Informacion (ENG):
SmartSniff është një mjet monitorimi i rrjetit që ju lejon të kapni paketat TCP/IP që kalojnë përmes përshtatësit të rrjetit tuaj dhe t'i shikoni të dhënat e kapura si sekuencë bisedash midis klientëve dhe serverëve. Mund t'i shikoni bisedat TCP/IP në modalitetin Ascii (për protokollet e bazuara në tekst, si HTTP, SMTP, POP3 dhe FTP.) ose si hex demp. (për protokollet bazë jo-tekst, si DNS)
SmartSniff ofron 3 metoda për kapjen e paketave TCP/IP:
Raw Sockets (Vetëm për Windows 2000/XP ose më të reja): Ju lejon të kapni paketat TCP/IP në rrjetin tuaj pa instaluar një drejtues fotografimi. Kjo metodë ka disa kufizime dhe probleme.
WinPcap Capture Driver: Ju lejon të kapni paketat TCP/IP në të gjitha sistemet operative Windows. (Windows 98/ME/NT/2000/XP/2003/Vista) Për ta përdorur atë, duhet të shkarkoni dhe instaloni Driver WinPcap Capture nga kjo faqe interneti. (WinPcap është një drejtues falas i kapjes me burim të hapur.)
Kjo metodë është përgjithësisht mënyra e preferuar për të kapur paketat TCP/IP me SmartSniff dhe funksionon më mirë se metoda Raw Sockets.
Drejtuesi i monitorit të rrjetit të Microsoft (vetëm për Windows 2000/XP/2003): Microsoft ofron një drejtues fotografik falas nën Windows 2000/XP/2003 që mund të përdoret nga SmartSniff, por ky drejtues nuk është i instaluar si parazgjedhje dhe ju duhet ta instaloni manualisht atë, duke përdorur një nga opsionet e mëposhtme:
Opsioni 1: Instaloni atë nga CD-ROM-i i Windows 2000/XP sipas udhëzimeve në faqen e internetit të Microsoft-it
Opsioni 2 (Vetëm XP): Shkarkoni dhe instaloni Veglat Mbështetëse të Windows XP Service Pack 2. Një nga mjetet në këtë paketë është netcap.exe. Kur e përdorni këtë mjet për herë të parë, drejtuesi i monitorit të rrjetit do të instalohet automatikisht në sistemin tuaj.
Microsoft Network Monitor Driver 3: Microsoft ofron një version të ri të drejtuesit të Microsoft Network Monitor (3.x) që mbështetet gjithashtu nën Windows 7/Vista/2008. Duke filluar nga versioni 1.60, SmartSniff mund ta përdorë këtë drejtues për të kapur trafikun e rrjetit.
Versioni i ri i Microsoft Network Monitor (3.x) është i disponueshëm për t'u shkarkuar nga faqja e internetit e Microsoft.
Kërkesat e sistemit
SmartSniff mund të kapë paketa TCP/IP në çdo version të sistemit operativ Windows (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) për sa kohë që shoferi i kapjes WinPcap është i instaluar dhe funksionon siç duhet me rrjetin tuaj përshtatës
Ju gjithashtu mund të përdorni SmartSniff me drejtuesin e kapjes së Microsoft Network Monitor, nëse është i instaluar në sistemin tuaj.
Në Windows 2000/XP (ose më të reja), SmartSniff ju lejon gjithashtu të kapni paketat TCP/IP pa instaluar asnjë drejtues kapjeje, duke përdorur metodën "Raw Sockets". Megjithatë, kjo metodë e kapjes ka disa kufizime dhe probleme:
* Paketat dalëse UDP dhe ICMP nuk janë kapur.
* Në Windows XP SP1 paketat dalëse nuk kapen fare – Falë defektit të Microsoft që u shfaq në përditësimin SP1… Ky gabim u ndreq në përditësimin e SP2, por nën Vista, Microsoft ktheu gabimin e paketave dalëse të XP/SP1.
* Në Windows Vista/7/8: Kini parasysh se metoda Raw Sockets nuk funksionon siç duhet në të gjitha sistemet. Nuk është një gabim në SmartSniff, por në API të sistemit operativ Windows. Nëse shihni vetëm trafikun në dalje, provoni të çaktivizoni murin e zjarrit të Windows ose shtoni smsniff.exe në listën e programeve të lejuara të murit të zjarrit të Windows.
Një nuhatës nuk është gjithmonë keqdashës. Në fakt, ky lloj softueri përdoret shpesh për të analizuar trafikun e rrjetit në mënyrë që të zbulojë dhe eliminojë anomalitë dhe të sigurojë funksionimin e qetë. Megjithatë, sniffer mund të përdoret me qëllim të keq. Sniferët analizojnë gjithçka që kalon përmes tyre, duke përfshirë fjalëkalimet dhe kredencialet e pakriptuara, në mënyrë që hakerët me akses në sniffer të mund të marrin informacionin personal të përdoruesve. Përveç kësaj, sniffer mund të instalohet në çdo kompjuter të lidhur me rrjetin lokal, pa pasur nevojë ta instaloni atë në vetë pajisjen - me fjalë të tjera, nuk mund të zbulohet gjatë gjithë kohës së lidhjes.
Hakerët përdorin sniffers për të vjedhur të dhëna të vlefshme duke monitoruar aktivitetin e rrjetit dhe duke mbledhur informacione personale për përdoruesit. Në mënyrë tipike, sulmuesit janë më të interesuarit për fjalëkalimet dhe kredencialet e përdoruesve për të fituar akses në bankat në internet dhe llogaritë e dyqaneve online. Më shpesh, hakerët instalojnë nuhatës në vendet ku shpërndahen lidhje të pasigurta Wi-Fi, për shembull, në kafene, hotele dhe aeroporte. Sniffers mund të maskohen si një pajisje e lidhur me rrjetin në një të ashtuquajtur sulm spoofing për të vjedhur të dhëna të vlefshme.
Sniferët e paautorizuar janë jashtëzakonisht të vështirë për t'u njohur virtualisht, pasi ato mund të instalohen pothuajse kudo, duke paraqitur një kërcënim shumë serioz për sigurinë e rrjetit. Përdoruesit e zakonshëm shpesh nuk kanë asnjë shans të kuptojnë se një sniffer po ndjek trafikun e rrjetit të tyre. Teorikisht është e mundur të instaloni sniffer tuajin që do të monitoronte të gjithë trafikun DNS për praninë e snifferëve të tjerë, por për përdoruesin mesatar është shumë më e lehtë të instaloni softuer kundër nuhatjes ose një zgjidhje antivirus që përfshin mbrojtjen e aktivitetit të rrjetit për të ndaluar çdo ndërhyrje e paautorizuar ose fsheh aktivitetet e rrjetit tuaj.
Ju mund të përdorni një antivirus shumë efektiv për të zbuluar dhe hequr të gjitha llojet e malware të instaluar në kompjuterin tuaj për qëllime të nuhatjes. Sidoqoftë, për të hequr plotësisht snifferin nga kompjuteri juaj, duhet të fshini absolutisht të gjitha dosjet dhe skedarët që lidhen me të. Gjithashtu rekomandohet fuqimisht përdorimi i një antivirusi me një skaner rrjeti, i cili do të kontrollojë plotësisht rrjetin lokal për dobësi dhe do të udhëzojë për veprime të mëtejshme nëse ato gjenden.
Gjëja e parë që një përdorues mund të bëjë për t'u mbrojtur nga nuhatësit është të përdorë një antivirus cilësor, si antivirusi falas Avast, i cili është në gjendje të skanojë tërësisht të gjithë rrjetin për problemet e sigurisë. Një mënyrë shtesë dhe shumë efektive për të mbrojtur informacionin nga nuhatja është të kriptoni të gjitha të dhënat e dërguara dhe të marra në internet, duke përfshirë emailet. postë. Avast SecureLine ju lejon të kriptoni në mënyrë të sigurt të gjitha shkëmbimet e të dhënave dhe të kryeni veprime në internet në anonimitet 100%.
Programi Wireshark do të jetë një asistent i shkëlqyer për ata përdorues që duhet të kryejnë një analizë të hollësishme të paketave të rrjetit - trafiku i rrjetit kompjuterik. Sniffer lehtë ndërvepron me protokolle të tilla të zakonshme si netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 dhe shume te tjere. Gjatë analizës, ju lejon të ndani një paketë rrjeti në komponentët e duhur, sipas një protokolli specifik dhe të shfaqni informacione të lexueshme në formë numerike në ekran.
mbështet një numër të madh të formateve të ndryshme të informacionit të transmetuar dhe marrë, dhe është në gjendje të hapë skedarë që përdoren nga shërbime të tjera. Parimi i funksionimit është që karta e rrjetit të kalojë në modalitetin e transmetimit dhe të fillojë të përgjojë paketat e rrjetit që janë në zonën e saj të dukshmërisë. Mund të funksionojë si një program për përgjimin e paketave wifi.
Pas nisjes së wireshark, do të shihni menunë kryesore të programit në ekran, e cila ndodhet në krye të dritares. Përdoret për të kontrolluar shërbimin. Nëse keni nevojë të ngarkoni skedarë që ruajnë të dhëna për paketat e kapura në sesionet e mëparshme, si dhe të ruani të dhëna për paketat e tjera të kapura në një sesion të ri, atëherë do t'ju duhet skeda "File" për ta bërë këtë.
Për të nisur funksionin e kapjes së paketave të rrjetit, përdoruesi duhet të klikojë në ikonën "Capture", më pas të gjejë një seksion të veçantë të menusë të quajtur "Interfaces", me të cilin mund të hapni një dritare të veçantë "Wireshark Capture Interfaces", ku të gjitha ndërfaqet e disponueshme të rrjetit duhet të të tregohet, përmes së cilës do të kapen paketat e nevojshme të të dhënave. Në rastin kur programi (sniffer) është në gjendje të zbulojë vetëm një ndërfaqe të përshtatshme, ai do të shfaqë të gjitha informacionet e rëndësishme rreth tij në ekran.
Rezultatet e punës së shërbimeve janë dëshmi e drejtpërdrejtë se, edhe nëse përdoruesit nuk janë të angazhuar në mënyrë të pavarur (në një kohë të caktuar) në transmetimin e ndonjë të dhënash, shkëmbimi i informacionit në rrjet nuk ndalet. Në fund të fundit, parimi i funksionimit të një rrjeti lokal është që për ta mbajtur atë në modalitetin e funksionimit, secili nga elementët e tij (kompjuter, ndërprerës dhe pajisje të tjera) shkëmbejnë vazhdimisht informacionin e shërbimit me njëri-tjetrin, prandaj mjete të tilla rrjeti janë krijuar për të përgjuar pako të tilla.
Ekziston edhe një version për sistemet Linux.
Duhet theksuar se Sniffer është jashtëzakonisht i dobishëm për administratorët e rrjetit dhe shërbimet e sigurisë kompjuterike, sepse programi ju lejon të identifikoni nyjet e rrjetit potencialisht të pambrojtura - zona të mundshme që mund të sulmohen nga hakerat.
Përveç qëllimit të tij të drejtpërdrejtë, Wireshark mund të përdoret si një mjet për monitorimin dhe analizimin e mëtejshëm të trafikut të rrjetit për të organizuar një sulm në zonat e pambrojtura të rrjetit, sepse trafiku i përgjuar mund të përdoret për të arritur qëllime të ndryshme.
Në këtë artikull do të shikojmë krijimin e një sniffer të thjeshtë për Windows OS.
Kushdo që është i interesuar, i mirëpritur në cat.
Shpresoj t'ju duket interesante.
Pse kjo mund të jetë e nevojshme:
Si keshtu? Shume e thjeshte.
Hapi kryesor në kthimin e një aplikacioni të thjeshtë rrjeti në një analizues rrjeti është kalimi i ndërfaqes së rrjetit në modalitetin "promiscuous", i cili do ta lejojë atë të marrë paketa të adresuara në ndërfaqe të tjera në rrjet. Kjo mënyrë e detyron kartën e rrjetit të pranojë të gjitha kornizat, pavarësisht se kujt i drejtohen në rrjet.
Duke filluar me Windows 2000 (NT 5.0), u bë shumë e lehtë krijimi i një programi për të dëgjuar një segment rrjeti, sepse drejtuesi i rrjetit të tij ju lejon të vendosni prizën për të marrë të gjitha paketat.
Shkoni përpara. Dihet që një paketë IP përbëhet nga një kokë, informacion shërbimi dhe, në fakt, të dhëna. Unë ju këshilloj të shikoni këtu për të rifreskuar njohuritë tuaja. Le të përshkruajmë kokën IP në formën e një strukture (falë artikullit të shkëlqyeshëm në RSDN):
Në parim, mund të shkoni më tej dhe të përshkruani titujt e të gjitha protokolleve pasuese të vendosura më lart. Për ta bërë këtë, duhet të analizoni fushën protokoll në strukturë IPHeader. Shikoni kodin e shembullit (po, duhet të ketë një ndërprerës, dreq!), ku titulli është i ngjyrosur në varësi të protokollit të paketës në IP:
/* * Theksimi i një pakete me ngjyrë */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // nëse paketa nuk është bosh tjetër SetConsoleTextColor(0x07) ; // bosh paketën nëse (haddr == h->src) (SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY = FOREGROUND_INTENSITY) =r. h->desti ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | SFOREGROUND_INTENSITY); // "native" merr paketën ) nëse (h->protokolli == PROT_ICTTëpërkollë) (0x70) ; // paketë ICMP ) tjetër if(h->protokolli == PROT_IP || h->protokolli == 115) ( SetConsoleTextColor(0x4F); // Paketa IP-në-IP, L2TP ) tjetër if(h - >protokolli == 53 || h->protokolli == 56) ( SetConsoleTextColor(0x4C); // TLS, IP me enkriptim ) if(whost == h->dest || kush == h->src) ( SetConsoleTextColor (0x0A); ) )
Megjithatë, kjo është dukshëm përtej qëllimit të këtij neni. Për shembullin tonë të trajnimit, do të jetë e mjaftueshme të shikoni adresat IP të hosteve nga të cilët dhe në të cilët po vjen trafiku, dhe të llogarisni sasinë e tij për njësi të kohës (programi i përfunduar është në arkiv në fund të artikullit) .
Për të shfaqur të dhënat e kokës IP, duhet të zbatoni një funksion për të kthyer kokën (por jo të dhënat) e datagramit në një varg. Si shembull zbatimi, ne mund të ofrojmë opsionin e mëposhtëm:
Unë ofroj kodin burimor dhe binar siç është, siç ishte disa vite më parë. Tani kam frikë ta shikoj, e megjithatë, është mjaft i lexueshëm (natyrisht, nuk mund të jesh kaq i sigurt në vetvete). Edhe Visual Studio Express 2005 do të jetë i mjaftueshëm për përpilim.
Me çfarë përfunduam:
SmartSniff ju lejon të përgjoni trafikun e rrjetit dhe të shfaqni përmbajtjen e tij në ASCII. Programi kap paketat që kalojnë përmes përshtatësit të rrjetit dhe shfaq përmbajtjen e paketave në formë teksti (protokollet http, pop3, smtp, ftp) dhe si një depon heksadecimal. Për të kapur paketat TCP/IP, SmartSniff përdor teknikat e mëposhtme: bazat e papërpunuara - Sockets RAW, WinCap Capture Driver dhe Microsoft Network Monitor Driver. Programi mbështet gjuhën ruse dhe është i lehtë për t'u përdorur.
SmartSniff shfaq informacionin e mëposhtëm: emrin e protokollit, adresën lokale dhe të largët, portin lokal dhe të largët, nyjen lokale, emrin e shërbimit, vëllimin e të dhënave, madhësinë totale, kohën e kapjes dhe kohën e fundit të paketës, kohëzgjatjen, adresën MAC lokale dhe të largët, vendet dhe paketa e të dhënave përmbajtjet . Programi ka cilësime fleksibël, zbaton funksionin e një filtri kapjeje, shpaketimin e përgjigjeve http, konvertimin e adresave IP, mjeti minimizohet në tabaka e sistemit. SmartSniff gjeneron një raport mbi flukset e paketave si një faqe HTML. Programi mund të eksportojë transmetime TCP/IP.