Teave (ENG):
SmartSniff on võrgu jälgimise utiliit, mis võimaldab jäädvustada teie võrguadapterit läbivaid TCP/IP-pakette ja vaadata jäädvustatud andmeid klientide ja serverite vaheliste vestluste jadana. Saate vaadata TCP/IP-vestlusi Ascii-režiimis (tekstipõhiste protokollide jaoks, nagu HTTP, SMTP, POP3 ja FTP.) või hex dump-vormingus. (mitteteksti baasprotokollide jaoks, nagu DNS)
SmartSniff pakub TCP/IP-pakettide hõivamiseks kolme meetodit:
Raw Sockets (ainult Windows 2000/XP või uuemate versioonide jaoks): võimaldab teil võrgus jäädvustada TCP/IP-pakette ilma püüdmisdraiverit installimata. Sellel meetodil on mõned piirangud ja probleemid.
WinPcap Capture Driver: võimaldab teil jäädvustada TCP/IP-pakette kõigis Windowsi operatsioonisüsteemides. (Windows 98/ME/NT/2000/XP/2003/Vista) Selle kasutamiseks peate sellelt veebisaidilt alla laadima ja installima WinPcap Capture Driveri. (WinPcap on tasuta avatud lähtekoodiga püüdmisdraiver.)
See meetod on üldiselt eelistatud viis TCP/IP-pakettide jäädvustamiseks SmartSniffiga ja see toimib paremini kui töötlemata pistikupesade meetod.
Microsofti võrgumonitori draiver (ainult Windows 2000/XP/2003 jaoks): Microsoft pakub Windows 2000/XP/2003 all tasuta püüdmisdraiverit, mida SmartSniff saab kasutada, kuid see draiver pole vaikimisi installitud ja peate installima käsitsi. seda kasutades ühte järgmistest valikutest:
1. valik: installige see Windows 2000/XP CD-ROM-ilt vastavalt Microsofti veebisaidil olevatele juhistele
Valik 2 (ainult XP): laadige alla ja installige Windows XP hoolduspaketi Service Pack 2 tugitööriistad. Üks selle paketi tööriistu on netcap.exe. Kui käivitate selle tööriista esimest korda, installitakse võrgumonitori draiver teie süsteemi automaatselt.
Microsofti võrgumonitori draiver 3: Microsoft pakub Microsofti võrgumonitori draiveri (3.x) uut versiooni, mida toetab ka Windows 7/Vista/2008. Alates versioonist 1.60 saab SmartSniff kasutada seda draiverit võrguliikluse hõivamiseks.
Microsoft Network Monitori (3.x) uus versioon on allalaadimiseks saadaval Microsofti veebisaidilt.
Nõuded süsteemile
SmartSniff suudab hõivata TCP/IP-pakette mis tahes Windowsi operatsioonisüsteemi versioonis (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8), kui WinPcapi püüdmisdraiver on installitud ja töötab teie võrguga korralikult adapter
SmartSniffi saate kasutada ka Microsoft Network Monitori püüdmisdraiveriga, kui see on teie süsteemi installitud.
Operatsioonisüsteemis Windows 2000/XP (või uuemates versioonides) võimaldab SmartSniff jäädvustada ka TCP/IP-pakette ilma püüdmisdraiverit installimata, kasutades 'Raw Sockets' meetodit. Sellel püüdmismeetodil on aga mõned piirangud ja probleemid:
* Väljuvaid UDP- ja ICMP-pakette ei püüta.
* Windows XP hoolduspaketis SP1 ei jäädvustata väljaminevaid pakette üldse – tänu Microsofti veale, mis ilmnes SP1 värskenduses... See viga parandati SP2 värskendusega, kuid Vista puhul tagastas Microsoft XP/SP1 väljaminevate pakettide vea.
* Windows Vista/7/8: pidage meeles, et Raw Socketsi meetod ei tööta korralikult kõigis süsteemides. See pole viga SmartSniffis, vaid Windowsi operatsioonisüsteemi API-s. Kui näete ainult väljaminevat liiklust, proovige Windowsi tulemüür välja lülitada või lisada smsniff.exe Windowsi tulemüüri lubatud programmide loendisse.
Nuusutaja ei ole alati pahatahtlik. Tegelikult kasutatakse seda tüüpi tarkvara sageli võrguliikluse analüüsimiseks, et avastada ja kõrvaldada kõrvalekaldeid ning tagada tõrgeteta töö. Nuusutajat saab aga kasutada pahatahtlikult. Nuusutajad analüüsivad kõike, mis neid läbib, sealhulgas krüptimata paroole ja mandaate, nii et nuusutajale juurdepääsu omavad häkkerid saavad hankida kasutajate isikuandmeid. Lisaks saab nuusutaja paigaldada igasse kohtvõrku ühendatud arvutisse, ilma et oleks vaja seda seadmesse endasse installida – teisisõnu ei ole võimalik seda tuvastada kogu ühenduse aja jooksul.
Häkkerid kasutavad nuusutajaid väärtuslike andmete varastamiseks, jälgides võrgutegevust ja kogudes kasutajate kohta isiklikku teavet. Tavaliselt on ründajad kõige rohkem huvitatud kasutaja paroolidest ja mandaatidest, et pääseda ligi internetipanga ja veebipoe kontodele. Kõige sagedamini paigaldavad häkkerid nuusutajad kohtadesse, kus levitatakse turvamata WiFi-ühendusi, näiteks kohvikutesse, hotellidesse ja lennujaamadesse. Nuusutajad võivad väärtuslike andmete varastamise eesmärgil maskeeruda võrku ühendatud seadmeks.
Volitamata nuusutajaid on virtuaalselt äärmiselt raske ära tunda, kuna neid saab paigaldada peaaegu kõikjale, mis kujutab endast väga tõsist ohtu võrgu turvalisusele. Tavakasutajatel pole sageli võimalust ära tunda, et nuusutaja jälgib nende võrguliiklust. Teoreetiliselt on võimalik paigaldada oma nuusutaja, mis jälgiks kogu DNS-liiklust teiste nuusutajate olemasolu suhtes, kuid tavakasutaja jaoks on palju lihtsam paigaldada nuusutamistõrjetarkvara või võrgutegevuse kaitset sisaldav viirusetõrje lahendus peatamiseks. mis tahes volitamata sissetungi või varjata oma võrgutegevusi.
Saate kasutada ülitõhusat viirusetõrjet, et tuvastada ja eemaldada igat tüüpi arvutisse nuuskimise eesmärgil installitud pahavara. Nuusutaja arvutist täielikuks eemaldamiseks tuleb aga kustutada absoluutselt kõik sellega seotud kaustad ja failid. Samuti on tungivalt soovitatav kasutada võrguskanneriga viirusetõrjet, mis kontrollib põhjalikult kohalikku võrku haavatavuste suhtes ja juhendab nende leidmisel edasisi toiminguid.
Esimene asi, mida kasutaja saab nuusutajate eest kaitsta, on kasutada kvaliteetset viirusetõrjet, näiteks tasuta Avast viirusetõrjet, mis suudab kogu võrku turvaprobleemide suhtes põhjalikult skannida. Täiendav ja väga tõhus viis teabe nuuskimise eest kaitsmiseks on kõigi võrgus saadetud ja vastuvõetud andmete, sealhulgas meilide, krüpteerimine. mail. Avast SecureLine võimaldab teil turvaliselt krüpteerida kõik andmevahetused ja sooritada võrgutoiminguid 100% anonüümsena.
Programm Wireshark on suurepärane abiline neile kasutajatele, kes peavad läbi viima võrgupakettide üksikasjalikku analüüsi - arvutivõrgu liiklust. Nuusutaja suhtleb hõlpsalt selliste tavaliste protokollidega nagu netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 ja paljud teised. Analüüsi käigus võimaldab see vastavalt kindlale protokollile eraldada võrgupaketi sobivateks komponentideks ja kuvada ekraanil loetavat infot numbrilisel kujul.
toetab tohutul hulgal edastatud ja vastuvõetud teabe erinevaid vorminguid ning suudab avada faile, mida kasutavad teised utiliidid. Tööpõhimõte seisneb selles, et võrgukaart läheb leviedastusrežiimi ja hakkab pealtkuulama võrgupakette, mis on selle nähtavusalal. Võib töötada programmina wifi pakettide pealtkuulamiseks.
Pärast wiresharki käivitamist näete ekraanil programmi peamenüüd, mis asub akna ülaosas. Seda kasutatakse utiliidi juhtimiseks. Kui teil on vaja laadida faile, mis salvestavad andmeid eelmistes seanssides püütud pakettide kohta, samuti salvestada andmeid teiste uues seansis püütud pakettide kohta, siis vajate selleks vahekaarti "Fail".
Võrgupakettide püüdmise funktsiooni käivitamiseks peab kasutaja klõpsama ikoonil "Püüdmine", seejärel leidma spetsiaalse menüü jaotise "Liidesed", mille abil saate avada eraldi akna "Wireshark Capture Interfaces", kus kõik saadaolevad võrguliidesed peaksid olema näidatakse, mille kaudu püütakse vajalikud andmepaketid. Kui programm (nuusutaja) suudab tuvastada ainult ühe sobiva liidese, kuvab see ekraanil kogu selle olulise teabe.
Utiliidi töö tulemused on otsesed tõendid selle kohta, et isegi kui kasutajad ei tegele (teatud ajal) iseseisvalt mis tahes andmete edastamisega, ei peatu teabevahetus võrgus. Kohaliku võrgu toimimise põhimõte seisneb ju selles, et selle töörežiimis hoidmiseks vahetavad selle kõik elemendid (arvuti, lüliti ja muud seadmed) pidevalt üksteisega teenuseteavet, seetõttu on sellised võrgutööriistad mõeldud pealtkuulamiseks. sellised paketid.
Linuxi süsteemide jaoks on olemas ka versioon.
Tuleb märkida, et Nuusutaja on võrguadministraatoritele äärmiselt kasulik ja arvutiturbeteenused, sest utiliit võimaldab tuvastada potentsiaalselt kaitsmata võrgusõlmed – tõenäolised piirkonnad, mida häkkerid võivad rünnata.
Lisaks otsesele otstarbele saab Wiresharki kasutada võrguliikluse jälgimise ja edasise analüüsimise vahendina, et korraldada rünnak võrgu kaitsmata aladele, sest pealtkuulatud liiklust saab kasutada erinevate eesmärkide saavutamiseks.
Selles artiklis vaatleme Windows OS-i jaoks lihtsa nuusutaja loomist.
Kõik huvilised, tere tulemast kassile.
Loodan, et see on teile huvitav.
Miks seda vaja võib minna:
Kuidas nii? Väga lihtne.
Lihtsa võrgurakenduse võrguanalüsaatoriks muutmise põhisamm on võrguliidese lülitumine promiscuous-režiimi, mis võimaldab sellel vastu võtta teistele võrguliidestele adresseeritud pakette. See režiim sunnib võrgukaarti aktsepteerima kõiki kaadreid, olenemata sellest, kellele need võrgus on adresseeritud.
Alates operatsioonisüsteemist Windows 2000 (NT 5.0) muutus programmi loomine võrgusegmendi kuulamiseks väga lihtsaks, kuna selle võrgudraiver võimaldab teil määrata pesa kõiki pakette vastu võtma.
Lase käia. Teatavasti koosneb IP-pakett päisest, teenuseinfost ja tegelikult ka andmetest. Soovitan teil oma teadmiste värskendamiseks siia vaadata. Kirjeldame IP-päist struktuuri kujul (tänu suurepärasele artiklile RSDN-i kohta):
Põhimõtteliselt võite minna kaugemale ja kirjeldada kõigi ülaltoodud järgmiste protokollide päiseid. Selleks tuleb põldu analüüsida protokolli struktuuris IPpäis. Vaadake näidiskoodi (jah, seal peaks olema lüliti, kurat!), kus päis on värviline olenevalt sellest, millise protokolli pakett on IP-sse kapseldanud:
/* * Paketi esiletõstmine värviga */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // kui pakett ei ole tühi muu SetConsoleTextColor(0x07) ; // tühi pakett if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // paketi tagastamiseks ddr == native h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "native" vastuvõtupakett ) if (h->protokoll == PROT_ICMP || == PROT_ICMP (0x70) ; // ICMP pakett ) else if(h->protocol == PROT_IP || h->protokoll == 115) ( SetConsoleTextColor(0x4F); // IP-in-IP pakett, L2TP ) else if(h - >protokoll == 53 || h->protokoll == 56) ( SetConsoleTextColor(0x4C); // TLS, IP krüptimisega ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
See jääb aga oluliselt väljapoole käesoleva artikli ulatust. Meie koolitusnäite jaoks piisab, kui vaadata nende hostide IP-aadresse, kust ja kuhu liiklus tuleb, ning arvutada selle summa ajaühiku kohta (valmis programm on arhiivis artikli lõpus) .
IP-päiseandmete kuvamiseks peate rakendama funktsiooni datagrammi päise (kuid mitte andmete) stringiks teisendamiseks. Rakenduse näitena saame pakkuda järgmist võimalust:
Esitan lähte- ja kahendkoodi sellisel kujul, nagu see oli mitu aastat tagasi. Nüüd kardan seda vaadata ja ometi on see üsna loetav (loomulikult ei saa nii enesekindel olla). Kompileerimiseks piisab isegi Visual Studio Express 2005-st.
Millega me lõpuks jõudsime:
SmartSniff võimaldab teil võrguliiklust pealt kuulata ja selle sisu kuvada ASCII-vormingus. Programm püüab kinni võrguadapterit läbivad paketid ja kuvab pakettide sisu teksti kujul (http, pop3, smtp, ftp protokollid) ja kuueteistkümnendsüsteemis. TCP/IP-pakettide hõivamiseks kasutab SmartSniff järgmisi tehnikaid: töötlemata pesad – RAW-soklid, WinCap Capture Driver ja Microsoft Network Monitor Driver. Programm toetab vene keelt ja seda on lihtne kasutada.
![]() |
SmartSniff kuvab järgmise teabe: protokolli nimi, kohalik ja kaugaadress, kohalik ja kaugport, kohalik sõlm, teenuse nimi, andmemaht, kogumaht, hõivamise aeg ja viimase paketi aeg, kestus, kohalik ja kaug-MAC-aadress, riigid ja andmepakett sisu . Programmil on paindlikud sätted, see rakendab püüdmisfiltri funktsiooni, http-vastuste lahtipakkimist, IP-aadresside teisendamist, utiliit on süsteemisalve minimeeritud. SmartSniff loob paketivoogude aruande HTML-lehena. Programm suudab eksportida TCP/IP-vooge.