Məlumat (ENG):
SmartSniff sizə şəbəkə adapterinizdən keçən TCP/IP paketlərini tutmağa və əldə edilmiş məlumatlara müştərilər və serverlər arasında söhbətlərin ardıcıllığı kimi baxmağa imkan verən şəbəkə monitorinqi yardım proqramıdır. Siz TCP/IP söhbətlərinə Ascii rejimində (HTTP, SMTP, POP3 və FTP kimi mətn əsaslı protokollar üçün) və ya hex dump kimi baxa bilərsiniz. (DNS kimi mətn olmayan əsas protokollar üçün)
SmartSniff TCP/IP paketlərini tutmaq üçün 3 üsul təqdim edir:
Raw Sockets (Yalnız Windows 2000/XP və ya daha yüksək versiyalar üçün): Çəkmə sürücüsünü quraşdırmadan şəbəkənizdə TCP/IP paketlərini tutmağa imkan verir. Bu metodun bəzi məhdudiyyətləri və problemləri var.
WinPcap Capture Driver: Bütün Windows əməliyyat sistemlərində TCP/IP paketlərini tutmağa imkan verir. (Windows 98/ME/NT/2000/XP/2003/Vista) Onu istifadə etmək üçün bu veb-saytdan WinPcap Capture Driver-ı yükləməli və quraşdırmalısınız. (WinPcap pulsuz açıq mənbəli ələ keçirmə sürücüsüdür.)
Bu üsul ümumiyyətlə SmartSniff ilə TCP/IP paketlərini tutmaq üçün üstünlük verilən üsuldur və Raw Sockets metodundan daha yaxşı işləyir.
Microsoft Şəbəkə Monitoru Sürücüsü (Yalnız Windows 2000/XP/2003 üçün): Microsoft SmartSniff tərəfindən istifadə oluna bilən Windows 2000/XP/2003 altında pulsuz çəkmə sürücüsü təmin edir, lakin bu drayver defolt olaraq quraşdırılmayıb və siz əl ilə quraşdırmalısınız. aşağıdakı seçimlərdən birini istifadə edərək:
Seçim 1: Microsoft Veb saytındakı təlimatlara uyğun olaraq onu Windows 2000/XP-nin CD-ROM-undan quraşdırın
Seçim 2 (Yalnız XP): Windows XP Service Pack 2 Dəstək Alətlərini endirin və quraşdırın. Bu paketdəki alətlərdən biri netcap.exe-dir. Bu aləti ilk dəfə işə saldığınız zaman Şəbəkə Monitoru Sürücüsü avtomatik olaraq sisteminizdə quraşdırılacaq.
Microsoft Network Monitor Driver 3: Microsoft Windows 7/Vista/2008-də də dəstəklənən Microsoft Network Monitor driverinin (3.x) yeni versiyasını təqdim edir. 1.60 versiyasından başlayaraq SmartSniff şəbəkə trafikini ələ keçirmək üçün bu drayverdən istifadə edə bilər.
Microsoft Şəbəkə Monitorunun (3.x) yeni versiyasını Microsoft Veb saytından yükləmək olar.

Sistem Tələbləri
WinPcap ələ keçirmə drayveri quraşdırıldığı və şəbəkənizlə düzgün işlədiyi müddətdə SmartSniff Windows əməliyyat sisteminin istənilən versiyasında (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) TCP/IP paketlərini çəkə bilər. adapter

Sisteminizdə quraşdırılıbsa, siz SmartSniff-dən Microsoft Şəbəkə Monitorunun çəkmə sürücüsü ilə də istifadə edə bilərsiniz.
Windows 2000/XP (və ya daha böyük) versiyalarında SmartSniff sizə “Raw Sockets” metodundan istifadə edərək heç bir tutma sürücüsü quraşdırmadan TCP/IP paketlərini tutmağa imkan verir. Bununla belə, bu tutma metodunun bəzi məhdudiyyətləri və problemləri var:
* Gedən UDP və ICMP paketləri tutulmur.
* Windows XP SP1-də gedən paketlər ümumiyyətlə tutulmur – SP1 yeniləməsində ortaya çıxan Microsoft səhvi sayəsində… Bu səhv SP2 yeniləməsində düzəldildi, lakin Vista-da Microsoft XP/SP1-in gedən paket səhvini geri qaytardı.
* Windows Vista/7/8-də: Nəzərə alın ki, Raw Sockets metodu bütün sistemlərdə düzgün işləmir. Bu, SmartSniff-də deyil, Windows əməliyyat sisteminin API-də səhvdir. Yalnız gedən trafiki görürsünüzsə, Windows təhlükəsizlik duvarını söndürməyə çalışın və ya smsniff.exe faylını Windows təhlükəsizlik duvarının icazə verilən proqramlar siyahısına əlavə edin.

Qoxuçu həmişə pis niyyətli deyil. Əslində, bu tip proqram anomaliyaları aşkar etmək və aradan qaldırmaq və düzgün işləməyi təmin etmək üçün şəbəkə trafikini təhlil etmək üçün tez-tez istifadə olunur. Bununla belə, sniffer pis niyyətlə istifadə edilə bilər. Snifferlər onlardan keçən hər şeyi, o cümlədən şifrələnməmiş parolları və etimadnamələri təhlil edir, beləliklə, snayferə çıxışı olan hakerlər istifadəçilərin şəxsi məlumatlarını əldə edə bilərlər. Bundan əlavə, sniffer lokal şəbəkəyə qoşulmuş istənilən kompüterə quraşdırıla bilər, onu cihazın özünə quraşdırmaq lazım deyil - başqa sözlə, bütün qoşulma vaxtı ərzində onu aşkar etmək mümkün deyil.

Qoxuçular haradan gəlir?

Hakerlər şəbəkə fəaliyyətini izləməklə və istifadəçilər haqqında şəxsi məlumatları toplayaraq qiymətli məlumatları oğurlamaq üçün snayferlərdən istifadə edirlər. Tipik olaraq, təcavüzkarlar onlayn bankçılıq və onlayn mağaza hesablarına giriş əldə etmək üçün istifadəçi parolları və etimadnamələri ilə daha çox maraqlanırlar. Çox vaxt hakerlər snayferləri təhlükəsiz Wi-Fi bağlantılarının yayıldığı yerlərdə, məsələn, kafelərdə, otellərdə və hava limanlarında quraşdırırlar. Sniffers dəyərli məlumatları oğurlamaq üçün sözdə saxtakarlıq hücumunda şəbəkəyə qoşulmuş cihaz kimi maskarad edə bilər.

Snayperi necə tanımaq olar?

İcazəsiz snayferləri virtual olaraq tanımaq olduqca çətindir, çünki onlar demək olar ki, hər yerdə quraşdırıla bilər və şəbəkə təhlükəsizliyi üçün çox ciddi təhlükə yaradır. Adi istifadəçilərin çox vaxt snayferin onların şəbəkə trafikini izlədiyini tanımaq şansı olmur. Bütün DNS trafikini digər snifferlərin olub-olmaması üçün izləyəcək öz snifferinizi quraşdırmaq nəzəri cəhətdən mümkündür, lakin adi istifadəçi üçün iyləmə əleyhinə proqram və ya dayandırmaq üçün şəbəkə fəaliyyətinin qorunmasını ehtiva edən antivirus həllini quraşdırmaq daha asandır. hər hansı icazəsiz müdaxilə və ya şəbəkə fəaliyyətlərinizi gizlədin.

Bir qoxusunu necə çıxarmaq olar

Siz iyləmə məqsədləri üçün kompüterinizdə quraşdırılmış bütün növ zərərli proqramları aşkar etmək və silmək üçün yüksək effektiv antivirusdan istifadə edə bilərsiniz. Bununla belə, snayferi kompüterinizdən tamamilə silmək üçün onunla əlaqəli bütün qovluqları və faylları tamamilə silməlisiniz. Şəbəkə skaneri ilə antivirusdan istifadə etmək də tövsiyə olunur, bu, yerli şəbəkəni zəifliklərə görə hərtərəfli yoxlayacaq və aşkar edilərsə, sonrakı hərəkətlərə göstəriş verəcəkdir.

Sniffer qurbanı olmaqdan necə qorunmaq olar

• Göndərdiyiniz və qəbul etdiyiniz bütün məlumatları şifrələyin
• Zəifliklər üçün yerli şəbəkənizi skan edin
• Yalnız təsdiqlənmiş və təhlükəsiz Wi-Fi şəbəkələrindən istifadə edin

Özünüzü qoxuçulardan qoruyun

Istifadəçinin özünü qoxuçulardan qorumaq üçün edə biləcəyi ilk şey, təhlükəsizlik problemləri üçün bütün şəbəkəni hərtərəfli skan etməyə qadir olan pulsuz Avast antivirusu kimi yüksək keyfiyyətli antivirusdan istifadə etməkdir. Məlumatı iylənmədən qorumaq üçün əlavə və yüksək effektiv üsul elektron məktublar da daxil olmaqla onlayn göndərilən və qəbul edilən bütün məlumatları şifrələməkdir. poçt. Avast SecureLine sizə bütün məlumat mübadiləsini təhlükəsiz şəkildə şifrələməyə və 100% anonimlik şəraitində onlayn əməliyyatlar həyata keçirməyə imkan verir.

Wireshark proqramı şəbəkə paketlərinin - kompüter şəbəkə trafikinin ətraflı təhlilini aparmalı olan istifadəçilər üçün əla köməkçi olacaqdır. Sniffer kimi ümumi protokollarla asanlıqla qarşılıqlı əlaqə qurur netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 və bir çox başqaları. Təhlil zamanı o, müəyyən bir protokola uyğun olaraq şəbəkə paketini müvafiq komponentlərə ayırmağa və oxuna bilən məlumatları ekranda ədədi formada göstərməyə imkan verir.
ötürülən və alınan məlumatların çoxlu sayda müxtəlif formatlarını dəstəkləyir və digər yardım proqramları tərəfindən istifadə olunan faylları aça bilir. İş prinsipi ondan ibarətdir ki, şəbəkə kartı yayım rejiminə keçir və onun görünmə sahəsində olan şəbəkə paketlərini tutmağa başlayır. Wi-Fi paketlərini ələ keçirmək üçün proqram kimi işləyə bilər.

Wireshark-dan necə istifadə etmək olar

Proqram şəbəkədən keçən informasiya paketlərinin məzmununu öyrənir. Snifferin nəticələrini işə salmaq və istifadə etmək üçün heç bir xüsusi biliyə ehtiyacınız yoxdur, sadəcə onu "Başlat" menyusunda açmaq və ya iş masasındakı işarəni vurmaq lazımdır (başlamaq hər hansı digər Windows proqramından fərqlənmir) . Köməkçi proqramın xüsusi funksiyası ona məlumat paketlərini tutmağa, onların məzmununu diqqətlə deşifrə etməyə və təhlil üçün istifadəçiyə qaytarmağa imkan verir.

Wireshark işə salındıqdan sonra, pəncərənin yuxarı hissəsində yerləşən ekranda proqramın əsas menyusunu görəcəksiniz. Utiliti idarə etmək üçün istifadə olunur. Əvvəlki seanslarda tutulan paketlər haqqında məlumatları saxlayan faylları yükləməlisinizsə, həmçinin yeni sessiyada tutulan digər paketlər haqqında məlumatı saxlamalısınızsa, bunun üçün "Fayl" sekmesine ehtiyacınız olacaq.

Şəbəkə paketini ələ keçirmə funksiyasını işə salmaq üçün istifadəçi "Çəkmə" ikonasını vurmalı, sonra "İnterfeyslər" adlı xüsusi menyu bölməsini tapmalıdır, onun köməyi ilə ayrıca "Wireshark Capture Interfaces" pəncərəsini aça bilərsiniz, burada bütün mövcud şəbəkə interfeysləri olmalıdır. Göstəriləcək, bunun vasitəsilə lazımi məlumat paketlərini tutacaq. Proqram (sniffer) yalnız bir uyğun interfeysi aşkar edə bildiyi halda, bu barədə bütün vacib məlumatları ekranda göstərəcəkdir.

Kommunal xidmətin işinin nəticələri birbaşa sübutdur ki, istifadəçilər müstəqil olaraq (müəyyən vaxtda) hər hansı məlumatın ötürülməsi ilə məşğul olmasalar da, şəbəkədə məlumat mübadiləsi dayanmır. Axı, yerli şəbəkənin işləmə prinsipi ondan ibarətdir ki, onu iş rejimində saxlamaq üçün onun hər bir elementi (kompüter, kommutator və digər qurğular) bir-biri ilə davamlı olaraq xidmət məlumatlarını mübadilə edir, buna görə də belə şəbəkə alətləri ələ keçirmək üçün nəzərdə tutulub. belə paketlər.

Linux sistemləri üçün bir versiya da var.

Qeyd etmək lazımdır ki Sniffer şəbəkə administratorları üçün son dərəcə faydalıdır və kompüter təhlükəsizliyi xidmətləri, çünki yardım proqramı potensial olaraq qorunmayan şəbəkə qovşaqlarını - hakerlər tərəfindən hücuma məruz qala biləcək əraziləri müəyyən etməyə imkan verir.

Birbaşa məqsədi ilə yanaşı, Wireshark şəbəkənin qorunmayan sahələrinə hücum təşkil etmək üçün şəbəkə trafikinin monitorinqi və sonrakı təhlili üçün bir vasitə kimi istifadə edilə bilər, çünki ələ keçirilmiş trafik müxtəlif məqsədlərə çatmaq üçün istifadə edilə bilər.

Bu yazıda biz Windows OS üçün sadə sniffer yaratmağa baxacağıq.
Maraqlanan hər kəs, pişiyə xoş gəlmisiniz.

Giriş

Hədəf: IP protokolu üzərindən ötürülən şəbəkə trafikini (Ethernet, WiFi) tutacaq bir proqram yazın.
Obyektlər: Visual Studio 2005 və ya daha yüksək.
Burada təsvir olunan yanaşma şəxsən müəllifə aid deyil və bir çox kommersiya, eləcə də tamamilə pulsuz proqramlarda (salam, GPL) uğurla istifadə olunur.
Bu iş ilk növbədə şəbəkə proqramlaşdırmasına yeni başlayanlar üçün nəzərdə tutulmuşdur, lakin onlar ümumiyyətlə rozetkalar və xüsusən də Windows yuvaları sahəsində ən azı əsas biliklərə malikdirlər. Burada tez-tez məlum şeylər yazacam, çünki mövzu sahəsi konkretdir, nəyisə qaçırsam, başım qarışacaq.

Ümid edirəm ki, siz maraqlı tapacaqsınız.

Nəzəriyyə (oxumaq tələb olunmur, lakin tövsiyə olunur)

Hal-hazırda müasir informasiya şəbəkələrinin böyük əksəriyyəti TCP/IP protokol stekinin təməlinə əsaslanır. TCP/IP protokol yığını (Transmission Control Protocol/Internet Protocol) şəbəkələrdə istifadə olunan müxtəlif səviyyəli şəbəkə protokollarının ümumi adıdır. Bu yazıda biz əsasən IP protokolu ilə maraqlanacağıq - bir şəbəkə nodeundan digərinə sözdə paketlərə bölünmüş məlumatların zəmanətsiz çatdırılması üçün istifadə olunan marşrutlaşdırılmış şəbəkə protokolu (daha düzgün termin datagramdır).
Məlumat ötürmək üçün nəzərdə tutulmuş IP paketləri bizim üçün xüsusi maraq doğurur. Bu OSI şəbəkə məlumat modelinin kifayət qədər yüksək səviyyəsidir, özünüzü cihazdan və məlumat ötürmə mühitindən təcrid edə bildiyiniz zaman, yalnız məntiqi təmsil ilə işləyir.
Tamamilə məntiqlidir ki, gec-tez şəbəkə trafikini tutmaq, izləmək, qeyd etmək və təhlil etmək üçün alətlər meydana çıxmalı idi. Belə alətlər adətən trafik analizatorları, paket analizatorları və ya snifferlər (ingilis dilindən sniff - iyləmək) adlanır. Bu, şəbəkə trafiki analizatoru, digər qovşaqlar üçün nəzərdə tutulmuş şəbəkə trafikini tutmaq və sonradan təhlil etmək və ya yalnız təhlil etmək üçün nəzərdə tutulmuş proqram və ya aparat-proqram cihazıdır.

Təcrübə (əsaslı söhbət)

Hal-hazırda, trafikə qulaq asmaq üçün kifayət qədər çox proqram yaradılmışdır. Onlardan ən məşhuru: Wireshark. Təbii ki, məqsəd onun uğurlarını toplamaq deyil - biz şəbəkə interfeysinə sadəcə “dinləməklə” trafikin qarşısını almaq vəzifəsi ilə maraqlanırıq. Hack və müdaxilə etməyəcəyimizi başa düşmək vacibdir qərib trafik. Bizə sadəcə olaraq hostumuzdan keçən trafikə baxmaq və təhlil etmək lazımdır.

Bu niyə lazım ola bilər:

1. Şəbəkə bağlantısı vasitəsilə cari trafik axınına baxın (daxil olan/gidən/cəmi).
2. Sonrakı təhlil üçün trafiki başqa hosta yönləndirin.
3. Teorik olaraq, siz onu WiFi şəbəkəsini sındırmaq üçün istifadə etməyə cəhd edə bilərsiniz (biz bunu etməyəcəyik, elə deyilmi?).

libpcap/WinPcap kitabxanasına əsaslanan Wireshark-dan fərqli olaraq, analizatorumuz bu drayverdən istifadə etməyəcək. Üstəlik, heç bir sürücüümüz olmayacaq və öz NDİS-imizi yazmayacağıq (ey dəhşət!). Bu mövzuda bu barədə oxuya bilərsiniz. O, sadəcə olaraq istifadə edərək passiv müşahidəçi olacaq yalnız WinSock kitabxanası. Bu vəziyyətdə sürücüdən istifadə etmək lazımsızdır.

Necə? Çox sadə.
Sadə şəbəkə tətbiqini şəbəkə analizatoruna çevirmək üçün əsas addım şəbəkə interfeysini qeyri-adi rejimə keçirməkdir ki, bu da ona şəbəkədəki digər interfeyslərə ünvanlanmış paketləri qəbul etməyə imkan verəcək. Bu rejim şəbəkə kartını şəbəkədə kimə ünvanlanmasından asılı olmayaraq bütün kadrları qəbul etməyə məcbur edir.

Windows 2000-dən (NT 5.0) başlayaraq, şəbəkə seqmentini dinləmək üçün proqram yaratmaq çox asan oldu, çünki onun şəbəkə sürücüsü bütün paketləri qəbul etmək üçün rozetka qurmağa imkan verir.

Promiscuous Rejimin Aktivləşdirilməsi

uzun bayraq = 1; SOCKET yuvası; #define SIO_RCVALL 0x98000001 ioctlsocket(socket, SIO_RCVALL, &RS_Flag);
Proqramımız IP paketləri üzərində işləyir və Windows Sockets kitabxanasının 2.2 versiyasından və xam soketlərdən istifadə edir. IP paketinə birbaşa çıxış əldə etmək üçün rozetka aşağıdakı kimi yaradılmalıdır:

Xam yuva yaratmaq

s = rozetka (AF_INET, SOCK_RAW, IPPROTO_IP);
Burada sabit əvəzinə SOCK_STREAM(TCP protokolu) və ya SOCK_DGRAM(UDP protokolu) dəyərindən istifadə edirik SOCK_RAW. Ümumiyyətlə, xam rozetkalarla işləmək təkcə trafikin tutulması baxımından maraqlı deyil. Əslində, paketin formalaşmasına tam nəzarət edirik. Daha doğrusu, biz onu əl ilə formalaşdırırıq, bu, məsələn, müəyyən bir ICMP paketini göndərməyə imkan verir...

Davam et. Məlumdur ki, İP-paket başlıqdan, xidmət məlumatından və əslində verilənlərdən ibarətdir. Biliklərinizi yeniləmək üçün buraya baxmağı məsləhət görürəm. IP başlığını struktur şəklində təsvir edək (RSDN-dəki əla məqalə sayəsində):

IP paket strukturunun təsviri

typedef struct _IPHeader ( imzasız char ver_len; // başlıq versiyası və imzasız simvolun uzunluğu; // xidmət növü imzasız qısa uzunluq; // bütün paketin uzunluğu imzasız qısa id; // Id imzasız qısa flgs_offset; // bayraqlar və imzasız ofset char ttl ; // ömür boyu imzalanmamış char protokolu; // protokol imzalanmamış qısa xsum; // yoxlama məbləği imzalanmamış uzun src; // göndərənin IP ünvanı imzalanmamış uzun hədəf; // təyinat IP ünvanı imzalanmamış qısa *params; // parametrlər (320-yə qədər) bit) işarəsiz char *data; // verilənlər (65535 oktete qədər) )IPHeader;
Dinləmə alqoritminin əsas funksiyası belə görünəcək:

Tək paket tutma funksiyası

IPHeader* RS_Sniff() ( IPHeader *hdr; int count = 0; count = recv(RS_SSocket, (char*)&RS_Buffer, sizeof(RS_Buffer), 0); if (count >= sizeof(IPHeader)) ( hdr = (LPIPHeader) )malloc(MAX_PACKET_SIZE); memcpy(hdr, RS_Buffer, MAX_PACKET_SIZE); RS_UpdateNetStat(count, hdr); qaytarmaq hdr; ) əks halda 0; )
Burada hər şey sadədir: standart rozetka funksiyasından istifadə edərək bir parça məlumat alırıq recv, və sonra kimi bir quruluşa kopyalayın IPHeader.
Və nəhayət, sonsuz bir paket tutma dövrəsinə başlayırıq:

Şəbəkə interfeysimizə çatan bütün paketləri ələ keçirək

isə (doğru) (IPHeader* hdr = RS_Sniff(); // əgər (hdr) IP paketinin işlənməsi ( // başlığı konsolda çap edin ) )

Bir az oftopik

Burada və aşağıda müəllif bəzi vacib funksiyalar və dəyişənlər üçün RS_ (Raw Sockets-dən) prefiksini düzəltdi. Layihəni 3-4 il əvvəl etdim və məndə xam rozetkalarla işləmək üçün tam hüquqlu bir kitabxana yazmaq üçün çılğın bir fikir var idi. Tez-tez olduğu kimi, bəzi əhəmiyyətli (müəllif üçün) nəticələr əldə etdikdən sonra həvəs söndü və məsələ təlim nümunəsindən irəli getmədi.

Prinsipcə, daha da irəli gedə və yuxarıda yerləşən bütün sonrakı protokolların başlıqlarını təsvir edə bilərsiniz. Bunun üçün sahəni təhlil etmək lazımdır protokol strukturunda IPHeader. Nümunə koduna baxın (bəli, keçid olmalıdır, lənətə gəlsin!), paketin IP-də hansı protokolu əhatə etdiyindən asılı olaraq başlığın rəngləndiyi yer:

/* * Paketin rənglə vurğulanması */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // əgər paket boş deyilsə, başqa SetConsoleTextColor(0x07) ; // boş paket if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // "dr else=" üçün paketi qaytarın (əgərd = yerli) h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "doğma" qəbul paketi ) əgər (h->protokol == PROT_ICMP || h-T=Protokol == PROT_ICMP || h-T) PRO_Text (SetConsoleTextColor) (0x70) ; // ICMP paketi ) başqa if(h->protokol == PROT_IP || h->protokol == 115) ( SetConsoleTextColor(0x4F); // IP-in-paket, L2TP ) başqa if(h) - >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, Şifrələmə ilə IP ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )

Bununla belə, bu, bu məqalənin əhatə dairəsindən əhəmiyyətli dərəcədə kənardadır. Təlim nümunəmiz üçün hansı və hansı trafikin gəldiyi hostların IP ünvanlarına baxmaq və onun vaxt vahidi üçün miqdarını hesablamaq kifayətdir (bitmiş proqram məqalənin sonunda arxivdədir) .

IP başlıq məlumatlarını göstərmək üçün siz dataqramın başlığını (verilənləri deyil) sətri çevirmək funksiyasını həyata keçirməlisiniz. İcra nümunəsi olaraq aşağıdakı variantı təklif edə bilərik:

IP başlığının sətirə çevrilməsi

inline char* iph2str(IPHeader *iph) ( const int BUF_SIZE = 1024; char *r = (char*)malloc(BUF_SIZE); memset((void*)r, 0, BUF_SIZE); sprintf(r, "ver=% d hlen=%d tos=%d len=%d id=%d bayraq=0x%X ofset=%d ttl=%dms prot=%d crc=0x%X src=%s dest=%s", BYTE_H (iph->ver_len), BYTE_L(iph->ver_len)*4, iph->tos, ntohs(iph->uzunluq), ntohs(iph->id), IP_FLAGS(ntohs(iph->flgs_offset)), IP_OFFSET (ntohs(iph->flgs_offset)), iph->ttl, iph->protokol, ntohs(iph->xsum), nethost2str(iph->src), nethost2str(iph->dest)); qaytar r; )
Yuxarıda verilmiş əsas məlumatlara əsasən, biz IP trafikinə yerli dinləməni həyata keçirən bu kiçik proqramı (ürpertici ad ss, sadə sniffer üçün qısa) əldə edirik. Onun interfeysi aşağıdakı şəkildə göstərilmişdir.

Mən mənbə və ikili kodu bir neçə il əvvəl olduğu kimi təqdim edirəm. İndi ona baxmağa qorxuram və buna baxmayaraq, kifayət qədər oxunaqlıdır (əlbəttə, özünüzə bu qədər güvənmək olmaz). Hətta Visual Studio Express 2005 kompilyasiya üçün kifayət edəcəkdir.

Nə ilə nəticələndik:

• Sniffer istifadəçi rejimində işləyir, lakin administrator imtiyazları tələb edir.
• Paketlər filtrlənmir və olduğu kimi göstərilir (xüsusi filtrlər əlavə edə bilərsiniz - əgər maraqlanırsınızsa, növbəti məqalədə bu mövzuya ətraflı baxmağı təklif edirəm).
• WiFi trafiki də tutulur (hər şey xüsusi çip modelindən asılıdır, bir neçə il əvvəl mənim üçün olduğu kimi sizin üçün işləməyə bilər), baxmayaraq ki, AirPcap var, bunu gözəl edə bilər, lakin pul tələb edir.
• Bütün datagram axını fayla daxil edilir (məqalənin sonunda əlavə edilmiş arxivə baxın).
• Proqram 2000 portunda server kimi fəaliyyət göstərir. Siz telnet yardım proqramından istifadə edərək hosta qoşula və trafik axınına nəzarət edə bilərsiniz. Bağlantıların sayı iyirmi ilə məhdudlaşır (kod mənim deyil, mən onu İnternetdə tapdım və təcrübələr üçün istifadə etdim; silmədim - təəssüf ki)

Diqqətinizə görə təşəkkür edirəm, Xabrovsk və Xabrovka sakinlərini və hamını Milad bayramı münasibətilə təbrik edirəm!

SmartSniffşəbəkə trafikinə müdaxilə etməyə və onun məzmununu ASCII-də göstərməyə imkan verir. Proqram şəbəkə adapterindən keçən paketləri tutur və paketlərin məzmununu mətn şəklində (http, pop3, smtp, ftp protokolları) və onaltılıq zibil kimi göstərir. TCP/IP paketlərini tutmaq üçün SmartSniff aşağıdakı üsullardan istifadə edir: xam soketlər - RAW Sockets, WinCap Capture Driver və Microsoft Network Monitor Driver. Proqram rus dilini dəstəkləyir və istifadəsi asandır.

Paketləri ələ keçirmək üçün Sniffer proqramı

SmartSniff aşağıdakı məlumatları göstərir: protokol adı, yerli və uzaq ünvan, yerli və uzaq port, yerli qovşaq, xidmət adı, məlumat həcmi, ümumi ölçü, tutma vaxtı və son paket vaxtı, müddət, yerli və uzaq MAC ünvanı, ölkələr və məlumat paketi məzmunu. Proqram çevik parametrlərə malikdir, tutma filtri funksiyasını yerinə yetirir, http cavablarını çıxarır, IP ünvanlarını çevirir, yardım proqramı sistem tepsisinə minimuma endirilir. SmartSniff HTML səhifəsi kimi paket axınları haqqında hesabat yaradır. Proqram TCP/IP axınlarını ixrac edə bilər.