Что такое сниффер - Новичкам - Каталог статей - WEB-INFO
Пятница, 2014-10-24, 11:43 AM
Приветствую Вас Гость | RSS
Главная | Каталог статей | Регистрация | Вход
Форма входа
Категории раздела
Новичкам [29]
Мануал по Windows [23]
Поиск
Наш опрос
Оцените мой сайт

Результаты · Архив опросов

Всего ответов: 448
Друзья сайта
  • Создать сайт
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Все проекты компании
  • SITE LOGO
    Главная » Статьи » Новичкам

    Что такое сниффер
    Снифферы - это проги, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети(для админов) и для перехвата паролей (понятно для кого:)). Например если ты получил доступ к одной сетевой машине и установил там сниффер, то скоро все пароли от их подсети будут твои. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами), так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только первые байты от всяких ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах содержится имя и пароль:)). Снифферов сейчас развелось... Множество снифферов есть как под Unix, так и под Windows (даже под DOS есть:)). Снифферы могут поддерживать только определенную ось (например linux_sniffer.c,который поддерживает Linux:)), либо несколько (например Sniffit, работает с BSD, Linux, Solaris). Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это telnet, ftp, pop3, www и т.д. Этими службами пользуется уйма народу:). После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива telnet, поддерживающий шифрование), SSL(Secure Socket Layer - разработка Netscape, способная зашифровать www сеанс). Появились всякие Kerberous, VPN(Virtual Private Network). Заюзались некие AntiSniff'ы, ifstatus'ы и т.д. Но это в корне не изменило положения. Службы, которые используют передачу пароля plain text'ом юзаются во всю:). Поэтому сниффать еще долго будут:).

    Windows реализации снифферов

    CommView - www.tamos.com
    Довольно продвинутый сниффер производства TamoSoft. Можно установить свои правила на сниффинг (например игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и т.д.). Можно например сниффать только входящие пакеты, а остальные игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в мегах. Имеет две tools'ы - Packet Generator и NIC Vendor Indentifier. Можно посмотреть все подробности посланных /полученных пакетов (например в TCP пакете можно просмотреть Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радует еще то, что она автоматически устанавливает CAPTURE драйвер. В общем тулза очень полезная для снифа, рекомендую всем.

    SpyNet - packetstorm.securify.com
    Довольно известный сниффер производства Laurentiu Nicula 2000:). Обычные функции - перехват/декодинг пакетов. Хотя декодинг развит прикольно (можно например по пакетам воссоздавать странички, на которых побывал юзер!). В общем на любителя:).

    Analyzer - neworder.box.sk
    Analyzer требует установку специального драйвера, вложенного в пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой карте. Также Analyzer поддерживает работу с командной строкой. Он прекрасно работает с локальной сетью. Имеет несколько утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего выдающегося.

    IRIS - www.eeye.com
    IRIS продукт известной фирмы eEye. Представляет обширные возможности по фильтрации. Меня в нем сильно порадовало три фишки:
    1.Protocol Distribution
    2.Top hosts
    3.Size Distribution
    Также имеется Packet Decoder. Он поддерживает развитую систему логов. А доступные возможности фильтрации превосходят все снифферы обзора. Это Hardware Filter, который может ловить либо все пакеты (Promiscious), либо с различными ограничениями (например захватывать только multicast пакеты или broadcast пакеты, либо только Mac фреймы). Можно фильтровать по определенным MAC/IP адресам, по портам, по пакетам, содержащим определенные символы. В общем неплохой сниффак. Требует 50comupd.dll.

    WinDUMP

    Аналог TCPdump for Unix. Этот сниффак действует через командную строку и представляет минимальные возможности по конфигурации и еще требует библиотеку WinPcap. Мне не очень...

    SniffitNT

    Тоже требует WinPcap. Работа только как командной строкой, так и в интерактивном режиме. Со сложными опциями. Мне не очень.

    ButtSniff

    Обычный пакетный сниффер созданный известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том, что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной строки.

    Существуют еще множество снифферов, таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д. Пойдем дальне...

    Unix'овые снифферы

    Все снифферы данного обзора можно найти на packetstorm.securify.com.

    linsniffer

    Это простой сниффер для перехвата логинов/паролей. Стандартная компиляция (gcc -o linsniffer linsniffer.c).
    Логи пишет в tcp.log.

    linux_sniffer

    Linux_sniffer требуется тогда, когда вы хотите детально изучить сеть. Стандартная компиляция. Выдает всякую шнягу дополнительно, типа isn, ack, syn, echo_request (ping) и т.д.

    Sniffit

    Sniffit - продвинутая модель сниффера написанная Brecht Claerhout. Install(нужна libcap):
    #./configure
    #make
    Теперь запускаем сниффер:
    #./sniffit
    usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
    [-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
    [-D tty] (-t | -s) | (-i|-I) | -c]
    Plugins Available:
    0 -- Dummy Plugin
    1 -- DNS Plugin

    Как видите, сниффит поддерживает множество опций. Можно использовать сниффак в интерактивном режиме. Сниффит хоть и довольно полезная прога, но я ей не пользуюсь. Почему? Потому что у Sniffit большие проблемы с защитой. Для Sniffit'a уже вышли ремоутный рут и дос для линукса и дебиана! Не каждый сниффер себе такое позволяет:).

    HUNT

    Это мой любимый сниффак. Он очень прост в обращении, поддерживает много прикольных фишек и на данный момент не имеет проблем с безопасностью. Плюс не особо требователен к библиотекам (как например linsniffer и Linux_sniffer). Он может в реальном времени перехватывать текущие соединения и под чистую дампить с удаленного терминала. В общем, Hijack rulezzz:). Рекомендую всем для усиленного юзания:).
    Install:
    #make
    Run:
    #hunt -i [interface]

    READSMB

    Сниффер READSMB вырезан из LophtCrack и портирован под Unix (как ни странно:)). Readsmb перехватывает SMB пакеты.

    TCPDUMP

    tcpdump - довольно известный анализатор пакетов. Написанный еще более известным челом - Вэн Якобсоном, который придумал VJ-сжатие для PPP и написал прогу traceroute (и кто знает что еще?). Требует библиотеку Libpcap.
    Install:
    #./configure
    #make
    Теперь запускаем ее:
    #tcpdump
    tcpdump: listening on ppp0
    Все твои коннекты выводит на терминал. Вот пример вывода на пинг
    ftp.technotronic.com:
    02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
    ftp.technotronic.com. (38)
    02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
    02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
    02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
    02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
    02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
    02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
    02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
    В общем, снифф полезен для отладки сетей, нахождения неисправностей и т.д.

    Dsniff

    Dsniff требует libpcap, ibnet, libnids и OpenSSH. Записывает только введенные команды, что очень удобно. Вот пример лога коннекта на unix-shells.com:

    02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
    (telnet)
    stalsen
    asdqwe123
    ls
    pwd
    who
    last
    exit

    Вот dsniff перехватил логин с паролем (stalsen/asdqwe123).
    Install:
    #./configure
    #make
    #make install

    Статья взята с сайта www.hackzona.ru

    Категория: Новичкам | Добавил: Admin (2006-08-02) | Автор: HZ Team
    Просмотров: 11177 | Комментарии: 1 | Рейтинг: 4.5/6 |
    Всего комментариев: 0
    Имя *:
    Email:
    Код *:
    Бесплатный конструктор сайтов - uCozCopyright MyCorp © 2014