استعداد الشم. محلل حزمة الشبكة. تم التقاط جميع الحزم التي ستسقط على واجهة الشبكة الخاصة بنا

الشم غير ضارة دائما. في الواقع، هذا النوع غالبا ما يستخدم البرنامج لتحليل حركة مرور الشبكة من أجل الكشف عن الانحرافات والقضاء عليها وغير المنقطعة. ومع ذلك، يمكن استخدام Sniffer مع نية غير دقيقة. يقوم Sniffiers بتحليل كل ذلك من خلالهم يمر، بما في ذلك كلمات المرور وأوراق الاعتماد غير المشفرة، وبالتالي فإن القراصين لديهم الوصول إلى الشم يمكن أن يستغلوا معلومات شخصية للمستخدمين. بالإضافة إلى ذلك، يمكن تثبيت Sniffer على أي جهاز كمبيوتر متصل شبكه محليه، دون الحاجة إلى تثبيته الإلزامي على الجهاز نفسه - بمعنى آخر، لا يمكن اكتشافه خلال وقت الاتصال بأكمله.

من أين تأتي الشم؟

يستخدم المتسللون Sniffer لسرقة البيانات القيمة عن طريق تتبع نشاط الشبكة وجمعها معلومات شخصية عن المستخدمين. كقاعدة عامة، يهتم المهاجمون بكلمات المرور وأوراق اعتماد المستخدمين للوصول إلى حسابات المخاطر عبر الإنترنت والمتجر عبر الإنترنت. في أغلب الأحيان، قام المتسللون بوضع SNiffers في نشر أماكن اتصال Wi-Fi غير محمية، على سبيل المثال، في المقاهي والفنادق والمطارات. يمكن ملثمين Sniffiers تحت الشبكة المتصلة بالشبكة في إطار الهجوم المزعوم المزعوم من أجل اختطاف البيانات القيمة.

كيف تتعرف على الشم؟

من الصعب للغاية التعرف على Snifiers غير المصرح لهم، حيث يمكن تثبيتها تقريبا في أي مكان تقريبا، مما يمثل تهديدا خطيرا للغاية لأمن الشبكات. المستخدمين التقليدي في كثير من الأحيان ليس لديهم فرصة للتعرف على تتبع حركة مرور الشبكة الخاصة بك مع sniffer. من الممكن من الناحية النظرية تثبيت الاستنساخ الخاص بك، مما سيتعقب جميع حركة مرور DNS ل Sniffers الأخرى، ومع ذلك، فمن الأسهل بكثير لمستخدم عادي إنشاء برنامج مضاد للمواد المائية أو حل مضاد للفيروسات يتضمن حماية نشاط الشبكة وقف أي غزو غير مصرح به أو إخفاء إجراءات الشبكة الخاصة بهم.

كيفية إزالة الشم

يمكنك استخدام مكافحة الفيروسات عالية الكفاءة عالية الكشف عن جميع أنواع البرامج الضارة وإزالةها على جهاز الكمبيوتر الخاص بك ل SNFF. ومع ذلك إزالة كاملة Sniffer من الكمبيوتر الذي تحتاجه لحذف جميع المجلدات والملفات التي تحتوي على نسبة لها. يوصى أيضا بشدة باستخدام مكافحة الفيروسات مع ماسحة ضوئية للشبكة، والتي تحقق تماما من الشبكة المحلية للحصول على نقاط الضعف وتوجه الإجراءات الأخرى نسبيا في حالة الكشف.

كيف لا تصبح ضحية الشم
  • أدخل جميع المعلومات التي أرسلتها واستلمها بواسطتك
  • مسح الشبكة المحلية الخاصة بك للحصول على نقاط الضعف
  • استخدم شبكات Wi-Fi غير محمية فقط
الخلط بين الشم

أول شيء يمكن للمستخدم القيام به للحماية من الشمال هو استخدام مكافحة الفيروسات عالية الجودة مجانا الفيروسات أفاست.والتي هي قادرة على مسح الشبكة بأكملها تماما من أجل مشاكل السلامة. يتم تشفير طريقة إضافية وكفاءة للغاية لحماية المعلومات من Snffing جميع البيانات المرسلة والمستلمة عبر الإنترنت، بما في ذلك رسائل البريد الإلكتروني. بريد. يسمح لك Avast Secureline بتشفير جميع تبادل البيانات بشكل آمن وأداء الإجراءات عبر الإنترنت في إخفاء الهوية بنسبة 100٪.

سيكون Wireshark مساعد ممتاز لأولئك المستخدمين الذين يحتاجون إلى إجراء تحليل مفصل لحزم الشبكة، - حركة مرور شبكة الكمبيوتر. الشم يتفاعل بسهولة مع هذه البروتوكولات المشتركة netBIOS، FDDI، NNTP، ICQ، X25، DNS، IRC، NFS، HTTP، TCP، IPv6 واشياء أخرى عديدة. يتيح لك فصل حزمة الشبكة إلى المكونات المناسبة، وفقا لبروتوكول محدد، واستخراج المعلومات القابلة للقراءة في شكل رقمي.
يدعم عدد كبير من التنسيقات المتنوعة من المعلومات المنقولة والمستلمة، قادر على فتح الملفات الموجودة في استخدام المرافق الأخرى. مبدأ العملية هو أن بطاقة الشبكة تدخل في وضع البث وبدأ اعتراض حزم الشبكة، والتي توجد في منطقة وضوحها. قادرة على العمل كبرنامج لاعتراض حزم WIFI.

كيفية استخدام wireshark.

يشارك البرنامج في تعلم محتويات حزم المعلومات التي تمر عبر الشبكة. لبدء واستخدام نتائج عملية الاستنساخ، لا يلزم وجود معرفة محددة، تحتاج فقط إلى فتحه في القائمة "ابدأ" أو انقر فوق الرمز الموجود على سطح المكتب (إطلاقها لا يختلف عن أي شيء آخر برامج ويندوز). تسمح الوظيفة الخاصة للأداة المساعدة لالتقاط حزم المعلومات، وثيقة فك محتوياتها وإعطاء المستخدم للمستخدم.

تشغيل Wireshark، سترى برنامج القائمة الرئيسي على الشاشة، والذي يقع في الجزء العلوي من النافذة. باستخدامه والتحكم في الأداة المساعدة. إذا كنت بحاجة إلى تحميل الملفات التي تخزن بيانات الحزمة التي تم القبض عليها في الجلسات السابقة، وكذلك حفظ البيانات حول الحزم الأخرى المستخرجة في جلسة جديدة، فستحتاج إلى علامة التبويب ملف.

لبدء وظيفة التقاط حزمة الشبكة، يجب على المستخدم النقر على أيقونة "التقاط"، ثم ابحث عن قسم خاص من القائمة بعنوان "واجهات"، والتي يمكنك من خلالها فتح نافذة منفصلة "واجهات التقاط Wireshark" منفصلة، \u200b\u200bحيث كافة الشبكة المتاحة سيتم عرض واجهات، من خلالها التقاط حزم البيانات اللازمة. في الحالة عندما يكون البرنامج (Sniffer) قادرا على اكتشاف واجهة واحدة مناسبة فقط، فسيعرض كل شيء معلومات مهمة عنه.

نتائج الأداة المساعدة دليل مباشر على أنه حتى إذا كان المستخدمون لا يفعلون ذلك بشكل مستقل (في هذه اللحظة الوقت) نقل أي بيانات، الشبكة لا تنهي الشبكة. بعد كل شيء، فإن مبدأ تشغيل الشبكة المحلية هو أنه للحفاظ عليه في وضع العمل، يتم تبادل كل عنصر (الكمبيوتر، التبديل والأجهزة الأخرى) باستمرار مع كل معلومات خدمة أخرى، لذلك، تهدف أدوات الشبكة هذه إلى اعتراض مثل هذه الحزم وبعد

هناك نسخة لأنظمة Linux.

تجدر الإشارة إلى ذلك الشم غير مفيدة للغاية لمسؤولي الشبكات. والخدمة حماية الحاسوببعد كل شيء، تتيح لك الأداة المساعدة تحديد عقد الشبكة المحتملة المحتملة - المواقع المحتملة التي يمكن للهجوم عليها المتسللين.

بالإضافة إلى وجهةها المباشرة، يمكن استخدام Wireshark كوسيلة لرصد وزيادة تحليل حركة مرور الشبكة من أجل تنظيم هجوم على الشبكات غير المحمية، لأن حركة المرور المعتمدة يمكن استخدامها لتحقيق أغراض مختلفة.


smartsniff. يتيح لك اعتراض حركة مرور الشبكة وعرض محتوياتها في ASCII. يلتقط البرنامج حزم يمر عبر محول الشبكة ويعرض محتويات الحزم في نموذج النص (HTTP و POP3 و SMTP أو بروتوكولات FTP) وفي شكل تفريغ هروب. يستخدم Capture SmartSniff TCP / IP تقنيات: مآخذ الخام - مآخذ الخام، برنامج تشغيل التقاط WinCAP وبرنامج تشغيل Microsoft Network Monitor. البرنامج يدعم الروسية والسهلة الاستخدام.

برنامج الاستيعاب للحصول على حزم التقاط

SmartSnifيف يعرض المعلومات التالية: اسم البروتوكول، العنوان المحلي والبعي، المنفذ المحلي والبعي، العقدة المحلية، اسم الخدمة، حجم البيانات، الحجم الإجمالي، وقت التقاط الوقت والوقت الحزمة الأخيرةوالمدة، والعنوان الجماهيرية المحلية والبعيدة، والبلدان ومحتوى حزمة البيانات. يحتوي البرنامج على إعدادات مرنة، وهو ينفذ وظيفة مرشح الالتقاط، وتفريغ استجابات HTTP، وتحويل عنوان IP، يتم طي الأداة المساعدة في علبة النظام. SmartSniff يشكل تقريرا عن حزم التدفقات صفحات HTMLوبعد البرنامج من الممكن تصدير تدفقات TCP / IP.

في هذه المقالة، سنفكر في إنشاء Sniffer بسيط تحت Windows.
الذي يهتم، مرحبا بكم في القط.

مقدمة

غرض: اكتب برنامج سيؤدي إلى نقل حركة مرور الشبكة (إيثرنت، واي فاي) عبر بروتوكول IP.
أموال:استوديو مرئي. 2005 أو أعلى.
النهج الموضح هنا لا ينتمي شخصيا إلى المؤلف ويتم تطبيقه بنجاح في العديد من الإعلانات التجارية، وكذلك بشكل قاطع برامج مجانية (مرحبا، GPL).
هذا العمل المقصود في المقام الأول للمبتدئين في برامج الشبكة، ومع ذلك، لديهم معرفة أساسية على الأقل في مجال مآخذ المقابس بشكل عام، ومقطوعات ويندوز على وجه الخصوص. هنا غالبا ما أكتب أشياء معروفة، لأن منطقة الموضوع محددة، إذا فاتتك شيء - ستكون العصيدة في رأسي.

أتمنى أن تكون مهتما.

النظرية (قراءة ليست بالضرورة، ولكن يفضل)

في الوقت الحالي، تعتمد الغالبية العظمى من شبكات المعلومات الحديثة على مكدس بروتوكول TCP / IP. بروتوكول بروتوكول TCP / IP (ENG. بروتوكول التحكم في النقل / بروتوكول الإنترنت) هو اسما جماعي لبروتوكولات الشبكة للمستويات المختلفة المستخدمة في الشبكات. في هذه المقالة، سنكون مهتمين بروتوكول الملكية الفكرية، بروتوكول الشبكة المستمر المستخدمة للتسليم غير الهامش للبيانات مقسمة إلى حزم ما يسمى (مصطلح أكثر وفية - مخطط بيانات شبكة واحدة إلى أخرى.
من الفائدة الخاصة بنا تمثل حزم الملكية الفكرية مخصصة لإرسال المعلومات. هذا مستوى عال إلى حد ما من نموذج البيانات OSI للبيانات عند رسمه من الجهاز ووسيط نقل البيانات، فقط تشغيل تمثيل منطقي.
من المنطقي تماما أن تظهر أدوات عاجلا أم آجلا لاعتراض وسيطرة ومحاسبة وتحليل حركة مرور الشبكة. عادة ما تسمى هذه الوسائل تحليل المرور أو محلل الدفعات أو Sniffers (من الانحناء الإنجليزي إلى شم). هذا محلل حركة مرور الشبكة، وهو برنامج أو جهاز وأجهزة، مصممة لاعتراض وتحليل لاحق، أو تحليل حركة مرور الشبكة فقط مخصص لعقد أخرى.

ممارسة (محادثة أساسا)

في الوقت الراهن، كثيرا البرمجيات للاستماع إلى حركة المرور. الأكثر شهرة منهم: Wireshark. بطبيعة الحال، جني أمجاده. الهدف لا يستحق كل هذا العناء - نحن مهتمون بمهمة اعتراض حركة المرور باستخدام "الاستماع" المعتادة لواجهة الشبكة. من المهم أن نفهم أننا لن نتعامل مع القرصنة والاعتراض كائن فضائي المرور. تحتاج فقط إلى عرض وتحليل حركة المرور التي تمر عبر مضيفنا.

الذي قد يحتاج إليه:

  1. شاهد التدفق الحالي لحركة المرور من خلال اتصال الشبكة (الواردة / الصادرة / المجموع).
  2. إعادة توجيه حركة المرور للتحليل اللاحق لمضيف آخر.
  3. من الناحية النظرية، يمكنك محاولة تطبيقه على اختراق شبكة WiFi (لن نفعل ذلك؟).
على عكس Wireshark، والتي تعتمد على مكتبة Libpcap / WinPCAP، لن يستخدم محللنا هذا السائق. ما هو هناك، لن يكون لدينا سائق على الإطلاق، و NDIs لدينا (يا رعب!) لن نكتب. حول هذا الموضوع يمكن قراءتها في هذا الموضوع. سيكون ببساطة مراقب سلبي باستخدام فقط مكتبة Winsock. باستخدام برنامج التشغيل في هذه الحالة أمر مفرط.

كيف ذلك؟ بسيط جدا.
تتمثل خطوة رئيسية في تحويل تطبيق شبكة بسيط إلى محلل الشبكة إلى تبديل واجهة الشبكة إلى وضع الاستماع (الوضع المختلط)، والذي سيسمح له بتلقي الحزم الموجهة إلى واجهات أخرى على الشبكة. يجعل هذا الوضع رسوم الشبكة جميع الإطارات، بغض النظر عن أولئك الذين يتم توجيههم إلى الشبكة.

بدءا من نظام التشغيل Windows 2000 (NT 5.0)، أنشئ برنامج للاستماع إلى قطاع الشبكة أصبح بسيطا للغاية يسمح لك برنامج تشغيل الشبكة بترجمة المقبس إلى وضع الاستقبال لجميع الحزم.

إدراج وضع غير مفهوم
العلم الطويل \u003d 1؛ مقبس المقبس #Define sio_rcvall 0x98000001 Ioctlsocket (المقبس، sio_rcvall، & rs_flag)؛
يعمل برنامجنا مع حزم IP، ويستخدم مكتبة مكتبة Windows Sockets الإصدار 2.2 و "RAW" المقابس (مآخذ خام). من أجل الحصول على الوصول المباشر إلى حزمة IP، يجب إنشاء المقبس على النحو التالي:
خلق مأخذ الخام
S \u003d المقبس (AF_INET، SOCK_RAW، IPPROTO_IP)؛
هنا بدلا من ثابت Sock_stream(بروتوكول TCP) أو sock_dgram.(بروتوكول UDP)، نستخدم القيمة sock_raw.وبعد بشكل عام، العمل مع مآخذ الخام مثيرة للاهتمام ليس فقط من حيث التقاط حركة المرور. في الواقع، نحصل على التحكم الكامل في تكوين الحزمة. بدلا من ذلك، نتشكلها يدويا، والتي تسمح، على سبيل المثال، لإرسال حزمة ICMP محددة ...

تفضل. من المعروف أن حزمة IP تتكون من رأس، معلومات الخدمة وفي الواقع البيانات. أنصحك أن تنظر هنا لتحديث المعرفة. نحن تصف في شكل بنية عنوان IP (بفضل مقالة ممتازة عن RSDN):

وصف هيكل حزمة IP
TypeDef pryster _IPHEADER (غير موقعة char ver_len؛ // الإصدار وطول char char غير الموقعة؛ // نوع الخدمة قصيرة الطول غير الموحد؛ // طول الحزمة بأكملها من معرف قصير غير موقعة؛ // معرف غير معرف قصير غير موقعة FLGS_OFFSEST؛ // أعلام ويقبل char char char ttl؛ // بروتوكول الحياة غير الموحد غير الموقعة؛ // بروتوكول غير موقعة قصيرة XSUM؛ // مبلغ التحكم لفترة طويلة غير موقعة SRC؛ // عنوان IP المرسل غير الموقعة لفترة طويلة؛ // عنوان IP للمهالة غير الموقعة مخاطر قصيرة * // الخيارات (ما يصل إلى 320 بت) غير موقعة char * البيانات؛ // البيانات (ما يصل إلى 65535 أوتميات)) iPheader؛
ستبدو الوظيفة الرئيسية لخوارزمية الاستماع هكذا:
ميزة الالتقاط لحزمة واحدة
iPheader * RSNIFF () RS_SNIFF () (iPheader * HDR؛ العد الدولي \u003d 0؛ عد \u003d recv (rs_ssocket، (char *) و rs_buffer، sizeof (rs_buffer)، 0)؛ إذا (العد\u003e \u003d sizeof (iPheader)) (HDR \u003d lpiphoader) malloc (max_packet_size)؛ memcpy (hdr، rs_buffer، max_packet_size)؛ rs_updatenetstat (العد، hdr)؛ العودة HDR؛) آخر عودة 0؛)
كل شيء بسيط هنا: نحصل على جزء من البيانات باستخدام وظيفة وظيفة المقبس القياسية recvثم انسخها إلى هيكل النوع iPheader..
وأخيرا، إطلاق دورة لا نهاية لها التقاط الحزمة:
تم التقاط جميع الحزم التي ستسقط على واجهة الشبكة الخاصة بنا
بينما (صحيح) (iPheader * HDR \u003d RS_SNIFF ()؛ // المعالجة إذا pack (hdr) (// طباعة الرأس في وحدة التحكم))
قليلا offtopic.
هنا، في بعض الوظائف والمتغيرات المهمة، قام المؤلف الصنع Prefkis RS_ (من مآخذ الخام). فعل المشروع منذ 3-4 سنوات، وكانت هناك فكرة مجنونة لكتابة مكتبة كاملة للعمل مع مآخذ الخام. كما يحدث غالبا، بعد تلقي أي نتائج مهمة (للمؤلف)، فإن حماسة أوغاس، وعلى المنهج لم تطير القضية.

من حيث المبدأ، يمكنك الذهاب إلى أبعد من ذلك، ووصف عناوين جميع البروتوكولات اللاحقة أعلاه. للقيام بذلك، من الضروري تحليل الحقل بروتوكولفي الهيكل iPheader.وبعد إلقاء نظرة على نموذج التعليمات البرمجية (نعم، يجب أن يكون هناك مفتاح، لعنة!)، حيث يحدث تلوين الرأس حسب البروتوكول الذي يحتوي على حزمة مغلفة في IP:

/ * تخصيص حزمة اللون * / باطل colorpacket (const iPheader * h، const u_long haddr، const u_long whost \u003d 0) (إذا (h-\u003e xsum) setconsoletextcolor (0x17)؛ // إذا كانت الحزمة ليست فارغة آخر setconsoletextcolor ( 0x07)؛ // حزمة فارغة إذا (haddr \u003d\u003d h-\u003e src) (setconsoletextcolor (background_blue | / * background_intensity | * / foreer_pround_red | ForeAder_intensity)؛ // "الأصل" حزمة للعودة) آخر إذا (HADDR \u003d\u003d H- \u003e dest) (setconsoletextcolor (background_blue | / * background_intensity | * / foreerground_green | forrund_intensity)؛ // "أصلي" حزمة الاستقبال) إذا (H-\u003e بروتوكول \u003d\u003d prot_icmp || h-\u003e البروتوكول \u003d\u003d prot_igmp) (setconsoletextcolor (0x70 )؛ // حزمة ICMP) آخر إذا (H-\u003e البروتوكول \u003d\u003d prot_ip || H-\u003e البروتوكول \u003d\u003d 115) (setconsoletextcolor (0x4f)؛ // حزمة IP-IP، L2TP) آخر إذا (H-\u003e بروتوكول \u003d\u003d 53 || H-\u003e البروتوكول \u003d\u003d 56) (setconsoletextcolor (0x4c)؛ // tls، IP مع التشفير) إذا \u003d\u003d H-\u003e Destport: Whost \u003d\u003d H-\u003e SRC) (SETCONSOLETTCOLOR (0x0A) ؛))

ومع ذلك، هذا غير صحيح من هذه المقالة. بالنسبة للمناهج الدراسية لدينا، سيكون كافيا لرؤية عناوين IP للمضيفين، والتي تذهب إليها المرور، وحساب عددها لكل وحدة من الوقت (البرنامج النهائي في الأرشيف في نهاية المقال).

من أجل عرض بيانات عنوان IP، يجب عليك تطبيق ميزة تحويل رأس (ولكن ليس بيانات) من مخطط البيانات في السلسلة. كمثال على التنفيذ، يمكن تقديم هذا الخيار:

تحويل رأس IP في سلسلة
char مضمنة * iph2str (iPheader * iph) (const int buf_size \u003d 1024؛ char * r \u003d (char *) malloc (buf_size)؛ memset ((void *) r، 0، buf_size)؛ sprinth (r، "ver \u003d٪ D hlen \u003d٪ d tos \u003d٪ d len \u003d٪ d id \u003d٪ d الأعلام \u003d 0x٪ x إزاحة \u003d٪ d ttl \u003d٪ dms prot \u003d٪ d crc \u003d 0x٪ x src \u003d٪ s dest \u003d٪ s "، byte_h (iph-\u003e ver_len)، byte_l (iph-\u003e ver_len) * 4، iph-\u003e tos، ntohs (iph-\u003e الطول)، ntohs (iph-\u003e id)، ip_flags (ntohs (iph-\u003e flgs_offset))، ip_offset (ntohs (iph-\u003e flgs_offset))، iph-\u003e ttl، iph-\u003e البروتوكول، ntohs (iph-\u003e xsum)، nethost2str (iph-\u003e src)، nethost2str (iph-\u003e dest))؛ عودة ص؛)
بناء على المعلومات الأساسية أعلاه، يكون هذا برنامج صغير (اسم فظيع SS، SOPR. من الإنجليزية. Sniffer بسيط)، وتنفيذ الاستماع المحلي لحركة مرور IP. واجهة تظهر أدناه في الشكل.

المصدر والرمز الثنائي أنا أقدم كما هو، كما كان عليه قبل بضع سنوات. الآن أنا خائف من أنظر إليه، ومع ذلك، فهو قابل للقراءة (بالطبع، من المستحيل أن يكون مثل هذه الثقة بالنفس). لتجميع، حتى Visual Studio Express 2005 سيكون كافية تماما.

ماذا فعلنا في النهاية:

  • يعمل Sniffer في وضع المستخدم، ومع ذلك يتطلب امتيازات المسؤول.
  • لا يتم تصفية الحزم، وعرضها كما هي (يمكنك إضافة مرشحات مخصصة - أقترح التفاصيل للنظر في هذا الموضوع في المقالة التالية، إذا كانت مثيرة للاهتمام).
  • يتم التقاط WiFi-Traffic أيضا (كل هذا يتوقف على طراز رقاقة محددة، قد لا تعمل، حيث أن لدي قبل بضع سنوات)، على الرغم من وجود airpcap، وهو أمر رائع للقيام بذلك، ولكن يستحق المال.
  • يتم تسجيل التدفق بالكامل من مخطط البيانات في ملف (انظر الأرشيف المرفق في نهاية المقالة).
  • يعمل البرنامج كخادم في المنفذ 2000. يمكنك الاتصال باستخدام الأداة المساعدة Telnet للمضيف ومراقبة تدفقات حركة المرور. يقتصر عدد الاتصالات على العشرين (الكود ليس لي، لقد وجدت ذلك على الشبكة واستخدامه في التجارب؛ لم أكن التغيير - إنه أمر مؤسف)
شكرا لك على انتباهكم، وبرمجيات هابروفسك و Habrovska وكل كل شيء مع عيد الميلاد القادم!

العديد من المستخدمين شبكات الحاسببشكل عام، من غير المألوف بهذا المفهوم بأنه "الشم". ما هي الشم، حاول وتحديد، والتحدث لغة بسيطة مستخدم غير مستعد. ولكن لبدء، سيتعين على الجميع الذهاب في عمق السداد الدائمة للمصطلح نفسه.

الشم: ما هو الشم من وجهة نظر أجهزة الكمبيوتر الإنجليزية والكمبيوتر؟

في الواقع، لتحديد جوهر مثل هذا البرنامج أو البرامج ومجمع الأجهزة على الإطلاق، إذا كان ببساطة ترجمة المصطلح.

يأتي هذا الاسم من Word Sheniff (Sniff). ومن ثم أهمية المصطلح الروسي الناطق "الشم. ما هو الشم في فهمنا؟ Nyukhach، قادرة على تتبع استخدام حركة مرور الشبكة، ولكن، مامايا، تجسس يمكن أن يتداخل مع تشغيل الشبكات المحلية أو الموجهة نحو الإنترنت، وإزالة المعلومات التي تحتاجها بناء على الوصول عبر بروتوكولات نقل بيانات TCP / IP.

محلل حركة المرور: كيف يعمل؟

دعونا نعلم على الفور: الشم، سواء كان برنامج أو مكون برامج شرطية، قادر على تحليل واعتراض حركة المرور (البيانات المرسلة والمستلمة) حصريا عبر بطاقات الشبكة (Ethernet). ماذا حدث؟

لا تتحول واجهة الشبكة دائما إلى جدار الحماية المحمي (مرة أخرى - البرامج أو "الحديد")، وبالتالي تصبح اعتراض البيانات المرسلة أو المستلمة فقط حالة التكنولوجيا.

يتم نقل معلومات الشبكة داخل شرائح. داخل شريحة واحدة، يفترض أن ترسل حزم البيانات مع جميع الأجهزة المتصلة بالشبكة تماما. يتم إعادة توجيه المعلومات Sommentary إلى أجهزة التوجيه (أجهزة التوجيه)، ثم على مفاتيح (مفاتيح) والمراكز (HUBs). يتم إرسال المعلومات عن طريق فراق الحزم، لذلك يحصل المستخدم النهائي على جميع أجزاء الحزمة المتصلة ببعضها البعض بطرق مختلفة تماما. وبالتالي، فإن "الاستماع" من جميع الطرق الممكنة المحتملة من مشترك واحد لمورد الإنترنت أو التشغيل البيني لمورد الإنترنت لا يمكن إلا الوصول إلى المعلومات غير المشفرة، ولكن أيضا لبعض المفاتيح السرية التي يمكن أيضا إرسالها في عملية التفاعل هذه. ثم تبين أن واجهة الشبكة غير محمية تماما، لتدخل طرف ثالث يحدث.

نية جيدة وأغراض خبيثة؟

يمكن استخدام sniffiers لإيذاء وجيدة. ناهيك عن التأثير السلبي، تجدر الإشارة إلى أن مثل هذه البرامج ومجمعات الأجهزة غالبا ما تستخدم تماما مسؤولي النظامالذين يحاولون تتبع تصرفات المستخدمين ليس فقط على الشبكة، ولكن أيضا سلوكهم على الإنترنت من حيث الموارد التي تمت زيارتها، والتنزيلات المنشط لأجهزة الكمبيوتر أو إرسال منها.

هذه التقنية التي يعمل فيها Network Analyzer بسيطة للغاية. يحدد Sniffer المرور المنتهية ولايته والواسم للآلة. في هذه الحالة، لا يتعلق الأمر بالملكية الفكرية الداخلية أو الخارجية. المعيار الأكثر أهمية هو ما يسمى عنوان MAC، فريد من نوعه لأي جهاز متصل بالويب العالمي. إنه على أنه يحدث تحديد كل جهاز على الشبكة.

أنواع الشم

ولكن وحده، يمكن تقسيمها إلى عدة أساسية:

  • المعدات؛
  • البرمجيات؛
  • البرمجيات الأجهزة؛
  • التطبيقات عبر الإنترنت.

تحديد السلوك لوجود الشم في الشبكة

يمكنك الكشف عن نفس Sniffer WiFi عن طريق التحميل على الشبكة. إذا كنت تستطيع أن ترى أن نقل البيانات أو الاتصال ليس على مستوى المستوى، والذي يتم الإعلان عنه هو المزود (أو يسمح جهاز التوجيه)، يجب عليك الانتباه إلى هذا على الفور.

من ناحية أخرى، يمكن للمزود أيضا تشغيل برنامج Sniffer لتتبع حركة المرور دون علم المستخدم. ولكن، كقاعدة عامة، لا يعرف المستخدم حتى عن ذلك. لكن المنظمة التي توفر خدمات الاتصالات والاتصال بالإنترنت تضمن السلامة الكاملة للمستخدم من حيث الفيضانات، وعملاء محاذاة ذاتي من أحصنة طروادة غير متجانسة، جواسيس، إلخ. لكن هذه الأموال هي برامج هائلة وهناك تأثير خاص على الشبكة أو محطات المستخدم لا توفر.

الموارد على الانترنت

لكن محلل الحركة عبر الإنترنت يمكن أن يكون خطيرا بشكل خاص. تم بناء استخدام Sniffers نظام بدائي لأجهزة الكمبيوتر القرصنة. يتم تقليل التكنولوجيا في أبسط إصدارها إلى حقيقة أن التكسير في البداية يتم تسجيله على مورد معين، ثم قم بتحميل صورة إلى الموقع. بعد تأكيد التنزيل، يتم إصدار رابط إلى Sniffer عبر الإنترنت، والذي يتم إرساله إلى ضحية محتملة، على سبيل المثال، في شكل البريد الإلكتروني أو يبدو أن نفس رسالة الرسائل القصيرة مع النص "لقد أتيت تهانينا من ذلك. لفتح صورة (بطاقة بريدية)، انقر فوق الرابط ".

ينقر المستخدمون السذاجة على الارتباط التشعبي المحدد، ونتيجة لذلك يتم تنشيط تحديد وعنوان IP خارجي وإرساله. إذا كان لديك تطبيق مناسب، فلن تتمكن فقط من عرض جميع البيانات المخزنة على الكمبيوتر، ولكن أيضا تغيير إعدادات النظام بسهولة من الخارج، والتي لا يخمن المستخدم المحلي من خلال قبول مثل هذا التغيير للتأثير من الفيروس. نعم، فقط الماسح الضوئي عند التدقيق سوف يعطي تهديدات صفرية.

كيف تحمي نفسك من اعتراض البيانات؟

سواء كان ذلك WiFfer WiFi أو أي محلل آخر، فإن نظام الحماية من فحص حركة المرور غير المصرح به لا يزال هناك. الشرط شيء واحد: يجب تثبيته فقط تحت حالة الثقة الكاملة في "المستمع".

مثل البرمجيات معظمهم يسمى "antisniffera". ولكن إذا كنت تفكر في ذلك، فإن هذه هي نفسها في تحليل حركة المرور، ولكن حظر البرامج الأخرى التي تحاول الحصول عليها

وبالتالي السؤال القانوني: هل يستحق تثبيت هذا البرنامج؟ ربما، فإن القرصنة من المتسللين سوف يسببون ضرر أكبر، أو هل منعت ما يجب أن يعمل؟

في أبسط القضية مع أنظمة Windows، من الأفضل استخدام BrandMauer المدمج (جدار الحماية). في بعض الأحيان قد يكون هناك تعارض مع مكافحة فيروسات مثبتة، ولكن هذا غالبا ما يتعلق بحزم مجانية. الإصدارات المهنية المشتراة أو الشهرية من هذه العيوب خالية.

بدلا من المدرسة ما قبل المدرسة

هذا كل ما يتعلق بمفهوم "الشم". ما هو الشم، يبدو أن الكثيرين قد أدركت بالفعل. أخيرا، لا يزال السؤال في الآخر: كم هو أن هذه الأشياء ستستخدم المستخدم العادي؟ ولكن بعد كل شيء، بين المستخدمين الشباب، في بعض الأحيان يمكنك ملاحظة ميل إلى كمبيوتر مثيري الشغب. يعتقدون أن القرصنة "شركات" شخص آخر "- هذا شيء مثل منافسة مثيرة للاهتمام أو تأكيد ذاتي. لسوء الحظ، لا يفكر أي منهم في العواقب، ولكن لتحديد المهاجم الذي يستخدم نفس الشيء على الإنترنت، على سبيل المثال، على موقع IP الخارجي، على سبيل المثال، على موقع Whois. كمواقع، ومع ذلك، سيتم الإشارة إلى موقع المزود، ومع ذلك، فإن البلاد وستحدد المدينة بالتأكيد. حسنا، ثم هذه المسألة صغيرة: إما دعوة إلى المزود من أجل حظر المحطة التي يمكن من خلالها الوصول غير المصرح به، أو أعمال سوسو. جعل استنتاجات نفسك.

ل البرنامج المثبت تعاريف خلع المحطة التي تأتي منها محاولة الوصول، كما أن الوضع أسهل أيضا. ولكن قد تكون العواقب كارثية، لأنه لا يستخدم جميع المستخدمين هؤلاء أجهزة شهية XE أو خوادم الوكيل الافتراضية وليس لديهم مفاهيم الإنترنت. وستكون تستحق تعلم ...