Připravený čichač. Analyzátory síťových paketů. Ochrana proti čichačům

Sniffer je jiný název pro analyzátor provozu - je to program nebo jiné hardwarové zařízení, které zachycuje a následně analyzuje síťový provoz. V současné době mají tyto programy zcela právní opodstatnění, proto jsou na internetu hojně využívány, ale lze je využít jak k dobru, tak ke škodě.

Historie jejich vzniku sahá až do 90. let, kdy hackeři pomocí takového softwaru mohli snadno zachytit přihlašovací jméno a heslo uživatele, které bylo v té době velmi slabě zašifrováno.

Slovo sniffer pochází z angličtiny. čichat - čichat, princip fungování je v tom, že tento program registry a analýzy programy, které jsou nainstalovány na počítačích, které přenášejí informační pakety. Aby operace čtení informací byla účinná, musí být umístěna blízko hlavního počítače.

Programátoři používají tuto aplikaci pro analýzu provozu, další cíle sledují hackeři v síti, sledují hesla nebo další potřebné informace.

Typy analyzátorů dopravy

Sniffery se liší typem, mohou to být online applety nebo aplikace nainstalované přímo na počítači, které se zase dělí na hardware a software-hardware.

Nejčastěji se používají k zachycení hesel, v tomto případě aplikace získá přístup ke kódům zašifrovaných informací. To může uživateli přinést obrovské nepříjemnosti, protože často dochází k případům, kdy má několik programů nebo stránek nastaveno stejná hesla, což v konečném důsledku vede ke ztrátě přístupu k potřebným zdrojům.

Existuje typ sniffingu, který se používá k zachycení snímku paměti RAM, protože je obtížné neustále číst informace bez využití výkonu procesoru. Odhalit Spy možné sledováním maximálního zatížení souborů PC během provozu.

Jiný typ programu pracuje s velkým kanálem přenosu dat a škůdce může generovat až 10 megabajtové protokoly každý den.

Jak to funguje

Analyzátory pracují pouze s protokoly TCP/IP, takové programy vyžadují kabelové připojení, například směrovače, které distribuují internet. Přenos dat se provádí pomocí samostatných balíčků, které se po dosažení konečného cíle opět stávají jedním celkem. Jsou také schopny zachytit pakety v jakékoli fázi přenosu a získat spolu s nimi cenné informace ve formě nechráněných hesel. V každém případě lze pomocí dešifrovacích programů získat klíč i k chráněnému heslu.

Nejjednodušší způsob použití WiFi snifferů je v sítích se slabou ochranou - v kavárnách, na veřejných místech atd.

Poskytovatelé používající tyto programy mohou sledovat neoprávněný přístup na externí systémové adresy.

Jak se chránit před sniffery

Abyste pochopili, že někdo pronikl do místní sítě, měli byste nejprve věnovat pozornost rychlost stahování balíčku, pokud je výrazně nižší, než je uvedeno, mělo by vás to upozornit. Výkon počítače můžete sledovat pomocí Správce úloh. Můžete použít speciální nástroje, které však nejčastěji kolidují s firewallem Windows, takže je lepší jej na chvíli zakázat.

Pro systémové administrátory je kontrola a vyhledávání analyzátorů provozu v lokální síti nezbytným počinem. Pro detekci škodlivých aplikací můžete použít známé síťové antiviry, jako je Doctor Web nebo Kaspersky Anti-Virus, které umožňují odhalit škůdce jak na vzdálených hostitelích, tak přímo v lokální síti.

Kromě speciálních aplikací, které se jednoduše nainstalují do vašeho počítače, můžete použít složitější hesla a kryptografické systémy. Kryptografické systémy pracují přímo s informacemi, šifrují je pomocí elektronického podpisu.

Přehled aplikací a hlavní funkce

CommView

CommView dekóduje pakety přenášených informací a zobrazuje statistiky použitých protokolů ve formě diagramů. Sniffer provozu vám umožňuje analyzovat pakety IP a ty, které jsou nezbytné. Sniffer pro Windows pracuje se známými protokoly: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP atd. CommView funguje s ethernetovými modemy, wi-fi a dalšími. Pakety jsou zachyceny prostřednictvím navázaného připojení pomocí „ AktuálníIP- spojení“, kde můžete vytvářet aliasy adres.

karta " Balíčky» zobrazí informace o nich a lze je zkopírovat do schránky.

« LOG-soubory» umožňuje prohlížet balíčky ve formátu NFC.

karta " Pravidla" Zde můžete nastavit podmínky pro zachycení paketů. Části této záložky: IP adresy, MAC adresy, Porty, Proces, Vzorce a Jednotlivé parametry.

« Varování": umožňuje nastavení upozornění v místní síti, funguje pomocí tlačítka "Přidat". Zde můžete nastavit podmínky a typy událostí:

• „Pakety za sekundu“ - při překročení úrovně zatížení sítě.
• „Bajty za sekundu“ - při překročení frekvence přenosu dat.
• „Neznámá adresa“, tedy detekce neoprávněných připojení.

karta " Pohled»—zde se promítají statistiky provozu.

CommView je kompatibilní s Windows 98, 2000, XP, 2003. Pro použití aplikace je vyžadován ethernetový adaptér.

Výhody: uživatelsky přívětivé rozhraní v ruštině, podpora běžných typů síťových adaptérů, vizualizace statistik. Jedinou nevýhodou je vysoká cena.

Spynet

Spynet provádí funkce dekódování paketů a jejich zachycování. S jeho pomocí můžete znovu vytvořit stránky, které uživatel navštívil. Skládá se ze 2 programů CaptureNet a PipeNet. Je vhodné jej používat v lokální síti. CaptureNet skenuje datové pakety, druhý program monitoruje proces.

Rozhraní je celkem jednoduché:

• Knoflík Modifikovat Filtr– nastavení filtrů.
• Knoflík Vrstva 2,3 – nainstaluje protokoly Flame – IP; Vrstva 3 – TCP.
• Knoflík Vzor Vhodný vyhledává balíčky se zadanými parametry.
• Knoflík IP— Adresy umožňuje skenovat potřebné IP adresy, které přenášejí informace, které vás zajímají. (Možnosti 1-2, 2-1, 2=1). V druhém případě veškerý provoz.
• Knoflík Porty, tedy výběr portů.

Chcete-li zachytit data, musíte spustit program Capture Start, tj. spustí se proces zachycení dat. Soubor s uloženými informacemi se zkopíruje až po příkazu Stop, tj. ukončení akcí zachycení.

Výhodou Spynetu je schopnost dekódovat webové stránky, které uživatel navštívil. Program lze také stáhnout zdarma, i když je poměrně obtížné jej najít. Mezi nevýhody patří malá sada funkcí ve Windows. Funguje ve Windows XP, Vista.

BUTTSniffer

BUTTSniffer analyzuje síťové pakety přímo. Principem fungování je odposlech přenášených dat a také možnost jejich automatického ukládání na médium, což je velmi pohodlné. Tento program je spuštěn přes příkazový řádek. Existují také možnosti filtrování. Program se skládá z BUTTSniff.exe a BUTTSniff. dll.

Mezi výrazné nevýhody BUTTSnifferu patří nestabilní provoz, časté pády, dokonce pády OS (modrá obrazovka smrti).

Kromě těchto sniffer programů existuje mnoho dalších neméně známých programů: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Existují také online sniffery, které kromě získání IP adresy oběti přímo změní IP adresu útočníka. Tito. Hacker se nejprve zaregistruje pod IP adresou a pošle do počítače oběti obrázek, který je potřeba stáhnout, nebo e-mail, který stačí otevřít. Poté hacker obdrží všechna potřebná data.

Sluší se připomenout, že zasahování do dat cizího počítače je trestné.

Čichač není vždy zlomyslný. Ve skutečnosti se tento typ softwaru často používá k analýze síťového provozu za účelem detekce a odstranění anomálií a zajištění hladkého provozu. Sniffer však může být použit se zlým úmyslem. Sniffery analyzují vše, co jimi prochází, včetně nešifrovaných hesel a přihlašovacích údajů, takže hackeři s přístupem k snifferu mohou získat osobní údaje uživatelů. Sniffer lze navíc nainstalovat na jakýkoli počítač připojený k lokální síti, aniž by bylo nutné jej instalovat na samotné zařízení – jinými slovy, nelze jej detekovat po celou dobu připojení.

Odkud pocházejí čichači?

Hackeři používají sniffery ke krádeži cenných dat sledováním síťové aktivity a shromažďováním osobních údajů o uživatelích. Útočníci se obvykle nejvíce zajímají o uživatelská hesla a přihlašovací údaje, aby získali přístup k online bankovnictví a účtům online obchodů. Nejčastěji hackeři instalují sniffery na místa, kde jsou distribuována nezabezpečená Wi-Fi připojení, například v kavárnách, hotelech a na letištích. Sniffery se mohou maskovat jako zařízení připojené k síti v takzvaném spoofingovém útoku, aby ukradli cenná data.

Jak poznat čichače?

Neautorizované sniffery je velmi obtížné virtuálně rozpoznat, protože je lze nainstalovat téměř kdekoli, což představuje velmi vážnou hrozbu pro bezpečnost sítě. Běžní uživatelé často nemají šanci rozpoznat, že sniffer sleduje jejich síťový provoz. Teoreticky je možné nainstalovat vlastní sniffer, který by monitoroval veškerý DNS provoz na přítomnost jiných snifferů, ale pro běžného uživatele je mnohem jednodušší nainstalovat antisniffovací software nebo antivirové řešení, které obsahuje ochranu síťové aktivity pro zastavení jakékoli neoprávněné vniknutí nebo skrytí vašich síťových aktivit.

Jak odstranit sniffer

Můžete použít vysoce účinný antivirus k detekci a odstranění všech typů malwaru nainstalovaného ve vašem počítači pro účely sniffování. Chcete-li však sniffer úplně odstranit z počítače, musíte odstranit absolutně všechny složky a soubory, které se k němu vztahují. Důrazně se také doporučuje používat antivirus se síťovým skenerem, který důkladně prověří lokální síť na zranitelnosti a v případě jejich nalezení dá pokyn k dalšímu postupu.

Jak se nestát obětí sniffera

• Šifrujte všechny informace, které odesíláte a přijímáte
• Prohledejte místní síť, zda neobsahuje zranitelnosti
• Používejte pouze ověřené a zabezpečené sítě Wi-Fi

Mnoho uživatelů počítačových sítí obecně nezná pojem „čichač“. Zkusme definovat, co je to sniffer, jednoduchým jazykem netrénovaného uživatele. Nejprve se ale ještě musíte ponořit do předdefinice samotného pojmu.

Sniffer: co je to sniffer z pohledu anglického jazyka a výpočetní techniky?

Ve skutečnosti není vůbec těžké určit podstatu takového softwarového nebo hardwarově-softwarového komplexu, pokud tento termín jednoduše přeložíte.

Tento název pochází z anglického slova sniff (sniff). Odtud pochází význam ruského výrazu „čichač“. Co je to sniffer v našem chápání? „Sniffer“ schopný monitorovat používání síťového provozu, nebo jednodušeji špión, který může zasahovat do provozu místních nebo internetových sítí a získávat informace, které potřebuje, na základě přístupu přes protokoly přenosu dat TCP/IP.

Dopravní analyzátor: jak to funguje?

Udělejme rezervaci hned: sniffer, ať už se jedná o softwarovou nebo sharewarovou komponentu, je schopen analyzovat a zachycovat provoz (vysílaná a přijímaná data) výhradně prostřednictvím síťových karet (Ethernet). Co se stalo?

Síťové rozhraní není vždy chráněno firewallem (opět softwarovým nebo hardwarovým), a proto se zachycení přenášených či přijímaných dat stává pouze technologickou záležitostí.

V rámci sítě jsou informace přenášeny napříč segmenty. V rámci jednoho segmentu mají být datové pakety odesílány absolutně všem zařízením připojeným k síti. Segmentované informace jsou předávány směrovačům (routerům) a poté přepínačům (přepínačům) a koncentrátorům (hubům). Odesílání informací se provádí rozdělením paketů tak, aby koncový uživatel obdržel všechny části balíčku spojené dohromady ze zcela odlišných cest. „Poslouchání“ všech potenciálních cest od jednoho předplatitele k druhému nebo interakce internetového zdroje s uživatelem tedy může poskytnout nejen přístup k nešifrovaným informacím, ale také k některým tajným klíčům, které mohou být také zaslány v takovém procesu interakce. . A zde se ukazuje, že síťové rozhraní je zcela nechráněné, protože do něj zasahuje třetí strana.

Dobré úmysly a zlé úmysly?

Sniffery lze použít pro dobré i špatné. Nemluvě o negativním dopadu, stojí za zmínku, že takové softwarové a hardwarové systémy jsou poměrně často využívány systémovými administrátory, kteří se snaží sledovat akce uživatelů nejen na síti, ale také jejich chování na internetu z hlediska navštívených zdrojů, aktivované stahování do počítačů nebo odesílání z nich .

Metoda, kterou síťový analyzátor funguje, je poměrně jednoduchá. Čichač detekuje odchozí a příchozí provoz stroje. Nemluvíme o interní nebo externí IP. Nejdůležitějším kritériem je tzv. MAC adresa, jedinečná pro jakékoli zařízení připojené ke globálnímu webu. Používá se k identifikaci každého stroje v síti.

Typy čichačů

Ale podle typu je lze rozdělit do několika hlavních:

• Hardware;
• software;
• hardware a software;
• online applety.

Behaviorální detekce přítomnosti snifferu v síti

Stejný WiFi sniffer poznáte podle zatížení sítě. Pokud je zřejmé, že datový přenos nebo připojení není na úrovni udávané poskytovatelem (nebo router umožňuje), měli byste tomu okamžitě věnovat pozornost.

Na druhou stranu může poskytovatel spustit i softwarový sniffer pro sledování provozu bez vědomí uživatele. Ale uživatel o tom zpravidla ani neví. Ale organizace poskytující služby komunikace a připojení k internetu tak uživateli zaručuje úplnou bezpečnost z hlediska zachycení záplav, samoinstalace klientů různých trojských koní, špionů atd. Takové nástroje jsou však spíše softwarové a nemají velký dopad na síť nebo uživatelské terminály.

Online zdroje

Ale online analyzátor provozu může být obzvláště nebezpečný. Primitivní počítačový hackerský systém je postaven na použití snifferů. Technologie ve své nejjednodušší podobě se scvrkává na skutečnost, že útočník se nejprve zaregistruje na určitém zdroji a poté na stránku nahraje obrázek. Po potvrzení stažení je vydán odkaz na online sniffer, který je potenciální oběti zaslán např. ve formě emailu nebo stejné SMS zprávy s textem jako „Dostali jste gratulaci od so-a -tak. Chcete-li otevřít obrázek (pohlednici), klikněte na odkaz.“

Naivní uživatelé kliknou na zadaný hypertextový odkaz, v důsledku čehož se aktivuje rozpoznání a externí IP adresa se předá útočníkovi. Pokud má příslušnou aplikaci, bude moci nejen prohlížet všechna data uložená v počítači, ale také snadno zvenčí měnit nastavení systému, což si místní uživatel ani neuvědomí, přičemž takovou změnu bude považovat za vliv viru. Skener ale při kontrole neukáže žádné hrozby.

Jak se chránit před zachycením dat?

Ať už se jedná o WiFi sniffer nebo jakýkoli jiný analyzátor, stále existují systémy na ochranu před neoprávněným skenováním provozu. Existuje pouze jedna podmínka: musí být instalovány pouze tehdy, pokud jste si zcela jisti „odposlechem“.

Takové softwarové nástroje se nejčastěji nazývají „antisniffers“. Ale pokud se nad tím zamyslíte, jedná se o tytéž čichací programy, které analyzují provoz, ale blokují jiné programy, které se snaží přijímat

Z toho plyne legitimní otázka: vyplatí se instalovat takový software? Možná jeho hackování hackery způsobí ještě větší škody, nebo samo zablokuje to, co by mělo fungovat?

V nejjednodušším případě se systémy Windows je lepší použít jako ochranu vestavěný firewall. Někdy může dojít ke konfliktům s nainstalovaným antivirem, ale to se často týká pouze bezplatných balíčků. Profesionální zakoupené nebo měsíčně aktivované verze takové nedostatky nemají.

Místo doslovu

To je vše o konceptu „sniffer“. Myslím, že mnoho lidí již přišlo na to, co je sniffer. Nakonec zůstává otázka: jak správně bude běžný uživatel takové věci používat? Jinak mezi mladými uživateli lze občas zaznamenat sklon k počítačovému chuligánství. Myslí si, že hacknutí cizího počítače je něco jako zajímavá soutěž nebo sebepotvrzení. Bohužel nikdo z nich ani nepřemýšlí o důsledcích, ale identifikovat útočníka pomocí stejného online snifferu je velmi snadné podle jeho externí IP například na webu WhoIs. Je pravda, že jako umístění bude uvedeno umístění poskytovatele, země a město však budou určeny přesně. Pak je to otázka maličkostí: buď výzva poskytovateli, aby zablokoval terminál, ze kterého byl neoprávněný přístup, nebo trestní řízení. Udělejte si vlastní závěry.

Pokud je nainstalován program, který určuje umístění terminálu, ze kterého se provádí pokus o přístup, je situace ještě jednodušší. Důsledky však mohou být katastrofální, protože ne všichni uživatelé používají stejné anonymizátory nebo virtuální proxy servery a nemají o internetu ani ponětí. Stálo by za to se naučit...

Pro Win2000 - Windows 10 (2019) (Server, x86, x64). Nejnovější verze: 4.4.17 sestavení 424. 24. dubna 2019.

co je sniffer sériového portu je program, který sleduje přenos dat jiným programem a jakoby se „vklíní“ mezi sériové rozhraní a studovaný program. Zachycovač dat sériového portu vám umožňuje studovat provozní funkce vašeho nebo jiného programu běžícího ve Windows. Pokud je program, který studujete, vyvinut vámi, pak se zachycovač dat sériového portu změní na debugger rozhraní RS232, který vám umožní sledovat chyby, ke kterým dochází při výměně dat. Režim sledování dat sériového portu v našem programu se nazývá „Observer“ a je vyvolán z nabídky „Mode“ v hlavním okně programu.

Je nutné provést přepnutí do režimu sledování dat sériového portu PŘED spustit studovaný program. Pokud to neuděláte, pak sniffer sériového portu již nebude mít přístup k sériovému portu, a tudíž nebude schopen vykonávat své funkce.

V režimu zachycování dat sériového portu program sleduje veškerý provoz, vysílaný i přijímaný. Odeslaná data lze zvýraznit na obrazovce programu. Tuto funkci lze povolit v možnostech na záložce "Jiné / Typ dat".

Náš zachycovač dat sériového portu vám umožňuje sledovat přenos dat na obrazovce v jakékoli formě (hexadecimální, desítkové nebo jakékoli jiné). To vám umožní najít opakující se sekvence datových bloků a identifikovat vzory v průchodu dat, aniž byste opustili zachycovač dat sériového portu.

Další důležitou vlastností našeho zachycovače dat sériového portu je schopnost uložit odeslaná a přijatá data do souboru pro pozdější analýzu. Režim generování souborů zachycovače dat sériového portu je flexibilně konfigurován, což šetří čas při analýze velkého množství dat zaznamenaných programem.

Náš program lze velmi snadno proměnit ve výkonný a vysoce přizpůsobitelný pozorovatel dat. Chcete-li to provést, stačí stáhnout a nainstalovat program. Poté spusťte program. Vyberte režim "Pozorovatel" v hlavní nabídce "Režim". Poté vyberte sériový port ze seznamu a klikněte na tlačítko "Otevřít". Nezapomeňte, že to musí být provedeno před spuštěním studovaného programu. A vše je ve vašich rukou – univerzální nástroj pro řešení široké škály problémů.

Ve srovnání s jinými sniffery sériového portu má Advanced Serial Port Monitor několik jedinečných funkcí:

• Zachycovač dat sériového portu poskytuje schopnost běžet na celé rodině operačních systémů Windows, od Windows 2000 až po Windows 10 x64;
• Zachycovač dat sériového portu umožňuje sledovat přenos dat na všech sériových portech nainstalovaných v systému. Číslo sériového portu se může pohybovat od 1 do 255;
• Sniffer sériového portu vám dává možnost sledovat provoz přenášený během telefonického připojení.

Všechny schopnosti zachycovače dat sériového portu jsou implementovány v našem programu Advanced Serial Port Monitor. Stáhněte si zkušební verzi nyní – je rychlá a zdarma!

Čichači- to jsou programy, které zachycují
veškerý síťový provoz. Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a
zachytit hesla (je jasné pro koho :)). Například pokud jste získali přístup k
jeden síťový stroj a nainstaloval tam sniffer,
pak brzy všechna hesla z
jejich podsítě budou vaše. Sada čichačů
síťová karta při poslechu
režimu (PROMISC), to znamená, že přijímají všechny pakety. Lokálně můžete zachytit
všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby),
Tak
Jak se tam provozuje vysílání?
Čichači mohou zachytit všechno
balíčky (což je velmi nepohodlné, soubor protokolu se plní strašně rychle,
ale pro podrobnější analýzu sítě je to perfektní)
nebo pouze první bajty ze všech druhů
ftp, telnet, pop3 atd. (toto je ta zábavná část, obvykle v prvních 100 bytech
obsahuje uživatelské jméno a heslo :)). Čichači teď
rozvedený... Čichačů je mnoho
jak pod Unixem, tak pod Windows (i pod DOSem existuje :)).
Čichači umí
podporují pouze určitou osu (například linux_sniffer.c, která
podporuje Linux :)), nebo několik (například Sniffit,
pracuje s BSD, Linux, Solaris). Čichači tak zbohatli, protože
že hesla jsou přenášena po síti jako prostý text.
Takové služby
mnoho. Jedná se o telnet, ftp, pop3, www atd. Tyto služby
používá hodně
lidi :). Po čichacím boomu různé
algoritmy
šifrování těchto protokolů. Objevil se SSH (alternativa
podporující telnet
šifrování), SSL (Secure Socket Layer – vývoj Netscape, který umí šifrovat
www relace). Všechny druhy Kerberous, VPN (Virtual Private
Síť). Byly použity některé AntiSniffs, ifstatus atd. Ale to v zásadě není
změnil situaci. Služby, které využívají
přenos hesla ve formátu prostého textu
jsou maximálně využité :). Tudíž budou ještě dlouho čichat :).

Windows sniffer implementace

linsniffer
Toto je jednoduchý sniffer k zachycení
přihlašovací údaje/hesla. Standardní kompilace (gcc -o linsniffer
linsniffer.c).
Protokoly se zapisují do tcp.log.

linux_sniffer
Linux_sniffer
vyžadováno, když chcete
podrobně prostudujte síť. Standard
sestavení. Rozdává všechny druhy svinstva navíc,
like is, ack, syn, echo_request (ping) atd.

Sniffit
Sniffit - pokročilý model
sniffer napsal Brecht Claerhout. Nainstalovat (potřeba
libcap):
#./configure
#udělat
Nyní spustíme
čichač:
#./čichnout
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t | -s ) |
(-i|-I) | -C ]
Dostupné pluginy:
0 - Figurína
Zapojit
1 -- Plugin DNS

Jak můžete vidět, sniffit podporuje mnoho
možnosti. Sniffak můžete používat interaktivně.
Sniffit však
docela užitečný program, ale nepoužívám ho.
Proč? Protože Sniffit
velké problémy s ochranou. Pro Sniffit již byl uvolněn vzdálený kořen a dos
Linux a Debian! Tohle neumí každý čichač :).

LOV
Tento
můj oblíbený šňupání. Velmi snadno se používá,
podporuje hodně cool
čipy a v současné době nemá žádné bezpečnostní problémy.
Navíc nic moc
náročné na knihovny (jako je linsniffer a
Linux_sniffer). On
dokáže zachytit aktuální spojení v reálném čase a
vyčistit výpis ze vzdáleného terminálu. V
obecně, Hijacku
rulezzz :). doporučuji
všem pro lepší využití :).
Nainstalujte:
#udělat
Běh:
#lov -i

READSMB
Sniffer READSMB je vyjmut z LophtCrack a přenesen do
Unix (kupodivu :)). Readsmb zachycuje SMB
balíčky.

TCPDUMP
tcpdump je poměrně známý analyzátor paketů.
Psaný
ještě slavnější osobnost - Van Jacobson, který vynalezl VJ kompresi pro
PPP a napsal program traceroute (a kdo ví co ještě?).
Vyžaduje knihovnu
Libpcap.
Nainstalujte:
#./configure
#udělat
Nyní spustíme
její:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení jsou zobrazena na
terminál. Zde je příklad výstupu ping

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď

Obecně je sniff užitečný pro ladění sítí,
odstraňování problémů a
atd.

Dsniff
Dsniff vyžaduje libpcap, ibnet,
libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné.
Zde je příklad protokolu připojení
na unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup

Tady
dsniff zachytil přihlašovací jméno a heslo (stalsen/asdqwe123).
Nainstalujte:
#./configure
#udělat
#udělat
Nainstalujte

Ochrana proti čichačům

Nejjistější způsob ochrany
čichači -
použít ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL atd.). Studna
a pokud se nechcete vzdát služeb prostého textu a nainstalovat další
balíčky :)? Pak je čas použít anti-sniffer pakety...

AntiSniff pro Windows
Tento produkt vydala slavná skupina
Loft. Byl to první výrobek svého druhu.
AntiSniff, jak je uvedeno v
Popis:
„AntiSniff je nástroj řízený grafickým uživatelským rozhraním (GUI).
detekce promiskuitních karet síťového rozhraní (NIC) ve vaší místní síti
segment". Obecně platí, že chytá karty v promisc režimu.
Podporuje obrovskou
počet testů (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Lze skenovat jako jedno auto,
a mřížka. Tady je
log podporu. AntiSniff funguje na win95/98/NT/2000,
i když doporučeno
platforma NT. Ale jeho vláda byla krátkodobá a brzy bude
časem se objevil čichač s názvem AntiAntiSniffer :),
napsal Mike
Perry (Mike Perry) (najdete ho na www.void.ru/news/9908/snoof.txt).
založené na LinSniffer (diskutované níže).

Detekce unixového snifferu:
Čichač
lze najít pomocí příkazu:

#ifconfig -a
lo Odkaz encap:Local
Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
NAHORU.
LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyb:0
vypadl:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0
překročení:0 dopravce:0
kolize:0 txqueuelen:0

ppp0 odkaz
encap:Protokol Point-to-Point
inet addr:195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
NAHORU POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrické:1
RX pakety: 3281
chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyb:0
klesl:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10

Jak
vidíte, že rozhraní ppp0 je v režimu PROMISC. Buď operátor
nahraný sniff for
kontroluje síť, nebo už vás mají... Ale pamatujte,
že ifconfig lze provést bezpečně
spoof, takže k detekci použijte tripwire
změny a nejrůznější programy
pro kontrolu čichání.

AntiSniff pro Unix.
Pracovat pro
BSD, Solaris a
Linux. Podporuje ping/icmp časový test, arp test, echo test, dns
test, etherping test, obecně analog AntiSniff pro Win, pouze pro
Unix :).
Nainstalujte:
#make linux-all

Stráž
Také užitečný program pro
chytání čichačů. Podporuje mnoho testů.
Snadno
použití.
Instalace: #make
#./stráž
./sentinel [-t
]
Metody:
[ -a ARP test ]
[ -d DNS test
]
[ -i Test latence ping ICMP ]
[ -e Test ICMP Etherping
]
Možnosti:
[ -f ]
[ -v Zobrazit verzi a
odejít]
[ -n ]
[-I
]

Možnosti jsou tak jednoduché, že ne
komentáře.

VÍCE

Zde je několik dalších
nástroje pro kontrolu vaší sítě (např
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detektor režimu PROMISC pro ethernetové karty (pro red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- skenuje systémová zařízení, aby detekovala čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus testuje síťová rozhraní v režimu PROMISC.