Informacje (ENG):
SmartSniff to narzędzie do monitorowania sieci, które umożliwia przechwytywanie pakietów TCP/IP przechodzących przez kartę sieciową i przeglądanie przechwyconych danych jako sekwencji rozmów między klientami i serwerami. Możesz przeglądać konwersacje TCP/IP w trybie Ascii (dla protokołów tekstowych, takich jak HTTP, SMTP, POP3 i FTP) lub jako zrzut szesnastkowy. (dla protokołów podstawowych nietekstowych, takich jak DNS)
SmartSniff udostępnia 3 metody przechwytywania pakietów TCP/IP:
Raw Sockets (tylko dla systemu Windows 2000/XP lub nowszego): umożliwia przechwytywanie pakietów TCP/IP w sieci bez instalowania sterownika przechwytywania. Metoda ta ma pewne ograniczenia i problemy.
Sterownik przechwytywania WinPcap: umożliwia przechwytywanie pakietów TCP/IP we wszystkich systemach operacyjnych Windows. (Windows 98/ME/NT/2000/XP/2003/Vista) Aby z niego skorzystać, należy pobrać i zainstalować sterownik WinPcap Capture Driver z tej witryny internetowej. (WinPcap to darmowy sterownik przechwytywania typu open source.)
Ta metoda jest ogólnie preferowanym sposobem przechwytywania pakietów TCP/IP za pomocą SmartSniff i działa lepiej niż metoda Raw Sockets.
Sterownik Microsoft Network Monitor Driver (tylko dla Windows 2000/XP/2003): Firma Microsoft udostępnia bezpłatny sterownik przechwytywania dla systemu Windows 2000/XP/2003, którego może używać SmartSniff, ale ten sterownik nie jest instalowany domyślnie i należy go zainstalować ręcznie to, korzystając z jednej z następujących opcji:
Opcja 1: Zainstaluj go z dysku CD-ROM systemu Windows 2000/XP zgodnie z instrukcjami zawartymi w witrynie internetowej firmy Microsoft
Opcja 2 (tylko XP): Pobierz i zainstaluj narzędzia obsługi dodatku Service Pack 2 dla systemu Windows XP. Jednym z narzędzi w tym pakiecie jest netcap.exe. Kiedy uruchomisz to narzędzie po raz pierwszy, sterownik monitora sieci zostanie automatycznie zainstalowany w twoim systemie.
Sterownik monitora sieci Microsoft 3: Firma Microsoft udostępnia nową wersję sterownika monitora sieci Microsoft (3.x), która jest również obsługiwana w systemie Windows 7/Vista/2008. Począwszy od wersji 1.60, SmartSniff może używać tego sterownika do przechwytywania ruchu sieciowego.
Nową wersję programu Microsoft Network Monitor (3.x) można pobrać z witryny internetowej firmy Microsoft.

wymagania systemowe
SmartSniff może przechwytywać pakiety TCP/IP w dowolnej wersji systemu operacyjnego Windows (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8), o ile sterownik przechwytywania WinPcap jest zainstalowany i działa poprawnie z Twoją siecią adapter

Możesz także użyć SmartSniff ze sterownikiem przechwytywania Microsoft Network Monitor, jeśli jest on zainstalowany w twoim systemie.
W systemie Windows 2000/XP (lub nowszym) SmartSniff umożliwia także przechwytywanie pakietów TCP/IP bez instalowania jakiegokolwiek sterownika przechwytywania, przy użyciu metody „Raw Sockets”. Jednak ta metoda przechwytywania ma pewne ograniczenia i problemy:
* Wychodzące pakiety UDP i ICMP nie są przechwytywane.
* W systemie Windows XP SP1 pakiety wychodzące nie są w ogóle przechwytywane – dzięki błędowi Microsoftu, który pojawił się w aktualizacji SP1… Ten błąd został naprawiony w aktualizacji SP2, ale w systemie Vista Microsoft zwrócił błąd dotyczący pakietów wychodzących w XP/SP1.
* W systemie Windows Vista/7/8: Należy pamiętać, że metoda Raw Sockets nie działa poprawnie na wszystkich systemach. Nie jest to błąd w SmartSniff, ale w API systemu operacyjnego Windows. Jeśli widzisz tylko ruch wychodzący, spróbuj wyłączyć zaporę systemu Windows lub dodaj smsniff.exe do listy dozwolonych programów zapory systemu Windows.

Sniffer nie zawsze jest złośliwy. Tak naprawdę tego typu oprogramowanie jest często wykorzystywane do analizy ruchu sieciowego w celu wykrywania i eliminowania anomalii oraz zapewnienia płynnego działania. Jednakże sniffera można używać w złych zamiarach. Sniffery analizują wszystko, co przez nie przechodzi, w tym niezaszyfrowane hasła i dane uwierzytelniające, dzięki czemu hakerzy mający dostęp do sniffera mogą uzyskać dane osobowe użytkowników. Ponadto sniffer można zainstalować na dowolnym komputerze podłączonym do sieci lokalnej, bez konieczności instalowania go na samym urządzeniu - innymi słowy, nie można go wykryć przez cały czas połączenia.

Skąd się biorą sniffery?

Hakerzy wykorzystują sniffery do kradzieży cennych danych poprzez monitorowanie aktywności sieciowej i zbieranie danych osobowych użytkowników. Zazwyczaj osoby atakujące są najbardziej zainteresowane hasłami i danymi uwierzytelniającymi użytkowników, aby uzyskać dostęp do kont bankowości internetowej i sklepów internetowych. Najczęściej hakerzy instalują sniffery w miejscach, w których dystrybuowane są niezabezpieczone połączenia Wi-Fi, np. w kawiarniach, hotelach i na lotniskach. Sniffery mogą podszywać się pod urządzenie podłączone do sieci w ramach tak zwanego ataku polegającego na fałszowaniu i kradzieży cennych danych.

Jak rozpoznać sniffera?

Nieautoryzowane sniffery są niezwykle trudne do rozpoznania wirtualnie, ponieważ można je zainstalować niemal wszędzie, stwarzając bardzo poważne zagrożenie dla bezpieczeństwa sieci. Zwykli użytkownicy często nie mają szansy rozpoznać, że sniffer śledzi ich ruch sieciowy. Teoretycznie możliwe jest zainstalowanie własnego sniffera, który monitorowałby cały ruch DNS pod kątem obecności innych snifferów, ale dla przeciętnego użytkownika znacznie łatwiej jest zainstalować oprogramowanie antysniffingowe lub rozwiązanie antywirusowe, które obejmuje ochronę aktywności sieciowej w celu zatrzymania nieautoryzowanego włamania lub ukryj swoją aktywność sieciową.

Jak usunąć sniffera

Możesz użyć bardzo skutecznego programu antywirusowego, aby wykryć i usunąć wszystkie rodzaje złośliwego oprogramowania zainstalowanego na komputerze w celu podsłuchiwania. Aby jednak całkowicie usunąć sniffera ze swojego komputera, musisz usunąć absolutnie wszystkie powiązane z nim foldery i pliki. Zdecydowanie zaleca się również korzystanie z programu antywirusowego ze skanerem sieciowym, który dokładnie sprawdzi sieć lokalną pod kątem luk i poinstruuje o dalszych działaniach w przypadku ich wykrycia.

Jak nie stać się ofiarą sniffera

• Szyfruj wszystkie informacje, które wysyłasz i otrzymujesz
• Przeskanuj sieć lokalną pod kątem luk w zabezpieczeniach
• Korzystaj wyłącznie ze zweryfikowanych i bezpiecznych sieci Wi-Fi

Chroń się przed snifferami

Pierwszą rzeczą, jaką użytkownik może zrobić, aby chronić się przed snifferami, jest użycie wysokiej jakości programu antywirusowego, takiego jak bezpłatny program antywirusowy Avast, który jest w stanie dokładnie przeskanować całą sieć pod kątem problemów związanych z bezpieczeństwem. Dodatkowym i bardzo skutecznym sposobem ochrony informacji przed podsłuchiwaniem jest szyfrowanie wszystkich danych wysyłanych i odbieranych online, w tym e-maili. Poczta. Avast SecureLine pozwala bezpiecznie szyfrować całą wymianę danych i wykonywać działania online przy 100% anonimowości.

Program Wireshark będzie doskonałym pomocnikiem dla tych użytkowników, którzy potrzebują szczegółowej analizy pakietów sieciowych - ruchu w sieci komputerowej. Sniffer z łatwością współdziała z takimi popularnymi protokołami jak netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 i wiele innych. Podczas analizy pozwala rozdzielić pakiet sieciowy na odpowiednie komponenty, według określonego protokołu i wyświetlić na ekranie czytelną informację w postaci numerycznej.
obsługuje ogromną liczbę różnych formatów przesyłanych i odbieranych informacji oraz jest w stanie otwierać pliki używane przez inne narzędzia. Zasada działania jest taka, że ​​karta sieciowa przechodzi w tryb rozgłoszeniowy i rozpoczyna przechwytywanie pakietów sieciowych znajdujących się w jej obszarze widoczności. Może pracować jako program do przechwytywania pakietów Wi-Fi.

Jak korzystać z Wiresharka

Program bada zawartość pakietów informacyjnych przechodzących przez sieć. Aby uruchomić i wykorzystać wyniki sniffera, nie potrzebujesz żadnej szczególnej wiedzy, wystarczy otworzyć go w menu „Start” lub kliknąć ikonę na pulpicie (uruchomienie go nie różni się od żadnego innego programu Windows) . Specjalna funkcja narzędzia pozwala mu przechwytywać pakiety informacji, dokładnie odszyfrowywać ich zawartość i zwracać je użytkownikowi do analizy.

Po uruchomieniu Wireshark na ekranie, który znajduje się w górnej części okna, zobaczysz menu główne programu. Służy do sterowania narzędziem. Jeśli chcesz załadować pliki przechowujące dane o pakietach przechwyconych w poprzednich sesjach, a także zapisać dane o innych pakietach przechwyconych w nowej sesji, będziesz potrzebować do tego zakładki „Plik”.

Aby uruchomić funkcję przechwytywania pakietów sieciowych, użytkownik musi kliknąć ikonę „Przechwytywanie”, a następnie znaleźć specjalną sekcję menu o nazwie „Interfejsy”, za pomocą której można otworzyć osobne okno „Interfejsy przechwytywania Wireshark”, w którym powinny znajdować się wszystkie dostępne interfejsy sieciowe zostanie wyświetlony, przez który przechwycone zostaną niezbędne pakiety danych. W przypadku gdy program (sniffer) będzie w stanie wykryć tylko jeden odpowiedni interfejs, wyświetli na ekranie wszystkie istotne informacje na jego temat.

Wyniki pracy przedsiębiorstwa są bezpośrednim dowodem na to, że nawet jeśli użytkownicy nie są samodzielnie zaangażowani (w danym momencie) w przesyłanie jakichkolwiek danych, wymiana informacji w sieci nie ustaje. Przecież zasada działania sieci lokalnej jest taka, że ​​aby utrzymać ją w trybie pracy, każdy z jej elementów (komputer, przełącznik i inne urządzenia) w sposób ciągły wymienia między sobą informacje serwisowe, dlatego takie narzędzia sieciowe mają za zadanie przechwytywać takie pakiety.

Dostępna jest również wersja dla systemów Linux.

Należy zauważyć że Sniffer jest niezwykle przydatny dla administratorów sieci oraz usługi bezpieczeństwa komputerowego, ponieważ narzędzie pozwala zidentyfikować potencjalnie niechronione węzły sieciowe - prawdopodobne obszary, które mogą zostać zaatakowane przez hakerów.

Oprócz swojego bezpośredniego przeznaczenia Wireshark może służyć jako narzędzie do monitorowania i dalszej analizy ruchu sieciowego w celu zorganizowania ataku na niezabezpieczone obszary sieci, ponieważ przechwycony ruch można wykorzystać do osiągnięcia różnych celów.

W tym artykule przyjrzymy się tworzeniu prostego sniffera dla systemu operacyjnego Windows.
Wszystkich zainteresowanych zapraszamy do kota.

Wstęp

Cel: napisz program, który będzie przechwytywał ruch sieciowy (Ethernet, WiFi) przesyłany protokołem IP.
Udogodnienia: Visual Studio 2005 lub nowszy.
Opisane tutaj podejście nie jest własnością autora i jest z powodzeniem stosowane w wielu programach komercyjnych, a także całkowicie darmowych (witaj, GPL).
Praca ta przeznaczona jest przede wszystkim dla początkujących w programowaniu sieciowym, którzy posiadają jednak przynajmniej podstawową wiedzę z zakresu gniazd w ogóle, a gniazd Windows w szczególności. Będę tutaj często pisać rzeczy powszechnie znane, bo tematyka jest konkretna, jeśli coś pominę, będzie mi się kręciło w głowie.

Mam nadzieję, że uznasz to za interesujące.

Teoria (czytanie nie jest wymagane, ale zalecane)

W chwili obecnej zdecydowana większość współczesnych sieci informatycznych opiera się na fundamencie stosu protokołów TCP/IP. Stos protokołów TCP/IP (protokół kontroli transmisji/protokół internetowy) to zbiorcza nazwa protokołów sieciowych różnych poziomów stosowanych w sieciach. W tym artykule będziemy głównie zainteresowani protokołem IP - routowanym protokołem sieciowym używanym do niegwarantowanego dostarczania danych podzielonych na tzw. pakiety (bardziej poprawne określenie to datagram) z jednego węzła sieci do drugiego.
Szczególnie interesujące są dla nas pakiety IP przeznaczone do przesyłania informacji. Jest to dość wysoki poziom modelu danych sieci OSI, kiedy można odizolować się od urządzenia i nośnika transmisji danych, operując jedynie reprezentacją logiczną.
Jest całkowicie logiczne, że prędzej czy później powinny pojawić się narzędzia do przechwytywania, monitorowania, rejestrowania i analizowania ruchu sieciowego. Narzędzia takie nazywane są zwykle analizatorami ruchu, analizatorami pakietów lub snifferami (z angielskiego na sniff - sniff). Jest to analizator ruchu sieciowego, program lub urządzenie sprzętowo-programowe przeznaczone do przechwytywania, a następnie analizowania lub jedynie analizowania ruchu sieciowego przeznaczonego dla innych węzłów.

Praktyka (rozmowa merytoryczna)

W tej chwili powstało całkiem sporo oprogramowania do słuchania ruchu. Najsłynniejszy z nich: Wireshark. Oczywiście celem nie jest zbieranie laurów - nas interesuje zadanie przechwytywania ruchu poprzez zwykłe „nasłuchiwanie” interfejsu sieciowego. Ważne jest, aby zrozumieć, że nie będziemy hakować i przechwytywać nieznajomy ruch drogowy. Musimy tylko przeglądać i analizować ruch przechodzący przez naszego hosta.

Dlaczego może to być potrzebne:

1. Wyświetl aktualny przepływ ruchu przez połączenie sieciowe (przychodzący/wychodzący/ogółem).
2. Przekieruj ruch do późniejszej analizy na inny host.
3. Teoretycznie można spróbować za jego pomocą zhakować sieć Wi-Fi (nie będziemy tego robić, prawda?).

W przeciwieństwie do Wireshark, który jest oparty na bibliotece libpcap/WinPcap, nasz analizator nie będzie korzystał z tego sterownika. Co więcej, w ogóle nie będziemy mieli sterownika i nie będziemy pisać własnego NDIS (och, horror!). Możesz o tym przeczytać w tym temacie. Będzie po prostu biernym obserwatorem, korzystającym tylko Biblioteka WinSock. Korzystanie ze sterownika w tym przypadku jest zbędne.

Jak to? Bardzo prosta.
Kluczowym krokiem w przekształceniu prostej aplikacji sieciowej w analizator sieci jest przełączenie interfejsu sieciowego w tryb promiscious, który umożliwi mu odbieranie pakietów adresowanych do innych interfejsów w sieci. Tryb ten wymusza na karcie sieciowej akceptowanie wszystkich ramek, niezależnie od tego, do kogo są adresowane w sieci.

Począwszy od systemu Windows 2000 (NT 5.0) utworzenie programu do nasłuchiwania segmentu sieci stało się bardzo łatwe, ponieważ jego sterownik sieciowy pozwala ustawić gniazdo tak, aby odbierało wszystkie pakiety.

Włączanie trybu rozwiązłego

długa flaga = 1; gniazdo GNIAZDO; #define SIO_RCVALL 0x98000001 ioctlsocket(socket, SIO_RCVALL, &RS_Flag);
Nasz program działa na pakietach IP i wykorzystuje bibliotekę Windows Sockets w wersji 2.2 oraz surowe gniazda. Aby uzyskać bezpośredni dostęp do pakietu IP, należy utworzyć gniazdo w następujący sposób:

Tworzenie surowego gniazda

s = gniazdo(AF_INET, SOCK_RAW, IPPROTO_IP);
Tutaj zamiast stałej SOCK_STREAM(protokół TCP) lub SOCK_DGRAM(protokół UDP), używamy wartości SOCK_RAW. Ogólnie rzecz biorąc, praca z surowymi gniazdami jest interesująca nie tylko z punktu widzenia przechwytywania ruchu. Tak naprawdę mamy pełną kontrolę nad kształtem opakowania. A raczej tworzymy go ręcznie, co pozwala na przykład wysłać konkretny pakiet ICMP...

Zacząć robić. Wiadomo, że pakiet IP składa się z nagłówka, informacji o usłudze i tak naprawdę danych. Radzę zajrzeć tutaj, aby odświeżyć swoją wiedzę. Opiszmy nagłówek IP w formie struktury (dzięki doskonałemu artykułowi na RSDN):

Opis struktury pakietów IP

typedef struct _IPHeader ( unsigned char ver_len; // wersja i długość nagłówka unsigned char tos; // typ usługi unsigned krótka długość; // długość całego pakietu unsigned short id; // Id unsigned short flgs_offset; // flagi i przesunięcie unsigned char ttl ; // czas życia unsigned char protokół; // protokół unsigned short xsum; // suma kontrolna unsigned long src; // adres IP nadawcy unsigned long dest; // docelowy adres IP unsigned short *params; // parametry (do 320 bity) unsigned char *data; // dane (do 65535 oktetów) )IPHeader;
Główna funkcja algorytmu nasłuchiwania będzie wyglądać następująco:

Funkcja przechwytywania pojedynczego pakietu

IPHeader* RS_Sniff() ( IPHeader *hdr; int liczba = 0; liczba = recv(RS_SSocket, (char*)&RS_Buffer, sizeof(RS_Buffer), 0); if (count >= sizeof(IPHeader)) ( hdr = (LPIPHeader )malloc(MAX_PACKET_SIZE); memcpy(hdr, RS_Buffer, MAX_PACKET_SIZE); RS_UpdateNetStat(count, hdr); return hdr; ) else return 0; )
Tutaj wszystko jest proste: fragment danych odbieramy za pomocą standardowej funkcji gniazda recw, a następnie skopiuj je do struktury takiej jak IPheader.
I na koniec rozpoczynamy niekończącą się pętlę przechwytywania pakietów:

Przechwytujmy wszystkie pakiety docierające do naszego interfejsu sieciowego

while (true) ( ​​​​IPHeader* hdr = RS_Sniff(); // przetwarzanie pakietu IP if (hdr) ( // wydrukuj nagłówek w konsoli ) )

Trochę offtopic

Tutaj i poniżej autor umieścił przedrostek RS_ (z Raw Sockets) dla niektórych ważnych funkcji i zmiennych. Zrobiłem projekt 3-4 lata temu i wpadłem na szalony pomysł napisania pełnoprawnej biblioteki do pracy z surowymi gniazdami. Jak to często bywa, po uzyskaniu jakichś znaczących dla autora wyników, zapał opadł, a sprawa nie schodziła dalej niż na przykład szkoleniowy.

W zasadzie można pójść dalej i opisać nagłówki wszystkich kolejnych protokołów znajdujących się powyżej. Aby to zrobić, musisz przeanalizować pole protokół w strukturze IPheader. Spójrz na przykładowy kod (tak, powinien być przełącznik, do cholery!), w którym nagłówek jest kolorowy w zależności od protokołu, jaki pakiet zahermetyzował w IP:

/* * Podświetlanie pakietu kolorem */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // jeśli pakiet nie jest pusty else SetConsoleTextColor(0x07) ; // pusty pakiet if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // „natywny” pakiet dla zwrotu) else if (haddr == h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // „natywny” pakiet odebrania ) if (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP) ( SetConsoleTextColor (0x70) ; // Pakiet ICMP ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // Pakiet IP-in-IP, L2TP ) else if(h - >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP z szyfrowaniem ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )

Jednak wykracza to znacznie poza zakres tego artykułu. Dla naszego przykładu szkoleniowego wystarczy spojrzeć na adresy IP hostów, z których i do których przychodzi ruch, i obliczyć jego wielkość w jednostce czasu (gotowy program znajduje się w archiwum na końcu artykułu) .

Aby wyświetlić dane nagłówka IP, musisz zaimplementować funkcję konwertującą nagłówek (ale nie dane) datagramu na ciąg znaków. Jako przykład realizacji możemy zaproponować następującą opcję:

Konwersja nagłówka IP na ciąg znaków

inline char* iph2str(IPHeader *iph) ( const int BUF_SIZE = 1024; char *r = (char*)malloc(BUF_SIZE); memset((void*)r, 0, BUF_SIZE); sprintf(r, "ver=% d hlen=%d tos=%d len=%d id=%d flags=0x%X przesunięcie=%d ttl=%dms prot=%d crc=0x%X src=%s dest=%s", BYTE_H (iph->ver_len), BYTE_L(iph->ver_len)*4, iph->tos, ntohs(iph->length), ntohs(iph->id), IP_FLAGS(ntohs(iph->flgs_offset)), IP_OFFSET (ntohs(iph->flgs_offset)), iph->ttl, iph->protocol, ntohs(iph->xsum), nethost2str(iph->src), nethost2str(iph->dest)); return r; )
Bazując na podstawowych informacjach podanych powyżej otrzymujemy ten mały program (przerażająca nazwa ss, skrót od prostego sniffera), który implementuje lokalne nasłuchiwanie ruchu IP. Jego interfejs pokazano poniżej na rysunku.

Podaję kod źródłowy i binarny w stanie takim, jakim był kilka lat temu. Teraz boję się na to patrzeć, a mimo to całkiem czytelne (oczywiście nie można być tak pewnym siebie). Do kompilacji wystarczy nawet Visual Studio Express 2005.

Co nam wyszło:

• Sniffer działa w trybie użytkownika, ale wymaga uprawnień administratora.
• Pakiety nie są filtrowane i są wyświetlane tak, jak są (możesz dodać własne filtry - sugeruję szczegółowe zapoznanie się z tym tematem w następnym artykule, jeśli jesteś zainteresowany).
• Przechwytywany jest także ruch Wi-Fi (wszystko zależy od konkretnego modelu chipa, może u Ciebie nie działać, tak jak u mnie kilka lat temu), chociaż istnieje AirPcap, który potrafi to zrobić znakomicie, ale kosztuje.
• Cały strumień datagramów jest logowany do pliku (archiwum załączone na końcu artykułu).
• Program działa jako serwer na porcie 2000. Możesz połączyć się z hostem za pomocą narzędzia telnet i monitorować przepływ ruchu. Liczba połączeń jest ograniczona do dwudziestu (kod nie jest mój, znalazłem go w Internecie i wykorzystałem do eksperymentów; nie usunąłem go - szkoda)

Dziękuję za uwagę, mieszkańcom Chabrowska i Chabrowska oraz wszystkim, gratuluję Wesołych Świąt!

InteligentnySniff umożliwia przechwytywanie ruchu sieciowego i wyświetlanie jego zawartości w formacie ASCII. Program przechwytuje pakiety przechodzące przez kartę sieciową i wyświetla zawartość pakietów w formie tekstowej (protokoły http, pop3, smtp, ftp) oraz jako zrzut szesnastkowy. Do przechwytywania pakietów TCP/IP SmartSniff wykorzystuje następujące techniki: gniazda surowe - gniazda RAW, sterownik przechwytywania WinCap i sterownik monitora sieci Microsoft. Program obsługuje język rosyjski i jest łatwy w obsłudze.

Program sniffer do przechwytywania pakietów

SmartSniff wyświetla następujące informacje: nazwę protokołu, adres lokalny i zdalny, port lokalny i zdalny, węzeł lokalny, nazwę usługi, ilość danych, całkowity rozmiar, czas przechwytywania i czas ostatniego pakietu, czas trwania, lokalny i zdalny adres MAC, kraje i pakiet danych zawartość . Program ma elastyczne ustawienia, implementuje funkcję filtra przechwytywania, rozpakowywania odpowiedzi HTTP, konwersji adresów IP, narzędzie jest zminimalizowane do zasobnika systemowego. SmartSniff generuje raport o przepływach pakietów w postaci strony HTML. Program może eksportować strumienie TCP/IP.