Sniffer analyzátoru síťového provozu. Co je to sniffer: popis. Čichači

Čichači- to jsou programy, které zachycují
veškerý síťový provoz. Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a
odchytávat hesla (je jasné pro koho :)). Například pokud máte přístup k
jeden síťový stroj a nainstaloval tam sniffer,
pak brzy všechna hesla z
jejich podsítě budou vaše. Čichači dát
síťovou kartu k poslechu
(PROMISC) To znamená, že přijímají všechny pakety. V LAN můžete odposlouchávat
všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby),
Tak
jak se tam praktikuje vysílání.
Čichači mohou zachytit všechno
balíčky (což je velmi nepohodlné, soubor protokolu se strašně rychle přetéká,
ale pro podrobnější analýzu sítě je to nejvíce)
nebo pouze první bajty z libovolného
ftp, telnet, pop3 atd. (toto je nejzábavnější, obvykle v prvních 100 bytech
obsahuje uživatelské jméno a heslo. Čichej teď
rozvedený ... Čichačů je mnoho
jak pod Unixem, tak pod Windows (i pod DOSem existuje :)).
Čichači umí
podporují pouze určitou osu (například linux_sniffer.c, která
podporuje Linux :)) nebo několik (například Sniffit,
pracuje s BSD, Linux, Solaris). Čichači tak zbohatli, protože
že hesla jsou přenášena po síti jako prostý text.
Takové služby
spousty. Jsou to telnet, ftp, pop3, www atd. Tyto služby
si hodně užívá
lidi :). Po boomu čichačů různé
algoritmy
šifrování těchto protokolů. Objevil se SSH (alternativa
telnet, který podporuje
šifrování), SSL (Secure Socket Layer – vývoj od Netscape, který umí šifrovat
www relace). Všechny druhy Kerberous, VPN (Virtual Private
síť). Byly použity některé AntiSniffs, ifstatus atd. Ale to v zásadě není
změnili pozice. Služby, které využívají
předání hesla v prostém textu
yuzayutsya ve všech:). Tudíž čichání bude na dlouho :).

Windows implementace snifferů

linsniffer
Toto je jednoduchý sniffer k zachycení
přihlašovací údaje/hesla. Standardní kompilace (gcc -o linsniffer
linsniffer.c).
Log zapisuje do tcp.log.

linux_sniffer
Linux_sniffer
vyžadováno, když chcete
prostudujte si síť podrobně. Standard
sestavení. Rozdává jakýkoli shnyag navíc,
like is, ack, syn, echo_request (ping) atd.

čichání
Sniffit - pokročilý model
sniffer napsal Brecht Claerhout. Nainstalovat (potřeba
libcap):
#./configure
#udělat
Nyní spustíme
čichač:
#./snifffit
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t | -s ) |
(-i|-I) | -C ]
Dostupné pluginy:
0 - Figurína
zapojit
1 - DNS plugin

Jak můžete vidět, sniffit podporuje mnoho
možnosti. Sniffak můžete používat interaktivně.
Přičichnout však
docela užitečný program, ale nepoužívám ho.
Proč? Protože Sniffit má
velké problémy s ochranou. Pro Sniffit, vzdálený root a DOS pro
Linux a Debian! Ne každý čichač si tohle dovolí :).

LOV
Tento
můj oblíbený šňupání. Manipulace s ním je velmi snadná
podporuje hodně cool
čipy a tento moment nemá žádné bezpečnostní problémy.
Navíc nic moc
vybíravý ohledně knihoven (jako linsniffer a
Linux_sniffer). On
dokáže zachytit aktuální spojení v reálném čase a pod
vyčistit výpis ze vzdáleného terminálu. V
obecně, Hijacku
rulezzz :). doporučuji
vše pro lepší využití :).
Nainstalujte:
#udělat
běh:
#lov-i

READSMB
Sniffer READSMB vystřižený z LophtCrack a přenesený na
Unix (kupodivu :)). Readsmb zachycuje SMB
balíčky.

TCPDUMP
tcpdump je poměrně známý sniffer paketů.
Psaný
ještě slavnější - Van Jacobson, který vynalezl VJ kompresi pro
PPP a napsal traceroute (a kdo ví co ještě?).
Vyžaduje knihovnu
libpcap.
Nainstalujte:
#./configure
#udělat
Nyní spustíme
její:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení vystupují do
terminál. Zde je příklad výstupu ping

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď

Obecně je sniff užitečný pro ladění sítí,
odstraňování problémů a
atd.

Dsniff
Dsniff vyžaduje libpcap, ibnet,
libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné.
Zde je příklad protokolu připojení
na unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup

Tady
dsniff zachytil přihlášení pomocí hesla (stalsen/asdqwe123).
Nainstalujte:
#./configure
#udělat
#udělat
Nainstalujte

Ochrana před čicháním

Nejjistější způsob ochrany proti
čichači -
použít ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL atd.). Studna
a pokud nechcete odmítnout služby prostého textu a vytvořit další
balíčky :)? Pak je čas použít anti-sniffer balíčky...

AntiSniff pro Windows
Tento produkt je uvolněn slavná kapela
loft. Byl to první produkt svého druhu.
AntiSniff, jak je uvedeno v
Popis:
„AntiSniff je nástroj řízený grafickým uživatelským rozhraním (GUI).
detekce promiskuitních karet síťového rozhraní (NIC) na vašem lokální síť
segment". Obecně platí, že chytá karty v promisc režimu.
Podporuje obrovskou
počet testů (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Lze skenovat jako jedno auto,
stejně tak mřížka. Tady je
log podporu. AntiSniff funguje na win95/98/NT/2000,
i když doporučeno
platforma NT. Ale jeho vláda byla krátkodobá a brzy
Časem se objevil čichač s názvem AntiAntiSniffer :),
napsal Mike
Perry (Mike Perry) (najdete ho na www.void.ru/news/9908/snoof.txt).
založené na LinSniffer (probráno později).

Detekce unixového snifferu:
Čichač
lze najít pomocí příkazu:

#ifconfig -a
lo Odkaz encap:Local
zpětná smyčka
inet addr:127.0.0.1Mask:255.0.0.0
NAHORU.
LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyb:0
vypadl:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0
překročení:0 dopravce:0
kolize:0 txqueuelen:0

ppp0 odkaz
encap:Protokol Point-to-Point
inet addr:195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
NAHORU POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrické:1
RX pakety: 3281
chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyb:0
klesl:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10

Jak
vidíte, že rozhraní ppp0 je v režimu PROMISC. Buď operátor
nahraný sniff for
zkontroluje síť, nebo už máte... Ale pamatujte,
že ifconfig může být bezpečný
swap, takže k detekci použijte tripwire
změny a nejrůznější programy
pro kontrolu čichání.

AntiSniff pro Unix.
Pracovat pro
BSD, Solaris a
linux. Podporuje ping/icmp časový test, arp test, echo test, dns
test, etherping test, obecně analog AntiSniff pro Win, pouze pro
Unix :).
Nainstalujte:
#make linux-all

Stráž
Také užitečné pro
chytání čichačů. Podporuje mnoho testů.
Jen dovnitř
použití.
Instalace: #make
#./stráž
./sentinel [-t
]
Metody:
[-test ARP]
[ -d DNS test
]
[ -i Test latence ping ICMP ]
[ -e Test ICMP Etherping
]
možnosti:
[-F ]
[ -v Zobrazit verzi a
výstup]
[-n ]
[-I
]

Možnosti jsou tak jednoduché, že ne
komentáře.

VÍCE

Zde je několik dalších
nástroje pro testování vaší sítě (např
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detektor režimu PROMISC pro ethernetové karty(pro červený klobouk 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
-Skenuje systémová zařízení, aby detekovala čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- testy stavu if síťová rozhraní v režimu PROMISC.

Wireshark bude skvělým pomocníkem pro ty uživatele, kteří potřebují provést podrobnou analýzu síťové pakety, - provoz počítačové sítě. Sniffer snadno spolupracuje s takovými běžnými protokoly jako netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 a mnoho dalších. Umožňuje analýze rozdělit síťový paket na příslušné komponenty podle konkrétního protokolu a zobrazit čitelné informace na obrazovce v číselné podobě.
podporuje velké množství různých formátů přenášených a přijímaných informací, je schopen otevřít soubory, které jsou používány jinými nástroji. Princip fungování spočívá v tom, že síťová karta se přepne do režimu vysílání a začne odposlech síťových paketů, které jsou v její zóně viditelnosti. Schopný pracovat jako program pro zachycení wifi paketů.

Jak používat wireshark

Po spuštění wireshark uvidíte hlavní nabídku programu na obrazovce, která se nachází v horní části okna. S jeho pomocí je utilita spravována. Pokud potřebujete stáhnout soubory, které ukládají data o balíčcích zachycených v předchozích relacích, a také uložit data o jiných balíčcích vytěžených v nové relaci, pak k tomu potřebujete kartu "Soubor".

Pro spuštění funkce zachytávání síťových paketů musí uživatel kliknout na ikonu „Zachytit“ a poté najít speciální sekci nabídky nazvanou „Rozhraní“, pomocí které můžete otevřít samostatné okno „Rozhraní zachytávání Wireshark“, kde by měla být všechna dostupná síťová rozhraní pomocí kterého budou zachycovány požadované datové pakety. V případě, že program (sniffer) dokáže detekovat pouze jedno vhodné rozhraní, zobrazí celé důležitá informace o něm.

Výsledky provozu utility jsou přímým důkazem toho, že i když se sami uživatelé (v daný čas) nepodílejí na přenosu jakýchkoli dat, výměna informací se v síti nezastaví. Koneckonců, princip fungování místní sítě spočívá v tom, že aby se udržela v pracovním režimu, každý z jejích prvků (počítač, přepínač a další zařízení) si mezi sebou neustále vyměňují servisní informace, proto jsou podobné síťové nástroje navrženy tak, aby zachytit takové pakety.

Existuje i verze pro systémy Linux.

Je třeba poznamenat, že sniffer je velmi užitečný pro správci sítě a služeb počítačová bezpečnost, protože utilita umožňuje identifikovat potenciálně nechráněné uzly sítě – pravděpodobné oblasti, které mohou být napadeny hackery.

Kromě zamýšleného účelu může být Wireshark použit jako nástroj pro monitorování a další analýzu síťového provozu za účelem organizace útoku na nechráněné části sítě, protože zachycený provoz lze použít k dosažení různých cílů.

Čichač není vždy zlomyslný. Ve skutečnosti, daný typ Software se často používá k analýze síťového provozu za účelem detekce a nápravy anomálií a zajištění nepřerušovaného provozu. Sniffer však může být použit se zlým úmyslem. Sniffery analyzují vše, co jimi prochází, včetně nešifrovaných hesel a přihlašovacích údajů, takže hackeři s přístupem k snifferu mohou převzít osobní údaje uživatelů. Sniffer lze navíc nainstalovat na jakýkoli počítač připojený k lokální síti, aniž by bylo nutné jej instalovat na samotné zařízení – jinými slovy, nelze jej detekovat po celou dobu připojení.

Odkud pocházejí čichači?

Hackeři používají sniffery ke krádeži cenných dat sledováním síťové aktivity a shromažďováním osobní informace o uživatelích. Útočníky zpravidla nejvíce zajímají uživatelská hesla a přihlašovací údaje, aby pomocí nich získali přístup k online bankovnictví a účtům online nakupování. Nejčastěji hackeři instalují sniffery na místa, kde nejsou chráněna WiFi připojení jako jsou kavárny, hotely a letiště. Snifferové se mohou vydávat za zařízení připojené k síti v rámci takzvaného spoofingového útoku s cílem ukrást cenná data.

Jak poznat čichače?

Rogue sniffery je velmi obtížné virtuálně rozpoznat, protože je lze nainstalovat téměř kdekoli, což představuje velmi vážnou hrozbu. zabezpečení sítě. Běžní uživateléčasto nemají nejmenší šanci rozpoznat, že sniffer sleduje jejich síťový provoz. Teoreticky je možné nainstalovat vlastní sniffer, který snímá veškerý DNS provoz pro ostatní sniffery, ale pro běžného uživatele je mnohem snazší nainstalovat anti-sniffovací software nebo antivirové řešení, které zahrnuje ochranu síťové aktivity, aby zastavil jakýkoli neoprávněný průnik nebo skrýt své síťové aktivity.

Jak odstranit sniffer

Můžete použít vysoce účinný antivirus k detekci a odstranění všech typů malwaru nainstalovaného ve vašem počítači pro sniffování. Nicméně, pro úplné odstranění sniffer z počítače, musíte odstranit absolutně všechny složky a soubory, které s ním souvisí. Důrazně se také doporučuje používat antivirus se síťovým skenerem, který pečlivě zkontroluje místní síť na zranitelnosti a v případě jejich nalezení dá pokyn k dalšímu postupu.

Jak se nestát obětí čichaře

• Šifrujte všechny informace, které odesíláte a přijímáte
• Prohledejte místní síť, zda neobsahuje zranitelnosti
• Používejte pouze důvěryhodné a zabezpečené sítě Wi-Fi

Mnoho uživatelů počítačové sítě, obecně je taková věc jako „čichač“ neznámá. Co je to sniffer, zkusme si to definovat slovy prostá řeč neškolený uživatel. Pro začátek se ale ještě musíte ponořit do předdefinice samotného pojmu.

Sniffer: co je to sniffer z hlediska angličtiny a výpočetní techniky?

Ve skutečnosti není vůbec těžké určit podstatu takového softwarového nebo hardwarově-softwarového komplexu, pokud tento termín jednoduše přeložíte.

Tento název pochází z anglického slova sniff (sniff). Odtud pochází význam ruského výrazu „čichač“. Co je to sniffer v našem chápání? „Sniffer“ schopný monitorovat využití síťového provozu, nebo jednodušeji špión, který může zasahovat do provozu místních nebo internetově orientovaných sítí a získávat informace, které potřebuje, na základě přístupu přes protokoly přenosu dat TCP / IP.

Dopravní analyzátor: jak to funguje?

Udělejme hned rezervaci: sniffer, ať už se jedná o softwarovou nebo podmíněnou softwarovou komponentu, je schopen analyzovat a zachytit provoz (vysílaná a přijímaná data) výhradně prostřednictvím síťových karet (Ethernet). Co se stalo?

Síťové rozhraní není vždy chráněno firewallem (opět - softwarovým nebo hardwarovým), a proto se odposlech přenášených či přijímaných dat stává pouze technologickou záležitostí.

V rámci sítě jsou informace přenášeny po segmentech. V rámci jednoho segmentu mají být datové pakety odesílány absolutně všem zařízením připojeným k síti. Informace o segmentech jsou předávány směrovačům (routerům) a poté přepínačům (přepínačům) a rozbočovačům (hubům). Odesílání informací se provádí rozdělením paketů, takže koncový uživatel získá všechny části balíčku spojené dohromady ze zcela odlišných cest. Takže „poslech“ všech potenciálních cest od jednoho účastníka k druhému nebo interakce internetového zdroje s uživatelem může poskytnout nejen přístup k nešifrovaným informacím, ale také k některým tajným klíčům, které mohou být také zaslány v takovém procesu interakce. A zde se ukazuje, že síťové rozhraní je zcela nechráněné, protože do něj zasahuje třetí strana.

Dobré úmysly a zlé úmysly?

Čichadla lze použít ke škodě i k dobru. Nemluvě negativní vliv, stojí za zmínku, že takové softwarové a hardwarové systémy se často používají správci systému, které se snaží sledovat počínání uživatelů nejen na síti, ale také jejich chování na internetu z hlediska navštívených zdrojů, aktivovaného stahování do počítačů nebo odesílání z nich.

Technika, kterou síťový analyzátor funguje, je poměrně jednoduchá. Čichač určuje odchozí a příchozí provoz stroje. V tomto případě nemluvíme o interní nebo externí IP. Nejdůležitějším kritériem je tzv. MAC adresa, jedinečná pro jakékoli zařízení připojené ke globálnímu webu. Na něm je identifikován každý stroj v síti.

Typy snifferů

Ale podle typu je lze rozdělit do několika hlavních:

• Hardware;
• software;
• hardware a software;
• online applety.

Behaviorální detekce přítomnosti snifferu v síti

Stejný WiFi sniffer poznáte podle zatížení sítě. Pokud je zřejmé, že přenos dat nebo připojení není na úrovni deklarované poskytovatelem (nebo router umožňuje), měli byste tomu okamžitě věnovat pozornost.

Na druhou stranu může poskytovatel spustit i softwarový sniffer pro sledování provozu bez vědomí uživatele. Ale uživatel o tom zpravidla ani neví. Na druhou stranu organizace poskytující služby komunikace a připojení k internetu tak uživateli garantuje kompletní zabezpečení z hlediska záplavového odposlechu, samoinstalačních klientů heterogenních trojských koní, špionů atd. Takové nástroje jsou však spíše softwarové a nemají zvláštní vliv na síť nebo uživatelské terminály.

Online zdroje

Ale online analyzátor provozu může být obzvláště nebezpečný. Primitivní počítačový hackerský systém je postaven na použití snifferů. Technologie ve své nejjednodušší verzi se scvrkává na skutečnost, že cracker se nejprve zaregistruje na určitém zdroji a poté nahraje obrázek na web. Po potvrzení stažení je vydán odkaz na online sniffer, který je potenciální oběti zaslán např. ve formuláři e-mailem nebo stejnou SMS zprávu s textem jako „Dostali jste od někoho gratulaci. Chcete-li otevřít obrázek (pohlednici), klikněte na odkaz.

Naivní uživatelé kliknou na zadaný hypertextový odkaz, v důsledku čehož je aktivováno rozpoznání a externí IP adresa je předána útočníkovi. S příslušnou aplikací bude moci nejen prohlížet všechna data uložená v počítači, ale také snadno zvenčí měnit nastavení systému, o čemž místní uživatel by ani nehádal, vezmeme-li takovou změnu na dopad viru. Ano, to je jen skener, když kontrola dá nulové hrozby.

Jak se chránit před zachycením dat?

Ať už se jedná o WiFi sniffer nebo jakýkoli jiný analyzátor, stále existují systémy na ochranu před neoprávněným skenováním provozu. Existuje pouze jedna podmínka: musí být nainstalovány, pouze pokud jste si zcela jisti „odposlechem“.

Takový software nejčastěji označované jako „anti-sniffers“. Ale pokud se nad tím zamyslíte, jedná se o ty samé sniffery, které analyzují provoz, ale blokují další programy, které se snaží získat

Z toho plyne legitimní otázka: vyplatí se instalovat takový software? Bude hacknutý hackery, aby způsobil ještě větší škody, nebo sám zablokuje to, co by mělo fungovat?

V nejjednodušším případě u systémů Windows je lepší použít jako ochranu vestavěný firewall (firewall). Někdy může dojít ke konfliktům s nainstalovaným antivirem, ale častěji se to týká pouze bezplatných balíčků. Profesionální zakoupené nebo měsíčně aktivované verze takové nevýhody nemají.

Místo doslovu

To je vše, co se týká pojmu „čichač“. Co je to sniffer, myslím, už mnozí přišli na to. Nakonec zůstává otázka v jiném: jak správně bude takové věci používat běžný uživatel? A pak koneckonců mezi mladými uživateli lze občas zaznamenat sklon k počítačovému chuligánství. Myslí si, že hacknutí cizího „počítače“ je něco jako zajímavá soutěž nebo sebepotvrzení. Bohužel nikdo z nich ani nepřemýšlí o důsledcích a útočníka pomocí stejného online snifferu lze velmi snadno identifikovat podle jeho externí IP například na webu WhoIs. Je pravda, že jako umístění bude uvedeno umístění poskytovatele, země a město však budou určeny přesně. No, pak je věc malá: buď volání poskytovateli za účelem zablokování terminálu, ze kterého neautorizovaný přístup nebo soudní spory. Udělejte si vlastní závěry.

Na nainstalovaný program určení polohy terminálu, ze kterého se pokouší o přístup, je situace ještě jednodušší. Důsledky ale mohou být katastrofální, protože ne všichni uživatelé tyto anonymizátory nebo virtuální proxy servery používají a nemají o tom ani ponětí na internetu. A stojí za to se učit...

Sniffery jsou programy, které zachycují veškerý síťový provoz.

Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a pro zachycení hesel (to je každému jasné). Pokud jste například získali přístup k jednomu síťovému počítači a nainstalovali jste tam sniffer, brzy budou všechna hesla z jejich podsítě vaše. Sniffer přepne síťovou kartu do režimu poslechu (PROMISC), to znamená, že přijme všechny pakety. V LAN můžete zachytit všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby), protože se tam provozuje vysílání. Sniffery dokážou zachytit všechny pakety (což je velmi nepohodlné, log soubor strašně rychle přetéká, ale pro detailnější analýzu sítě je to právě ono) nebo jen první bajty z nejrůznějších ftp, telnet, pop3 atd. (to je nejzábavnější, obvykle prvních 100 bajtů obsahuje uživatelské jméno a heslo). Nyní je spousta snifferů... Existuje mnoho snifferů pro Unix i Windows (dokonce i pro DOS). Sniffery mohou podporovat pouze určitou osu (např. linux_sniffer.c, která podporuje Linux) nebo několik (např. Sniffit pracuje s BSD, Linuxem, Solarisem). Snifferové tak zbohatli, protože hesla jsou přenášena po síti v čistém textu. Takových služeb je mnoho. Jsou to telnet, ftp, pop3, www atd. Tyto služby využívá mnoho lidí. Po rozmachu snifferů se začaly objevovat různé šifrovací algoritmy pro tyto protokoly. Objevilo se SSH (alternativa k telnetu, která podporuje šifrování), SSL (Secure Socket Layer – vývoj Netscape, který dokáže zašifrovat relaci www). Byly tam všechny druhy Kerberous, VPN (Virtual Private Network). Byly použity některé AntiSniff, ifstatus atd. To ale situaci zásadně nezměnilo. Služby, které používají přenos hesel ve formátu prostého textu, jsou využívány v plném rozsahu, takže budou čuchat ještě dlouho.

Windows implementace snifferů

CommView – www.tamos.com
Docela pokročilý sniffer od TamoSoft. Můžete si nastavit vlastní pravidla pro sniffování (např. ignorovat ICMP, sniffovat TCP, kromě internetových protokolů také existuje podpora ethernetových protokolů jako ARP, SNMP, NOVELL atd.). Můžete například čichat pouze příchozí pakety a zbytek ignorovat. Můžete zadat soubor protokolu pro všechny balíčky s omezením velikosti v mega. Má dva nástroje - Packet Generator a NIC Vendor Indentifier. Můžete vidět všechny podrobnosti o odeslaných / přijatých paketech (například v TCP paketu můžete zobrazit zdrojový port, cílový port, délku dat, kontrolní součet, sekvenci, okno, Ack, Flags, Urgent). Další dobrá věc je, že automaticky nainstaluje ovladač CAPTURE. Obecně je nástroj velmi užitečný pro sniffování, doporučuji ho všem.

SpyNet - packetstorm.securify.com
Poměrně známý sniffer výrobce Laurentiu Nicula 2000. Obvyklými funkcemi jsou paket capture/dekódování. Ačkoli je dekódování vyvinuto chladně (například můžete znovu vytvořit stránky navštívené uživatelem v dávkách!). Obecně pro amatéra.

Analyzátor - neworder.box.sk
Analyzer vyžaduje instalaci speciálního ovladače, který je součástí balení (packet.inf, packet.sys). Můžete vidět všechny informace o vašem síťová karta. Analyzátor také podporuje práci s příkazový řádek. Funguje to skvěle s lokální síť. Má několik nástrojů: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Nic výjimečného.

IRIS – www.eeye.com
IRIS je produktem známé společnosti eEye. Poskytuje rozsáhlé možnosti filtrování. Velmi mě potěšily tři funkce v něm:
1. Distribuce protokolu
2. Nejlepší hostitelé
3. Distribuce velikosti
K dispozici je také Packet Decoder. Podporuje pokročilý systém protokolování. A dostupné možnosti filtrování jsou lepší než u všech průzkumných snifferů. Jedná se o Hardwarový filtr, který dokáže zachytit buď všechny pakety (Promiscious), nebo s různými omezeními (například zachytit pouze multicastové pakety nebo broadcast pakety nebo pouze rámce Mac). Můžete filtrovat podle určitých MAC / IP adres, podle portů, podle paketů obsahujících určité znaky. Obecně dobré čichání. Vyžaduje 50comupd.dll.

WinDUMP
Podobně jako TCPdump pro Unix. Tento sniff je založen na příkazovém řádku a poskytuje minimální možnosti konfigurace a stále vyžaduje knihovnu WinPcap. Nejsem moc...

SniffitNT
Vyžaduje také WinPcap. Funguje pouze jako příkazový řádek a v interaktivním režimu. S komplexními možnostmi. Opravdu ne.

Čichání zadek
Obvyklý packet sniffer vytvořený slavnou skupinou CDC (Cult of the Dead Cow). Jeho funkcí je, že jej lze použít jako plugin pro BO (velmi užitečné).Ovládání z příkazové řádky.

Existuje mnohem více snifferů, jako jsou NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer atd. Pojďme dále...

Unixové sniffery

Všichni čichači tato recenze lze nalézt na adrese packetstorm.securify.com.

Linsniffer
Jedná se o jednoduchý sniffer pro zachycení přihlašovacích údajů/hesel. Standardní kompilace (gcc -o linsniffer linsniffer.c).
Log zapisuje do tcp.log.

Linux_sniffer
Pokud chcete podrobně prozkoumat síť, je vyžadován Linux_sniffer. Standardní kompilace. Rozdává jakékoli další nevyžádané položky, jako je is, ack, syn, echo_request (ping) atd.

čichání
Sniffit je pokročilý model sniffer napsaný Brechtem Claerhoutem. Instalovat (vyžaduje knihovnu libcap):
#./configure
#udělat
Nyní spustíme sniffer:
#./snifffit
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t | -s) | (-i|-I) | -C]
Dostupné pluginy:
0 -- Dummy Plugin
1 -- Plugin DNS

Jak vidíte, sniffit podporuje mnoho možností. Sniffak můžete používat interaktivně. Sniffit je sice docela užitečný program, ale nepoužívám ho. Proč? Protože Sniffit má velké bezpečnostní problémy. Pro Sniffit "a již byl vydán vzdálený root a dos pro Linux a Debian! Ne každý sniffer si to dovolí.

LOV
Velmi snadné použití, podporuje spoustu skvělých funkcí a v tuto chvíli nemá žádné bezpečnostní problémy. Navíc není nijak zvlášť náročný na knihovny (jako linsniffer a Linux_sniffer). Dokáže zachytit aktuální připojení v reálném čase a čistě vyprázdnit ze vzdáleného terminálu. Doporučuji všem pro rozšířené použití.
Nainstalujte:
#udělat
běh:
#lov-i

READSMB
Sniffer READSMB je vyjmut z LophtCrack a portován na Unix (kupodivu). Readsmb zachycuje pakety SMB.

TCPDUMP
tcpdump je poměrně známý sniffer paketů. Napsal ještě slavnější člověk - Van Jacobson, který vynalezl kompresi VJ pro PPP a napsal program traceroute (a kdo ví co ještě?). Vyžaduje knihovnu Libpcap.
Nainstalujte:
#./configure
#udělat
Teď to spustíme:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení jsou zobrazena na terminálu. Zde je příklad výstupu ping
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 >
02:03:09.996780 209.100.46.7 >
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: žádost o echo
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: žádost o echo
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo odpověď
Obecně je sniff užitečný pro ladění sítě, odstraňování problémů atd.

Dsniff
Dsniff vyžaduje libpcap, ibnet, libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné. Zde je příklad protokolu připojení na unix-shells.com:

02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup

Zde dsniff zachytil přihlášení pomocí hesla (stalsen/asdqwe123).
Nainstalujte:
#./configure
#udělat
#make install

Ochrana před čicháním

Nejjistějším způsobem ochrany před sniffery je použití ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME, SHTTP, SSL atd.). No, pokud nechcete odmítnout služby prostého textu a založit doplňkové balíčky? Pak je čas použít anti-sniffer balíčky...

AntiSniff pro Windows
Tento produkt vydala slavná skupina Lopht. Byl to první produkt svého druhu. AntiSniff, jak je uvedeno v popisu:
„AntiSniff je grafickým uživatelským rozhraním (GUI) řízený nástroj pro detekci promiskuitních karet síťového rozhraní (NIC) ve vašem segmentu místní sítě“. Obecně to chytá karty v promisc režimu. Podporuje velké množství testů (DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test). Můžete skenovat jak jedno auto, tak mřížku. Existuje podpora pro logy. AntiSniff funguje na win95/98/NT/2000, i když doporučená platforma je NT. Ale jeho vláda byla krátkodobá a brzy se objevil sniffer nazvaný AntiAntiSniffer napsaný Mikem Perrym (najdete ho na www.void.ru/news/9908/snoof.txt) a je založen na LinSniffer (recenzováno dále).

Detekce unixového snifferu:
Sniffer lze detekovat příkazem:
#ifconfig -a
lo Odkaz encap:Local Loopback
inet addr:127.0.0.1Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyby:0 zahozené:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0 překročení:0 dopravce:0
kolize:0 txqueuelen:0

Ppp0 Link protokol encapoint-to-Point
inet addr:195.170.y.x P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metrika:1
RX pakety:3281 chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyby:0 zahozené:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10

Jak můžete vidět, rozhraní ppp0 je v režimu PROMISC. Buď operátor nahrál sniff pro kontrolu sítě, nebo už vás mají... Ale pamatujte, že ifconfig lze snadno změnit, takže použijte tripwire pro detekci změn a nejrůznější programy pro kontrolu sniffů.

AntiSniff pro Unix.
Funguje na BSD, Solaris a Linux. Podporuje ping / icmp časový test, arp test, echo test, dns test, etherping test, obecně analog AntiSniff pro Win, pouze pro Unix.
Nainstalujte:
#make linux-all

Stráž
Také užitečný program pro chytání snifferů. Podporuje mnoho testů. Snadné použití.
Instalace: #make
#./stráž
./sentinel [-t]
Metody:
[-test ARP]
[-d DNS test]
[ -i Test latence ping ICMP ]
[ -e ICMP Etherping test ]
možnosti:
[-F]
[ -v Zobrazit verzi a skončit ]
[-n]
[-já]

Možnosti jsou tak jednoduché, že žádné komentáře.

Zde jsou některé další nástroje pro testování vaší sítě (pro Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c - vzdálený detektor režimu PROMISC pro ethernetové karty (pro red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c – Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - skenuje systémová zařízení pro detekci čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus testuje síťová rozhraní v režimu PROMISC.