Малък преглед на шнурките.

Sniffers са програми, които прихващат целия мрежов трафик. Сниферите са полезни за мрежова диагностика (за администратори) и за прихващане на пароли (за кого:)). Например, ако сте получили достъп до една мрежова машина и сте инсталирали там снифер, тогава скоро всички пароли от тяхната подмрежа ще бъдат ваши. Sniffers поставят мрежовата карта в режим на слушане (PROMISC), тоест те получават всички пакети. В LAN можете да прихващате всички изпратени пакети от всички машини (ако не сте разделени от всякакви хъбове), тъй като там се практикува излъчване. Snifers могат да прихващат всички пакети (което е много неудобно, регистрационният файл се пълни ужасно бързо, но за по-подробен анализ на мрежата е най-много) или само първите байтове от който и да е ftp, telnet, pop3 и т.н. (това е най-забавното нещо, обикновено първите 100 байта съдържат потребителското име и паролата:)). Сега шпионките са разведени. Има много sniffers както за Unix, така и за Windows (има дори DOS:)). Sniffers могат да поддържат само определена ос (например linux_sniffer.c, която поддържа Linux:)) или няколко (например Sniffit, работи с BSD, Linux, Solaris). Snifers са толкова уловени във факта, че паролите се предават по мрежата в ясен текст. Има много такива услуги. Това са telnet, ftp, pop3, www и т.н. Много хора използват тези услуги:). След бум на sniffer започнаха да се появяват различни алгоритми за криптиране на тези протоколи. Появи се SSH (алтернатива на telnet, която поддържа криптиране), SSL (Secure Socket Layer - разработка на Netscape, която може да криптира www сесия). Има всякакви Kerberous, VPN (Виртуална частна мрежа). Използвани са някои AntiSniffs, ifstatuses и др. Но това не промени коренно ситуацията. Услугите, които използват пароли с обикновен текст, се използват изцяло:). Затова ще душат дълго време:).

Внедряване на Windows на sniffers

SpyNet - packetstorm.securify.com
Доста добре познат снифър, произведен от Laurentiu Nicula 2000:). Общите функции са прихващане/декодиране на пакети. Въпреки че декодирането е добре разработено (например, можете да пресъздадете
страници, посетени от потребителя!). Като цяло, не за всички:).

Анализатор - neworder.box.sk
Анализаторът изисква инсталирането на специален драйвер, включен в пакета (packet.inf, packet.sys). Можете да видите цялата информация за вашата мрежова карта. Анализаторът също така поддържа работа в командния ред. Той работи чудесно с LAN. Има няколко помощни програми: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Нищо изключително.

WinDUMP
Аналог на TCPdump за Unix. Този сниф работи чрез командния ред и осигурява минимални опции за конфигуриране, а също така изисква библиотеката WinPcap. Всъщност не съм.

SniffitNT
Изисква и WinPcap. Работете само като команден ред и интерактивно, със сложни опции. Всъщност не съм.

ButtSniff
Редовен снифър за пакети, създаден от известната група CDC (Култ на мъртвата крава). Неговият трик е, че може да се използва като приставка за BO:) (Много полезно:)). Работа от командния ред.

Има много повече sniffers като NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.н. Да отидем далеч.

Всички sniffers за този преглед могат да бъдат намерени на packetstorm.securify.com.

linsniffer
Това е прост sniffer за прихващане на потребителски имена/пароли. Стандартна компилация (gcc -o linsniffer linsniffer.c).
Дневниците се записват в tcp.log.

linux_sniffer
Linux_sniffer се изисква, когато искате да проучите мрежата в детайли. Стандартна компилация. Издава всякакви допълнителни shnyaga, като isn, ack, syn, echo_request (ping) и т.н.

Sniffit
Sniffit е усъвършенстван модел на sniffer, написан от Brecht Claerhout. Инсталиране (необходим libcap):
#./конфигуриране
# направи
Сега започваме sniffer:
#./sniffit
използване: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p порт] [(-r | -R) запис файл]
[-l sniflen] [-L logparam] [-F snifdevice] [-M плъгин]
[-D tty] (-t | -s) | (-i | -I) | -° С]
Налични приставки:
0 - фиктивна приставка
1 - DNS приставка

Както можете да видите, sniffit поддържа много опции. Можете да използвате sniffak интерактивно. Sniffit е доста полезна програма, но не я използвам. Защо? Защото Sniffit има големи проблеми със сигурността. За Sniffit вече са пуснати отдалечен root и dos за Linux и Debain! Не всеки sniffer си позволява това:).

ЛОВ
Това е любимата ми миризма. Той е много лесен за използване, поддържа много страхотни функции и в момента няма проблеми със сигурността. Освен това не е особено придирчив към библиотеките (като linsniffer и Linux_sniffer). Той може да прихваща текущите връзки в реално време и да извършва чисто изхвърляне от отдалечен терминал. Като цяло, Hijack rulezzz:). Препоръчвам на всички за подобрена употреба:).
Инсталирай:
# направи
Изпълнение:
#hunt -i [интерфейс]

ПРОЧЕТЕТЕ MB
Снайфърът READSMB беше изрязан от LophtCrack и пренесен в Unix (колкото и да е странно:)). Readsmb прихваща SMB пакети.

TCPDUMP
tcpdump е доста добре познат пакетен снифър. Написано от още по-известен човек - Вен Джейкъбсън, който е изобретил VJ компресия за PPP и е написал програмата traceroute (и кой знае какво още?). Изисква библиотека Libpcap.
Инсталирай:
#./конфигуриране
# направи
Сега го пускаме:
#tcpdump
tcpdump: слушане на ppp0
Всички ваши връзки се показват на терминала. Ето пример за извеждане на ping
ftp.technotronic.com:
02: 03: 08.918959 195.170.212.151.1039> 195.170.212.77.домейн: 60946+ A?
ftp.technotronic.com. (38)
02: 03: 09.456780 195.170.212.77.домейн> 195.170.212.151.1039: 60946 * 1/3/3 (165)
02: 03: 09.459421 195.170.212.151> 209.100.46.7: icmp: echo request
02: 03: 09.996780 209.100.46.7> 195.170.212.151: icmp: echo reply
02: 03: 10.456864 195.170.212.151> 209.100.46.7: icmp: echo request
02: 03: 10.906779 209.100.46.7> 195.170.212.151: icmp: ехо отговор
02: 03: 11.456846 195.170.212.151> 209.100.46.7: icmp: echo request
02: 03: 11.966786 209.100.46.7> 195.170.212.151: icmp: ехо отговор
По принцип sniff е полезен за отстраняване на грешки в мрежи, намиране на грешки и т.н.

Dsniff
Dsniff изисква libpcap, ibnet, libnids и OpenSSH. Записва само въведени команди, което е много удобно. Ето пример за дневник на връзките на unix-shells.com:

18.02.01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(телнет)
stalsen
asdqwe123
ls
pwd
Кой
последен
изход

Тук dsniff прихвана вход с парола (stalsen/asdqwe123).
Инсталирай:
#./конфигуриране
# направи
#make install

Защита от нюхане

Най-сигурният начин да се предпазите от sniffers е да използвате ENCRYPTION (SSH, Kerberous, VPN, S/Key, S/MIME, SHTTP, SSL и др.). Е, ако не искате да се откажете от услуги с обикновен текст и да инсталирате допълнителни пакети:)? Тогава е време да използвате пайовете против смъркане.

Откриване на Unix sniffer:
Снайперът може да бъде намерен с командата:
#ifconfig -a
lo Връзка encap: Local Loopback
inet addr: 127.0.0.1 Маска: 255.0.0.0
MTU: 3924 Метричен: 1
RX пакети: 2373 грешки: 0 отпаднали: 0 превишения: 0 кадър: 0
TX пакети: 2373 грешки: 0 отпаднали: 0 превишения: 0 превозвач: 0
сблъсъци: 0 txqueuelen: 0

ppp0 Encap на връзката: Протокол от точка до точка
inet addr: 195.170.y.x P-t-P: 195.170.y.x Маска: 255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU: 1500 Metric: 1
RX пакети: 3281 грешки: 74 отпаднали: 0 превишения: 0 кадър: 74
TX пакети: 3398 грешки: 0 отпаднали: 0 превишения: 0 превозвач: 0
сблъсъци: 0 txqueuelen: 10

Както можете да видите, ppp0 интерфейсът е в режим PROMISC. Или операторът е качил сниф, за да провери мрежата, или вече те има. Но не забравяйте, че ifconfig може лесно да бъде променен, така че използвайте tripwire за откриване на промени и всякакви програми, за да проверите за подушвания.

AntiSniff за Unix.
Работи върху BSD, Solaris и Linux.Поддържа ping/icmp тест за време, arp тест, ехо тест, dns тест, etherping тест, като цяло аналог на AntiSniff за Win, само за Unix:).
Инсталирай:
#make linux-all

Страж
Също така полезна програма за улавяне на шмугачи. Поддържа много тестове. Лесен за използване.
Инсталиране: #make
#./sentinel
./ sentinel [метод] [-t] [опции]
Методи:
[-а ARP тест]
[-d DNS тест]
[-i ICMP тест за латентност на пинг]
[-e ICMP тест за етерпиране]
Настроики:
[-f]
[-v Показване на версията и излизане]
[-н]
[-I]