ข้อมูล (ENG):
SmartSniff เป็นยูทิลิตี้การตรวจสอบเครือข่ายที่ช่วยให้คุณสามารถจับแพ็กเก็ต TCP/IP ที่ผ่านอะแดปเตอร์เครือข่ายของคุณ และดูข้อมูลที่บันทึกเป็นลำดับการสนทนาระหว่างไคลเอนต์และเซิร์ฟเวอร์ คุณสามารถดูการสนทนา TCP/IP ในโหมด Ascii (สำหรับโปรโตคอลแบบข้อความ เช่น HTTP, SMTP, POP3 และ FTP) หรือเป็นการถ่ายโอนข้อมูลฐานสิบหก (สำหรับโปรโตคอลพื้นฐานที่ไม่ใช่ข้อความ เช่น DNS)
SmartSniff มี 3 วิธีในการจับแพ็กเก็ต TCP/IP:
Raw Sockets (เฉพาะ Windows 2000/XP หรือสูงกว่า): ช่วยให้คุณสามารถจับแพ็กเก็ต TCP/IP บนเครือข่ายของคุณโดยไม่ต้องติดตั้งไดรเวอร์การจับภาพ วิธีการนี้มีข้อจำกัดและปัญหาบางประการ
WinPcap Capture Driver: ช่วยให้คุณสามารถจับแพ็กเก็ต TCP/IP บนระบบปฏิบัติการ Windows ทั้งหมด (Windows 98/ME/NT/2000/XP/2003/Vista) เพื่อใช้งาน คุณต้องดาวน์โหลดและติดตั้ง WinPcap Capture Driver จากเว็บไซต์นี้ (WinPcap เป็นไดรเวอร์จับภาพโอเพ่นซอร์สฟรี)
โดยทั่วไปวิธีนี้เป็นวิธีที่แนะนำในการจับแพ็กเก็ต TCP/IP ด้วย SmartSniff และทำงานได้ดีกว่าวิธี Raw Sockets
Microsoft Network Monitor Driver (สำหรับ Windows 2000/XP/2003 เท่านั้น): Microsoft มีไดรเวอร์จับภาพฟรีสำหรับ Windows 2000/XP/2003 ที่ SmartSniff สามารถใช้ได้ แต่ไดรเวอร์นี้ไม่ได้ติดตั้งตามค่าเริ่มต้น และคุณต้องติดตั้งด้วยตนเอง โดยใช้ตัวเลือกใดตัวเลือกหนึ่งต่อไปนี้:
ตัวเลือกที่ 1: ติดตั้งจากซีดีรอมของ Windows 2000/XP ตามคำแนะนำในเว็บไซต์ Microsoft
ตัวเลือก 2 (XP เท่านั้น): ดาวน์โหลดและติดตั้งเครื่องมือสนับสนุน Windows XP Service Pack 2 หนึ่งในเครื่องมือในแพ็คเกจนี้คือ netcap.exe เมื่อคุณเรียกใช้เครื่องมือนี้ในครั้งแรก Network Monitor Driver จะถูกติดตั้งในระบบของคุณโดยอัตโนมัติ
Microsoft Network Monitor Driver 3: Microsoft มีไดรเวอร์ Microsoft Network Monitor (3.x) เวอร์ชันใหม่ที่รองรับ Windows 7/Vista/2008 เช่นกัน ตั้งแต่เวอร์ชัน 1.60 เป็นต้นไป SmartSniff สามารถใช้ไดรเวอร์นี้เพื่อบันทึกการรับส่งข้อมูลเครือข่าย
Microsoft Network Monitor (3.x) เวอร์ชันใหม่พร้อมให้ดาวน์โหลดจากเว็บไซต์ Microsoft
ความต้องการของระบบ
SmartSniff สามารถจับแพ็กเก็ต TCP/IP บนระบบปฏิบัติการ Windows เวอร์ชันใดก็ได้ (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) ตราบใดที่ไดรเวอร์จับภาพ WinPcap ได้รับการติดตั้งและทำงานอย่างถูกต้องกับเครือข่ายของคุณ อะแดปเตอร์
คุณยังสามารถใช้ SmartSniff กับไดรเวอร์จับภาพของ Microsoft Network Monitor ได้ หากติดตั้งไว้ในระบบของคุณ
ภายใต้ Windows 2000/XP (หรือสูงกว่า) SmartSniff ยังช่วยให้คุณจับแพ็กเก็ต TCP/IP โดยไม่ต้องติดตั้งไดรเวอร์การจับภาพใดๆ โดยใช้วิธี 'Raw Sockets' อย่างไรก็ตาม วิธีการจับภาพนี้มีข้อจำกัดและปัญหาบางประการ:
* แพ็กเก็ต UDP และ ICMP ขาออกจะไม่ถูกบันทึก
* ใน Windows XP SP1 แพ็กเก็ตขาออกจะไม่ถูกบันทึกเลย - ต้องขอบคุณจุดบกพร่องของ Microsoft ที่ปรากฏในการอัปเดต SP1... จุดบกพร่องนี้ได้รับการแก้ไขแล้วในการอัปเดต SP2 แต่ภายใต้ Vista นั้น Microsoft จะส่งคืนจุดบกพร่องของแพ็กเก็ตขาออกของ XP/SP1 กลับคืนมา
* บน Windows Vista/7/8: โปรดทราบว่าวิธี Raw Sockets ทำงานไม่ถูกต้องในทุกระบบ ไม่ใช่จุดบกพร่องใน SmartSniff แต่เป็นใน API ของระบบปฏิบัติการ Windows หากคุณเห็นเฉพาะการรับส่งข้อมูลขาออก ให้ลองปิดไฟร์วอลล์ Windows หรือเพิ่ม smsniff.exe ในรายการโปรแกรมที่อนุญาตของไฟร์วอลล์ Windows
การดมกลิ่นไม่ได้เป็นอันตรายเสมอไป ในความเป็นจริง ซอฟต์แวร์ประเภทนี้มักใช้ในการวิเคราะห์การรับส่งข้อมูลเครือข่ายเพื่อตรวจจับและกำจัดความผิดปกติและรับประกันการทำงานที่ราบรื่น อย่างไรก็ตาม การดมกลิ่นสามารถนำมาใช้โดยมีเจตนาร้ายได้ นักดมกลิ่นจะวิเคราะห์ทุกสิ่งที่ผ่านเข้ามา รวมถึงรหัสผ่านและข้อมูลประจำตัวที่ไม่ได้เข้ารหัส ดังนั้นแฮกเกอร์ที่สามารถเข้าถึงผู้ดมกลิ่นสามารถรับข้อมูลส่วนบุคคลของผู้ใช้ได้ นอกจากนี้ สามารถติดตั้ง sniffer บนคอมพิวเตอร์ทุกเครื่องที่เชื่อมต่อกับเครือข่ายท้องถิ่นโดยไม่จำเป็นต้องติดตั้งลงในอุปกรณ์ กล่าวคือ ไม่สามารถตรวจพบได้ตลอดระยะเวลาการเชื่อมต่อ
แฮกเกอร์ใช้ดมกลิ่นเพื่อขโมยข้อมูลอันมีค่าโดยการตรวจสอบกิจกรรมเครือข่ายและรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้ โดยทั่วไปแล้ว ผู้โจมตีจะสนใจรหัสผ่านและข้อมูลประจำตัวของผู้ใช้มากที่สุดเพื่อเข้าถึงบัญชีธนาคารออนไลน์และบัญชีธนาคารออนไลน์ บ่อยครั้งที่แฮกเกอร์จะติดตั้งเครื่องดมกลิ่นในสถานที่ซึ่งมีการเชื่อมต่อ Wi-Fi ที่ไม่ปลอดภัยกระจายอยู่ เช่น ในร้านกาแฟ โรงแรม และสนามบิน นักดมกลิ่นสามารถปลอมตัวเป็นอุปกรณ์ที่เชื่อมต่อกับเครือข่าย ในรูปแบบที่เรียกว่าการโจมตีด้วยการปลอมแปลงเพื่อขโมยข้อมูลอันมีค่า
การดมกลิ่นที่ไม่ได้รับอนุญาตเป็นเรื่องยากมากที่จะจดจำได้ เนื่องจากสามารถติดตั้งได้เกือบทุกที่ ก่อให้เกิดภัยคุกคามร้ายแรงต่อความปลอดภัยของเครือข่าย ผู้ใช้ทั่วไปมักไม่มีโอกาสรับรู้ว่านักดมกลิ่นกำลังติดตามการรับส่งข้อมูลเครือข่ายของตน ตามทฤษฎีแล้ว เป็นไปได้ที่จะติดตั้ง sniffer ของคุณเองซึ่งจะตรวจสอบการรับส่งข้อมูล DNS ทั้งหมดเพื่อดูว่ามี sniffer อื่น ๆ อยู่หรือไม่ แต่สำหรับผู้ใช้ทั่วไป จะง่ายกว่ามากในการติดตั้งซอฟต์แวร์ป้องกันการดมกลิ่นหรือโซลูชันป้องกันไวรัสที่มีการป้องกันกิจกรรมเครือข่ายเพื่อหยุด การบุกรุกโดยไม่ได้รับอนุญาตหรือซ่อนกิจกรรมเครือข่ายของคุณ
คุณสามารถใช้โปรแกรมป้องกันไวรัสที่มีประสิทธิภาพสูงเพื่อตรวจจับและลบมัลแวร์ทุกประเภทที่ติดตั้งบนคอมพิวเตอร์ของคุณเพื่อวัตถุประสงค์ในการดมกลิ่น อย่างไรก็ตาม หากต้องการลบการดมกลิ่นออกจากคอมพิวเตอร์ของคุณโดยสมบูรณ์ คุณต้องลบโฟลเดอร์และไฟล์ทั้งหมดที่เกี่ยวข้องออกทั้งหมด ขอแนะนำอย่างยิ่งให้ใช้โปรแกรมป้องกันไวรัสกับเครื่องสแกนเครือข่ายซึ่งจะตรวจสอบเครือข่ายท้องถิ่นอย่างละเอียดเพื่อหาช่องโหว่และสั่งการดำเนินการเพิ่มเติมหากพบ
สิ่งแรกที่ผู้ใช้สามารถทำได้เพื่อป้องกันตัวเองจากการดมกลิ่นคือการใช้โปรแกรมป้องกันไวรัสคุณภาพสูง เช่น โปรแกรมป้องกันไวรัส Avast ฟรี ซึ่งสามารถสแกนเครือข่ายทั้งหมดอย่างละเอียดเพื่อหาปัญหาด้านความปลอดภัย วิธีเพิ่มเติมและมีประสิทธิภาพสูงในการปกป้องข้อมูลจากการดมกลิ่นคือการเข้ารหัสข้อมูลทั้งหมดที่ส่งและรับทางออนไลน์ รวมถึงอีเมล จดหมาย Avast SecureLine ช่วยให้คุณเข้ารหัสการแลกเปลี่ยนข้อมูลทั้งหมดได้อย่างปลอดภัย และดำเนินการออนไลน์โดยไม่เปิดเผยตัวตน 100%
โปรแกรม Wireshark จะเป็นผู้ช่วยที่ยอดเยี่ยมสำหรับผู้ใช้ที่ต้องการวิเคราะห์แพ็คเก็ตเครือข่ายโดยละเอียด - การรับส่งข้อมูลเครือข่ายคอมพิวเตอร์ นักดมกลิ่นโต้ตอบกับโปรโตคอลทั่วไปเช่น netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6และอื่น ๆ อีกมากมาย. ในระหว่างการวิเคราะห์ จะช่วยให้คุณสามารถแยกแพ็กเก็ตเครือข่ายออกเป็นส่วนประกอบที่เหมาะสมตามโปรโตคอลเฉพาะ และแสดงข้อมูลที่อ่านได้ในรูปแบบตัวเลขบนหน้าจอ
รองรับข้อมูลที่ส่งและรับรูปแบบต่าง ๆ จำนวนมากและสามารถเปิดไฟล์ที่ยูทิลิตี้อื่นใช้ หลักการทำงานคือการ์ดเครือข่ายจะเข้าสู่โหมดการออกอากาศและเริ่มดักจับแพ็กเก็ตเครือข่ายที่อยู่ในช่วงการมองเห็น สามารถทำงานเป็นโปรแกรมดักจับแพ็กเก็ต wifi ได้
หลังจากเปิด wireshark คุณจะเห็นเมนูหลักของโปรแกรมบนหน้าจอซึ่งอยู่ที่ด้านบนของหน้าต่าง มันถูกใช้เพื่อควบคุมยูทิลิตี้ หากคุณต้องการโหลดไฟล์ที่เก็บข้อมูลเกี่ยวกับแพ็กเก็ตที่จับได้ในเซสชันก่อนหน้า รวมถึงบันทึกข้อมูลเกี่ยวกับแพ็กเก็ตอื่นที่จับในเซสชันใหม่ คุณจะต้องใช้แท็บ "ไฟล์" เพื่อดำเนินการนี้
ในการเปิดใช้งานฟังก์ชันการจับแพ็คเก็ตเครือข่าย ผู้ใช้จะต้องคลิกที่ไอคอน "จับภาพ" จากนั้นค้นหาส่วนเมนูพิเศษที่เรียกว่า "อินเทอร์เฟซ" ซึ่งคุณสามารถเปิดหน้าต่าง "Wireshark Capture Interfaces" แยกต่างหาก โดยที่อินเทอร์เฟซเครือข่ายที่มีอยู่ทั้งหมดควร จะแสดงขึ้นมาซึ่งจะจับแพ็กเก็ตข้อมูลที่จำเป็น ในกรณีที่โปรแกรม (ดมกลิ่น) สามารถตรวจจับอินเทอร์เฟซที่เหมาะสมเพียงอินเทอร์เฟซเดียวได้ ก็จะแสดงข้อมูลที่สำคัญทั้งหมดเกี่ยวกับอินเทอร์เฟซนั้นบนหน้าจอ
ผลลัพธ์ของการทำงานของยูทิลิตี้เป็นหลักฐานโดยตรงว่าแม้ว่าผู้ใช้จะไม่ได้มีส่วนร่วมอย่างเป็นอิสระ (ในเวลาที่กำหนด) ในการส่งข้อมูลใด ๆ การแลกเปลี่ยนข้อมูลบนเครือข่ายจะไม่หยุดลง ท้ายที่สุดแล้ว หลักการทำงานของเครือข่ายท้องถิ่นคือเพื่อรักษาให้อยู่ในโหมดการทำงาน แต่ละองค์ประกอบ (คอมพิวเตอร์ สวิตช์ และอุปกรณ์อื่น ๆ) จะแลกเปลี่ยนข้อมูลบริการซึ่งกันและกันอย่างต่อเนื่อง ดังนั้นเครื่องมือเครือข่ายดังกล่าวจึงได้รับการออกแบบให้ดักจับ แพ็กเก็ตดังกล่าว
นอกจากนี้ยังมีเวอร์ชันสำหรับระบบ Linux
ก็ควรสังเกตว่า การดมกลิ่นมีประโยชน์อย่างมากสำหรับผู้ดูแลระบบเครือข่ายและบริการรักษาความปลอดภัยคอมพิวเตอร์ เนื่องจากยูทิลิตี้นี้ช่วยให้คุณสามารถระบุโหนดเครือข่ายที่อาจไม่ได้รับการป้องกัน ซึ่งเป็นพื้นที่ที่แฮกเกอร์สามารถโจมตีได้
นอกเหนือจากวัตถุประสงค์โดยตรงแล้ว Wireshark ยังสามารถใช้เป็นเครื่องมือในการตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายเพิ่มเติมเพื่อจัดระเบียบการโจมตีในพื้นที่ที่ไม่ได้รับการปกป้องของเครือข่าย เนื่องจากการรับส่งข้อมูลที่ถูกดักสามารถใช้เพื่อบรรลุเป้าหมายต่างๆ
ในบทความนี้เราจะดูที่การสร้างดมกลิ่นอย่างง่ายสำหรับ Windows OS
ใครสนใจยินดีต้อนรับสู่แมวครับ
ฉันหวังว่าคุณจะพบว่ามันน่าสนใจ
เหตุใดจึงจำเป็น:
ยังไงล่ะ? ง่ายมาก.
ขั้นตอนสำคัญในการเปลี่ยนแอปพลิเคชันเครือข่ายธรรมดาให้เป็นตัววิเคราะห์เครือข่ายคือการสลับอินเทอร์เฟซเครือข่ายเป็นโหมดที่หลากหลาย ซึ่งจะช่วยให้สามารถรับแพ็กเก็ตที่ส่งไปยังอินเทอร์เฟซอื่น ๆ บนเครือข่ายได้ โหมดนี้บังคับให้การ์ดเครือข่ายยอมรับเฟรมทั้งหมด โดยไม่คำนึงว่าเฟรมเหล่านั้นจะส่งถึงใครบนเครือข่าย
เริ่มต้นด้วย Windows 2000 (NT 5.0) การสร้างโปรแกรมเพื่อฟังส่วนเครือข่ายกลายเป็นเรื่องง่ายมากเพราะ ไดรเวอร์เครือข่ายช่วยให้คุณสามารถตั้งค่าซ็อกเก็ตเพื่อรับแพ็กเก็ตทั้งหมดได้
ไปข้างหน้า. เป็นที่ทราบกันว่าแพ็กเก็ต IP ประกอบด้วยส่วนหัว ข้อมูลบริการ และอันที่จริงคือข้อมูล ฉันแนะนำให้คุณดูที่นี่เพื่อรีเฟรชความรู้ของคุณ เรามาอธิบายส่วนหัว IP ในรูปแบบของโครงสร้าง (ขอบคุณบทความที่ยอดเยี่ยมเกี่ยวกับ RSDN):
โดยหลักการแล้ว คุณสามารถอธิบายเพิ่มเติมและอธิบายส่วนหัวของโปรโตคอลที่ตามมาทั้งหมดที่กล่าวมาข้างต้นได้ เมื่อต้องการทำเช่นนี้ คุณต้องวิเคราะห์ฟิลด์ มาตรการในโครงสร้าง IPHeader. ดูโค้ดตัวอย่าง (ใช่ ควรมีสวิตช์ ให้ตายเถอะ!) โดยที่ส่วนหัวจะมีสีขึ้นอยู่กับโปรโตคอลที่แพ็กเก็ตห่อหุ้มไว้ใน IP:
/* * การไฮไลท์แพ็คเกจด้วยสี */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // ถ้าแพ็คเกจไม่ว่างเปล่าอย่างอื่น SetConsoleTextColor(0x07) ; // แพ็คเกจว่าง if (haddr == h->src) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // แพ็คเกจ "native" สำหรับการส่งคืน ) else if (haddr == h->dest ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "native" รับแพ็กเก็ต ) ถ้า (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP) ( SetConsoleTextColor (0x70) ; // แพ็กเก็ต ICMP ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // แพ็กเก็ต IP-in-IP, L2TP ) อย่างอื่นถ้า (h -> โปรโตคอล == 53 || h->โปรโตคอล == 56) ( SetConsoleTextColor(0x4C); // TLS, IP พร้อมการเข้ารหัส ) if(whost == h->dest || whost == h->src) ( SetConsoleTextColor (0x0A); ) )
อย่างไรก็ตาม สิ่งนี้อยู่นอกเหนือขอบเขตของบทความนี้อย่างมาก สำหรับตัวอย่างการฝึกอบรมของเรา การดูที่อยู่ IP ของโฮสต์ที่มาและที่มาของการรับส่งข้อมูลก็เพียงพอแล้ว และคำนวณจำนวนต่อหน่วยเวลา (โปรแกรมที่เสร็จแล้วจะอยู่ในไฟล์เก็บถาวรที่ท้ายบทความ) .
ในการแสดงข้อมูลส่วนหัว IP คุณต้องใช้ฟังก์ชันเพื่อแปลงส่วนหัว (แต่ไม่ใช่ข้อมูล) ของดาตาแกรมเป็นสตริง เพื่อเป็นตัวอย่างของการนำไปปฏิบัติ เราสามารถเสนอตัวเลือกต่อไปนี้:
ฉันให้ซอร์สและรหัสไบนารี่ตามที่เป็นอยู่เหมือนเมื่อหลายปีก่อน ตอนนี้ฉันกลัวที่จะดู แต่ก็ค่อนข้างอ่านง่าย (แน่นอน คุณไม่สามารถมั่นใจในตัวเองได้) แม้แต่ Visual Studio Express 2005 ก็เพียงพอสำหรับการรวบรวม
สิ่งที่เราลงเอยด้วย:
สมาร์ทสนิฟช่วยให้คุณสามารถสกัดกั้นการรับส่งข้อมูลเครือข่ายและแสดงเนื้อหาในรูปแบบ ASCII โปรแกรมจับแพ็กเก็ตที่ส่งผ่านอะแดปเตอร์เครือข่ายและแสดงเนื้อหาของแพ็กเก็ตในรูปแบบข้อความ (http, pop3, smtp, ftp protocols) และเป็นดัมพ์เลขฐานสิบหก ในการจับแพ็คเก็ต TCP/IP นั้น SmartSniff จะใช้เทคนิคต่อไปนี้: ซ็อกเก็ตดิบ - ซ็อกเก็ต RAW, ไดรเวอร์ WinCap Capture และไดรเวอร์ Microsoft Network Monitor โปรแกรมรองรับภาษารัสเซียและใช้งานง่าย
SmartSniff แสดงข้อมูลต่อไปนี้: ชื่อโปรโตคอล ที่อยู่ภายในและระยะไกล พอร์ตภายในและระยะไกล โหนดภายใน ชื่อบริการ ปริมาณข้อมูล ขนาดทั้งหมด เวลาในการจับภาพและเวลาแพ็กเก็ตสุดท้าย ระยะเวลา ที่อยู่ MAC ภายในและระยะไกล ประเทศและแพ็กเก็ตข้อมูล เนื้อหา โปรแกรมมีการตั้งค่าที่ยืดหยุ่น โดยจะใช้ฟังก์ชันตัวกรองการจับภาพ การคลายการตอบสนอง http การแปลงที่อยู่ IP ยูทิลิตี้ย่อเล็กสุดลงในถาดระบบ SmartSniff สร้างรายงานเกี่ยวกับกระแสแพ็กเก็ตเป็นหน้า HTML โปรแกรมสามารถส่งออกสตรีม TCP/IP