Informácie (ENG):
SmartSniff je nástroj na monitorovanie siete, ktorý vám umožňuje zachytávať pakety TCP/IP, ktoré prechádzajú cez váš sieťový adaptér, a prezerať zachytené údaje ako sekvenciu konverzácií medzi klientmi a servermi. Konverzácie TCP/IP môžete zobraziť v režime Ascii (pre textové protokoly, ako sú HTTP, SMTP, POP3 a FTP.) alebo ako hexadecimálny výpis. (pre netextové základné protokoly, ako je DNS)
SmartSniff poskytuje 3 metódy na zachytávanie paketov TCP/IP:
Raw Sockets (iba pre Windows 2000/XP alebo vyšší): Umožňuje zachytávať pakety TCP/IP vo vašej sieti bez inštalácie ovládača zachytávania. Táto metóda má určité obmedzenia a problémy.
WinPcap Capture Driver: Umožňuje zachytávať pakety TCP/IP na všetkých operačných systémoch Windows. (Windows 98/ME/NT/2000/XP/2003/Vista) Aby ste ho mohli používať, musíte si stiahnuť a nainštalovať WinPcap Capture Driver z tejto webovej stránky. (WinPcap je bezplatný ovládač snímania s otvoreným zdrojom.)
Táto metóda je vo všeobecnosti preferovaným spôsobom zachytávania paketov TCP/IP pomocou SmartSniff a funguje lepšie ako metóda Raw Sockets.
Ovládač monitora siete od spoločnosti Microsoft (iba pre Windows 2000/XP/2003): Spoločnosť Microsoft poskytuje bezplatný ovládač snímania pod Windows 2000/XP/2003, ktorý môže používať SmartSniff, ale tento ovládač nie je nainštalovaný predvolene a musíte ho nainštalovať manuálne pomocou jednej z nasledujúcich možností:
Možnosť 1: Nainštalujte ho z disku CD-ROM systému Windows 2000/XP podľa pokynov na webovej lokalite spoločnosti Microsoft
Možnosť 2 (len XP) : Stiahnite si a nainštalujte nástroje podpory Windows XP Service Pack 2. Jedným z nástrojov v tomto balíku je netcap.exe. Pri prvom spustení tohto nástroja sa do vášho systému automaticky nainštaluje ovládač Network Monitor Driver.
Microsoft Network Monitor Driver 3: Spoločnosť Microsoft poskytuje novú verziu ovládača Microsoft Network Monitor Driver (3.x), ktorý je podporovaný aj pod Windows 7/Vista/2008. Od verzie 1.60 môže SmartSniff použiť tento ovládač na zachytenie sieťovej prevádzky.
Nová verzia programu Microsoft Network Monitor (3.x) je k dispozícii na stiahnutie z webovej lokality spoločnosti Microsoft.
Požiadavky na systém
SmartSniff dokáže zachytávať pakety TCP/IP na akejkoľvek verzii operačného systému Windows (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8), pokiaľ je nainštalovaný ovládač zachytávania WinPcap a funguje správne s vašou sieťou adaptér
SmartSniff môžete použiť aj s ovládačom snímania Microsoft Network Monitor, ak je nainštalovaný vo vašom systéme.
V systéme Windows 2000/XP (alebo novšom) vám SmartSniff tiež umožňuje zachytávať pakety TCP/IP bez inštalácie akéhokoľvek ovládača zachytávania pomocou metódy „Raw Sockets“. Táto metóda zachytávania má však určité obmedzenia a problémy:
* Odchádzajúce pakety UDP a ICMP sa nezachytávajú.
* V systéme Windows XP SP1 sa odchádzajúce pakety vôbec nezachytávajú – vďaka chybe spoločnosti Microsoft, ktorá sa objavila v aktualizácii SP1... Táto chyba bola opravená v aktualizácii SP2, ale pod systémom Vista spoločnosť Microsoft vrátila chybu ochádzajúcich paketov z XP/SP1.
* Vo Windows Vista/7/8: Uvedomte si, že metóda Raw Sockets nefunguje správne na všetkých systémoch. Nie je to chyba v SmartSniff, ale v API operačného systému Windows. Ak vidíte iba odchádzajúce prenosy, skúste vypnúť bránu firewall systému Windows alebo pridajte súbor smsniff.exe do zoznamu povolených programov brány firewall systému Windows.
Sniffer nie je vždy zlomyseľný. V skutočnosti sa tento typ softvéru často používa na analýzu sieťovej prevádzky s cieľom odhaliť a odstrániť anomálie a zabezpečiť bezproblémovú prevádzku. Sniffer však môže byť použitý so zlým úmyslom. Sniffery analyzujú všetko, čo cez ne prechádza, vrátane nešifrovaných hesiel a poverení, takže hackeri s prístupom k snifferom môžu získať osobné informácie používateľov. Sniffer je navyše možné nainštalovať na ľubovoľný počítač pripojený k lokálnej sieti, bez nutnosti inštalácie na samotné zariadenie – inými slovami, nedá sa zistiť počas celej doby pripojenia.
Hackeri používajú sniffery na odcudzenie cenných údajov sledovaním sieťovej aktivity a zhromažďovaním osobných informácií o používateľoch. Útočníci sa zvyčajne najviac zaujímajú o používateľské heslá a poverenia, aby získali prístup k účtom online bankovníctva a internetových obchodov. Hackeri najčastejšie inštalujú sniffery na miesta, kde sú distribuované nezabezpečené Wi-Fi pripojenia, napríklad v kaviarňach, hoteloch a na letiskách. Snifferi sa môžu maskovať ako zariadenie pripojené k sieti v takzvanom spoofingovom útoku s cieľom ukradnúť cenné dáta.
Neautorizované sniffery je veľmi ťažké virtuálne rozpoznať, pretože môžu byť inštalované takmer kdekoľvek, čo predstavuje veľmi vážnu hrozbu pre bezpečnosť siete. Bežní používatelia často nemajú šancu rozpoznať, že sniffer sleduje ich sieťovú prevádzku. Teoreticky je možné nainštalovať vlastný sniffer, ktorý by monitoroval všetku komunikáciu DNS na prítomnosť iných snifferov, ale pre bežného používateľa je oveľa jednoduchšie nainštalovať antisniffovací softvér alebo antivírusové riešenie, ktoré zahŕňa ochranu sieťovej aktivity na zastavenie. akékoľvek neoprávnené vniknutie alebo skrytie vašich sieťových aktivít.
Môžete použiť vysoko účinný antivírus na detekciu a odstránenie všetkých typov škodlivého softvéru nainštalovaného vo vašom počítači na účely sniffovania. Ak však chcete úplne odstrániť sniffer z počítača, musíte odstrániť absolútne všetky priečinky a súbory, ktoré s ním súvisia. Dôrazne sa odporúča použiť aj antivírus so sieťovým skenerom, ktorý dôkladne preverí miestnu sieť na zraniteľnosť a v prípade zistenia inštruuje o ďalšom postupe.
Prvá vec, ktorú môže používateľ urobiť, aby sa ochránil pred sniffermi, je použiť vysokokvalitný antivírus, ako je bezplatný antivírus Avast, ktorý je schopný dôkladne skenovať celú sieť na bezpečnostné problémy. Ďalším a vysoko efektívnym spôsobom ochrany informácií pred sniffovaním je šifrovanie všetkých údajov odoslaných a prijatých online vrátane e-mailov. pošty. Avast SecureLine vám umožňuje bezpečne šifrovať všetky výmeny údajov a vykonávať online akcie v 100% anonymite.
Program Wireshark bude vynikajúcim pomocníkom pre tých používateľov, ktorí potrebujú vykonať podrobnú analýzu sieťových paketov - prevádzky počítačovej siete. Sniffer ľahko interaguje s takými bežnými protokolmi, ako sú netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 a veľa ďalších. Počas analýzy vám umožňuje rozdeliť sieťový paket na príslušné komponenty podľa špecifického protokolu a zobraziť čitateľné informácie v číselnej forme na obrazovke.
podporuje veľké množstvo rôznych formátov prenášaných a prijímaných informácií a je schopný otvárať súbory, ktoré používajú iné nástroje. Princíp činnosti spočíva v tom, že sieťová karta prejde do vysielacieho režimu a začne zachytávať sieťové pakety, ktoré sú v oblasti jej viditeľnosti. Môže fungovať ako program na zachytávanie paketov wifi.
Po spustení wireshark sa na obrazovke, ktorá sa nachádza v hornej časti okna, zobrazí hlavná ponuka programu. Používa sa na ovládanie utility. Ak potrebujete načítať súbory, ktoré ukladajú údaje o paketoch zachytených v predchádzajúcich reláciách, ako aj uložiť údaje o iných paketoch zachytených v novej relácii, budete na to potrebovať kartu „Súbor“.
Na spustenie funkcie zachytávania sieťových paketov musí používateľ kliknúť na ikonu „Capture“, potom nájsť špeciálnu časť ponuky s názvom „Interfaces“, pomocou ktorej môžete otvoriť samostatné okno „Wireshark Capture Interfaces“, kde by mali byť všetky dostupné sieťové rozhrania prostredníctvom ktorého zachytíte potrebné dátové pakety. V prípade, že program (sniffer) dokáže rozpoznať iba jedno vhodné rozhranie, zobrazí o ňom na obrazovke všetky dôležité informácie.
Výsledky práce utility sú priamym dôkazom toho, že aj keď používatelia nie sú nezávisle zapojení (v danom čase) do prenosu akýchkoľvek údajov, výmena informácií v sieti sa nezastaví. Princípom fungovania lokálnej siete je napokon to, že s cieľom udržať ju v prevádzkovom režime si každý z jej prvkov (počítač, prepínač a ďalšie zariadenia) neustále vymieňa informácie o službách medzi sebou, preto sú takéto sieťové nástroje navrhnuté tak, aby zachytávali takéto balíčky.
Existuje aj verzia pre systémy Linux.
Treba poznamenať, že Sniffer je mimoriadne užitočný pre správcov siete a služby počítačovej bezpečnosti, pretože tento nástroj vám umožňuje identifikovať potenciálne nechránené uzly siete – pravdepodobné oblasti, ktoré môžu byť napadnuté hackermi.
Okrem priameho účelu môže byť Wireshark použitý ako nástroj na monitorovanie a ďalšiu analýzu sieťovej prevádzky s cieľom zorganizovať útok na nechránené oblasti siete, pretože zachytenú prevádzku možno použiť na dosiahnutie rôznych cieľov.
V tomto článku sa pozrieme na vytvorenie jednoduchého sniffera pre OS Windows.
Kto má záujem, vitajte v kat.
Dúfam, že vás to zaujme.
Prečo to môže byť potrebné:
Ako to? Veľmi jednoduché.
Kľúčovým krokom pri premene jednoduchej sieťovej aplikácie na sieťový analyzátor je prepnutie sieťového rozhrania do promiskuitného režimu, ktorý mu umožní prijímať pakety adresované iným rozhraniam v sieti. Tento režim núti sieťovú kartu akceptovať všetky rámce bez ohľadu na to, komu sú v sieti adresované.
Počnúc systémom Windows 2000 (NT 5.0) bolo veľmi jednoduché vytvoriť program na počúvanie segmentu siete, pretože jeho sieťový ovládač umožňuje nastaviť soket na príjem všetkých paketov.
Pokračuj. Je známe, že IP paket pozostáva z hlavičky, servisných informácií a v skutočnosti dát. Odporúčam vám pozrieť sa sem, aby ste si obnovili svoje vedomosti. Poďme si popísať hlavičku IP vo forme štruktúry (vďaka výbornému článku o RSDN):
V zásade môžete ísť ďalej a opísať hlavičky všetkých nasledujúcich protokolov umiestnených vyššie. Aby ste to dosiahli, musíte pole analyzovať protokol v štruktúre IPHeader. Pozrite sa na príklad kódu (áno, mal by tam byť prepínač, sakra!), kde je hlavička zafarbená podľa toho, aký protokol má paket zapuzdrený v IP:
/* * Zvýraznenie balíka farbou */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // ak balík nie je prázdny else SetConsoleTextColor(0x07) ; // prázdny balík, ak (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // "native" balíček na vrátenie ) else if (haddr == h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "natívne" prijímanie paketu ) if (h->protocol == PROT_ICMP || h->protocol =) (SetColorConsole =) PROT_IGMP (0x70) ; // ICMP paket ) else if(h->protokol == PROT_IP || h->protokol == 115) ( SetConsoleTextColor(0x4F); // paket IP-in-IP, L2TP ) else if(h - >protokol == 53 || h->protokol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP so šifrovaním ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
To však výrazne presahuje rámec tohto článku. Pre náš tréningový príklad bude stačiť pozrieť sa na IP adresy hostiteľov, z ktorých a na ktoré prichádza prevádzka, a vypočítať jej množstvo za jednotku času (hotový program je v archíve na konci článku) .
Ak chcete zobraziť údaje hlavičky IP, musíte implementovať funkciu na konverziu hlavičky (ale nie údajov) datagramu na reťazec. Ako príklad implementácie môžeme ponúknuť nasledujúcu možnosť:
Zdrojový a binárny kód poskytujem tak, ako je, ako pred niekoľkými rokmi. Teraz sa na to bojím pozerať, a predsa, je to celkom čitateľné (samozrejme, človek nemôže byť taký sebavedomý). Na kompiláciu postačí aj Visual Studio Express 2005.
S čím sme skončili:
SmartSniff umožňuje zachytiť sieťovú prevádzku a zobraziť jej obsah v ASCII. Program zachytáva pakety prechádzajúce cez sieťový adaptér a zobrazuje obsah paketov v textovej forme (protokoly http, pop3, smtp, ftp) a ako hexadecimálny výpis. Na zachytávanie paketov TCP/IP používa SmartSniff nasledujúce techniky: raw sockets - RAW Sockets, WinCap Capture Driver a Microsoft Network Monitor Driver. Program podporuje ruský jazyk a je ľahko použiteľný.
![]() |
SmartSniff zobrazuje nasledujúce informácie: názov protokolu, lokálnu a vzdialenú adresu, lokálny a vzdialený port, lokálny uzol, názov služby, objem dát, celkovú veľkosť, čas zachytenia a čas posledného paketu, trvanie, lokálnu a vzdialenú MAC adresu, krajiny a dátový paket obsah . Program má flexibilné nastavenia, implementuje funkciu zachytávacieho filtra, rozbaľovanie http odpovedí, konverziu IP adries, obslužný program je minimalizovaný na systémovú lištu. SmartSniff generuje správu o tokoch paketov ako HTML stránku. Program dokáže exportovať toky TCP/IP.