• Сетевой анализатор трафика сниффер. Что такое сниффер: описание. Снифферы

    Снифферы — это проги, которые перехватывают
    весь сетевой трафик. Снифферы полезны для диагностики сети (для админов) и
    для перехвата паролей (понятно для кого:)). Например если ты получил доступ к
    одной сетевой машине и установил там сниффер,
    то скоро все пароли от
    их подсети будут твои. Снифферы ставят
    сетевую карту в прослушивающий
    режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать
    все отправляемые пакеты со всех машин (если вы не разделены всякими хабами),
    так
    как там практикуется широковещание.
    Снифферы могут перехватывать все
    пакеты (что очень неудобно, ужасно быстро переполняется лог файл,
    зато для более детального анализа сети самое оно)
    или только первые байты от всяких
    ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах
    содержится имя и пароль:)). Снифферов сейчас
    развелось… Множество снифферов есть
    как под Unix, так и под Windows (даже под DOS есть:)).
    Снифферы могут
    поддерживать только определенную ось (например linux_sniffer.c,который
    поддерживает Linux:)), либо несколько (например Sniffit,
    работает с BSD, Linux, Solaris). Снифферы так разжились из-за того,
    что пароли передаются по сети открытым текстом.
    Таких служб
    уйма. Это telnet, ftp, pop3, www и т.д. Этими службами
    пользуется уйма
    народу:). После бума снифферов начали появляться различные
    алгоритмы
    шифрования этих протоколов. Появился SSH (альтернатива
    telnet, поддерживающий
    шифрование), SSL(Secure Socket Layer — разработка Netscape, способная зашифровать
    www сеанс). Появились всякие Kerberous, VPN(Virtual Private
    Network). Заюзались некие AntiSniff’ы, ifstatus’ы и т.д. Но это в корне не
    изменило положения. Службы, которые используют
    передачу пароля plain text’ом
    юзаются во всю:). Поэтому сниффать еще долго будут:).

    Windows реализации снифферов

    linsniffer
    Это простой сниффер для перехвата
    логинов/паролей. Стандартная компиляция (gcc -o linsniffer
    linsniffer.c).
    Логи пишет в tcp.log.

    linux_sniffer
    Linux_sniffer
    требуется тогда, когда вы хотите
    детально изучить сеть. Стандартная
    компиляция. Выдает всякую шнягу дополнительно,
    типа isn, ack, syn, echo_request (ping) и т.д.

    Sniffit
    Sniffit — продвинутая модель
    сниффера написанная Brecht Claerhout. Install(нужна
    libcap):
    #./configure
    #make
    Теперь запускаем
    сниффер:
    #./sniffit
    usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
    port] [(-r|-R) recordfile]
    [-l sniflen] [-L logparam] [-F snifdevice]
    [-M plugin]
    [-D tty] (-t | -s) |
    (-i|-I) | -c]
    Plugins Available:
    0 — Dummy
    Plugin
    1 — DNS Plugin

    Как видите, сниффит поддерживает множество
    опций. Можно использовать сниффак в интерактивном режиме.
    Сниффит хоть и
    довольно полезная прога, но я ей не пользуюсь.
    Почему? Потому что у Sniffit
    большие проблемы с защитой. Для Sniffit’a уже вышли ремоутный рут и дос для
    линукса и дебиана! Не каждый сниффер себе такое позволяет:).

    HUNT
    Это
    мой любимый сниффак. Он очень прост в обращении,
    поддерживает много прикольных
    фишек и на данный момент не имеет проблем с безопасностью.
    Плюс не особо
    требователен к библиотекам (как например linsniffer и
    Linux_sniffer). Он
    может в реальном времени перехватывать текущие соединения и под
    чистую дампить с удаленного терминала. В
    общем, Hijack
    rulezzz:). Рекомендую
    всем для усиленного юзания:).
    Install:
    #make
    Run:
    #hunt -i

    READSMB
    Сниффер READSMB вырезан из LophtCrack и портирован под
    Unix (как ни странно:)). Readsmb перехватывает SMB
    пакеты.

    TCPDUMP
    tcpdump — довольно известный анализатор пакетов.
    Написанный
    еще более известным челом — Вэн Якобсоном, который придумал VJ-сжатие для
    PPP и написал прогу traceroute (и кто знает что еще?).
    Требует библиотеку
    Libpcap.
    Install:
    #./configure
    #make
    Теперь запускаем
    ее:
    #tcpdump
    tcpdump: listening on ppp0
    Все твои коннекты выводит на
    терминал. Вот пример вывода на пинг

    ftp.technotronic.com:
    02:03:08.918959
    195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
    ftp.technotronic.com.
    (38)
    02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
    1/3/3 (165)
    02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
    request
    02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
    reply
    02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
    request
    02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
    reply
    02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
    request
    02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
    reply

    В общем, снифф полезен для отладки сетей,
    нахождения неисправностей и
    т.д.

    Dsniff
    Dsniff требует libpcap, ibnet,
    libnids и OpenSSH. Записывает только введенные команды, что очень удобно.
    Вот пример лога коннекта
    на unix-shells.com:

    02/18/01
    03:58:04 tcp my.ip.1501 ->
    handi4-145-253-158-170.arcor-ip.net.23
    (telnet)
    stalsen
    asdqwe123
    ls
    pwd
    who
    last
    exit

    Вот
    dsniff перехватил логин с паролем (stalsen/asdqwe123).
    Install:
    #./configure
    #make
    #make
    install

    Защита от снифферов

    Самый верный способ защиты от
    снифферов —
    использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME,
    SHTTP, SSL и т.д.). Ну
    а если не охота отказываться от plain text служб и установления дополнительных
    пакетов:)? Тогда пора юзать антиснифферские пекеты…

    AntiSniff for Windows
    Этот продукт выпустила известная группа
    Lopht. Это был первый продукт в своем роде.
    AntiSniff, как сказано в
    описании:
    «AntiSniff is a Graphical User Interface (GUI) driven tool for
    detecting promiscuous Network Interface Cards (NICs) on your local network
    segment". В общем, ловит карты в promisc режиме.
    Поддерживает огромное
    количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta
    Test, Echo Test, PingDrop test). Можно сканить как одну машину,
    так и сетку. Здесь имеется
    поддержка логов. AntiSniff работает на win95/98/NT/2000,
    хотя рекомендуемая
    платформа NT. Но царствование его было недолгим и уже в скором
    времени появился сниффер под названием AntiAntiSniffer:),
    написанный Майком
    Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он
    основан на LinSniffer (рассмотренный далее).

    Unix sniffer detect:
    Сниффер
    можно обнаружить командой:

    #ifconfig -a
    lo Link encap:Local
    Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    UP
    LOOPBACK RUNNING MTU:3924 Metric:1
    RX packets:2373 errors:0
    dropped:0 overruns:0 frame:0
    TX packets:2373 errors:0 dropped:0
    overruns:0 carrier:0
    collisions:0 txqueuelen:0

    ppp0 Link
    encap:Point-to-Point Protocol
    inet addr:195.170.y.x
    P-t-P:195.170.y.x Mask:255.255.255.255
    UP POINTOPOINT PROMISC
    RUNNING NOARP MULTICAST MTU:1500 Metric:1
    RX packets:3281
    errors:74 dropped:0 overruns:0 frame:74
    TX packets:3398 errors:0
    dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:10

    Как
    видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор
    загрузил снифф для
    проверки сети, либо вас уже имеют… Но помните,
    что ifconfig можно спокойно
    подменить, поэтому юзайте tripwire для обнаружения
    изменений и всяческие проги
    для проверки на сниффы.

    AntiSniff for Unix.
    Работает на
    BSD, Solaris и
    Linux. Поддерживает ping/icmp time test, arp test, echo test, dns
    test, etherping test, в общем аналог AntiSniff’а для Win, только для
    Unix:).
    Install:
    #make linux-all

    Sentinel
    Тоже полезная прога для
    отлова снифферов. Поддерживает множество тестов.
    Проста в
    использовании.
    Install: #make
    #./sentinel
    ./sentinel [-t
    ]
    Methods:
    [ -a ARP test ]
    [ -d DNS test
    ]
    [ -i ICMP Ping Latency test ]
    [ -e ICMP Etherping test
    ]
    Options:
    [ -f ]
    [ -v Show version and
    exit ]
    [ -n ]
    [ -I
    ]

    Опции настолько просты, что no
    comments.

    MORE

    Вот еще несколько
    утилит для проверки вашей сети(for
    Unix):
    packetstorm.securify.com/UNIX/IDS/scanpromisc.c -ремоутный
    детектор PROMISC mode для ethernet карт (for red hat 5.x).
    http://packetstorm.securify.com/UNIX/IDS/neped.c
    — Network Promiscuous Ethernet Detector (нужно libcap & Glibc).
    http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
    -сканирует девайсы системы на детект сниффов.
    http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
    — ifstatus тестит сетевые интерфейсы в PROMISC mode.

    Программа Wireshark станет отличным помощником для тех пользователей, кому требуется произвести детальный анализ сетевых пакетов, - трафика компьютерной сети. Сниффер легко взаимодействует с такими распространенными протоколами, как netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 и многими другими. Позволяет при анализе разделять сетевой пакет на соответствующие составляющие, согласно определенному протоколу, и выдавать на экран удобочитаемую информацию в числовом виде.
    поддерживает огромное число разнообразных форматов передаваемой и получаемой информации, способен открывать файлы, которые находятся в пользовании других утилит. Принцип работы заключается в том, что сетевая карточка переходит в широковещательный режим и начинается перехват сетевых пакетов, которые находятся в зоне её видимости. Умеет работать как программа для перехвата пакетов wifi.

    Как пользоваться wireshark

    Программа занимается изучением содержимого информационных пакетов, которые проходят через сеть. Чтобы запустить и воспользоваться результатами работы сниффера не требуется никаких специфических знаний, просто нужно открыть ее в "Пуск" меню или кликнуть по значку на рабочем столе (её запуск ничем не отличается от любой другой Windows программы). Особая функция утилиты позволяет ей захватывать информационные пакеты, тщательно расшифровывать их содержимое и выдавать пользователю для анализа.

    Запустив wireshark, Вы увидите на экране главное меню программы, которое расположено в верхней части окна. С помощью него и происходит управление утилитой. Если вам нужно загрузить файлы, которые хранят данные о пакетах, пойманных в предыдущих сессиях, а также сохранить данные о других пакетах, добытые в новом сеансе, то для этого вам потребуется вкладка "File".

    Чтобы запустить функцию захвата сетевых пакетов, пользователь должен кликнуть на иконку "Capture", затем отыскать специальный раздел меню под названием "Interfaces", с помощью которого можно открыть отдельное окно "Wireshark Capture Interfaces", где должны будут показаны все доступные сетевые интерфейсы, через которые и будет произведен захват нужных пакетов данных. В том случае, когда программа (сниффер) способна обнаружить только один подходящий интерфейс, она выдаст на экран всю важную информацию о нем.

    Результаты работы утилиты являются прямым доказательством того, что, даже если пользователи самостоятельно не занимаются (в данный момент времени) передачей каких-либо данных, в сети не прекращается обмен информацией. Ведь принцип работы локальной сети заключается в том, что для поддержания её в рабочем режиме, каждый её элемент (компьютер, коммутатор и другие устройства) непрерывно обмениваются друг с другом служебной информацией, поэтому для перехвата таких пакетов и предназначены подобные сетевые инструменты.

    Имеется версия и для Linux систем.

    Следует отметить, что сниффер крайне полезен для сетевых администраторов и службы компьютерной безопасности, ведь утилита позволяет определить потенциально незащищённые узлы сети – вероятные участки, которые могут быть атакованы хакерами.

    Помимо своего прямого предназначения Wireshark может использоваться как средство для мониторинга и дальнейшего анализа сетевого трафика с целью организации атаки на незащищённые участки сети, ведь перехваченный трафик можно использовать для достижения различных целей.

    Сниффер не всегда является вредоносным. В действительности, данный тип ПО часто используется для анализа сетевого трафика в целях обнаружения и устранения отклонений и обеспечения бесперебойной работы. Однако сниффер может быть использован с недобрым умыслом. Снифферы анализируют все, что через них проходит, включая незашифрованные пароли и учетные данные, поэтому хакеры, имеющие доступ к снифферу, могут завладеть личной информацией пользователей. Кроме того, сниффер может быть установлен на любом компьютере, подключенном к локальной сети, без необходимости его обязательной установки на самом устройстве - иными словами, его невозможно обнаружить на протяжении всего времени подключения.

    Откуда появляются снифферы?

    Хакеры используют снифферы для кражи ценных данных путем отслеживания сетевой активности и сбора персональной информации о пользователях. Как правило, злоумышленники наиболее заинтересованы в паролях и учетных данных пользователей, чтобы с их применением получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов. Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к сети устройство в рамках так называемой спуфинг атаки с целью похищения ценных данных.

    Как распознать сниффер?

    Несанкционированные снифферы крайне сложно распознать виртуально, так как они могут быть установлены практически где угодно, представляя собой весьма серьезную угрозу сетевой безопасности. Обычные пользователи часто не имеют ни малейшего шанса распознать отслеживание своего сетевого трафика сниффером. Теоретически возможно установить собственный сниффер, который бы отслеживал весь трафик DNS на наличие иных снифферов, однако для рядового пользователя гораздо проще установить анти-сниффинговое ПО или антивирусное решение, включающее защиту сетевой активности, чтобы пресечь любое несанкционированное вторжение или скрыть свои сетевые действия.

    Как отстранить сниффер

    Вы можете воспользоваться высокоэффективным антивирусом для обнаружения и отстранения всех типов вредоносного ПО, установленного на ваш компьютер для сниффинга. Однако для полного удаления сниффера с компьютера необходимо удалить абсолютно все папки и файлы, имеющие к нему отношение. Так же настоятельно рекомендуется использовать антивирус со сканером сети, который тщательно проверит локальную сеть на наличие уязвимостей и проинструктирует относительно дальнейших действий в случае их обнаружения.

    Как не стать жертвой сниффера
    • Зашифруйте всю отправляемую и принимаемую вами информацию
    • Сканируйте свою локальную сеть на наличие уязвимостей
    • Используйте только проверенные и защищенные сети Wi-Fi
    Обезопасьтесь от снифферов

    Первое, что пользователь может сделать, чтобы защититься от снифферов - воспользоваться качественным антивирусом, как бесплатный антивирус Avast, который способен досконально просканировать всю сеть на наличие проблем с безопасностью. Дополнительным и высокоэффективным способом защиты информации от сниффинга является шифрование всех отправляемых и принимаемых данных онлайн, включая письма эл. почты. Avast SecureLine позволяет надежно зашифровать весь обмен данными и совершать действия онлайн в условиях 100% анонимности.

    Многим пользователям компьютерных сетей, в общем-то, незнакомо такое понятие как «сниффер». Что такое сниффер, попытаемся и определить, говоря простым языком неподготовленного пользователя. Но для начала все равно придется углубиться в предопределение самого термина.

    Сниффер: что такое sniffer с точки зрения английского языка и компьютерной техники?

    На самом деле определить сущность такого программного или программно-аппаратного комплекса вовсе несложно, если просто перевести термин.

    Это название происходит от английского слова sniff (нюхать). Отсюда и значение русскоязычного термина «сниффер». Что такое sniffer в нашем понимании? «Нюхач», способный отслеживать использование сетевого трафика, а, проще говоря, шпион, который может вмешиваться в работу локальных или интернет-ориентированных сетей, извлекая нужную ему информацию на основе доступа через протоколы передачи данных TCP/IP.

    Анализатор трафика: как это работает?

    Оговоримся сразу: сниффер, будь он программным или условно-программным компонентом, способен анализировать и перехватывать трафик (передаваемые и принимаемые данные) исключительно через сетевые карты (Ethernet). Что получается?

    Сетевой интерфейс не всегда оказывается защищенным файрволлом (опять же - программным или «железным»), а потому перехват передаваемых или принимаемых данных становится всего лишь делом техники.

    Внутри сети информация передается по сегментам. Внутри одного сегмента предполагается рассылка пакетов данных абсолютно всем устройствам, подключенным к сети. Сегментарная информация переадресуется на маршрутизаторы (роутеры), а затем на коммутаторы (свитчи) и концентраторы (хабы). Отправка информации производится путем разбиения пакетов, так что конечный пользователь получает все части соединенного вместе пакета совершенно из разных маршрутов. Таким образом «прослушивание» всех потенциально возможных маршрутов от одного абонента к другому или взаимодействие интернет-ресурса с пользователем может дать не только доступ к незашифрованной информации, но и к некоторым секретным ключам, которые тоже могут пересылаться в таком процессе взаимодействия. И тут сетевой интерфейс оказывается совершенно незащищенным, ибо происходит вмешательство третьего лица.

    Благие намерения и злоумышленные цели?

    Снифферы можно использовать и во вред, и во благо. Не говоря о негативном влиянии, стоит отметить, что такие программно-аппаратные комплексы достаточно часто используются системными администраторами, которые пытаются отследить действия пользователей не только в сети, но и их поведение в интернете в плане посещаемых ресурсов, активированных загрузок на компьютеры или отправки с них.

    Методика, по которой работает сетевой анализатор, достаточно проста. Сниффер определяет исходящий и входящий траффик машины. При этом речь не идет о внутреннем или внешнем IP. Самым главным критерием является так называемый MAC-address, уникальный для любого устройства, подключенного к глобальной паутине. Именно по нему происходит идентификация каждой машины в сети.

    Виды снифферов

    Но и по видам их можно разделить на несколько основных:

    • аппаратные;
    • программные;
    • аппаратно-программные;
    • онлайн-апплеты.

    Поведенческое определение присутствия сниффера в сети

    Обнаружить тот же сниффер WiFi можно по нагрузке на сеть. Если видно, что передача данных или соединение находится не на том уровне, какой заявляется провайдером (или позволяет роутер), следует обратить на это внимание сразу.

    С другой стороны, провайдер тоже может запустить программный сниффер для отслеживания трафика без ведома пользователя. Но, как правило, юзер об этом даже не догадывается. Зато организация, предоставляющая услуги связи и подключения к Интернету, таким образом гарантирует пользователю полную безопасность в плане перехвата флуда, самоустанавливающихся клиентов разнородных троянов, шпионов и т.д. Но такие средства являются скорее программными и особого влияния на сеть или пользовательские терминалы не оказывают.

    Онлайн-ресурсы

    А вот особо опасным может быть анализатор трафика онлайн-типа. На использовании снифферов построена примитивная система взлома компьютеров. Технология в ее самом простейшем варианте сводится к тому, что изначально взломщик регистрируется на определенном ресурсе, затем загружает на сайт картинку. После подтверждения загрузки выдается ссылка на онлайн-сниффер, которая пересылается потенциальной жертве, например, в виде электронного письма или того же SMS-сообщения с текстом вроде «Вам пришло поздравление от того-то. Чтобы открыть картинку (открытку), нажмите на ссылку».

    Наивные пользователи кликают по указанной гиперссылке, в результате чего активируется опознавание и передача внешнего IP-адреса злоумышленнику. При наличии соответствующего приложения он сможет не только просмотреть все данные, хранимые на компьютере, но и с легкостью поменять настройки системы извне, о чем локальный пользователь даже не догадается, приняв такое изменение за воздействие вируса. Да вот только сканер при проверке выдаст ноль угроз.

    Как защититься от перехвата данных?

    Будь то сниффер WiFi или любой другой анализатор, системы защиты от несанкционированного сканирования трафика все же есть. Условие одно: их нужно устанавливать только при условии полной уверенности в «прослушке».

    Такие программные средства чаще всего называют «антиснифферами». Но если задуматься, это те же самые снифферы, анализирующие трафик, но блокирующие другие программы, пытающиеся получить

    Отсюда законный вопрос: а стоит и устанавливать такое ПО? Быть может, его взлом со стороны хакеров нанесет еще больший вред, или оно само заблокирует то, что должно работать?

    В самом простом случае с Windows-системами в качестве защиты лучше использовать встроенный брэндмауэр (файрволл). Иногда могут наблюдаться конфликты с установленным антивирусом, но это чаще касается только бесплатных пакетов. Профессиональные покупные или ежемесячно активируемые версии таких недостатков лишены.

    Вместо послесловия

    Вот и все, что касается понятия «сниффер». Что такое sniffer, думается, уже многие сообразили. Напоследок вопрос остается в другом: насколько правильно такие вещи будет использовать рядовой пользователь? А то ведь среди юных юзеров иногда можно заметить склонность к компьютерному хулиганству. Они-то думают, что взломать чужой «комп» - это что-то вроде интересного соревнования или самоутверждения. К сожалению, никто из них даже не задумывается о последствиях, а ведь определить злоумышленника, использующего тот же онлайн-сниффер, очень просто по его внешнему IP, например, на сайте WhoIs. В качестве местоположения, правда, будет указана локация провайдера, тем не менее, страна и город определятся точно. Ну а потом дело за малым: либо звонок провайдеру с целью блокировки терминала, с которого производился несанкционированный доступ, либо подсудное дело. Выводы делайте сами.

    При установленной программе определения дислокации терминала, с которого идет попытка доступа, дело обстоит и того проще. Но вот последствия могут оказаться катастрофическими, ведь далеко не все юзеры используют те хе анонимайзеры или виртуальные прокси-серверы и даже не имеют понятия, в Интернете. А стоило бы поучиться…

    Снифферы - это проги, которые перехватывают весь сетевой трафик.

    Снифферы полезны для диагностики сети(для админов) и для перехвата паролей (понятно для кого). Например если ты получил доступ к одной сетевой машине и установил там сниффер, то скоро все пароли от их подсети будут твои. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами), так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только первые байты от всяких ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах содержится имя и пароль). Снифферов сейчас развелось... Множество снифферов есть как под Unix, так и под Windows (даже под DOS есть). Снифферы могут поддерживать только определенную ось (например linux_sniffer.c,который поддерживает Linux), либо несколько (например Sniffit, работает с BSD, Linux, Solaris). Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это telnet, ftp, pop3, www и т.д. Этими службами пользуется уйма народу. После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива telnet, поддерживающий шифрование), SSL(Secure Socket Layer - разработка Netscape, способная зашифровать www сеанс). Появились всякие Kerberous, VPN(Virtual Private Network). Заюзались некие AntiSniff"ы, ifstatus"ы и т.д. Но это в корне не изменило положения. Службы, которые используют передачу пароля plain text"ом юзаются во всю. Поэтому сниффать еще долго будут.

    Windows реализации снифферов

    CommView - www.tamos.com
    Довольно продвинутый сниффер производства TamoSoft. Можно установить свои правила на сниффинг (например игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и т.д.). Можно например сниффать только входящие пакеты, а остальные игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в мегах. Имеет две tools"ы - Packet Generator и NIC Vendor Indentifier. Можно посмотреть все подробности посланных /полученных пакетов (например в TCP пакете можно просмотреть Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радует еще то, что она автоматически устанавливает CAPTURE драйвер. В общем тулза очень полезная для снифа, рекомендую всем.

    SpyNet - packetstorm.securify.com
    Довольно известный сниффер производства Laurentiu Nicula 2000. Обычные функции - перехват/декодинг пакетов. Хотя декодинг развит прикольно (можно например по пакетам воссоздавать странички, на которых побывал юзер!). В общем на любителя.

    Analyzer - neworder.box.sk
    Analyzer требует установку специального драйвера, вложенного в пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой карте. Также Analyzer поддерживает работу с командной строкой. Он прекрасно работает с локальной сетью. Имеет несколько утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего выдающегося.

    IRIS - www.eeye.com
    IRIS продукт известной фирмы eEye. Представляет обширные возможности по фильтрации. Меня в нем сильно порадовало три фишки:
    1.Protocol Distribution
    2.Top hosts
    3.Size Distribution
    Также имеется Packet Decoder. Он поддерживает развитую систему логов. А доступные возможности фильтрации превосходят все снифферы обзора. Это Hardware Filter, который может ловить либо все пакеты (Promiscious), либо с различными ограничениями (например захватывать только multicast пакеты или broadcast пакеты, либо только Mac фреймы). Можно фильтровать по определенным MAC/IP адресам, по портам, по пакетам, содержащим определенные символы. В общем неплохой сниффак. Требует 50comupd.dll.

    WinDUMP
    Аналог TCPdump for Unix. Этот сниффак действует через командную строку и представляет минимальные возможности по конфигурации и еще требует библиотеку WinPcap. Мне не очень...

    SniffitNT
    Тоже требует WinPcap. Работа только как командной строкой, так и в интерактивном режиме. Со сложными опциями. Мне не очень.

    ButtSniff
    Обычный пакетный сниффер созданный известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том, что его можно использовать, как плагин к BO(Очень полезно).Работа из командной строки.

    Существуют еще множество снифферов, таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д. Пойдем дальне...

    Unix"овые снифферы

    Все снифферы данного обзора можно найти на packetstorm.securify.com.

    Linsniffer
    Это простой сниффер для перехвата логинов/паролей. Стандартная компиляция (gcc -o linsniffer linsniffer.c).
    Логи пишет в tcp.log.

    Linux_sniffer
    Linux_sniffer требуется тогда, когда вы хотите детально изучить сеть. Стандартная компиляция. Выдает всякую шнягу дополнительно, типа isn, ack, syn, echo_request (ping) и т.д.

    Sniffit
    Sniffit - продвинутая модель сниффера написанная Brecht Claerhout. Install(нужна libcap):
    #./configure
    #make
    Теперь запускаем сниффер:
    #./sniffit
    usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
    [-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
    [-D tty] (-t | -s) | (-i|-I) | -c]
    Plugins Available:
    0 -- Dummy Plugin
    1 -- DNS Plugin

    Как видите, сниффит поддерживает множество опций. Можно использовать сниффак в интерактивном режиме. Сниффит хоть и довольно полезная прога, но я ей не пользуюсь. Почему? Потому что у Sniffit большие проблемы с защитой. Для Sniffit"a уже вышли ремоутный рут и дос для линукса и дебиана! Не каждый сниффер себе такое позволяет.

    HUNT
    Очень прост в обращении, поддерживает много прикольных фишек и на данный момент не имеет проблем с безопасностью. Плюс не особо требователен к библиотекам (как например linsniffer и Linux_sniffer). Он может в реальном времени перехватывать текущие соединения и под чистую дампить с удаленного терминала. Рекомендую всем для усиленного юзания.
    Install:
    #make
    Run:
    #hunt -i

    READSMB
    Сниффер READSMB вырезан из LophtCrack и портирован под Unix (как ни странно). Readsmb перехватывает SMB пакеты.

    TCPDUMP
    tcpdump - довольно известный анализатор пакетов. Написанный еще более известным челом - Вэн Якобсоном, который придумал VJ-сжатие для PPP и написал прогу traceroute (и кто знает что еще?). Требует библиотеку Libpcap.
    Install:
    #./configure
    #make
    Теперь запускаем ее:
    #tcpdump
    tcpdump: listening on ppp0
    Все твои коннекты выводит на терминал. Вот пример вывода на пинг
    ftp.technotronic.com:
    02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
    ftp.technotronic.com. (38)
    02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
    02:03:09.459421 195.170.212.151 >
    02:03:09.996780 209.100.46.7 >
    02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
    02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
    02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
    02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
    В общем, снифф полезен для отладки сетей, нахождения неисправностей и т.д.

    Dsniff
    Dsniff требует libpcap, ibnet, libnids и OpenSSH. Записывает только введенные команды, что очень удобно. Вот пример лога коннекта на unix-shells.com:

    02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
    (telnet)
    stalsen
    asdqwe123
    ls
    pwd
    who
    last
    exit

    Вот dsniff перехватил логин с паролем (stalsen/asdqwe123).
    Install:
    #./configure
    #make
    #make install

    Защита от снифферов

    Самый верный способ защиты от снифферов - использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME, SHTTP, SSL и т.д.). Ну а если не охота отказываться от plain text служб и установления дополнительных пакетов? Тогда пора юзать антиснифферские пекеты...

    AntiSniff for Windows
    Этот продукт выпустила известная группа Lopht. Это был первый продукт в своем роде. AntiSniff, как сказано в описании:
    "AntiSniff is a Graphical User Interface (GUI) driven tool for detecting promiscuous Network Interface Cards (NICs) on your local network segment". В общем, ловит карты в promisc режиме. Поддерживает огромное количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test). Можно сканить как одну машину, так и сетку. Здесь имеется поддержка логов. AntiSniff работает на win95/98/NT/2000, хотя рекомендуемая платформа NT. Но царствование его было недолгим и уже в скором времени появился сниффер под названием AntiAntiSniffer, написанный Майком Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он основан на LinSniffer (рассмотренный далее).

    Unix sniffer detect:
    Сниффер можно обнаружить командой:
    #ifconfig -a
    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    UP LOOPBACK RUNNING MTU:3924 Metric:1
    RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
    TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0

    Ppp0 Link encapoint-to-Point Protocol
    inet addr:195.170.y.x P-t-P:195.170.y.x Mask:255.255.255.255
    UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
    RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
    TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:10

    Как видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор загрузил снифф для проверки сети, либо вас уже имеют... Но помните, что ifconfig можно спокойно подменить, поэтому юзайте tripwire для обнаружения изменений и всяческие проги для проверки на сниффы.

    AntiSniff for Unix.
    Работает на BSD, Solaris и Linux. Поддерживает ping/icmp time test, arp test, echo test, dns test, etherping test, в общем аналог AntiSniff"а для Win, только для Unix.
    Install:
    #make linux-all

    Sentinel
    Тоже полезная прога для отлова снифферов. Поддерживает множество тестов. Проста в использовании.
    Install: #make
    #./sentinel
    ./sentinel [-t ]
    Methods:
    [ -a ARP test ]
    [ -d DNS test ]
    [ -i ICMP Ping Latency test ]
    [ -e ICMP Etherping test ]
    Options:
    [ -f ]
    [ -v Show version and exit ]
    [ -n ]
    [ -I ]

    Опции настолько просты, что no comments.

    Вот еще несколько утилит для проверки вашей сети(for Unix):
    packetstorm.securify.com/UNIX/IDS/scanpromisc.c -ремоутный детектор PROMISC mode для ethernet карт (for red hat 5.x).
    http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (нужно libcap & Glibc).
    http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c -сканирует девайсы системы на детект сниффов.
    http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus тестит сетевые интерфейсы в PROMISC mode.

    Читать еще: