This page has been robot translated, sorry for typos if any. Original content here.

Schnüffler

Снифферы
Sniffer Wireshark (früher Ethereal)

Traffic Analyzer oder Sniffer (vom Englischen zum Sniff - Sniff) - ein Programm oder Gerät zum Abfangen und Analysieren des Netzwerkverkehrs (des einen und / oder eines anderen).

Ein Sniffer kann nur analysieren, was über seine Netzwerkkarte geht. Innerhalb eines Ethernet-Netzwerksegments werden alle Pakete an alle Computer gesendet. Dadurch ist es möglich, die Informationen anderer Personen abzufangen. Die Verwendung von Schaltern (Schalter, Switch-Hub) und deren kompetente Konfiguration ist bereits ein Schutz gegen Abhören. Zwischen den Segmenten werden Informationen über die Schalter übertragen. Paketvermittlung ist eine Form der Übertragung, bei der Daten, die in separate Pakete unterteilt sind, auf verschiedenen Wegen vom Quellpunkt zum Ziel übertragen werden können. Wenn also jemand in einem anderen Segment Pakete darin sendet, sendet der Switch diese Daten nicht an Ihr Segment.

Das Abfangen des Verkehrs kann durchgeführt werden:

  • das übliche "Abhören" der Netzwerkschnittstelle (die Methode ist effektiv, wenn Hubs (Hubs) im Segment anstelle von Switches (Switches) verwendet werden, andernfalls ist die Methode ineffektiv, da nur einzelne Frames zum Sniffer gelangen);
  • Verbinden eines Schnüfflers mit einer Kanalunterbrechung;
  • Verzweigen des Datenverkehrs (Software oder Hardware) und Senden der Kopie an den Sniffer (Netzwerk-Tap);
  • durch die Analyse von elektromagnetischer Störstrahlung und die Wiederherstellung des so hörenden Verkehrs;
  • durch einen Angriff auf Kanal- (2) (MAC-Spoofing) oder Netzwerkebene (3) (IP-Spoofing), der dazu führt, dass der Verkehr des Opfers oder der gesamte Segmentverkehr zum Sniffer umgeleitet und der Verkehr dann an die entsprechende Adresse zurückgegeben wird.

Artikelinhalt

Sniffer sind Programme, die den gesamten Netzwerkverkehr abfangen. Sniffer sind nützlich für die Netzwerkdiagnose (für Administratoren) und zum Erfassen von Passwörtern (es ist für jeden klar :) :) ) Wenn Sie beispielsweise Zugriff auf einen Netzwerkcomputer haben und dort einen Sniffer installiert haben, gehören Ihnen bald alle Kennwörter aus dem Subnetz. Sniffer versetzen die Netzwerkkarte in den Abhörmodus (PROMISC), dh sie empfangen alle Pakete. Im LAN können Sie alle gesendeten Pakete von allen Computern abfangen (wenn Sie nicht durch alle Arten von Hubs getrennt sind), da dort Broadcasting praktiziert wird. Sniffer können alle Pakete abfangen (was sehr unpraktisch ist, die Protokolldatei läuft sehr schnell über, aber für eine detailliertere Analyse des Netzwerks ist es das meiste) oder nur die ersten Bytes von FTP, Telnet, Pop3 usw. (Dies ist die lustigste, normalerweise enthalten die ersten 100 Bytes einen Benutzernamen und ein Passwort :) :) ) Sniffer jetzt geschieden ... Viele Sniffer sind sowohl unter Unix als auch unter Windows (sogar unter DOS) :) :) ) Sniffer können nur eine bestimmte Achse unterstützen (z. B. linux_sniffer.c, das Linux unterstützt :) :) ) oder mehrere (z. B. Sniffit funktioniert mit BSD, Linux, Solaris). Schnüffler haben es geschafft, weil Passwörter im Klartext über das Netzwerk übertragen werden. Es gibt viele solcher Dienste. Dies ist Telnet, FTP, Pop3, WWW usw. Viele Menschen nutzen diese Dienste. :) :) . Nach dem Boom der Schnüffler tauchten verschiedene Verschlüsselungsalgorithmen für diese Protokolle auf. Es gab SSH (eine Alternative zu Telnet, das Verschlüsselung unterstützt), SSL (Secure Socket Layer - eine Entwicklung von Netscape, die eine WWW-Sitzung verschlüsseln kann). Alle Arten von Kerberous, VPN (Virtual Private Network). Einige AntiSniffs, ifstatuses usw. wurden beteiligt. Dies hat die Situation jedoch nicht grundlegend geändert. Dienste, die die Nur-Text-Kennwortübertragung verwenden, werden vollständig verwendet :) :) . Daher werden sie lange schnüffeln :) :) .

Windows-Sniffer-Implementierungen

CommView - www.tamos.com
Ziemlich fortgeschrittener TamoSoft-Schnüffler. Sie können Ihre eigenen Regeln für das Sniffing festlegen (z. B. ICMP und Sniff-TCP ignorieren, zusätzlich zu Internetprotokollen werden auch Ethernet-Protokolle wie ARP, SNMP, NOVELL usw. unterstützt). Beispielsweise können Sie nur eingehende Pakete abhören und den Rest ignorieren. Sie können eine Protokolldatei für alle Pakete mit Mega-Größenbeschränkungen angeben. Es verfügt über zwei Tools - Packet Generator und NIC Vendor Indentifier. Sie können alle Details der gesendeten / empfangenen Pakete anzeigen (z. B. können Sie im TCP-Paket den Quellport, den Zielport, die Datenlänge, die Prüfsumme, die Sequenz, das Fenster, die Bestätigung, die Flags und die Dringlichkeit anzeigen). Die gute Nachricht ist, dass der CAPTURE-Treiber automatisch installiert wird. Im Allgemeinen ist Tulza sehr nützlich zum Schnüffeln, ich empfehle es jedem.

SpyNet - packetstorm.securify.com
Ziemlich berühmter Laurentiu Nicula 2000 Schnüffler :) :) . Übliche Funktionen sind die Paketerfassung / -decodierung. Obwohl das Dekodieren Spaß macht (es ist beispielsweise möglich, Seiten neu zu erstellen, die der Benutzer auf Paketen besucht hat!). Im Allgemeinen für einen Amateur :) :) .

Analyzer - neworder.box.sk
Analyzer erfordert die Installation eines speziellen Treibers, der in das Paket eingebettet ist (packet.inf, packet.sys). Sie können alle Informationen zu Ihrer Netzwerkkarte anzeigen. Analyzer unterstützt auch die Arbeit mit der Befehlszeile. Es funktioniert gut mit einem lokalen Netzwerk. Es hat mehrere Dienstprogramme: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Nichts Besonderes.

IRIS - www.eeye.com
IRIS-Produkt der bekannten Firma eEye. Bietet umfangreiche Filterfunktionen. Ich war sehr zufrieden mit drei Chips:
1.Protokollverteilung
2.Top Hosts
3. Größenverteilung
Es gibt auch einen Paketdecoder. Es unterstützt ein entwickeltes Protokollsystem. Und die verfügbaren Filterfunktionen übertreffen alle Sniffer-Bewertungen. Dies ist ein Hardwarefilter, der entweder alle Pakete (Promiscious) oder mit verschiedenen Einschränkungen abfangen kann (z. B. nur Multicast-Pakete oder Broadcast-Pakete oder nur Mac-Frames erfassen). Sie können nach bestimmten MAC / IP-Adressen, nach Port und nach Paket mit bestimmten Zeichen filtern. Im Allgemeinen ein guter Sniffack. Benötigt 50comupd.dll.

WinDUMP Analog TCPdump für Unix. Dieser Sniffack erfolgt über die Befehlszeile, bietet nur minimale Konfigurationsoptionen und erfordert weiterhin die WinPcap-Bibliothek. Ich weiß nicht wirklich ...

Schnüffeln
Benötigt auch WinPcap. Arbeiten Sie nur als Befehlszeile oder interaktiv. Mit ausgeklügelten Optionen. Ich nicht wirklich.

ButtSniff
Ein gewöhnlicher Paketschnüffler der berühmten Gruppe CDC (Cult of the Dead Cow). Sein Chip ist, dass es als Plugin für BO verwendet werden kann :) :) (Sehr hilfreich :) :) ). Arbeiten Sie über die Befehlszeile.

Es gibt viele weitere Sniffer wie NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer usw. Lass uns weit gehen ...

Unix-Schnüffler

Alle Schnüffler dieser Bewertung finden Sie auf packetstorm.securify.com .

linsniffer
Dies ist ein einfacher Sniffer zum Abfangen von Benutzernamen / Passwörtern. Standardzusammenstellung (gcc -o linsniffer linsniffer.c).
Protokolle werden in tcp.log geschrieben.

linux_sniffer
Linux_sniffer ist erforderlich, wenn Sie das Netzwerk im Detail erkunden möchten. Standardzusammenstellung. Gibt zusätzlich alle shnyag, wie isn, ack, syn, echo_request (ping) usw.

Sniffit
Sniffit ist ein fortschrittliches Sniffer-Modell von Brecht Claerhout. Installieren (libcap benötigen): #. / Configure
#make
Führen Sie nun den Schnüffler aus:
#. / schnüffeln
Verwendung: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r | -R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice] [-M Plugin]
[-D tty] (-t <Ziel-IP> | -s <Quell-IP>) | (-i | -I) | -c <Konfigurationsdatei>]
Verfügbare Plugins:
0 - Dummy Plugin
1 - DNS-Plugin

Wie Sie sehen können, unterstützt sniffit viele Optionen. Sie können Sniffack interaktiv verwenden. Sniffit ist zwar ein ziemlich nützliches Programm, aber ich benutze es nicht. Warum? Weil Sniffit große Sicherheitsprobleme hat. Für Sniffit wurden bereits ein Remoot-Root und Dos für Linux und Debian veröffentlicht! Nicht jeder Schnüffler erlaubt es. :) :) .

Jagd
Das ist mein Lieblingsschnüffler. Es ist sehr einfach zu bedienen, unterstützt viele coole Chips und hat derzeit keine Sicherheitsprobleme. Plus stellt keine besonderen Anforderungen an Bibliotheken (wie linsniffer und Linux_sniffer). Es kann aktuelle Verbindungen in Echtzeit und unter einem sauberen Speicherauszug von einem Remote-Terminal abfangen. Alles in allem Hijack rulezzz :) :) . Ich empfehle jedem für eine verbesserte Verwendung :) :) . Installieren:
#make
Ausführen:
#hunt -i [Schnittstelle]

READSMB
Der READSMB-Sniffer wird aus LophtCrack geschnitten und auf Unix portiert (seltsamerweise). :) :) ) Readsmb fängt SMB-Pakete ab.

TCPDUMP
tcpdump ist ein ziemlich bekannter Paketanalysator. Geschrieben von einer noch bekannteren Stirn - Van Jacobson, der die VJ-Komprimierung für PPP erfand und das Traceroute-Programm schrieb (und wer weiß was noch?). Benötigt libpcap Bibliothek.
Installieren:
#. / configure
#make
Führen Sie es jetzt aus:
#tcpdump
tcpdump: ppp0 abhören
Es zeigt alle Ihre Verbindungen zum Terminal an. Hier ist ein Beispiel für eine Ping-Ausgabe

ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply

Im Allgemeinen ist Sniff nützlich zum Debuggen von Netzwerken, zur Fehlerbehebung usw.

Dsniff
Dsniff benötigt libpcap, ibnet, libnids und OpenSSH. Es werden nur eingegebene Befehle aufgezeichnet, was sehr praktisch ist. Hier ist ein Beispiel für ein Verbindungsprotokoll auf unix-shells.com:

18.02.01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(Telnet)
Stalsen
asdqwe123
ls
pwd
wer
zuletzt
Ausfahrt

Hier hat dsniff die Anmeldung mit dem Passwort (stalsen / asdqwe123) abgefangen. Installieren:
#. / configure
#make
#Make installieren

Schnüfflerschutz

Der sicherste Weg, sich vor Sniffern zu schützen, ist die Verwendung von ENCRYPTION (SSH, Kerberous, VPN, S / Key, S / MIME, SHTTP, SSL usw.). Wenn Sie Klartextdienste nicht ablehnen und zusätzliche Pakete installieren möchten :) :) ? Dann ist es Zeit, Anti-Sniffing-Wetten zu verwenden ...

AntiSniff für Windows
Dieses Produkt wurde von der berühmten Lopht-Gruppe veröffentlicht. Es war das erste Produkt dieser Art. AntiSniff, wie in der Beschreibung angegeben:
"AntiSniff ist ein GUI-gesteuertes Tool (Graphical User Interface) zum Erkennen promiskuitiver Netzwerkkarten (NICs) in Ihrem lokalen Netzwerksegment." Im Allgemeinen werden Karten im Promisc-Modus abgefangen. Es unterstützt eine Vielzahl von Tests (DNS-Test, ARP-Test, Ping-Test) , ICMP-Zeitdeltatest, Echotest, PingDrop-Test). Sie können sowohl einen einzelnen Computer als auch ein Raster scannen. Hier gibt es Protokollunterstützung. AntiSniff funktioniert unter win95 / 98 / NT / 2000, obwohl die NT-Plattform empfohlen wird Bald ein Schnüffler namens AntiAntiSniffer :) :) geschrieben von Mike Perry (gefunden unter www.void.ru/news/9908/snoof.txt ), basierend auf LinSniffer (später besprochen).

Unix-Sniffer erkennen:
Der Schnüffler kann mit dem Befehl erkannt werden:

#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.yx PtP:195.170.yx Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Wie Sie sehen können, befindet sich die ppp0-Schnittstelle im PROMISC-Modus. Entweder hat der Betreiber einen Sniff heruntergeladen, um das Netzwerk zu überprüfen, oder Sie haben bereits einen ... Beachten Sie jedoch, dass ifconfig leicht ersetzt werden kann. Verwenden Sie also tripwire, um Änderungen und alle Arten von Programmen zum Überprüfen auf Sniffs zu erkennen.

AntiSniff für Unix.
Unterstützt von BSD, Solaris und Linux. Unterstützt Ping / ICMP-Zeittest, Arp-Test, Echo-Test, DNS-Test, Etherping-Test, im Allgemeinen ein Analogon von AntiSniff für Win, nur für Unix :) :) . Installieren:
# Linux-All machen

Sentinel
Auch ein nützliches Programm zum Fangen von Schnüfflern. Unterstützt viele Tests. Einfach zu bedienen. Installieren Sie: #make
#. / Sentinel
./sentinel [Methode] [-t <Ziel-IP>] [Optionen]
Methoden:
[-a ARP-Test]
[-d DNS-Test]
[-i ICMP-Ping-Latenztest]
[-e ICMP Etherping Test]
Optionen:
[-f <nicht existierender Host>]
[-v Version anzeigen und beenden]
[-n <Anzahl der Pakete / Sekunden>]
[-I <Gerät>]

Die Optionen sind so einfach, dass keine Kommentare.

MEHR

Hier sind einige weitere Dienstprogramme zum Überprüfen Ihres Netzwerks (für Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c ist ein PROMISC-Modusdetektor für Ethernet-Karten (für Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (benötigt libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - Überprüft Systemgeräte auf Sniff-Erkennung.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus testet Netzwerkschnittstellen im PROMISC-Modus.

Über xakep.ru