Kirjoitamme yksinkertaista haistajaa Windowsille. Wireshark (verkkopakettien sieppaaja)

Jos sinulla on ohjelmaan liittyviä kysymyksiä, voit ottaa yhteyttä tekniseen tukeen

Sähköposti [sähköposti suojattu]
WhatsApp +19299995773 (vain chat, ei puheluita)
(Seitsemänä päivänä viikossa klo 9.00-21.00 Moskovan aikaa)

Nuuskimien käytön ominaisuudet

Kaikki online-seuranta perustuu sniffer-tekniikoiden (verkkopakettianalysaattorien) käyttöön. Mikä on nuuskija?

Nuuskija on tietokoneohjelma tai tietokonelaitteisto, joka voi siepata ja analysoida digitaalisen verkon tai sen osan kautta kulkevaa liikennettä. Analysaattori kaappaa kaikki virrat (sieppaa ja kirjaa Internet-liikenteen) ja tarvittaessa purkaa tiedot tallentaen peräkkäin lähetetyt käyttäjätiedot.


Nettiseurannan käytön vivahteet haistavien kautta.

Käyttäjän tietokoneverkon lähetyskanavalla LAN (Local Area Network) verkon rakenteesta (kytkin tai keskitin) riippuen haistajat sieppaavat joko koko verkon tai sen osan liikennettä yhdeltä kannettavalta tai tietokoneelta. Eri menetelmillä (esimerkiksi ARP-huijauksella) on kuitenkin mahdollista saavuttaa Internet-liikennettä ja muita verkkoon liitettyjä tietokonejärjestelmiä.

Haistajia käytetään usein myös tietokoneverkkojen valvontaan. Jatkuvaa, jatkuvaa valvontaa suorittavat verkkopakettianalysaattorit tunnistavat hitaat, vialliset järjestelmät ja välittävät (sähköpostin, puhelimen tai palvelimen kautta) virhetiedot järjestelmänvalvojalle.

Verkkonapojen käyttäminen on joissain tapauksissa luotettavampi tapa seurata Internet-liikennettä verkossa kuin porttien valvonta. Samalla todennäköisyys havaita viallisia paketteja (virtauksia) kasvaa, millä on positiivinen vaikutus korkealla verkon kuormituksella.
Lisäksi nuuskijat ovat hyviä seuraamaan langattomia yksi- ja monikanavaisia ​​paikallisverkkoja (ns. Wireless LAN), kun käytetään useita sovittimia.

LAN-verkoissa haistaja voi siepata tehokkaasti sekä yksisuuntaista liikennettä (tietopaketin siirto yhteen osoitteeseen) että monilähetysliikennettä. Tässä tapauksessa verkkosovittimella on oltava promiscuous-tila.

Langattomissa verkoissa, vaikka sovitin olisi "promiscuous"-tilassa, datapaketit, joita ei ohjata uudelleen määritetystä (pää)järjestelmästä, ohitetaan automaattisesti. Näiden tietopakettien valvomiseksi sovittimen on oltava eri tilassa - valvonta.


Tietopakettien sieppausjärjestys.

1. Otsikoiden tai koko sisällön sieppaaminen.

Haistajat voivat siepata joko datapakettien koko sisällön tai vain niiden otsikot. Toisen vaihtoehdon avulla voit vähentää yleisiä tietojen säilytysvaatimuksia sekä välttää oikeudellisia ongelmia, jotka liittyvät käyttäjien henkilötietojen luvattomaan poistamiseen. Samanaikaisesti lähetettyjen pakettien otsikoiden historiassa voi olla riittävästi tietoa tarvittavan tiedon tunnistamiseksi tai vikojen diagnosoimiseksi.


2. Pakettien dekoodaus.

Siepattu tieto puretaan digitaalisesta (lukemattomasta muodosta) tyypiksi, joka on helppo havaita ja lukea. Sniffer-järjestelmän avulla protokolla-analysaattorin järjestelmänvalvojat voivat helposti tarkastella käyttäjän lähettämiä tai vastaanottamia tietoja.

Analysaattorit eroavat toisistaan:

  • tietojen näyttöominaisuudet(ajoituskaavioiden luominen, UDP-, TCP-dataprotokollien rekonstruointi jne.);
  • sovellustyyppi(virheiden, perimmäisten syiden havaitsemiseksi tai käyttäjien seuraamiseksi verkossa).

Jotkut haistajat voivat tuottaa liikennettä ja toimia lähdelaitteena. Niitä käytetään esimerkiksi protokollatestereinä. Tällaisten testihauskajärjestelmien avulla voit luoda oikean liikenteen, joka tarvitaan toiminnallista testausta varten. Lisäksi haistajat voivat tarkoituksella tehdä virheitä testatakseen testattavan laitteen ominaisuuksia.


Laitteiston nuuskijat.


Liikenneanalysaattorit voivat olla myös laitteistotyyppisiä, anturin tai levyryhmän muodossa (yleisempi tyyppi). Nämä laitteet tallentavat tietopaketteja tai niiden osia levyryhmään. Tämän avulla voit luoda uudelleen kaikki käyttäjän Internetiin vastaanottamat tai lähettämät tiedot tai tunnistaa nopeasti Internet-liikenteen toimintahäiriön.


Soveltamismenetelmät.

Verkkopakettianalysaattoreita käytetään:

  • verkon olemassa olevien ongelmien analysointi;
  • havaita verkkotunkeutumisyritykset;
  • käyttäjien liikenteen väärinkäytösten määrittäminen (järjestelmän sisällä ja ulkopuolella);
  • säädösten vaatimusten dokumentointi (mahdollinen sisäänkirjautumisalue, liikenteen jakelun päätepisteet);
  • tiedon hankkiminen verkkoon tunkeutumismahdollisuuksista;
  • käyttöjärjestelmien eristäminen;
  • maailmanlaajuisten verkkokanavien kuormituksen seuranta;
  • käytetään verkon tilan seurantaan (mukaan lukien käyttäjien toiminta sekä järjestelmän sisällä että sen ulkopuolella);
  • liikkuvan tiedon seuranta;
  • WAN-seuranta ja päätepisteen suojaustila;
  • verkkotilastojen kerääminen;
  • verkkoliikenteestä tulevan epäilyttävän sisällön suodattaminen;
  • ensisijaisen tietolähteen luominen verkon tilan ja hallinnan seurantaa varten;
  • online-seuranta vakoojana, joka kerää luottamuksellisia käyttäjätietoja;
  • palvelin- ja asiakasviestinnän virheenkorjaus;
  • sisäisen valvonnan tehokkuuden tarkistaminen (käytönvalvonta, palomuurit, roskapostisuodattimet jne.).

Myös lainvalvontaviranomaiset käyttävät haistajia rikoksesta epäiltyjen toiminnan seuraamiseen. Huomaa, että kaikki Internet-palveluntarjoajat Yhdysvalloissa ja Euroopassa noudattavat CALEA:ta.


Suositut nuuskijat.

Toimivimmat järjestelmäanalysaattorit online-seurantaan:


NeoSpy-vakoiluohjelma, jonka pääasiallinen toiminta on online-käyttäjien toimintojen seurantaa, sisältää yleisen sniffer-ohjelmakoodin lisäksi keylogger-koodeja (keylogger) ja muita piilotettuja seurantajärjestelmiä.


Edistäminen! 10% alennus VKontakte-tykkäyksestä!

Napsauta "Tykkää" ja saat 10 % alennuksen mistä tahansa NeoSpy for PC -versiosta.

2) Paina "Tykkää"-painiketta ja "Kerro ystäville" pääsivun alareunassa;

3) Mene ostosivulle, valitse versio ja napsauta "Osta";

4) Syötä VKontakte-tunnuksesi "Alennuskuponki" -kenttään, esimerkiksi tunnuksesi on 1234567, tässä tapauksessa sinun on syötettävä kenttään "id1234567" ilman lainausmerkkejä.
Sinun on annettava sivun tunnus, ei lyhyt tekstiosoite.

Näet henkilöllisyystodistuksesi siirtymällä omaan

Wireshark-ohjelma on erinomainen avustaja käyttäjille, joiden on suoritettava verkkopakettien - tietokoneverkkoliikenteen - yksityiskohtainen analyysi. Nuuskija on helposti vuorovaikutuksessa sellaisten yleisten protokollien kanssa kuin netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 ja monet muut. Analyysin aikana sen avulla voit erottaa verkkopaketin sopiviksi komponenteiksi tietyn protokollan mukaisesti ja näyttää luettavissa olevat tiedot numeerisessa muodossa näytöllä.
tukee valtavaa määrää erilaisia ​​lähetetyn ja vastaanotetun tiedon muotoja ja pystyy avaamaan muiden apuohjelmien käyttämiä tiedostoja. Toimintaperiaate on, että verkkokortti menee yleislähetystilaan ja alkaa siepata sen näkyvyysalueella olevia verkkopaketteja. Voi toimia ohjelmana wifi-pakettien sieppaamiseen.

Kuinka käyttää wiresharkia

Ohjelma tutkii verkon läpi kulkevien tietopakettien sisältöä. Snifferin tulosten käynnistämiseksi ja käyttämiseksi sinun ei tarvitse erityisiä tietoja, sinun on vain avattava se "Käynnistä" -valikosta tai napsautettava työpöydällä olevaa kuvaketta (sen käynnistäminen ei eroa muista Windows-ohjelmista) . Apuohjelman erikoistoiminto mahdollistaa tietopakettien sieppaamisen, niiden sisällön huolellisen purkamisen ja palauttamisen käyttäjälle analysoitavaksi.

Wiresharkin käynnistämisen jälkeen näet ohjelman päävalikon näytöllä, joka sijaitsee ikkunan yläosassa. Sitä käytetään apuohjelman ohjaamiseen. Jos sinun on ladattava tiedostoja, jotka tallentavat tietoja aiemmissa istunnoissa pyydetyistä paketeista, sekä tallennettava tietoja muista uudessa istunnossa siepatuista paketeista, tarvitset "Tiedosto"-välilehden tehdäksesi tämän.

Verkkopakettien sieppaustoiminnon käynnistämiseksi käyttäjän on napsautettava "Capture"-kuvaketta ja löydettävä sitten erityinen valikkoosio nimeltä "Liitännät", jonka avulla voit avata erillisen "Wireshark Capture Interfaces" -ikkunan, jossa kaikkien käytettävissä olevien verkkoliitäntöjen tulisi olla näytetään, jonka kautta kaapataan tarvittavat datapaketit. Siinä tapauksessa, että ohjelma (sniffer) pystyy havaitsemaan vain yhden sopivan käyttöliittymän, se näyttää kaikki tärkeät tiedot siitä näytöllä.

Apuohjelman työn tulokset ovat suora todiste siitä, että vaikka käyttäjät eivät olisi itsenäisesti sitoutuneet (jolloin) minkään tiedon välittämiseen, tiedonvaihto verkossa ei pysähdy. Loppujen lopuksi paikallisverkon toimintaperiaate on, että sen pitämiseksi toimintatilassa jokainen sen elementti (tietokone, kytkin ja muut laitteet) vaihtaa jatkuvasti palvelutietoja keskenään, joten tällaiset verkkotyökalut on suunniteltu sieppaamaan sellaisia ​​paketteja.

Siitä on myös versio Linux-järjestelmille.

On huomattava, että Sniffer on erittäin hyödyllinen verkonvalvojille ja tietoturvapalvelut, koska apuohjelman avulla voit tunnistaa mahdollisesti suojaamattomat verkkosolmut – alueet, joihin hakkerit voivat hyökätä.

Suoran käyttötarkoituksensa lisäksi Wiresharkia voidaan käyttää työkaluna verkkoliikenteen seurantaan ja edelleen analysointiin, jotta voidaan järjestää hyökkäys verkon suojaamattomille alueille, koska siepatulla liikenteellä voidaan saavuttaa erilaisia ​​tavoitteita.

Nuuskija ei aina ole ilkeä. Itse asiassa tämäntyyppisiä ohjelmistoja käytetään usein analysoimaan verkkoliikennettä poikkeamien havaitsemiseksi ja poistamiseksi sekä sujuvan toiminnan varmistamiseksi. Nuuskijaa voidaan kuitenkin käyttää pahantahtoisessa tarkoituksessa. Nuuskijat analysoivat kaiken, mikä kulkee niiden läpi, mukaan lukien salaamattomat salasanat ja tunnistetiedot, joten hakkerit, joilla on pääsy haistajaan, voivat saada käyttäjien henkilökohtaisia ​​tietoja. Lisäksi nuuskija voidaan asentaa mihin tahansa paikalliseen verkkoon kytkettyyn tietokoneeseen ilman, että sitä tarvitsee asentaa itse laitteeseen - toisin sanoen sitä ei voida havaita koko yhteysajan aikana.

Mistä haistarit tulevat?

Hakkerit käyttävät haistajia varastaakseen arvokkaita tietoja valvomalla verkon toimintaa ja keräämällä henkilökohtaisia ​​tietoja käyttäjistä. Yleensä hyökkääjät ovat eniten kiinnostuneita käyttäjien salasanoista ja tunnistetiedoista päästäkseen verkkopankki- ja verkkokauppatileihin. Useimmiten hakkerit asentavat haistajia paikkoihin, joissa jaetaan suojaamattomia Wi-Fi-yhteyksiä, esimerkiksi kahviloihin, hotelleihin ja lentokentille. Haistajat voivat naamioitua verkkoon kytketyksi laitteeksi niin kutsutussa huijaushyökkäyksessä varastaakseen arvokasta tietoa.

Kuinka tunnistaa nuuskijan?

Luvattomat nuuskijat on erittäin vaikea tunnistaa virtuaalisesti, koska ne voidaan asentaa melkein minne tahansa, mikä muodostaa erittäin vakavan uhan verkon turvallisuudelle. Tavallisilla käyttäjillä ei useinkaan ole mahdollisuutta tunnistaa, että nuuskija seuraa heidän verkkoliikennettä. Teoreettisesti on mahdollista asentaa oma nuuskija, joka valvoisi kaikkea DNS-liikennettä muiden nuuskijien läsnäolon varalta, mutta tavalliselle käyttäjälle on paljon helpompaa asentaa nuuskimisenestoohjelmisto tai virustorjuntaratkaisu, joka sisältää verkkotoiminnan suojauksen pysäyttämään. luvaton tunkeutuminen tai piilottaa verkkotoimintasi.

Kuinka poistaa nuuskija

Voit käyttää erittäin tehokasta virustentorjuntaa tunnistamaan ja poistamaan kaikenlaisia ​​tietokoneellesi asennettuja haittaohjelmia haistelemista varten. Kuitenkin, jos haluat poistaa nuuskijan kokonaan tietokoneeltasi, sinun on poistettava ehdottomasti kaikki siihen liittyvät kansiot ja tiedostot. On myös erittäin suositeltavaa käyttää verkkoskannerin kanssa virustorjuntaa, joka tarkistaa paikallisverkon perusteellisesti haavoittuvuuksien varalta ja opastaa jatkotoimenpiteisiin, jos niitä löytyy.

Kuinka välttää joutumasta nuuskijan uhriksi
  • Salaa kaikki lähettämäsi ja vastaanottamasi tiedot
  • Tarkista paikallisverkkosi haavoittuvuuksien varalta
  • Käytä vain vahvistettuja ja suojattuja Wi-Fi-verkkoja
Suojaa itsesi haistavilta

Ensimmäinen asia, jonka käyttäjä voi tehdä suojautuakseen haistavilta, on käyttää laadukasta virustorjuntaa, kuten ilmaista Avast-virustorjuntaa, joka pystyy tarkistamaan perusteellisesti koko verkon tietoturvaongelmien varalta. Ylimääräinen ja erittäin tehokas tapa suojata tietoja haistelemiselta on salata kaikki verkossa lähetetty ja vastaanotettu data, mukaan lukien sähköpostit. postia. Avast SecureLinen avulla voit turvallisesti salata kaiken tiedonvaihdon ja suorittaa online-toiminnot 100 % nimettömänä.

Nuuskijat- Nämä ovat ohjelmia, jotka sieppaavat
kaikki verkkoliikenne. Snifferit ovat hyödyllisiä verkkodiagnostiikkaan (järjestelmänvalvojille) ja
salasanojen sieppaamiseen (selvää kenelle :)). Esimerkiksi, jos olet saanut käyttöoikeuden
yksi verkkokone ja asensi sinne nuuskijan,
sitten pian kaikki salasanat osoitteesta
heidän aliverkkonsa ovat sinun. Nuuskijat asetettu
verkkokortti kuunteluun
tila (PROMISC) eli ne vastaanottavat kaikki paketit. Paikallisesti voit siepata
kaikki lähetetyt paketit kaikilta koneilta (jos et ole erotettu millään keskittimellä),
Niin
Miten lähetystoimintaa siellä harjoitetaan?
Haistelijat voivat siepata kaiken
paketit (mikä on erittäin hankalaa, lokitiedosto täyttyy hirveän nopeasti,
mutta yksityiskohtaisempaan verkkoanalyysiin se on täydellinen)
tai vain ensimmäiset tavut kaikenlaisista
ftp, telnet, pop3 jne. (tämä on hauska osa, yleensä noin ensimmäisissä 100 tavussa
sisältää käyttäjätunnuksen ja salasanan :)). Haistelijat nyt
eronnut... Nuuskijia on monia
sekä Unixissa että Windowsissa (jopa DOS:ssa on :)).
Haistajat voivat
tukee vain tiettyä akselia (esimerkiksi linux_sniffer.c, joka
tukee Linuxia :)) tai useita (esim. Sniffit,
toimii BSD:n, Linuxin, Solariksen kanssa). Sniffersistä on tullut niin rikkaita, koska
että salasanat välitetään verkon yli selkeänä tekstinä.
Sellaiset palvelut
paljon. Näitä ovat telnet, ftp, pop3, www jne. Nämä palvelut
käyttää paljon
ihmiset :). Nuuskimispuomin jälkeen erilaisia
algoritmeja
näiden protokollien salaus. SSH ilmestyi (vaihtoehto
telnet-tuki
salaus), SSL (Secure Socket Layer - Netscape-kehitys, joka voi salata
www-istunto). Kaikenlaiset Kerberous, VPN (Virtual Private
Verkko). Käytettiin joitain antisniffejä, ifstatuja jne. Mutta tämä ei ole pohjimmiltaan
muutti tilanteen. Palvelut, jotka käyttävät
salasanan välittäminen pelkkää tekstiä käyttäen
ovat täysin tottuneet :). Siksi ne haistelevat pitkään :).

Windows sniffer -toteutukset

nuuskija
Tämä on yksinkertainen nuuskija siepattavaksi
kirjautumistunnukset/salasanat. Vakiokokoelma (gcc -o linsniffer
linsnifer.c).
Lokit kirjoitetaan tcp.logiin.

linux_sniffer
Linux_sniffer
vaaditaan kun haluat
tutkia verkkoa yksityiskohtaisesti. Vakio
kokoelma. Antaa kaikenlaista ylimääräistä paskaa,
kuten isn, ack, syn, echo_request (ping) jne.

Sniffit
Sniffit - edistynyt malli
haistaja kirjoittanut Brecht Claerhout. Asenna (tarvitaan
libcap):
#./configure
#tehdä
Nyt käynnistetään
narkomaani:
#./sniffit
käyttö: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
portti] [(-r|-R) tietuetiedosto]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M-laajennus]
[-D tty] (-t | -s ) |
(-i|-I) | -c ]
Lisäosat saatavilla:
0 - Nukke
Kytkeä
1 - DNS-laajennus

Kuten näette, sniffit tukee monia
vaihtoehtoja. Voit käyttää sniffakia interaktiivisesti.
Nuuskaa kuitenkin
varsin hyödyllinen ohjelma, mutta en käytä sitä.
Miksi? Koska Sniffit
suuria ongelmia suojauksen kanssa. Sniffitille on jo julkaistu etäjuuri ja dos
Linux ja Debian! Jokainen nuuskija ei anna itselleen lupaa tehdä tätä :).

METSÄSTÄÄ
Tämä
lempi haisteluni. Se on erittäin helppokäyttöinen,
tukee paljon coolia
siruja, eikä sillä tällä hetkellä ole turvallisuusongelmia.
Plus ei paljon
vaativat kirjastoilta (kuten linsniffer ja
Linux_sniffer). Hän
voi siepata nykyiset yhteydet reaaliajassa ja
puhdista kaatopaikka etäpäätteestä. SISÄÄN
yleensä, kaapattu
rulezzzz :). minä suosittelen
kaikille parempaan käyttöön :).
Asentaa:
#tehdä
Juosta:
#metsästys -i

REDSMB
READSMB-sniffer leikataan LophtCrackista ja siirretään siihen
Unix (omituista kyllä ​​:)). Readsmb kaappaa SMB:n
paketteja.

TCPDUMP
tcpdump on melko tunnettu pakettianalysaattori.
Kirjoitettu
vieläkin kuuluisempi henkilö - Van Jacobson, joka keksi VJ-pakkauksen
PPP ja kirjoitti traceroute-ohjelman (ja kuka tietää mitä muuta?).
Vaatii kirjaston
Libpcap.
Asentaa:
#./configure
#tehdä
Nyt käynnistetään
hänen:
#tcpdump
tcpdump: kuunteleminen ppp0:ssa
Kaikki yhteydet näkyvät
terminaali. Tässä on esimerkki ping-tulosta

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
pyyntö
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
Vastaa

Yleensä sniff on hyödyllinen verkkojen virheenkorjauksessa,
vianetsintä ja
jne.

Dsniff
Dsniff vaatii libpcapin, ibnetin,
libnids ja OpenSSH. Tallentaa vain syötetyt komennot, mikä on erittäin kätevää.
Tässä on esimerkki yhteyslokista
osoitteessa unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
WHO
kestää
poistu

Tässä
dsniff sieppasi kirjautumistunnuksen ja salasanan (stalsen/asdqwe123).
Asentaa:
#./configure
#tehdä
#tehdä
Asentaa

Suojaus haistajia vastaan

Varmin tapa suojautua
nuuskijat -
käytä SALAusta (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL jne.). Hyvin
ja jos et halua luopua tekstipalveluista ja asentaa lisää
paketteja :)? Sitten on aika käyttää anti-sniffer-paketteja...

AntiSniff Windowsille
Tämän tuotteen julkaisi kuuluisa ryhmä
Parvi. Se oli ensimmäinen tuote laatuaan.
AntiSniff kuten kohdassa on mainittu
Kuvaus:
"AntiSniff on graafinen käyttöliittymä (GUI) -ohjattu työkalu
havaita vahingollisia verkkoliitäntäkortteja (NIC) paikallisverkossasi
segmentti". Yleensä se sieppaa kortteja lupaavassa tilassa.
Tukee valtavasti
testien määrä (DNS-testi, ARP-testi, ping-testi, ICMP-aikaero
Testi, Echo Test, PingDrop testi). Voidaan skannata yhtenä autona,
ja ruudukko. On
lokin tuki. AntiSniff toimii win95/98/NT/2000:ssa,
vaikka suositeltavaa
NT alusta. Mutta hänen hallituskautensa oli lyhytaikainen ja päättyi pian
aika, haistaja nimeltä AntiAntiSniffer ilmestyi :),
kirjoittanut Mike
Perry (Mike Perry) (löydät hänet osoitteesta www.void.ru/news/9908/snoof.txt).
perustuu LinSnifferiin (käsitelty alla).

Unix-sniffer-tunnistus:
Narkomaani
löytyy komennolla:

#ifconfig -a
lo Linkin encap:Paikallinen
Loopback
inet-osoite: 127.0.0.1 Maski: 255.0.0.0
U.P.
LOOPBACK RUNNING MTU:3924 Mittari:1
RX-paketit: 2373 virheitä: 0
dropped:0 overruns:0 frame:0
TX-paketit:2373 virheet:0 pudonnut:0
ylitykset:0 operaattori:0
törmäykset:0 txqueuelen:0

ppp0 Linkki
encap: Point-to-Point-protokolla
inet-osoite: 195.170.y.x
P-t-P: 195.170.y.x Mask: 255.255.255.255
YLÖS POINTOPOINT PROMISC
KÄYNNISSÄ NOARP MULTICAST MTU:1500 Mittari:1
RX-paketit: 3281
errors:74 dropped:0 overruns:0 frame:74
TX-paketit:3398 virheet:0
pudonnut:0 ylitykset:0 operaattori:0
törmäykset:0 txqueuelen:10

Miten
näet, että ppp0-liitäntä on PROMISC-tilassa. Kumpi tahansa operaattori
ladattu sniff for
verkkotarkistuksia, tai heillä on jo sinut... Mutta muista,
että ifconfig voidaan tehdä turvallisesti
huijaus, joten käytä tripwireä havaitaksesi
muutoksia ja kaikenlaisia ​​ohjelmia
tarkistamaan nuuskimista.

AntiSniff Unixille.
Työskentelee
BSD, Solaris ja
Linux. Tukee ping/icmp-aikatestiä, arp-testiä, kaikutestiä, dns-testiä
testi, eetteröintitesti, yleensä analoginen AntiSniff for Win, vain
Unix :).
Asentaa:
#tee Linux-kaikki

Sentinel
Myös hyödyllinen ohjelma
haistavien kiinniotto. Tukee monia testejä.
Helppoa
käyttää.
Asenna: #make
#./sentinel
./sentinel [-t
]
Menetelmät:
[-ARP-testi]
[ -d DNS-testi
]
[ -i ICMP Ping Latenssitesti ]
[ -e ICMP Etherping testi
]
Vaihtoehdot:
[-f ]
[ -v Näytä versio ja
poistu]
[-n ]
[-I
]

Vaihtoehdot ovat niin yksinkertaisia, että ei
kommentteja.

LISÄÄ

Tässä on muutama lisää
apuohjelmat verkkosi tarkistamiseen (esim
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
PROMISC-tilan ilmaisin ethernet-korteille (red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
— Network Promiscuous Ethernet Detector (vaatii libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- skannaa järjestelmän laitteita haistaakseen.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
— ifstatus testaa verkkoliitännät PROMISC-tilassa.

Sniffer on toinen nimi liikenneanalysaattorille - se on ohjelma tai muu laitteisto, joka sieppaa ja analysoi verkkoliikennettä. Tällä hetkellä näillä ohjelmilla on täysin laillinen perustelu, joten niitä käytetään laajasti Internetissä, mutta niitä voidaan käyttää sekä hyväksi että haitaksi.

Niiden syntyhistoria ulottuu 90-luvulle, jolloin tällaisia ​​ohjelmistoja käyttävät hakkerit pystyivät helposti kaappaamaan käyttäjän kirjautumistunnuksen ja salasanan, jotka olivat tuolloin erittäin heikosti salattuja.

Sana sniffer tulee englannista. haistaa - haistaa, toimintaperiaate on, että tämä ohjelma rekisteröi ja analysoi ohjelmat, jotka asennetaan tietopaketteja lähettäviin koneisiin. Jotta tietojen lukutoiminto olisi tehokas, sen on sijaittava lähellä päätietokonetta.

Ohjelmoijat käyttävät tätä sovellusta liikenneanalyysiä varten, verkon hakkerit tavoittelevat muita tavoitteita.

Liikenneanalysaattoreiden tyypit

Snifferit ovat tyypiltään erilaisia.

Useimmiten niitä käytetään salasanojen sieppaamiseen, tässä tapauksessa sovellus saa pääsyn salattujen tietojen koodeihin. Tämä voi aiheuttaa käyttäjälle valtavia haittoja, koska usein on tapauksia, joissa useille ohjelmille tai sivustoille asetetaan samat salasanat, mikä lopulta johtaa tarvittavien resurssien käyttöoikeuden menettämiseen.

On olemassa eräänlainen nuuskiminen, jota käytetään kaappaamaan tilannekuva RAM-muistista, koska tietoja on vaikea lukea jatkuvasti kuluttamatta prosessorin tehoa. Tunnista Spy mahdollista valvomalla tietokoneen maksimitiedostojen kuormitusta käytön aikana.

Toinen ohjelmatyyppi toimii suurella tiedonsiirtokanavalla, ja tuholainen voi tuottaa jopa 10 megatavun protokollia päivittäin.

Kuinka se toimii

Analysaattorit toimivat vain TCP/IP-protokollien kanssa. Tällaiset ohjelmat vaativat langallisen yhteyden, esimerkiksi Internetiä jakavat reitittimet. Tiedonsiirto tapahtuu erillisillä paketeilla, jotka lopullisen tavoitteen saavuttaessa muodostuvat jälleen yhdeksi kokonaisuudeksi. Ne pystyvät myös sieppaamaan paketteja missä tahansa lähetyksen vaiheessa ja hankkimaan arvokasta tietoa suojaamattomien salasanojen muodossa sen mukana. Joka tapauksessa salauksenpurkuohjelmien avulla on mahdollista saada avain jopa suojattuun salasanaan.

Helpoin tapa käyttää WiFi-nuuskimia on verkoissa, joissa on heikko suojaus - kahviloissa, julkisissa paikoissa jne.

Näitä ohjelmia käyttävät palveluntarjoajat voivat seurata luvatonta käyttöä ulkoisiin järjestelmäosoitteisiin.

Kuinka suojautua haistavilta

Ymmärtääksesi, että joku on tunkeutunut paikalliseen verkkoon, sinun tulee ensinnäkin kiinnittää huomiota paketin latausnopeus, jos se on huomattavasti ilmoitettua pienempi, tämän pitäisi varoittaa sinua. Voit seurata tietokoneesi suorituskykyä Task Managerin avulla. Voit käyttää erityisiä apuohjelmia, mutta ne ovat useimmiten ristiriidassa Windowsin palomuurin kanssa, joten on parempi poistaa se käytöstä jonkin aikaa.

Järjestelmänvalvojille liikenneanalysaattoreiden tarkistaminen ja etsiminen paikallisverkosta on välttämätön vaihe. Haitallisten sovellusten havaitsemiseen voit käyttää tunnettuja verkkoviruksentorjuntaohjelmia, kuten Doctor Webiä tai Kaspersky Anti-Virusia, joiden avulla voit havaita tuholaisia ​​sekä etäisännissä että suoraan paikallisverkossa.

Tietokoneeseen yksinkertaisesti asennettujen erityissovellusten lisäksi voit käyttää monimutkaisempia salasanoja ja salausjärjestelmät. Salausjärjestelmät toimivat suoraan tiedon kanssa salaten ne sähköisellä allekirjoituksella.

Sovelluksen yleiskuvaus ja tärkeimmät ominaisuudet

CommView

CommView purkaa lähetetyn tiedon paketit ja näyttää käytetyt protokollat ​​tilastot kaavioiden muodossa. Liikennesnifferin avulla voit analysoida IP-paketteja ja tarpeellisia. Sniffer Windowsille toimii tunnettujen protokollien kanssa: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP jne. CommView toimii Ethernet-modeemien, wi-fi- ja muiden kanssa. Paketit kaapataan muodostetun yhteyden kautta käyttämällä " NykyinenIP- liitännät", jossa voit luoda osoitteen aliaksia.

välilehti " Paketit» näyttää tietoja niistä, ja ne voidaan kopioida leikepöydälle.

« HIRSI-tiedostot» mahdollistaa pakettien katselun NFC-muodossa.

välilehti " säännöt" Täällä voit asettaa ehdot pakettien sieppaukselle. Tämän välilehden osat: IP-osoitteet, MAC-osoitteet, portit, prosessit, kaavat ja yksittäiset parametrit.

« Varoitus": mahdollistaa ilmoitusten määrittämisen paikallisessa verkossa, toimii "Lisää" -painikkeella. Täällä voit asettaa ehtoja ja tapahtumatyyppejä:

  • "Paketteja sekunnissa" - kun verkon kuormitustaso ylittyy.
  • "Tavua sekunnissa" - kun tiedonsiirtotaajuus ylittyy.
  • "Tuntematon osoite", eli luvattomien yhteyksien havaitseminen.

välilehti " Näytä»—liikennetilastot näkyvät tässä.

CommView on yhteensopiva Windows 98, 2000, XP, 2003 kanssa. Sovelluksen käyttämiseen tarvitaan Ethernet-sovitin.

Edut: käyttäjäystävällinen käyttöliittymä venäjäksi, tukee yleisiä verkkosovittimia, tilastot visualisoidaan. Ainoa haittapuoli on korkea hinta.

Spynet

Spynet suorittaa pakettien dekoodauksen ja niiden sieppauksen. Sen avulla voit luoda uudelleen sivut, joilla käyttäjä vieraili. Koostuu 2 ohjelmasta CaptureNet ja PipeNet. Sitä on kätevä käyttää paikallisessa verkossa. CaptureNet skannaa datapaketit, toinen ohjelma valvoo prosessia.

Käyttöliittymä on melko yksinkertainen:

  • Painike Muuttaa Suodattaa– suodattimien asettaminen.
  • Painike Kerros 2,3 – asentaa Flame – IP-protokollat; Taso 3 – TCP.
  • Painike Kuvio Vastaava etsii paketteja määritetyillä parametreilla.
  • Painike IPOsoitteet voit skannata tarvittavat IP-osoitteet, jotka välittävät kiinnostavaa tietoa. (Vaihtoehdot 1-2, 2-1, 2=1). Jälkimmäisessä tapauksessa kaikki liikenne.
  • Painike Portit eli porttien valinta.

Tietojen sieppaamiseksi sinun on suoritettava Capture Start -ohjelma, eli tietojen sieppausprosessi alkaa. Tallennetut tiedot sisältävä tiedosto kopioidaan vasta Stop-komennon, eli sieppaustoimintojen päättämisen jälkeen.

Spynetin etuna on kyky purkaa verkkosivut, joilla käyttäjä on vieraillut. Ohjelman voi myös ladata ilmaiseksi, vaikka sitä on melko vaikea löytää. Haittoja ovat pieni joukko ominaisuuksia Windowsissa. Toimii Windows XP:ssä, Vistassa.

BUTTSniffer

BUTTSniffer analysoi verkkopaketit suoraan. Toimintaperiaate on lähetettyjen tietojen sieppaus sekä mahdollisuus tallentaa se automaattisesti tietovälineelle, mikä on erittäin kätevää. Tämä ohjelma käynnistetään komentorivin kautta. On myös suodatinvaihtoehtoja. Ohjelma koostuu BUTTSniff.exe- ja BUTTSniff-tiedostoista. dll.

BUTTSnifferin merkittäviä haittoja ovat epävakaa toiminta, toistuvat kaatumiset, jopa käyttöjärjestelmän kaatuminen (kuoleman sininen näyttö).

Näiden nuuskimisohjelmien lisäksi on monia muita yhtä tunnettuja: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

On myös online-nuuskijia, jotka uhrin IP-osoitteen saamisen lisäksi muuttavat hyökkääjän IP-osoitetta suoraan. Nuo. Hakkeri rekisteröityy ensin IP-osoitteen alle ja lähettää uhrin tietokoneelle kuvan, joka on ladattava tai sähköpostin, joka tarvitsee vain avata. Tämän jälkeen hakkeri saa kaikki tarvittavat tiedot.

On syytä muistaa, että jonkun toisen tietokoneen tietoihin puuttuminen on rikos.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä