Программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Во время работы сниффера сетевой интерфейс переключается в т.н. «режим прослушивания» (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.
Перехват трафика может осуществляться:
- обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей) , в противном случае метод малоэффективен, поскольку на снифер попадают лишь отдельные фреймы);
- подключением снифера в разрыв канала;
- ответвлением (программным или аппаратным) трафика и направлением его копии на снифер;
- через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
- через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на снифер с последующим возвращением трафика в надлежащий адрес.
В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.
Поскольку в «классическом» снифере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.
См. также
Ссылки
Wikimedia Foundation . 2010 .
Смотреть что такое "Sniffer" в других словарях:
Sniffer - , ein Programm zum unberechtigten Ausspionieren sensibler Daten. Der Sniffer wird in einem Netzwerk installiert und zeichnet wahllos vorüberkommende Datenpakete auf. Bei einer nachfolgenden Analyse können auf diese Weise Daten … Universal-Lexikon
Sniffer - Ein Sniffer (engl. to sniff‚ riechen, schnüffeln) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und ggf. auswerten kann. Es handelt sich also um ein Werkzeug der Netzwerkanalyse. Inhaltsverzeichnis 1… … Deutsch Wikipedia
sniffer - snifer ou sniffer [ snife ] v. tr. <conjug. : 1> v. 1978; de l angl. to sniff « renifler » ♦ Anglic. (arg. de la drogue) Priser (un stupéfiant). ⇒ renifler. Snifer de la cocaïne. N. SNIF(F)EUR, EUSE . Les sniffeurs de colle. ● sniffer… … Encyclopédie Universelle
Sniffer - Packet sniffer Les packet sniffers (littéralement « renifleurs de paquets », aussi connus sous le nom de renifleurs ou sniffeurs) sont des logiciels qui peuvent récupérer les données transitant par le biais d un réseau local. Ils… … Wikipédia en Français
Снифферы
- это проги, которые перехватывают
весь сетевой трафик. Снифферы полезны для диагностики сети (для админов) и
для перехвата паролей (понятно для кого:)). Например если ты получил доступ к
одной сетевой машине и установил там сниффер,
то скоро все пароли от
их подсети будут твои. Снифферы ставят
сетевую карту в прослушивающий
режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать
все отправляемые пакеты со всех машин (если вы не разделены всякими хабами),
так
как там практикуется широковещание.
Снифферы могут перехватывать все
пакеты (что очень неудобно, ужасно быстро переполняется лог файл,
зато для более детального анализа сети самое оно)
или только первые байты от всяких
ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах
содержится имя и пароль:)). Снифферов сейчас
развелось... Множество снифферов есть
как под Unix, так и под Windows (даже под DOS есть:)).
Снифферы могут
поддерживать только определенную ось (например linux_sniffer.c,который
поддерживает Linux:)), либо несколько (например Sniffit,
работает с BSD, Linux, Solaris). Снифферы так разжились из-за того,
что пароли передаются по сети открытым текстом.
Таких служб
уйма. Это telnet, ftp, pop3, www и т.д. Этими службами
пользуется уйма
народу:). После бума снифферов начали появляться различные
алгоритмы
шифрования этих протоколов. Появился SSH (альтернатива
telnet, поддерживающий
шифрование), SSL(Secure Socket Layer - разработка Netscape, способная зашифровать
www сеанс). Появились всякие Kerberous, VPN(Virtual Private
Network). Заюзались некие AntiSniff"ы, ifstatus"ы и т.д. Но это в корне не
изменило положения. Службы, которые используют
передачу пароля plain text"ом
юзаются во всю:). Поэтому сниффать еще долго будут:).
Windows реализации снифферов
linsniffer
Это простой сниффер для перехвата
логинов/паролей. Стандартная компиляция (gcc -o linsniffer
linsniffer.c).
Логи пишет в tcp.log.
linux_sniffer
Linux_sniffer
требуется тогда, когда вы хотите
детально изучить сеть. Стандартная
компиляция. Выдает всякую шнягу дополнительно,
типа isn, ack, syn, echo_request (ping) и т.д.
Sniffit
Sniffit - продвинутая модель
сниффера написанная Brecht Claerhout. Install(нужна
libcap):
#./configure
#make
Теперь запускаем
сниффер:
#./sniffit
usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t
(-i|-I) | -c
Plugins Available:
0 -- Dummy
Plugin
1 -- DNS Plugin
Как видите, сниффит поддерживает множество
опций. Можно использовать сниффак в интерактивном режиме.
Сниффит хоть и
довольно полезная прога, но я ей не пользуюсь.
Почему? Потому что у Sniffit
большие проблемы с защитой. Для Sniffit"a уже вышли ремоутный рут и дос для
линукса и дебиана! Не каждый сниффер себе такое позволяет:).
HUNT
Это
мой любимый сниффак. Он очень прост в обращении,
поддерживает много прикольных
фишек и на данный момент не имеет проблем с безопасностью.
Плюс не особо
требователен к библиотекам (как например linsniffer и
Linux_sniffer). Он
может в реальном времени перехватывать текущие соединения и под
чистую дампить с удаленного терминала. В
общем, Hijack
rulezzz:). Рекомендую
всем для усиленного юзания:).
Install:
#make
Run:
#hunt -i
READSMB
Сниффер READSMB вырезан из LophtCrack и портирован под
Unix (как ни странно:)). Readsmb перехватывает SMB
пакеты.
TCPDUMP
tcpdump - довольно известный анализатор пакетов.
Написанный
еще более известным челом - Вэн Якобсоном, который придумал VJ-сжатие для
PPP и написал прогу traceroute (и кто знает что еще?).
Требует библиотеку
Libpcap.
Install:
#./configure
#make
Теперь запускаем
ее:
#tcpdump
tcpdump: listening on ppp0
Все твои коннекты выводит на
терминал. Вот пример вывода на пинг
ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
reply
В общем, снифф полезен для отладки сетей,
нахождения неисправностей и
т.д.
Dsniff
Dsniff требует libpcap, ibnet,
libnids и OpenSSH. Записывает только введенные команды, что очень удобно.
Вот пример лога коннекта
на unix-shells.com:
02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit
Вот
dsniff перехватил логин с паролем (stalsen/asdqwe123).
Install:
#./configure
#make
#make
install
Защита от снифферов
Самый верный способ защиты от
снифферов -
использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL и т.д.). Ну
а если не охота отказываться от plain text служб и установления дополнительных
пакетов:)? Тогда пора юзать антиснифферские пекеты...
AntiSniff for Windows
Этот продукт выпустила известная группа
Lopht. Это был первый продукт в своем роде.
AntiSniff, как сказано в
описании:
"AntiSniff is a Graphical User Interface (GUI) driven tool for
detecting promiscuous Network Interface Cards (NICs) on your local network
segment". В общем, ловит карты в promisc режиме.
Поддерживает огромное
количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Можно сканить как одну машину,
так и сетку. Здесь имеется
поддержка логов. AntiSniff работает на win95/98/NT/2000,
хотя рекомендуемая
платформа NT. Но царствование его было недолгим и уже в скором
времени появился сниффер под названием AntiAntiSniffer:),
написанный Майком
Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он
основан на LinSniffer (рассмотренный далее).
Unix sniffer detect:
Сниффер
можно обнаружить командой:
#ifconfig -a
lo Link encap:Local
Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP
LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0
dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0
overruns:0 carrier:0
collisions:0 txqueuelen:0
ppp0 Link
encap:Point-to-Point Protocol
inet addr:195.170.y.x
P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281
errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0
dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
Как
видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор
загрузил снифф для
проверки сети, либо вас уже имеют... Но помните,
что ifconfig можно спокойно
подменить, поэтому юзайте tripwire для обнаружения
изменений и всяческие проги
для проверки на сниффы.
AntiSniff for Unix.
Работает на
BSD, Solaris и
Linux. Поддерживает ping/icmp time test, arp test, echo test, dns
test, etherping test, в общем аналог AntiSniff"а для Win, только для
Unix:).
Install:
#make linux-all
Sentinel
Тоже полезная прога для
отлова снифферов. Поддерживает множество тестов.
Проста в
использовании.
Install: #make
#./sentinel
./sentinel [-t
Methods:
[ -a ARP test ]
[ -d DNS test
]
[ -i ICMP Ping Latency test ]
[ -e ICMP Etherping test
]
Options:
[ -f
[ -v Show version and
exit ]
[ -n
[ -I
]
Опции настолько просты, что no
comments.
MORE
Вот еще несколько
утилит для проверки вашей сети(for
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -ремоутный
детектор PROMISC mode для ethernet карт (for red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (нужно libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
-сканирует девайсы системы на детект сниффов.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus тестит сетевые интерфейсы в PROMISC mode.
Наверняка многие пользователи компьютерных систем слышали о «сниффере», правда не все в полной мере представляют себе, что означает данное понятие. Также сегодня можно выделить довольно ограниченный круг пользователей, которые знают, как и где используются такие программы и «железные» компоненты. Давайте попробуем разобраться, что к чему.
Что такое сниффер?
Прежде всего, рассмотрим определение данного термина. Чтобы вникнуть в суть данного вопроса, необходимо сперва перевести слово «сниффер». Если переводить дословно, то на английском языке sniffer означает «нюхач». Если говорить более простым языком, то это программа или оборудование, которые способны на основе анализа трафика в виде передаваемых и принимаемых данных извлекать всю необходимую информацию, например, зашифрованные пароли, внешние сетевые IP-адреса, или конфиденциальную информацию.Сами снифферы могут быть использованы как во вред, так и во благо.
Снифферы: основные типы
Если говорить об основных разновидностях снифферов, то это вовсе не обязательно может быть программное обеспечение, которое устанавливается на компьютерный терминал или выполненное в виде онлайн-апплета. Довольно часто сегодня можно встретить снифферы, выполненные в виде «железного» оборудования или его компонентов, сочетающих в себе физические и программные признаки. В основную классификацию снифферов входят следующие типы:
— программные;
— аппаратные;
— программно-аппаратные;
— онлайн-компоненты.
Также при основной классификации можно выделить разделение по направлению анализа. Чаще всего, к примеру, встречается такая разновидность, как сниффер паролей. Основной задачей данного инструмента является извлечение из пакетов информации открытых или зашифрованных кодов доступа или иной информации. Также существуют снифферы, которые предполагают вычисление IP-адресов конкретного компьютерного терминала с целью доступа к пользовательскому компьютеру и информации, хранящейся на нем.
Как же это работает? Технология перехвата сетевого траффика может быть применена только к сетям, построенным на основе протоколов TCP/IP, а также реализуемому соединению посредством сетевых карт Ethernet. Анализу также могут подвергаться и беспроводные сети. В такой системе изначально все равно присутствует проводное подключение (к раздающему стационарному ПК или ноутбуку, маршрутизатору). В сети передача данных осуществляется не цельным блоком, а при помощи его разделения на стандартные сегменты и пакеты, которые при получении принимающей стороной объединяются в одно целое. Снифферы могут отслеживать различные каналы передачи каждого сегмента. В момент передачи незащищенных пакетов на подключенные устройства, например, свитчи, хабы, маршрутизаторы, компьютеры или мобильные устройства осуществляется извлечение нужной информации, в которой могут содержаться пароли. Взлом пароля становится делом техники, особенно если он не зашифрован должным образом. Даже при использовании современных технологий шифрования пароля, он может передаваться вместе с соответствующим ключом. Если данный ключ открытого типа, то получить пароль будет очень просто. Если ключ зашифрован, то злоумышленник может воспользоваться какой-нибудь программой дешифратором. В конечном итоге это все равно приведет к взлому данных.
Где может использоваться сниффер сети? Область применения
Сфера использования снифферов является довольно своеобразной. Не стоит думать, что какой-то удобный сниффер на русском языке является исключительно средством для хакеров, которые пытаются выполнить несанкционированное вмешательство в сетевой трафик для получения важной информации. Снифферы также могут быть использованы и провайдерами, которые на основе их данных осуществляют анализ трафика своих пользователей, тем самым усиливая безопасность компьютерных систем. Такое оборудование и приложения называют антиснифферами, но на самом деле это обыкновенные снифферы, которые работают в обратном направлении. Конечно, никто не уведомляет пользователей о подобных действиях со стороны провайдера. К тому же особого смысла в этом нет. Вряд ли рядовой пользователь сможет самостоятельно принять какие-то эффективные меры. Для провайдера анализ трафика зачастую является очень важным моментом, так он может предотвратить попытки вмешательства в работу сетей со стороны. Анализируя доступ к передаваемым пакетам, можно отследить несанкционированный доступ к ним даже на основе внешних IP-адресов, которые пытаются перехватить передаваемые сегменты. Это наиболее простой пример. В целом технология выглядит намного сложнее.
Как определить присутствие сниффера?
Давайте пока оставим в стороне такое понятие, как «сниффер». Уже немного понятно, что это такое. Давайте теперь посмотрим, по каким признакам можно самостоятельно определить «прослушку» сниффером. Если в целом с компьютерной системой все в порядке и интернет-подключение, и сетевое оборудование работают без сбоев, то первым признаком вмешательства со стороны является снижение скорости передачи данных по сравнению с заявленной провайдером. В операционных системах семейства Windows рядовой пользователь вряд ли сможет определить скорость при помощи стандартных средств даже при вызове меню состояния кликом на значке подключения. Тут указывается только число полученных и отправленных пакетов. Снижение скорости может быть связано с ограничениями самого ресурса, к которому осуществляется доступ. Лучше всего будет использовать специальные утилиты-анализаторы. Они, стоит отметить, работают по принципу сниффера. Единственный момент, на который необходимо обратить внимание, это то, что программы такого типа после установки могут вызывать ошибки, которые появляются в результате конфликтов с файрволлами (сторонними программами или встроенным брэндмауэром Windows). По этой причине на момент проведения анализа желательно полностью отключить защитные экраны.
Заключение
Мы коротко рассмотрели основные вопросы, которые касаются такого понятия, как «сниффер». Теперь в принципе должно быть понятно, что это такое с точки зрения инструмента защиты или взлома. Остается добавить только несколько слов об онлайн-апплетах. Именно они по большей части могут быть использованы злоумышленниками для получения IP-адреса жертвы и доступа к конфиденциальной информации. Такой онлайн-сниффер также выполняет свою непосредственную функцию, IP-адрес злоумышленника тоже меняется. Чем-то такие апплеты напоминают анонимные прокси-серверы, которые скрывают реальный IP-адрес пользователя. Данные о таких интернет-ресурсах по понятным соображениям не приводятся, так вмешательство в работу чужих компьютерных систем с помощью этих, вроде бы и официально размещенных программных продуктов, является уголовно наказуемым и противозаконным.
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной; проверки требуют 14 правок.
Анализатор трафика , или сниффер (от англ. to sniff - нюхать) - программа или устройство для перехвата и анализа сетевого трафика (своего и/или чужого).
Блок: 1/6 | Кол-во символов: 308
Сниффер – это анализатор трафика. В свою очередь, трафик – это вся информация, которая проходит через компьютерные сети.
Этот анализатор смотрит, какая информация передается. Для этого ее необходимо перехватить. Фактически, это незаконная вещь, ведь таким образом люди часто получают доступ к чужим данным.
Это можно сравнить с ограблением поезда – классический сюжет большинства вестернов.
Вы передаете какую-то информацию другому пользователю. Ее везет «поезд», то есть сетевой канал.
Придурки из банды кровавого Джо перехватывают состав и грабят его до нитки. В нашем случае информация идет дальше, то есть злоумышленники не крадут ее в прямом смысле этого слова.
Но, допустим, что эта информация представляет собой пароли, личные записи, фотографии и тому подобное.
Злоумышленники могут просто переписать и сфотографировать все это. Таким образом они получат доступ к секретным данным, которые вы хотели бы скрыть.
Да, у вас будет вся эта информация, она к вам дойдет.
Но вы будете знать, что все то же самое знают и совершенно посторонние люди. А ведь в XXI веке больше всего ценится именно информация!
В нашем случае используется именно такой принцип. Определенные люди останавливают трафик, считывают с него данные и отсылают их дальше.
Правда, в случае со снифферами все не всегда так страшно. Они используются не только для того, чтобы получать несанкционированный доступ к данным, а еще и для анализа самого трафика. Это важная часть работ сисадминов и просто админов различных сервисов и ресурсов. О применении стоит поговорить более подробно. Но перед этим мы затронем то, как работают эти самые снифферы.
вернуться к меню
Блок: 2/6 | Кол-во символов: 1689
Источник: http://geek-nose.com/sniffer-chto-eto/
Windows реализации снифферов
CommView - www.tamos.com
Довольно продвинутый сниффер
Производства TamoSoft. Можно установить свои правила на сниффинг
(например
Игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов
Имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и
Т.д.). Можно например сниффать только входящие пакеты,
А остальные
Игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в
Мегах. Имеет две tools’ы - Packet Generator и NIC Vendor
Indentifier. Можно посмотреть все подробности
Посланных
/полученных пакетов (например в TCP пакете можно просмотреть Source
Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags,
Urgent). Радует еще
То, что она автоматически устанавливает CAPTURE
Драйвер. В общем тулза
Packetstorm.securify.com
Довольно известный сниффер производства Laurentiu
Nicula 2000:). Обычные функции - перехват/декодинг пакетов.
Хотя декодинг
Развит прикольно (можно например по пакетам воссоздавать
Странички,
На которых
Побывал юзер!). В общем на любителя:).
Analyzer - neworder.box.sk
Требует установку специального драйвера, вложенного в
Пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой
Карте. Также Analyzer поддерживает работу с командной строкой.
Прекрасно работает с локальной сетью. Имеет несколько
Утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего
Выдающегося.
Www.eeye.com
IRIS продукт известной фирмы
EEye. Представляет обширные возможности по фильтрации.
Меня в нем сильно
Порадовало три фишки:
1.Protocol Distribution
Также имеется Packet Decoder. Он поддерживает развитую систему
Логов. А доступные возможности фильтрации превосходят
Все снифферы
Обзора. Это Hardware Filter, который может ловить либо все
Пакеты (Promiscious), либо с различными ограничениями
(например захватывать
Только multicast пакеты или broadcast пакеты, либо только Mac фреймы).
Фильтровать по определенным MAC/IP адресам, по портам,
По пакетам, содержащим
Определенные символы. В общем неплохой
Сниффак. Требует
Аналог TCPdump for Unix. Этот сниффак действует через
Командную строку и представляет минимальные возможности по конфигурации и еще
Требует библиотеку WinPcap. Мне не очень…
Тоже требует WinPcap. Работа только как командной строкой,
Так и в интерактивном режиме. Со
Сложными опциями. Мне не очень.
Обычный пакетный
Сниффер созданный
Известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том,
Что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной
Существуют еще множество снифферов,
Таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д.
Дальне…
Блок: 2/5 | Кол-во символов: 2917
Принцип работы
Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов - форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.
Перехват трафика может осуществляться:
- обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
- подключением сниффера в разрыв канала;
- ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер (Network tap);
- через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
- через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.
Блок: 2/6 | Кол-во символов: 1431
Источник: https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0
Unix’овые снифферы
Все снифферы данного обзора можно найти на
Packetstorm.securify.com.
Это простой сниффер для перехвата
Логинов/паролей. Стандартная компиляция (gcc -o linsniffer
Linsniffer.c).
Логи пишет в tcp.log.
Требуется тогда, когда вы хотите
Детально изучить сеть. Стандартная
Компиляция. Выдает всякую шнягу дополнительно,
Типа isn, ack, syn, echo_request (ping) и т.д.
Sniffit - продвинутая модель
Сниффера написанная Brecht Claerhout. Install(нужна
Теперь запускаем
Сниффер:
usage: ./sniffit
(-t
(-i|-I) | -c
Plugins Available:
Как видите, сниффит поддерживает множество
Опций. Можно использовать сниффак в интерактивном режиме.
Сниффит хоть и
Довольно полезная прога, но я ей не пользуюсь.
Почему? Потому что у Sniffit
Большие проблемы с защитой. Для Sniffit’a уже вышли ремоутный рут и дос для
Линукса и дебиана! Не каждый сниффер себе такое позволяет:).
Мой любимый сниффак. Он очень прост в обращении,
Поддерживает много прикольных
Фишек и на данный момент не имеет проблем с безопасностью.
Плюс не особо
Требователен к библиотекам (как например linsniffer и
Linux_sniffer). Он
Может в реальном времени перехватывать текущие соединения и под
Чистую дампить с удаленного терминала. В
Всем для усиленного юзания:).
Сниффер READSMB вырезан из LophtCrack и портирован под
Unix (как ни странно:)). Readsmb перехватывает SMB
tcpdump - довольно известный анализатор пакетов.
Написанный
Еще более известным челом - Вэн Якобсоном, который придумал VJ-сжатие для
PPP и написал прогу traceroute (и кто знает что еще?).
Требует библиотеку
Теперь запускаем
tcpdump: listening on ppp0
Все твои коннекты выводит на
Терминал. Вот пример вывода на пинг
В общем, снифф полезен для отладки сетей,
Нахождения неисправностей и
Dsniff требует libpcap, ibnet,
Libnids и OpenSSH. Записывает только введенные команды, что очень удобно.
Вот пример лога коннекта
На unix-shells.com:
03:58:04 tcp my.ip.1501 ->
Handi4-145-253-158-170.arcor-ip.net.23
Dsniff перехватил логин с паролем (stalsen/asdqwe123).
Блок: 3/5 | Кол-во символов: 2611
Источник: https://xakep.ru/2001/02/21/12020/
Противодействие
Снизить угрозу сниффинга пакетов можно с помощью таких средств, как:
- Криптография
- Антиснифферы
- Коммутируемая инфраструктура
Блок: 4/6 | Кол-во символов: 140
Источник: https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0
Программы-сниферы
Вот список наиболее популярных таких программ:
CommView . Программа платная, как и все остальных в нашем списке. Одна минимальная лицензия стоит 300 долларов. Зато функционал у ПО богатейший. Первое, что стоит отметить, так это возможность самостоятельной установки правил отслеживания чужого трафика. К примеру, можно сделать так, чтобы ICMP или TCP (это протоколы) полностью игнорировались. Примечательно также, что программа позволяет просматривать детали и лог всех пересылаемых пакетов. Существует обычная версия и версия для Wi-Fi.
SpyNet. Это, фактически, троян, от которых мы все так устали. Но он может использоваться и в благородных целях, о которых мы говорили выше. Программа выполняет перехват и расшифровку пакетов, которые есть в трафике. Есть множество необычных функций. К примеру, можно воссоздавать страницы в интернете, на которых побывала «жертва». Примечательно, что это ПО бесплатное, но найти его достаточно непросто.
BUTTSniffer. Это сниффер в чистом виде, который помогает анализировать сетевые пакеты, а не перехватывать чужие пароли и историю браузера. По крайней мере, так думал ее автор. На самом же деле его творение используется сами понимаете для чего. Это обычная пакетная программа, которая работает через командную строку. Для начала использования загружаются и запускаются два файла. «Захваченные» пакеты сохраняются на жестком диске, что очень удобно.
Существует множество других программ-снифферов. К примеру, известны fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и многие другие. Выбирайте любую! Но, справедливости ради стоит отметить, что лучшая – CommView.
Итак, мы разобрали, что такое снифферы, как они работают и какие бывают.
Теперь перейдем с места хакера или сисадмина на место обычного юзера.
Мы прекрасно понимаем, что наши данные могут украсть. Что же делать, чтобы этого не произошло?
Многие администраторы сетей часто сталкиваются с проблемами, разобраться с которыми поможет анализ сетевого трафика. И здесь мы сталкиваемся с таким понятием, как анализатор трафика. Так что же это такое?
Анализаторы и коллекторы NetFlow — это инструменты, которые помогают отслеживать и анализировать данные сетевого трафика. Анализаторы сетевых процессов позволяют точно определить устройства, из-за которых снижается пропускная способность канала. Они умеют находить проблемные места в вашей системе, и повышать общую эффективность сети.
Термин «NetFlow » относится к протоколу Cisco , предназначенному для сбора информации о трафике по IP и мониторинга сетевого трафика. NetFlow был принят в качестве стандартного протокола для потоковых технологий.
Программное обеспечение NetFlow собирает и анализирует данные потоков, генерируемых маршрутизаторами, и представляет их в удобном для пользователей формате.
Несколько других поставщиков сетевого оборудования имеют свои собственные протоколы для мониторинга и сбора данных. Например, Juniper , другой весьма уважаемый поставщик сетевых устройств, называет свой протокол «J-Flow «. HP и Fortinet используют термин «s-Flow «. Несмотря на то, что протоколы называются по-разному, все они работают аналогичным образом. В этой статье мы рассмотрим 10 бесплатных анализаторов сетевого трафика и коллекторов NetFlow для Windows .
SolarWinds Real-Time NetFlow Traffic Analyzer
Free NetFlow Traffic Analyzer является одним из наиболее популярных инструментов, доступных для бесплатного скачивания. Он дает возможность сортировать, помечать и отображать данные различными способами. Это позволяет удобно визуализировать и анализировать сетевой трафик. Инструмент отлично подходит для мониторинга сетевого трафика по типам и периодам времени. А также выполнение тестов для определения того, сколько трафика потребляют различные приложения.
Этот бесплатный инструмент ограничен одним интерфейсом мониторинга NetFlow и сохраняет только 60 минут данных. Данный Netflow анализатор является мощным инструментом, который стоит того, чтобы его применить.
Colasoft Capsa Free
Этот бесплатный анализатор трафика локальной сети позволяет идентифицировать и отслеживать более 300 сетевых протоколов, и позволяет создавать настраиваемые отчеты. Он включает в себя мониторинг электронной почты и диаграммы последовательности TCP-синхронизации , все это собрано в одной настраиваемой панели.
Другие функции включают в себя анализ безопасности сети. Например, отслеживание DoS/DDoS-атак , активности червей и обнаружение ARP-атак . А также декодирование пакетов и отображение информации, статистические данные о каждом хосте в сети, контроль обмена пакетами и реконструкция потока. Capsa Free поддерживает все 32-битные и 64-битные версии Windows XP .
Минимальные системные требования для установки: 2 Гб оперативной памяти и процессор 2,8 ГГц. У вас также должно быть соединение с интернет по сети Ethernet (совместимой с NDIS 3 или выше ), Fast Ethernet или Gigabit с драйвером со смешанным режимом. Он позволяет пассивно фиксировать все пакеты, передаваемые по Ethernet-кабелю .
Angry IP Scanner
Это анализатор трафика Windows с открытым исходным кодом, быстрый и простой в применении. Он не требует установки и может быть использован на Linux , Windows и Mac OSX . Данный инструмент работает через простое пингование каждого IP-адреса и может определять MAC-адреса , сканировать порты, предоставлять NetBIOS-информацию , определять авторизованного пользователя в системах Windows , обнаруживать веб-серверы и многое другое. Его возможности расширяются с помощью Java-плагинов . Данные сканирования могут быть сохранены в файлы форматов CSV, TXT, XML .
ManageEngine NetFlow Analyzer Professional
Полнофункциональная версия программного обеспечения NetFlow от ManageEngines . Это мощное программное обеспечение с полным набором функций для анализа и сбора данных: мониторинг пропускной способности канала в режиме реального времени и оповещения о достижении пороговых значений, что позволяет оперативно администрировать процессы. Кроме этого предусмотрен вывод сводных данных по использованию ресурсов, мониторинг приложений и протоколов и многое другое.
Бесплатная версия анализатора трафика Linux позволяет неограниченно использовать продукт на протяжении 30 дней, после чего можно производить мониторинг только двух интерфейсов. Системные требования для NetFlow Analyzer ManageEngine зависят от скорости потока. Рекомендуемые требования для минимальной скорости потока от 0 до 3000 потоков в секунду: двухъядерный процессор 2,4 ГГц, 2 Гб оперативной памяти и 250 Гб свободного пространства на жестком диске. По мере увеличения скорости потока, который нужно отслеживать, требования также возрастают.
The Dude
Это приложение представляет собой популярный сетевой монитор, разработанный MikroTik . Он автоматически сканирует все устройства и воссоздает карту сети. The Dude контролирует серверы, работающие на различных устройствах, и предупреждает в случае возникновения проблем. Другие функции включают в себя автоматическое обнаружение и отображение новых устройств, возможность создавать собственные карты, доступ к инструментам для удаленного управления устройствами и многое другое. Он работает на Windows , Linux Wine и MacOS Darwine .
JDSU Network Analyzer Fast Ethernet
Эта программа анализатор трафика позволяет быстро собирать и просматривать данные по сети. Инструмент предоставляет возможность просматривать зарегистрированных пользователей, определять уровень использования пропускной способности сети отдельными устройствами, быстро находить и устранять ошибки. А также захватывать данные в режиме реального времени и анализировать их.
Приложение поддерживает создание графиков и таблиц с высокой детализацией, которые позволяют администраторам отслеживать аномалии трафика, фильтровать данные, чтобы просеивать большие объемы данных, и многое другое. Этот инструмент для специалистов начального уровня, а также для опытных администраторов, позволяет полностью взять сеть под контроль.
Plixer Scrutinizer
Этот анализатор сетевого трафика позволяет собрать и всесторонне проанализировать сетевой трафик, а также быстро найти и исправить ошибки. С помощью Scrutinizer можно отсортировать данные различными способами, в том числе по временным интервалам, хостам, приложениям, протоколам и т.д. Бесплатная версия позволяет контролировать неограниченное количество интерфейсов и хранить данные по 24 часам активности.
Wireshark
Wireshark — это мощный сетевой анализатор может работать на Linux , Windows , MacOS X , Solaris и других платформах. Wireshark позволяет просматривать захваченные данные с помощью графического интерфейса, или использовать утилиты TTY-mode TShark . Его функции включают в себя сбор и анализ трафика VoIP, отображение в режиме реального времени данных Ethernet , IEEE 802.11 , Bluetooth , USB , Frame Relay , вывод данных в XML , PostScript , CSV , поддержку дешифрования и многое другое.
Системные требования: Windows XP и выше, любой современный 64/32-битный процессор, 400 Mb оперативной памяти и 300 Mb свободного дискового пространства. Wireshark NetFlow Analyzer — это мощный инструмент, который может существенно упростить работу любому администратору сети.
Paessler PRTG
Этот анализатор трафика предоставляет пользователям множество полезных функций: поддержку мониторинга LAN , WAN , VPN , приложений, виртуального сервера, QoS и среды. Также поддерживается мониторинг нескольких сайтов. PRTG использует SNMP , WMI , NetFlow , SFlow , JFlow и анализ пакетов, а также мониторинг времени бесперебойной работы/простоя и поддержку IPv6 .
Бесплатная версия дает возможность использовать неограниченное количество датчиков в течение 30 дней, после чего можно бесплатно использовать только до 100 штук.