• آنالیزگر ترافیک شبکه اسنیفر چیست: شرح. اسنیفرها

    اسنیفرها- اینها برنامه هایی هستند که رهگیری می کنند
    تمام ترافیک شبکه Sniffers برای تشخیص شبکه (برای مدیران) و
    برای رهگیری رمزهای عبور (معلوم است برای چه کسی :)). به عنوان مثال، اگر شما به
    یکی ماشین شبکهو یک اسنیفر در آنجا نصب کرد،
    سپس به زودی همه رمزهای عبور از
    زیرشبکه های آنها متعلق به شما خواهد بود. اسنیفرها قرار داده اند
    کارت شبکه به گوش دادن
    حالت (PROMISC) یعنی همه بسته ها را دریافت می کنند. در LAN، می توانید رهگیری کنید
    همه بسته های ارسال شده از همه ماشین ها (اگر با هیچ هابی از هم جدا نشده اید)،
    بنابراین
    چگونه پخش در آنجا تمرین می شود.
    اسنیفرها می توانند همه چیز را رهگیری کنند
    بسته ها (که بسیار ناخوشایند است، فایل log به طرز وحشتناکی سرریز می شود،
    اما برای تجزیه و تحلیل دقیق تر از شبکه، این بیشترین است)
    یا فقط اولین بایت ها از هر کدام
    ftp، telnet، pop3 و غیره (این سرگرم کننده ترین است، معمولاً در حدود 100 بایت اول
    شامل نام کاربری و رمز عبور اسنیفر الان
    طلاق گرفته اند ... خماری ها زیاد هستند
    هم تحت یونیکس و هم تحت ویندوز (حتی تحت DOS هم وجود دارد :)).
    اسنیفرها می توانند
    فقط از یک محور خاص پشتیبانی می کند (به عنوان مثال linux_sniffer.c که
    از لینوکس :)) یا چندین مورد (به عنوان مثال، Sniffit،
    با BSD، Linux، Solaris کار می کند). اسنیفرها خیلی ثروتمند شدند چون
    که رمزهای عبور از طریق شبکه به صورت متن واضح منتقل می شوند.
    چنین خدماتی
    مقدار زیادی. اینها telnet، ftp، pop3، www و غیره هستند. این خدمات است
    بسیار لذت می برد
    مردم :). پس از رونق شنودها، گوناگون
    الگوریتم ها
    رمزگذاری این پروتکل ها SSH ظاهر شد (جایگزین
    تلنتی که پشتیبانی می کند
    رمزگذاری)، SSL (لایه سوکت ایمن - توسعه ای توسط Netscape که می تواند رمزگذاری کند
    جلسه www). انواع Kerberous، VPN (Virtual Private
    شبکه). برخی از AntiSniff ها، ifstatus و غیره استفاده شد. اما اساساً اینطور نیست
    موقعیت ها را تغییر داد خدماتی که استفاده می کنند
    ارسال رمز عبور به صورت متن ساده
    yuzayutsya در همه :). بنابراین، بوییدن برای مدت طولانی خواهد بود :).

    اجرای ویندوز sniffers

    لینسنیفر
    این یک اسنایفر ساده برای رهگیری است
    ورود به سیستم / رمز عبور کامپایل استاندارد (gcc -o linsniffer
    linsniffer.c).
    Log در tcp.log می نویسد.

    linux_sniffer
    Linux_sniffer
    زمانی که شما می خواهید مورد نیاز است
    شبکه را با جزئیات مطالعه کنید استاندارد
    تلفیقی. هر گونه شنیاگ اضافی می دهد،
    مانند isn، ack، syn، echo_request (ping) و غیره.

    بوییدن
    اسنیفیت - مدل پیشرفته
    sniffer نوشته برشت کلرهات. نصب (نیاز
    libcap):
    #./پیکربندی
    #ساخت
    اکنون راه اندازی می کنیم
    رد کننده:
    #./snifffit
    استفاده: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
    پورت] [(-r|-R) پرونده رکورد]
    [-l sniflen] [-L logparam] [-F snifdevice]
    [افزونه-M]
    [-D tty] (-t | -s ) |
    (-i|-I) | -ج ]
    پلاگین های موجود:
    0 - ساختگی
    افزونه
    1 - افزونه DNS

    همانطور که می بینید، sniffit از بسیاری پشتیبانی می کند
    گزینه ها. شما می توانید از sniffak به صورت تعاملی استفاده کنید.
    هر چند بو بکش
    برنامه بسیار مفیدی است، اما من از آن استفاده نمی کنم.
    چرا؟ چون اسنیفیت دارد
    مشکلات بزرگبا حفاظت برای Sniffit، یک روت از راه دور و dos برای
    لینوکس و دبیان! هر آدم ربایی این اجازه رو به خودش نمیده :).

    شکار
    این
    بوی مورد علاقه من رسیدگی به آن بسیار آسان است
    پشتیبانی از بسیاری از سرد
    چیپس و این لحظههیچ مشکل امنیتی ندارد
    به علاوه نه زیاد
    حساس در مورد کتابخانه ها (مانند linsniffer و
    Linux_sniffer). او
    می تواند اتصالات فعلی را در زمان واقعی و زیر رهگیری کند
    تخلیه زباله از ترمینال راه دور که در
    به طور کلی، Hijack
    rulezzz :). من توصیه می کنم
    همه برای استفاده پیشرفته :).
    نصب:
    #ساخت
    اجرا کن:
    #شکار-من

    READSMB
    Sniffer READSMB از LophtCrack بریده شده و به آن منتقل شده است
    یونیکس (به اندازه کافی عجیب :)). Readsmb SMB را رهگیری می کند
    بسته ها

    TCPDUMP
    tcpdump یک بسته sniffer نسبتاً شناخته شده است.
    نوشته شده است
    حتی معروف تر - ون جاکوبسون، که فشرده سازی VJ را برای
    PPP و traceroute نوشت (و چه کسی می داند چه چیز دیگری؟).
    به کتابخانه نیاز دارد
    libpcap.
    نصب:
    #./پیکربندی
    #ساخت
    اکنون راه اندازی می کنیم
    او:
    #tcpdump
    tcpdump: گوش دادن در ppp0
    خروجی تمام اتصالات شما به
    پایانه. در اینجا نمونه ای از خروجی پینگ آورده شده است

    ftp.technotronic.com:
    02:03:08.918959
    195.170.212.151.1039 > 195.170.212.77. دامنه: 60946+ A?
    ftp.technotronic.com.
    (38)
    02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
    1/3/3 (165)
    02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
    درخواست
    02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
    پاسخ
    02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
    درخواست
    02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
    پاسخ
    02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
    درخواست
    02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
    پاسخ

    به طور کلی، sniff برای اشکال زدایی شبکه ها مفید است،
    عیب یابی و
    و غیره.

    Dsniff
    Dsniff به libpcap، ibnet،
    libnids و OpenSSH. فقط دستورات وارد شده را ضبط می کند که بسیار راحت است.
    در اینجا یک نمونه از گزارش اتصال است
    در unix-shells.com:

    02/18/01
    03:58:04 tcp my.ip.1501 ->
    handi4-145-253-158-170.arcor-ip.net.23
    (تلنت)
    استالسن
    asdqwe123
    ls
    pwd
    سازمان بهداشت جهانی
    آخر
    خروج

    اینجا
    dsniff ورود با رمز عبور (stalsen/asdqwe123) را قطع کرد.
    نصب:
    #./پیکربندی
    #ساخت
    #ساخت
    نصب

    حفاظت از اسنیفر

    مطمئن ترین راه برای محافظت در برابر
    معتادها -
    از ENCRYPTION (SSH، Kerberous، VPN، S/Key، S/MIME،
    SHTTP، SSL، و غیره). خوب
    و اگر نمی خواهید خدمات متنی ساده را رد کنید و اضافی را ایجاد کنید
    بسته ها :)؟ سپس نوبت به استفاده از بسته های ضد اسنیفر می رسد ...

    AntiSniff برای ویندوز
    این محصول عرضه شده است گروه معروف
    زیر شیروانی این اولین محصول در نوع خود بود.
    AntiSniff همانطور که در
    شرح:
    «AntiSniff یک ابزار مبتنی بر رابط کاربری گرافیکی (GUI) است
    شناسایی کارت‌های رابط شبکه (NIC) بی‌وقفه روی شما شبکه محلی
    بخش". در کل در حالت promisc کارت می گیرد.
    بزرگ را پشتیبانی می کند
    تعداد تست ها (تست DNS، تست ARP، تست پینگ، ICMP Time Delta
    تست، تست اکو، تست PingDrop). قابل اسکن به عنوان یک ماشین،
    شبکه نیز همینطور است. وجود دارد
    پشتیبانی لاگ AntiSniff روی win95/98/NT/2000 کار می کند،
    اگرچه توصیه می شود
    پلت فرم NT. اما سلطنت او کوتاه و زود بود
    زمان، یک sniffer به نام AntiAntiSniffer ظاهر شد :)،
    نوشته شده توسط مایک
    پری (مایک پری) (شما می توانید او را در www.void.ru/news/9908/snoof.txt پیدا کنید).
    بر اساس LinSniffer (در ادامه بحث شد).

    تشخیص ردیابی یونیکس:
    معتاد
    را می توان با دستور پیدا کرد:

    #ifconfig -a
    lo پیوند پیوند: محلی
    حلقه بک
    inet adr:127.0.0.1Mask:255.0.0.0
    U.P.
    LOOPBACK RUNNING MTU:3924 متریک:1
    بسته های RX: 2373 خطا: 0
    افت: 0 غلبه: 0 فریم: 0
    بسته های TX: 2373 خطا: 0 افت: 0
    overruns:0 حامل:0
    collisions:0 txqueuelen:0

    پیوند ppp0
    encap:پروتکل نقطه به نقطه
    inet آدرس:195.170.y.x
    P-t-P:195.170.y.x Mask:255.255.255.255
    UP POINTOPOINT PROMISC
    RUNNING NOARP MULTICAST MTU:1500 متریک:1
    بسته های RX: 3281
    خطاها:74 افت:0 بیش از حد:0 فریم:74
    بسته های TX: 3398 خطا: 0
    افت: 0 غلبه: 0 حامل: 0
    collisions:0 txqueuelen:10

    چگونه
    می بینید که رابط ppp0 در حالت PROMISC است. هر دو اپراتور
    sniff برای
    چک های شبکه، یا قبلاً ... اما به یاد داشته باشید،
    که ifconfig می تواند با خیال راحت باشد
    تعویض کنید، بنابراین از tripwire برای شناسایی استفاده کنید
    تغییرات و انواع برنامه ها
    برای بررسی بوییدن

    AntiSniff برای یونیکس.
    برای
    بی اس دی، سولاریس و
    لینوکس از تست زمان ping/icmp، تست arp، تست اکو، dns پشتیبانی می کند
    تست، تست اترپینگ، به طور کلی، آنالوگ AntiSniff برای Win، فقط برای
    یونیکس :).
    نصب:
    #make linux-all

    نگهبان
    همچنین مفید برای
    گرفتن مواد یاب از تست های زیادی پشتیبانی می کند.
    فقط در
    استفاده کنید.
    نصب کنید: #make
    #./نگهبان
    ./سنتینل [-t
    ]
    مواد و روش ها:
    [-آزمایش ARP]
    [ -d تست DNS
    ]
    [ -i تست تاخیر پینگ ICMP ]
    [ -e تست اترپینگ ICMP
    ]
    گزینه ها:
    [-f ]
    [ -v نمایش نسخه و
    خروج]
    [-n ]
    [-من
    ]

    گزینه ها آنقدر ساده هستند که خیر
    نظرات.

    بیشتر

    در اینجا چند مورد دیگر وجود دارد
    ابزارهای کاربردی برای آزمایش شبکه شما (برای
    یونیکس):
    packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
    آشکارساز حالت PROMISC برای کارت های اترنت(برای کلاه قرمزی 5.x).
    http://packetstorm.securify.com/UNIX/IDS/neped.c
    - آشکارساز اترنت غیرقانونی شبکه (نیاز به libcap و Glibc دارد).
    http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
    - دستگاه های سیستم را برای تشخیص بوییدن اسکن می کند.
    http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
    - تست های ifstatus رابط های شبکهدر حالت PROMISC

    Wireshark کمک بزرگی برای آن دسته از کاربرانی است که نیاز به تجزیه و تحلیل دقیق دارند بسته های شبکه، - ترافیک شبکه کامپیوتری. Sniffer به راحتی با پروتکل های رایج مانند netbios، fddi، nntp، icq، x25، dns، irc، nfs، http، tcp، ipv6و خیلی های دیگر. به تجزیه و تحلیل اجازه می دهد تا بسته شبکه را بر اساس یک پروتکل خاص به اجزای مناسب تقسیم کند و اطلاعات قابل خواندن را بر روی صفحه نمایش به صورت عددی نمایش دهد.
    از تعداد زیادی فرمت های مختلف اطلاعات ارسالی و دریافتی پشتیبانی می کند، قادر به باز کردن فایل هایی است که توسط سایر ابزارها استفاده می شود. اصل کار به این صورت است که کارت شبکه به حالت پخش سوئیچ می شود و رهگیری بسته های شبکه که در ناحیه دید آن هستند آغاز می شود. قادر به کار به عنوان یک برنامه برای رهگیری بسته های وای فای.

    نحوه استفاده از wireshark

    این برنامه محتویات بسته های اطلاعاتی که از شبکه عبور می کنند را بررسی می کند. برای راه اندازی و استفاده از نتایج کار sniffer، دانش خاصی مورد نیاز نیست، فقط باید آن را در منوی "شروع" باز کنید یا روی نماد روی دسکتاپ کلیک کنید (راه اندازی آن هیچ تفاوتی با سایرین ندارد. برنامه های ویندوز). یک ویژگی خاص این ابزار به آن اجازه می دهد تا بسته های اطلاعاتی را ضبط کند، محتویات آنها را به دقت رمزگشایی کند و آنها را برای تجزیه و تحلیل به کاربر ارسال کند.

    پس از راه اندازی wireshark، منوی اصلی برنامه را روی صفحه مشاهده خواهید کرد که در بالای پنجره قرار دارد. با کمک آن، ابزار مدیریت می شود. اگر نیاز به دانلود فایل‌هایی دارید که داده‌های مربوط به بسته‌های ضبط شده در جلسات قبلی را ذخیره می‌کنند، و همچنین داده‌های مربوط به سایر بسته‌های استخراج‌شده در جلسه جدید را ذخیره می‌کنند، برای این کار به برگه «File» نیاز دارید.

    برای راه اندازی عملکرد ضبط بسته های شبکه، کاربر باید بر روی نماد "Capture" کلیک کند، سپس یک بخش منوی ویژه به نام "Interfaces" را پیدا کند، که با آن می توانید یک پنجره جداگانه "Wireshark Capture Interfaces" را باز کنید، جایی که تمام رابط های شبکه موجود باید در آن باز شوند. نشان داده می شود که از طریق آن بسته های داده مورد نیاز ضبط می شود. در صورتی که برنامه (sniffer) بتواند تنها یک رابط مناسب را شناسایی کند، کل آن را نمایش می دهد اطلاعات مهمدرباره ی او.

    نتایج عملکرد این ابزار گواه مستقیمی است که حتی اگر خود کاربران (در یک زمان معین) درگیر انتقال هیچ داده ای نباشند، تبادل اطلاعات در شبکه متوقف نمی شود. از این گذشته، اصل عملکرد یک شبکه محلی این است که برای حفظ آن در حالت کار، هر یک از عناصر آن (کامپیوتر، سوئیچ و سایر دستگاه ها) به طور مداوم اطلاعات سرویس را با یکدیگر مبادله می کنند، بنابراین، ابزارهای شبکه مشابهی طراحی شده اند تا رهگیری چنین بسته هایی

    یک نسخه برای سیستم های لینوکس نیز وجود دارد.

    لازم به ذکر است که sniffer بسیار مفید است برای مدیران شبکه و خدمات امنیت رایانه، زیرا این ابزار به شما امکان می دهد گره های شبکه بالقوه محافظت نشده را شناسایی کنید - مناطق احتمالی که می توانند توسط هکرها مورد حمله قرار گیرند.

    Wireshark علاوه بر هدف مورد نظر خود می تواند به عنوان ابزاری برای نظارت و تجزیه و تحلیل بیشتر ترافیک شبکه به منظور سازماندهی حمله به بخش های محافظت نشده شبکه مورد استفاده قرار گیرد، زیرا از ترافیک رهگیری شده می توان برای دستیابی به اهداف مختلف استفاده کرد.

    یک sniffer همیشه بدخواه نیست. در حقیقت، نوع داده شدهاین نرم افزار اغلب برای تجزیه و تحلیل ترافیک شبکه به منظور شناسایی و اصلاح ناهنجاری ها و اطمینان از عملکرد بدون وقفه استفاده می شود. با این حال، sniffer را می توان با نیت مخرب استفاده کرد. Sniffer ها هر چیزی را که از طریق آنها عبور می کند، از جمله رمزهای عبور و اعتبارنامه های رمزگذاری نشده را تجزیه و تحلیل می کنند، بنابراین هکرهایی که به sniffer دسترسی دارند می توانند اطلاعات شخصی کاربران را تحت کنترل خود درآورند. علاوه بر این، sniffer را می توان بر روی هر رایانه ای که به شبکه محلی متصل است، بدون نیاز به نصب آن بر روی خود دستگاه نصب کرد - به عبارت دیگر، در طول کل زمان اتصال قابل شناسایی نیست.

    اسنافرها از کجا می آیند؟

    هکرها با نظارت بر فعالیت شبکه و جمع آوری، از sniffer ها برای سرقت داده های ارزشمند استفاده می کنند اطلاعات شخصیدر مورد کاربران به عنوان یک قاعده، مهاجمان بیشترین علاقه را به رمزهای عبور و اعتبار کاربران دارند تا با استفاده از آنها به بانکداری آنلاین و حساب های خرید آنلاین دسترسی پیدا کنند. اغلب، هکرها اسنیفر را در مکان هایی نصب می کنند که محافظت نشده باشد اتصالات وای فایمانند کافه ها، هتل ها و فرودگاه ها. Sniffers می تواند به عنوان یک دستگاه متصل به شبکه به عنوان بخشی از به اصطلاح حمله جعل به منظور سرقت داده های با ارزش ظاهر شود.

    چگونه یک اسنیفر را بشناسیم؟

    تشخیص واقعی اسنیفرهای سرکش بسیار دشوار است، زیرا می‌توان آن‌ها را تقریباً در هر مکانی نصب کرد و تهدیدی بسیار جدی محسوب می‌شود. امنیت شبکه. کاربران عادیاغلب کوچکترین شانسی برای تشخیص اینکه یک sniffer ترافیک شبکه آنها را زیر نظر دارد، ندارند. از نظر تئوری، نصب یک sniffer سفارشی که تمام ترافیک DNS را برای سایر sniffer ها استشمام می کند، امکان پذیر است، اما نصب نرم افزار ضد شنود یا یک راه حل ضد ویروس که شامل حفاظت از فعالیت شبکه برای جلوگیری از هرگونه نفوذ غیرمجاز یا جلوگیری از نفوذ غیرمجاز است، برای کاربر معمولی بسیار آسان تر است. فعالیت های شبکه خود را پنهان می کنند.

    چگونه می توان اسنیفر را حذف کرد

    شما می توانید از یک آنتی ویروس بسیار موثر برای شناسایی و حذف انواع بدافزارهای نصب شده بر روی رایانه خود برای شناسایی استفاده کنید. با این حال، برای حذف کامل sniffer از رایانه، شما باید کاملاً تمام پوشه ها و فایل های مربوط به آن را حذف کنید. همچنین اکیداً توصیه می شود که از یک آنتی ویروس همراه با اسکنر شبکه استفاده کنید که به دقت شبکه محلی را از نظر آسیب پذیری بررسی می کند و در صورت یافتن آنها اقدامات بعدی را راهنمایی می کند.

    چگونه قربانی یک مواد یاب نشویم
    • تمام اطلاعاتی را که ارسال و دریافت می کنید رمزگذاری کنید
    • شبکه محلی خود را برای آسیب پذیری ها اسکن کنید
    • فقط از شبکه های وای فای مطمئن و مطمئن استفاده کنید
    از خود در برابر انحرافات محافظت کنید

    اولین کاری که کاربر می تواند برای محافظت از خود در برابر sniffer ها انجام دهد استفاده از آن است آنتی ویروس با کیفیتمثل رایگان آنتی ویروس Avast، که قادر است کل شبکه را برای مشکلات امنیتی به طور کامل اسکن کند. یک راه اضافی و بسیار مؤثر برای محافظت از اطلاعات در برابر استفراغ، رمزگذاری تمام داده‌های ارسالی و دریافتی آنلاین، از جمله ایمیل‌ها است. پست الکترونیکی Avast SecureLine به شما این امکان را می دهد که به طور ایمن تمام تبادل داده ها را رمزگذاری کنید و اقدامات آنلاین را در شرایط 100٪ ناشناس انجام دهید.

    بسیاری از کاربران شبکه های کامپیوتر، به طور کلی، چیزی به عنوان "sniffer" ناآشنا است. اسنیفر چیست، سعی کنیم با گفتن آن را تعریف کنیم زبان سادهکاربر آموزش ندیده اما برای شروع، شما هنوز باید در تعریف از پیش تعریف خود این اصطلاح بپردازید.

    Sniffer: Sniffer از نظر زبان انگلیسی و فناوری کامپیوتر چیست؟

    در واقع، اگر به سادگی این اصطلاح را ترجمه کنید، تعیین ماهیت چنین نرم افزاری یا مجموعه سخت افزاری-نرم افزاری اصلاً دشوار نیست.

    این نام از کلمه انگلیسی sniff (sniff) گرفته شده است. از این رو معنای اصطلاح روسی "sniffer" است. در فهم ما شنود چیست؟ یک "sniffer" قادر به نظارت بر استفاده از ترافیک شبکه، یا به عبارت ساده تر، یک جاسوس که می تواند در عملکرد شبکه های محلی یا اینترنت محور دخالت کند و اطلاعات مورد نیاز خود را بر اساس دسترسی از طریق پروتکل های انتقال داده TCP / IP استخراج کند.

    تحلیلگر ترافیک: چگونه کار می کند؟

    بیایید فوراً رزرو کنیم: یک sniffer، خواه یک نرم افزار یا جزء نرم افزاری شرطی باشد، می تواند ترافیک (داده های ارسالی و دریافتی) را منحصراً از طریق کارت های شبکه (اترنت) تجزیه و تحلیل و رهگیری کند. چه اتفاقی می افتد؟

    رابط شبکه همیشه توسط یک فایروال محافظت نمی شود (دوباره - نرم افزار یا سخت افزار) و بنابراین رهگیری داده های ارسال شده یا دریافتی فقط به یک موضوع فناوری تبدیل می شود.

    در داخل شبکه، اطلاعات به صورت بخش هایی منتقل می شود. در یک بخش، بسته‌های داده قرار است به تمام دستگاه‌های متصل به شبکه ارسال شوند. اطلاعات بخش به روترها (روترها) و سپس به سوئیچ ها (سوئیچ ها) و هاب ها (هاب ها) ارسال می شود. ارسال اطلاعات با تقسیم بسته ها انجام می شود، به طوری که کاربر نهاییتمام قسمت های بسته را از مسیرهای کاملا متفاوت به هم متصل می کند. بنابراین، "گوش دادن" به تمام مسیرهای بالقوه از یک مشترک به مشترک دیگر یا تعامل یک منبع اینترنتی با کاربر می تواند نه تنها به اطلاعات رمزگذاری نشده، بلکه به برخی از کلیدهای مخفی نیز دسترسی پیدا کند که می توانند در چنین فرآیند تعاملی ارسال شوند. و در اینجا رابط شبکه کاملاً محافظت نشده است، زیرا شخص ثالث مداخله می کند.

    نیت خوب و اهداف سوء؟

    اسنیفرها هم برای ضرر و هم برای سود قابل استفاده هستند. ناگفته نماند تاثیر منفیشایان ذکر است که اغلب از چنین سیستم های نرم افزاری و سخت افزاری استفاده می شود مدیران سیستم، که سعی می کنند اقدامات کاربران را نه تنها در شبکه، بلکه رفتار آنها را در اینترنت از نظر منابع بازدید شده، دانلودهای فعال شده به رایانه یا ارسال از آنها ردیابی کنند.

    تکنیکی که با آن تحلیلگر شبکه کار می کند بسیار ساده است. sniffer ترافیک خروجی و ورودی دستگاه را تعیین می کند. در این مورد، ما در مورد IP داخلی یا خارجی صحبت نمی کنیم. مهمترین معیار، به اصطلاح آدرس MAC است که برای هر دستگاه متصل به وب جهانی منحصر به فرد است. روی آن است که هر ماشین موجود در شبکه شناسایی می شود.

    انواع اسنیفر

    اما بر اساس نوع آنها را می توان به چند مورد اصلی تقسیم کرد:

    • سخت افزار؛
    • نرم افزار؛
    • سخت افزار و نرم افزار؛
    • اپلت های آنلاین

    تشخیص رفتاری وجود sniffer در شبکه

    شما می توانید همان ردگیر وای فای را با بارگذاری روی شبکه شناسایی کنید. اگر مشخص است که انتقال داده یا اتصال در سطح اعلام شده توسط ارائه دهنده نیست (یا روتر اجازه می دهد)، باید فوراً به این موضوع توجه کنید.

    از سوی دیگر، ارائه‌دهنده می‌تواند یک نرم‌افزار sniffer را برای نظارت بر ترافیک بدون اطلاع کاربر راه‌اندازی کند. اما، به عنوان یک قاعده، کاربر حتی در مورد آن نمی داند. از سوی دیگر، سازمانی که خدمات ارتباطی و اتصال به اینترنت را ارائه می دهد، کاربر را تضمین می کند امنیت کاملاز نظر رهگیری سیل، مشتریان خود نصب تروجان های ناهمگن، جاسوس ها و غیره. اما این گونه ابزارها بیشتر نرم افزاری هستند و تاثیر خاصی روی شبکه یا پایانه های کاربر ندارند.

    منابع آنلاین

    اما یک تحلیلگر ترافیک از نوع آنلاین می تواند به ویژه خطرناک باشد. یک سیستم هک کامپیوتر اولیه با استفاده از sniffers ساخته شده است. این فناوری در ساده‌ترین نسخه خود به این واقعیت خلاصه می‌شود که ابتدا کرکر در یک منبع خاص ثبت می‌شود، سپس یک عکس را در سایت آپلود می‌کند. پس از تایید دانلود، لینکی به sniffer آنلاین صادر می شود که به عنوان مثال در فرم برای قربانی احتمالی ارسال می شود. پست الکترونیکیا همان پیامک با متنی مانند «از کسی تبریک دریافت کردی. برای باز کردن عکس (کارت پستال) روی لینک کلیک کنید.

    کاربران ساده لوح روی لینک مشخص شده کلیک می کنند، در نتیجه شناسایی فعال می شود و آدرس IP خارجی به مهاجم منتقل می شود. با برنامه مناسب، او نه تنها قادر خواهد بود تمام داده های ذخیره شده در رایانه را مشاهده کند، بلکه به راحتی تنظیمات سیستم را از خارج تغییر دهد، که در مورد آن کاربر محلیحتی حدس نمی زنم، چنین تغییری را برای تاثیر ویروس در نظر بگیریم. بله، این فقط اسکنر است که هنگام بررسی هیچ تهدیدی را ارائه نمی دهد.

    چگونه از خود در برابر شنود داده ها محافظت کنیم؟

    چه یک ردگیر وای فای یا هر آنالیزور دیگر، هنوز سیستم هایی برای محافظت در برابر اسکن ترافیک غیرمجاز وجود دارد. فقط یک شرط وجود دارد: آنها فقط در صورتی باید نصب شوند که کاملاً از "شنود" مطمئن باشید.

    چنین نرم افزارمعمولاً به عنوان "ضد انار" شناخته می شود. اما اگر در مورد آن فکر کنید، اینها همان اسنیفرهایی هستند که ترافیک را تجزیه و تحلیل می کنند، اما سایر برنامه هایی را که سعی در دریافت آن دارند مسدود می کنند.

    از این رو سؤال مشروع این است: آیا ارزش نصب چنین نرم افزاری را دارد؟ آیا برای ایجاد آسیب بیشتر توسط هکرها هک می شود، یا خود آن چیزی که باید کار کند را مسدود می کند؟

    در ساده ترین حالت سیستم های ویندوز، بهتر است از فایروال داخلی (فایروال) به عنوان حفاظت استفاده کنید. گاهی اوقات ممکن است درگیری با آنتی ویروس نصب شده وجود داشته باشد، اما اغلب این فقط برای بسته های رایگان اعمال می شود. نسخه های حرفه ای خریداری شده یا فعال شده ماهانه چنین معایبی ندارند.

    به جای حرف آخر

    این تمام چیزی است که به مفهوم "sniffer" مربوط می شود. من فکر می کنم که sniffer چیست، بسیاری قبلاً فهمیده اند. در نهایت، این سوال در مورد دیگری باقی می ماند: یک کاربر معمولی تا چه حد به درستی از چنین چیزهایی استفاده می کند؟ و پس از همه، در میان کاربران جوان، گاهی اوقات می توانید متوجه گرایش به هولیگانیسم رایانه ای شوید. آنها فکر می کنند که هک کردن "رایانه" شخص دیگری چیزی شبیه به یک رقابت جالب یا تایید خود است. متأسفانه هیچ یک از آنها حتی به عواقب آن فکر نمی کنند و شناسایی یک مهاجم با استفاده از همان sniffer آنلاین توسط IP خارجی خود به عنوان مثال در وب سایت WhoIs بسیار آسان است. درست است ، مکان ارائه دهنده به عنوان مکان مشخص می شود ، اما کشور و شهر دقیقاً تعیین می شود. خوب، پس موضوع کوچک است: یا یک تماس با ارائه دهنده به منظور مسدود کردن پایانه ای که از آن استفاده می شود دسترسی غیرمجازیا دعوی قضایی نتیجه گیری خود را انجام دهید.

    در برنامه نصب شدهتعیین محل پایانه ای که از آن دسترسی انجام می شود، وضعیت حتی ساده تر است. اما عواقب آن می‌تواند فاجعه‌بار باشد، زیرا همه کاربران از آن ناشناس‌سازها یا سرورهای پراکسی مجازی استفاده نمی‌کنند و حتی سرنخی در اینترنت ندارند. و ارزش یادگیری را دارد...

    Sniffers برنامه هایی هستند که تمام ترافیک شبکه را رهگیری می کنند.

    Sniffers برای تشخیص شبکه (برای ادمین ها) و برای رهگیری رمزهای عبور (برای هر کسی واضح است) مفید هستند. به عنوان مثال، اگر به یک دستگاه شبکه دسترسی پیدا کردید و یک sniffer را در آنجا نصب کردید، به زودی تمام رمزهای عبور زیر شبکه آنها متعلق به شما خواهد بود. Sniffer ها کارت شبکه را در حالت شنیداری (PROMISC) قرار می دهند یعنی تمام بسته ها را دریافت می کنند. در شبکه LAN، می توانید تمام بسته های ارسال شده را از همه ماشین ها رهگیری کنید (اگر توسط هیچ هابی از هم جدا نباشید)، زیرا پخش در آنجا تمرین می شود. Sniffers می تواند تمام بسته ها را رهگیری کند (که بسیار ناخوشایند است، فایل log به طرز وحشتناکی سرریز می شود، اما برای تجزیه و تحلیل دقیق تر شبکه، این موضوع بسیار مهم است) یا فقط اولین بایت ها از انواع ftp، telnet، pop3 و غیره. (این سرگرم کننده ترین است، معمولاً 100 بایت اول شامل نام کاربری و رمز عبور است). الان تعداد زیادی sniffer وجود دارد... Sniffer های زیادی هم برای Unix و هم برای Windows (حتی برای DOS) وجود دارد. Sniffers فقط می تواند از یک محور خاص (مثلا linux_sniffer.c که از لینوکس پشتیبانی می کند) یا چندین محور (مثلاً Sniffit با BSD، Linux، Solaris کار می کند) پشتیبانی کند. Sniffers بسیار غنی شدند زیرا رمزهای عبور از طریق شبکه به صورت متن واضح منتقل می شوند. از این دست خدمات زیاد است. اینها telnet، ftp، pop3، www و غیره هستند. افراد زیادی از این خدمات استفاده می کنند. پس از رونق اسنیفرها، الگوریتم های رمزگذاری مختلف برای این پروتکل ها ظاهر شدند. SSH ظاهر شد (جایگزینی برای telnet که از رمزگذاری پشتیبانی می کند)، SSL (لایه سوکت ایمن - توسعه Netscape که می تواند جلسه www را رمزگذاری کند). انواع Kerberous، VPN (شبکه خصوصی مجازی) وجود داشت. برخی از AntiSniff، ifstatus و غیره استفاده شد. اما این امر اساساً وضعیت را تغییر نداد. سرویس هایی که از انتقال رمز عبور متنی ساده استفاده می کنند به طور کامل استفاده می شوند.بنابراین برای مدت طولانی بو می کشند.

    اجرای ویندوز sniffers

    CommView - www.tamos.com
    sniffer بسیار پیشرفته توسط TamoSoft. شما می توانید قوانین خود را برای sniffing تنظیم کنید (به عنوان مثال، ICMP را نادیده بگیرید، و TCP را اسنیف کنید، همچنین علاوه بر پروتکل های اینترنت، از پروتکل های اترنت مانند ARP، SNMP، NOVELL و غیره نیز پشتیبانی می شود). به عنوان مثال، شما می توانید فقط بسته های دریافتی را استشمام کنید و بقیه را نادیده بگیرید. شما می توانید یک فایل گزارش برای همه بسته ها با محدودیت اندازه در مگا مشخص کنید. این دارای دو ابزار است - Packet Generator و NIC Vendor Indentifier. شما می توانید تمام جزئیات بسته های ارسالی / دریافتی را مشاهده کنید (به عنوان مثال، در یک بسته TCP، می توانید پورت منبع، پورت مقصد، طول داده، چک جمع، ترتیب، پنجره، Ack, Flags, Urgent) یه چیز خوب دیگه اینه که به طور خودکار درایور CAPTURE رو نصب میکنه.در کل این ابزار برای sniffing خیلی مفیده به همه توصیه میکنم.

    SpyNet - packetstorm.securify.com
    یک sniffer نسبتاً شناخته شده که توسط Laurentiu Nicula 2000 ساخته شده است. اگرچه رمزگشایی به خوبی توسعه یافته است (به عنوان مثال، می توانید صفحات بازدید شده توسط کاربر را به صورت دسته ای دوباره ایجاد کنید!). به طور کلی، برای یک آماتور.

    آنالایزر - neworder.box.sk
    آنالایزر نیاز به نصب یک درایور ویژه موجود در بسته (packet.inf، packet.sys) دارد. شما می توانید تمام اطلاعات مربوط به خود را ببینید کارت شبکه. آنالایزر همچنین از کار با خط فرمان. عالی کار میکنه شبکه محلی. چندین ابزار کاربردی دارد: ConvDump، GnuPlot، FlowsDet، Analisys Engine. هیچ چیز برجسته ای نیست

    IRIS - www.eeye.com
    IRIS محصولی از شرکت معروف eEye است. گزینه های فیلترینگ گسترده ای را ارائه می دهد. من از سه ویژگی در آن بسیار راضی بودم:
    1. توزیع پروتکل
    2. میزبان برتر
    3. توزیع اندازه
    همچنین یک رسیور بسته نیز وجود دارد. از یک سیستم ثبت پیشرفته پشتیبانی می کند. و قابلیت های فیلترینگ موجود نسبت به همه اسنیفرهای نظرسنجی برتر است. این یک فیلتر سخت افزاری است که می تواند همه بسته ها را بگیرد (Promiscious)، یا با محدودیت های مختلف (مثلاً فقط بسته های چندپخشی یا بسته های پخش یا فقط فریم های مک را ضبط کند). شما می توانید توسط آدرس های MAC / IP خاص، توسط پورت ها، بسته های حاوی کاراکترهای خاص فیلتر کنید. به طور کلی، یک بو دادن خوب است. به 50comupd.dll نیاز دارد.

    WinDUMP
    مشابه TCPdump برای یونیکس. این sniff مبتنی بر خط فرمان است و حداقل گزینه های پیکربندی را ارائه می دهد و همچنان به کتابخانه WinPcap نیاز دارد. من زیاد نیستم...

    SniffitNT
    همچنین به WinPcap نیاز دارد. فقط به عنوان خط فرمان و در حالت تعاملی کار می کند. با گزینه های پیچیده من واقعا اینطور نیست.

    بو کردن باسن
    بسته sniffer معمولی که توسط گروه معروف CDC (Cult of the Dead Cow) ایجاد شده است. ویژگی آن این است که می توان از آن به عنوان یک افزونه برای BO (بسیار مفید) استفاده کرد. عملیات از خط فرمان.

    اسنیفرهای بیشتری مانند NatasX، NetXRay، CooperSniffer، LanExplorer، Net Analyzer و غیره وجود دارد. بریم جلوتر...

    یونیکس sniffers

    همه معتادین این بررسیرا می توان در packetstorm.securify.com یافت.

    Linsniffer
    این یک sniffer ساده برای رهگیری ورود / رمز عبور است. تدوین استاندارد (gcc -o linsniffer linsniffer.c).
    Log در tcp.log می نویسد.

    Linux_sniffer
    Linux_sniffer زمانی لازم است که می‌خواهید شبکه را با جزئیات کاوش کنید. تدوین استاندارد هر گونه ناخواسته اضافی مانند isn، ack، syn، echo_request (ping) و غیره را ارائه می دهد.

    بوییدن
    Sniffit یک مدل sniffer پیشرفته است که توسط Brecht Claerhout نوشته شده است. نصب (نیاز به libcap):
    #./پیکربندی
    #ساخت
    اکنون اسنیفر را شروع می کنیم:
    #./snifffit
    استفاده: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
    [-l sniflen] [-L logparam] [-F snifdevice] [افزونه-M]
    [-D tty] (-t | -s) | (-i|-I) | -c]
    پلاگین های موجود:
    0 -- افزونه ساختگی
    1 -- پلاگین DNS

    همانطور که می بینید، sniffit از گزینه های زیادی پشتیبانی می کند. شما می توانید از sniffak به صورت تعاملی استفاده کنید. Sniffit، اگرچه یک برنامه کاملا مفید است، اما من از آن استفاده نمی کنم. چرا؟ زیرا Sniffit مشکلات امنیتی بزرگی دارد. برای Sniffit "a، یک روت راه دور و dos برای لینوکس و دبیان قبلا منتشر شده است! هر sniffer به خودش اجازه نمی دهد.

    شکار
    استفاده بسیار آسان، از بسیاری از ویژگی های جالب پشتیبانی می کند و در حال حاضر هیچ مشکل امنیتی ندارد. بعلاوه، برای کتابخانه ها (مانند linsniffer و Linux_sniffer) تقاضای خاصی ندارد. این می تواند اتصالات فعلی را در زمان واقعی قطع کند و به طور تمیز از یک ترمینال راه دور تخلیه کند. من آن را برای استفاده پیشرفته به همه توصیه می کنم.
    نصب:
    #ساخت
    اجرا کن:
    #شکار-من

    READSMB
    Sniffer READSMB از LophtCrack بریده شده و به یونیکس منتقل شده است (به اندازه کافی عجیب). Readsmb بسته های SMB را رهگیری می کند.

    TCPDUMP
    tcpdump یک بسته sniffer نسبتاً شناخته شده است. نوشته شده توسط شخص حتی مشهورتر - ون جاکوبسون، که فشرده سازی VJ را برای PPP اختراع کرد و برنامه traceroute را نوشت (و چه کسی می داند چه چیز دیگری؟). به کتابخانه Libpcap نیاز دارد.
    نصب:
    #./پیکربندی
    #ساخت
    حالا بیایید آن را اجرا کنیم:
    #tcpdump
    tcpdump: گوش دادن در ppp0
    تمام اتصالات شما در ترمینال نمایش داده می شود. در اینجا نمونه ای از خروجی پینگ آورده شده است
    ftp.technotronic.com:
    02:03:08.918959 195.170.212.151.1039 > 195.170.212.77. دامنه: 60946+ A?
    ftp.technotronic.com. (38)
    02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
    02:03:09.459421 195.170.212.151 >
    02:03:09.996780 209.100.46.7 >
    02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: درخواست اکو
    02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
    02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: درخواست اکو
    02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
    به طور کلی، sniff برای اشکال زدایی شبکه، عیب یابی و غیره مفید است.

    Dsniff
    Dsniff به libpcap، ibnet، libnids و OpenSSH نیاز دارد. فقط دستورات وارد شده را ضبط می کند که بسیار راحت است. در اینجا یک مثال از یک گزارش اتصال در unix-shells.com آمده است:

    02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
    (تلنت)
    استالسن
    asdqwe123
    ls
    pwd
    سازمان بهداشت جهانی
    آخر
    خروج

    در اینجا dsniff ورود با رمز عبور (stalsen/asdqwe123) را قطع کرد.
    نصب:
    #./پیکربندی
    #ساخت
    #بسازید نصب کنید

    حفاظت از اسنیفر

    مطمئن ترین راه برای محافظت در برابر sniffers استفاده از ENCRYPTION (SSH، Kerberous، VPN، S/Key، S/MIME، SHTTP، SSL، و غیره) است. خوب، اگر نمی خواهید خدمات متن ساده را رد کنید و ایجاد کنید بسته های اضافی? سپس نوبت به استفاده از بسته های ضد اسنیفر می رسد ...

    AntiSniff برای ویندوز
    این محصول توسط گروه معروف Lopht منتشر شده است. این اولین محصول در نوع خود بود. AntiSniff همانطور که در توضیحات ذکر شده است:
    "AntiSniff یک ابزار مبتنی بر رابط کاربری گرافیکی (GUI) برای شناسایی کارت های رابط شبکه (NIC) در بخش شبکه محلی شما است." به طور کلی در حالت promisc کارت می گیرد. پشتیبانی از تعداد زیادی تست (تست DNS، تست ARP، تست پینگ، تست ICMP Time Delta، تست اکو، تست PingDrop). می توانید هم یک ماشین و هم یک شبکه را اسکن کنید. پشتیبانی از لاگ ها وجود دارد. AntiSniff روی win95/98/NT/2000 کار می کند، اگرچه پلتفرم توصیه شده NT است. اما سلطنت او کوتاه مدت بود و به زودی یک sniffer به نام AntiAntiSniffer توسط Mike Perry نوشته شد (شما می توانید آن را در www.void.ru/news/9908/snoof.txt بیابید). این بر اساس LinSniffer است (در ادامه بررسی شده است).

    تشخیص ردیابی یونیکس:
    sniffer را می توان با دستور زیر شناسایی کرد:
    #ifconfig -a
    lo encap پیوند: Loopback Local
    inet adr:127.0.0.1Mask:255.0.0.0
    UP LOOPBACK RUNNING MTU:3924 متریک:1
    بسته‌های RX: 2373 خطا: 0 افت: 0 بیش از حد: 0 فریم: 0
    بسته های TX: 2373 خطا: 0 افت: 0 بیش از حد: 0 حامل: 0
    collisions:0 txqueuelen:0

    پیوند Ppp0 پروتکل encapoint-to-point
    inet adr:195.170.y.x P-t-P:195.170.y.x Mask:255.255.255.255
    UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 متریک:1
    بسته های RX: 3281 خطا: 74 افت: 0 بیش از حد: 0 فریم: 74
    بسته های TX: 3398 خطا: 0 ریزش: 0 بیش از حد: 0 حامل: 0
    collisions:0 txqueuelen:10

    همانطور که می بینید، رابط ppp0 در حالت PROMISC است. یا اپراتور یک sniff برای بررسی شبکه آپلود کرده است، یا قبلاً شما را دارند... اما به یاد داشته باشید که ifconfig را می توان به راحتی تغییر داد، بنابراین از tripwire برای شناسایی تغییرات و انواع برنامه ها برای بررسی sniffs استفاده کنید.

    AntiSniff برای یونیکس.
    روی BSD، Solaris و Linux کار می کند. از تست زمان پینگ / icmp، تست arp، تست اکو، تست dns، تست اترپینگ، به طور کلی، آنالوگ AntiSniff برای Win، فقط برای Unix پشتیبانی می کند.
    نصب:
    #make linux-all

    نگهبان
    همچنین یک برنامه مفید برای گرفتن sniffers. از تست های زیادی پشتیبانی می کند. آسان برای استفاده.
    نصب کنید: #make
    #./نگهبان
    ./sentinel [-t]
    مواد و روش ها:
    [-آزمایش ARP]
    [-d تست DNS]
    [ -i تست تاخیر پینگ ICMP ]
    [-e ICMP Etherping test]
    گزینه ها:
    [-f]
    [ -v نمایش نسخه و خروج ]
    [-n]
    [-من]

    گزینه ها به قدری ساده هستند که هیچ نظری وجود ندارد.

    در اینجا چند ابزار دیگر برای آزمایش شبکه شما (برای یونیکس) وجود دارد:
    packetstorm.securify.com/UNIX/IDS/scanpromisc.c - آشکارساز از راه دور حالت PROMISC برای کارت های اترنت (برای کلاه قرمزی 5.x).
    http://packetstorm.securify.com/UNIX/IDS/neped.c - آشکارساز اترنت غیرقانونی شبکه (نیاز به libcap و Glibc دارد).
    http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - دستگاه های سیستم را برای تشخیص sniff اسکن می کند.
    http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus رابط های شبکه را در حالت PROMISC آزمایش می کند.

    بیشتر بخوانید: