Informācija (EN):
SmartSniff ir tīkla uzraudzības utilīta, kas ļauj tvert TCP/IP paketes, kas iet caur jūsu tīkla adapteri, un skatīt uzņemtos datus kā sarunu secību starp klientiem un serveriem. Varat skatīt TCP/IP sarunas Ascii režīmā (teksta protokoliem, piemēram, HTTP, SMTP, POP3 un FTP.) vai kā hex dump. (neteksta bāzes protokoliem, piemēram, DNS)
SmartSniff piedāvā 3 metodes TCP/IP pakešu uztveršanai:
Raw Sockets (tikai operētājsistēmai Windows 2000/XP vai jaunākai versijai): ļauj tvert TCP/IP paketes tīklā, neinstalējot uztveršanas draiveri. Šai metodei ir daži ierobežojumi un problēmas.
WinPcap Capture Driver: ļauj tvert TCP/IP paketes visās Windows operētājsistēmās. (Windows 98/ME/NT/2000/XP/2003/Vista) Lai to izmantotu, no šīs vietnes ir jālejupielādē un jāinstalē WinPcap Capture Driver. (WinPcap ir bezmaksas atvērtā pirmkoda uztveršanas draiveris.)
Šī metode parasti ir vēlamais veids, kā uztvert TCP/IP paketes, izmantojot SmartSniff, un tā darbojas labāk nekā Raw Sockets metode.
Microsoft tīkla monitora draiveris (tikai operētājsistēmai Windows 2000/XP/2003): Microsoft nodrošina bezmaksas uztveršanas draiveri operētājsistēmā Windows 2000/XP/2003, ko var izmantot SmartSniff, taču šis draiveris nav instalēts pēc noklusējuma, un tas ir jāinstalē manuāli. to, izmantojot vienu no šīm opcijām:
1. iespēja: instalējiet to no Windows 2000/XP kompaktdiska saskaņā ar Microsoft vietnē sniegtajiem norādījumiem.
2. iespēja (tikai XP) : lejupielādējiet un instalējiet Windows XP 2. servisa pakotnes atbalsta rīkus. Viens no šīs pakotnes rīkiem ir netcap.exe. Palaižot šo rīku pirmo reizi, jūsu sistēmā tiks automātiski instalēts tīkla monitora draiveris.
Microsoft tīkla monitora draiveris 3: Microsoft nodrošina jaunu Microsoft tīkla monitora draivera (3.x) versiju, kas tiek atbalstīta arī operētājsistēmā Windows 7/Vista/2008. Sākot ar versiju 1.60, SmartSniff var izmantot šo draiveri, lai uztvertu tīkla trafiku.
Microsoft Network Monitor (3.x) jaunā versija ir pieejama lejupielādei no Microsoft vietnes.
Sistēmas prasības
SmartSniff var tvert TCP/IP paketes jebkurā Windows operētājsistēmas versijā (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8), ja vien ir instalēts WinPcap uztveršanas draiveris un tas pareizi darbojas ar jūsu tīklu. adapteris
Varat arī izmantot SmartSniff ar Microsoft Network Monitor tveršanas draiveri, ja tas ir instalēts jūsu sistēmā.
Operētājsistēmā Windows 2000/XP (vai jaunākā versijā) SmartSniff ļauj arī tvert TCP/IP paketes, neinstalējot nevienu uztveršanas draiveri, izmantojot metodi “Raw Sockets”. Tomēr šai uztveršanas metodei ir daži ierobežojumi un problēmas:
* Izejošās UDP un ICMP paketes netiek tvertas.
* Operētājsistēmā Windows XP SP1 izejošās paketes vispār netiek tvertas — pateicoties Microsoft kļūdai, kas parādījās SP1 atjauninājumā... Šī kļūda tika novērsta SP2 atjauninājumā, taču operētājsistēmā Vista Microsoft atgrieza XP/SP1 izejošo pakešu kļūdu.
* Operētājsistēmā Windows Vista/7/8: ņemiet vērā, ka Raw Sockets metode nedarbojas pareizi visās sistēmās. Tā nav SmartSniff kļūda, bet gan Windows operētājsistēmas API. Ja redzat tikai izejošo trafiku, mēģiniet izslēgt Windows ugunsmūri vai pievienojiet smsniff.exe Windows ugunsmūra atļauto programmu sarakstam.
Sniferis ne vienmēr ir ļaunprātīgs. Faktiski šāda veida programmatūru bieži izmanto, lai analizētu tīkla trafiku, lai atklātu un novērstu anomālijas un nodrošinātu vienmērīgu darbību. Tomēr sniffer var izmantot ļaunprātīgos nolūkos. Sniffers analizē visu, kas tiem iet cauri, tostarp nešifrētās paroles un akreditācijas datus, lai hakeri, kuriem ir piekļuve snifferim, var iegūt lietotāju personisko informāciju. Turklāt sniffer var uzstādīt jebkurā datorā, kas savienots ar lokālo tīklu, bez nepieciešamības to instalēt pašā ierīcē - citiem vārdiem sakot, to nevar noteikt visā savienojuma laikā.
Hakeri izmanto sniffers, lai nozagtu vērtīgus datus, uzraugot tīkla darbību un vācot personisko informāciju par lietotājiem. Parasti uzbrucējus visvairāk interesē lietotāju paroles un akreditācijas dati, lai piekļūtu tiešsaistes banku un tiešsaistes veikalu kontiem. Visbiežāk hakeri sniffers uzstāda vietās, kur tiek izplatīti nedroši Wi-Fi savienojumi, piemēram, kafejnīcās, viesnīcās un lidostās. Sniffers var maskēties kā tīklam pievienota ierīce tā sauktajā viltošanas uzbrukumā, lai nozagtu vērtīgus datus.
Neautorizētus sniferus ir ārkārtīgi grūti atpazīt virtuāli, jo tos var uzstādīt gandrīz jebkur, radot ļoti nopietnus draudus tīkla drošībai. Parastajiem lietotājiem bieži vien nav iespēju atpazīt, ka snifers izseko viņu tīkla trafiku. Teorētiski ir iespējams instalēt savu sniffer, kas uzraudzītu visu DNS trafiku, vai nav citu sniffētāju, taču parastam lietotājam ir daudz vieglāk instalēt pretsnifēšanas programmatūru vai pretvīrusu risinājumu, kas ietver tīkla aktivitātes aizsardzību, lai apturētu. jebkādu nesankcionētu ielaušanos vai paslēpiet savas tīkla darbības.
Varat izmantot ļoti efektīvu pretvīrusu, lai atklātu un noņemtu visa veida ļaunprātīgu programmatūru, kas ir instalēta jūsu datorā smirdēšanas nolūkos. Tomēr, lai pilnībā noņemtu sniffer no datora, jums ir jāizdzēš pilnīgi visas ar to saistītās mapes un faili. Tāpat ir ļoti ieteicams izmantot pretvīrusu ar tīkla skeneri, kas rūpīgi pārbaudīs vietējā tīkla ievainojamības un norādīs tālākām darbībām, ja tās tiks atrastas.
Pirmā lieta, ko lietotājs var darīt, lai pasargātu sevi no sniffers, ir izmantot augstas kvalitātes antivīrusu, piemēram, bezmaksas antivīrusu Avast, kas spēj rūpīgi skenēt visu tīklu, lai atklātu drošības problēmas. Papildu un ļoti efektīvs veids, kā aizsargāt informāciju no šņaukšanas, ir visu tiešsaistē nosūtīto un saņemto datu, tostarp e-pasta, šifrēšana. pastu. Avast SecureLine ļauj droši šifrēt visu datu apmaiņu un veikt tiešsaistes darbības 100% anonimitātē.
Programma Wireshark būs lielisks palīgs tiem lietotājiem, kuriem jāveic detalizēta tīkla pakešu analīze - datortīkla trafiks. Sniffer viegli mijiedarbojas ar tādiem izplatītiem protokoliem kā netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 un daudzi citi. Analīzes laikā tas ļauj sadalīt tīkla paketi atbilstošos komponentos saskaņā ar noteiktu protokolu un parādīt ekrānā lasāmu informāciju skaitliskā formā.
atbalsta milzīgu skaitu dažādu pārraidītās un saņemtās informācijas formātu un spēj atvērt failus, kurus izmanto citas utilītas. Darbības princips ir tāds, ka tīkla karte pāriet apraides režīmā un sāk pārtvert tīkla paketes, kas atrodas tās redzamības zonā. Var darboties kā programma wifi pakešu pārtveršanai.
Pēc Wireshark palaišanas ekrānā redzēsit programmas galveno izvēlni, kas atrodas loga augšdaļā. To izmanto, lai kontrolētu lietderību. Ja jums ir jāielādē faili, kuros tiek glabāti dati par iepriekšējās sesijās noķertajām paketēm, kā arī jāsaglabā dati par citām paketēm, kas noķertas jaunā sesijā, tad jums būs nepieciešama cilne "Fails".
Lai palaistu tīkla pakešu uztveršanas funkciju, lietotājam jānoklikšķina uz ikonas "Capture", pēc tam jāatrod īpaša izvēlnes sadaļa ar nosaukumu "Interfaces", ar kuru var atvērt atsevišķu "Wireshark Capture Interfaces" logu, kurā vajadzētu būt visām pieejamajām tīkla saskarnēm. tiks parādīts, caur kuru tiks uztvertas nepieciešamās datu paketes. Gadījumā, ja programma (sniffer) spēj noteikt tikai vienu piemērotu interfeisu, tā ekrānā parādīs visu svarīgo informāciju par to.
Lietderības darba rezultāti ir tiešs pierādījums tam, ka pat tad, ja lietotāji (noteiktā laikā) nav neatkarīgi iesaistīti datu pārsūtīšanā, informācijas apmaiņa tīklā neapstājas. Galu galā lokālā tīkla darbības princips ir tāds, ka, lai to uzturētu darba režīmā, katrs tā elements (dators, komutators un citas ierīces) nepārtraukti apmainās ar pakalpojumu informāciju, tāpēc šādi tīkla rīki ir paredzēti, lai pārtvertu. šādas paketes.
Ir arī versija Linux sistēmām.
Jāpiebilst, ka Sniffer ir ļoti noderīgs tīkla administratoriem un datoru drošības pakalpojumus, jo utilīta ļauj identificēt potenciāli neaizsargātus tīkla mezglus — iespējamās zonas, kurām var uzbrukt hakeri.
Papildus tiešajam mērķim Wireshark var izmantot kā rīku tīkla trafika uzraudzībai un tālākai analīzei, lai organizētu uzbrukumu neaizsargātām tīkla zonām, jo pārtverto trafiku var izmantot dažādu mērķu sasniegšanai.
Šajā rakstā mēs aplūkosim vienkārša sniffer izveidi operētājsistēmai Windows OS.
Ikviens interesents, laipni aicināts uz kaķi.
Ceru, ka jums tas liksies interesanti.
Kāpēc tas var būt nepieciešams:
Kā tā? Ļoti vienkārši.
Galvenais solis, lai vienkāršu tīkla lietojumprogrammu pārvērstu par tīkla analizatoru, ir pārslēgt tīkla interfeisu uz izlaiduma režīmu, kas ļaus tai saņemt paketes, kas adresētas citām tīkla saskarnēm. Šis režīms liek tīkla kartei pieņemt visus kadrus neatkarīgi no tā, kam tie ir adresēti tīklā.
Sākot ar operētājsistēmu Windows 2000 (NT 5.0), kļuva ļoti viegli izveidot programmu tīkla segmenta klausīšanai, jo tā tīkla draiveris ļauj iestatīt ligzdu visu pakešu saņemšanai.
Uz priekšu. Ir zināms, ka IP pakete sastāv no galvenes, pakalpojuma informācijas un faktiski datiem. Iesaku ielūkoties šeit, lai atsvaidzinātu savas zināšanas. Aprakstīsim IP galveni struktūras veidā (pateicoties lieliskajam rakstam par RSDN):
Principā varat iet tālāk un aprakstīt visu turpmāko protokolu galvenes, kas atrodas iepriekš. Lai to izdarītu, jums ir jāanalizē lauks protokols struktūrā IP Header. Apskatiet piemēru kodu (jā, tur jābūt slēdzim, sasodīts!), kur galvene ir iekrāsota atkarībā no tā, kādu protokolu pakete ir iekapsulējusi IP:
/* * Pakotnes izcelšana ar krāsu */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // ja pakotne nav tukša cits SetConsoleTextColor(0x07) ; // tukša pakotne if (haddr == h-> src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // atgriež pakotni "dr" = "native" ja h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "vietējā" saņemšanas pakete ) if (h->protocol == PROT_ICMP ||) h->protocol ==ex. (0x70) ; // ICMP pakete ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // IP-in-IP pakete, L2TP ) else if(h - >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP ar šifrēšanu ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
Tomēr tas ievērojami pārsniedz šī raksta darbības jomu. Mūsu apmācības piemērā pietiks apskatīt to resursdatoru IP adreses, no kuriem un uz kuriem nāk trafika, un aprēķināt tā apjomu laika vienībā (pabeigtā programma atrodas arhīvā raksta beigās) .
Lai parādītu IP galvenes datus, ir jāievieš funkcija, kas konvertē datagrammas galveni (bet ne datus) par virkni. Kā ieviešanas piemēru mēs varam piedāvāt šādu iespēju:
Es sniedzu avota un bināro kodu tādu, kāds tas ir, kā tas bija pirms vairākiem gadiem. Tagad man ir bail uz to skatīties, un tomēr, tas ir diezgan lasāms (protams, nevar būt tik pašpārliecināts). Kompilācijai pietiks pat ar Visual Studio Express 2005.
Ar ko mēs nonācām:
SmartSniffļauj pārtvert tīkla trafiku un parādīt tās saturu ASCII formātā. Programma uztver paketes, kas iet caur tīkla adapteri, un parāda pakešu saturu teksta formā (http, pop3, smtp, ftp protokoli) un kā heksadecimālo dump. Lai uztvertu TCP/IP paketes, SmartSniff izmanto šādas metodes: neapstrādātas ligzdas — RAW ligzdas, WinCap Capture Driver un Microsoft Network Monitor Driver. Programma atbalsta krievu valodu un ir viegli lietojama.
![]() |
SmartSniff parāda šādu informāciju: protokola nosaukums, vietējā un attālā adrese, lokālais un attālais ports, lokālais mezgls, pakalpojuma nosaukums, datu apjoms, kopējais lielums, uztveršanas laiks un pēdējās paketes laiks, ilgums, vietējā un attālā MAC adrese, valstis un datu pakete. saturs . Programmai ir elastīgi iestatījumi, tā īsteno uztveršanas filtra funkciju, http atbilžu izpakošanu, IP adrešu pārveidošanu, utilīta tiek samazināta līdz sistēmas teknē. SmartSniff ģenerē pārskatu par pakešu plūsmām kā HTML lapu. Programma var eksportēt TCP/IP straumes.