Снифферы: популярно о снифферах. Приобрести лучший






Антивирус Dr.Web Security Space


Kaspersky Internet Security (электронная версия)


ESET NOD32 Smart Security 4.2


Антивирус Касперского 2010 (коробочная версия)


Антивирус ESET NOD32 + Microsoft Office Home and Student 2010


Антивирус Avast! Pro Antivirus


Антивирус Quick Heal Antivirus 2010


Спецвыпуск Xakep, номер #025 (отредактировано)
Наверняка ты уже знаком с понятием сниффер, или анализатор протоколов, или он же анализатор траффика, но я все-таки поясню, что это; за этим последует маленький обзорчик самых популярных снифферов, а потом мы приступим к самому интересному - сниффингу! В самом конце статьи я расскажу, как защититься от снифферов в системе.

Как это работает?

X-spez уже объяснял тебе, что такое сниффер (вынюхиватель), но я все-таки еще раз поясню, что это такое, только по-своему. Допустим, есть сеть, каждый компьютер в этой сети прослушивает и обрабатывают только те пакеты, которые адресованы ему, однако можно создать такое ПО (программное обеспечение), которое переводит сетевой интерфейс машины в неразборчивый режим (promiscuous mode). В этом режиме компьютер (находящийся в сети) будет перехватывать всю передаваемую по сети информацию и проходящие мимо пакеты независимо от того, кому они предназначены. Вот это ПО и есть сниффер. Чтобы понять все это детально, я бы советовал тебе ознакомиться с исходниками сниффера под Unix, а также изучить все компоненты, которые они (снифферы) используют. Например, можно перевести сетевой интерфейс в неразборчивый режим, используя флаг из if.h. Для установки "вручную" сетевого интерфейса в неразборчивый режим необходимо включить флаг PROMISC: ifconfig eth0 promisc; для отключения - promiscuous mode: ifconfig eth0 -promisc (это я про Linux =).

Кто есть Кто?

В настоящее время существует огромное количество снифферов как под Windows, так и под Unix системы. Но я заострю твое внимание только на самых популярных и чем-то примечательных. Но прежде я скажу несколько слов о WinPcap. Для работы с сырыми сокетами (raw sockets) под Win некоторые снифферы требуют библиотеку WinPcap. Скачать ее можешь тут - http://winpcap.polito.it/install/bin/WinPcap_2_3.exe, всего 326 KB. Эта библиотека является результатом переноса libpcap с Unix на Win32 (как и снифферов, которым она нужна, - dsniff, ethereal и др., все они были перенесены с Unix на win). WinPcap позволяет использовать расширенный интерфейс Berkely Packet Filters. Подробнее о WinPcap (особенно полезно для кодеров) можешь прочитать в статье "Архитектура захвата пакетов для Windows WinPCAP: бальзам на душу хакера или панацея для программиста?", состоящей из трех частей, ищи тут - http://www.nmap.ru/reading/index.html. А теперь о снифферах.

ИРИСКА или Iris - сниффер

Один из самых популярных снифферов под Windows - Iris от eEye, взять, соответственно, можешь на www.eeye.com. Естественно, не бесплатный, либо скачать прямо с этого сайта (последнюю версию не обещаю). Этот сниффер является революцией в области сетевого мониторинга. Помимо того, что он превосходно выполняет стандартные функции (сбора, фильтрации и поиска пакетов, а также построения отчетов), он способен реконструировать данные. Ириска помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Также в этом софте присутствует модуль декодирования (decode module), преобразующий сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др.

Должен иметь или хотя бы попробовать =). Об ириске мы с тобой еще поговорим.

ETHEREAL

Очень известный сниффер, перенесенный с Unix, поэтому и выглядит так коряво. Огромным плюсом этого софта является то, что реализация ethereal есть практически под все операционные системы, сам глянь - http://www.ethereal.com/download.html, а также она бесплатна. В остальном - просто хороший сниффер =).

NETSNIFFER

Конкурентов ириске я не нашел, но все же этот сниффер мне тоже приглянулся, так как он прост, удобен и имеет приятный интерфейс, а еще он на русском языке. http://www.tmeter.ru/netsniffer/ - взять можешь тут, программа бесплатная. Знает четыре протокола (маловато будет =): POP3, IMAP4, FTP, PAP. Позволяет одновременно собирать пароли с 4-х сетевых адаптеров.

SNIFFIT

А что это мы про Windows, да про Windows, давайте и о Unix-системах поговорим. Sniffit - сниффер, входящий в большинство дистрибьютивов Linux, поэтому, скорей всего, он у тебя уже есть, очень серьезное средство, и научиться им пользоваться нелегко, поэтому я маленько поясню (ведь когда еще я буду писать статью про снифферы =)). Разберем вот такую строку запуска сниффера:

sniffit -d -p 23 -s 127.0.0.2 -t 127.0.0.1 -L1

Тут -d значит, что sniffit переводится в режим dump, в этом режиме прога выдает пакеты в байтовом формате в стандартный выходной поток. -p используется для указания конкретного контролируемого порта. -s [ip] используется для указания исходного адреса, sniffit будет перехватывать пакеты, поступающие именно с этого адреса. -t [ip], соответственно, используется для указания целевого адреса (target - цель), т.е. sniffit будет перехватывать пакеты, направляющиеся по этому адресу. L [уровень] - используется для указания уровня детализации. Тем самым я указал sniffit отслеживать 23 порт между хостами 127.0.0.1 и 127.0.0.2. С помощью -с [файл_конфигурации] можешь указать файл для детального сниффинга =), рассмотрим такой файл конфигурации:

select from host 172.17.0.1

select from host 172.17.0.2 80

select both port 23

Теперь разберем каждое поле конкретнее (поля по вертикали). Первое поле может иметь значения select или deselect, т.е. перехватывать или не перехватывать пакеты с хостов. Возможные значения второго поля: from, to, both указывают, надо ли перехватывать пакеты, исходящие от хоста, направляющиеся на хост или и те, и другие. Третье поле может содержать следующие значения: host, port или multiple-hosts. Это поле задает один или несколько целевых хостов/портов. Опция multiple-hosts позволяет использовать стандартные символы-заместители. В четвертом поле надо указать номер порта или адрес хоста, можно и список нескольких хостов. И в пятом поле можешь указать порт на хосте. В результате этого примера будут перехвачены все пакеты telnet и Web, посылаемые с обоих хостов.

TCPDUMP

Известное средство, официальный сайт - http://www.tcpdump.org/, и, скорей всего, он тоже присутствует в твоем дистрибьютиве линукса (не сайт, а сниффер). Пример запуска:

tcpdump -i eth0 -n -vv -w /root/dump.log

Здесь: -i - сетевой интерфейс, -n - числовой вывод адресов и номеров портов, -vv - очень подробный вывод, -w - запись лога в файл. Чтобы прочитать перехваченный траффик из лога, используй: tcpdump -r /root/dump.log. http://www.opennet.ru/opennews/art.shtml?num=824&showsection=9_ - здесь есть ссылка на замечательную статью об использовании tcpdump и дальнейшем изучении лог-файлов (английская). Этот сниффер занимает третье место в рейтинге лучших утилит сетевой безопасности, проводимом Insecure.org.

DSNIFF

http://naughty.monkey.org/%7Edugsong/dsniff/ - официальная страница этого "вынюхивателя", мне там понравилась обезьянка =). Сниффер перехватывает пароли, че тут еще добавить =). Рекомендую запускать так: dsniff.exe > dsniff.log, а потом уже спокойненько рассматривать лог-файл.

ETTERCAP

Замечательный сниффер! Домашняя версия - http://ettercap.sourceforge.net/, наконец-то приличный url =). Сегодня все останутся довольны, он реализован и под винду, и под UNIX, а также он часто обновляется, последняя версия - 0.6.7. Далее мы разберем этот сниффер подробнее, так как он, как и Iris, один из самых лучших и популярных, только под Unix =).

CGI-СНИФФЕРЫ или они же онлайн-снифферы (http снифферы)

Существуют такие снифферы, которые предназначены для ловли REMOTE_ADDR и PATH_INFO CGI-запроса. Чаще всего используются для того, чтобы узнать ip адрес чужого компьютера какого-нибудь чела в сети или в чате. Пример - http://www1.hut.ru/aneksniff/. Там же можешь прочитать о таком простом и одновременно продвинутом сниффере, все на php. Сейчас на многих халявных хостингах есть поддержка php, так что ты без проблем сможешь его воткнуть.

В БОЙ!

Если с NetSniffer-ом все понятно, то с Iris сложнее. Так что давай с самого начала. А сначала надо указать, какой девайс юзать. Недолго думая, я нажал на кнопку Play aka Start (выглядит так же, как и на видео), и полилось ручьем, сколько инфы-то, ничего не понять... Но иногда все-таки проскакивают понятные данные, например, на скрине ты можешь прочитать несколько слов (я зашел на www.wzor.net). Но это все не то, нам нужны пароли, поэтому я приконнектился с другого компьютера к фтп (ftp), введя логин и пароль. Останавливаем сниффер и жмем на пимпу под названием "decode buffer packets" (она находится левее "play"). Это то, что отловила и декодировала в нормальное сообщение Iris-sniffer; пароли и всю инфу, которая тебя не касается, я закрасил =). Также она может вести логи, но этим уже никого не удивишь. А удивить тебя может много другое в этой софтине, например, то, что ириска может работать по расписанию, она имеет кучу фильтров, поэтому ты можешь конкретизировать свою цель. Заметь, Iris может раскидывать пакеты не только по заголовкам (IP-адрес, порт и т.д.), но и по содержанию некоторого слова в области пакета. И еще одной особенностью чудо-ириски является возможность динамического наблюдения за сетью. По твоему хотению она может построить всевозможные графики, основываясь на инфе, поступающей на сетевую карту. Так можно выявить атакующих, можно быстро просмотреть диаграмму самых активных компов в сети и т.д.

А теперь ребут, и быстрее в linux или что у тебя там? Сейчас мы займемся не менее популярным сниффером - Ettercap. Для начала некоторые его опции:
  • -a, -s, -m - различные виды прослушивания (выше я давал ссылку, там и можешь про них прочитать);
  • -N - запускать сниффер без псевдографики;
  • -z - запуск в спокойном режиме;
  • -d - не преобразовывать IP-адреса в имена;
  • -i - сетевой интерфейс;
  • -l - вывести список хостов в сети;
  • -C - собирать все имена и пароли пользователей;
  • -f - определение операционной системы удаленного хоста;
  • -p - работа с плагинами;
  • -L - записывать в лог, имеющий формат: год-месяц-день-collected-pass.log

Теперь рассмотрим некоторые виды использования этого сниффера. Сначала будем перехватывать все пароли в нашем сегменте сети и записывать в лог:

ettercap - NdzsCLi eth0

Определяем операционную систему хоста с IP-адресом 127.0.0.1:

ettercap - Ndzsfi eth0 127.0.0.1

Смотрим установленные плагины и описания к ним:

ettercap - N -p list

Рассмотрим один из плагинов - leech, он изолирует удаленный хост от сети. Пропинговав хост, видим, что он в сети. Запускаем плагин:

ettercap -Ndp leech 192.168.6.89

Your IP: 192.168.6.81 MAC: 00:50:BF:4A:48:F3 Iface: ed0

Starting ./ec_leech.so plugin...

Building host list for netmask 255.255.255.0, please wait...

Sending 255 ARP request...

Listening for replies...

Isolating host 192.168.6.89... Press return to stop

Ждем-с пару секунд и жмем ^C, все, сетевой интерфейс перестает работать на некоторое время, но ОС и приложения продолжают работать нормально, этого "некоторого времени" хватает на заполучение ip-адреса жертвы. Пингуем для проверки!

PING 192.168.6.89 (192.168.6.89): 56 data bytes

---192.168.6.89 ping statistics---

4 packets transmitted, 0 packet received, 100% packet loss

Для перехвата незашифрованных почтовых сообщении будем юзать:

./ettercap -Nzds <IP-адрес почтового сервера>:<port почтового сервера> <IP-адрес клиента>

Пример - ./ettercap -Nzds ANY:25 ANY > /root/sniff.smtp

КОНТРМЕРЫ или антисниффинг

Безусловно, лучший способ защиты от сниффинга - это шифрование. PGP, SSH и различные утилиты для шифрования должны стать твоими лучшими друзьями! Но есть еще способ для того, чтобы обнаружить сниффер в системе: необходимо проверить, не работает ли какое-либо из сетевых устройств в сети в неразборчивом режиме. Под линукс есть одно средство - ifconfig, эта тулза сообщает о состоянии сетевых устройств.

Вот и все! Фу... Еще хочу добавить одно слово! Снифферы представляют собой существенную угрозу безопасности в основном из-за трудности их обнаружения. Изучение способов применения "вынюхивателей" и понимание того, как они могут быть использованы против тебя, существенно поможет тебе в защите от них. Удачи!

Лучший способ защиты от сниффинга - это шифрование. PGP, SSH и различные утилиты для шифрования должны стать твоими лучшими друзьями!



Форум о снифферах
Принцип работы сниффера. Часть 1.
Принцип работы сниффера. Часть 2.
Принцип работы сниффера. Часть 3.


Снифферы: перехват информации IP адрес
http онлайн снифферы
Как узнать чужой IP адрес город местоположение
Скачать снифферы под Windows
Как скрыть свой IP адрес компьютера?
Как определить IP адрес отправителя почты?


Rambler's Top100  
X