This page has been robot translated, sorry for typos if any. Original content here.

Schnüffler

Снифферы
Wireshark Sniffer (früher Ethereal)

Traffic Analyzer oder Sniffer (von Englisch nach Sniff - Sniff) - ein Programm oder Gerät zum Abfangen und Analysieren von Netzwerkverkehr (von Ihnen und / oder jemand anderem).

Ein Sniffer kann nur analysieren, was durch seine Netzwerkkarte passiert. Innerhalb eines Ethernet-Segments werden alle Pakete an alle Maschinen gesendet, daher ist es möglich, die Informationen anderer abzufangen. Die Verwendung von Schaltern (Switch, Switch-Hub) und deren kompetente Konfiguration ist bereits ein Schutz vor Zuhören. Zwischen den Segmenten werden Informationen über Switches übertragen. Paketvermittlung ist eine Form der Übertragung, bei der Daten, die in separate Pakete unterteilt sind, von einem Quellpunkt zu einem Ziel durch unterschiedliche Routen gesendet werden können. Wenn also jemand in einem anderen Segment Pakete sendet, sendet der Switch diese Daten nicht an Ihr Segment.

Traffic Interception kann durchgeführt werden:

  • das übliche "Zuhören" der Netzwerkschnittstelle (das Verfahren ist effektiv, wenn Hubs (Hubs) anstelle von Switches (Switches) im Segment verwendet werden, da sonst die Methode ineffektiv ist, da nur separate Frames auf den Sniffer fallen);
  • Verbinden eines Sniffers mit einem Channel Break;
  • Verzweigen (Software- oder Hardware-Verkehr) und Senden an den Sniffer (Netzwerk-Tap);
  • durch die Analyse der elektromagnetischen Störstrahlung und die damit verbundene Wiedergewinnung des Verkehrs;
  • durch einen Angriff auf die Ebene der Verbindung (2) (MAC-Spoofing) oder Netzwerk (3) (IP-Spoofing), um den Verkehr des Opfers oder den gesamten Verkehr des Segments zum Sniffer umzuleiten und dann den Verkehr an die richtige Adresse zurückzuführen.

Inhalt des Artikels

Sniffer sind Programme, die den gesamten Netzwerkverkehr abfangen. Sniffer sind nützlich für die Netzwerkdiagnose (für Administratoren) und für das Abfangen von Passwörtern (verstehen Sie, für wen :) ). Wenn Sie beispielsweise Zugriff auf einen Netzwerkcomputer haben und dort einen Sniffer installiert haben, werden bald alle Kennwörter aus ihrem Subnetz Ihnen gehören. Sniffer legt die Netzwerkkarte in den Hörmodus (PROMISC), dh sie empfängt alle Pakete. Im LAN können Sie alle gesendeten Pakete von allen Rechnern abfangen (wenn Sie nicht durch irgendwelche Hubs getrennt sind), da dort Broadcasting praktiziert wird. Sniffer kann alle Pakete abfangen (was sehr unpraktisch ist, die Protokolldatei überläuft schrecklich schnell, aber für eine detailliertere Analyse des Netzwerks ist es am meisten) oder nur die ersten Bytes von ftp, telnet, pop3 usw. (Das macht am meisten Spaß, normalerweise enthalten die ersten 100 Bytes den Namen und das Passwort :) ). Sniffer ist jetzt geschieden ... Es gibt viele Sniffer unter Unix und Windows (auch unter DOS gibt es) :) ). Sniffer kann nur eine bestimmte Achse unterstützen (zum Beispiel linux_sniffer.c, die Linux unterstützt :) ) oder mehrere (zum Beispiel Sniffit, arbeitet mit BSD, Linux, Solaris). Sniffer so bummed aufgrund der Tatsache, dass Passwörter über das Netzwerk im Klartext übertragen werden. Viele solcher Dienste. Dies sind telnet, ftp, pop3, www usw. Viele Leute nutzen diese Dienste. :) . Nach dem Boom der Sniffer erschienen verschiedene Verschlüsselungsalgorithmen für diese Protokolle. Erschien SSH (Alternative zu Telnet, die Verschlüsselung unterstützt), SSL (Secure Socket Layer ist eine Netscape-Entwicklung, die eine WWW-Sitzung verschlüsseln kann). Erschienen alle Arten von Kerberous, VPN (Virtual Private Network). Einige AntiSniffs, Ifstats usw. Aber das hat die Situation nicht grundlegend verändert. Dienste, die die Übertragung von Nur-Text-Passwörtern verwenden, werden vollständig verwendet. :) . Daher wird Sniffing für eine lange Zeit sein :) .

Windows-Sniffer-Implementierung

CommView - www.tamos.com
Ziemlich fortgeschrittener Produktions-Sniffer TamoSoft. Sie können eigene Regeln für das Sniffing festlegen (z. B. ICMP- und TCP-Sniffing sowie Internetprotokolle ignorieren, es gibt Unterstützung für Ethernet-Protokolle wie ARP, SNMP, NOVELL usw.). Sie können beispielsweise nur eingehende Pakete schnüffeln und den Rest ignorieren. Sie können eine Protokolldatei für alle Pakete mit Größenbeschränkungen in Mega angeben. Es hat zwei Tools - Packet Generator und Vendor Identifier NIC. Sie können alle Details der gesendeten / empfangenen Pakete sehen (zum Beispiel können Sie im TCP-Paket den Quellport, Zielport, Datenlänge, Prüfsumme, Sequenz, Fenster, Bestätigung, Flags, Dringend anzeigen). Die gute Nachricht ist, dass der CAPTURE-Treiber automatisch installiert wird. Im Allgemeinen ist das Tool sehr nützlich zum Sniffing, ich empfehle es jedem.

SpyNet - Paketsturm.Securify.com
Ziemlich eine berühmte Schnüffelproduktion Laurentiu Nicula 2000 :) . Gemeinsame Merkmale sind Paketerfassung / -decodierung. Obwohl die Decodierung cool entwickelt wurde (zum Beispiel ist es möglich, die Seiten neu zu erstellen, die der Benutzer zum Beispiel durch die Pakete besucht hat!). In der Regel ein Amateur :) .

Analysator - neworder.box.sk
Analyzer erfordert die Installation eines speziellen Treibers, der im Paket enthalten ist (packet.inf, packet.sys). Sie können alle Informationen zu Ihrer Netzwerkkarte sehen. Der Analyzer unterstützt auch die Befehlszeile. Es funktioniert gut mit lokalem Netzwerk. Es hat mehrere Dienstprogramme: ConvDump, GnuPlot, FlowsDet, Analisys Engine. Nichts herausragendes.

IRIS - www.eeye.com
IRIS ist ein Produkt der bekannten eEye-Firma. Stellt umfangreiche Filterfunktionen dar. Ich war sehr zufrieden mit drei Chips:
1.Protokoll Verteilung
2. Top-Hosts
3. Größe Verteilung
Auch verfügbarer Paket-Decoder. Es unterstützt das erweiterte Protokollierungssystem. Und die verfügbaren Filterfunktionen übertreffen alle Review-Sniffer. Dies ist ein Hardware-Filter, der entweder alle Pakete (Promiscious) oder mit verschiedenen Einschränkungen abfangen kann (z. B. nur Multicast-Pakete oder Broadcast-Pakete oder nur Mac-Frames erfassen). Sie können nach bestimmten MAC / IP-Adressen, nach Ports, nach Paketen filtern, die bestimmte Zeichen enthalten. Im Allgemeinen ein gutes Schnüffeln. Benötigt 50comupd.dll.

WinDUMP Analoger TCPdump für Unix. Dieser Sniffak arbeitet über die Befehlszeile und bietet minimale Konfigurationsoptionen und benötigt weiterhin die WinPcap-Bibliothek. Ich weiß nicht wirklich ...

Schnüffeln
Benötigt auch WinPcap. Nur als Befehlszeile und online arbeiten. Mit komplexen Optionen. Ich nicht wirklich.

ArschSniff
Der übliche Batch-Sniffer der berühmten CDC-Gruppe (Cult of the Dead Cow). Sein Trick ist, dass es als Plugin für BO verwendet werden kann :) (Sehr hilfreich :) ) Arbeite von der Kommandozeile aus.

Es gibt viele weitere Sniffer wie NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer usw. Komm schon ...

Unix-Sniffer

Alle Sniffer dieser Rezension finden Sie unter packetstorm.securify.com .

Linsniffer
Dies ist ein einfacher Sniffer zum Abfangen von Benutzernamen / Passwörtern. Standardkompilierung (gcc -o linsniffer linsniffer.c).
Protokolle werden in tcp.log geschrieben.

linux_sniffer
Linux_sniffer wird benötigt, wenn Sie das Netzwerk im Detail erkunden möchten. Standardzusammenstellung Gibt beliebige shnyaga zusätzlich, wie isn, ack, syn, echo_request (ping) usw.

Schnüffeln
Sniffit ist ein fortgeschrittenes Modell eines Schnüfflers, geschrieben von Brecht Claerhout. Installieren (libcap benötigt): #. / Konfigurieren
#make
Führe jetzt den Sniffer aus:
#. / schnüffeln
Verwendung: ./sniffit [-xdabvnN] [-P Proto] [-A char] [-p Port] [(-r | -R) Datensatz]
[-l sniflen] [-L logparam] [-F-snifdevice] [-M Plugin]
[-DTty] (-t <Ziel-IP> | -s <Quell-IP>) | (-i | -I) | -c <Konfigurationsdatei>]
Verfügbare Plugins:
0 - Dummy-Plugin
1 - DNS-Plugin

Wie Sie sehen können, unterstützt Sniffit viele Optionen. Sie können Sniffak interaktiv verwenden. Sniffing ist ein ziemlich nützliches Programm, aber ich benutze es nicht. Warum? Weil Sniffit ein großes Verteidigungsproblem hat. Für Sniffit gibt es bereits eine remoot root und DOS für Linux und Debian! Nicht jeder Sniffer selbst erlaubt es :) .

JUNGE
Das ist mein Lieblingsschnüffel. Es ist sehr einfach zu bedienen, unterstützt viele coole Chips und hat im Moment keine Sicherheitsprobleme. Außerdem ist es nicht besonders anspruchsvoll für Bibliotheken (wie Linsniffer und Linux_sniffer). Es kann aktuelle Verbindungen in Echtzeit und unter einem sauberen Dump von einem entfernten Terminal abfangen. Im Allgemeinen Hijack rulezzz :) . Ich empfehle jedem zur besseren Nutzung. :) . Installieren:
#make
Lauf:
#hunt -i [Schnittstelle]

READSMB
READSMB Sniffer Cut von LophtCrack und portiert nach Unix (seltsam genug :) ). Readsmb fängt SMB-Pakete ab.

TCPDUMP
tcpdump ist ein ziemlich bekannter Paket-Sniffer. Geschrieben von einer noch berühmteren Stirn - Van Jacobson, der VJ-Kompression für PPP erfunden und ein Traceroute-Programm geschrieben hat (und wer weiß was noch?). Benötigt libpcap-Bibliothek.
Installieren:
#. / konfigurieren
#make
Jetzt führe es aus:
#tcpdump
tcpdump: Anhören von ppp0
Alle Ihre Verbindungen werden an das Terminal ausgegeben. Hier ist ein Beispiel für die Ping-Ausgabe

ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply

Im Allgemeinen ist ein Sniff nützlich, um Netzwerke zu debuggen, Fehler zu finden usw.

Dsniff
Dsniff benötigt libpcap, ibnet, libnids und OpenSSH. Zeichnet nur die eingegebenen Befehle auf, was sehr praktisch ist. Hier ist ein Beispiel für ein Verbindungsprotokoll auf unix-shells.com:

02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
Stalsen
asdqwe123
ls
pwd
wer
zuletzt
verlassen

Hier hat dsniff die Anmeldung mit Passwort abgefangen (stalsen / asdqwe123). Installieren:
#. / konfigurieren
#make
#make installieren

Schutz vor Schnüfflern

Der sicherste Weg zum Schutz gegen Sniffer ist die Verwendung von ENCRYPTION (SSH, Kerberous, VPN, S / Key, S / MIME, SHTTP, SSL, etc.). Nun, wenn Sie nicht den Klartext der Dienste aufgeben und zusätzliche Pakete installieren wollen :) ? Dann ist es Zeit, Anti-Sniffing-Pakete zu verwenden ...

AntiSniff für Windows
Dieses Produkt wird von der berühmten Gruppe Lopht veröffentlicht. Es war das erste Produkt seiner Art. AntiSniff, wie in der Beschreibung angegeben:
"AntiSniff ist ein grafisches Benutzerinterface (GUI) -gesteuertes Tool zur Erkennung von Netzwerkkarten in Ihrem lokalen Netzwerksegment." Im Allgemeinen fängt es Karten im Promisc-Modus. Es unterstützt eine große Anzahl von Tests (DNS-Test, ARP-Test, Ping-Test , ICMP Time Delta Test, Echotest, PingDrop Test) Sie können sowohl einen Computer als auch ein Gitter scannen.Es gibt Protokollunterstützung hier.AntiSniff funktioniert auf Win95 / 98 / NT / 2000, obwohl die empfohlene NT-Plattform.Aber seine Herrschaft war kurz und bald erschien ein Sniffer namens AntiAntiSniffer :) geschrieben von Mike Perry (Sie finden es unter www.void.ru/news/9908/snoof.txt ) Es basiert auf LinSniffer (siehe unten).

Unix-Sniffer erkennen:
Sniffer kann mit dem Befehl erkannt werden:

#ifconfig -a
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0 dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:195.170.yx PtP:195.170.yx Mask:255.255.255.255
UP POINTOPOINT PROMISC RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281 errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Wie Sie sehen können, befindet sich die Schnittstelle ppp0 im PROMISC-Modus. Entweder hat der Betreiber den Sniff heruntergeladen, um das Netzwerk zu überprüfen, oder Sie haben bereits ... Aber denken Sie daran, dass ifconfig leicht geändert werden kann, also benutzen Sie tripwire, um Änderungen und alle möglichen Programme zu erkennen, um nach Sniffs zu suchen.

AntiSniff für Unix.
Funktioniert auf BSD, Solaris und Linux. Unterstützt Ping / ICMP-Zeit-Test, Arp-Test, Echo-Test, DNS-Test, Etherping-Test, im Allgemeinen AntiSniff-Analog für Win, nur für Unix :) . Installieren:
#make linux-all

Centinel
Auch ein nützliches Programm zum Auffangen von Sniffern. Unterstützt viele Tests. Einfach zu bedienen. Installieren: #make
#. / Sentinel
./sentinel [Methode] [-t <Ziel-IP>] [Optionen]
Methoden:
[-a ARP-Test]
[-d DNS-Test]
[-i ICMP-Ping-Latenz-Test]
[-e ICMP-Etherping-Test]
Optionen:
[-f <nicht existierender Host>]
[-v Version anzeigen und beenden]
[-n <Anzahl der Pakete / Sekunden>]
[-I <Gerät>]

Die Optionen sind so einfach, dass es keine Kommentare gibt.

MEHR

Hier sind einige weitere Utilities zur Überprüfung Ihres Netzwerks (für Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c - PROMISC-Modus Ethernet-Detektor für Ethernet-Karten (für Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - Network Promiscuous Ethernet Detector (benötigt libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - durchsucht Systemgeräte nach Sniff-Erkennung.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - ifstatus testet Netzwerkschnittstellen im PROMISC-Modus.

Über xakep.ru