Informationen (ENG):
SmartSniff ist ein Netzwerküberwachungsprogramm, mit dem Sie TCP/IP-Pakete erfassen können, die Ihren Netzwerkadapter passieren, und die erfassten Daten als Abfolge von Gesprächen zwischen Clients und Servern anzeigen können. Sie können die TCP/IP-Konversationen im ASCII-Modus (für textbasierte Protokolle wie HTTP, SMTP, POP3 und FTP) oder als Hex-Dump anzeigen. (für Nicht-Text-Basisprotokolle wie DNS)
SmartSniff bietet drei Methoden zum Erfassen von TCP/IP-Paketen:
Raw Sockets (nur für Windows 2000/XP oder höher): Ermöglicht Ihnen die Erfassung von TCP/IP-Paketen in Ihrem Netzwerk, ohne einen Erfassungstreiber zu installieren. Diese Methode weist einige Einschränkungen und Probleme auf.
WinPcap Capture-Treiber: Ermöglicht die Erfassung von TCP/IP-Paketen auf allen Windows-Betriebssystemen. (Windows 98/ME/NT/2000/XP/2003/Vista) Um es verwenden zu können, müssen Sie den WinPcap Capture-Treiber von dieser Website herunterladen und installieren. (WinPcap ist ein kostenloser Open-Source-Capture-Treiber.)
Diese Methode ist im Allgemeinen die bevorzugte Methode zum Erfassen von TCP/IP-Paketen mit SmartSniff und funktioniert besser als die Raw-Sockets-Methode.
Microsoft Network Monitor-Treiber (nur für Windows 2000/XP/2003): Microsoft stellt unter Windows 2000/XP/2003 einen kostenlosen Capture-Treiber zur Verfügung, der von SmartSniff verwendet werden kann. Dieser Treiber ist jedoch nicht standardmäßig installiert und muss manuell installiert werden indem Sie eine der folgenden Optionen verwenden:
Option 1: Installieren Sie es von der CD-ROM von Windows 2000/XP gemäß den Anweisungen auf der Microsoft-Website
Option 2 (nur XP): Laden Sie die Support-Tools für Windows XP Service Pack 2 herunter und installieren Sie sie. Eines der Tools in diesem Paket ist netcap.exe. Wenn Sie dieses Tool zum ersten Mal ausführen, wird der Netzwerkmonitor-Treiber automatisch auf Ihrem System installiert.
Microsoft Network Monitor Driver 3: Microsoft stellt eine neue Version des Microsoft Network Monitor-Treibers (3.x) zur Verfügung, die auch unter Windows 7/Vista/2008 unterstützt wird. Ab Version 1.60 kann SmartSniff diesen Treiber nutzen, um den Netzwerkverkehr zu erfassen.
Die neue Version von Microsoft Network Monitor (3.x) kann von der Microsoft-Website heruntergeladen werden.
System Anforderungen
SmartSniff kann TCP/IP-Pakete auf jeder Version des Windows-Betriebssystems (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) erfassen, solange der WinPcap-Erfassungstreiber installiert ist und ordnungsgemäß mit Ihrem Netzwerk funktioniert Adapter
Sie können SmartSniff auch mit dem Capture-Treiber von Microsoft Network Monitor verwenden, sofern dieser auf Ihrem System installiert ist.
Unter Windows 2000/XP (oder höher) können Sie mit SmartSniff mithilfe der „Raw Sockets“-Methode auch TCP/IP-Pakete erfassen, ohne einen Erfassungstreiber installieren zu müssen. Allerdings weist diese Erfassungsmethode einige Einschränkungen und Probleme auf:
* Ausgehende UDP- und ICMP-Pakete werden nicht erfasst.
* Unter Windows XP SP1 werden ausgehende Pakete überhaupt nicht erfasst – dank des Fehlers von Microsoft, der im SP1-Update aufgetreten ist. Dieser Fehler wurde beim SP2-Update behoben, aber unter Vista hat Microsoft den Fehler bei ausgehenden Paketen von XP/SP1 behoben.
* Unter Windows Vista/7/8: Beachten Sie, dass die Raw-Sockets-Methode nicht auf allen Systemen ordnungsgemäß funktioniert. Es handelt sich nicht um einen Fehler in SmartSniff, sondern in der API des Windows-Betriebssystems. Wenn Sie nur den ausgehenden Datenverkehr sehen, versuchen Sie, die Windows-Firewall zu deaktivieren oder smsniff.exe zur Liste der zulässigen Programme der Windows-Firewall hinzuzufügen.
Ein Schnüffler ist nicht immer böswillig. Tatsächlich wird diese Art von Software häufig zur Analyse des Netzwerkverkehrs verwendet, um Anomalien zu erkennen und zu beseitigen und einen reibungslosen Betrieb sicherzustellen. Allerdings kann der Sniffer mit böswilliger Absicht eingesetzt werden. Sniffer analysieren alles, was durch sie hindurchgeht, einschließlich unverschlüsselter Passwörter und Anmeldeinformationen, sodass Hacker mit Zugriff auf den Sniffer an die persönlichen Daten der Benutzer gelangen können. Darüber hinaus kann der Sniffer auf jedem Computer installiert werden, der mit dem lokalen Netzwerk verbunden ist, ohne dass er auf dem Gerät selbst installiert werden muss – das heißt, er kann während der gesamten Verbindungszeit nicht erkannt werden.
Hacker nutzen Sniffer, um wertvolle Daten zu stehlen, indem sie Netzwerkaktivitäten überwachen und persönliche Informationen über Benutzer sammeln. Typischerweise sind Angreifer vor allem an Benutzerkennwörtern und Anmeldeinformationen interessiert, um Zugriff auf Online-Banking- und Online-Shop-Konten zu erhalten. Am häufigsten installieren Hacker Sniffer an Orten, an denen ungesicherte WLAN-Verbindungen verteilt sind, beispielsweise in Cafés, Hotels und Flughäfen. Sniffer können sich bei einem sogenannten Spoofing-Angriff als mit dem Netzwerk verbundenes Gerät ausgeben, um wertvolle Daten zu stehlen.
Unerlaubte Schnüffler sind virtuell äußerst schwer zu erkennen, da sie fast überall installiert werden können und eine sehr ernsthafte Bedrohung für die Netzwerksicherheit darstellen. Normale Benutzer haben oft keine Chance zu erkennen, dass ein Sniffer ihren Netzwerkverkehr verfolgt. Theoretisch ist es möglich, einen eigenen Sniffer zu installieren, der den gesamten DNS-Verkehr auf die Anwesenheit anderer Sniffer überwacht. Für den durchschnittlichen Benutzer ist es jedoch viel einfacher, eine Anti-Sniffing-Software oder eine Antivirenlösung zu installieren, die einen Schutz vor Netzwerkaktivitäten bietet, um ihn zu stoppen verhindern Sie unbefugtes Eindringen oder verbergen Sie Ihre Netzwerkaktivitäten.
Mit einem hochwirksamen Antivirenprogramm können Sie alle Arten von Malware erkennen und entfernen, die zu Schnüffelzwecken auf Ihrem Computer installiert ist. Um den Sniffer jedoch vollständig von Ihrem Computer zu entfernen, müssen Sie unbedingt alle damit verbundenen Ordner und Dateien löschen. Es wird außerdem dringend empfohlen, ein Antivirenprogramm mit Netzwerkscanner zu verwenden, der das lokale Netzwerk gründlich auf Schwachstellen überprüft und bei Entdeckung weitere Maßnahmen anweist.
Das erste, was ein Benutzer tun kann, um sich vor Schnüfflern zu schützen, ist die Verwendung eines hochwertigen Antivirenprogramms wie dem kostenlosen Avast-Antivirenprogramm, das in der Lage ist, das gesamte Netzwerk gründlich auf Sicherheitsprobleme zu scannen. Eine weitere und äußerst wirksame Möglichkeit, Informationen vor dem Ausspähen zu schützen, besteht darin, alle online gesendeten und empfangenen Daten, einschließlich E-Mails, zu verschlüsseln. Post. Mit Avast SecureLine können Sie den gesamten Datenaustausch sicher verschlüsseln und Online-Aktionen in 100 % Anonymität durchführen.
Das Wireshark-Programm ist ein hervorragender Assistent für Benutzer, die eine detaillierte Analyse von Netzwerkpaketen – Computernetzwerkverkehr – durchführen müssen. Der Sniffer interagiert problemlos mit gängigen Protokollen wie netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 und viele andere. Während der Analyse können Sie ein Netzwerkpaket gemäß einem bestimmten Protokoll in die entsprechenden Komponenten zerlegen und lesbare Informationen in numerischer Form auf dem Bildschirm anzeigen.
unterstützt eine Vielzahl verschiedener Formate gesendeter und empfangener Informationen und ist in der Lage, Dateien zu öffnen, die von anderen Dienstprogrammen verwendet werden. Das Funktionsprinzip besteht darin, dass die Netzwerkkarte in den Broadcast-Modus wechselt und beginnt, Netzwerkpakete abzufangen, die sich in ihrem Sichtbarkeitsbereich befinden. Kann als Programm zum Abfangen von WLAN-Paketen verwendet werden.
Nach dem Start von Wireshark sehen Sie auf dem Bildschirm oben im Fenster das Hauptmenü des Programms. Es wird zur Steuerung des Dienstprogramms verwendet. Wenn Sie Dateien laden müssen, die Daten zu Paketen speichern, die in früheren Sitzungen abgefangen wurden, sowie Daten zu anderen Paketen, die in einer neuen Sitzung abgefangen wurden, benötigen Sie dazu die Registerkarte „Datei“.
Um die Funktion zur Erfassung von Netzwerkpaketen zu starten, muss der Benutzer auf das Symbol „Erfassung“ klicken und dann einen speziellen Menüabschnitt namens „Schnittstellen“ finden, mit dem er ein separates Fenster „Wireshark Capture Interfaces“ öffnen kann, in dem alle verfügbaren Netzwerkschnittstellen angezeigt werden angezeigt werden, durch die die notwendigen Datenpakete erfasst werden. Falls das Programm (Sniffer) nur eine geeignete Schnittstelle erkennen kann, zeigt es alle wichtigen Informationen dazu auf dem Bildschirm an.
Die Ergebnisse der Arbeit des Versorgungsunternehmens sind ein direkter Beweis dafür, dass der Informationsaustausch im Netzwerk nicht aufhört, auch wenn Benutzer (zu einem bestimmten Zeitpunkt) nicht unabhängig mit der Übertragung von Daten beschäftigt sind. Schließlich besteht das Funktionsprinzip eines lokalen Netzwerks darin, dass jedes seiner Elemente (Computer, Switch und andere Geräte) kontinuierlich Dienstinformationen miteinander austauscht, um es im Betriebsmodus zu halten. Daher sind solche Netzwerktools zum Abfangen konzipiert solche Pakete.
Es gibt auch eine Version für Linux-Systeme.
Es ist darauf hinzuweisen, dass Der Sniffer ist für Netzwerkadministratoren äußerst nützlich und Computersicherheitsdienste, da das Dienstprogramm es Ihnen ermöglicht, potenziell ungeschützte Netzwerkknoten zu identifizieren – wahrscheinlich Bereiche, die von Hackern angegriffen werden können.
Zusätzlich zu seinem direkten Zweck kann Wireshark als Werkzeug zur Überwachung und weiteren Analyse des Netzwerkverkehrs verwendet werden, um einen Angriff auf ungeschützte Bereiche des Netzwerks zu organisieren, da abgefangener Verkehr zur Erreichung verschiedener Ziele verwendet werden kann.
In diesem Artikel werden wir uns mit der Erstellung eines einfachen Sniffers für das Windows-Betriebssystem befassen.
Wer Interesse hat, ist herzlich willkommen bei cat.
Ich hoffe, Sie finden es interessant.
Warum dies erforderlich sein könnte:
Wie so? Sehr einfach.
Der entscheidende Schritt bei der Umwandlung einer einfachen Netzwerkanwendung in einen Netzwerkanalysator besteht darin, die Netzwerkschnittstelle in den Promiscuous-Modus zu schalten, der es ihr ermöglicht, Pakete zu empfangen, die an andere Schnittstellen im Netzwerk adressiert sind. Dieser Modus zwingt die Netzwerkkarte, alle Frames zu akzeptieren, unabhängig davon, an wen sie im Netzwerk adressiert sind.
Ab Windows 2000 (NT 5.0) wurde es sehr einfach, ein Programm zum Abhören eines Netzwerksegments zu erstellen, weil Mit seinem Netzwerktreiber können Sie den Socket so einstellen, dass er alle Pakete empfängt.
Fortfahren. Es ist bekannt, dass ein IP-Paket aus einem Header, Dienstinformationen und tatsächlich Daten besteht. Ich empfehle Ihnen, hier nachzuschauen, um Ihr Wissen aufzufrischen. Beschreiben wir den IP-Header in Form einer Struktur (dank des hervorragenden Artikels über RSDN):
Im Prinzip können Sie noch weiter gehen und die oben aufgeführten Header aller nachfolgenden Protokolle beschreiben. Dazu müssen Sie das Feld analysieren Protokoll in der Struktur IPHeader. Schauen Sie sich den Beispielcode an (ja, es sollte einen Schalter geben, verdammt!), in dem der Header je nachdem, welches Protokoll das Paket in IP gekapselt hat, farbig ist:
/* * Hervorheben eines Pakets mit Farbe */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // wenn das Paket nicht leer ist else SetConsoleTextColor(0x07) ; // leeres Paket if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // „natives“ Paket für die Rückgabe ) else if (haddr == h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "natives" Empfangspaket ) if (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP) ( SetConsoleTextColor (0x70); // ICMP-Paket ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // IP-in-IP-Paket, L2TP ) else if(h - >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP mit Verschlüsselung ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
Dies würde jedoch den Rahmen dieses Artikels deutlich sprengen. Für unser Trainingsbeispiel reicht es aus, sich die IP-Adressen der Hosts anzusehen, von denen und zu denen der Datenverkehr kommt, und deren Menge pro Zeiteinheit zu berechnen (das fertige Programm finden Sie im Archiv am Ende des Artikels). .
Um IP-Header-Daten anzuzeigen, müssen Sie eine Funktion implementieren, um den Header (aber nicht die Daten) des Datagramms in eine Zeichenfolge umzuwandeln. Als Beispiel für die Umsetzung können wir folgende Möglichkeit anbieten:
Ich stelle den Quell- und Binärcode so zur Verfügung, wie er vor einigen Jahren war. Jetzt habe ich Angst, es anzuschauen, und dennoch ist es durchaus lesbar (natürlich kann man nicht so selbstbewusst sein). Zur Kompilierung reicht bereits Visual Studio Express 2005 aus.
Was wir am Ende hatten:
SmartSniff ermöglicht es Ihnen, den Netzwerkverkehr abzufangen und seinen Inhalt in ASCII anzuzeigen. Das Programm erfasst Pakete, die den Netzwerkadapter passieren, und zeigt den Inhalt der Pakete in Textform (Protokolle http, pop3, smtp, ftp) und als hexadezimalen Dump an. Um TCP/IP-Pakete zu erfassen, verwendet SmartSniff die folgenden Techniken: Raw-Sockets – RAW-Sockets, WinCap Capture-Treiber und Microsoft Network Monitor-Treiber. Das Programm unterstützt die russische Sprache und ist einfach zu bedienen.
![]() |
SmartSniff zeigt die folgenden Informationen an: Protokollname, lokale und entfernte Adresse, lokaler und entfernter Port, lokaler Knoten, Dienstname, Datenvolumen, Gesamtgröße, Erfassungszeit und letzte Paketzeit, Dauer, lokale und entfernte MAC-Adresse, Länder und Datenpaket Inhalte. Das Programm verfügt über flexible Einstellungen, es implementiert die Funktion eines Erfassungsfilters, entpackt http-Antworten, konvertiert IP-Adressen, das Dienstprogramm wird auf die Taskleiste minimiert. SmartSniff generiert einen Bericht über Paketströme als HTML-Seite. Das Programm kann TCP/IP-Streams exportieren.