Sniffer analyzátoru síťového provozu. Co je to sniffer: popis. Čichači
Čichači- to jsou programy, které zachycují
veškerý síťový provoz. Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a
odchytávat hesla (je jasné pro koho :)). Například pokud máte přístup k
jeden síťový stroj a nainstaloval tam sniffer,
pak brzy všechna hesla z
jejich podsítě budou vaše. Čichači dát
síťovou kartu k poslechu
(PROMISC) To znamená, že přijímají všechny pakety. V LAN můžete odposlouchávat
všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby),
Tak
jak se tam praktikuje vysílání.
Čichači mohou zachytit všechno
balíčky (což je velmi nepohodlné, soubor protokolu se strašně rychle přetéká,
ale pro podrobnější analýzu sítě je to nejvíce)
nebo pouze první bajty z libovolného
ftp, telnet, pop3 atd. (toto je nejzábavnější, obvykle v prvních 100 bytech
obsahuje uživatelské jméno a heslo. Čichej teď
rozvedený ... Čichačů je mnoho
jak pod Unixem, tak pod Windows (i pod DOSem existuje :)).
Čichači umí
podporují pouze určitou osu (například linux_sniffer.c, která
podporuje Linux :)) nebo několik (například Sniffit,
pracuje s BSD, Linux, Solaris). Čichači tak zbohatli, protože
že hesla jsou přenášena po síti jako prostý text.
Takové služby
spousty. Jsou to telnet, ftp, pop3, www atd. Tyto služby
si hodně užívá
lidi :). Po boomu čichačů různé
algoritmy
šifrování těchto protokolů. Objevil se SSH (alternativa
telnet, který podporuje
šifrování), SSL (Secure Socket Layer – vývoj od Netscape, který umí šifrovat
www relace). Všechny druhy Kerberous, VPN (Virtual Private
síť). Byly použity některé AntiSniffs, ifstatus atd. Ale to v zásadě není
změnili pozice. Služby, které využívají
předání hesla v prostém textu
yuzayutsya ve všech:). Tudíž čichání bude na dlouho :).
Windows implementace snifferů
linsniffer
Toto je jednoduchý sniffer k zachycení
přihlašovací údaje/hesla. Standardní kompilace (gcc -o linsniffer
linsniffer.c).
Log zapisuje do tcp.log.
linux_sniffer
Linux_sniffer
vyžadováno, když chcete
prostudujte si síť podrobně. Standard
sestavení. Rozdává jakýkoli shnyag navíc,
like is, ack, syn, echo_request (ping) atd.
čichání
Sniffit - pokročilý model
sniffer napsal Brecht Claerhout. Nainstalovat (potřeba
libcap):
#./configure
#udělat
Nyní spustíme
čichač:
#./snifffit
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t
Jak můžete vidět, sniffit podporuje mnoho
možnosti. Sniffak můžete používat interaktivně.
Přičichnout však
docela užitečný program, ale nepoužívám ho.
Proč? Protože Sniffit má
velké problémy s ochranou. Pro Sniffit, vzdálený root a DOS pro
Linux a Debian! Ne každý čichač si tohle dovolí :).
LOV
Tento
můj oblíbený šňupání. Manipulace s ním je velmi snadná
podporuje hodně cool
čipy a tento moment nemá žádné bezpečnostní problémy.
Navíc nic moc
vybíravý ohledně knihoven (jako linsniffer a
Linux_sniffer). On
dokáže zachytit aktuální spojení v reálném čase a pod
vyčistit výpis ze vzdáleného terminálu. V
obecně, Hijacku
rulezzz :). doporučuji
vše pro lepší využití :).
Nainstalujte:
#udělat
běh:
#lov-i
READSMB
Sniffer READSMB vystřižený z LophtCrack a přenesený na
Unix (kupodivu :)). Readsmb zachycuje SMB
balíčky.
TCPDUMP
tcpdump je poměrně známý sniffer paketů.
Psaný
ještě slavnější - Van Jacobson, který vynalezl VJ kompresi pro
PPP a napsal traceroute (a kdo ví co ještě?).
Vyžaduje knihovnu
libpcap.
Nainstalujte:
#./configure
#udělat
Nyní spustíme
její:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení vystupují do
terminál. Zde je příklad výstupu ping
ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
Obecně je sniff užitečný pro ladění sítí,
odstraňování problémů a
atd.
Dsniff
Dsniff vyžaduje libpcap, ibnet,
libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné.
Zde je příklad protokolu připojení
na unix-shells.com:
02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup
Tady
dsniff zachytil přihlášení pomocí hesla (stalsen/asdqwe123).
Nainstalujte:
#./configure
#udělat
#udělat
Nainstalujte
Ochrana před čicháním
Nejjistější způsob ochrany proti
čichači -
použít ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL atd.). Studna
a pokud nechcete odmítnout služby prostého textu a vytvořit další
balíčky :)? Pak je čas použít anti-sniffer balíčky...
AntiSniff pro Windows
Tento produkt je uvolněn slavná kapela
loft. Byl to první produkt svého druhu.
AntiSniff, jak je uvedeno v
Popis:
„AntiSniff je nástroj řízený grafickým uživatelským rozhraním (GUI).
detekce promiskuitních karet síťového rozhraní (NIC) na vašem lokální síť
segment". Obecně platí, že chytá karty v promisc režimu.
Podporuje obrovskou
počet testů (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Lze skenovat jako jedno auto,
stejně tak mřížka. Tady je
log podporu. AntiSniff funguje na win95/98/NT/2000,
i když doporučeno
platforma NT. Ale jeho vláda byla krátkodobá a brzy
Časem se objevil čichač s názvem AntiAntiSniffer :),
napsal Mike
Perry (Mike Perry) (najdete ho na www.void.ru/news/9908/snoof.txt).
založené na LinSniffer (probráno později).
Detekce unixového snifferu:
Čichač
lze najít pomocí příkazu:
#ifconfig -a
lo Odkaz encap:Local
zpětná smyčka
inet addr:127.0.0.1Mask:255.0.0.0
NAHORU.
LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyb:0
vypadl:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0
překročení:0 dopravce:0
kolize:0 txqueuelen:0
ppp0 odkaz
encap:Protokol Point-to-Point
inet addr:195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
NAHORU POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrické:1
RX pakety: 3281
chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyb:0
klesl:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10
Jak
vidíte, že rozhraní ppp0 je v režimu PROMISC. Buď operátor
nahraný sniff for
zkontroluje síť, nebo už máte... Ale pamatujte,
že ifconfig může být bezpečný
swap, takže k detekci použijte tripwire
změny a nejrůznější programy
pro kontrolu čichání.
AntiSniff pro Unix.
Pracovat pro
BSD, Solaris a
linux. Podporuje ping/icmp časový test, arp test, echo test, dns
test, etherping test, obecně analog AntiSniff pro Win, pouze pro
Unix :).
Nainstalujte:
#make linux-all
Stráž
Také užitečné pro
chytání čichačů. Podporuje mnoho testů.
Jen dovnitř
použití.
Instalace: #make
#./stráž
./sentinel [-t
Metody:
[-test ARP]
[ -d DNS test
]
[ -i Test latence ping ICMP ]
[ -e Test ICMP Etherping
]
možnosti:
[-F
[ -v Zobrazit verzi a
výstup]
[-n
[-I
]
Možnosti jsou tak jednoduché, že ne
komentáře.
VÍCE
Zde je několik dalších
nástroje pro testování vaší sítě (např
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detektor režimu PROMISC pro ethernetové karty(pro červený klobouk 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
-Skenuje systémová zařízení, aby detekovala čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- testy stavu if síťová rozhraní v režimu PROMISC.
Wireshark bude skvělým pomocníkem pro ty uživatele, kteří potřebují provést podrobnou analýzu síťové pakety, - provoz počítačové sítě. Sniffer snadno spolupracuje s takovými běžnými protokoly jako netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 a mnoho dalších. Umožňuje analýze rozdělit síťový paket na příslušné komponenty podle konkrétního protokolu a zobrazit čitelné informace na obrazovce v číselné podobě.
podporuje velké množství různých formátů přenášených a přijímaných informací, je schopen otevřít soubory, které jsou používány jinými nástroji. Princip fungování spočívá v tom, že síťová karta se přepne do režimu vysílání a začne odposlech síťových paketů, které jsou v její zóně viditelnosti. Schopný pracovat jako program pro zachycení wifi paketů.
Jak používat wireshark
Program zkoumá obsah informačních paketů, které procházejí sítí. Pro spuštění a využití výsledků práce snifferu nejsou potřeba žádné specifické znalosti, stačí jej otevřít v nabídce „Start“ nebo kliknout na ikonu na ploše (její spuštění se nijak neliší od ostatních programy pro Windows). Speciální funkce nástroje umožňuje zachytit informační pakety, pečlivě dešifrovat jejich obsah a vydat je uživateli k analýze.Po spuštění wireshark uvidíte hlavní nabídku programu na obrazovce, která se nachází v horní části okna. S jeho pomocí je utilita spravována. Pokud potřebujete stáhnout soubory, které ukládají data o balíčcích zachycených v předchozích relacích, a také uložit data o jiných balíčcích vytěžených v nové relaci, pak k tomu potřebujete kartu "Soubor".
Pro spuštění funkce zachytávání síťových paketů musí uživatel kliknout na ikonu „Zachytit“ a poté najít speciální sekci nabídky nazvanou „Rozhraní“, pomocí které můžete otevřít samostatné okno „Rozhraní zachytávání Wireshark“, kde by měla být všechna dostupná síťová rozhraní pomocí kterého budou zachycovány požadované datové pakety. V případě, že program (sniffer) dokáže detekovat pouze jedno vhodné rozhraní, zobrazí celé důležitá informace o něm.
Výsledky provozu utility jsou přímým důkazem toho, že i když se sami uživatelé (v daný čas) nepodílejí na přenosu jakýchkoli dat, výměna informací se v síti nezastaví. Koneckonců, princip fungování místní sítě spočívá v tom, že aby se udržela v pracovním režimu, každý z jejích prvků (počítač, přepínač a další zařízení) si mezi sebou neustále vyměňují servisní informace, proto jsou podobné síťové nástroje navrženy tak, aby zachytit takové pakety.
Existuje i verze pro systémy Linux.
Je třeba poznamenat, že sniffer je velmi užitečný pro správci sítě a služeb počítačová bezpečnost, protože utilita umožňuje identifikovat potenciálně nechráněné uzly sítě – pravděpodobné oblasti, které mohou být napadeny hackery.
Kromě zamýšleného účelu může být Wireshark použit jako nástroj pro monitorování a další analýzu síťového provozu za účelem organizace útoku na nechráněné části sítě, protože zachycený provoz lze použít k dosažení různých cílů.
Čichač není vždy zlomyslný. Ve skutečnosti, daný typ Software se často používá k analýze síťového provozu za účelem detekce a nápravy anomálií a zajištění nepřerušovaného provozu. Sniffer však může být použit se zlým úmyslem. Sniffery analyzují vše, co jimi prochází, včetně nešifrovaných hesel a přihlašovacích údajů, takže hackeři s přístupem k snifferu mohou převzít osobní údaje uživatelů. Sniffer lze navíc nainstalovat na jakýkoli počítač připojený k lokální síti, aniž by bylo nutné jej instalovat na samotné zařízení – jinými slovy, nelze jej detekovat po celou dobu připojení.
Odkud pocházejí čichači?
Hackeři používají sniffery ke krádeži cenných dat sledováním síťové aktivity a shromažďováním osobní informace o uživatelích. Útočníky zpravidla nejvíce zajímají uživatelská hesla a přihlašovací údaje, aby pomocí nich získali přístup k online bankovnictví a účtům online nakupování. Nejčastěji hackeři instalují sniffery na místa, kde nejsou chráněna WiFi připojení jako jsou kavárny, hotely a letiště. Snifferové se mohou vydávat za zařízení připojené k síti v rámci takzvaného spoofingového útoku s cílem ukrást cenná data.
Jak poznat čichače?
Rogue sniffery je velmi obtížné virtuálně rozpoznat, protože je lze nainstalovat téměř kdekoli, což představuje velmi vážnou hrozbu. zabezpečení sítě. Běžní uživateléčasto nemají nejmenší šanci rozpoznat, že sniffer sleduje jejich síťový provoz. Teoreticky je možné nainstalovat vlastní sniffer, který snímá veškerý DNS provoz pro ostatní sniffery, ale pro běžného uživatele je mnohem snazší nainstalovat anti-sniffovací software nebo antivirové řešení, které zahrnuje ochranu síťové aktivity, aby zastavil jakýkoli neoprávněný průnik nebo skrýt své síťové aktivity.
Jak odstranit sniffer
Můžete použít vysoce účinný antivirus k detekci a odstranění všech typů malwaru nainstalovaného ve vašem počítači pro sniffování. Nicméně, pro úplné odstranění sniffer z počítače, musíte odstranit absolutně všechny složky a soubory, které s ním souvisí. Důrazně se také doporučuje používat antivirus se síťovým skenerem, který pečlivě zkontroluje místní síť na zranitelnosti a v případě jejich nalezení dá pokyn k dalšímu postupu.
Jak se nestát obětí čichaře
- Šifrujte všechny informace, které odesíláte a přijímáte
- Prohledejte místní síť, zda neobsahuje zranitelnosti
- Používejte pouze důvěryhodné a zabezpečené sítě Wi-Fi
Chraňte se před čichači
První věc, kterou může uživatel udělat, aby se ochránil před sniffery, je použít kvalitní antivirus jako zdarma antivirus Avast, který je schopen důkladně prohledat celou síť na bezpečnostní problémy. Dalším a vysoce účinným způsobem ochrany informací před sniffováním je šifrování všech dat odeslaných a přijatých online, včetně e-mailů. pošta. Avast SecureLine vám umožňuje bezpečně šifrovat veškerou výměnu dat a provádět online akce v podmínkách 100% anonymity.
Mnoho uživatelů počítačové sítě, obecně je taková věc jako „čichač“ neznámá. Co je to sniffer, zkusme si to definovat slovy prostá řeč neškolený uživatel. Pro začátek se ale ještě musíte ponořit do předdefinice samotného pojmu.
Sniffer: co je to sniffer z hlediska angličtiny a výpočetní techniky?
Ve skutečnosti není vůbec těžké určit podstatu takového softwarového nebo hardwarově-softwarového komplexu, pokud tento termín jednoduše přeložíte.
Tento název pochází z anglického slova sniff (sniff). Odtud pochází význam ruského výrazu „čichač“. Co je to sniffer v našem chápání? „Sniffer“ schopný monitorovat využití síťového provozu, nebo jednodušeji špión, který může zasahovat do provozu místních nebo internetově orientovaných sítí a získávat informace, které potřebuje, na základě přístupu přes protokoly přenosu dat TCP / IP.
Dopravní analyzátor: jak to funguje?
Udělejme hned rezervaci: sniffer, ať už se jedná o softwarovou nebo podmíněnou softwarovou komponentu, je schopen analyzovat a zachytit provoz (vysílaná a přijímaná data) výhradně prostřednictvím síťových karet (Ethernet). Co se stalo?
Síťové rozhraní není vždy chráněno firewallem (opět - softwarovým nebo hardwarovým), a proto se odposlech přenášených či přijímaných dat stává pouze technologickou záležitostí.
V rámci sítě jsou informace přenášeny po segmentech. V rámci jednoho segmentu mají být datové pakety odesílány absolutně všem zařízením připojeným k síti. Informace o segmentech jsou předávány směrovačům (routerům) a poté přepínačům (přepínačům) a rozbočovačům (hubům). Odesílání informací se provádí rozdělením paketů, takže koncový uživatel získá všechny části balíčku spojené dohromady ze zcela odlišných cest. Takže „poslech“ všech potenciálních cest od jednoho účastníka k druhému nebo interakce internetového zdroje s uživatelem může poskytnout nejen přístup k nešifrovaným informacím, ale také k některým tajným klíčům, které mohou být také zaslány v takovém procesu interakce. A zde se ukazuje, že síťové rozhraní je zcela nechráněné, protože do něj zasahuje třetí strana.
Dobré úmysly a zlé úmysly?
Čichadla lze použít ke škodě i k dobru. Nemluvě negativní vliv, stojí za zmínku, že takové softwarové a hardwarové systémy se často používají správci systému, které se snaží sledovat počínání uživatelů nejen na síti, ale také jejich chování na internetu z hlediska navštívených zdrojů, aktivovaného stahování do počítačů nebo odesílání z nich.
Technika, kterou síťový analyzátor funguje, je poměrně jednoduchá. Čichač určuje odchozí a příchozí provoz stroje. V tomto případě nemluvíme o interní nebo externí IP. Nejdůležitějším kritériem je tzv. MAC adresa, jedinečná pro jakékoli zařízení připojené ke globálnímu webu. Na něm je identifikován každý stroj v síti.
Typy snifferů
Ale podle typu je lze rozdělit do několika hlavních:
- Hardware;
- software;
- hardware a software;
- online applety.
Behaviorální detekce přítomnosti snifferu v síti
Stejný WiFi sniffer poznáte podle zatížení sítě. Pokud je zřejmé, že přenos dat nebo připojení není na úrovni deklarované poskytovatelem (nebo router umožňuje), měli byste tomu okamžitě věnovat pozornost.
Na druhou stranu může poskytovatel spustit i softwarový sniffer pro sledování provozu bez vědomí uživatele. Ale uživatel o tom zpravidla ani neví. Na druhou stranu organizace poskytující služby komunikace a připojení k internetu tak uživateli garantuje kompletní zabezpečení z hlediska záplavového odposlechu, samoinstalačních klientů heterogenních trojských koní, špionů atd. Takové nástroje jsou však spíše softwarové a nemají zvláštní vliv na síť nebo uživatelské terminály.
Online zdroje
Ale online analyzátor provozu může být obzvláště nebezpečný. Primitivní počítačový hackerský systém je postaven na použití snifferů. Technologie ve své nejjednodušší verzi se scvrkává na skutečnost, že cracker se nejprve zaregistruje na určitém zdroji a poté nahraje obrázek na web. Po potvrzení stažení je vydán odkaz na online sniffer, který je potenciální oběti zaslán např. ve formuláři e-mailem nebo stejnou SMS zprávu s textem jako „Dostali jste od někoho gratulaci. Chcete-li otevřít obrázek (pohlednici), klikněte na odkaz.
Naivní uživatelé kliknou na zadaný hypertextový odkaz, v důsledku čehož je aktivováno rozpoznání a externí IP adresa je předána útočníkovi. S příslušnou aplikací bude moci nejen prohlížet všechna data uložená v počítači, ale také snadno zvenčí měnit nastavení systému, o čemž místní uživatel by ani nehádal, vezmeme-li takovou změnu na dopad viru. Ano, to je jen skener, když kontrola dá nulové hrozby.
Jak se chránit před zachycením dat?
Ať už se jedná o WiFi sniffer nebo jakýkoli jiný analyzátor, stále existují systémy na ochranu před neoprávněným skenováním provozu. Existuje pouze jedna podmínka: musí být nainstalovány, pouze pokud jste si zcela jisti „odposlechem“.
Takový software nejčastěji označované jako „anti-sniffers“. Ale pokud se nad tím zamyslíte, jedná se o ty samé sniffery, které analyzují provoz, ale blokují další programy, které se snaží získat
Z toho plyne legitimní otázka: vyplatí se instalovat takový software? Bude hacknutý hackery, aby způsobil ještě větší škody, nebo sám zablokuje to, co by mělo fungovat?
V nejjednodušším případě u systémů Windows je lepší použít jako ochranu vestavěný firewall (firewall). Někdy může dojít ke konfliktům s nainstalovaným antivirem, ale častěji se to týká pouze bezplatných balíčků. Profesionální zakoupené nebo měsíčně aktivované verze takové nevýhody nemají.
Místo doslovu
To je vše, co se týká pojmu „čichač“. Co je to sniffer, myslím, už mnozí přišli na to. Nakonec zůstává otázka v jiném: jak správně bude takové věci používat běžný uživatel? A pak koneckonců mezi mladými uživateli lze občas zaznamenat sklon k počítačovému chuligánství. Myslí si, že hacknutí cizího „počítače“ je něco jako zajímavá soutěž nebo sebepotvrzení. Bohužel nikdo z nich ani nepřemýšlí o důsledcích a útočníka pomocí stejného online snifferu lze velmi snadno identifikovat podle jeho externí IP například na webu WhoIs. Je pravda, že jako umístění bude uvedeno umístění poskytovatele, země a město však budou určeny přesně. No, pak je věc malá: buď volání poskytovateli za účelem zablokování terminálu, ze kterého neautorizovaný přístup nebo soudní spory. Udělejte si vlastní závěry.
Na nainstalovaný program určení polohy terminálu, ze kterého se pokouší o přístup, je situace ještě jednodušší. Důsledky ale mohou být katastrofální, protože ne všichni uživatelé tyto anonymizátory nebo virtuální proxy servery používají a nemají o tom ani ponětí na internetu. A stojí za to se učit...