This page has been robot translated, sorry for typos if any. Original content here.

Schnüffler

Снифферы
Sniffer Wireshark (früher Ethereal)

Traffic Analyzer, oder Sniff (von Sniff zu Sniff) - ein Programm oder Gerät zum Abfangen und Analysieren von Netzwerkverkehr (seinen und / oder jemand anderem).

Sniffer kann nur analysieren, was durch seine Netzwerkkarte passiert. Innerhalb eines Segments des Ethernet-Netzwerks werden alle Pakete an alle Maschinen gesendet, daher ist es möglich, die Informationen anderer Personen abzufangen. Die Verwendung von Schaltern (Switch, Switch-Hub) und deren kompetente Konfiguration ist bereits ein Schutz vor Zuhören. Zwischen den Segmenten werden Informationen über Switches übertragen. Paketvermittlung ist eine Form der Übertragung, bei der Daten, die in einzelne Pakete aufgeteilt sind, auf verschiedenen Wegen vom Quellpunkt zum Ziel weitergeleitet werden können. Wenn also jemand in einem anderen Segment Pakete sendet, sendet der Switch diese Daten nicht an Ihr Segment.

Die Überwachung des Verkehrs kann durchgeführt werden:

  • das übliche "Zuhören" der Netzwerkschnittstelle (das Verfahren ist effektiv, wenn es im Segment von Hubs anstelle von Switches (Switches) verwendet wird, ansonsten ist das Verfahren ineffektiv, da nur wenige Frames auf den Sniffer fallen);
  • Verbinden des Schnüfflers mit dem Kanalbruch;
  • Verzweigen (Software oder Hardware) Verkehr und Senden seiner Kopie an den Sniffer (Network Tap);
  • durch die Analyse von elektromagnetischen Störstrahlungen und damit die Wiederherstellung des überwachten Verkehrs;
  • durch einen Angriff auf den Kanal (2) (MAC-Spoofing) oder Netzwerk (3) -Niveau (IP-Spoofing), was zur Umleitung des Verkehrs des Opfers oder des gesamten Segmentverkehrs zum Sniffer führt und dann den Verkehr an die richtige Adresse zurückleitet.

Inhalt des Artikels

Sniffer sind Progs , die den gesamten Netzwerkverkehr abfangen. Sniffer sind nützlich für die Diagnose eines Netzwerkes (für Administratoren) und für das Abfangen von Passwörtern (verständlicherweise für wen) :) ). Wenn Sie beispielsweise Zugriff auf einen Netzwerkcomputer haben und dort einen Sniffer installiert haben, werden bald alle Kennwörter aus ihrem Subnetz Ihnen gehören. Sniffer stecken die Netzwerkkarte in den Hörmodus (PROMISC), dh sie empfangen alle Pakete. In lokalke können Sie alle gesendeten Pakete von allen Maschinen abfangen (wenn Sie nicht durch irgendwelche Hubs getrennt sind), da es eine Praxis des Broadcasts gibt. Sniffer können alle Pakete abfangen (was sehr unpraktisch ist, die Protokolldatei ist schnell überfordert, aber für eine detailliertere Analyse des Netzwerks selbst) oder nur die ersten Bytes von einem FTP, Telnet, Pop3 usw. (Dies ist am meisten Spaß, in der Regel rund um die ersten 100 Bytes enthält den Namen und das Passwort :) ). Sniffer sind jetzt geschieden ... Viele Sniffer sind sowohl unter Unix als auch unter Windows (auch unter DOS) :) ). Sniffer können nur eine bestimmte Achse unterstützen (zum Beispiel linux_sniffer.c, die Linux unterstützt :) ) oder mehrere (zum Beispiel Sniffit, arbeitet mit BSD, Linux, Solaris). Sniffer sind so erleichtert, dass Passwörter im Klartext über das Netzwerk übertragen werden. Es gibt viele solcher Dienste. Dies ist telnet, ftp, pop3, www usw. Diese Dienste genießen eine Menge Leute :) . Nach dem Sniffer-Boom begannen verschiedene Algorithmen zur Verschlüsselung dieser Protokolle zu erscheinen. SSH erschien (eine Alternative zu Telnet, die Verschlüsselung unterstützt), SSL (Secure Socket Layer - Entwicklung von Netscape, die eine WWW-Sitzung verschlüsseln kann). Es gab alle Arten von Kerberous, VPN (Virtual Private Network). Einige AntiSniffs waren involviert, ifstatus usw. Aber das hat die Situation nicht radikal verändert. Dienste, die die Kennwortübertragung mit Nur-Text verwenden, werden durchgehend verwendet :) . Deshalb wird Sniffat für eine lange Zeit sein :) .

Windows-Implementierung von Sniffern

CommView - www.tamos.com
Ein ziemlich fortgeschrittener Sniffer von TamoSoft. Sie können Ihre Regeln für das Sniffing festlegen (z. B. ICMP und TCP-Sniff ignorieren und neben Internetprotokollen Ethernet-Protokolle wie ARP, SNMP, NOVELL usw. unterstützen). Sie können beispielsweise nur eingehende Pakete schnüffeln und den Rest ignorieren. Sie können eine Protokolldatei für alle Pakete mit Größenbeschränkungen in Megabyte angeben. Hat zwei Tools - Packet Generator und NIC Vendor Identifier. Sie können alle Details der gesendeten / empfangenen Pakete sehen (zum Beispiel können Sie im TCP-Paket Quellport, Zielport, Datenlänge, Prüfsumme, Sequenz, Fenster, Bestätigung, Flags, Dringend anzeigen). Die gute Nachricht ist, dass der CAPTURE-Treiber automatisch installiert wird. Im Allgemeinen ist es sehr nützlich für das Sniff, empfehle ich jedem.

SpyNet - Paketsturm.Securify.com
Ein ziemlich bekannter Sniffer von Laurentiu Nicula 2000 :) . Gemeinsame Funktionen sind das Abfangen / Entschlüsseln von Paketen. Obwohl Decodierung prikolno entwickelt wird (es ist zum Beispiel auf Paketen möglich, Seiten neu zu erstellen, auf denen der Benutzer besucht hat!). Im Allgemeinen für einen Amateur :) .

Analysator - neworder.box.sk
Analyzer erfordert die Installation eines speziellen Treibers, der im Paket verschachtelt ist (packet.inf, packet.sys). Sie können alle Informationen zu Ihrer Netzwerkkarte sehen. Auch Analyzer unterstützt die Befehlszeile. Es funktioniert gut mit einem lokalen Netzwerk. Hat mehrere Dienstprogramme: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Nichts herausragendes.

IRIS - www.eeye.com
IRIS ist ein Produkt der bekannten Firma eEye. Stellt umfangreiche Filterfunktionen dar. Ich war sehr zufrieden mit ihm in drei Chips:
1.Protokoll Verteilung
2. Top-Hosts
3. Größe Verteilung
Es gibt auch einen Paket-Decoder. Er unterhält ein gut entwickeltes System von Baumstämmen. Und die verfügbaren Filterfunktionen sind allen Sniffer-Browsern überlegen. Dies ist ein Hardware-Filter, der entweder alle Pakete (Promiscious) oder mit verschiedenen Einschränkungen abfangen kann (z. B. nur Multicast-Pakete oder Broadcast-Pakete oder nur Mac-Frames erfassen). Sie können nach bestimmten MAC / IP-Adressen, nach Ports, nach Paketen filtern, die bestimmte Zeichen enthalten. Im Allgemeinen ein guter Sniffak. Benötigt 50comupd.dll.

WinDUMP Analoger TCPdump für Unix. Dieses Sniffak wirkt über die Befehlszeile und stellt minimale Konfigurationsfunktionen dar und benötigt weiterhin die WinPcap-Bibliothek. Ich weiß nicht wirklich ...

SniffitNT
Benötigt auch WinPcap. Funktioniert nur als Befehlszeile und in einem interaktiven Modus. Mit komplexen Optionen. Ich nicht wirklich.

ArschSniff
Ein gewöhnlicher Paket-Sniffer von der berühmten Gruppe CDC (Cult of the Dead Cow). Der Chip davon ist, dass es als Plug-in für BO verwendet werden kann :) (Sehr nützlich :) ) Arbeite von der Kommandozeile aus.

Es gibt viele weitere Sniffer wie NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer usw. Lass uns weiter gehen ...

Unix-Sniffer

Alle Sniffer dieser Rezension können auf packetstorm.securify.com gefunden werden .

Linsniffer
Dies ist ein einfacher Sniffer zur Erfassung von Logins / Passwörtern. Standardkompilierung (gcc -o linsniffer linsniffer.c).
Das Protokoll schreibt nach tcp.log.

linux_sniffer
Linux_sniffer wird benötigt, wenn Sie das Netzwerk im Detail erkunden möchten. Standardzusammenstellung Geben Sie alle shnyagu zusätzlich, wie isn, ack, syn, echo_request (ping) usw.

Schnüffeln
Sniffit ist ein fortgeschrittenes Schnüffelmodell von Brecht Claerhout. Installieren (libcap wird benötigt): #. / Configure
#make
Führe jetzt den Sniffer aus:
#. / schnüffeln
Verwendung: ./sniffit [-xdabvnN] [-P Proto] [-A char] [-p Port] [(-r | -R) Datensatz]
[-l sniflen] [-L logparam] [-F-snifdevice] [-M Plugin]
[-DTty] (-t <Ziel-IP> | -s <Quell-IP>) | (-i | -I) | -c <Konfigurationsdatei>]
Verfügbare Plugins:
0 - Dummy-Plugin
1 - DNS-Plugin

Wie Sie sehen können, unterstützt das Suffix viele Optionen. Sie können Sniffak im interaktiven Modus verwenden. Sniff obwohl ein ziemlich nützliches Programm, aber ich benutze es nicht. Warum? Weil Sniffit große Probleme mit dem Schutz hat. Für Sniffit'a gab es bereits einen Release-Root und DOS für Linux und Debian! Nicht jeder Sniffer erlaubt sich dies :) .

JUNGE
Das ist mein Lieblingsschnüffel. Es ist sehr einfach zu bedienen, es unterstützt viele coole Chips und hat im Moment keine Sicherheitsprobleme. Außerdem ist es nicht besonders anspruchsvoll für Bibliotheken (wie Linsniffer und Linux_sniffer). Es kann in Echtzeit aktuelle Verbindungen und unter einem sauberen Dump von einem entfernten Terminal abfangen. Im Allgemeinen Hijack rulezzz :) . Ich empfehle jedem für den erweiterten Gebrauch :) . Installieren:
#make
Lauf:
#hunt -i [Schnittstelle]

READSMB
Sniffer READSMB wird aus LophtCrack herausgeschnitten und nach Unix portiert (seltsam genug :) ). Readsmb fängt SMB-Pakete ab.

TCPDUMP
tcpdump ist ein ziemlich bekannter Paketanalysator. Geschrieben von einer noch berühmteren Stirn - Wen Jakobson, der für PPP VJ-Komprimierung entwickelt und eine Prog-Traceroute geschrieben hat (und wer weiß was noch?). Benötigt die Libpcap-Bibliothek.
Installieren:
#. / konfigurieren
#make
Jetzt führe es aus:
#tcpdump
tcpdump: Anhören von ppp0
Alle Ihre Verbindungen werden an das Terminal ausgegeben. Hier ist ein Beispiel für die Ping-Ausgabe

ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply

Im Allgemeinen ist Sniff nützlich zum Debuggen von Netzwerken, zur Fehlersuche usw.

Dsniff
Dsniff benötigt libpcap, ibnet, libnids und OpenSSH. Schreibt nur die eingegebenen Befehle, was sehr praktisch ist. Hier ist ein Beispiel für ein Verbindungsprotokoll auf unix-shells.com:

02/18/01 3:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
Stalsen
asdqwe123
ls
pwd
wer
zuletzt
verlassen

Hier hat dsniff den Login mit dem Passwort abgefangen (stalsen / asdqwe123). Installieren:
#. / konfigurieren
#make
#make installieren

Schutz vor Schnüfflern

Der sicherste Weg, sich vor Sniffern zu schützen, ist die Verwendung von ENCRYPTION (SSH, Kerberous, VPN, S / Schlüssel, S / MIME, SHTTP, SSL, etc.). Nun, wenn Sie keine Klartextdienste ablehnen und zusätzliche Pakete installieren möchten :) ? Dann ist es Zeit, antisnifferskie pekety zu verwenden ...

AntiSniff für Windows
Dieses Produkt wurde von der berühmten Lopht-Gruppe veröffentlicht. Es war das erste Produkt seiner Art. AntiSniff, wie in der Beschreibung angegeben:
"AntiSniff ist ein Graphical User Interface (GUI) -basiertes Tool zur Erkennung von Netzwerkkarten (NICs) in Ihrem lokalen Netzwerksegment." Im Allgemeinen fängt es Karten im Promisc-Modus ab, unterstützt eine Vielzahl von Tests (DNS-Test, ARP-Test, Ping-Test) , ICMP Time Delta Test, Echo Test, PingDrop Test.) Es ist möglich, sowohl eine einzelne Maschine als auch ein Grid zu scannen, wo Logs unterstützt werden.) AntiSniff funktioniert auf win95 / 98 / NT / 2000, obwohl die empfohlene NT-Plattform. Schon in kurzer Zeit gab es einen Sniffer namens AntiAntiSniffer :) geschrieben von Mike Perry (gefunden unter www.void.ru/news/9908/snoof.txt ) Es basiert auf LinSniffer (siehe unten).

Unix-Sniffer erkennen:
Sniffer kann mit dem Befehl erkannt werden:

#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.yx PtP:195.170.yx Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Wie Sie sehen können, befindet sich die Schnittstelle ppp0 im PROMISC-Modus. Entweder hat der Betreiber den Sniff hochgeladen, um das Netzwerk zu überprüfen, oder Sie haben bereits ... Aber denken Sie daran, dass ifconfig leicht geändert werden kann, also verwenden Sie tripwire, um Änderungen und alle Fehler zu erkennen, um nach Sniffs zu suchen.

AntiSniff für Unix.
Funktioniert auf BSD, Solaris und Linux. Es unterstützt Ping / ICMP Time Test, Arp-Test, Echo-Test, DNS-Test, Ethering-Test, im Allgemeinen AntiSniff für Win, nur für Unix :) . Installieren:
#make linux-all

Sentinel
Auch ein nützliches Programm zum Auffangen von Sniffern. Unterstützt viele Tests. Einfach zu bedienen. Installieren: #make
#. / Sentinel
./sentinel [Methode] [-t <Ziel-IP>] [Optionen]
Methoden:
[-a ARP-Test]
[-d DNS-Test]
[-i ICMP-Ping-Latenz-Test]
[-e ICMP-Etherping-Test]
Optionen:
[-f <nicht existierender Host>]
[-v Version anzeigen und beenden]
[-n <Anzahl der Pakete / Sekunden>]
[-I <Gerät>]

Die Optionen sind so einfach, dass es keine Kommentare gibt.

MEHR

Hier sind ein paar weitere Utilities zum Testen Ihres Netzwerks (für Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c - PROMISC-Modus für Ethernet-Karten (für Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (libcap & Glibc wird benötigt).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - Enthält die Geräte des Systems zum Erkennen von Sniffs.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus testet Netzwerkschnittstellen im PROMISC-Modus.

Über xakep.ru