V-zlom.ru » Сниффер » Что такое Сниффер и как он работает

Что такое Сниффер и как он работает

Снифферы - это специальные программы.которые придумали для перехватывания чужого трафика,тоесть полезны для диагностики сети и для перехвата паролей Например если ты получил доступ к удаленному доступу своей жертвы и установил там сниффер, то все пароли с ее компьютера будут у тебя. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC). То есть они получают все пакеты. В локалке можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами), так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только первые байты от всяких FTP, Telnet, POP3 и т.д. (Это самое веселое, обычно примерно в первых 100 байтах содержится имя и пароль :)). Снифферов сейчас развелось ... Множество снифферов есть как под Unix, так и под Windows (даже под DOS есть :)). Снифферы могут поддерживать только определенную ось (например linux_sniffer.c, который поддерживает Linux :)), либо несколько (например Sniffit, работает с BSD, Linux, Solaris). Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это Telnet, FTP, POP3, WWW и т.д. Этими службами пользуется уйма народу :). После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива Telnet, поддерживающий шифрование), SSL (Secure Socket Layer - разработка Netscape, способная зашифровать WWW сеанс). Появились всякие Kerberous, VPN (Virtual Private Network).Заюзались некие AntiSniff'ы, ifstatus'ы и т.д. Но это в корне не изменило положения. Службы, которые используют передачу пароля просто text'ом юзаются во всю :). Поэтому сниффать еще долго будут :).

Windows, реализации снифферов

CommView - www.tamos.com
Довольно продвинутою сниффер производства TamoSoft. Можно установить свои правила на сниффинг (например игнорировать ICMP, а TCP сниффать, также кроме интернета протоколов имеется поддержка Ethernet протоколов, таких как ARP, SNMP, NOVELL и т.д.). Можно например сниффать только входящие пакеты, а остальные игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в мегах. Имеет две tools'ы - генератор пакетов и сетевых поставщиков Indentifier. Можно посмотреть все подробности посланных / полученных пакетов (например в TCP пакете можно просмотреть Source Port, Destination Port, длина данных, контрольная сумма, Sequence, Window, Ack, Flags, Urgent). Радует еще то, что она автоматически устанавливает драйвер CAPTURE. В общем тулза очень полезная для снифа, рекомендую всем.

SpyNet - packetstorm.securify.com
Довольно известный сниффер производства Laurentiu Nicula 2000 :). Обычные функции - перехват / декодинг пакетов. Хотя декодинг развит прикольно (можно например по пакетам воссоздавать странички, на которых побывал юзер!). В общем на любителя :). 

Analyzer - neworder.box.sk
Analyzer требует установку специального драйвера, вложенного в пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой карте. Также Analyzer поддерживает работу с командной строкой. Он прекрасно работает с локальной сетью. Имеет несколько утилит: ConvDump, GnuPlot, FlowsDet, АНАЛИЗ Engine.Ничего выдающегося.

IRIS - www.eeye.com
IRIS продукт известной фирмы EEye. Представляет обширные возможности по фильтрации. Меня в нем сильно порадовало три фишки: 
1.Protocol распространения 
2.Top хозяева 
3.Size распространения 
Также имеется пакет Decoder. Он поддерживает развитую систему логов. А доступные возможности фильтрации превосходят все снифферы обзора. Это аппаратный фильтр, который может ловить либо все пакеты (PROMISCIOUS), либо с различными ограничениями (например захватывать только многоадресной трансляции пакеты или пакеты, либо только Mac фреймы). Можно фильтровать по определенным MAC / IP адресам, по портам, по пакетам, содержащим определенные символы. В общем неплохой сниффак. Требует 50comupd.dll.

WinDump 
Аналог TCPdump для Unix. Этот сниффак действует через командную строку и представляет минимальные возможности по конфигурации и еще требует библиотеку WinPcap. Мне не очень ...

SniffitNT 
Тоже требует WinPcap. Работа только как командной строкой, так и в интерактивном режиме. Со сложными опциями. Мне не очень.

ButtSniff 
Обычный пакетный сниффер созданный известнейшей группой CDC (Культ Dead Cow). Фишка его в том, что его можно использовать, как плагин к BO :) (Очень полезно :)). Работа из командной строки.

Существуют еще множество снифферов, таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д.Пойдем дальне ...

Unix'овые снифферы

Все снифферы данного обзора дает Можно Найти На packetstorm.securify.com .

linsniffer 
Это простой сниффер для перехвата логинов / паролей. Стандартная компиляция (GCC-о linsniffer linsniffer.c). 
Логи пишет в tcp.log. 

linux_sniffer 
Linux_sniffer требуется тогда, когда вы хотите детально изучить сеть. Стандартная компиляция. Выдает всякую шнягу дополнительно, типа ISN, ACK, SYN, ECHO_REQUEST (пинг) и т.д. 

Sniffit 
Sniffit - продвинутая модель сниффера написанная Брехтом Claerhout. Установить (нужна libcap):  
#. / настройки 
# сделать 
Теперь запускаем сниффер: 
# / sniffit. 
использования:. / sniffit [-xdabvnN] [прото-P] [-символ] [-P порт] [(-R | - R) recordfile] 
[-л sniflen] [-L logparam] [-F snifdevice] [-M плагин] 
[-D терминала] (-т <target IP> |-х <Source IP>) | (-я | - I) |-C <config file>] 
плагинов: 
0 - Dummy Plugin 
1 - DNS Plugin

Как видите, сниффит поддерживает множество опций. Можно использовать сниффак в интерактивном режиме.Сниффит хоть и довольно полезная прога, но я ей не пользуюсь. Почему? Потому что у Sniffit большие проблемы с защитой. Для Sniffit'a уже вышли ремоутный рут и дос для линукса и дебиана! Не каждый сниффер себе такое позволяет :).

HUNT 
Это мой любимый сниффак. Он очень прост в обращении, поддерживает много прикольных фишек и на данный момент не имеет проблем с безопасностью. Плюс не особо требователен к библиотекам (как например linsniffer и Linux_sniffer). Он может в реальном времени перехватывать текущие соединения и под чистую дампить с удаленного терминала. В общем, Hijack rulezzz :). Рекомендую всем для усиленного юзания :). 
Установка: 
# сделать 
Run: 
# охоты-я [интерфейс]

READSMB 
Сниффер READSMB вырезан из LophtCrack и портирован под Unix (как ни странно :)). Readsmb перехватывает пакеты SMB. 

TCPDUMP 
ТСРйитр - довольно известный анализатор пакетов. Написанный еще более известным челом - Вэн Якобсоном, который придумал VJ-сжатие для PPP и написал прогу Traceroute (и кто знает что еще?). Требует библиотеку Libpcap. 
Установка: 
#. / Настройка 
# сделать 
Теперь запускаем ее: 
# Tcpdump 
Tcpdump: прослушивание на ppp0 
Все твои коннекты выводит на терминал. Вот пример вывода на пинг

ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply

В общем, снифф полезен для отладки сетей, нахождения неисправностей и т.д.

Dsniff 
Dsniff требует Libpcap, IBNET, libnids и OpenSSH. Записывает только введенные команды, что очень удобно. Вот пример лога коннекта на Unix-shells.com:

02/18/01 3:58:04 TCP my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23 
(Telnet) 
stalsen 
asdqwe123 
Ls 
PWD 
кто 
последний 
выход

Вот Dsniff перехватил логин с паролем (stalsen/asdqwe123). 
Установка: 
#. / Настройка 
# делать 
# сделать установки

Защита от снифферов

Самый верный способ защиты от снифферов - использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S / Key, S / MIME, SHTTP, SSL и т.д.). Ну а если не охота отказываться от простого текста служб и установления дополнительных пакетов :)? Тогда пора юзать антиснифферские пекеты ... 

AntiSniff для ОС Windows 
Этот продукт выпустила известная группа Lopht. Это был первый продукт в своем роде. AntiSniff, как сказано в описании: 
"AntiSniff представляет собой графический интерфейс пользователя (GUI), управляемый инструмент для обнаружения беспорядочную Сетевые карты (NIC) в своем сегменте локальной сети". В общем, ловит карты в PROMISC режиме. Поддерживает огромное количество тестов (тест DNS, ARP тест, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop тест). Можно сканить как одну машину, так и сетку. Здесь имеется поддержка логов.AntiSniff работает на Win95/98/NT/2000, хотя рекомендуемая платформа NT. Но царствование его было недолгим и уже в скором времени появился сниффер под названием AntiAntiSniffer :), написанный Майком Перри (Mike Perry) (Найти ЕГО дает Можно по адресу www.void.ru/news/9908/snoof.txt ). Он основан на LinSniffer (рассмотренный далее). 

Unix анализатор обнаруживает: 
Сниффер можно обнаружить командой:

# Ifconfig












Как видите интерфейс ppp0 стоит в PROMISC режиме. Либо оператор загрузил снифф для проверки сети, либо вас уже имеют ... Но помните, что Ifconfig можно спокойно подменить, поэтому юзайте Tripwire для обнаружения изменений и всяческие проги для проверки на сниффы.

AntiSniff для Unix. 
Работает на BSD, Solaris и Linux. Поддерживает Ping / ICMP испытание временем, ARP-тест, эхо, сервера, etherping тест, в общем аналог AntiSniff'а для Win, только для Unix :).  
Установка: 
# сделать Linux-все

Страж 
Тоже полезная прога для отлова снифферов. Поддерживает множество тестов. Проста в использовании.  
Установить: # сделать 
. # / дозорного 
/ дозорных [метод] [-т <target ip>] [опции]. 
Методы: 
[-тест ARP] 
[-D DNS тест] 
[-я ICMP Ping Latency тест ] 
[-е ICMP Etherping тест] 
Опции: 
[-F <non-existant host>] 
[-V версии шоу и выход] 
[-п <number из packets/seconds>] 
[-я <device>]

  • Автор: admin
  • Комментарии: 0
  • Просмотры: 7298
0

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!