Έτοιμη sniffer. Αναλυτές συσκευασίας δικτύου. Κατέλαβε όλα τα πακέτα που θα πέσουν στη διεπαφή δικτύου μας

Το Sniffer δεν είναι πάντα κακόβουλο. Στην πραγματικότητα, Αυτός ο τύπος Το λογισμικό χρησιμοποιείται συχνά για την ανάλυση της κυκλοφορίας δικτύου για την ανίχνευση και την εξάλειψη των αποκλίσεων και της αδιάλειπτης λειτουργίας. Ωστόσο, το sniffer μπορεί να χρησιμοποιηθεί με πρόθεση άσκησης. Το Sniffiers αναλύει όλα αυτά μέσα από αυτά περνάει, συμπεριλαμβανομένων των μη κρυπτογραφημένων κωδικών και διαπιστευτηρίων, επομένως οι χάκερ που έχουν πρόσβαση στο sniffer μπορούν να πάρουν την κατοχή προσωπικών πληροφοριών των χρηστών. Επιπλέον, το sniffer μπορεί να εγκατασταθεί σε οποιονδήποτε υπολογιστή συνδεδεμένο με τοπικό δίκτυο, χωρίς την ανάγκη για την υποχρεωτική εγκατάστασή του στη συσκευή - με άλλα λόγια, δεν μπορεί να ανιχνευθεί καθ 'όλη τη διάρκεια του χρόνου σύνδεσης.

Από πού προέρχονται το sniffer;

Οι χάκερ χρησιμοποιούν το sniffer για να κλέψουν πολύτιμα δεδομένα μέσω της παρακολούθησης της δραστηριότητας δικτύου και τη συλλογή Προσωπικές πληροφορίες Για τους χρήστες. Κατά κανόνα, οι επιτιθέμενοι ενδιαφέρονται περισσότερο για τους κωδικούς πρόσβασης και τα διαπιστευτήρια των χρηστών για να αποκτήσουν πρόσβαση σε online τραπεζικούς λογαριασμούς και ηλεκτρονικούς λογαριασμούς καταστημάτων. Τις περισσότερες φορές, οι χάκερ έβαλαν sniffers στους τόπους διάδοσης της Untrosted Wi-Fi σύνδεση, για παράδειγμα, σε καφετέριες, ξενοδοχεία και αεροδρόμια. Οι Sniffiers μπορούν να καλυφθούν κάτω από το δίκτυο που συνδέονται με το δίκτυο στο πλαίσιο της λεγόμενης επίθεσης spoofing προκειμένου να απαγάγει τα πολύτιμα δεδομένα.

Πώς να αναγνωρίσετε ένα sniffer;

Τα μη εξουσιοδοτημένα sniffiers είναι εξαιρετικά δύσκολο να αναγνωριστούν ουσιαστικά, καθώς μπορούν να εγκατασταθούν σχεδόν οπουδήποτε, αντιπροσωπεύοντας μια πολύ σοβαρή απειλή για την ασφάλεια του δικτύου. Συμβατικοί χρήστες Συχνά δεν έχουν καμία πιθανότητα να αναγνωρίσουν την παρακολούθηση της κυκλοφορίας δικτύου σας με ένα sniffer. Είναι θεωρητικά δυνατή η εγκατάσταση του δικού σας sniffer, η οποία θα εντοπίσει όλη την κυκλοφορία DNS για άλλους Sniffers, ωστόσο, είναι πολύ πιο εύκολο για έναν απλό χρήστη να δημιουργήσει ένα λογισμικό αντι-υδροπαλίδων ή ένα διάλυμα κατά του ιού που περιλαμβάνει την προστασία της δραστηριότητας δικτύου στο να σταματήσετε οποιαδήποτε μη εξουσιοδοτημένη εισβολή ή να αποκρύψετε τις δράσεις δικτύου τους.

Πώς να αφαιρέσετε το sniffer

Μπορείτε να χρησιμοποιήσετε εξαιρετικά αποδοτικό antivirus για να εντοπίσετε και να αφαιρέσετε όλους τους τύπους κακόβουλου λογισμικού που είναι εγκατεστημένες στον υπολογιστή σας για SNFF. Ωστόσο, για Πλήρης κατάργηση Απενεργοποιήστε από τον υπολογιστή που χρειάζεστε για να διαγράψετε απολύτως όλους τους φακέλους και τα αρχεία που έχουν αναλογία σε αυτό. Συνιστάται επίσης έντονα να χρησιμοποιείτε το Antivirus με ένα σαρωτή δικτύου, το οποίο ελέγχει προσεκτικά το τοπικό δίκτυο για τρωτά σημεία και αναθέτει σχετικά περαιτέρω δράσεις σε περίπτωση ανίχνευσης.

Πώς να μην γίνει θύμα ενός sniffer
  • Εισαγάγετε όλες τις πληροφορίες που στείλατε και λάβατε από εσάς
  • Σάρωση του τοπικού δικτύου σας για τρωτά σημεία
  • Χρησιμοποιήστε μόνο επαληθευμένα και προστατευόμενα δίκτυα Wi-Fi
Μπερδεύει το sniffer

Το πρώτο πράγμα που ο χρήστης μπορεί να κάνει για να προστατεύσει από το sniffer είναι να χρησιμοποιήσετε υψηλής ποιότητας antivirus ως δωρεάν avast antivirus.που είναι σε θέση να σαρώσει προσεκτικά ολόκληρο το δίκτυο για προβλήματα ασφάλειας. Ένας πρόσθετος και εξαιρετικά αποδοτικός τρόπος για την προστασία των πληροφοριών από το stuping είναι κρυπτογραφημένα όλα αποστέλλονται και λαμβάνουν ηλεκτρονικά δεδομένα, συμπεριλαμβανομένων μηνυμάτων ηλεκτρονικού ταχυδρομείου. ταχυδρομείο. Το Avast SecureLine σας επιτρέπει να κρυπτογραφήσετε με ασφάλεια όλες τις ανταλλαγές δεδομένων και να εκτελέσετε δράσεις σε απευθείας σύνδεση σε 100% ανωνυμία.

Το Wireshark θα είναι ένας εξαιρετικός βοηθός για τους χρήστες που πρέπει να κάνουν μια λεπτομερή ανάλυση των πακέτων δικτύων, - κυκλοφορίας δικτύου υπολογιστών. Το sniffer αλληλεπιδρά εύκολα με τέτοια κοινά πρωτόκολλα όπως netBIOS, FDDI, NNTP, ICQ, X25, DNS, IRC, NFS, HTTP, TCP, IPv6 Και πολλοί άλλοι. Σας επιτρέπει να διαχωρίσετε τη συσκευασία δικτύου στα κατάλληλα συστατικά, σύμφωνα με ένα συγκεκριμένο πρωτόκολλο και να εξαγάγετε αναγνώσιμες πληροφορίες σε αριθμητική μορφή.
Υποστηρίζει έναν τεράστιο αριθμό διαφορετικών μορφών μεταδιδόμενων και λαμβανόμενων πληροφοριών, είναι σε θέση να ανοίξει αρχεία που να χρησιμοποιούν άλλες επιχειρήσεις κοινής ωφέλειας. Η αρχή της λειτουργίας είναι ότι η κάρτα δικτύου πηγαίνει στη λειτουργία εκπομπής και η παρακολούθηση των πακέτων δικτύων ξεκινά, οι οποίες βρίσκονται στη ζώνη της ορατότητάς του. Είναι σε θέση να εργαστεί ως πρόγραμμα για να παρακολουθήσει τα πακέτα WiFi.

Πώς να χρησιμοποιήσετε το Wireshark.

Το πρόγραμμα ασχολείται με την εκμάθηση των περιεχομένων των πακέτων πληροφοριών που διέρχονται από το δίκτυο. Για να ξεκινήσετε και να χρησιμοποιήσετε τα αποτελέσματα της λειτουργίας του Sniffer, δεν απαιτείται συγκεκριμένες γνώσεις, απλά χρειάζεται να το ανοίξετε στο μενού "Έναρξη" ή κάντε κλικ στο εικονίδιο στην επιφάνεια εργασίας (η εκτόξευσή του δεν είναι διαφορετική από οποιαδήποτε άλλη Προγράμματα των Windows). Η ειδική λειτουργία της χρησιμότητας το επιτρέπει να καταγράφει τα πακέτα πληροφοριών, να αποκρυπτογραφήσει προσεκτικά το περιεχόμενό τους και να δώσει στον χρήστη στον χρήστη.

Τρέξιμο Wireshark, θα δείτε το κύριο πρόγραμμα μενού στην οθόνη, η οποία βρίσκεται στην κορυφή του παραθύρου. Χρησιμοποιώντας και ελέγχει τη χρησιμότητα. Εάν χρειάζεται να ανεβάσετε αρχεία που αποθηκεύουν τα δεδομένα πακέτων που αλιεύονται σε προηγούμενες συνεδρίες, καθώς και αποθηκεύστε δεδομένα σχετικά με άλλα πακέτα που εξάγονται σε μια νέα συνεδρία, τότε θα χρειαστείτε την καρτέλα Αρχείο.

Για να ξεκινήσετε τη λειτουργία λήψης πακέτων δικτύου, ο χρήστης πρέπει να κάνει κλικ στο εικονίδιο "Capture", στη συνέχεια να βρείτε ένα ειδικό τμήμα του μενού με τίτλο "Interfaces", με το οποίο μπορείτε να ανοίξετε ένα ξεχωριστό παράθυρο "Wireshark Capture Interfaces", όπου όλα τα διαθέσιμα δίκτυα Θα εμφανιστούν διεπαφές, μέσω των οποίων θα καταγράψει τα απαραίτητα πακέτα δεδομένων. Στην περίπτωση που το πρόγραμμα (sniffer) είναι σε θέση να ανιχνεύσει μόνο μία κατάλληλη διεπαφή, θα εμφανίσει όλα Σημαντικές πληροφορίες για αυτόν.

Τα αποτελέσματα της χρησιμότητας είναι άμεση απόδειξη ότι, ακόμη και αν οι χρήστες δεν κάνουν ανεξάρτητα (σε αυτή τη στιγμή Ώρα) Μετάδοση οποιωνδήποτε δεδομένων, το δίκτυο δεν τερματίζει το δίκτυο. Εξάλλου, η αρχή της λειτουργίας του τοπικού δικτύου είναι ότι η διατήρηση του σε λειτουργία εργασίας, κάθε στοιχείο (υπολογιστής, διακόπτης και άλλες συσκευές) ανταλλάσσεται συνεχώς με κάθε άλλη πληροφορία υπηρεσιών, επομένως, τα εν λόγω όργανα δικτύου προορίζονται να παρεμποδίσουν τέτοιες συσκευασίες .

Υπάρχει μια έκδοση για τα συστήματα Linux.

πρέπει να σημειωθεί ότι Το Sniffer είναι εξαιρετικά χρήσιμο για τους διαχειριστές δικτύου. και την υπηρεσία Ασφάλεια του υπολογιστήΜετά από όλα, το βοηθητικό πρόγραμμα σας επιτρέπει να εντοπίσετε δυνητικά απροστάτευτους κόμβους δικτύου - πιθανές τοποθεσίες που μπορούν να επιτεθούν από τους χάκερ.

Εκτός από τον άμεσο προορισμό του, το Wireshark μπορεί να χρησιμοποιηθεί ως μέσο παρακολούθησης και περαιτέρω ανάλυσης της κυκλοφορίας δικτύου, προκειμένου να οργανωθεί μια επίθεση σε απροστάτευτα δίκτυα, επειδή η παρακολούθηση της κυκλοφορίας μπορεί να χρησιμοποιηθεί για την επίτευξη διαφορετικών σκοπών.


Smartsniff. Σας επιτρέπει να παρακολουθήσετε την κυκλοφορία δικτύου και να εμφανίσετε τα περιεχόμενά του στην ASCII. Το πρόγραμμα καταγράφει τα πακέτα που διέρχονται από τον προσαρμογέα δικτύου και εμφανίζουν τα περιεχόμενα των πακέτων σε μορφή κειμένου (http, pop3, smtp, πρωτόκολλα FTP) και με τη μορφή εξόδου εξόδου χωματερής. Το SmartSniff TCP / IP Capture χρησιμοποιεί τεχνικές: ακατέργαστες υποδοχές - ωμά πρίζες, πρόγραμμα οδήγησης Capture Wincap και Microsoft Network Monitor. Το πρόγραμμα υποστηρίζει ρωσικά και εύχρηστα.

Πρόγραμμα Sniffer για τη λήψη πακέτων

Το SmartSniff εμφανίζει τις ακόλουθες πληροφορίες: Όνομα πρωτοκόλλου, τοπική και απομακρυσμένη διεύθυνση, τοπική και απομακρυσμένη θύρα, τοπικός κόμβος, όνομα υπηρεσίας, αριθμός δεδομένων, σύνολο, λήψη χρόνου και ώρα τελευταίο πακέτο, διάρκεια, τοπική και απομακρυσμένη μάζα, χώρες και περιεχόμενο πακέτου δεδομένων. Το πρόγραμμα διαθέτει ευέλικτες ρυθμίσεις, εφαρμόζει τη λειτουργία φίλτρου σύλληψης, αποσυσκευασία των αποκρίσεων HTTP, τη μετατροπή της διεύθυνσης IP, το βοηθητικό πρόγραμμα διπλώνεται στο δίσκο συστήματος. Το SmartSniff αποτελεί μια αναφορά σχετικά με τα πακέτα ροών Html σελίδες. Το πρόγραμμα είναι δυνατόν να εξαγάγετε τις ροές TCP / IP.

Σε αυτό το άρθρο, θα εξετάσουμε τη δημιουργία ενός απλού sniffer κάτω από τα Windows.
Ποιος ενδιαφέρεται, καλώς ήλθατε στη γάτα.

Εισαγωγή

Σκοπός: Γράψτε ένα πρόγραμμα που θα καταγράψει την κυκλοφορία δικτύου (Ethernet, WiFi) που μεταδίδει μέσω πρωτοκόλλου IP.
Κεφάλαια:Οπτικό στούντιο. 2005 ή υψηλότερη.
Η προσέγγιση που περιγράφεται εδώ δεν ανήκει προσωπικά στον συγγραφέα και εφαρμόζεται με επιτυχία σε πολλά εμπορικά, αλλά και κατηγορηματικά Δωρεάν προγράμματα (Γεια, GPL).
Αυτό το έργο προορίζεται κυρίως για αρχάριους στον προγραμματισμό δικτύων, το οποίο, ωστόσο, έχει τουλάχιστον βασικές γνώσεις στον τομέα των υποδοχών γενικότερα και ειδικότερα των Windows Sockets. Εδώ συχνά θα γράψω γνωστά καλά πράγματα, επειδή η περιοχή του θέματος είναι συγκεκριμένη, αν χάσετε κάτι - το κουάκερ θα είναι στο κεφάλι μου.

Ελπίζω ότι θα σας ενδιαφέρει.

Η θεωρία (διαβάστε απαραίτητα, αλλά κατά προτίμηση)

Προς το παρόν, η συντριπτική πλειοψηφία των σύγχρονων δικτύων πληροφοριών βασίζεται στη στοίβα του πρωτοκόλλου TCP / IP. Το πρωτόκολλο πρωτοκόλλου TCP / IP (ENG. Το πρωτόκολλο ελέγχου μετάδοσης κίνησης / πρωτόκολλο Internet) είναι ένα συλλογικό όνομα για πρωτόκολλα δικτύου διαφορετικών επιπέδων που χρησιμοποιούνται σε δίκτυα. Σε αυτό το άρθρο, θα σας ενδιαφέρουν το πρωτόκολλο IP, το δρομολόγιο πρωτόκολλο δικτύου που χρησιμοποιείται για τη μη οριακή παράδοση δεδομένων χωρισμένη σε αποκαλούμενα πακέτα (έναν πιο πιστό όρο - datagram) από έναν κόμβο δικτύου στο άλλο.
Ιδιαίτερο ενδιαφέρον για μας αντιπροσωπεύουν πακέτα IP που προορίζονται για τη μετάδοση πληροφοριών. Πρόκειται για ένα αρκετά υψηλό επίπεδο του δικτύου δεδομένων OSI, όταν μπορείτε να βαφτείτε από τη συσκευή και το μέσο μεταφοράς δεδομένων, λειτουργούν μόνο μια λογική αναπαράσταση.
Είναι απολύτως λογικό το γεγονός ότι νωρίτερα ή μεταγενέστερα εργαλεία πρέπει να εμφανίζονται να παρακολουθήσουν, να ελέγχουν, τη λογιστική και την ανάλυση της κυκλοφορίας δικτύου. Τέτοια μέσα ονομάζονται συνήθως αναλυτές κυκλοφορίας, αναλυτές παρτίδας ή sniffers (από τα αγγλικά έως sniff - sniff). Αυτός είναι ένας αναλυτής κυκλοφορίας δικτύου, ένα πρόγραμμα ή συσκευή λογισμικού και υλικού, σχεδιασμένο για να παρακολουθήσει και μεταγενέστερη ανάλυση ή μόνο ανάλυση της κυκλοφορίας δικτύου που προορίζονται για άλλους κόμβους.

Πρακτική (συνομιλία ουσιαστικά)

Αυτή τη στιγμή, πολλά λογισμικό Για να ακούτε την κυκλοφορία. Το πιο διάσημο από αυτά: wireshark. Φυσικά, αποκομίζοντας τις δάφνες του. Ο στόχος δεν αξίζει τον κόπο - μας ενδιαφέρει η αποστολή της παρακολούθησης της κυκλοφορίας χρησιμοποιώντας τη συνηθισμένη "ακρόαση" της διεπαφής δικτύου. Είναι σημαντικό να καταλάβουμε ότι δεν πρόκειται να ασχοληθούμε με την πειρατεία και να παρεμποδίσουμε Εξωγήινο ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ. Απλά πρέπει να δείτε και να αναλύσετε την κυκλοφορία που περνάει από τον οικοδεσπότη μας.

Για το οποίο μπορεί να χρειαστεί:

  1. Παρακολουθήστε την τρέχουσα ροή της κυκλοφορίας μέσω σύνδεσης δικτύου (εισερχόμενη / εξερχόμενη / σύνολο).
  2. Ανακατεύθυνση της κυκλοφορίας για μεταγενέστερη ανάλυση σε άλλο κεντρικό υπολογιστή.
  3. Θεωρητικά, μπορείτε να προσπαθήσετε να το εφαρμόσετε για να χάσετε ένα wifi-δίκτυο (δεν θα το κάνουμε;).
Σε αντίθεση με το Wireshark, το οποίο βασίζεται στη βιβλιοθήκη libpcas / winpcap, ο αναλυτής μας δεν θα χρησιμοποιήσει αυτό το πρόγραμμα οδήγησης. Τι υπάρχει, δεν θα έχουμε καθόλου έναν οδηγό και το NDIs μας (oh φρίκη!) Δεν πρόκειται να γράψουμε. Σχετικά με αυτό μπορεί να διαβαστεί σε αυτό το θέμα. Θα είναι απλά ένας παθητικός παρατηρητής που χρησιμοποιεί μόνο Βιβλιοθήκη Winsock. Η χρήση του οδηγού σε αυτή την περίπτωση είναι υπερβολικά.

Πως και έτσι? Πολύ απλό.
Ένα βήμα κλειδιού για τη στροφή μιας απλής εφαρμογής δικτύου στον αναλυτή δικτύου είναι η ενεργοποίηση της διασύνδεσης δικτύου στη λειτουργία λειτουργίας ακρόασης (λειτουργία που ασχολείται με την ατμόσφαιρα), η οποία θα επιτρέψει την παραλαβή πακέτων απευθύνεται σε άλλες διεπαφές στο δίκτυο. Αυτή η λειτουργία καθιστά το τέλος δικτύου να λαμβάνει όλα τα πλαίσια, ανεξάρτητα από εκείνους που απευθύνονται στο δίκτυο.

Ξεκινώντας από τα Windows 2000 (NT 5.0), δημιουργήστε ένα πρόγραμμα για να ακούτε το τμήμα του δικτύου έχει γίνει πολύ απλή, επειδή Το πρόγραμμα οδήγησης δικτύου σας επιτρέπει να μεταφράσετε την υποδοχή στη λειτουργία λήψης όλων των συσκευασιών.

Συμπερίληψη μιας μη συνδεδεμένης λειτουργίας
Μεγάλη σημαία \u003d 1; Υποδοχή υποδοχής? #Define sio_rcvall 0x98000001 ioctlsocket (υποδοχή, sio_rcvall, & rs_flag);
Το πρόγραμμά μας λειτουργεί με πακέτα IP και χρησιμοποιεί τις πρίζες της Βιβλιοθήκης των Windows Sockets έκδοση 2.2 και "RAW" (ακατέργαστες υποδοχές). Για να αποκτήσετε άμεση πρόσβαση στο πακέτο IP, η υποδοχή πρέπει να δημιουργηθεί ως εξής:
Δημιουργώντας μια ωμό πρίζα
S \u003d υποδοχή (AF_INET, SOCK_RAW, IPPROTO_IP);
Εδώ αντί για σταθερή Sock_stream(Πρωτόκολλο TCP) ή Sock_dgram(Πρωτόκολλο UDP), χρησιμοποιούμε την αξία Sock_raw. Σε γενικές γραμμές, η συνεργασία με τις πρώτες πρίζες είναι ενδιαφέρον όχι μόνο όσον αφορά τη σύλληψη της κυκλοφορίας. Στην πραγματικότητα, έχουμε τον πλήρη έλεγχο του σχηματισμού της συσκευασίας. Αντίθετα, το διαμορφώνουμε με το χέρι, το οποίο επιτρέπει, για παράδειγμα, να στείλει ένα συγκεκριμένο πακέτο ICMP ...

Προχώρα. Είναι γνωστό ότι το πακέτο IP αποτελείται από μια κεφαλίδα, Πληροφορίες υπηρεσίας και, στην πραγματικότητα, δεδομένα. Σας συμβουλεύω να κοιτάξετε εδώ για να ανανεώσετε τη γνώση. Περιγράφουμε με τη μορφή δομής τίτλου IP (χάρη σε ένα εξαιρετικό άρθρο στο RSDN):

Περιγραφή της δομής πακέτου IP
Typedef struct _ipheader (μη υπογεγραμμένος char ver_len; // έκδοση και μήκος του μη υπογεγραμμένου char tos; // τύπος υπηρεσίας μη υπογεγραμμένο σύντομο μήκος, // μήκος ολόκληρης της συσκευασίας μη υπογεγραμμένου βραχυπρόθεσμου αναγνωριστικού. // id μη υπογεγραμμένη σύντομη Flgs_offset; // Σημαίες και offset μη υπογεγραμμένο char ttl; // life liveetime μη υπογεγραμμένο πρωτόκολλο char · // πρωτόκολλο μη υπογεγραμμένο σύντομο xsum; // άθροισμα ελέγχου μη υπογεγραμμένο μακρύ αποστάγματος. // διεύθυνση IP διεύθυνση μη υπογεγραμμένο μακρύ dest; // διεύθυνση IP της ανάθεσης μη υπογεγραμμένα σύντομα * // Επιλογές (έως 320 bits) μη υπογεγραμμένα δεδομένα char *; // δεδομένα (έως 65535 οκτάδες)) ipheader;
Η κύρια λειτουργία του αλγορίθμου ακρόασης θα μοιάζει με αυτό:
Το χαρακτηριστικό λήψης ενός πακέτου
Ipheader * rs_sniff () (ipheader * hdr; int count \u003d 0; count \u003d recv (rs_ssocket, (char *) & rs_buffer, μέγεθος (rs_buffer), 0). Εάν (μετρήσεις\u003e \u003d μέγεθος (Ipheader)) (HDR \u003d (HDR \u003d (HDR \u003d Lpipheader) malloc (max_packet_size) · memcpy (hdr, rs_buffer, max_packet_size) · rs_updatenetstat (μέτρηση, hdr) · επιστροφή hdr ·) αλλιώς επιστροφή 0 ·)
Όλα είναι απλά εδώ: Παίρνουμε ένα μέρος των δεδομένων χρησιμοποιώντας τη λειτουργία τυπικής υποδοχής Αντίδωκαι στη συνέχεια να τα αντιγράψετε στη δομή τύπου Ipheader..
Και τέλος, ξεκινήστε Ατελείωτος κύκλος Συλλογή συσκευασίας:
Κατέλαβε όλα τα πακέτα που θα πέσουν στη διεπαφή δικτύου μας
Ενώ (αληθές) (Ipheader * HDR \u003d RS_SNIFF (); // επεξεργασία εάν συσκευασία (HDR) (// εκτυπώστε την κεφαλίδα στην κονσόλα))
Λίγο offtopic
Εδώ, σε ορισμένες σημαντικές λειτουργίες και μεταβλητές, ο συγγραφέας έκανε το Preskis Rs_ (από τις πρώτες πρίζες). Το έργο έκανε 3-4 χρόνια πριν, και υπήρξε μια τρελή ιδέα για να γράψω μια πλήρη βιβλιοθήκη για να δουλέψει με ωμά πρίζες. Όπως συμβαίνει συχνά, μετά τη λήψη οποιωνδήποτε σημαντικών αποτελεσμάτων (για το συγγραφέα), ο ενθουσιασμός των ΟΥΓΑ και στο πρόγραμμα σπουδών δεν πετούσε την υπόθεση.

Κατ 'αρχήν, μπορείτε να προχωρήσετε περαιτέρω και να περιγράψετε τους τίτλους όλων των επόμενων πρωτοκόλλων παραπάνω. Για να το κάνετε αυτό, είναι απαραίτητο να αναλύσετε το πεδίο πρωτόκολλοΣε δομή Ipheader.. Κοιτάξτε τον κωδικό δείγματος (ναι, θα πρέπει να υπάρχει ένας διακόπτης, να το κάνει!), Όπου εμφανίζεται ο χρωματισμός κεφαλίδας ανάλογα με το ποιο πρωτόκολλο έχει ένα πακέτο ενθυλακωμένο σε IP:

/ * * Καταχώρηση συσκευασίας χρώματος * / κενό ColorPacket (Const Ipheader * h, const u_long haddr, const u_long whost \u003d 0) (αν (h-\u003e xsum) setconsoletexteccolor (0x17); // εάν το πακέτο δεν είναι κενό άλλο setconsoletextcolor ( 0x07); // κενό πακέτο εάν (haddr \u003d\u003d h-\u003e src) (setconsoletextcolor (background_blue | / * background_intensation | * / foredroad_red | foreground_intensation); // "native" πακέτο για επιστροφή) \u003e Dest) (setconsoletextcolor (background_blue | / * background_intensation | * / foreground_green | foreground_intens); // "πακέτο". ) · // πακέτο ICMP) αλλιώς εάν (H-\u003e πρωτόκολλο \u003d\u003d prot_ip || h-\u003e πρωτόκολλο \u003d\u003d 115) (SetConsoletextColor (0x4f); // IP-in-IP πακέτο, L2TP) αλλού αν (H-\u003e Πρωτόκολλο \u003d\u003d 53 || H-\u003e πρωτόκολλο \u003d\u003d 56) (SetConsoletextColor (0x4c), // TLS, IP με κρυπτογράφηση) εάν \u003d\u003d H-\u003e DETC || WHOST \u003d\u003d H-\u003e SRC) (SetCONSOLETEXTColor (0x0a) ·))

Ωστόσο, αυτό είναι σημαντικά εκτός αυτού του άρθρου. Για το πρόγραμμα σπουδών μας, θα είναι αρκετό για να δείτε τις διευθύνσεις IP των οικοδεσπότες, από τις οποίες και σε ποια κίνηση πηγαίνει και να υπολογίσει τον αριθμό ανά μονάδα χρόνου (το τελικό πρόγραμμα στο τέλος του άρθρου).

Για να εμφανίσετε τα δεδομένα τίτλου IP, πρέπει να εφαρμόσετε τη δυνατότητα μετατροπής κεφαλίδας (αλλά όχι δεδομένα) του datagram στη συμβολοσειρά. Ως παράδειγμα εφαρμογής, αυτή η επιλογή μπορεί να προσφερθεί:

Μετατροπή κεφαλίδας IP σε συμβολοσειρά
inline char * iph2str (ipheader * iph) (const int buf_size \u003d 1024; char * r \u003d (char *) malloc (buf_size); memce ((κενό *) r, 0, buf_size); sprintf (r, "ver \u003d% D hlen \u003d% d tos \u003d% d len \u003d% d id \u003d% d σημαίες \u003d 0x% x offset \u003d% d tTL \u003d% DMS prot \u003d% d crc \u003d 0x% x src \u003d% s dest \u003d% s ", byte_h (iph-\u003e ver_len), byte_l (iph-\u003e ver_len) * 4, iph-\u003e tos, ntohs (iph-\u003e μήκος), ntohs (iph-\u003e id), ip_flags (ntohss (iph-\u003e flgs_offset), ip_offset (NTOHS (IPH-\u003e FLGS_OFCSET), IPH-\u003e TTL, IPH-\u003e πρωτόκολλο, NtoHs (IPH-\u003e Xsum), Nethost2str (IPH-\u003e SRC), Nethost2str (IPH-\u003e DIST)); Επιστροφή r;)
Με βάση τις παραπάνω βασικές πληροφορίες, αυτό είναι ένα τόσο μικρό πρόγραμμα (ένα τρομερό όνομα SS, soprop. Από τα αγγλικά. Απλό sniffer), εφαρμόζοντας τοπική ακρόαση της κυκλοφορίας IP. Η διεπαφή εμφανίζεται παρακάτω στο σχήμα.

Πηγή και δυαδικός κώδικας που παρέχει όπως είναι, όπως πριν από λίγα χρόνια. Τώρα φοβόμαστε να τον κοιτάξουμε, και όμως, είναι αρκετά ευανάγνωστο (φυσικά, είναι αδύνατο να είσαι τόσο αυτοπεποίθηση). Για να καταρτίσει, ακόμη και το Visual Studio Express 2005 θα είναι αρκετά αρκετό.

Τι κάναμε στο τέλος:

  • Το sniffer λειτουργεί σε λειτουργία χρήστη, ωστόσο απαιτεί δικαιώματα διαχειριστή.
  • Τα πακέτα δεν φιλτράρονται, εμφανίζονται όπως είναι (μπορείτε να προσθέσετε προσαρμοσμένα φίλτρα - προτείνω λεπτομέρειες για να εξετάσω αυτό το θέμα στο επόμενο άρθρο, αν είναι ενδιαφέρον).
  • Η WiFi-Traffic συλλαμβάνεται επίσης (όλα εξαρτώνται από το συγκεκριμένο μοντέλο τσιπ, ίσως να μην λειτουργείτε, όπως έχω πριν από μερικά χρόνια), αν και υπάρχει αεροπορική ατμόσφαιρα, η οποία είναι υπέροχη να το κάνετε, αλλά αξίζει τα χρήματα.
  • Ολόκληρη η ροή του datagram είναι συνδεδεμένη σε ένα αρχείο (δείτε το αρχείο που επισυνάπτεται στο τέλος του άρθρου).
  • Το πρόγραμμα λειτουργεί ως διακομιστής στο Port 2000. Μπορείτε να συνδεθείτε χρησιμοποιώντας το βοηθητικό πρόγραμμα Telnet στις ροές κεντρικού υπολογιστή και την παρακολούθηση της κυκλοφορίας. Ο αριθμός των συνδέσεων περιορίζεται σε είκοσι (ο κώδικας δεν είναι δικός μου, το βρήκα στο δίκτυο και χρησιμοποιούσα για πειράματα. Δεν άλλαξα - είναι κρίμα)
Σας ευχαριστούμε για την προσοχή σας, διευθετήσατε τον Habrovsk και την Habrovska και όλα - όλα με τα επερχόμενα Χριστούγεννα!

Πολλοί χρήστες Δίκτυα υπολογιστώνΣε γενικές γραμμές, δεν είναι εξοικειωμένο με μια τέτοια έννοια ως "sniffer". Τι είναι ένα sniffer, δοκιμάστε και προσδιορίστε, μιλώντας Απλή γλώσσα Απροετοίμαστος χρήστης. Αλλά για μια αρχή, όλοι θα πρέπει να πάνε βαθιά στην προκαθορισμό του ίδιου του όρου.

Sniffer: Τι είναι το Sniffer από την άποψη του αγγλικού και του εξοπλισμού των υπολογιστών;

Στην πραγματικότητα, για να καθορίσει την ουσία ενός τέτοιου λογισμικού ή ενός λογισμικού και ενός συμπλέγματος υλικού καθόλου, αν απλά μεταφράσει τον όρο.

Αυτό το όνομα προέρχεται από την αγγλική λέξη Sniff (Sniff). Ως εκ τούτου, η σημασία του ρωσικού όρου "Sniffer". Τι είναι το sniffer στην κατανόησή μας; Ο Nyukhach, ικανός να παρακολουθεί τη χρήση της κυκλοφορίας δικτύου, αλλά, εξελίευσε, μια κατάσκοπος που μπορεί να επηρεάσει τη λειτουργία τοπικών ή προσανατολισμένων δικτύων στο διαδίκτυο, αφαιρώντας τις πληροφορίες που χρειάζεστε με βάση την πρόσβαση μέσω των πρωτοκόλλων μετάδοσης δεδομένων TCP / IP.

Αναλυτής κυκλοφορίας: Πώς λειτουργεί;

Ας ειδοποιήσουμε αμέσως: Sniffer, είτε πρόκειται για ένα λογισμικό λογισμικού ή υπό όρους, είναι σε θέση να αναλύσει και να παρακολουθήσει την κυκλοφορία (μεταδίδεται και λαμβανόμενα δεδομένα) αποκλειστικά μέσω καρτών δικτύου (Ethernet). Τι συμβαίνει;

Η διεπαφή δικτύου δεν αποδεικνύεται πάντοτε να προστατεύεται το τείχος προστασίας (ξανά - λογισμικό ή "σίδηρο") και συνεπώς η παρακολούθηση των μεταδιδόμενων ή λαμβανόμενων δεδομένων γίνεται μόνο η περίπτωση της τεχνολογίας.

Μέσα στις πληροφορίες του δικτύου μεταδίδονται από τμήματα. Μέσα σε ένα μόνο τμήμα, θεωρείται ότι στέλνει πακέτα δεδομένων με απολύτως όλες τις συσκευές που συνδέονται με το δίκτυο. Οι τμηματικές πληροφορίες ανακατεύονται σε δρομολογητές (δρομολογητές) και στη συνέχεια σε διακόπτες (διακόπτες) και κόμβοι (πλήμνες). Η αποστολή πληροφοριών γίνεται με το χωρισμό των πακέτων, οπότε ο τελικός χρήστης παίρνει όλα τα μέρη της συσκευασίας που συνδέονται μαζί με μια εντελώς διαφορετικές διαδρομές. Έτσι, η "ακρόαση" όλων των δυνητικά πιθανών διαδρομών από έναν συνδρομητή σε άλλο ή διαλειτουργικότητα του πόρου διαδικτύου με τον χρήστη δεν μπορεί μόνο να έχει πρόσβαση σε μη κρυπτογραφημένες πληροφορίες, αλλά και σε ορισμένα μυστικά κλειδιά που μπορούν επίσης να σταλούν σε μια τέτοια διαδικασία αλληλεπίδρασης. Και στη συνέχεια η διεπαφή δικτύου αποδεικνύεται ότι είναι εντελώς απροστάτευτη, για την παρέμβαση ενός τρίτου συμβούλου.

Καλή πρόθεση και κακόβουλους σκοπούς;

Οι Sniffiers μπορούν να χρησιμοποιηθούν για να βλάψουν και καλές. Για να μην αναφέρουμε αρνητικές επιπτώσεις, αξίζει να σημειωθεί ότι τέτοια λογισμικά και τα σύμπλοκα υλικού χρησιμοποιούνται συχνά αρκετά Διαχειριστές συστήματοςΠοιοι προσπαθούν να παρακολουθήσουν τις ενέργειες των χρηστών όχι μόνο στο δίκτυο, αλλά και τη συμπεριφορά τους στο Διαδίκτυο όσον αφορά τους πόρους που επισκέπτονται, ενεργοποιημένες λήψεις σε υπολογιστές ή αποστολή από αυτά.

Η τεχνική στην οποία λειτουργεί ο αναλυτής δικτύου είναι αρκετά απλός. Το Sniffer καθορίζει την εξερχόμενη και εισερχόμενη κίνηση του μηχανήματος. Σε αυτή την περίπτωση, δεν πρόκειται για εσωτερική ή εξωτερική ΠΕ. Το πιο σημαντικό κριτήριο είναι η λεγόμενη διεύθυνση MAC, μοναδική για οποιαδήποτε συσκευή συνδεδεμένη στον παγκόσμιο ιστό. Είναι σε αυτό ότι εμφανίζεται η ταυτοποίηση κάθε μηχανής στο δίκτυο.

Τύποι sniffer

Αλλά μόνο, μπορούν να χωριστούν σε πολλά βασικά:

  • σκεύη, εξαρτήματα;
  • λογισμικό;
  • λογισμικό υλικού.
  • online applets.

Συμπεριφορική προσδιορισμός της παρουσίας ενός sniffer στο δίκτυο

Μπορείτε να ανιχνεύσετε το ίδιο wifi sniffer με φορτίο στο δίκτυο. Εάν μπορείτε να δείτε ότι η μεταφορά δεδομένων ή η σύνδεση δεν είναι στο επίπεδο του επιπέδου, το οποίο δηλώνεται ο πάροχος (ή επιτρέπει στον δρομολογητή), θα πρέπει να προσέξετε αμέσως αυτό.

Από την άλλη πλευρά, ο πάροχος μπορεί επίσης να τρέξει ένα λογισμικό sniffer για να παρακολουθεί την κυκλοφορία χωρίς τη γνώση του χρήστη. Αλλά, κατά κανόνα, ο χρήστης δεν το ξέρει καν γι 'αυτό. Αλλά ο οργανισμός που παρέχει υπηρεσίες επικοινωνίας και η σύνδεση στο Διαδίκτυο εγγυάται έτσι την πλήρη ασφάλεια του χρήστη όσον αφορά τις πλημμύρες, αυτο-ευθυγραμμίζοντας τους πελάτες των ετερογενών trojans, spies κ.λπ. Αλλά τα κεφάλαια αυτά είναι μάλλον λογισμικό και η ιδιαίτερη επιρροή στο δίκτυο ή οι τερματικοί σταθμοί χρήστη δεν παρέχουν.

Online πόρους

Αλλά ο αναλυτής κυκλοφορίας σε απευθείας σύνδεση μπορεί να είναι ιδιαίτερα επικίνδυνος. Η χρήση των sniffers χτίστηκε ένα πρωτόγονο σύστημα υπολογιστών hacking. Η τεχνολογία στην πιο απλούστερη εκδοχή της μειώνεται στο γεγονός ότι μια αρχικά κροτίδα καταγράφεται σε έναν συγκεκριμένο πόρο, στη συνέχεια μεταφορτώστε μια εικόνα στον ιστότοπο. Μετά την επιβεβαίωση της λήψης, εκδίδεται ένας σύνδεσμος με το online sniffer, το οποίο αποστέλλεται σε ένα πιθανό θύμα, για παράδειγμα, με τη μορφή του ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ Ή το ίδιο μήνυμα SMS με το κείμενο φαίνεται να "έχετε έρθει συγχαρητήρια από αυτό. Για να ανοίξετε μια φωτογραφία (ταχυδρομική κάρτα), κάντε κλικ στο σύνδεσμο. "

Οι αφελείς χρήστες κάνουν κλικ στην καθορισμένη υπερσύνδεση, ως αποτέλεσμα της οποίας ενεργοποιείται η αναγνώριση και μετάδοση μιας εξωτερικής διεύθυνσης IP. Εάν έχετε μια κατάλληλη εφαρμογή, όχι μόνο θα είναι σε θέση να προβάλλει όλα τα δεδομένα που είναι αποθηκευμένα στον υπολογιστή, αλλά και εύκολα να αλλάξετε τις ρυθμίσεις του συστήματος από το εξωτερικό, το οποίο ο τοπικός χρήστης δεν μαντέψει καν την αποδοχή μιας τέτοιας αλλαγής για την επίδραση του ιού. Ναι, απλά ο σαρωτής κατά τον έλεγχο θα δώσει μηδενικές απειλές.

Πώς να προστατεύσετε τον εαυτό σας από την παρακολούθηση των δεδομένων;

Είτε πρόκειται για ένα WiFfer WiFi ή οποιοσδήποτε άλλος αναλυτής, το σύστημα προστασίας από μη εξουσιοδοτημένη σήμανση κυκλοφορίας είναι ακόμα εκεί. Η κατάσταση είναι ένα πράγμα: πρέπει να εγκατασταθούν μόνο υπό την προϋπόθεση της πλήρους εμπιστοσύνης στον "ακροατή".

Τέτοιος λογισμικό Συχνά ονομάζεται "Antisniffera". Αλλά αν σκεφτείτε, αυτοί είναι οι ίδιοι Sniffers που αναλύουν την κυκλοφορία, αλλά εμποδίζουν άλλα προγράμματα που προσπαθούν να πάρουν

Ως εκ τούτου, το νομικό ερώτημα: αξίζει να εγκαταστήσετε ένα τέτοιο λογισμικό; Ίσως η πειρατεία του από τους χάκερ να προκαλέσει ακόμα μεγαλύτερη βλάβη, ή να εμποδίσει τι πρέπει να εργαστεί;

Στην απλούστερη περίπτωση με τα Windows-Systems, είναι καλύτερο να χρησιμοποιήσετε το ενσωματωμένο brandmauer (τείχος προστασίας). Μερικές φορές μπορεί να υπάρχουν συγκρούσεις με ένα εγκατεστημένο antivirus, αλλά αυτό συχνά σχετίζεται με δωρεάν πακέτα. Οι επαγγελματικές αγορασμένες ή μηνιαίες ενεργοποιημένες εκδόσεις αυτών των μειονεκτημάτων στερούνται.

Αντί του προσχολικής ηλικίας

Αυτό είναι όλα όσον αφορά την έννοια του "sniffer". Τι είναι το sniffer, φαίνεται ότι πολλοί έχουν ήδη συνειδητοποιήσει. Τέλος, το ερώτημα παραμένει στο άλλο: πόσο είναι ότι τα πράγματα αυτά θα χρησιμοποιήσουν τον συνηθισμένο χρήστη; Αλλά μετά από όλα, μεταξύ των νέων χρηστών, μερικές φορές μπορείτε να παρατηρήσετε μια τάση για το hoooliganism του υπολογιστή. Πιστεύουν ότι hacking κάποιος άλλος "comp" - αυτό είναι κάτι σαν ενδιαφέρον ανταγωνισμό ή αυτοεπιβεβαίωση. Δυστυχώς, κανένας από αυτούς δεν σκέφτεται ακόμη και τις συνέπειες, αλλά να καθορίσει τον εισβολέα που χρησιμοποιεί το ίδιο online sniffer, πολύ απλά στην εξωτερική IP της, για παράδειγμα, στον ιστότοπο Whois. Ως θέση, ωστόσο, η τοποθεσία του παρόχου θα υποδεικνύεται, ωστόσο, η χώρα και η πόλη θα ορίσουν σίγουρα. Λοιπόν, τότε το θέμα είναι για μικρό: είτε μια κλήση προς τον πάροχο, προκειμένου να εμποδίσει το τερματικό από το οποίο η μη εξουσιοδοτημένη πρόσβαση ή μια επιχείρηση Susso. Να συμπληρώσετε τον εαυτό σας.

Για Εγκατεστημένο πρόγραμμα Ορισμοί της εξάρθρωσης του τερματικού σταθμού από την οποία έρχεται μια προσπάθεια πρόσβασης, η κατάσταση είναι επίσης ευκολότερη. Ωστόσο, οι συνέπειες μπορεί να είναι καταστροφικές, επειδή δεν χρησιμοποιούν όλοι οι χρήστες αυτούς τους αντωνθήματα XE ή εικονικούς διακομιστές μεσολάβησης και δεν έχουν καν τις έννοιες στο Διαδίκτυο. Και θα αξίζει να μάθουν ...