Sniffer analizatorja omrežnega prometa. Kaj je sniffer: opis. Sniffer za Windows Intercepter-NG (navodila za uporabo) Sniffer za lokalno omrežje

Kaj je Intercepter-NG

Oglejmo si bistvo ARP na preprostem primeru. Računalnik A (naslov IP 10.0.0.1) in računalnik B (naslov IP 10.22.22.2) sta povezana z omrežjem Ethernet. Računalnik A želi poslati podatkovni paket računalniku B; pozna naslov IP računalnika B. Vendar pa omrežje Ethernet, s katerim so povezani, ne deluje z naslovi IP. Zato mora računalnik A poznati naslov računalnika B za prenos prek Etherneta Ethernetna omrežja(naslov MAC v smislu Etherneta). Za to nalogo se uporablja protokol ARP. Z uporabo tega protokola računalnik A pošlje zahtevo za oddajanje, naslovljeno na vse računalnike v isti domeni oddajanja. Bistvo zahteve: »računalnik z naslovom IP 10.22.22.2 posredujte svoj naslov MAC računalniku z naslovom MAC (na primer a0:ea:d1:11:f1:01).« Omrežje Ethernet dostavi to zahtevo vsem napravam v istem segmentu Ethernet, vključno z računalnikom B. Računalnik B odgovori računalniku A na zahtevo in sporoči njegov naslov MAC (npr. 00:ea:d1:11:f1:11). prejel naslov MAC računalnika B, mu lahko računalnik A posreduje poljubne podatke preko omrežja Ethernet.

Da se izognete potrebi po uporabi protokola ARP pred vsakim pošiljanjem podatkov, se prejeti naslovi MAC in njim pripadajoči naslovi IP nekaj časa beležijo v tabeli. Če morate poslati podatke na isti IP, potem ni treba vsakič anketirati naprav v iskanju želenega MAC.

Kot smo pravkar videli, ARP vključuje zahtevo in odgovor. Naslov MAC iz odgovora se zapiše v tabelo MAC/IP. Ko je odgovor prejet, se na noben način ne preverja pristnosti. Poleg tega niti ne preveri, ali je bila zahteva podana. Tisti. lahko takoj pošljete odgovor ARP na ciljne naprave (tudi brez zahteve), s ponarejenimi podatki, ti podatki pa bodo končali v tabeli MAC/IP in bodo uporabljeni za prenos podatkov. To je bistvo napada ARP-spoofing, ki se včasih imenuje ARP jedkanje, ARP cache poisoning.

Opis napada s ponarejanjem ARP

Dva računalnika (vozlišča) M in N v lokalno omrežje Ethernet izmenjava sporočil. Napadalec X, ki se nahaja v istem omrežju, želi prestreči sporočila med temi vozlišči. Preden se na omrežni vmesnik gostitelja M izvede napad s ponarejanjem ARP, tabela ARP vsebuje naslov IP in MAC gostitelja N. Tudi na omrežnem vmesniku gostitelja N tabela ARP vsebuje naslov IP in MAC gostitelja M .

Med napadom ponarejanja ARP vozlišče X (napadalec) pošlje dva odziva ARP (brez zahteve) – vozlišču M in vozlišču N. Odgovor ARP vozlišču M vsebuje naslov IP od N in naslov MAC od X. Odgovor ARP vozlišču N vsebuje naslov IP M in naslov MAC X.

Ker računalnika M in N podpirata spontani ARP, po prejemu odgovora ARP spremenita svoje tabele ARP in zdaj tabela ARP M vsebuje naslov MAC X, vezan na naslov IP N, tabela ARP N pa vsebuje naslov MAC X, vezan na naslov IP M.

Tako je napad ponarejanja ARP zaključen in zdaj gredo vsi paketi (okvirji) med M in N skozi X. Na primer, če M želi poslati paket računalniku N, potem M pogleda v svojo tabelo ARP, najde vnos z naslovom IP gostitelja N, od tam izbere naslov MAC (in že obstaja naslov MAC vozlišča X) in pošlje paket. Paket prispe do vmesnika X, ga ta analizira in nato posreduje vozlišču N.

SmartSniff omogoča prestrezanje omrežnega prometa in prikaz njegove vsebine v ASCII. Program zajame pakete, ki gredo skozi omrežni adapter in prikaže vsebino paketov v besedilni obliki (protokoli http, pop3, smtp, ftp) in v obliki šestnajstiškega izpisa. Za zajem paketov TCP/IP SmartSniff uporablja naslednje tehnike: neobdelane vtičnice - RAW vtičnice, gonilnik WinCap Capture Driver in Microsoft Network Monitor Driver. Program podpira ruski jezik in je enostaven za uporabo.

Sniffer program za zajem paketov

SmartSniff prikaže naslednje informacije: ime protokola, lokalni in oddaljeni naslov, lokalna in oddaljena vrata, lokalno vozlišče, ime storitve, količino podatkov, skupno velikost, čas zajema in čas zadnjega paketa, trajanje, lokalni in oddaljeni naslov MAC, države in podatkovni paket vsebina . Program ima prilagodljive nastavitve, izvaja funkcijo filtra za zajem, razpakiranje http odgovorov, pretvorbo naslovov IP, pripomoček je zmanjšan na sistemski pladenj. SmartSniff ustvari poročilo o pretokih paketov v obrazcu HTML strani. Program lahko izvozi TCP/IP tokove.

IP Sniffer- program, ki vam omogoča spremljanje paketov, ki prehajajo prek internetnega protokola (IP). Funkcionalnost programa vključuje možnost dekodiranja paketov in njihovega filtriranja.

V dobi sodobne tehnologije pri internetu pa je varnost na prvem mestu. Računalnik izmenjuje digitalne informacije z zunanjim svetom prek posebnih protokolov. Internetni protokol (IP) je eden najbolj iskanih in priljubljenih zaradi svoje varnosti in visoka hitrost prenos podatkov.

Z njegovim prihodom, leta 1981, so lahko računalniki drug drugemu pošiljali sporočila v obliki podatkovnih paketov. Sniffer za Windows je zasnovan za spremljanje prometa in preverjanje vsebine paketov. Torej je ta pripomoček dodatni način zavarujte svoj računalnik. Prenesite IP Sniffer najboljša rešitev, nadzorujte promet in vse tokove informacij.

Prenesite IP Sniffer brezplačno

IP Sniffer za Windows (1,4 MB)

Ključne lastnosti IP Snifferja:

  • Večnamenskost;
  • varnost;
  • Majhna velikost;
  • Intuitiven vmesnik.

Najnovejša različica snifferja ima priročen in preprost vmesnik. Program vam omogoča, da si ogledate, kateri naslovi IP so najpogosteje uporabljeni in kateri so najpogosteje povezani z vašo napravo. Priročno lahko spremljate količino prometa. Določeno povezavo lahko tudi prisilno prekinete s funkcijo Netstat. Če se uporabnik sooča z nalogo prestrezanja prometa med gostitelji, je priporočljivo, da na svoj računalnik naložite snifferja. To lahko stori funkcija Snoofing, ki med številnimi podpira priljubljeni protokol ARP. Tudi priljubljene funkcije snifferja v ruščini so omrežni ping, možnost pretvorbe naslova IP v ime gostitelja in nazaj, iskanje DHCP strežniki. Uporabite ga lahko tudi za pridobivanje podatkov Netbios za določen naslov IP.

Če želi uporabnik dobiti zanesljivega pomočnika pri nadzoru prometa, je priporočljivo brezplačno prenesti Vohkalo. Program ne zahteva namestitve ali dodatne konfiguracije. Uporabite ga lahko takoj po prenosu. Programski vmesnik je jedrnat in preprost. Okna in zavihki so nameščeni tako, da je uporaba čim bolj priročna in udobna. Razvijalec nenehno izboljšuje in izboljšuje svoj izdelek. Posodobitve se redno objavljajo. Program je zelo odporen na vse zlonamerne vplive. Naš portal ponuja vsem obiskovalcem možnost, da prenesejo program vohljanje brez registracije in SMS-a.

Vsak član ekipe ][ ima svoje nastavitve glede programske opreme in pripomočkov za
test peresa. Po posvetovanju smo ugotovili, da je izbira tako raznolika, da je možna
ustvarite pravi gospodski nabor preverjenih programov. To je vse
odločila. Da ne bi delali mešanice, smo celoten seznam razdelili na teme - in v
Tokrat se bomo dotaknili pripomočkov za vohanje in manipulacijo paketov. Uporabite ga
zdravje.

Wireshark

Netcat

Če govorimo o prestrezanju podatkov, torej Mrežni rudar bo umaknjen iz predvajanja
(ali iz vnaprej pripravljenega izpisa v formatu PCAP) datotek, potrdil,
slike in druge medije ter gesla in druge podatke za avtorizacijo.
Uporabna funkcija je iskanje tistih delov podatkov, ki vsebujejo ključne besede
(na primer prijava uporabnika).

Scapy

Spletna stran:
www.secdev.org/projects/scapy

Mora imeti vsak heker, je močno orodje za
interaktivna manipulacija paketov. Prejemanje in dekodiranje paketov največ
različne protokole, odgovorite na zahtevo, vstavite spremenjeno in
paket, ki ste ga ustvarili sami - vse je enostavno! Z njegovo pomočjo lahko izvedete celoto
številne klasične naloge, kot so skeniranje, sledenje, napadi in odkrivanje
omrežno infrastrukturo. V eni steklenici dobimo zamenjavo za tako priljubljene pripomočke,
kot so: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f itd. Pri tem
skrajni čas je bil Scapy vam omogoča opravljanje katere koli naloge, tudi najbolj specifične
naloga, ki je nikoli ne more opraviti drug že ustvarjen razvijalec
pomeni. Namesto da bi napisali celo goro vrstic v C, da npr.
dovolj je generiranje napačnega paketa in fuzzing nekega demona
vnesite nekaj vrstic kode z uporabo Scapy! Program nima
grafični vmesnik, interaktivnost pa dosežemo s tolmačem
Python. Ko se tega naučite, vas ustvarjanje nepravilnega ne bo stalo nič
pakete, vstavite potrebne okvirje 802.11, združite različne pristope v napadih
(recimo zastrupitev predpomnilnika ARP in skakanje VLAN) itd. Razvijalci sami vztrajajo
da se zagotovi uporaba zmogljivosti Scapyja v drugih projektih. Povezovanje
kot modul je preprosto ustvariti pripomoček za različne vrste raziskav lokalnega območja,
iskanje ranljivosti, Wi-Fi injection, samodejno izvajanje posebnih
naloge itd.

paket

Spletna stran:
Platforma: *nix, obstaja vrata za Windows

Zanimiv razvoj, ki po eni strani omogoča ustvarjanje kakršnega koli
ethernet paket, na drugi strani pa pošiljajo zaporedja paketov z namenom
preverjanje pasovne širine. Za razliko od drugih podobnih orodij, paket
Ima GUI, kar vam omogoča kar najlažje ustvarjanje paketov
oblika. Še več. Posebej obdelana sta izdelava in pošiljanje
zaporedja paketov. Nastavite lahko zamike med pošiljanjem,
pošiljanje paketov z največja hitrost za preverjanje pasovne širine
razdelek omrežja (ja, tukaj se bodo zbirali) in kar je še bolj zanimivo -
dinamično spreminjanje parametrov v paketih (na primer naslov IP ali MAC).

Kdaj redni uporabnik Ko sliši izraz "vohač", ga takoj začne zanimati, kaj to je in zakaj je potreben.

Vse bomo poskušali razložiti v preprostem jeziku.

Vendar ta članek ne bo namenjen samo uporabnikom začetnikom, ampak tudi.

Opredelitev

Sniffer je analizator prometa. Promet pa so vse informacije, ki gredo skozi računalniška omrežja.

Ta analizator opazuje, katere informacije se prenašajo. Da bi to naredili, ga je treba prestreči. Pravzaprav je to nezakonita stvar, saj na ta način ljudje pogosto pridejo do podatkov drugih ljudi.

To lahko primerjamo z ropom vlaka - klasičnim zapletom večine vesternov.

Prenašate nekaj informacij drugemu uporabniku. Prenaša ga "vlak", to je omrežni kanal.

Idioti iz tolpe Krvavega Joeja prestrežejo vlak in ga popolnoma oropajo. V našem primeru gre informacija dlje, to je, da je napadalci ne ukradejo v dobesednem pomenu besede.

A recimo, da so ti podatki gesla, osebni zapiski, fotografije in podobno.

Napadalci lahko vse to preprosto prepišejo in fotografirajo. Tako bodo imeli dostop do občutljivih podatkov, ki bi jih želeli skriti.

Da, imeli boste vse te informacije, prišle bodo do vas.

Vendar boste vedeli, da popolni neznanci vedo isto. Toda v 21. stoletju so najbolj cenjene informacije!

V našem primeru je uporabljen točno ta princip. Določeni ljudje ustavijo promet, preberejo podatke iz njega in jih pošljejo naprej.

Res je, da v primeru vohljalcev vse ni vedno tako strašljivo. Uporabljajo se ne samo za nepooblaščen dostop do podatkov, temveč tudi za analizo samega prometa. To je pomemben del dela sistemskih skrbnikov in preprosto skrbnikov različnih virov. O aplikaciji je vredno govoriti podrobneje. Pred tem pa se bomo dotaknili, kako delujejo ti isti vohalci.

Načelo delovanja

Snifferji so v praksi lahko prenosne naprave, ki so dobesedno nameščene na kablu in z njega berejo podatke in programe.

V nekaterih primerih gre preprosto za niz navodil, torej kod, ki jih je treba vnesti v določenem zaporedju in v določenem programskem okolju.

Natančneje, prestrezanje prometa s takimi napravami lahko berete na enega od naslednjih načinov:

1 Z vgradnjo vozlišč namesto stikal. Načeloma je poslušanje omrežnega vmesnika mogoče izvesti tudi na druge načine, vendar so vsi neučinkoviti.

2 S povezovanjem dobesednega snifferja na mesto prekinitve kanala. To je točno to, o čemer smo razpravljali zgoraj - in je postavljeno majhna naprava, ki bere vse, kar se premika po kanalu.

3 Montaža prometne veje. Ta razcep je usmerjen na drugo napravo, po možnosti dešifriran in poslan uporabniku.

4 Napad, katerega cilj je popolna preusmeritev prometa na vohalnik. Seveda se informacija potem, ko pride do bralne naprave, ponovno pošlje končnemu uporabniku, ki mu je bila prvotno namenjena. v najčistejši obliki!

5 Z analizo elektromagnetno sevanje , ki nastanejo zaradi gibanja prometa. To je najbolj zapletena in redko uporabljena metoda.

Tukaj je približen diagram, kako deluje druga metoda.

Res je, tukaj je prikazano, da je čitalnik preprosto priključen na kabel.

Pravzaprav je na ta način skoraj nemogoče.

Dejstvo je, da bo končni uporabnik na neki točki vseeno opazil prekinitev kanala.

Sam princip delovanja navadnega snifferja temelji na tem, da se znotraj enega segmenta pošiljajo vsem povezanim strojem. Precej neumna, vendar zaenkrat brez alternativne metode! In med segmenti se podatki prenašajo s stikali. Tu se pojavi možnost prestrezanja informacij na enega od zgornjih načinov.

Pravzaprav se temu reče kibernetski napadi in vdiranje!

Mimogrede, če ta ista stikala pravilno namestite, lahko popolnoma zaščitite segment pred vsemi vrstami kibernetskih napadov.

Obstajajo tudi drugi načini zaščite, o katerih bomo govorili čisto na koncu.

Koristne informacije:

Bodite pozorni na program. Uporablja se za analizo omrežnega prometa in razčlenjevanje podatkovnih paketov, za kar se uporablja knjižnica pcap. To bistveno zoži število paketov, ki so na voljo za razčlenjevanje, saj je mogoče razčleniti samo tiste pakete, ki jih ta knjižnica podpira.

Aplikacija

Seveda ima ta koncept najprej zgoraj obravnavano aplikacijo, to je hekerske napade in nezakonito pridobivanje uporabniških podatkov.

A poleg tega se snifferji uporabljajo tudi na drugih področjih, natančneje v delu sistemski skrbniki.

Zlasti takšne naprave oz programi pomagajo pri opravljanju naslednjih nalog:

Kot lahko vidite, lahko naprave ali programi, ki jih obravnavamo, močno olajšajo delo sistemskih skrbnikov in drugih ljudi, ki uporabljajo omrežja. In to smo vsi.

Zdaj pa preidimo na najbolj zanimiv del - pregled vohalnih programov.

Zgoraj smo ugotovili, da jih je mogoče izdelati v obliki fizičnih naprav, vendar se v večini primerov uporabljajo posebne.

Preučimo jih.

Vohalni programi

Tu je seznam najbolj priljubljenih takih programov:

CommView. Program je plačan, kot vsi ostali na našem seznamu. Ena minimalna licenca stane 300 $. Toda programska oprema ima bogato funkcionalnost. Prva stvar, ki jo je vredno omeniti, je sposobnost, da sami postavljate pravila. Na primer, lahko zagotovite, da so (ti protokoli) popolnoma prezrti. Omeniti velja tudi, da program omogoča ogled podrobnosti in dnevnika vseh poslanih paketov. Obstaja običajna različica in različica Wi-Fi.

SpyNet. To je pravzaprav trojanec, ki smo se ga vsi tako naveličali. Lahko pa se uporablja tudi v plemenite namene, o katerih smo govorili zgoraj. Program prestreže in ki so v prometu. Obstaja veliko nenavadnih lastnosti. Na primer, lahko ponovno ustvarite strani na internetu, ki jih je "žrtev" obiskala. Omeniti velja, da je ta programska oprema brezplačna, vendar jo je precej težko najti.

BUTTSniffer. To je vohalo v najčistejši obliki, ki pomaga analizirati omrežne pakete, namesto da prestreže gesla in zgodovino brskalnika drugih ljudi. Vsaj tako je mislil njen avtor. Pravzaprav se njegovo ustvarjanje uporablja za veste kaj. To je normalno paketni program ki deluje skozi ukazna vrstica. Za začetek se preneseta in zaženeta dve datoteki. "Zajeti" paketi se shranijo na vaš trdi disk, kar je zelo priročno.

Obstaja veliko drugih programov za vohljanje. Znani so na primer fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer in številni drugi. Izberite katero koli! Ampak pošteno povedano, velja omeniti, da je najboljši CommView.

Torej, pogledali smo, kaj so vohalci, kako delujejo in kakšni so.

Zdaj pa se premaknimo z mesta hekerja ali sistemskega skrbnika na mesto navadnega uporabnika.

Dobro se zavedamo, da so naši podatki lahko ukradeni. Kaj storiti, da se to ne bi zgodilo tukaj). Deluje izjemno preprosto - preišče omrežje za vse vrste vohunov in poroča, če jih odkrije. To je najenostavnejši in najbolj razumljiv princip, ki vam omogoča, da se zaščitite pred kibernetskimi napadi.

3 Uporabite PromiScan. Po svojih lastnostih in opravljenih nalogah je ta program zelo podoben AntiSniffu za Windows, zato izberite eno stvar. Na internetu je tudi veliko povezav za prenos (tukaj je ena izmed njih). To je inovativen program, ki omogoča daljinsko upravljanje računalnikov, povezanih v isto omrežje. Načelo njegovega delovanja je določiti vozlišča, ki ne bi smela obstajati v omrežju. Pravzaprav so to najverjetneje vohljači. Program jih prepozna in to naznani z zgovornim sporočilom. Zelo udobno!.

4 Uporabite kriptografijo in če je razširjen, kriptografski sistem z javnim ključem. to poseben sistemšifriranje oz elektronski podpis. Njegov »trik« je v tem, da je ključ javen in ga vidijo vsi, spreminjanje podatkov pa je nemogoče, saj je to treba storiti na vseh računalnikih v omrežju hkrati. Odlična metoda - kot vaba za tatu. O blockchainu si lahko preberete, kje točno se tak sistem uporablja.

5 Ne prenašajte sumljivih programov, ne obiskujte sumljivih spletnih mest itd. Vsak sodobni uporabnik ve za to, vendar je to glavni način, da trojanci in druge neprijetne stvari pridejo v vaš operacijski sistem. Zato bodite pri uporabi interneta načeloma zelo odgovorni!

Če imate še kakšna vprašanja, jih postavite v spodnjih komentarjih.

Upamo, da smo lahko vse pojasnili v preprostem in razumljivem jeziku.