Informatie (ENG):
SmartSniff є мережа monitoring utility, що дозволяє вам отримати TCP/IP пакети, які проходять через вашу мережу adapter, і перегляду повідомлених даних як кінець conversations між клієнтами і серверами. Ви можете переглядати TCP/IP сеанси в режимі Ascii (для текстових даних протоколів, як HTTP, SMTP, POP3 і FTP.) або hex dump. (для non-text base protocols, як DNS)
SmartSniff забезпечує 3 методи для отримання TCP/IP пакетів:
Raw Sockets (Тільки для Windows 2000/XP або greater): Ви можете скористатися TCP/IP пакетами на вашій мережі без налагодження візерунок. Цей метод має деякі обмеження і проблеми.
WinPcap Capture Driver: Ви можете отримувати TCP/IP пакети на всіх операційних системах Windows. (Windows 98/ME/NT/2000/XP/2003/Vista) В комплекті для використання, ви повинні додати і налаштувати WinPcap Capture Driver від цього веб-сайту. (WinPcap is a free open-source capture driver.)
Цей метод є в основному preferred way to capture TCP/IP пакети з SmartSniff, і його робіти більше, ніж Raw Sockets метод.
Microsoft Network Monitor Driver (Только для Windows 2000/XP/2003): Microsoft забезпечує безкоштовний візерунок driver під Windows 2000/XP/2003, що може бути використаний за допомогою SmartSniff, але цей driver не буде налаштовано заздалегідь, і ви повинні використовувати його автоматично it, by using one of the following options:
Option 1: Install it from the CD-ROM of Windows 2000/XP підтримує інструкції в Microsoft Web site
Option 2 (XP Only) : Download and install Windows XP Service Pack 2 Support Tools. Один інструмент у цьому пакеті є netcap.exe. Якщо ви збираєтеся цього інструменту в першу чергу, Network Monitor Driver буде автоматично бути налаштованим на вашій системі.
Microsoft Network Monitor Driver 3: Microsoft забезпечує нову версію Microsoft Network Monitor driver (3.x), яка також підтримується під Windows 7/Vista/2008. Starting from version 1.60, SmartSniff може використовувати цей driver до capture the network traffic.
Нова версія Microsoft Network Monitor (3.x) доступна для download from Microsoft Web site.
System Requirements
SmartSniff може отримати TCP/IP пакети на будь-якій версії операційної системи Windows (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) як тривалий вікно WinPcap capture driver installed and works properly with your network adapter.
Ви можете використовувати SmartSniff з візерунок driver of Microsoft Network Monitor, якщо він налаштований на вашій системі.
Під Windows 2000/XP (або greater), SmartSniff також дозволяє вам отримати TCP/IP пакети без налагодження будь-якого візуального driver, використовуючи 'Raw Sockets' метод. However, this capture method has some limitations and problems:
* Outgoing UDP і ICMP пакети не captured.
* На Windows XP SP1 outgoing packets не є надісланими all all – Що стосується Microsoft's bug that appeared in SP1 update… Це було fixed on SP2 update, але під Vista, Microsoft returned back the outgoing packets bug of XP/SP.
* На Windows Vista/7/8: Be aware that Raw Sockets method не має працювати над усіма системами. It's not a bug в SmartSniff, а в API of Windows operating system. Якщо ви тільки збираєтеся трафіку, намагайтеся перейти до Windows Firewall, або додати SMS-файл.
Сніффер не завжди є шкідливим. Насправді даний тип ПЗ часто використовується для аналізу мережного трафіку з метою виявлення та усунення відхилень і забезпечення безперебійної роботи. Однак сніффер може бути використаний із недобрим наміром. Сніфери аналізують все, що через них проходить, включаючи незашифровані паролі та облікові дані, тому хакери, які мають доступ до сніфера, можуть оволодіти особистою інформацією користувачів. Крім того, сніффер може бути встановлений на будь-якому комп'ютері, підключеному до локальної мережі, без необхідності його обов'язкової установки на самому пристрої - інакше кажучи, його неможливо виявити протягом усього часу підключення.
Хакери використовують сніфери для крадіжки цінних даних шляхом відстеження мережевої активності та збирання персональної інформації про користувачів. Як правило, зловмисники найбільше зацікавлені в паролях та облікових даних користувачів, щоб з їх застосуванням отримати доступ до онлайн-банкінгу та облікових записів онлайн-магазинів. Найчастіше хакери встановлюють сніфери у місцях поширення незахищеного підключення Wi-Fi, наприклад, у кафе, готелях та аеропортах. Сніфери можуть маскуватися під підключений до мережі пристрій у рамках так званої спуфінгу атаки з метою викрадення цінних даних.
Несанкціоновані сніфери вкрай складно розпізнати віртуально, оскільки вони можуть бути встановлені практично будь-де, являючи собою дуже серйозну загрозу мережевої безпеки. Звичайні користувачі часто не мають жодного шансу розпізнати відстеження свого мережевого трафіку з ніффером. Теоретично можливо встановити власний сніффер, який відстежував би весь трафік DNS на наявність інших сніферів, проте для рядового користувача набагато простіше встановити анти-сніффінгове ПЗ або антивірусне рішення, що включає захист мережної активності, щоб припинити будь-яке несанкціоноване вторгнення або приховати свої мережеві дії.
Ви можете скористатися високоефективним антивірусом для виявлення та усунення всіх типів шкідливого ПЗ, встановленого на ваш комп'ютер для сніфінгу. Однак для повного видалення сніфера з комп'ютера необхідно видалити всі папки і файли, що мають до нього відношення. Також настійно рекомендується використовувати антивірус зі сканером мережі, який ретельно перевірить локальну мережу на наявність уразливостей та проінструктує щодо подальших дій у разі їх виявлення.
Перше, що користувач може зробити, щоб захиститися від сніферів – скористатися якісним антивірусом, як безкоштовний антивірус Avast, який здатний досконало просканувати всю мережу на наявність проблем із безпекою. Додатковим і високоефективним способом захисту інформації від сніфінгу є шифрування всіх даних, що надсилаються і приймаються онлайн, включаючи листи ел. пошти. Avast SecureLine дозволяє надійно зашифрувати весь обмін даними та здійснювати дії онлайн за умов 100% анонімності.
Програма Wireshark стане чудовим помічником для тих користувачів, кому потрібно зробити детальний аналіз мережевих пакетів, – трафіку комп'ютерної мережі. Сніффер легко взаємодіє з такими поширеними протоколами, як netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6та багатьма іншими. Дозволяє при аналізі розділяти мережевий пакет на відповідні складові, згідно з певним протоколом, і видавати на екран легкочитану інформацію в числовому вигляді.
підтримує величезну кількість різноманітних форматів переданої та одержуваної інформації, здатний відкривати файли, які перебувають у користуванні інших утиліт. Принцип роботи у тому, що мережева картка перетворюється на широкомовний режим і починається перехоплення мережевих пакетів, що у зоні її видимості. Вміє працювати як програма для перехоплення пакетів wifi.
Запустивши wireshark, Ви побачите на екрані головне меню програми, розташоване у верхній частині вікна. За допомогою нього відбувається управління утилітою. Якщо вам потрібно завантажити файли, які зберігають дані про пакети, спіймані в попередніх сесіях, а також зберегти дані про інші пакети, здобуті в новому сеансі, то для цього вам знадобиться вкладка "File".
Щоб запустити функцію захоплення мережевих пакетів, користувач повинен натиснути на іконку "Capture", потім відшукати спеціальний розділ меню під назвою "Interfaces", за допомогою якого можна відкрити окреме вікно "Wireshark Capture Interfaces", де повинні будуть показані всі доступні мережеві інтерфейси, через які і буде зроблено захоплення потрібних пакетів даних. У тому випадку, коли програма (сніфер) здатна виявити тільки один відповідний інтерфейс, вона видасть на екран всю важливу інформацію про нього.
Результати роботи утиліти є прямим доказом того, що навіть якщо користувачі самостійно не займаються (в даний момент часу) передачею будь-яких даних, в мережі не припиняється обмін інформацією. Адже принцип роботи локальної мережі полягає в тому, що для підтримки її в робочому режимі кожен її елемент (комп'ютер, комутатор та інші пристрої) безперервно обмінюються один з одним службовою інформацією, тому для перехоплення таких пакетів і призначені подібні мережеві інструменти.
Є версія для Linux систем.
Варто зазначити, що сніффер дуже корисний для мережевих адміністраторіві служби комп'ютерної безпеки, адже утиліта дозволяє визначити потенційно незахищені вузли мережі - ймовірні ділянки, які можуть бути атаковані хакерами.
Крім свого прямого призначення Wireshark може використовуватися як засіб для моніторингу та подальшого аналізу мережного трафіку з метою організації атаки на незахищені ділянки мережі, адже перехоплений трафік можна використовувати для досягнення різних цілей.
У цій статті ми розглянемо створення простого сніфера під Windows.
Кому цікаво, ласкаво просимо під кат.
Сподіваюся, що Вам буде цікаво.
Для чого це може знадобитися:
Як так? Дуже просто.
Ключовим кроком у перетворенні простого мережного додатка в мережевий аналізатор є перемикання мережного інтерфейсу в режим прослуховування (promiscuous mode), що дозволить йому отримувати пакети, адресовані іншим інтерфейсам у мережі. Цей режим примушує мережу приймати всі кадри, незалежно від того, кому вони адресовані в мережі.
Починаючи з Windows 2000 (NT 5.0), створити програму для прослуховування сегмента мережі стало дуже просто, т.к. її мережний драйвер дозволяє перевести сокет у режим прийому всіх пакетів.
Йдемо далі. Відомо, що IP-пакет складається із заголовка, службової інформації та, власне, даних. Раджу заглянути сюди, щоб освіжити знання. Опишемо у вигляді структури IP-заголовок (спасибі чудової статті на RSDN):
В принципі, можна піти далі і описати заголовки всіх наступних протоколів, що знаходяться вище. Для цього необхідно аналізувати поле protocolу структурі IPHeader. Подивіться приклад коду (так, там має бути switch, чорт візьми!), де відбувається розфарбовування заголовка залежно від цього, який протокол має пакет, інкапсульований в IP:
/* * Виділення пакету кольором */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) ( if (h->xsum) SetConsoleTextColor(0x17); // якщо пакет не порожній else SetConsoleTextColor(0x07) // порожній пакет if (haddr == h-> src) ( SetConsoleTextColor (BACKGROUND_BLUE | / * BACKGROUND_INTENSITY | * / FOREGROUND_RED | FOREGROUND_INTENSITY); // "рідний" пакет на віддачу) else if (haddr = = h-> ) ( SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "рідний" пакет на прийом ) if (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP // ICMP-пакет ) else if(h->protocol == PROT_IP || h->protocol == 115) ( SetConsoleTextColor(0x4F); // IP-in-IP-пакет, L2TP ) else if(h- >protocol == 53 || h->protocol == 56) ( SetConsoleTextColor(0x4C); // TLS, IP with Encryption ) if(whost == h->dest || (0x0A); ) )
Однак це суттєво виходить за межі цієї статті. Для нашого навчального прикладу цілком достатньо буде подивитися ip-адреси хостів, з яких і на які йде трафік, і порахувати його кількість в одиницю часу (готова програма в архіві наприкінці статті).
Щоб відобразити дані IP-заголовка, необхідно реалізувати функцію перетворення заголовка (але не даних) дейтаграми в рядок. Як приклад реалізації можна запропонувати такий варіант:
Вихідний та бінарний код надаю як є, таким як він був кілька років тому. Зараз мені на нього страшно дивитися, і все ж таки, він цілком читабельний (звичайно ж, не можна бути таким самовпевненим). Для компіляції буде достатньо навіть Visual Studio Express 2005.
Що в нас вийшло в результаті:
SmartSniffдозволяє перехопити мережевий трафік і відобразити його вміст ASCII. Програма захоплює пакети, що проходять через мережевий адаптер і виводить на екран вміст пакетів у текстовому вигляді (протоколи http, pop3, smtp, ftp) та у вигляді шістнадцяткового дампа. Для захоплення TCP/IP пакетів SmartSniff використовує методики: необроблені сокети – RAW Sockets, WinCap Capture Driver та Microsoft Network Monitor Driver. Програма підтримує російську мову та проста у використанні.
![]() |
SmartSniff відображає таку інформацію: назва протоколу, локальна та віддалена адреса, локальний та віддалений порт, локальний вузол, назва служби, обсяг даних, загальний розмір, час захоплення та час останнього пакета, тривалість, локальна та віддалена МАС адреса, країни та зміст пакету даних . Програма має гнучкі налаштування, в ній реалізована функція фільтра захоплення, розпакування відповідей http, перетворення ip адреси, утиліта згортається в системний трей. SmartSniff формує звіт про потоки пакетів у вигляді HTML сторінки. У програмі можна виконати експорт потоків TCP/IP.