This page has been robot translated, sorry for typos if any. Original content here.

Sniffer

Снифферы
Wireshark Sniffer (früher Ethereal)

Traffic Analyzer oder Sniffer (von Englisch bis Sniff - Sniff) - ein Programm oder Gerät zum Abfangen und Analysieren des Netzwerkverkehrs (Ihres und / oder eines anderen).

Sniffer kann nur analysieren, was seine Netzwerkkarte passiert. Innerhalb eines Ethernet-Segments werden alle Pakete an alle Maschinen gesendet. Dadurch ist es möglich, die Informationen anderer Personen abzufangen. Die Verwendung von Switches (Switch, Switch-Hub) und deren kompetente Konfiguration ist bereits ein Hörschutz. Zwischen den Segmenten werden Informationen über Switches übertragen. Paketvermittlung ist eine Form der Übertragung, bei der Daten, die in getrennte Pakete unterteilt sind, von einem Quellenpunkt zu einem Ziel auf verschiedenen Wegen gesendet werden können. Wenn also jemand in einem anderen Segment Pakete sendet, sendet der Switch diese Daten nicht an Ihr Segment.

Verkehrsüberwachung kann durchgeführt werden:

  • das übliche "Abhören" der Netzwerkschnittstelle (die Methode ist effektiv, wenn Hubs (Hubs) anstelle von Switches (Switches) im Segment verwendet werden, andernfalls ist die Methode unwirksam, da nur separate Frames auf den Sniffer fallen);
  • Verbinden eines Sniffer mit einem Kanalbruch;
  • Abzweig von (Software oder Hardware) Datenverkehr und Senden an den Sniffer (Network Tap);
  • durch die Analyse unerwünschter elektromagnetischer Strahlung und die Wiedererlangung des Verkehrs, der auf diese Weise gehört wurde;
  • über einen Angriff auf Link (2) (MAC-Spoofing) oder Netzwerk (3) (IP-Spoofing), was dazu führt, dass der Datenverkehr des Opfers oder der gesamte Segmentverkehr zum Sniffer umgeleitet wird und der Verkehr an die richtige Adresse zurückgegeben wird.

Inhalt des Artikels

Sniffer sind Programme, die den gesamten Netzwerkverkehr abfangen. Sniffer sind nützlich für die Netzwerkdiagnose (für Administratoren) und zum Abhören von Passwörtern (für wen verstehen) :) ). Wenn Sie beispielsweise Zugriff auf eine Netzwerkmaschine haben und dort einen Sniffer installiert haben, werden bald alle Passwörter aus ihrem Subnetz zu Ihren gehören. Sniffer versetzt die Netzwerkkarte in den Listening-Modus (PROMISC), dh sie empfängt alle Pakete. Im LAN können Sie alle gesendeten Pakete von allen Computern abfangen (wenn Sie nicht durch alle Hubs getrennt sind), da das Broadcasting dort praktiziert wird. Sniffer kann alle Pakete abfangen (was sehr unpraktisch ist, die Protokolldatei läuft sehr schnell über, aber für eine detailliertere Analyse des Netzwerks ist dies die größte) oder nur die ersten Bytes von FTP, Telnet, Pop3 usw. (Dies ist der größte Spaß, normalerweise enthalten die ersten 100 Bytes den Namen und das Passwort :) ). Sniffer ist jetzt geschieden ... Es gibt viele Sniffer unter Unix und Windows (sogar unter DOS gibt es) :) ). Sniffer kann nur eine bestimmte Achse unterstützen (z. B. linux_sniffer.c), die Linux unterstützt :) ) oder mehrere (zum Beispiel Sniffit, arbeitet mit BSD, Linux, Solaris). Sniffer war so sauer, dass Passwörter im Klartext über das Netzwerk übertragen werden. Viele solcher Dienstleistungen. Dies ist Telnet, FTP, Pop3, Www usw. Viele Menschen nutzen diese Dienste. :) . Nach dem Boom der Sniffer begannen verschiedene Verschlüsselungsalgorithmen für diese Protokolle zu erscheinen. Als SSH (Alternative zu Telnet, das Verschlüsselung unterstützt), SSL (Secure Socket Layer ist eine Netscape-Entwicklung, die eine WWW-Sitzung verschlüsseln kann). Erschienen alle Arten von Kerberous, VPN (Virtual Private Network). Einige AntiSniffs, ifstats usw. Dies hat die Situation jedoch nicht grundlegend geändert. Dienste, die die Nur-Text-Kennwortübertragung verwenden, werden voll genutzt. :) . Daher wird das Schnüffeln lange dauern :) .

Windows Sniffer-Implementierung

CommView - www.tamos.com
Ziemlich fortgeschrittener Produktions-Sniffer TamoSoft. Sie können Ihre Regeln für das Sniffing festlegen (z. B. ICMP und TCP-Sniffing ignorieren sowie Internetprotokolle unterstützen, Ethernet-Protokolle werden unterstützt, z. B. ARP, SNMP, NOVELL usw.). Sie können zum Beispiel nur eingehende Pakete auskundschaften und den Rest ignorieren. Sie können eine Protokolldatei für alle Pakete mit Größenbeschränkungen in Mega angeben. Es verfügt über zwei Tools - Packet Generator und Vendor Indentifier NIC. Sie können alle Details der gesendeten / empfangenen Pakete anzeigen (z. B. können Sie im TCP-Paket Quellport, Zielport, Datenlänge, Prüfsumme, Sequenz, Fenster, Bestätigung, Flags, Dringlich anzeigen). Die gute Nachricht ist, dass der CAPTURE-Treiber automatisch installiert wird. Im Allgemeinen ist das Tool sehr nützlich für das Schnüffeln. Ich kann es jedem empfehlen.

SpyNet - packetstorm.securify.com
Bekanntes Schnüfflerprodukt Laurentiu Nicula 2000 :) . Gemeinsame Funktionen sind Packet Capture / Decoding. Obwohl die Dekodierung gut entwickelt ist (z. B. ist es möglich, die Seiten neu zu erstellen, die der Benutzer von den Paketen besucht hat!). Im Allgemeinen ein Amateur :) .

Analyzer - neworder.box.sk
Analyzer erfordert die Installation eines speziellen Treibers, der im Paket enthalten ist (packet.inf, packet.sys). Sie können alle Informationen zu Ihrer Netzwerkkarte sehen. Analyzer unterstützt auch die Befehlszeile. Es funktioniert gut mit dem lokalen Netzwerk. Es hat mehrere Dienstprogramme: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Nichts Besonderes.

IRIS - www.eeye.com
IRIS ist ein Produkt des bekannten eEye Stellt umfassende Filterfunktionen bereit. Ich war mit drei Chips sehr zufrieden:
1.Protokollverteilung
2.Top Hosts
3. Größenverteilung
Auch verfügbarer Paketdecoder. Es unterstützt das erweiterte Protokollierungssystem. Und die verfügbaren Filterfunktionen übertreffen alle Review-Sniffer. Dies ist ein Hardware-Filter, der entweder alle Pakete (Promiscious) abfangen kann oder mit verschiedenen Einschränkungen (z. B. nur Multicast-Pakete oder Broadcast-Pakete oder nur Mac-Frames erfassen). Sie können nach bestimmten MAC / IP-Adressen, nach Ports und nach Paketen filtern, die bestimmte Zeichen enthalten. Im Allgemeinen ein guter Schnupfen. Benötigt 50comupd.dll.

WinDUMP Analog TCPdump für Unix. Dieser Sniffak arbeitet über die Befehlszeile, bietet nur minimale Konfigurationsoptionen und erfordert dennoch die WinPcap-Bibliothek. Ich nicht wirklich ...

Sniffitnt
Benötigt auch WinPcap. Arbeiten Sie nur als Befehlszeile und online. Mit komplexen Optionen. Ich nicht wirklich

ButtSniff
Regelmäßiger Batch-Sniffer, erstellt von der berühmten CDC-Gruppe (Kult der toten Kuh). Sein Trick ist, dass es als Plugin für BO verwendet werden kann :) (Sehr hilfreich :) ) Arbeiten Sie von der Kommandozeile aus.

Es gibt viele weitere Sniffer wie NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer usw. Komm schon ...

Unix-Sniffer

Alle Sniffer dieser Rezension finden Sie unter packetstorm.securify.com .

Linsniffer
Dies ist ein einfacher Sniffer zum Abfangen von Benutzernamen / Passwörtern. Standardzusammenstellung (gcc -o linsniffer linsniffer.c).
Protokolle werden in tcp.log geschrieben.

linux_sniffer
Linux_sniffer ist erforderlich, wenn Sie das Netzwerk detailliert erkunden möchten. Standardzusammenstellung. Gibt einen beliebigen Shnyaga wie isn, ack, syn, echo_request (ping) usw.

Schnuppern
Sniffit ist ein fortgeschrittenes Modell eines Sniffer von Brecht Claerhout. Installation (libcap wird benötigt): #. / Configure
#make
Führen Sie nun den Sniffer aus:
#. / schnüffeln
Verwendung: ./sniffit [-xdabvnN] [-P proto] [-Achar] [-p-Anschluss] [(-r | -R) -Aufnahmedatei]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t <Ziel-IP> | -s <Quell-IP>) | (-i | -I) | -c <Konfigurationsdatei>]
Plugins verfügbar:
0 - Dummy-Plugin
1 - DNS-Plugin

Wie Sie sehen, unterstützt Sniffit viele Optionen. Sie können Sniffak interaktiv verwenden. Sniffing ist zwar ein recht nützliches Programm, aber ich benutze es nicht. Warum Weil Sniffit ein großes Verteidigungsproblem hat. Für Sniffit gibt es bereits ein Remout Root und DOS für Linux und Debian! Nicht jeder Schnüffler selbst erlaubt es :) .

JAGD
Dies ist mein Lieblings-Sniffak. Es ist sehr einfach zu bedienen, unterstützt viele coole Chips und hat momentan keine Sicherheitsprobleme. Außerdem sind Bibliotheken (wie linsniffer und Linux_sniffer) nicht besonders anspruchsvoll. Es kann aktuelle Verbindungen in Echtzeit und unter einem sauberen Speicherauszug von einem entfernten Terminal abfangen. Im Allgemeinen Hijack Rulezzz :) . Ich empfehle jedem für den erweiterten Gebrauch. :) . Installiere:
#make
Run:
#hunt -i [Schnittstelle]

READSMB
READSMB Sniffer aus LophtCrack geschnitten und auf Unix portiert (seltsam genug) :) ). Readsmb fängt SMB-Pakete ab.

TCPDUMP
tcpdump ist ein ziemlich bekannter Paket-Sniffer. Geschrieben von einer noch berühmteren Stirn - Van Jacobson, der die VJ-Komprimierung für PPP entwickelte und ein Traceroute-Programm schrieb (und wer weiß, was sonst noch?). Benötigt die libpcap-Bibliothek.
Installiere:
#. / configure
#make
Nun führe es aus:
#tcpdump
tcpdump: auf ppp0 hören
Alle Ihre Verbindungen werden an das Terminal ausgegeben. Hier ist ein Beispiel für die Ping-Ausgabe

ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply

Im Allgemeinen ist Sniff hilfreich, um Netzwerke zu debuggen, Fehler zu finden usw.

Dsniff
Dsniff erfordert libpcap, ibnet, libnids und OpenSSH. Zeichnet nur die eingegebenen Befehle auf, was sehr praktisch ist. Hier ein Beispiel für ein Verbindungsprotokoll auf unix-shells.com:

18.02.01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(Telnet)
Stalsen
asdqwe123
ls
pwd
wer
letzte
Ausfahrt

Hier hat dsniff das Login mit Passwort abgefangen (stalsen / asdqwe123). Installiere:
#. / configure
#make
#Make installieren

Schutz vor Schnüfflern

Die sicherste Methode zum Schutz vor Sniffern ist die Verwendung von ENCRYPTION (SSH, Kerberous, VPN, S / Key, S / MIME, SHTTP, SSL usw.). Nun, wenn Sie den Klartext der Dienste nicht aufgeben und zusätzliche Pakete installieren möchten :) ? Dann ist es an der Zeit, Anti-Sniffing-Pakete zu verwenden ...

AntiSniff für Windows
Dieses Produkt wird von der berühmten Gruppe Lopht herausgebracht. Es war das erste Produkt dieser Art. AntiSniff, wie in der Beschreibung angegeben:
"AntiSniff ist ein grafisches Benutzeroberflächen-Tool (GUI) zum Erkennen promiskuitiver Netzwerkkarten (NICs) in Ihrem lokalen Netzwerksegment." Im Allgemeinen werden Karten im Promisc-Modus abgefangen. Es unterstützt eine Vielzahl von Tests (DNS-Test, ARP-Test, Ping-Test) (ICMP Time Delta Test, Echo Test, PingDrop Test). Sie können sowohl einen Computer als auch ein Raster scannen. Hier gibt es Protokollunterstützung. AntiSniff funktioniert auf Win95 / 98 / NT / 2000, obwohl die empfohlene NT-Plattform bald erschien ein Schnüffler namens AntiAntiSniffer :) geschrieben von Mike Perry (Sie finden es unter www.void.ru/news/9908/snoof.txt ) Es basiert auf LinSniffer (unten diskutiert).

Unix-Sniffer-Erkennung:
Sniffer kann mit dem Befehl erkannt werden:

#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.yx PtP:195.170.yx Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Wie Sie sehen, befindet sich die ppp0-Schnittstelle im PROMISC-Modus. Entweder hat der Betreiber das Sniff heruntergeladen, um das Netzwerk zu überprüfen, oder Sie haben bereits ... Aber denken Sie daran, dass ifconfig leicht geändert werden kann. Verwenden Sie tripwire, um Änderungen zu erkennen, und alle möglichen Programme, um nach Sniffs zu suchen.

AntiSniff für Unix.
Funktioniert mit BSD, Solaris und Linux. Unterstützt Ping / ICMP-Zeittest, Arp-Test, Echo-Test, DNS-Test, Etherping-Test, im Allgemeinen das AntiSniff-Analog für Win nur für Unix :) . Installiere:
#make Linux-All

Centinel
Auch ein nützliches Programm zum Fangen von Sniffer. Unterstützt viele Tests. Einfach zu bedienen Installieren Sie: #make
#. / Sentinel
./sentinel [method] [-t <Ziel-IP>] [Optionen]
Methoden:
[-a ARP-Test]
[-d DNS-Test]
[-i ICMP-Ping-Latenztest]
[-e ICMP-Etherping-Test]
Optionen:
[-f <nicht vorhandener Host>]
[-v Version anzeigen und beenden]
[-n <Anzahl Pakete / Sekunden>]
[-I <Gerät>]

Die Optionen sind so einfach, dass keine Kommentare abgegeben werden.

MEHR

Hier sind einige weitere Dienstprogramme zum Überprüfen Ihres Netzwerks (für Unix):
Modus " packetstorm.securify.com/UNIX/IDS/scanpromisc.c-PROMISC" für die Ethernet-Karte (für Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (benötigt libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - Durchsucht Systemgeräte nach Sniff-Erkennung.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus testet Netzwerkschnittstellen im PROMISC-Modus.

Über xakep.ru