakt pakket - alles is gemakkelijk! Hiermee kun je een geheel uitvoeren
een aantal klassieke taken zoals scannen, tracorute, aanvallen en detectie
netwerk infrastructuur. In één fles krijgen we een vervanging voor dergelijke populaire hulpprogramma's,
zoals: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f etc. Op dat
dezelfde tijd Scapy stelt u in staat om elke, zelfs de meest specifieke
een taak die nooit eerder door een andere ontwikkelaar is gemaakt
middelen. In plaats van een hele berg regels in C te schrijven, zodat bijvoorbeeld
genereer het verkeerde pakket en fuzz een daemon, het is genoeg
gooi een paar regels code met behulp van Scapy! Het programma heeft geen
grafische interface, en interactiviteit wordt bereikt door de tolk
Python. Wen er een beetje aan, en het kost je niets om incorrect te maken
pakketten, injecteer de benodigde 802.11-frames, combineer verschillende benaderingen in aanvallen
(zeg, ARP-cachevergiftiging en VLAN-hoppen), enz. De ontwikkelaars staan erop:
op het feit dat de mogelijkheden van Scapy ook in andere projecten worden gebruikt. Haar verbinden
als module is het eenvoudig om een hulpprogramma te maken voor verschillende soorten lokaal onderzoek,
zoeken naar kwetsbaarheden, Wi-Fi-injectie, automatische uitvoering van specifieke
taken, enz.

pakketje

Website:
Platform: *nix, er is een poort voor Windows

Een interessante ontwikkeling die het enerzijds mogelijk maakt om enige
ethernet-pakket, en aan de andere kant, reeksen pakketten verzenden naar
doorvoer controles. In tegenstelling tot andere vergelijkbare tools, pakketje
heeft een grafische interface, waarmee u op de meest eenvoudige manier pakketten kunt maken
formulier. Verder. Vooral de creatie en verzending uitgewerkt
pakket sequenties. U kunt vertragingen instellen tussen het verzenden,
verzend pakketten met maximale snelheid om de doorvoer te testen
deel van het netwerk (ja, dit is waar ze ddos zullen doen) en, wat nog interessanter is -
dynamisch parameters in pakketten wijzigen (bijvoorbeeld IP- of MAC-adres).

Snuffelaars(Sniffers) zijn programma's die netwerkverkeer kunnen onderscheppen en vervolgens analyseren. Sniffers zijn handig in gevallen waarin u wachtwoorden moet onderscheppen of netwerkdiagnose moet uitvoeren. Het programma kan op één apparaat worden geïnstalleerd waartoe u toegang hebt en binnen korte tijd alle verzonden gegevens van het subnet ontvangen.

Het werkingsprincipe van sniffers

U kunt op de volgende manieren verkeer via een sniffer onderscheppen:

Door in de normale modus van de netwerkinterface te luisteren, heeft deze methode alleen effect wanneer hubs, geen switches, in een bepaald veld worden gebruikt.
Sluit je een sniffer (sniffers) aan op de plaats van de zenderonderbreking, dan kun je het verkeer onderscheppen.
De adapter of het programma verandert het verkeerspad en stuurt een kopie naar de sniffer.
Onechte elektromagnetische emissies analyseren en herstellen verkeer om te luisteren.
Val de link- en netwerklaag aan, die het verkeer doorstuurt naar de sniffer om data te ontvangen, waarna het verkeer langs de vorige route wordt gestuurd.

Het door de sniffer onderschepte verkeer wordt geanalyseerd, wat het mogelijk maakt om het volgende te identificeren:

Conventionele sniffers analyseren het verkeer heel eenvoudig, met behulp van de meest geautomatiseerde tools die beschikbaar zijn, en kunnen alleen zeer kleine volumes analyseren.

Voorbeelden van de meest bekende sniffers:

WinSniffer 1.3 is de beste sniffer, heeft veel verschillende aanpasbare modi, is in staat om wachtwoorden van verschillende services te achterhalen;
CommViev 5.0 vangt en analyseert zowel internetverkeer als het lokale netwerk. Verzamelt informatie over de modem en netwerkkaart en decodeert deze. Dit maakt het mogelijk om een volledige lijst van verbindingen op het netwerk, IP-statistieken, te zien. De onderschepte informatie wordt opgeslagen in een apart bestand voor verdere analyse. Bovendien kunt u met een handig filtersysteem onnodige pakketten negeren en alleen die pakketten achterlaten die de aanvaller nodig heeft;
ZxSniffer 4.3 is een kleine 333 kb sniffer die op alle moderne media kan worden geplaatst en kan worden gebruikt met;
SpyNet is een redelijk bekende en populaire sniffer. De belangrijkste functionaliteit omvat het onderscheppen van verkeer en het decoderen van datapakketten;
IRIS- heeft een breed scala aan filteropties. In staat om pakketten met gespecificeerde limieten te vangen.

Classificatie van sniffers (Sniffers)

Sniffers worden volgens de gebruiksmethode onderverdeeld in legaal en illegaal. Tegelijkertijd wordt het concept van sniffers juist toegepast met betrekking tot illegaal gebruik, en legale worden "Traffic Analyzer" genoemd.

Om volledige informatie te krijgen over de toestand van het netwerk en te begrijpen wat werknemers op hun werkplek doen, worden legale sniffers (traffic analyzers) gebruikt. Het is onmogelijk om de hulp van sniffers te overschatten wanneer het nodig is om te "luisteren" naar de poorten van programma's waarmee ze vertrouwelijke informatie naar hun eigenaars kunnen sturen. Voor programmeurs helpen ze bij het debuggen van en interactie met programma's. Met behulp van traffic analyzers kunt u ongeautoriseerde toegang tot data of een DoS-aanval tijdig detecteren.

Illegaal gebruik omvat het bespioneren van netwerkgebruikers, een aanvaller kan informatie verkrijgen over welke sites de gebruiker gebruikt, gegevens verzendt, leert over de programma's die worden gebruikt voor communicatie. Het belangrijkste doel van "luisteren" naar verkeer is het verkrijgen van logins en wachtwoorden die in niet-versleutelde vorm worden verzonden.

Verkeersanalysatoren verschillen in de volgende kenmerken:

Ondersteuning voor linklaagprotocollen en fysieke interfaces.
Kwaliteit van protocoldecodering.
gebruikersomgeving.
Bied toegang tot statistieken, bekijk het verkeer in realtime, enz.

Bedreigingsbron

Snuffelaars kunnen werken aan:

Router - al het verkeer dat door het apparaat gaat, kan worden geanalyseerd.
Aan het eindknooppunt van het netwerk - alle gegevens die via het netwerk worden verzonden, zijn beschikbaar voor alle netwerkkaarten, maar in de standaardmodus merken netwerkkaarten waarvoor de gegevens niet bedoeld zijn ze gewoon niet op. In dit geval, als de netwerkkaart in promiscue modus wordt geschakeld, is het mogelijk om alle gegevens te ontvangen die op het netwerk worden verzonden. En natuurlijk kun je met sniffers naar deze modus overschakelen.

Risico analyse

Elke organisatie kan het risico lopen om te snuiven. Tegelijkertijd zijn er meerdere mogelijkheden om de organisatie te beschermen tegen datalekken. Eerst moet u encryptie gebruiken. Ten tweede kun je anti-sniffers gebruiken.

Een antisniffer is een software- of hardwaretool die op een netwerk werkt en waarmee u sniffers kunt vinden.

Door alleen codering te gebruiken tijdens de gegevensoverdracht, is het niet mogelijk om het feit van de overdracht zelf te verbergen. Daarom kunt u encryptie gebruiken in combinatie met een anti-sniffer.

Een sniffer wordt ook wel een verkeersanalysator genoemd - het is een programma of ander hardwareapparaat dat netwerkverkeer onderschept en vervolgens analyseert. Momenteel hebben deze programma's een volledig legale rechtvaardiging, daarom worden ze veel gebruikt op het netwerk, maar ze kunnen zowel ten goede als ten kwade worden gebruikt.

De geschiedenis van hun oorsprong gaat terug tot de jaren 90, toen hackers die dergelijke software gebruikten, gemakkelijk de gebruikersnaam en het wachtwoord van de gebruiker konden vastleggen, die op dat moment zeer zwak versleuteld waren.

Het woord sniffer komt uit het Engels. snuiven - snuiven, het principe van actie is dat dit programma registreren en analyseren programma's die zijn geïnstalleerd op machines die informatiepakketten verzenden. Om de uitleesbewerking effectief te laten zijn, moet deze zich dicht bij de host-pc bevinden.

Programmeurs gebruiken deze applicatie voor verkeersanalyse, andere doelen worden door hackers op het netwerk nagestreefd, ze sporen alleen wachtwoorden of andere informatie op die ze nodig hebben.

Soorten verkeersanalysatoren

Sniffers verschillen in typen, het kunnen online applets zijn of applicaties die direct op een computer zijn geïnstalleerd, die op hun beurt zijn onderverdeeld in hardware en software en hardware.

Meestal worden ze gebruikt wachtwoorden onderscheppen, terwijl de applicatie toegang krijgt tot de codes van versleutelde informatie. Dit kan de gebruiker veel ongemak bezorgen, aangezien het niet ongebruikelijk is dat meerdere programma's of sites hetzelfde wachtwoord hebben ingesteld, wat uiteindelijk leidt tot het verlies van toegang tot de benodigde bronnen.

Er is een soort snuiven die wordt gebruikt om een momentopname van het RAM-geheugen te maken, omdat het moeilijk is om de informatie altijd te lezen zonder de processorkracht te gebruiken. Detecteer spion Dit is mogelijk door de maximale bestandsbelasting van de pc tijdens bedrijf te volgen.

Een ander type programma werkt met een groot datatransmissiekanaal, terwijl de plaag elke dag tot 10 megabyte protocollen kan genereren.

Hoe het werkt

Analysers werken alleen met TCP / IP-protocollen, dergelijke programma's hebben een bekabelde verbinding nodig, bijvoorbeeld routers die internet distribueren. De gegevensoverdracht vindt plaats met afzonderlijke pakketten, die bij het bereiken van het einddoel weer één geheel worden. Ze zijn ook in staat om pakketten te onderscheppen in elk stadium van de overdracht en daarmee om te gaan met waardevolle informatie in de vorm van onveilige wachtwoorden. In ieder geval is het met behulp van decryptorprogramma's mogelijk om zelfs een sleutel tot een veilig wachtwoord te verkrijgen.

De eenvoudigste manier om wifi-sniffers te gebruiken, is in netwerken met een zwakke bescherming - in cafés, openbare plaatsen, enz.

Providers via deze programma's kunnen ongeautoriseerde toegang traceren naar externe systeemadressen.

Hoe u uzelf kunt beschermen tegen sniffers?

Om te begrijpen dat iemand het lokale netwerk is binnengedrongen, moet u allereerst letten op: downloadsnelheid pakket, indien deze beduidend lager is dan vermeld, zou dit moeten alarmeren. De prestaties van uw computer kunnen worden gecontroleerd met behulp van Taakbeheer. U kunt speciale hulpprogramma's gebruiken, maar deze zijn meestal in conflict met de Windows-firewall, dus u kunt deze het beste een tijdje uitschakelen.

Voor systeembeheerders is het controleren en zoeken naar verkeersanalysatoren op het lokale netwerk een noodzakelijke onderneming. Om schadelijke applicaties te detecteren, kunt u bekende netwerk-antivirussen gebruiken, zoals Doctor Web of Kaspersky Anti-Virus, waarmee u ongedierte kunt detecteren, zowel op externe hosts als direct binnen het lokale netwerk.

Naast speciale toepassingen die eenvoudig op een computer worden geïnstalleerd, kunt u gebruik maken van complexere wachtwoorden en cryptografische systemen. Cryptografische systemen werken rechtstreeks met informatie en versleutelen deze met een elektronische handtekening.

Applicatie-overzicht en belangrijkste functies

commview

CommView decodeert de pakketten met verzonden informatie, geeft de statistieken van de gebruikte protocollen weer in de vorm van diagrammen. Met de traffic sniffer kunt u IP-pakketten analyseren, en de benodigde pakketten. Sniffer voor Windows werkt met bekende protocollen: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, enz. CommView werkt met Ethernet-modems, wifi en meer. Pakketten worden vastgelegd via een tot stand gebrachte verbinding, met behulp van de " StroomIK P- verbindingen”, waar u adresaliassen kunt maken.

Tabblad « Pakketjes” geeft informatie over hen weer, terwijl ze naar het klembord kunnen worden gekopieerd.

« LOG-bestanden” kunt u pakketten in NFC-formaat bekijken.

Tabblad « Reglement". Hier kunt u de voorwaarden voor het vastleggen van pakketten instellen. De secties op dit tabblad zijn: IP-adressen, MAC-adressen, poorten, proces, formules en individuele instellingen.

« Waarschuwing”: zorgt voor het instellen van meldingen op het lokale netwerk, functies met behulp van de knop “Toevoegen”. Hier kunt u voorwaarden, type evenementen instellen:

"Pakketten per seconde" - wanneer het netwerkbelastingsniveau wordt overschreden.
"Bytes per seconde" - wanneer de frequentie van gegevensoverdracht wordt overschreden.
"Onbekend adres", d.w.z. detectie van niet-geautoriseerde verbindingen.

Tabblad « Visie» - hier worden verkeersstatistieken weergegeven.

CommView is compatibel met Windows 98, 2000, XP, 2003. Een Ethernet-adapter is vereist om de toepassing uit te voeren.

Voordelen: gebruiksvriendelijke interface in het Russisch, ondersteunt veelvoorkomende soorten netwerkadapters, statistieken worden gevisualiseerd. Het enige nadeel is de hoge prijs.

Spynet

Spynet voert de functies uit van het decoderen van pakketten en het onderscheppen ervan. Hiermee kunt u de door de gebruiker bezochte pagina's opnieuw maken. Bestaat uit 2 programma's CaptureNet en PipeNet. Het is handig om te gebruiken in het lokale netwerk. CaptureNet scant datapakketten, het tweede programma regelt het proces.

De interface is vrij eenvoudig:

Knop Aanpassen filter- filters instellen.
Knop laag 2,3 – installeert Flame-IP-protocollen; Laag 3 - TCP.
Knop patroon Passen bij zoekt naar pakketten met de opgegeven parameters.
Knop IK P— Adressen stelt u in staat om de benodigde IP-adressen te scannen die informatie van belang verzenden. (Opties 1-2, 2-1, 2=1). In het laatste geval alle verkeer.
Knop Poorten, d.w.z. de keuze van poorten.

Om gegevens te onderscheppen, is het noodzakelijk om het Capture Start-programma (opstarten) uit te voeren, d.w.z. het proces van het vastleggen van gegevens wordt gestart. Het bestand met de opgeslagen informatie wordt pas gekopieerd na het Stop-commando, d.w.z. beëindiging van de capture-actie.

Het voordeel van Spynet is de mogelijkheid om de webpagina's die de gebruiker heeft bezocht te decoderen. Het programma kan ook gratis worden gedownload, hoewel het vrij moeilijk te vinden is. De nadelen zijn onder meer een klein aantal functies in Windows. Werkt onder Windows XP, Vista.

BUTTSniffer

BUTTSniffer analyseert netwerkpakketten rechtstreeks. Het werkingsprincipe is het onderscheppen van verzonden gegevens, evenals de mogelijkheid om ze automatisch op de media op te slaan, wat erg handig is. Dit programma wordt gelanceerd via opdrachtregel. Er zijn ook filteropties. Het programma bestaat uit BUTTSniff.exe en BUTTSniff. dll.

Aanzienlijke nadelen van BUTTSniffer zijn onder meer een onstabiele werking, frequente crashes tot aan de sloop van het besturingssysteem (blue screen of death).

Naast deze sniffer-programma's zijn er nog vele andere, even bekende: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Er zijn ook online sniffers (online sniffer) die, naast het verkrijgen van het IP-adres van het slachtoffer, het IP-adres van de aanvaller direct wijzigen. Die. De hacker registreert zich eerst onder een IP-adres, stuurt een afbeelding naar de computer van het slachtoffer die moet worden gedownload of een e-mail die u alleen maar hoeft te openen. Daarna krijgt de hacker alle benodigde gegevens.

Het is de moeite waard eraan te herinneren dat inmenging in de gegevens van de computer van iemand anders een strafbaar feit is.

Een programma of software- en hardwareapparaat dat is ontworpen om netwerkverkeer dat bestemd is voor andere knooppunten te onderscheppen en vervolgens te analyseren, of alleen te analyseren.

Tijdens de werking van de sniffer schakelt de netwerkinterface over naar de zogenaamde. "luistermodus" (Promiscue modus), waarmee het pakketten kan ontvangen die zijn geadresseerd aan andere interfaces op het netwerk.

Verkeersonderschepping kan worden uitgevoerd:

het gebruikelijke "luisteren" naar de netwerkinterface (de methode is effectief wanneer deze wordt gebruikt in het segment van hubs (hubs) in plaats van switches (switches), anders is de methode niet effectief, omdat alleen individuele frames bij de sniffer komen);
een sniffer verbinden met een kanaalopening;
(software of hardware) verkeer vertakken en een kopie ervan naar de sniffer sturen;
door de analyse van onechte elektromagnetische straling en het herstel van het aldus beluisterde verkeer;
via een aanval op kanaal (2) (MAC-spoofing) of netwerk (3) niveau (IP-spoofing), wat leidt tot het omleiden van het verkeer van het slachtoffer of al het segmentverkeer naar de sniffer en vervolgens het verkeer terugstuurt naar de juiste adres.

In het begin van de jaren negentig werd het veel gebruikt door hackers om gebruikersaanmeldingen en wachtwoorden vast te leggen, die in een aantal netwerkprotocollen in duidelijke of zwak gecodeerde vorm worden verzonden. De brede verspreiding van hubs maakte het mogelijk om zonder veel moeite verkeer op te vangen in grote netwerksegmenten met weinig of geen risico om ontdekt te worden.

Omdat de "klassieke" sniffer het verkeer handmatig analyseert en alleen de eenvoudigste automatiseringstools gebruikt (analyse van protocollen, herstel van een TCP-stroom), is hij geschikt om slechts kleine volumes ervan te analyseren.

zie ook

Links

Wikimedia Stichting. 2010 .

Kijk wat "Sniffer" is in andere woordenboeken:

snuffelaar- , ein Programm zum unberechtigten Ausspionieren senser Daten. Der Sniffer wird in einem Netzwerk installiert en zeichnet wahllos vorüberkommende Datenpakete auf. Bei einer nachfolgenden Analyseren op diese Weise Daten … Universal-Lexikon

snuffelaar- Ein Sniffer (eng. to sniff‚ riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich ook um ein Werkzeug der Netzwerkanalyse. Inhaltsverzeichnis 1… … Deutsch Wikipedia

snuffelaar- snuiven of snuiven [snuiven] v. tr. vervoegen. : 1v. 1978; del engel. snuiven « renifler » ♦ Anglic. (arg. de la drogue) Prijswinnaar (un stupéfiant). renifler. Snifer de la cocaïne. N. SNIF(F)EUR, EUSE . Les sniffeurs de colle. ● sniffer ... ... Encyclopedie Universelle

snuffelaar- Packet sniffer Les packet sniffers (letterlijk "renifleurs de paquets", aussi connus sous le nom de renifleurs of sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d un réseau local. Ils ... ... Wikipedia en Francais

Het idee om dit materiaal te schrijven werd geboren, zoals in de meeste gevallen gebeurde, dankzij vragen van lezers en andere bekenden over technologieën voor het onderscheppen en analyseren van netwerkverkeer. Deze vragen zijn voorwaardelijk onderverdeeld in 3 categorieën: is het in principe mogelijk om gegevens die over het netwerk gaan te onderscheppen en te decoderen, hoe en met welke software dit kan. De derde groep vragen weerspiegelt enige verwarring in terminologie, met name de volgende opties zijn mogelijk: een persoon kent de essentie van de technologie, maar weet niet hoe deze wordt genoemd. Daarom, als het gaat om, laten we zeggen, een snuffelaar, antwoordt hij, naar beneden kijkend, dat hij niet weet wat het is. Wordt het niet eens tijd om de puntjes op de i te zetten in deze uiterst belangrijke kwestie voor zowel beginners als gevorderde netwerkers? Laten we beginnen...

Laten we beginnen met een beetje terminologie.

Het woord sniffer (letterlijk uit het Engels kan worden vertaald als "sniffer" of "sniffer") in de meest algemene zin is een soort luisterapparaat dat in het netwerk is ingebed om gegevens die erover worden verzonden te onderscheppen. In engere zin is een sniffer software die interageert met (vaak gezegd dat "sit down" vandaan komt is een geregistreerd handelsmerk van Network Associates, verwijzend naar het product "Sniffer (r) Network Analyzer", maar vervolgens onderging het woord hetzelfde lot als de pc, xerox, kleenex - de sniffer wordt een begrip en verwijst naar de hele klasse van vergelijkbare producten.

In sommige literatuur en documentatie, evenals in elektronische woordenboeken zoals Lingvo, wordt de term sniffer (netwerksniffer) geïdentificeerd met begrippen als "netwerkverkeersanalysator", "pakketanalysator", "protocolanalysator", "netwerkanalysator". Laat ik het echter een beetje oneens zijn met deze benadering.

Toch zou het logischer zijn om te stellen dat snuiven een geheel van maatregelen is om verkeer te onderscheppen. Binnen het kader van een bepaald product kunnen de volgende zaken worden geïmplementeerd: packet capture. In dit stadium krijgen we een soort onbewerkte (machineleesbare) datadump, meestal verdeeld in stukken langs frame (pakket)grenzen. En wat we met hem gaan doen, is ons probleem. Maar meestal, omdat we om de een of andere reden met de sniffer zijn begonnen, zijn we geïnteresseerd in het verkrijgen van een resultaat in een voor mensen leesbaar formaat, waarvoor pakketdecodering of protocolanalyse wordt gebruikt;

Eigenlijk is dit het proces van het "harken" van onze vuilnisbelt. Hier hadden we bijvoorbeeld zo'n grondstof.

Zoals u kunt zien, bestaat dit bestand uit drie kolommen: de offset van elke regel, de gegevens in hexadecimaal formaat en het ASCII-equivalent. Dit pakket bevat een 14-byte Ethernet-header, een 20-byte IP-header, een 20-byte TCP-header, een HTTP-header die eindigt op twee opeenvolgende CRLF (0D 0A 0D 0A), en vervolgens de daadwerkelijke applicatielaaggegevens, in ons geval , het webverkeer.

Soms is een dergelijke representatie voldoende om de nodige informatie te verkrijgen, maar het is nog steeds handiger om het pakket op alle niveaus van de protocolstack te decoderen en te analyseren. Is het toch echt leuker om zo'n foto te krijgen?

ETHER: Bestemmingsadres: 0000BA5EBA11 ETHER: Bronadres: 00A0C9B05EBD ETHER: Framelengte: 1514 (0x05EA) ETHER: Ethernet Type: 0x0800 (IP) IP: Versie = 4 (0x4) IP: Headerlengte = 20 (0x14) IP: Servicetype = 0 (0x0) IP: Prioriteit = Routine IP:...0.... = Normale vertraging IP:.... 0... = Normale doorvoer IP:.....0.. = Normale betrouwbaarheid IP: Totale lengte = 1500 (0x5DC) IP: Identificatie = 7652 (0x1DE4) IP: Overzicht vlaggen = 2 (0x2) IP:.. .....0 = Laatste fragment in datagram IP:......1. = Kan datagram IP niet fragmenteren: Fragment Offset = 0 (0x0) bytes IP: Time to Live = 127 (0x7F) IP: Protocol = TCP - Transmissiecontrole IP: Checksum = 0xC26D IP: Bronadres = 10.0.0.2 IP: Bestemmingsadres = 10.0.1.201 TCP: Bronpoort = Hypertext Transfer Protocol TCP: Bestemmingspoort = 0x0775 TCP: Volgnummer = 97517760 (0x5D000C0) TCP: Bevestigingsnummer = 78544373 (0x4AE7DF5) TCP: Gegevensoffset = 20 (0x14) TCP: Gereserveerd = 0 (0x0000) TCP : Vlaggen = 0x10:.A.... TCP:..0..... = Geen urgente gegevens TCP:...1.... = Bevestigingsveld significant TCP:....0... = Geen Push-functie TCP:.....0.. = Geen Reset TCP:......0. = Geen TCP synchroniseren:.......0 = Geen Fin TCP: Venster = 28793 (0x7079) TCP: Checksum = 0x8F27 TCP: Urgent Pointer = 0 (0x0) HTTP: Reactie (naar client via poort 1909) HTTP: Protocolversie = HTTP/1.1 HTTP: Statuscode = OK HTTP: Reden = OK....

Naast het bovenstaande kunnen andere "functies" worden geïmplementeerd, zoals het in realtime bekijken van actieve pakketten, filteren volgens een bepaald scenario, verschillende soorten verkeersstatistieken - het aantal fouten, intensiteit, enzovoort.

soorten snuiven en snuiven

Alles wat in deze paragraaf zal worden beschreven, heeft natuurlijk een zekere mate van conventioneel, aangezien nog niemand de officiële "Theory of Sniffing" volledig heeft beschreven. We zullen een classificatie "on the go" moeten bedenken;)

Dus, volgens de "locatie" (als deze term hier van toepassing is), kan de sniffer werken:

Op de router (gateway)

In dit scenario kunt u verkeer onderscheppen dat door de interfaces van deze gateway gaat. Bijvoorbeeld van uw lokale netwerk naar een ander netwerk en vice versa. Als we dus een sniffer op de router van een internetprovider installeren, kunnen we het verkeer van zijn gebruikers volgen, enzovoort...

Aan het eindknooppunt van het netwerk

Met betrekking tot Ethernet hebben we twee belangrijke mogelijke opties voor afluisteren. Klassiek, ongeschakeld Ethernet gaat ervan uit dat elke netwerkinterface in principe al het verkeer van zijn segment "hoort". Bij normale werking van de netwerkkaart vergelijkt het station echter, na het lezen van de eerste 48 bits van de frameheader, zijn MAC-adres met het in het frame gespecificeerde bestemmingsadres. Als het adres van iemand anders is, sluit het station "schaamtelijk zijn oren", dat wil zeggen, het stopt met het lezen van het frame van iemand anders. In de normale modus kunt u dus alleen uw eigen verkeer onderscheppen en analyseren. Om de pakketten van alle stations in het segment te onderscheppen, moet je je netwerkkaart in een modus zetten die promiscue modus wordt genoemd, zodat hij "schaamteloos" pakketten blijft lezen die er niet voor bedoeld zijn. Bijna alle sniffer-implementaties laten de kaart overschakelen naar de promiscue modus.

Opmerking: het gebruik van geschakeld Ethernet creëert een situatie waarin zelfs het schakelen van de kaart naar promiscue modus het luisteren naar verkeer dat niet voor uw station is bedoeld, bijna onmogelijk maakt. Er is echter een technologie om dergelijk luisteren te organiseren via de zogenaamde ARP-spoofing. De bottom line is dit: de switch creëert een zogenaamd "broadcast-domein", en een host met een geïnstalleerde sniffer kan zich voordoen als bijvoorbeeld een grensrouter die gebruik maakt van ARP-berichtvervalsing (het constant verzenden van ARP-berichten, waarbij het netwerkadres van de router overeenkomt met het MAC-adres van het luisterende station). Zo zal het verkeer van de buren met geweld in de richting van de "spion" draaien.

Anders kunnen sniffers vooral in functionaliteit van elkaar verschillen, zoals:

Ondersteunde fysieke interfaces en verbindingslaagprotocollen;

De kwaliteit van decodering en het aantal "herkenbare" protocollen;

Gebruikersinterface en weergavegemak;

Extra functies: statistieken, realtime bekijken, pakketten genereren of wijzigen en meer...

Bij het kiezen van een sniffer (evenals alle andere software trouwens), is het zinvol om u te laten leiden door de volgende overwegingen: uit wat er onder uw besturingssysteem bestaat, kiezen we ofwel wat precies overeenkomt met uw taken (het is logisch als u het plannen van een eenmalige gebeurtenis of de constante uitvoering van dezelfde operatie) of de meest geavanceerde oplossing, voor het geval je denkt dat de sniffer nuttig voor je zal zijn, maar nog steeds niet weet in welke situatie :) Maar situaties zijn verschillend ...

waarom hebben we een snuffelaar nodig?

Traditioneel leefde het idee van snuiven als in twee vormen: legaal en illegaal gebruik. Het is veelzeggend dat het woord 'sniffer' vaker wordt gebruikt in de illegale sfeer en 'netwerkanalysator' in de legale. Laten we beginnen met de juridische toepassing ;)

Probleemoplossing (detectie van problemen en netwerkknelpunten). In de geavanceerde modus, wanneer de sniffer in een niet-geschakeld segment of op een gateway werkt, kunnen we een bijna volledig beeld krijgen van de gebeurtenissen die plaatsvinden in ons netwerk: verkeersintensiteit per tijd, per werkstation, per protocol, het aantal fouten van verschillende soorten. Bovendien kunnen we in beide modi meer specifieke problemen "harken", bijvoorbeeld wanneer een bepaald station er niet in slaagt om enige interactie over het netwerk te organiseren, en dit ondanks het feit dat het netwerk er van de buitenkant behoorlijk functioneel uitziet. Een sniffer is vooral handig in gevallen waarin netwerksoftware slecht gedocumenteerd is of zijn eigen gesloten (ongedocumenteerde), vaak verdachte technologieën (protocollen) gebruikt.

Bijvoorbeeld: ICQ, Europe Online. Verdachte technologieën/software moeten worden begrepen als situaties waarin u vermoedt dat een programma een tabblad of andere ongedocumenteerde functionaliteit bevat. Er waren bijvoorbeeld geruchten dat het clientgedeelte van de beroemde cDc Back Orifice ook een Trojaans paard is en wat informatie naar de eigenaren stuurt - de auteurs van de software. Door de BO Client "te luisteren" bleek dat de geruchten niet waar waren.

Niet minder handig is een sniffer voor het debuggen van uw eigen software. Ik zal nooit het moment vergeten waarop de proxyserver weigerde een verbinding tot stand te brengen als het GET-verzoek eindigde met \n\n in plaats van de vereiste \r\n\r\n. Alleen het onderzoeken van de pakketten die door de "legitieme" browser zijn verzonden en ze vergelijken met de pakketten die door mijn "upstart"-script zijn verzonden, wees me op een ongelukkige fout. Heel, heel vaak heb ik in mijn dagelijkse administratieve praktijk ook te maken met analyse op TCP / UDP-niveau.

Onderwijs. Je kunt half bezwijmd worden door verschillende protocol-packet-headerformaten en interactiemethoden te onthouden (bijvoorbeeld 3-way TCP-handshake, DNS, traceroute-plantoepassingsmethoden), maar deze kennis is dood totdat je probeert het "met je handen aan te raken" - met eenmaal geschreven programma of ... op zoek naar de sniffer! Probeer na het lezen van de documentatie voor een onbekend of slecht begrepen protocol interactie te simuleren, pakketten te onderscheppen en te analyseren - ik verzeker u, alles zal buitengewoon duidelijk worden en bovendien is deze kennis realistischer en zal deze lang in uw hoofd worden gedeponeerd tijd. In het geval van gesloten technologieën kan een snuffelaar bijna het enige middel zijn om ze te bestuderen.

Logboekregistratie van netwerkverkeer. Er kan veel discussie zijn over de wettigheid en ethiek van het loggen van gebruikersverkeer door een beheerder voor verdere beoordeling, maar het feit blijft dat veel organisaties deze technologie opnemen in hun beveiligingsbeleid. Mijn persoonlijke mening is dat de meester de meester is, dat wil zeggen, als een bedrijf zijn werknemers voorziet van apparatuur, verbindingen met lokale en wereldwijde netwerken, heeft het het recht om het juiste gebruik van deze middelen te eisen. De tweede belangrijke reden voor het loggen van verkeer is het detecteren van ongeautoriseerde toegangspogingen en andere kwaadaardige activiteiten, bijvoorbeeld DoS-aanvallen. Met dergelijke logboeken kan de beheerder met 100% nauwkeurigheid weten wat er in zijn netwerkbezit gebeurt.

Laten we het nu hebben over de illegale kant van snuiven. Ten eerste is het banaal.

Afluisteren. Als u een sniffer correct hebt geïnstalleerd, kunt u uw buren en verre buren bespioneren - vijanden, vrienden, echtgenoten;) Mogelijk bent u geïnteresseerd in dergelijke vragen: waarom gebruikt een persoon het netwerk, welke webbronnen bezoekt hij, welke gegevens gebruikt hij zendt, met wie en waarover communiceert hij? Vergeef me de staatsveiligheidsautoriteiten, maar de beruchte SORM, waarvan de legitimiteit in de vorm van totale verkeersregistratie een grote vraag is, ik verwijs nog steeds naar deze sectie, hoewel het ook in de laatste paragraaf van "legaal snuffelen" zou kunnen staan; )

Meer mercantiele afluisteren. Een aanzienlijk deel van de "hacker" -gemeenschap ruilt hun talenten echter niet in voor het bespioneren van ontrouwe echtgenoten en ander dagelijks leven. Meestal is een aanvaller geïnteresseerd in materiaal waarmee je verder kunt komen in de moeilijke taak om in te breken in de systemen en netwerken van anderen. Zoals je misschien al geraden had, gaat dit voornamelijk over het onderscheppen van gebruikersnamen en wachtwoorden die in niet-versleutelde (platte tekst) vorm over het netwerk gaan. Dit geldt in het bijzonder voor wachtwoorden voor telnet, POP, IMAP, NNTP, IRC, webapplicaties die geen encryptie gebruiken, SNMP v1 community-strings, enz.

implementatie

Nu we min of meer het theoretische gedeelte hebben behandeld, keren we terug naar de zondige aarde - laten we het hebben over specifieke implementaties van sniffers voor verschillende platforms. In feite zijn er veel van dergelijke software, het verschil in functionaliteit en prijskaartje (vooral in het laatste) is kolossaal. De samensteller van de "Sniffing (network wiretap, sniffer) FAQ" Robert Graham raadt aan om de volgende producten te proberen:

Network Associates Sniffer (voor Windows)
http://www.nai.com/mktg/survey.asp?type=d&code=2483

WinNT-server
Microsoft's WinNT Server wordt geleverd met een ingebouwd programma genaamd "Network Monitor". Ga naar het netwerkconfiguratiescherm, selecteer "Services", klik op "Toevoegen..." en selecteer "Network Monitor Tools and Agent". Na installatie zal het programma zal beschikbaar zijn in het startmenu in de sectie "Administratieve hulpmiddelen".

BlackICE is eigenlijk een Intrusion Detection System (IDS), maar een van zijn functies is om onbewerkte pakketdumps te schrijven in een vorm die acceptabel is voor decodering door protocolanalysatoren. Eén ding: het programma kijkt alleen naar verkeer dat door de lokale interfaces gaat van de host waarop het werkt, dat wil zeggen dat het niet-promiscue is.

Dit programma daarentegen kan alleen pakketten analyseren die zijn opgenomen door een sniffer als BlackICE Pro.

Gratis protocolanalysator.

Natuurlijk is deze lijst verre van compleet, je kunt naar elke zoekmachine gaan of softwarecollectie downloaden en iets anders vinden. Bovendien vermeldt de recensie niet het meest, naar mijn mening, meest opvallende product van dit soort voor Win32 - NetXRay, nu omgedoopt tot Sniffer Basic. We zullen er wat later over praten.

snuiven
Een sniffer op basis van libpcap met geavanceerde filtermogelijkheden.

Nogmaals, de lijst is verre van perfect, je kunt op zoek naar iets anders. Een ander ding is dat het in de *NIX-gemeenschap niet bijzonder gebruikelijk is om te "verspreiden" - er zijn beproefde, constant verbeterende toonaangevende producten, en de meerderheid geeft precies de voorkeur aan hen, zonder zelfs maar naar een alternatief te zoeken. De absolute leiders hier zijn tcpdump en snifit.

tcpdump & windump

(door Ghost//Necrosoft)

Zoals hierboven vermeld, is TcpDump de meest gebruikte sniffer onder *nix-systemen. Je kunt het vinden in een van de nieuwste distributies van het besturingssysteem dat je gebruikt. De beste manier om tcpdump te beschrijven, is door simpelweg alle opdrachtregelopties op te sommen - op die manier krijg je een lijst van de functies en een directe handleiding voor actie - "in één fles".

WinDump is een port van TcpDump van *nix-systemen, voert dezelfde functies uit en heeft dezelfde syntaxis als TcpDump, maar heeft een aantal extra opdrachtregelopties, die hieronder zullen worden besproken.

Een kleine aantekening voor het gebruik van TcpDump onder verschillende systemen. Op SunOS die nit- of bpf-apparaten gebruikt: Om tcpdump uit te voeren, moet u leestoegang hebben tot /dev/nit of /dev/bpf*. Onder Solaris met dlpi zou u toegang moeten hebben tot pseudo-netwerkadapters zoals /dev/le. Onder HP-UX met dlpi: u moet root zijn of tcpdump moet uid hebben ingesteld op root Onder IRIX met snoop en Linux: vereisten vergelijkbaar met HP-UX Onder Ultrix en Digital UNIX: alleen superuser heeft toegang tot promiscuous-mode-bewerkingen met pfconfig (8) u kunt toestemming krijgen om tcpdump uit te voeren Onder BSD: u moet toegang hebben tot /dev/bpf* Onder Win32: u moet het NDIS-stuurprogramma voor pakketopname installeren.

Laten we nu de opdrachtregelopties eens nader bekijken.

TcpDump[ -adeflnNOpqStvx] [-CGraaf] [-Fhet dossier] [-Ikoppel] [-Rhet dossier] [-sSnaplen] [-Ttype] [-whet dossier] [uitdrukking]. Windump-specifieke opties [- D] [ -Bmaat].

Hiermee kunt u netwerk- en uitzendadressen converteren naar namen.

Uitvoer na verwerking Graaf pakketjes.

D print de inhoud van de verpakking in voor mensen leesbare vorm.

Dd voert de inhoud van het pakket uit als een fragment van een C-programma.

Ddd geeft de inhoud van het pakket in decimale vorm weer.

Eprint de kopteksten van de link-laag op elke nieuwe regel.

F drukt de adressen van externe en lokale hosts af zonder conversie naar namen.

Gebruiken het dossier met een beschrijving van de filterparameters (extra uitdrukkingen op de opdrachtregel worden genegeerd).

Ik gebruik de interface koppel voor het opsporen. Indien niet gedefinieerd, tcpdump vindt de laagst genummerde actieve netwerkinterface (exclusief loopback). Op Windows koppel- naam of nummer van netwerkadapter (te vinden door WinDump -D uit te voeren).

L gebruikt gebufferde uitvoer naar stdout. Een constructie zoals "tcpdump -l | tee dat"" of "tcpdump -l > dat & tail -f dat"" kan handig zijn.

N vertaal geen adressen (d.w.z. hostadres, poortnummer, enz.) in namen.

Druk de domeinnaam niet af in de hostnaam. Die. als deze vlag wordt gebruikt, tcpdump zal "nic"" afdrukken in plaats van "nic.ddn.mil"".

Voer de pakketoptimalisatie niet uit. Deze optie is handig als u zelf pakketten afhandelt.

Stel de netwerkinterface niet in op "promiscue modus".

Qafgekorte uitgang. Geeft informatie in verkorte vorm weer.

Herlees pakketten uit een bestand het dossier(die zijn gemaakt met de -w optie). Als u de console als invoer wilt gebruiken, dan: het dossier het "-"".

weefsels Snaplen bytes per pakket (in de NIT van SunOS is het minimum 96) 68 bytes is voldoende voor IP-, ICMP-, TCP- en UDP-protocollen, maar kapt informatie af van hogere niveaus, zoals DNS- en NFS-pakketten.

Interpretatie van pakketten op type forceren type corresponderend met het masker " uitdrukking". Momenteel zijn de volgende typen bekend: rpc(Op afstand gemaakt telefoongesperk), rtp(Real-Time Applications-protocol), rtcp(Real-Time Applications controleprotocol), vat(Visual Audio Tool), en wb(verdeeld wit bord).

S geeft het absolute TCP-pakketnummer weer.

Drukt niet de tijd op elke regel af.

Tt drukt de ongeformatteerde tijd op elke regel af.

Gedetailleerde uitvoer. Bijvoorbeeld de levensduur van het pakket en het servicetype.

Vv meer gedetailleerde output. Bijvoorbeeld het weergeven van extra velden NFS-antwoordpakketten.

Wschrijft onbewerkte pakketten naar het dossier, die u later kunt ontsleutelen met de optie -r. Als u de console als uitvoer wilt gebruiken, dan: het dossier het "-"".

X print elk pakket in hexadecimaal (geen header). De uitvoer wordt verzonden: Snaplen byte.

Extra WinDump-opties:

Stelt de buffergrootte van het stuurprogramma in maat in kilobyte. De standaardbuffergrootte is 1 megabyte. Als sommige pakketten niet worden weergegeven tijdens het gebruik, probeer dan de buffergrootte te vergroten. Heb je een PPP-verbinding of 10 Mbit Ethernet, dan kan de buffergrootte worden gehalveerd of verdrievoudigd.

-D geeft een lijst weer met netwerkapparaten die op uw systeem aanwezig zijn. De lijst ziet er als volgt uit: nummer- netwerkapparaatnummer in het systeem, naam- de naam, gevolgd door een beschrijving van het apparaat. Later kunt u deze gegevens gebruiken om te werken met alle beschikbare netwerkinterfaces van uw systeem die momenteel beschikbaar zijn. En u kunt een apparaat selecteren met de optie -I - "WinDump -i naam" of "WinDump -i nummer".

expressie - in feite een expressie die het pakketfiltercriterium specificeert. Als het veld uitdrukking ontbreekt, worden alle pakketten weergegeven. Anders worden alleen die pakketten uitgevoerd die overeenkomen met het masker. uitdrukking.

expressie kan uit een of meer primitieven bestaan. Primitieven bestaan vaak uit: ID kaart(naam of nummer) van de kwalificatie. Er zijn drie belangrijke soorten kwalificaties:

typekwalificatie die het algemene beleid specificeert. Mogelijke soorten - gastheer,netto- en haven. Die. "host foo", "net 128,3", "poort 20". Als type niet gespecificeerd, de standaard is gastheer.

dir kwalificatie die de richting aangeeft waarin pakketten worden verzonden. Mogelijke opties src,dst,src of dst en src endst. D.w.z. "src foo", "dst net 128,3", "src of dst port ftp-data". Als dir niet gespecificeerd, de standaard is src of dst. Voor "null" verbindingen (dat is ppp of slip) gebruik inkomend en uitgaande kwalificatie om de gewenste richting aan te geven.

Met de proto-kwalificatie kunt u pakketten filteren op basis van een specifiek protocol. Mogelijke protocollen: ether,fddi,ik p,arp,rarp,decnet,latijn,sca,moprc,mopdl,tcp en udp. Die. "ether src foo", "arp net 128,3", "tcp-poort 21". Als de kwalificatie ontbreekt, worden er geen pakketten gefilterd. ("fddi" is eigenlijk een alias voor "ether", omdat FDDI-pakketten in de meeste gevallen het Ethernet-adres van de afzender en bestemming bevatten, en vaak de Ethernet-types van de pakketten bevatten. FDDI-headers bevatten ook andere velden die niet in de filterlijst .)

Naast het bovenstaande hebben sommige speciale primitieven geen sjablonen, dit zijn: poort,uitzending,minder,groter en rekenkundige uitdrukkingen. Hierover iets verder.

Veel samengestelde filteruitdrukkingen gebruiken woorden en,of en niet primitieven combineren. Bijvoorbeeld "host foo en niet poort ftp en niet poort ftp-data". Sommige kwalificaties kunnen worden weggelaten om de invoer te vereenvoudigen. Bijvoorbeeld, "tcp dst port ftp of ftp-data of domain" is hetzelfde als "tcp dst port ftp of tcp dst port ftp-data of tcp dst port domain".

De volgende uitdrukkingen zijn toegestaan:

dst gastheer gastheer waar als het IP-bestemmingsveld van het pakket is gastheer, kan een adres of een hostnaam zijn.

src host gastheer waar als het IP-bronveld van het pakket is gastheer.

gastheer gastheer waar als de bron of bestemming van het pakket is gastheer. Voorvoegsels kunnen ook worden gebruikt: ik p,arp, of rarp hoe: iphostgastheer wat gelijk is aan etherproto\ik pen gastheergastheer. Als gastheer- een naam met meerdere IP-adressen, elk adres wordt gecontroleerd op een match.

ether dst ehost Waar als het Ethernet-adres van de bestemming is ehost.gastheer- een van de namen in /etc/ethers of een nummer (zie ethers(3N).

ether src ehost waar als het Ethernet-adres van de afzender is ehost.

ether host ehost waar als de bestemmings- of bron-Ethernet-adressen zijn ehost.

poort gastheer waar als gastheer- poort. Die. Ethernet-adres van afzender of ontvanger - gastheer, maar noch het IP-adres van de afzender noch het IP-adres van de ontvanger zijn gastheer.Gastheer kan een naam zijn, en kan ook in /etc/hosts en /etc/ethers zijn. (Wat gelijk is aan ether hostehosten niet gastheergastheer, die met elke naam of nummer kan worden gebruikt om gastheer/ehost.)

dst netto netto- waar als het IP-adres van de ontvanger is - netto-.Netto- elke invoer uit /etc/networks of netwerkadres.

src net netto- waar als het IP-adres van de afzender - netto-.

netto- netto- Waar als het IP-adres van de ontvanger of afzender een netwerkadres heeft - netto.

netto- netto-maskermasker Waar als het IP-adres overeenkomt netto- met het bijbehorende netmasker. Kan worden gedefinieerd met src of dst.

netto- netto-/len waar als IP is netto, een subnetmasker - len bitsgewijze (CIDR-indeling). Kan worden gedefinieerd met src of dst.

dst-poort haven waar als het pakket ip/tcp of ip/udp is en een bestemmingspoort heeft - haven.haven kan een getal zijn of aanwezig zijn in /etc/services (zie tcp(4P) en udp(4P)). Als de naam voor twee of meer poorten wordt gebruikt, worden zowel poortnummers als protocollen gecontroleerd. Als een ongeldig poortnummer of een ongeldige naam wordt gebruikt, worden alleen poortnummers gecontroleerd (d.w.z. dst-poort 513 voert tcp/login en udp/who-verkeer uit, en poort domein uitgangen tcp/domein en udp/domein).

src-poort haven waar als de afzenderpoort is haven.

haven haven waar als de bron- of bestemmingspoort is haven. Sommige uitdrukkingen kunnen worden gecombineerd, bijvoorbeeld: tcp src-poorthaven- alleen tcp-pakketten die een poort hebben - haven.

minder lengte waar als de pakketlengte kleiner is dan of gelijk is aan lengte, wat equivalent is len<= lengte.

groter lengte waar als de pakketlengte groter is dan of gelijk is aan lengte, wat equivalent is len >=lengte.

ipproto protocol waar als het pakket een IP-pakket met protocol is protocol.Protocol kan een nummer of een van de namen hebben icmp,igrp,udp,nd, of tcp.

ether broadcast is waar als het pakket een Ethernet-broadcastpakket is. Uitdrukking ether is optioneel.

ip broadcast is waar als het pakket een IP broadcast-pakket is.

ether-multicast is waar als het pakket een Ethernet-multicastpakket is. Uitdrukking ether is optioneel. Dit is een afkorting voor " ether&1!=0".

ip multicast is waar als het pakket een IP-multicastpakket is.

etherproto protocol true als het pakket van het type Ethernet is. Protocol kan een nummer of een naam zijn: ik p,arp, of rarp.

decnet src gastheer waar als het DECNET-adres van de ontvanger is gastheer, wat een adres kan zijn zoals "10.123"", of een DECNET-hostnaam (DECNET-hostnaam wordt alleen ondersteund op Ultrix-systemen).

decnet dst gastheer Waar als het DECNET-adres van de ontvanger is gastheer.

decnet-host gastheer Waar als het DECNET-adres van de ontvanger of afzender is gastheer.

proto [ expr: maat]

Maak een prototype van een van de volgende protocollen: ether, fddi, ip, arp, rarp, tcp, udp oficmp, en toont het protocolniveau voor deze bewerking. De byte-offset voor een bepaald protocolniveau is afkomstig van expr.maat- optioneel, toont het gewenste aantal bytes bij de gegeven offset, kan 1,2 of 4 zijn, standaard 1.

Voorbeelden van het gebruik van tcpdump

Het uitgeven van alle inkomende en uitgaande pakketten van: zonsondergang:tcpdump host zonsondergang

Verkeer afgeven tussen helios en een van de twee heet of Ace:tcpdump host helios en \(hot of aas \)

Uitgifte van alle prakets tussen Ace en andere hosts, met uitzondering van helios:tcpdump ip host ace en niet helios

Verkeer afgeven tussen de lokale machine en de machine in Berkeley: tcpdump netto ucb-ether

FTP-verkeer uitgeven via de gateway snauw:tcpdump "gateway snup en (poort ftp of ftp-data)"

Verkeer afdrukken dat niet tot machines op het lokale netwerk behoort (als uw machine een gateway naar een ander netwerk is, kan tcpdump geen verkeer op uw lokale netwerk dumpen). tcpdump ip en niet netlokaal netwerk

Uitgifte van oude en stoppakketten (SYN- en FIN-pakketten) die niet tot het lokale netwerk behoren. tcpdump "tcp & 3!= 0 en niet src en dst netlokaal netwerk"

IP-pakketten uitgeven die langer zijn dan 576 bytes die via de gateway worden verzonden snauw:tcpdump "gateway snup en ip > 576"

Uitgeven van IP-broadcast- of multicast-pakketten die niet via Ethernet-broadcast of multicast worden verzonden: tcpdump "ether & 1 = 0 en ip >= 224"

Retourneer alle ICMP-pakketten die geen echo-verzoek/antwoord zijn (d.w.z. geen ping-pakketten): tcpdump "icmp!=8 en icmp!=0"

door Alice D. Saemon

Degene waar ik van hou...

Lang, lang geleden... NetXRay was de eerste snuffelaar die onder mijn aandacht kwam. Toen, in 1997, maakte dit Engelse programma een plons in de kringen van Windows-georiënteerde netwerkers. Jaren zijn verstreken, maar de oude versie van NetXRay (3.0.1) is nog steeds in gebruik, in het dagelijkse werk op mijn werkstation. Tot op heden is het product hernoemd naar Sniffer Basic, zijn er enkele nieuwe functies toegevoegd, maar vanuit een groter oogpunt is de hoofdfunctionaliteit onveranderd gebleven sinds 3.0.1. Dit is de eerste reden waarom NetXRay 3.0.1 in de paper wordt beschreven. De tweede reden ... (om zich heen kijkend naar de anti-piraterijpolitie) is dat het product erg duur is (1643 pond, dat is sterling), en dat de beperkingen op het proces zeer ernstig zijn. Dus laten we beginnen.

Het pakket bestaat uit een reeks verschillende functies en kan echt een netwerkanalysator worden genoemd in plaats van een sniffer. Alle functies (modules) zijn gegroepeerd in het menu "Tools", en daar bevinden zich ook verschillende instellingen. Laten we met hen beginnen. U kunt de adapter selecteren waarvoor de huidige test wordt uitgevoerd (sonde). De adapter moet de NDIS 3.0/3.1-standaard ondersteunen.

Let op, fout! Als u NetXRay naar zijn mening op de "verkeerde" adapter "instelt" of pakketten vastlegt die het niet kan decoderen op het linknetwerkniveau (bijvoorbeeld misbruik maken van verkeer dat krom gefragmenteerde pakketten verzendt) - in de decoderingsfase (protocolanalyse), het programma loopt vast.

Tegelijkertijd kunt u testen op verschillende interfaces, waarvoor meerdere programma-incarnaties (probes) worden gemaakt. In een nieuwe sonde kunt u alle instellingen van alle bestaande kopiëren.

In de opties kunt u de volgende dingen configureren: uiterlijk van het bureaublad, standaard poortnummers voor verschillende protocollen (3 opties - erg handig in gevallen waarin netwerktoepassingen werken op niet-standaard poorten), reactie op het optreden van een gebeurtenis, drempels voor verschillende typen van statistieken en anderen

Laten we nu naar de functionele modules van het pakket gaan.

vastleggen (pakketopname)

Het hart van NetXRay is in feite dat er in de populaire opvatting een sniffer is. Laat me het daarom zo gedetailleerd mogelijk beschrijven.

Wanneer deze module is geactiveerd, verschijnt er een klein venster voor ons met een "dashboard" en een paar knoppen. Alle acties die we in dit venster kunnen uitvoeren, worden gedupliceerd in het menu Vastleggen. En we kunnen dit doen: begin met het vastleggen van pakketten, stop, stop + bekijk de inhoud van de buffer en bekijk eenvoudig de inhoud van de buffer, op voorwaarde dat het vastleggen is gestopt. Op dezelfde plek kunnen we de filters verfijnen:

Het adres van de afzender en ontvanger. Om deze taak te vergemakkelijken, is er een adresboek en een aantal vooraf ingestelde adressen, zoals "Elke".

Door sjablonen. Als je ergens in het pakket pakketten moet vangen die specifieke gegevens bevatten, kun je een mooi patroon schrijven. Bovendien, wat vooral leuk is, kun je sjablonen ontwerpen in elke representatie die voor jou geschikt is: binair, hexadecimaal, ASCII en EBCDIC.

Volgens de bij het programma bekende protocollen. Deze:

netwerk: AppleTalk, AppleTalk ARP, APOLLO, DECNET, IP, IP ARP, IPX, LAT, NetBEUI, OSI, SNA, VINES, VINES Loopback, VINES Echo, XNS

hoger in de IP-stack: transport, service en routering - ICMP, IGMP, GGP, EGP, IGP, ISO-TP4, HELLO, IP-VINES, IGRP, OSPF, TCP, UDP; applicatielaag - FTP, REXEC, RLOGIN, RSH, PRINTER, SMTP, TELNET, DNS(TCP), GOPHER, HTTP, POP, SUNRPC(TCP), NNTP, NETBIOS, X-WINDOW, DNS(UDP), BOOTP, TFTP, SUNRPC(UDP), SNMP, SNMPTRAP, BIFF, WHO, SYSLOG, RIP, GDP, NFS.

hoger in de IPX-stack: NCP, SAP, NRIP, NBIOS, DIAGNOSTIC, SERIALISATIE, NMPI, NLSP, NSNMP, NSNMPTRAP, SPX.

Zoals je kunt zien, niet zo weinig, zou ik zeggen - zelfs overbodig voor het echte leven.

Aandacht! Het protocolfilter heeft een enigszins vreemde interface: er wordt aangenomen dat als alle selectievakjes binnen de grenzen van één niveau niet zijn aangevinkt, alle protocolpakketten van dit niveau en alles daarboven (lager als we naar de gebruikersinterface kijken;) worden vastgelegd. Dus als je geen enkele "vogel" hebt ingesteld, wordt absoluut alles gevangen. Uiteraard worden in dit geval ook onbekende applicatielaagprotocollen opgevangen, maar niet gedecodeerd in een voor mensen leesbare vorm, wat natuurlijk is, aangezien ze onbekend zijn :))

Bovendien kunt u de buffergrootte aanpassen of het bestand specificeren waar het resultaat van de pakketopname moet worden neergezet.

Filterinstellingen kunnen naar een zogenaamd profiel worden geschreven, een naam krijgen en vervolgens uit de lijst worden geselecteerd.

Nadat we het vastleggen van het vereiste aantal pakketten hebben berekend, vallen we bij het activeren van het bekijken in het zogenaamde "resultatenvenster", dat standaard de namen XRay1, XRay2 enzovoort heeft volgens het aantal huidige buffers. Je kunt zo'n venster op de schermafbeelding zien: hierboven - een lijst met pakketten met een korte "annotatie", in het midden - gedecodeerde gegevens (nou ja, ik zou kunnen decoderen;) en hieronder - een onbewerkt pakket. Het is merkwaardig dat wanneer u op het interessegebied in de gedecodeerde sectie klikt, de overeenkomstige plaats in het onbewerkte pakket wordt gemarkeerd - u kunt de kwaliteit van de protocolanalysator controleren;)

De gebruikersinterface van het "resultatenvenster" heeft naast voordelen (de mogelijkheid om een van de hierboven besproken filters toe te passen op de weergegeven buffer, de mogelijkheid om elk pakket of elke buffer met één muisklik naar het netwerk te sturen of een aantal pakketten te kopiëren naar een aparte buffer, een zeer mooie weergave van gedecodeerde gegevens, zelfs met enige nesting voor velden die voor de gemiddelde gebruiker van weinig belang zijn) evenals duidelijke nadelen (u kunt een paar pakketten niet uit de buffer verwijderen, er is geen klembordbediening, dat wil zeggen, de resultaten kunnen bijvoorbeeld niet worden gekopieerd en opgeslagen in tekstformaat).

Naast het verzamelen van pakketten in een buffer of bestand voor latere decodering, is er ook de mogelijkheid om het verkeer in realtime te bekijken.

True a) visueel ziet het er verschrikkelijk uit b) deze optie is ingeschakeld op zo'n onlogische plaats dat zelfs zo'n oude NetXRay-gebruiker als ik vergeet waar deze "vogel" is. De vogel is geïnstalleerd in het menu Extra | Opties... tabblad Algemeen, selectievakje Realtime weergave, en niet in de opname-instellingen, waar het logisch zou zijn om ernaar te zoeken;-/

Bovendien bevat het "resultatenvenster" bladwijzers voor statistische gegevens over de vastlegsessie, maar we zullen er niet bij stilstaan.

pakketgenerator

Dit is echt iets geweldigs: je kunt vanaf het begin "schetsen" en absoluut elk pakket naar het netwerk sturen. De interface bestaat uit het hoofdvenster en de zogenaamde pakketontwerper, verdeeld in twee secties - Configureren en Decoderen.

In de eerste hebben we een portret van een standaard stortplaats (zie het theoretische deel van het artikel), gevuld met nullen. We beginnen daar hexadecimale getallen in te voeren - in de decoderingssectie, die er precies zo uitziet als het gedecodeerde pakket in het "resultatenvenster" van Capture, verschijnt een analyse van ons pakket.

Maar in dit geval kunnen we niet alleen naar het gedecodeerde pakket kijken, maar ook wijzigingen aanbrengen door met de muis op het gewenste veld te klikken. Het is waar dat in ieder geval de waarden worden gewijzigd die alleen in hexadecimale vorm worden uitgevoerd, en de invoervelden verbazen met hun ongemak: (Er zijn verschillende opties voor het genereren en verzenden van pakketten: verzend het huidige pakket, verzend de huidige buffer, schrijf een pakket helemaal opnieuw, of stuur een bewerkt pakket van wat je hebt verzameld.

Opmerking over de interface: als de optie "huidig pakket verzenden" wordt aangeroepen vanuit het "resultatenvenster" van Capture, wordt het pakket onmiddellijk verzonden zonder de pakketconstructor aan te roepen, maar het blijft in de huidige "verzendbuffer" en kan daar worden gecorrigeerd later.

Als "send the current packet" wordt aangeroepen vanuit het Packet Generator-venster, wordt automatisch de packet-constructor aangeroepen. Wees voorzichtig!

In de pakketconstructor, in de sectie Decoderen, zal het programma u enkele hints geven, in het bijzonder zal het een nieuwe controlesom berekenen bij het wijzigen van het pakket (het zou zelf nog steeds de nodige wijzigingen aanbrengen, luie creatie;). AI verschilt echter van de menselijke geest doordat deze niet weet hoe hij goed moet denken. Dus als u bijvoorbeeld het IP-adres van de ontvanger wijzigt, overweeg dan of u tegelijkertijd het MAC-adres moet wijzigen? ;)

Pakketten kunnen in verschillende modi worden verzonden: één klik - één pakket, een bepaald aantal pakketten of in een lus. Op deze manier kun je traffic genereren. Over het algemeen kunt u veel toepassingen voor de pakketgenerator vinden, het is aan uw verbeeldingskracht en vindingrijkheid.

allerlei dingen

Naast het bovenstaande bevat het programma nog een heleboel andere nuttige en niet erg (zoals iedereen;) toeters en bellen. Kort over hen:

Dashboard. Statistieken over netwerkbelasting, meer bepaald van het deel ervan dat u kunt zien. Aantal pakketten, bytes, alle soorten fouten, gebruiksberekening. Ik ben altijd in de war geweest door deze functie, omdat ik nog nooit in mijn leven foutmeldingen heb gezien - nou, het kan niet zo zijn dat er geen zijn!;)

gastheer tafel. Vangt verschillende informatie over de hosts die zichtbaar zijn voor de sniffer en hun activiteiten (zonder volledige vastlegging en analyse van pakketten)

Matrix. Bijna hetzelfde als de Host Table, maar gepresenteerd in een iets ander formaat.

geschiedenis. Tekent grafieken en diagrammen over het gedrag van het netwerk in een bepaalde periode.

distributie van protocollen. Zoals de naam al doet vermoeden, houdt het statistieken bij over het gebruik van verschillende protocollen.

statistieken. Statistieken over bezetting en omvang van het personeel.

Alarmlogboek. Een logboek met door u gedefinieerde gebeurtenissen.

Nou, dat is alles in een notendop. (wauw, "het bleek even % -()) Download en test op gezondheid - tot je grote vreugde en om je vijanden te pesten :)

gevolgtrekking

Nou, het verhaal van snuffelaars is voorbij voor vandaag. Wie heeft geluisterd (lees tot het einde) - goed gedaan, ik hoop dat je antwoord hebt gekregen op de meeste van je vragen. Eerlijkheidshalve merk ik op: niet ALLE zaken zijn in het kader van dit artikel aan de orde geweest. Ten minste twee grote onderwerpen werden weggelaten: de interne structuur van sniffers, inclusief methoden en benaderingen voor het schrijven van dergelijke software, evenals manieren om sniffers tegen te gaan.

Wat betreft de eerste, dit is wat ik denk: het onderwerp is interessant, vereist apart materiaal, maar het zal vooral bedoeld zijn voor programmeurs. Laten we hier iets over bedenken. Wat betreft de tweede vraag, het antwoord daarop is in grote lijnen hetzelfde: encryptie, encryptie en nogmaals encryptie, wat duidelijk is. Er zijn natuurlijk methoden om de aanwezigheid van een sniffer op het netwerk te herkennen en er zelfs weerstand tegen te bieden, maar ze zijn vrij privé en niet pijnlijk effectief.