Farejadores- estes são programas que interceptam
todo o tráfego da rede. Sniffers são úteis para diagnóstico de rede (para administradores) e
para interceptar senhas (está claro para quem :)). Por exemplo, se você obteve acesso a
uma máquina de rede e instalei um sniffer lá,
então em breve todas as senhas de
suas sub-redes serão suas. Conjunto de farejadores
placa de rede em escuta
modo (PROMISC), ou seja, eles recebem todos os pacotes. Localmente você pode interceptar
todos os pacotes enviados de todas as máquinas (se você não estiver separado por nenhum hub),
Então
Como a radiodifusão é praticada lá?
Sniffers podem interceptar tudo
pacotes (o que é muito inconveniente, o arquivo de log fica cheio muito rápido,
mas para uma análise de rede mais detalhada é perfeito)
ou apenas os primeiros bytes de todos os tipos de
ftp, telnet, pop3, etc. (esta é a parte divertida, geralmente nos primeiros 100 bytes
contém nome de usuário e senha :)). Farejadores agora
divorciado... Existem muitos farejadores
tanto no Unix quanto no Windows (mesmo no DOS existe :)).
Farejadores podem
suporta apenas um eixo específico (por exemplo linux_sniffer.c, que
suporta Linux :)), ou vários (por exemplo Sniffit,
funciona com BSD, Linux, Solaris). Os farejadores ficaram tão ricos porque
que as senhas sejam transmitidas pela rede em texto não criptografado.
Tais serviços
bastante. Estes são telnet, ftp, pop3, www, etc. Esses serviços
usa muito
pessoas :). Após o boom do farejador, vários
algoritmos
criptografia desses protocolos. SSH apareceu (uma alternativa
suporte telnet
criptografia), SSL (Secure Socket Layer - um desenvolvimento Netscape que pode criptografar
www sessão). Todos os tipos de Kerberous, VPN (Virtual Private
Rede). Alguns AntiSniffs, ifstatus, etc. foram usados. Mas isto não é fundamentalmente
mudou a situação. Serviços que usam
transmitindo senha em texto simples
estão acostumados ao máximo :). Portanto, eles ficarão farejando por muito tempo :).

Implementações de sniffer do Windows

linsniffer
Este é um farejador simples para interceptar
logins/senhas. Compilação padrão (gcc -o linsniffer
linsniffer.c).
Os logs são gravados em tcp.log.

linux_sniffer
Linux_sniffer
necessário quando você quiser
estude a rede em detalhes. Padrão
compilação. Distribui todo tipo de porcaria extra,
como is, ack, syn, echo_request (ping), etc.

Cheirar
Sniffit - modelo avançado
farejador escrito por Brecht Claerhout. Instalar (precisa
libcap):
#./configure
#fazer
Agora vamos lançar
farejador:
#./sniffit
uso: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
porta] [(-r|-R) arquivo de registro]
[-l sniflen] [-L logparam] [-F snifdevice]
[-Plugin-M]
[-D tty] (-t | -s ) |
(-eu|-eu) | -c ]
Plug-ins disponíveis:
0 - manequim
Plugar
1 - Plug-in DNS

Como você pode ver, o sniffit suporta muitos
opções. Você pode usar o sniffak interativamente.
Cheire embora
um programa bastante útil, mas eu não o uso.
Por que? Porque cheirar
grandes problemas com proteção. Para o Sniffit um root remoto e dos já foram liberados para
Linux e Debian! Nem todo farejador se permite fazer isso :).

CAÇAR
Esse
meu cheiro favorito. É muito fácil de usar,
suporta muita coisa legal
chips e atualmente não tem problemas de segurança.
Além disso, não muito
exigente de bibliotecas (como linsniffer e
Linux_sniffer). Ele
pode interceptar conexões atuais em tempo real e
limpe o dump de um terminal remoto. EM
em geral, sequestrar
regrazz :). Eu recomendo
todos para uso aprimorado :).
Instalar:
#fazer
Correr:
#caçar -eu

LEIAMB
O sniffer READSMB é cortado do LophtCrack e portado para
Unix (por incrível que pareça :)). Readsmb intercepta SMB
pacotes.

TCPDUMP
tcpdump é um analisador de pacotes bastante conhecido.
Escrito
pessoa ainda mais famosa - Van Jacobson, que inventou a compressão VJ para
PPP e escrevi um programa traceroute (e quem sabe o que mais?).
Requer uma biblioteca
Libcap.
Instalar:
#./configure
#fazer
Agora vamos lançar
dela:
#tcpdump
tcpdump: ouvindo no ppp0
Todas as suas conexões são exibidas em
terminal. Aqui está um exemplo de saída de ping

ftp.technotronic. com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domínio: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domínio > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: eco
solicitar
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: eco
responder
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: eco
solicitar
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: eco
responder
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: eco
solicitar
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: eco
responder

Em geral, sniff é útil para depurar redes,
solução de problemas e
etc.

Dsniff
Dsniff requer libpcap, ibnet,
libnids e OpenSSH. Registra apenas comandos inseridos, o que é muito conveniente.
Aqui está um exemplo de log de conexão
em unix-shells.com:

02/18/01
03:58:04 tcp meu.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
eu
senha
Quem
durar
saída

Aqui
dsniff interceptou o login e a senha (stalsen/asdqwe123).
Instalar:
#./configure
#fazer
#fazer
instalar

Proteção contra farejadores

A maneira mais segura de se proteger contra
farejadores -
use ENCRYPTION (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL, etc.). Bem
e se você não quiser desistir dos serviços de texto simples e instalar adicionais
pacotes :)? Então é hora de usar pacotes anti-sniffer...

AntiSniff para Windows
Este produto foi lançado por um grupo famoso
Sótão. Foi o primeiro produto desse tipo.
AntiSniff conforme indicado em
Descrição:
"AntiSniff é uma ferramenta orientada por interface gráfica de usuário (GUI) para
detectando placas de interface de rede (NICs) promíscuas em sua rede local
segmento". Em geral, ele captura cartas no modo promisc.
Suporta enorme
número de testes (teste DNS, teste ARP, teste de ping, ICMP Time Delta
Teste, Teste de Eco, Teste PingDrop). Pode ser digitalizado como um carro,
e a grade. Há
suporte de registro. AntiSniff funciona em win95/98/NT/2000,
embora recomendado
Plataforma NT. Mas o seu reinado durou pouco e em breve
vez, apareceu um sniffer chamado AntiAntiSniffer :),
escrito por Mike
Perry (Mike Perry) (você pode encontrá-lo em www.void.ru/news/9908/snoof.txt).
baseado no LinSniffer (discutido abaixo).

Detecção de farejador Unix:
Farejador
pode ser encontrado com o comando:

#ifconfig -a
lo Link encap:Local
Loopback
endereço inet:127.0.0.1 Máscara:255.0.0.0
ACIMA.
MTU DE EXECUÇÃO DE LOOPBACK: Métrica 3924: 1
Pacotes RX:2373 erros:0
descartado:0 excedentes:0 quadro:0
Pacotes TX:2373 erros:0 descartados:0
excedentes:0 operadora:0
colisões:0 txqueuelen:0

Link ppp0
encap:Protocolo ponto a ponto
endereço inet:195.170.y.x
PtP:195.170.yx Máscara:255.255.255.255
PROMÍSICA PONTO A PONTO ACIMA
EXECUÇÃO NOARP MULTICAST MTU:1500 Métrica:1
Pacotes RX: 3281
erros:74 descartados:0 excessos:0 quadro:74
Pacotes TX:3398 erros:0
descartados:0 excedentes:0 operadora:0
colisões:0 txqueuelen:10

Como
você vê que a interface ppp0 está no modo PROMISC. Qualquer operador
farejamento carregado para
verificações de rede, ou eles já têm você... Mas lembre-se,
que ifconfig pode ser feito com segurança
falsificação, então use o tripwire para detectar
mudanças e todos os tipos de programas
para verificar se há cheiros.

AntiSniff para Unix.
Trabalha para
BSD, Solaris e
Linux. Suporta teste de tempo de ping/icmp, teste arp, teste de eco, dns
teste, teste etherping, em geral um análogo do AntiSniff for Win, apenas para
Unix:).
Instalar:
#make linux-tudo

Sentinela
Também é um programa útil para
pegando farejadores. Suporta muitos testes.
Fácil de
usar.
Instale: #make
#./sentinela
./sentinel [-t
]
Métodos:
[-um teste ARP]
[ -d teste DNS
]
[ -i Teste de latência de ping ICMP ]
[ -e teste ICMP Etherping
]
Opções:
[-f ]
[ -v Mostrar versão e
saída ]
[-n ]
[ -EU
]

As opções são tão simples que não
comentários.

MAIS

Aqui estão mais alguns
utilitários para verificar sua rede (por
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detector de modo PROMISC para placas Ethernet (para Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Detector Ethernet promíscuo de rede (requer libcap e Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- verifica os dispositivos do sistema para detectar sniffs.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus testa interfaces de rede no modo PROMISC.

Os analisadores de pacotes de rede, ou sniffers, foram originalmente desenvolvidos como um meio de resolver problemas de rede. Eles são capazes de interceptar, interpretar e armazenar pacotes transmitidos pela rede para posterior análise. Por um lado, isso permite que administradores de sistema e engenheiros de suporte técnico observem como os dados são transferidos pela rede, diagnostiquem e corrijam os problemas que surgirem. Nesse sentido, os farejadores de pacotes são uma ferramenta poderosa para diagnosticar problemas de rede. Por outro lado, como muitas outras ferramentas poderosas originalmente destinadas à administração, com o tempo, os sniffers começaram a ser usados ​​para finalidades completamente diferentes. Na verdade, um sniffer nas mãos de um invasor é uma ferramenta bastante perigosa e pode ser usada para obter senhas e outras informações confidenciais. No entanto, você não deve pensar que os sniffers são algum tipo de ferramenta mágica através da qual qualquer hacker pode visualizar facilmente informações confidenciais transmitidas pela rede. E antes de provarmos que o perigo representado pelos farejadores não é tão grande como muitas vezes é apresentado, consideremos mais detalhadamente os princípios do seu funcionamento.

Princípios operacionais de farejadores de pacotes

Mais adiante neste artigo, consideraremos apenas farejadores de software projetados para redes Ethernet. Um sniffer é um programa que opera no nível do adaptador de rede NIC (placa de interface de rede) (camada de link) e intercepta secretamente todo o tráfego. Como os sniffers operam na camada de enlace de dados do modelo OSI, eles não precisam seguir as regras dos protocolos de camada superior. Os farejadores ignoram os mecanismos de filtragem (endereços, portas, etc.) que os drivers Ethernet e a pilha TCP/IP usam para interpretar os dados. Os farejadores de pacotes capturam do fio tudo o que passa por ele. Os farejadores podem armazenar quadros em formato binário e posteriormente descriptografá-los para revelar informações de nível superior ocultas em seu interior (Figura 1).

Para que o sniffer capture todos os pacotes que passam pelo adaptador de rede, o driver do adaptador de rede deve suportar o modo promíscuo. É neste modo de operação do adaptador de rede que o sniffer consegue interceptar todos os pacotes. Este modo de operação do adaptador de rede é ativado automaticamente quando o sniffer é iniciado ou definido manualmente pelas configurações correspondentes do sniffer.

Todo o tráfego interceptado é passado para um decodificador de pacotes, que identifica e divide os pacotes nos níveis de hierarquia apropriados. Dependendo das capacidades de um sniffer específico, as informações do pacote fornecidas podem posteriormente ser analisadas e filtradas.

Limitações do uso de farejadores

Os farejadores representavam o maior perigo naquela época em que as informações eram transmitidas pela rede em texto não criptografado (sem criptografia) e as redes locais eram construídas com base em concentradores (hubs). No entanto, estes dias acabaram irrevogavelmente e hoje em dia usar sniffers para obter acesso a informações confidenciais não é de forma alguma uma tarefa fácil.

O fato é que na construção de redes locais baseadas em hubs, existe um determinado meio comum de transmissão de dados (cabo de rede) e todos os nós da rede trocam pacotes, competindo pelo acesso a esse meio (Fig. 2), e um pacote enviado por uma rede O nó é transmitido para todas as portas do hub e este pacote é escutado por todos os outros nós da rede, mas apenas o nó ao qual ele é endereçado o recebe. Além disso, se um sniffer de pacotes estiver instalado em um dos nós da rede, ele poderá interceptar todos os pacotes de rede relacionados a um determinado segmento de rede (a rede formada pelo hub).

Os switches são dispositivos mais inteligentes que os hubs de transmissão e isolam o tráfego de rede. O switch conhece os endereços dos dispositivos conectados a cada porta e transmite pacotes apenas entre as portas necessárias. Isso permite descarregar outras portas sem ter que encaminhar todos os pacotes para elas, como faz um hub. Assim, um pacote enviado por um determinado nó da rede é transmitido apenas para a porta do switch à qual o destinatário do pacote está conectado, e todos os outros nós da rede não são capazes de detectar este pacote (Fig. 3).

Portanto, se a rede for construída com base em um switch, um sniffer instalado em um dos computadores da rede será capaz de interceptar apenas os pacotes que são trocados entre este computador e outros nós da rede. Com isso, para poder interceptar pacotes que o computador ou servidor de interesse do invasor troca com outros nós da rede, é necessário instalar um sniffer neste computador (servidor) específico, o que na verdade não é tão simples. No entanto, você deve ter em mente que alguns farejadores de pacotes são iniciados a partir da linha de comando e podem não ter uma interface gráfica. Tais sniffers, em princípio, podem ser instalados e iniciados remotamente e despercebidos pelo usuário.

Além disso, você também deve ter em mente que, embora os switches isolem o tráfego de rede, todos os switches gerenciados possuem funcionalidade de encaminhamento de porta ou espelhamento de porta. Ou seja, a porta do switch pode ser configurada de forma que todos os pacotes que chegam em outras portas do switch sejam duplicados nela. Se, neste caso, um computador com um sniffer de pacotes estiver conectado a essa porta, ele poderá interceptar todos os pacotes trocados entre computadores em um determinado segmento de rede. No entanto, como regra, a capacidade de configurar o switch está disponível apenas para o administrador da rede. Isso, é claro, não significa que ele não possa ser um invasor, mas um administrador de rede tem muitas outras maneiras de controlar todos os usuários da rede local e é improvável que ele monitore você de maneira tão sofisticada.

Outra razão pela qual os sniffers não são mais tão perigosos como antes é que a maioria dos dados confidenciais agora são transmitidos criptografados. Os serviços abertos e não criptografados estão desaparecendo rapidamente da Internet. Por exemplo, ao visitar websites, o protocolo SSL (Secure Sockets Layer) é cada vez mais utilizado; SFTP (FTP Seguro) é usado em vez de FTP aberto, e redes privadas virtuais (VPNs) são cada vez mais usadas para outros serviços que não usam criptografia por padrão.

Portanto, aqueles preocupados com o potencial de uso malicioso de farejadores de pacotes devem ter em mente o seguinte. Primeiro, para representar uma ameaça séria à sua rede, os farejadores devem estar localizados dentro da própria rede. Em segundo lugar, os actuais padrões de encriptação tornam extremamente difícil a intercepção de informações sensíveis. Portanto, atualmente, os farejadores de pacotes estão gradualmente perdendo sua relevância como ferramentas de hackers, mas ao mesmo tempo continuam sendo uma ferramenta eficaz e poderosa para diagnosticar redes. Além disso, os sniffers podem ser usados ​​com sucesso não apenas para diagnosticar e localizar problemas de rede, mas também para auditar a segurança da rede. Em particular, o uso de analisadores de pacotes permite detectar tráfego não autorizado, detectar e identificar software não autorizado, identificar protocolos não utilizados para removê-los da rede, gerar tráfego para testes de penetração (teste de penetração) para verificar o sistema de segurança, trabalhar com sistemas de detecção de intrusão (Sistema de Detecção de Intrusão (IDS).

Visão geral dos farejadores de pacotes de software

Todos os farejadores de software podem ser divididos em duas categorias: farejadores que suportam inicialização a partir da linha de comando e farejadores que possuem uma interface gráfica. No entanto, notamos que existem farejadores que combinam essas duas capacidades. Além disso, os sniffers diferem entre si nos protocolos que suportam, na profundidade da análise dos pacotes interceptados, na capacidade de configurar filtros e na possibilidade de compatibilidade com outros programas.

Normalmente, a janela de qualquer sniffer com interface gráfica consiste em três áreas. O primeiro deles exibe os dados resumidos dos pacotes interceptados. Normalmente esta área apresenta um mínimo de campos, nomeadamente: tempo de intercepção de pacotes; Endereços IP do remetente e destinatário do pacote; Endereços MAC do remetente e destinatário do pacote, endereços de porta de origem e destino; tipo de protocolo (camada de rede, transporte ou aplicação); algumas informações resumidas sobre os dados interceptados. A segunda área exibe informações estatísticas sobre o pacote selecionado individualmente e, finalmente, a terceira área exibe o pacote em formato de caracteres hexadecimais ou ASCII.

Quase todos os farejadores de pacotes permitem analisar pacotes decodificados (é por isso que os farejadores de pacotes também são chamados de analisadores de pacotes ou analisadores de protocolo). O sniffer distribui pacotes interceptados através de camadas e protocolos. Alguns farejadores de pacotes são capazes de reconhecer o protocolo e exibir as informações capturadas. Esse tipo de informação geralmente é exibida na segunda área da janela do sniffer. Por exemplo, qualquer sniffer pode reconhecer o protocolo TCP, e sniffers avançados podem determinar qual aplicativo gerou esse tráfego. A maioria dos analisadores de protocolo reconhece mais de 500 protocolos diferentes e pode descrevê-los e decodificá-los pelo nome. Quanto mais informações um sniffer puder decodificar e exibir na tela, menos terá que ser decodificado manualmente.

Um problema que os farejadores de pacotes podem encontrar é a incapacidade de identificar corretamente um protocolo usando uma porta diferente da porta padrão. Por exemplo, para melhorar a segurança, alguns aplicativos conhecidos podem ser configurados para usar portas diferentes das portas padrão. Assim, em vez da tradicional porta 80, reservada para o servidor web, este servidor pode ser reconfigurado à força para a porta 8088 ou qualquer outra. Alguns analisadores de pacotes nesta situação não conseguem determinar corretamente o protocolo e exibir apenas informações sobre o protocolo de nível inferior (TCP ou UDP).

Existem sniffers de software que vêm com módulos analíticos de software como plug-ins ou módulos integrados que permitem criar relatórios com informações analíticas úteis sobre o tráfego interceptado.

Outra característica da maioria dos softwares analisadores de pacotes é a capacidade de configurar filtros antes e depois da captura do tráfego. Os filtros selecionam determinados pacotes do tráfego geral de acordo com um determinado critério, o que permite eliminar informações desnecessárias na análise do tráfego.

O programa Wireshark será um excelente auxiliar para aqueles usuários que precisam realizar uma análise detalhada de pacotes de rede - tráfego de rede de computadores. O sniffer interage facilmente com protocolos comuns como netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 e muitos outros. Durante a análise, permite separar um pacote de rede nos componentes apropriados, de acordo com um protocolo específico, e exibir informações legíveis em forma numérica na tela.
suporta um grande número de diferentes formatos de informações transmitidas e recebidas e é capaz de abrir arquivos que são usados ​​por outros utilitários. O princípio de funcionamento é que a placa de rede entre no modo broadcast e comece a interceptar pacotes de rede que estão em sua área de visibilidade. Pode funcionar como um programa para interceptar pacotes wifi.

Como usar o wirehark

O programa estuda o conteúdo dos pacotes de informações que passam pela rede. Para iniciar e utilizar os resultados do sniffer, você não precisa de nenhum conhecimento específico, basta abri-lo no menu “Iniciar” ou clicar no ícone da área de trabalho (lançá-lo não é diferente de qualquer outro programa do Windows) . Uma função especial do utilitário permite capturar pacotes de informações, descriptografar cuidadosamente seu conteúdo e devolvê-los ao usuário para análise.

Após iniciar o wireshark, você verá o menu principal do programa na tela, localizado na parte superior da janela. É usado para controlar o utilitário. Se você precisar carregar arquivos que armazenam dados sobre pacotes capturados em sessões anteriores, bem como salvar dados sobre outros pacotes capturados em uma nova sessão, você precisará da guia “Arquivo” para fazer isso.

Para iniciar a função de captura de pacotes de rede, o usuário deve clicar no ícone "Capturar" e, em seguida, encontrar uma seção de menu especial chamada "Interfaces", com a qual você pode abrir uma janela separada "Wireshark Capture Interfaces", onde todas as interfaces de rede disponíveis devem será mostrado, através do qual serão capturados os pacotes de dados necessários. Caso o programa (sniffer) consiga detectar apenas uma interface adequada, ele exibirá na tela todas as informações importantes sobre ela.

Os resultados do trabalho da concessionária são uma evidência direta de que, mesmo que os usuários não estejam engajados de forma independente (em um determinado momento) na transmissão de quaisquer dados, a troca de informações na rede não para. Afinal, o princípio de funcionamento de uma rede local é que para mantê-la em modo de operação, cada um de seus elementos (computador, switch e outros dispositivos) trocam continuamente informações de serviço entre si, portanto tais ferramentas de rede são projetadas para interceptar tais pacotes.

Também existe uma versão para sistemas Linux.

Deve-se notar que O sniffer é extremamente útil para administradores de rede e serviços de segurança de computadores, porque o utilitário permite identificar nós de rede potencialmente desprotegidos - áreas prováveis ​​que podem ser atacadas por hackers.

Além de sua finalidade direta, o Wireshark pode ser utilizado como ferramenta de monitoramento e análise posterior do tráfego de rede a fim de organizar um ataque a áreas desprotegidas da rede, pois o tráfego interceptado pode ser utilizado para atingir diversos objetivos.


Cada membro da equipe ][ tem suas próprias preferências em relação a software e utilitários para
teste de caneta. Após consulta, descobrimos que a escolha varia tanto que é possível
crie um verdadeiro conjunto de programas comprovados para cavalheiros. É isso
decidiu. Para não fazer confusão, dividimos toda a lista em tópicos - e em
Desta vez abordaremos utilitários para detectar e manipular pacotes. Use-o em
saúde.

Wireshark

Netcat

Se falamos sobre interceptação de dados, então Mineiro de rede será tirado do ar
(ou de um dump pré-preparado em formato PCAP) arquivos, certificados,
imagens e outras mídias, bem como senhas e outras informações para autorização.
Um recurso útil é pesquisar as seções de dados que contêm palavras-chave
(por exemplo, login do usuário).

Escapar

Local na rede Internet:
www.secdev.org/projects/scapy

Um item obrigatório para qualquer hacker, é uma ferramenta poderosa para
manipulação interativa de pacotes. Receba e decodifique pacotes da maioria
protocolos diferentes, responder à solicitação, injetar o modificado e
um pacote criado por você - tudo é fácil! Com sua ajuda você pode realizar um todo
uma série de tarefas clássicas, como varredura, tracorute, ataques e detecção
infraestrutura de rede. Em uma garrafa, obtemos um substituto para esses utilitários populares,
como: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f, etc. Em que
já estava na hora Escapar permite que você execute qualquer tarefa, mesmo a mais específica
uma tarefa que nunca poderá ser realizada por outro desenvolvedor já criado
significa. Em vez de escrever uma montanha de linhas em C para, por exemplo,
gerar o pacote errado e confundir algum daemon é o suficiente
insira algumas linhas de código usando Escapar! O programa não tem
interface gráfica, e a interatividade é alcançada através do intérprete
Pitão. Depois de pegar o jeito, não custará nada criar
pacotes, injetam os quadros 802.11 necessários, combinam diferentes abordagens em ataques
(digamos, envenenamento de cache ARP e salto de VLAN), etc. Os próprios desenvolvedores insistem
para garantir que os recursos do Scapy sejam usados ​​em outros projetos. Conectando
como módulo, é fácil criar um utilitário para vários tipos de pesquisa local,
busca por vulnerabilidades, injeção de Wi-Fi, execução automática de específicos
tarefas, etc

pacote

Local na rede Internet:
Plataforma: *nix, existe uma porta para Windows

Um desenvolvimento interessante que permite, por um lado, gerar qualquer
pacote ethernet e, por outro lado, enviar sequências de pacotes com a finalidade
verificações de largura de banda. Ao contrário de outras ferramentas semelhantes, pacote
possui uma interface gráfica, permitindo criar pacotes da forma mais simples possível
forma. Além disso. A criação e envio são especialmente elaborados
sequências de pacotes. Você pode definir atrasos entre o envio,
envie pacotes na velocidade máxima para testar o rendimento
seção da rede (sim, é aqui que eles farão o arquivamento) e, o que é ainda mais interessante -
alterar dinamicamente parâmetros em pacotes (por exemplo, endereço IP ou MAC).

Um sniffer é outro nome para analisador de tráfego - é um programa ou outro dispositivo de hardware que intercepta e analisa o tráfego de rede. Atualmente, esses programas têm uma justificativa totalmente legal, portanto são amplamente utilizados na Internet, mas podem ser usados ​​tanto para o bem quanto para o mal.

A história de sua origem remonta à década de 90, quando hackers que usavam esse software podiam facilmente capturar o login e a senha de um usuário, que na época eram criptografados de maneira muito fraca.

A palavra farejador vem do inglês. cheirar - cheirar, o princípio de funcionamento é que este programa registros e análises programas instalados em máquinas que transmitem pacotes de informações. Para que a operação de leitura das informações seja eficaz, ela deve estar localizada próxima ao PC principal.

Programadores usam este aplicativo para análise de tráfego, outros objetivos são perseguidos por hackers na rede: eles rastreiam senhas ou outras informações de que precisam.

Tipos de analisadores de tráfego

Os sniffers variam em tipo; podem ser miniaplicativos online ou aplicativos instalados diretamente em um computador, que por sua vez são divididos em hardware e software-hardware.

Na maioria das vezes eles são usados interceptar senhas, neste caso o aplicativo ganha acesso aos códigos das informações criptografadas. Isso pode trazer enormes transtornos ao usuário, pois muitas vezes há casos em que vários programas ou sites possuem as mesmas senhas, o que acaba levando à perda de acesso aos recursos necessários.

Existe um tipo de sniffing que serve para interceptar um snapshot da RAM, pois é difícil ler as informações constantemente sem consumir a potência do processador. Detectar espião possível monitorando a carga máxima de arquivos do PC durante a operação.

Outro tipo de programa funciona com um grande canal de transmissão de dados, e a praga pode gerar protocolos de até 10 megabytes todos os dias.

Como funciona

Os analisadores funcionam apenas com protocolos TCP/IP; tais programas requerem uma conexão com fio, por exemplo, roteadores que distribuem a Internet. A transferência de dados é realizada por meio de pacotes separados, que, quando o objetivo final é alcançado, voltam a ser um todo único. Eles também são capazes de interceptar pacotes em qualquer estágio da transmissão e obter junto com eles informações valiosas na forma de senhas desprotegidas. Em qualquer caso, com a ajuda de programas de descriptografia é possível obter a chave até mesmo de uma senha protegida.

A maneira mais fácil de usar farejadores de WiFi é em redes com proteção fraca - em cafés, locais públicos, etc.

Os provedores que usam esses programas podem rastrear acesso não autorizado para endereços de sistema externo.

Como se proteger de farejadores

Para entender que alguém invadiu a rede local, primeiro você deve prestar atenção velocidade de download do pacote, se for significativamente menor do que o indicado, isso deverá alertá-lo. Você pode monitorar o desempenho do seu computador usando o Gerenciador de Tarefas. Você pode usar utilitários especiais, mas na maioria das vezes eles entram em conflito com o firewall do Windows, por isso é melhor desativá-lo por um tempo.

Para administradores de sistema, verificar e procurar analisadores de tráfego na rede local é uma tarefa necessária. Para detectar aplicativos maliciosos, você pode usar antivírus de rede conhecidos, como Doctor Web ou Kaspersky Anti-Virus, que permitem detectar pragas em hosts remotos e diretamente na rede local.

Além de aplicativos especiais que são simplesmente instalados em seu computador, você pode usar senhas mais complexas e sistemas criptográficos. Os sistemas criptográficos trabalham diretamente com as informações, criptografando-as por meio de assinatura eletrônica.

Visão geral do aplicativo e principais recursos

CommView

O CommView decodifica pacotes de informações transmitidas e exibe estatísticas dos protocolos utilizados na forma de diagramas. O farejador de tráfego permite analisar pacotes IP e aqueles que são necessários. Sniffer para Windows funciona com protocolos conhecidos: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, etc. O CommView funciona com modems Ethernet, wi-fi e outros. Os pacotes são capturados através de uma conexão estabelecida usando o “ AtualPI- conexões", onde você pode criar aliases de endereço.

Aba " Pacotes» exibe informações sobre eles e podem ser copiados para a área de transferência.

« REGISTRO-arquivos» permite visualizar pacotes no formato NFC.

Aba " Regras" Aqui você pode definir as condições para interceptação de pacotes. Seções desta aba: Endereços IP, Endereços MAC, Portas, Processo, Fórmulas e Parâmetros individuais.

« Aviso": permite configurar notificações na rede local, opera através do botão "Adicionar". Aqui você pode definir condições e tipos de eventos:

  • "Pacotes por segundo" - quando o nível de carga da rede é excedido.
  • “Bytes por segundo” - quando a frequência de transmissão de dados é excedida.
  • “Endereço desconhecido”, ou seja, detecção de conexões não autorizadas.

Aba " Visualizar»—as estatísticas de tráfego são refletidas aqui.

O CommView é compatível com Windows 98, 2000, XP, 2003. É necessário um adaptador Ethernet para usar o aplicativo.

Vantagens: interface amigável em russo, suporta tipos comuns de adaptadores de rede, estatísticas são visualizadas. A única desvantagem é o preço alto.

Rede espiã

Spynet executa as funções de decodificação de pacotes e interceptação deles. Com sua ajuda, você pode recriar as páginas que o usuário visitou. Consiste em 2 programas CaptureNet e PipeNet. É conveniente usar em uma rede local. O CaptureNet verifica os pacotes de dados, um segundo programa monitora o processo.

A interface é bastante simples:

  • Botão Modificar Filtro– configuração de filtros.
  • Botão Camada 2,3 – instala protocolos Flame – IP; Camada 3 – TCP.
  • Botão Padrão Coincidindo procura pacotes com os parâmetros especificados.
  • Botão PIEndereços permite digitalizar os endereços IP necessários que transmitem informações de interesse. (Opções 1-2, 2-1, 2=1). Neste último caso, todo o tráfego.
  • Botão Portas, ou seja, seleção de portas.

Para interceptar os dados é necessário executar o programa Capture Start, ou seja, inicia-se o processo de interceptação de dados. O arquivo com as informações salvas é copiado somente após o comando Stop, ou seja, encerramento das ações de captura.

A vantagem do Spynet é a capacidade de decodificar as páginas da web que o usuário visitou. O programa também pode ser baixado gratuitamente, embora seja bastante difícil de encontrar. As desvantagens incluem um pequeno conjunto de recursos do Windows. Funciona no Windows XP, Vista.

BUTTSniffer

BUTTSniffer analisa pacotes de rede diretamente. O princípio de funcionamento é a interceptação dos dados transmitidos, bem como a possibilidade de salvá-los automaticamente em um meio, o que é muito conveniente. Este programa é lançado via linha de comando. Existem também opções de filtro. O programa consiste em BUTTSniff.exe e BUTTSniff. dll.

Desvantagens significativas do BUTTSniffer incluem operação instável, travamentos frequentes e até travamento do sistema operacional (tela azul da morte).

Além desses programas sniffer, existem muitos outros igualmente conhecidos: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Existem também sniffers online, que, além de obterem o endereço IP da vítima, alteram diretamente o endereço IP do invasor. Aqueles. O hacker primeiro se registra com um endereço IP e envia ao computador da vítima uma imagem que precisa ser baixada ou um e-mail que só precisa ser aberto. Depois disso, o hacker recebe todos os dados necessários.

Vale lembrar que interferir nos dados do computador de outra pessoa é crime.