Məlumat (ENG):
SmartSniff sizə şəbəkə adapterinizdən keçən TCP/IP paketlərini tutmağa və əldə edilmiş məlumatlara müştərilər və serverlər arasında söhbətlərin ardıcıllığı kimi baxmağa imkan verən şəbəkə monitorinqi yardım proqramıdır. Siz TCP/IP söhbətlərinə Ascii rejimində (HTTP, SMTP, POP3 və FTP kimi mətn əsaslı protokollar üçün) və ya hex dump kimi baxa bilərsiniz. (DNS kimi mətn olmayan əsas protokollar üçün)
SmartSniff TCP/IP paketlərini tutmaq üçün 3 üsul təqdim edir:
Raw Sockets (Yalnız Windows 2000/XP və ya daha yüksək versiyalar üçün): Çəkmə sürücüsünü quraşdırmadan şəbəkənizdə TCP/IP paketlərini tutmağa imkan verir. Bu metodun bəzi məhdudiyyətləri və problemləri var.
WinPcap Capture Driver: Bütün Windows əməliyyat sistemlərində TCP/IP paketlərini tutmağa imkan verir. (Windows 98/ME/NT/2000/XP/2003/Vista) Onu istifadə etmək üçün bu veb-saytdan WinPcap Capture Driver-ı yükləməli və quraşdırmalısınız. (WinPcap pulsuz açıq mənbəli ələ keçirmə sürücüsüdür.)
Bu üsul ümumiyyətlə SmartSniff ilə TCP/IP paketlərini tutmaq üçün üstünlük verilən üsuldur və Raw Sockets metodundan daha yaxşı işləyir.
Microsoft Şəbəkə Monitoru Sürücüsü (Yalnız Windows 2000/XP/2003 üçün): Microsoft SmartSniff tərəfindən istifadə oluna bilən Windows 2000/XP/2003 altında pulsuz çəkmə sürücüsü təmin edir, lakin bu drayver defolt olaraq quraşdırılmayıb və siz əl ilə quraşdırmalısınız. aşağıdakı seçimlərdən birini istifadə edərək:
Seçim 1: Microsoft Veb saytındakı təlimatlara uyğun olaraq onu Windows 2000/XP-nin CD-ROM-undan quraşdırın
Seçim 2 (Yalnız XP): Windows XP Service Pack 2 Dəstək Alətlərini endirin və quraşdırın. Bu paketdəki alətlərdən biri netcap.exe-dir. Bu aləti ilk dəfə işə saldığınız zaman Şəbəkə Monitoru Sürücüsü avtomatik olaraq sisteminizdə quraşdırılacaq.
Microsoft Network Monitor Driver 3: Microsoft Windows 7/Vista/2008-də də dəstəklənən Microsoft Network Monitor driverinin (3.x) yeni versiyasını təqdim edir. 1.60 versiyasından başlayaraq SmartSniff şəbəkə trafikini ələ keçirmək üçün bu drayverdən istifadə edə bilər.
Microsoft Şəbəkə Monitorunun (3.x) yeni versiyasını Microsoft Veb saytından yükləmək olar.
Sistem Tələbləri
WinPcap ələ keçirmə drayveri quraşdırıldığı və şəbəkənizlə düzgün işlədiyi müddətdə SmartSniff Windows əməliyyat sisteminin istənilən versiyasında (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) TCP/IP paketlərini çəkə bilər. adapter
Sisteminizdə quraşdırılıbsa, siz SmartSniff-dən Microsoft Şəbəkə Monitorunun çəkmə sürücüsü ilə də istifadə edə bilərsiniz.
Windows 2000/XP (və ya daha böyük) versiyalarında SmartSniff sizə “Raw Sockets” metodundan istifadə edərək heç bir tutma sürücüsü quraşdırmadan TCP/IP paketlərini tutmağa imkan verir. Bununla belə, bu tutma metodunun bəzi məhdudiyyətləri və problemləri var:
* Gedən UDP və ICMP paketləri tutulmur.
* Windows XP SP1-də gedən paketlər ümumiyyətlə tutulmur – SP1 yeniləməsində ortaya çıxan Microsoft səhvi sayəsində… Bu səhv SP2 yeniləməsində düzəldildi, lakin Vista-da Microsoft XP/SP1-in gedən paket səhvini geri qaytardı.
* Windows Vista/7/8-də: Nəzərə alın ki, Raw Sockets metodu bütün sistemlərdə düzgün işləmir. Bu, SmartSniff-də deyil, Windows əməliyyat sisteminin API-də səhvdir. Yalnız gedən trafiki görürsünüzsə, Windows təhlükəsizlik duvarını söndürməyə çalışın və ya smsniff.exe faylını Windows təhlükəsizlik duvarının icazə verilən proqramlar siyahısına əlavə edin.
Qoxuçu həmişə pis niyyətli deyil. Əslində, bu tip proqram anomaliyaları aşkar etmək və aradan qaldırmaq və düzgün işləməyi təmin etmək üçün şəbəkə trafikini təhlil etmək üçün tez-tez istifadə olunur. Bununla belə, sniffer pis niyyətlə istifadə edilə bilər. Snifferlər onlardan keçən hər şeyi, o cümlədən şifrələnməmiş parolları və etimadnamələri təhlil edir, beləliklə, snayferə çıxışı olan hakerlər istifadəçilərin şəxsi məlumatlarını əldə edə bilərlər. Bundan əlavə, sniffer lokal şəbəkəyə qoşulmuş istənilən kompüterə quraşdırıla bilər, onu cihazın özünə quraşdırmaq lazım deyil - başqa sözlə, bütün qoşulma vaxtı ərzində onu aşkar etmək mümkün deyil.
Hakerlər şəbəkə fəaliyyətini izləməklə və istifadəçilər haqqında şəxsi məlumatları toplayaraq qiymətli məlumatları oğurlamaq üçün snayferlərdən istifadə edirlər. Tipik olaraq, təcavüzkarlar onlayn bankçılıq və onlayn mağaza hesablarına giriş əldə etmək üçün istifadəçi parolları və etimadnamələri ilə daha çox maraqlanırlar. Çox vaxt hakerlər snayferləri təhlükəsiz Wi-Fi bağlantılarının yayıldığı yerlərdə, məsələn, kafelərdə, otellərdə və hava limanlarında quraşdırırlar. Sniffers dəyərli məlumatları oğurlamaq üçün sözdə saxtakarlıq hücumunda şəbəkəyə qoşulmuş cihaz kimi maskarad edə bilər.
İcazəsiz snayferləri virtual olaraq tanımaq olduqca çətindir, çünki onlar demək olar ki, hər yerdə quraşdırıla bilər və şəbəkə təhlükəsizliyi üçün çox ciddi təhlükə yaradır. Adi istifadəçilərin çox vaxt snayferin onların şəbəkə trafikini izlədiyini tanımaq şansı olmur. Bütün DNS trafikini digər snifferlərin olub-olmaması üçün izləyəcək öz snifferinizi quraşdırmaq nəzəri cəhətdən mümkündür, lakin adi istifadəçi üçün iyləmə əleyhinə proqram və ya dayandırmaq üçün şəbəkə fəaliyyətinin qorunmasını ehtiva edən antivirus həllini quraşdırmaq daha asandır. hər hansı icazəsiz müdaxilə və ya şəbəkə fəaliyyətlərinizi gizlədin.
Siz iyləmə məqsədləri üçün kompüterinizdə quraşdırılmış bütün növ zərərli proqramları aşkar etmək və silmək üçün yüksək effektiv antivirusdan istifadə edə bilərsiniz. Bununla belə, snayferi kompüterinizdən tamamilə silmək üçün onunla əlaqəli bütün qovluqları və faylları tamamilə silməlisiniz. Şəbəkə skaneri ilə antivirusdan istifadə etmək də tövsiyə olunur, bu, yerli şəbəkəni zəifliklərə görə hərtərəfli yoxlayacaq və aşkar edilərsə, sonrakı hərəkətlərə göstəriş verəcəkdir.
Istifadəçinin özünü qoxuçulardan qorumaq üçün edə biləcəyi ilk şey, təhlükəsizlik problemləri üçün bütün şəbəkəni hərtərəfli skan etməyə qadir olan pulsuz Avast antivirusu kimi yüksək keyfiyyətli antivirusdan istifadə etməkdir. Məlumatı iylənmədən qorumaq üçün əlavə və yüksək effektiv üsul elektron məktublar da daxil olmaqla onlayn göndərilən və qəbul edilən bütün məlumatları şifrələməkdir. poçt. Avast SecureLine sizə bütün məlumat mübadiləsini təhlükəsiz şəkildə şifrələməyə və 100% anonimlik şəraitində onlayn əməliyyatlar həyata keçirməyə imkan verir.
Wireshark proqramı şəbəkə paketlərinin - kompüter şəbəkə trafikinin ətraflı təhlilini aparmalı olan istifadəçilər üçün əla köməkçi olacaqdır. Sniffer kimi ümumi protokollarla asanlıqla qarşılıqlı əlaqə qurur netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 və bir çox başqaları. Təhlil zamanı o, müəyyən bir protokola uyğun olaraq şəbəkə paketini müvafiq komponentlərə ayırmağa və oxuna bilən məlumatları ekranda ədədi formada göstərməyə imkan verir.
ötürülən və alınan məlumatların çoxlu sayda müxtəlif formatlarını dəstəkləyir və digər yardım proqramları tərəfindən istifadə olunan faylları aça bilir. İş prinsipi ondan ibarətdir ki, şəbəkə kartı yayım rejiminə keçir və onun görünmə sahəsində olan şəbəkə paketlərini tutmağa başlayır. Wi-Fi paketlərini ələ keçirmək üçün proqram kimi işləyə bilər.
Wireshark işə salındıqdan sonra, pəncərənin yuxarı hissəsində yerləşən ekranda proqramın əsas menyusunu görəcəksiniz. Utiliti idarə etmək üçün istifadə olunur. Əvvəlki seanslarda tutulan paketlər haqqında məlumatları saxlayan faylları yükləməlisinizsə, həmçinin yeni sessiyada tutulan digər paketlər haqqında məlumatı saxlamalısınızsa, bunun üçün "Fayl" sekmesine ehtiyacınız olacaq.
Şəbəkə paketini ələ keçirmə funksiyasını işə salmaq üçün istifadəçi "Çəkmə" ikonasını vurmalı, sonra "İnterfeyslər" adlı xüsusi menyu bölməsini tapmalıdır, onun köməyi ilə ayrıca "Wireshark Capture Interfaces" pəncərəsini aça bilərsiniz, burada bütün mövcud şəbəkə interfeysləri olmalıdır. Göstəriləcək, bunun vasitəsilə lazımi məlumat paketlərini tutacaq. Proqram (sniffer) yalnız bir uyğun interfeysi aşkar edə bildiyi halda, bu barədə bütün vacib məlumatları ekranda göstərəcəkdir.
Kommunal xidmətin işinin nəticələri birbaşa sübutdur ki, istifadəçilər müstəqil olaraq (müəyyən vaxtda) hər hansı məlumatın ötürülməsi ilə məşğul olmasalar da, şəbəkədə məlumat mübadiləsi dayanmır. Axı, yerli şəbəkənin işləmə prinsipi ondan ibarətdir ki, onu iş rejimində saxlamaq üçün onun hər bir elementi (kompüter, kommutator və digər qurğular) bir-biri ilə davamlı olaraq xidmət məlumatlarını mübadilə edir, buna görə də belə şəbəkə alətləri ələ keçirmək üçün nəzərdə tutulub. belə paketlər.
Linux sistemləri üçün bir versiya da var.
Qeyd etmək lazımdır ki Sniffer şəbəkə administratorları üçün son dərəcə faydalıdır və kompüter təhlükəsizliyi xidmətləri, çünki yardım proqramı potensial olaraq qorunmayan şəbəkə qovşaqlarını - hakerlər tərəfindən hücuma məruz qala biləcək əraziləri müəyyən etməyə imkan verir.
Birbaşa məqsədi ilə yanaşı, Wireshark şəbəkənin qorunmayan sahələrinə hücum təşkil etmək üçün şəbəkə trafikinin monitorinqi və sonrakı təhlili üçün bir vasitə kimi istifadə edilə bilər, çünki ələ keçirilmiş trafik müxtəlif məqsədlərə çatmaq üçün istifadə edilə bilər.
Bu yazıda biz Windows OS üçün sadə sniffer yaratmağa baxacağıq.
Maraqlanan hər kəs, pişiyə xoş gəlmisiniz.
Ümid edirəm ki, siz maraqlı tapacaqsınız.
Bu niyə lazım ola bilər:
Necə? Çox sadə.
Sadə şəbəkə tətbiqini şəbəkə analizatoruna çevirmək üçün əsas addım şəbəkə interfeysini qeyri-adi rejimə keçirməkdir ki, bu da ona şəbəkədəki digər interfeyslərə ünvanlanmış paketləri qəbul etməyə imkan verəcək. Bu rejim şəbəkə kartını şəbəkədə kimə ünvanlanmasından asılı olmayaraq bütün kadrları qəbul etməyə məcbur edir.
Windows 2000-dən (NT 5.0) başlayaraq, şəbəkə seqmentini dinləmək üçün proqram yaratmaq çox asan oldu, çünki onun şəbəkə sürücüsü bütün paketləri qəbul etmək üçün rozetka qurmağa imkan verir.
Davam et. Məlumdur ki, İP-paket başlıqdan, xidmət məlumatından və əslində verilənlərdən ibarətdir. Biliklərinizi yeniləmək üçün buraya baxmağı məsləhət görürəm. IP başlığını struktur şəklində təsvir edək (RSDN-dəki əla məqalə sayəsində):
Prinsipcə, daha da irəli gedə və yuxarıda yerləşən bütün sonrakı protokolların başlıqlarını təsvir edə bilərsiniz. Bunun üçün sahəni təhlil etmək lazımdır protokol strukturunda IPHeader. Nümunə koduna baxın (bəli, keçid olmalıdır, lənətə gəlsin!), paketin IP-də hansı protokolu əhatə etdiyindən asılı olaraq başlığın rəngləndiyi yer:
/* * Paketin rənglə vurğulanması */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // əgər paket boş deyilsə, başqa SetConsoleTextColor(0x07) ; // boş paket if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // "dr else=" üçün paketi qaytarın (əgərd = yerli) h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "doğma" qəbul paketi ) əgər (h->protokol == PROT_ICMP || h-T=Protokol == PROT_ICMP || h-T) PRO_Text (SetConsoleTextColor) (0x70) ; // ICMP paketi ) başqa if(h->protokol == PROT_IP || h->protokol == 115) ( SetConsoleTextColor(0x4F); // IP-in-paket, L2TP ) başqa if(h) - >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, Şifrələmə ilə IP ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
Bununla belə, bu, bu məqalənin əhatə dairəsindən əhəmiyyətli dərəcədə kənardadır. Təlim nümunəmiz üçün hansı və hansı trafikin gəldiyi hostların IP ünvanlarına baxmaq və onun vaxt vahidi üçün miqdarını hesablamaq kifayətdir (bitmiş proqram məqalənin sonunda arxivdədir) .
IP başlıq məlumatlarını göstərmək üçün siz dataqramın başlığını (verilənləri deyil) sətri çevirmək funksiyasını həyata keçirməlisiniz. İcra nümunəsi olaraq aşağıdakı variantı təklif edə bilərik:
Mən mənbə və ikili kodu bir neçə il əvvəl olduğu kimi təqdim edirəm. İndi ona baxmağa qorxuram və buna baxmayaraq, kifayət qədər oxunaqlıdır (əlbəttə, özünüzə bu qədər güvənmək olmaz). Hətta Visual Studio Express 2005 kompilyasiya üçün kifayət edəcəkdir.
Nə ilə nəticələndik:
SmartSniffşəbəkə trafikinə müdaxilə etməyə və onun məzmununu ASCII-də göstərməyə imkan verir. Proqram şəbəkə adapterindən keçən paketləri tutur və paketlərin məzmununu mətn şəklində (http, pop3, smtp, ftp protokolları) və onaltılıq zibil kimi göstərir. TCP/IP paketlərini tutmaq üçün SmartSniff aşağıdakı üsullardan istifadə edir: xam soketlər - RAW Sockets, WinCap Capture Driver və Microsoft Network Monitor Driver. Proqram rus dilini dəstəkləyir və istifadəsi asandır.
![]() |
SmartSniff aşağıdakı məlumatları göstərir: protokol adı, yerli və uzaq ünvan, yerli və uzaq port, yerli qovşaq, xidmət adı, məlumat həcmi, ümumi ölçü, tutma vaxtı və son paket vaxtı, müddət, yerli və uzaq MAC ünvanı, ölkələr və məlumat paketi məzmunu. Proqram çevik parametrlərə malikdir, tutma filtri funksiyasını yerinə yetirir, http cavablarını çıxarır, IP ünvanlarını çevirir, yardım proqramı sistem tepsisinə minimuma endirilir. SmartSniff HTML səhifəsi kimi paket axınları haqqında hesabat yaradır. Proqram TCP/IP axınlarını ixrac edə bilər.