Sniffer, trafik analizatorunun başqa bir adıdır - bu, şəbəkə trafikini kəsən və sonra təhlil edən bir proqram və ya digər aparat cihazıdır. Hal-hazırda bu proqramların tamamilə qanuni əsaslandırılması var, buna görə də İnternetdə geniş istifadə olunur, lakin həm yaxşı, həm də zərər üçün istifadə edilə bilər.
Onların yaranma tarixi 90-cı illərə gedib çıxır, o zaman belə proqram təminatından istifadə edən hakerlər istifadəçinin o zaman çox zəif şifrələnmiş giriş və şifrəsini asanlıqla ələ keçirə bilirdilər.
Sniffer sözü ingilis dilindən gəlir. iyləmək - iyləmək, iş prinsipi budur ki, bu proqram qeyd edir və təhlil edir informasiya paketlərini ötürən maşınlarda quraşdırılan proqramlar. Məlumatın oxunması əməliyyatının effektiv olması üçün o, əsas kompüterə yaxın yerləşməlidir.
Proqramçılar bu proqramdan istifadə edirlər trafik təhlili üçün, digər məqsədləri şəbəkədə hakerlər həyata keçirirlər, onlar parolları və ya onlara lazım olan digər məlumatları izləyirlər;
Trafik analizatorlarının növləri
Snifferlər növünə görə fərqlənir, onlar birbaşa kompüterdə quraşdırılmış onlayn proqramlar və ya proqramlar ola bilər, onlar da öz növbəsində aparat və proqram təminatına bölünürlər. 
Çox vaxt onlardan istifadə olunur parolları ələ keçirmək üçün, bu halda proqram şifrələnmiş məlumatların kodlarına giriş əldə edir. Bu, istifadəçiyə çox böyük narahatlıq gətirə bilər, çünki tez-tez bir neçə proqram və ya saytın eyni parolların təyin edilməsi halları olur ki, bu da son nəticədə lazımi resurslara girişin itirilməsinə səbəb olur.
RAM-ın şəklini tutmaq üçün istifadə olunan bir növ iyləmə var, çünki prosessorun gücünü istifadə etmədən məlumatları daim oxumaq çətindir. Spy aşkar edinəməliyyat zamanı PC-nin maksimum fayl yükünü izləməklə mümkündür.
Başqa bir proqram növü böyük məlumat ötürmə kanalı ilə işləyir və zərərverici hər gün 10 meqabayta qədər protokollar yarada bilər.
Bu necə işləyir
Analizatorlar yalnız TCP/IP protokolları ilə işləyirlər. Məlumatların ötürülməsi ayrı-ayrı paketlərdən istifadə etməklə həyata keçirilir ki, bu da son məqsədə çatdıqda yenidən vahid bir bütöv olur. Onlar həmçinin ötürmənin istənilən mərhələsində paketləri ələ keçirməyə və onunla birlikdə qorunmayan parollar şəklində qiymətli məlumatları əldə etməyə qadirdirlər. Hər halda, deşifrə proqramlarının köməyi ilə hətta qorunan parolun açarını əldə etmək mümkündür.
WiFi snifferlərindən istifadə etməyin ən asan yolu mühafizəsi zəif olan şəbəkələrdə - kafelərdə, ictimai yerlərdə və s.
Bu proqramlardan istifadə edən provayderlər bilər icazəsiz girişi izləyin xarici sistem ünvanlarına.
Özünüzü iy verənlərdən necə qorumalısınız
Birinin yerli şəbəkəyə nüfuz etdiyini başa düşmək üçün ilk növbədə diqqət etməlisiniz paket yükləmə sürəti, qeyd olunandan əhəmiyyətli dərəcədə aşağıdırsa, bu sizi xəbərdar etməlidir. Tapşırıq menecerindən istifadə edərək kompüterinizin işinə nəzarət edə bilərsiniz. Xüsusi yardım proqramlarından istifadə edə bilərsiniz, lakin onlar ən çox Windows firewall ilə ziddiyyət təşkil edir, buna görə də onu bir müddət söndürmək daha yaxşıdır.
Sistem administratorları üçün yerli şəbəkədə trafik analizatorlarının yoxlanılması və axtarışı zəruri bir işdir. Zərərli proqramları aşkar etmək üçün siz həm uzaq hostlarda, həm də birbaşa yerli şəbəkə daxilində zərərvericiləri aşkar etməyə imkan verən Doctor Web və ya Kaspersky Anti-Virus kimi tanınmış şəbəkə antiviruslarından istifadə edə bilərsiniz.
Sadəcə olaraq kompüterinizdə quraşdırılmış xüsusi proqramlara əlavə olaraq istifadə edə bilərsiniz daha mürəkkəb parollar və kriptoqrafik sistemlər. Kriptoqrafik sistemlər bilavasitə informasiya ilə işləyir, onu elektron imzadan istifadə edərək şifrələyir.
Tətbiqlərə ümumi baxış və əsas xüsusiyyətlər
CommView
CommView ötürülən məlumat paketlərini deşifrə edir və istifadə olunan protokolların statistikasını diaqramlar şəklində göstərir. Trafik sniffer sizə IP paketlərini və lazım olanları təhlil etməyə imkan verir. Windows üçün Sniffer məlum protokollarla işləyir: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP və s. CommView Ethernet modemləri, wi-fi və başqaları ilə işləyir. Paketlər " istifadə edərək qurulmuş əlaqə vasitəsilə tutulur. CariIP- əlaqələr", burada ünvan ləqəbləri yarada bilərsiniz. 
Nişan " Paketlər» onlar haqqında məlumatları göstərir və onlar mübadilə buferinə kopyalana bilər. 
« LOG-fayllar» paketlərə NFC formatında baxmaq imkanı verir.
Nişan " Qaydalar" Burada paketin tutulması üçün şərtləri təyin edə bilərsiniz. Bu nişanın bölmələri: IP ünvanları, MAC ünvanları, Portlar, Proses, Formulalar və Fərdi parametrlər.
« Xəbərdarlıq": yerli şəbəkədə bildirişlərin qurulmasını təmin edir, "Əlavə et" düyməsini istifadə edərək işləyir. Burada şərtləri və hadisə növlərini təyin edə bilərsiniz:
- "Saniyədə paketlər" - şəbəkə yükləmə səviyyəsi aşıldığında.
- "Saniyədə bayt" - məlumat ötürmə tezliyi aşıldığında.
- "Naməlum ünvan", yəni icazəsiz bağlantıların aşkarlanması.
Nişan " Baxın»—yol hərəkətinin statistikası burada öz əksini tapır.
CommView Windows 98, 2000, XP, 2003 ilə uyğundur. Proqramdan istifadə etmək üçün Ethernet adapteri tələb olunur.
Üstünlükləri: rus dilində istifadəçi dostu interfeysi, şəbəkə adapterlərinin ümumi növlərini dəstəkləyir, statistika vizuallaşdırılır. Yeganə mənfi cəhət yüksək qiymətdir. 
Spynet
Spynet paketlərin dekodlanması və onların tutulması funksiyalarını yerinə yetirir. Onun köməyi ilə istifadəçinin ziyarət etdiyi səhifələri yenidən yarada bilərsiniz. CaptureNet və PipeNet 2 proqramdan ibarətdir. Yerli şəbəkədə istifadə etmək rahatdır. CaptureNet məlumat paketlərini skan edir, ikinci proqram prosesi izləyir.
İnterfeys olduqca sadədir:
- Düymə Dəyişdirin Filtr- filtrlərin qurulması.
- Düymə Qat 2,3 – Flame – IP protokollarını quraşdırır; Layer 3 - TCP.
- Düymə Nümunə Uyğunluq göstərilən parametrlərə malik paketləri axtarır.
- Düymə IP— Ünvanlar maraqlandıran məlumatları ötürən lazımi IP ünvanlarını skan etməyə imkan verir. (Seçimlər 1-2, 2-1, 2=1). Sonuncu halda, bütün trafik.
- Düymə Limanlar, yəni portların seçimi.
Məlumatları tutmaq üçün Capture Start proqramını işə salmalısınız, yəni məlumatların tutulması prosesi başlayır. Saxlanılan məlumatı olan fayl yalnız Stop əmrindən sonra, yəni tutma hərəkətlərinin dayandırılmasından sonra kopyalanır.
Spynet-in üstünlüyü istifadəçinin ziyarət etdiyi veb-səhifələri deşifrə etmək qabiliyyətidir. Proqramı pulsuz yükləmək olar, baxmayaraq ki, tapmaq olduqca çətindir. Dezavantajlara Windows-da kiçik bir sıra funksiyalar daxildir. Windows XP, Vista-da işləyir. 
BUTTSniffer
BUTTSniffer birbaşa şəbəkə paketlərini təhlil edir. Fəaliyyət prinsipi ötürülən məlumatların tutulması, eləcə də onu avtomatik olaraq daşıyıcıda saxlamaq imkanıdır ki, bu da çox rahatdır. Bu proqram işə salınıb komanda xətti vasitəsilə. Filtr seçimləri də var. Proqram BUTTSniff.exe və BUTTSniff-dən ibarətdir. dll.
BUTTSniffer-in əhəmiyyətli çatışmazlıqlarına qeyri-sabit əməliyyat, tez-tez qəzalar, hətta ƏS-nin çökməsi (ölümün mavi ekranı) daxildir.
Bu sniffer proqramlarına əlavə olaraq, eyni dərəcədə tanınmış bir çox başqa proqramlar var: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.
Qurbanın IP ünvanını əldə etməklə yanaşı, təcavüzkarın IP ünvanını birbaşa dəyişdirən onlayn snayferlər də var. Bunlar. Haker əvvəlcə bir IP ünvanı altında qeydiyyatdan keçir və qurbanın kompüterinə endirilməsi lazım olan şəkli və ya sadəcə açılması lazım olan e-poçtu göndərir. Bundan sonra haker bütün lazımi məlumatları alır.
Xatırlatmaq yerinə düşər ki, başqasının kompüterinin məlumatlarına müdaxilə cinayətdir.
][ komandasının hər bir üzvünün proqram təminatı və kommunal xidmətlərlə bağlı öz seçimləri var
qələm testi. Məsləhətləşdikdən sonra biz seçdik ki, seçim o qədər dəyişir ki, mümkündür
sübut edilmiş proqramların əsl centlmen dəstini yaradın. bu qədər
qərar verdi. Bir hodgepodge etməmək üçün bütün siyahını mövzulara böldük - və
Bu dəfə paketləri iyləmək və manipulyasiya etmək üçün yardım proqramlarına toxunacağıq. Ondan istifadə edin
sağlamlıq.
Wireshark
Netcat
Məlumatların tutulmasından danışsaq, o zaman Şəbəkə mədənçisi havadan götürüləcək
(və ya PCAP formatında əvvəlcədən hazırlanmış zibildən) fayllar, sertifikatlar,
şəkillər və digər media, həmçinin parollar və avtorizasiya üçün digər məlumatlar.
Faydalı xüsusiyyət açar sözlər olan məlumatların həmin bölmələrini axtarmaqdır
(məsələn, istifadəçi girişi).
Scapy
Veb sayt:
www.secdev.org/projects/scapy
Hər hansı bir haker üçün olmalıdır, o, üçün güclü bir vasitədir
interaktiv paket manipulyasiyası. Ən çox paketləri qəbul edin və deşifrə edin
müxtəlif protokollar, sorğuya cavab, dəyişdirilmiş və inyeksiya
özünüz tərəfindən yaradılmış paket - hər şey asandır! Onun köməyi ilə bütövlükdə çıxış edə bilərsiniz
tarama, trakorut, hücumlar və aşkarlama kimi bir sıra klassik tapşırıqlar
şəbəkə infrastrukturu. Bir şüşədə belə məşhur kommunal xidmətlər üçün əvəz alırıq,
məsələn: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f və s. Onda
vaxtıdır Scapy istənilən tapşırığı, hətta ən konkret işi yerinə yetirməyə imkan verir
artıq yaradılmış başqa bir tərtibatçı tərəfindən heç vaxt yerinə yetirilə bilməyən bir vəzifə
deməkdir. Məsələn, C hərfində bütöv bir dağ sətir yazmaq əvəzinə,
yanlış paket yaratmaq və bəzi demonları söndürmək kifayətdir
istifadə edərək, bir neçə sətir kodu daxil edin Scapy! Proqramda yoxdur
qrafik interfeys və interaktivlik tərcüməçi vasitəsilə əldə edilir
Python. Bunu başa düşdükdən sonra səhv yaratmaq sizə heç bir xərc çəkməyəcək
paketləri, lazımi 802.11 çərçivələrini yeritmək, hücumlarda müxtəlif yanaşmaları birləşdirmək
(məsələn, ARP keşinin zəhərlənməsi və VLAN hoppanması) və s. Tərtibatçıların özləri təkid edirlər
Scapy-nin imkanlarının digər layihələrdə istifadə olunmasını təmin etmək. Birləşdirmək
bir modul olaraq, müxtəlif növ yerli tədqiqatlar üçün bir yardım proqramı yaratmaq asandır,
zəifliklərin axtarışı, Wi-Fi inyeksiyası, spesifiklərin avtomatik icrası
tapşırıqlar və s.
paket
Veb sayt:
Platforma: *nix, Windows üçün port var
Bir tərəfdən hər hansı bir şey yaratmağa imkan verən maraqlı bir inkişaf
ethernet paketi və digər tərəfdən, məqsədlə paketlərin ardıcıllığını göndərin
bant genişliyini yoxlayır. Digər oxşar vasitələrdən fərqli olaraq, paket
mümkün qədər sadə paketlər yaratmağa imkan verən qrafik interfeysə malikdir
forma. Daha çox - daha çox. Yaradılması və göndərilməsi xüsusilə işlənmişdir
paketlərin ardıcıllığı. Göndərmələr arasında gecikmələr təyin edə bilərsiniz,
ötürmə qabiliyyətini yoxlamaq üçün paketləri maksimum sürətlə göndərin
Şəbəkənin bölməsi (bəli, bura müraciət edəcəklər) və daha maraqlısı -
paketlərdə parametrləri dinamik olaraq dəyişdirin (məsələn, IP və ya MAC ünvanı).
Win2000 üçün - Windows 10 (2019) (Server, x86, x64). Ən son versiya: 4.4.17 quruluş 424. 24 aprel 2019-cu il.
Nədir serial port sniffer verilənlərin başqa proqram tərəfindən ötürülməsinə nəzarət edən və serial interfeysi ilə tədqiq olunan proqram arasında sanki “özünü bağlayan” proqramdır. Serial port məlumat ələ keçiricisi sizin və ya Windows-da işləyən digər proqramın əməliyyat xüsusiyyətlərini öyrənməyə imkan verir. Əgər öyrəndiyiniz proqram sizin tərəfinizdən hazırlanmışdırsa, o zaman serial port məlumatların ələ keçiricisi məlumat mübadiləsi zamanı baş verən səhvləri izləməyə imkan verən RS232 interfeysi sazlayıcısına çevrilir. Proqramımızdakı serial port məlumatlarının monitorinqi rejimi “Observer” adlanır və proqramın əsas pəncərəsindəki “Mode” menyusundan çağırılır.
Serial port sniffer rejiminə keçid edilməlidir TO tədqiq olunan proqramı işə salın. Bunu etməsəniz, sonradan serial port sniffer artıq serial porta daxil ola bilməyəcək və müvafiq olaraq öz funksiyalarını yerinə yetirə bilməyəcək.
Serial port məlumatlarını kəsən rejimdə proqram həm ötürülən, həm də qəbul edilən bütün trafikə nəzarət edir. Göndərilən məlumatlar proqram ekranında vurğulana bilər. Bu funksiya "Digər / Məlumat Tipi" sekmesindəki seçimlərdə aktivləşdirilə bilər.
Serial port məlumat ələ keçiricimiz istənilən formada (onaltılıq, onluq və ya hər hansı digər) ekranda məlumat ötürülməsinə nəzarət etməyə imkan verir. Bu, serial port məlumat ələ keçiricisini tərk etmədən məlumat bloklarının təkrarlanan ardıcıllığını tapmağa və məlumatların ötürülməsində nümunələri müəyyən etməyə imkan verir.
Serial port məlumat ələ keçiricimizin digər mühüm xüsusiyyəti, göndərilən və qəbul edilən məlumatları sonradan təhlil etmək üçün faylda saxlamaq imkanıdır. Serial port məlumat alıcısının fayl yaratma rejimi çevik şəkildə konfiqurasiya edilmişdir ki, bu da proqram tərəfindən qeydə alınan böyük miqdarda məlumatı təhlil edərkən vaxta qənaət edir.
Proqramımız güclü və yüksək səviyyədə fərdiləşdirilə bilən məlumat müşahidəçisinə çevrilmək üçün çox asandır. Bunun üçün proqramı yükləmək və quraşdırmaq kifayətdir. Sonra proqramı işə salın. "Rejim" əsas menyusunda "Müşahidəçi" rejimini seçin. Sonra siyahıdan seriya portunu seçin və "Açıq" düyməsini basın. Unutmayın ki, bu, öyrənilən proqramı işə salmadan əvvəl edilməlidir. Və hər şey sizin əlinizdədir - geniş spektrli problemlərin həlli üçün universal bir vasitədir.
Digər serial port sniffers ilə müqayisədə, Advanced Serial Port Monitor bir neçə unikal xüsusiyyətlərə malikdir:
- Serial port məlumat alıcısı Windows 2000-dən başlayaraq bütün Windows əməliyyat sistemləri ailəsində işləmək imkanı verir. Windows 10 x64;
- Serial port məlumat ələ keçiricisi sistemdə quraşdırılmış bütün seriya portlarında məlumat ötürülməsinə nəzarət etməyə imkan verir. Seriya port nömrəsi 1 ilə 255 arasında dəyişə bilər;
- Serial port sniffer sizə Dial-Up bağlantısı zamanı göndərilən trafikə nəzarət etmək imkanı verir.
Serial port məlumat ələ keçiricisinin bütün imkanları bizim Advanced Serial Port Monitor proqramımızda həyata keçirilir. Sınaq versiyasını indi yükləyin - sürətli və pulsuzdur!
Şəbəkə paket analizatorları və ya snifferlər əvvəlcə şəbəkə problemlərinin həlli vasitəsi kimi hazırlanmışdır. Onlar şəbəkə üzərindən ötürülən paketləri ələ keçirə, şərh edə və sonrakı təhlil üçün saxlaya bilirlər. Bu, bir tərəfdən sistem administratorlarına və texniki dəstək mühəndislərinə məlumatların şəbəkə üzərindən necə ötürüldüyünü müşahidə etməyə, yaranan problemlərin diaqnostikasını aparmağa və aradan qaldırmağa imkan verir. Bu mənada paket snayferləri şəbəkə problemlərinin diaqnostikası üçün güclü vasitədir. Digər tərəfdən, əvvəlcə idarəetmə üçün nəzərdə tutulmuş bir çox digər güclü vasitələr kimi, zaman keçdikcə sniffers tamamilə fərqli məqsədlər üçün istifadə olunmağa başladı. Həqiqətən, təcavüzkarın əlindəki snayfer olduqca təhlükəli bir vasitədir və parollar və digər məxfi məlumatları əldə etmək üçün istifadə edilə bilər. Bununla belə, düşünməməlisiniz ki, snayferlər hər hansı bir hakerin şəbəkə üzərindən ötürülən məxfi məlumatları asanlıqla görə biləcəyi bir növ sehrli vasitədir. Sniffers tərəfindən yaranan təhlükənin tez-tez təqdim olunduğu qədər böyük olmadığını sübut etməzdən əvvəl, onların fəaliyyət prinsiplərini daha ətraflı nəzərdən keçirək.
Paket snayferlərinin iş prinsipləri
Bundan sonra bu məqalədə biz yalnız Ethernet şəbəkələri üçün nəzərdə tutulmuş proqram snifferlərini nəzərdən keçirəcəyik. Sniffer NIC (Şəbəkə İnterfeysi Kartı) şəbəkə adapteri səviyyəsində (bağlantı qatı) işləyən və bütün trafiki gizli şəkildə kəsən proqramdır. Snifferlər OSI modelinin məlumat bağlantısı qatında işlədikləri üçün onlar daha yüksək səviyyəli protokolların qaydaları ilə oynamaq məcburiyyətində deyillər. Snifferlər Ethernet sürücülərinin və TCP/IP yığınının məlumatları şərh etmək üçün istifadə etdiyi filtrləmə mexanizmlərindən (ünvanlar, portlar və s.) yan keçir. Paket sniferləri teldən keçən hər şeyi ələ keçirir. Snifferlər çərçivələri binar formatda saxlaya və daha sonra içəridə gizlənmiş daha yüksək səviyyəli məlumatları aşkar etmək üçün onların şifrəsini aça bilərlər (Şəkil 1).
Snifferin şəbəkə adapterindən keçən bütün paketləri tutması üçün şəbəkə adapterinin sürücüsü qeyri-adi rejimi dəstəkləməlidir. Şəbəkə adapterinin bu iş rejimində sniffer bütün paketləri ələ keçirə bilir. Şəbəkə adapterinin bu iş rejimi sniffer işə salındıqda və ya müvafiq sniffer parametrləri ilə əl ilə təyin edildikdə avtomatik olaraq aktivləşdirilir.
Tutulan bütün trafik paketləri müəyyən edən və müvafiq iyerarxiya səviyyələrinə bölən paket dekoderinə ötürülür. Müəyyən bir snifferin imkanlarından asılı olaraq, təqdim olunan paket məlumatı sonradan əlavə təhlil edilə və süzülə bilər.
Sniffers istifadə məhdudiyyətləri
Şəbəkə üzərindən informasiyanın aydın mətnlə (şifrələnmədən) ötürüldüyü və konsentratorlar (hublar) əsasında lokal şəbəkələrin qurulduğu o dövrlərdə snifferlər ən böyük təhlükə yaradırdı. Bununla belə, o günlər əbədi olaraq geridə qaldı və bu gün məxfi məlumatlara çıxış əldə etmək üçün snayferlərdən istifadə etmək heç də asan məsələ deyil.
Fakt budur ki, qovşaqlar əsasında lokal şəbəkələr qurarkən müəyyən ümumi məlumat ötürmə mühiti (şəbəkə kabeli) və bütün şəbəkə qovşaqları bu mühitə daxil olmaq üçün rəqabət apararaq paket mübadiləsi aparır (şək. 2) və bir şəbəkə tərəfindən göndərilən paket. node hubın bütün portlarına ötürülür və bu paket şəbəkədəki bütün digər qovşaqlar tərəfindən dinlənilir, lakin yalnız onun ünvanlandığı qovşaq onu qəbul edir. Üstəlik, şəbəkə qovşaqlarından birinə paket sniffer quraşdırılıbsa, o, verilmiş şəbəkə seqmentinə (hub tərəfindən yaradılmış şəbəkə) aid olan bütün şəbəkə paketlərini tuta bilər.
Kommutatorlar yayım mərkəzlərindən daha ağıllı cihazlardır və şəbəkə trafikini təcrid edir. Kommutator hər bir porta qoşulmuş cihazların ünvanlarını bilir və paketləri yalnız lazımi portlar arasında ötürür. Bu, hub kimi hər bir paketi onlara yönləndirmədən digər portları yükləməyə imkan verir. Beləliklə, müəyyən şəbəkə nodu tərəfindən göndərilən paket yalnız paket alıcısının qoşulduğu keçid portuna ötürülür və bütün digər şəbəkə qovşaqları bu paketi aşkar edə bilmir (şək. 3).
Buna görə də, əgər şəbəkə keçid əsasında qurulubsa, o zaman şəbəkə kompüterlərindən birində quraşdırılmış sniffer yalnız bu kompüterlə digər şəbəkə qovşaqları arasında mübadilə edilən paketləri tutmağa qadirdir. Nəticədə, təcavüzkarı maraqlandıran kompüter və ya serverin digər şəbəkə qovşaqları ilə mübadilə etdiyi paketləri tuta bilmək üçün bu xüsusi kompüterdə (serverdə) sniffer quraşdırmaq lazımdır ki, bu da əslində o qədər də sadə deyil. Bununla belə, yadda saxlamalısınız ki, bəzi paket snayferləri əmr satırından işə salınır və qrafik interfeysə malik olmaya bilər. Bu cür snifferlər, prinsipcə, uzaqdan və istifadəçi tərəfindən fərq edilmədən quraşdırıla və işə salına bilər.
Əlavə olaraq, yadda saxlamalısınız ki, açarlar şəbəkə trafikini təcrid edərkən, bütün idarə olunan açarlarda port yönləndirmə və ya port yansıtma funksiyası var. Yəni, keçid portu elə konfiqurasiya edilə bilər ki, digər keçid portlarına gələn bütün paketlər onun üzərində təkrarlansın. Əgər bu halda paket sniferi olan kompüter belə bir porta qoşulubsa, o zaman verilmiş şəbəkə seqmentində kompüterlər arasında mübadilə edilən bütün paketləri ələ keçirə bilər. Bununla belə, bir qayda olaraq, keçidi konfiqurasiya etmək imkanı yalnız şəbəkə administratorunda mövcuddur. Bu, əlbəttə ki, onun təcavüzkar ola bilməyəcəyi anlamına gəlmir, lakin bir şəbəkə administratorunun yerli şəbəkənin bütün istifadəçilərini idarə etmək üçün bir çox başqa yolları var və çətin ki, o, sizi bu qədər mürəkkəb şəkildə izləsin.
Snifferlərin bir zamanlar olduğu kimi təhlükəli olmamasının başqa bir səbəbi indi əksər həssas məlumatların şifrələnmiş şəkildə ötürülməsidir. Açıq, şifrələnməmiş xidmətlər internetdən sürətlə yox olur. Məsələn, veb-saytlara daxil olduqda, SSL (Secure Sockets Layer) protokolundan getdikcə daha çox istifadə olunur; Açıq FTP əvəzinə SFTP (Təhlükəsiz FTP) istifadə olunur və virtual şəxsi şəbəkələr (VPN) standart olaraq şifrələmədən istifadə etməyən digər xidmətlər üçün getdikcə daha çox istifadə olunur.
Beləliklə, paket snayferlərindən zərərli istifadə potensialından narahat olanlar aşağıdakıları yadda saxlamalıdırlar. Birincisi, şəbəkəniz üçün ciddi təhlükə yaratmaq üçün snayferlər şəbəkənin özündə yerləşməlidir. İkincisi, bugünkü şifrələmə standartları həssas məlumatların ələ keçirilməsini son dərəcə çətinləşdirir. Buna görə də, hazırda paket snayferləri haker alətləri kimi öz aktuallığını tədricən itirir, lakin eyni zamanda şəbəkələrin diaqnostikası üçün effektiv və güclü alət olaraq qalır. Üstəlik, sniffers yalnız şəbəkə problemlərinin diaqnostikası və lokallaşdırılması üçün deyil, həm də şəbəkə təhlükəsizliyinin yoxlanılması üçün uğurla istifadə edilə bilər. Xüsusilə, paket analizatorlarının istifadəsi icazəsiz trafiki aşkarlamağa, icazəsiz proqram təminatını aşkar etməyə və müəyyən etməyə, istifadə olunmamış protokolları şəbəkədən çıxarmaq üçün müəyyən etməyə, təhlükəsizlik sistemini yoxlamaq məqsədilə penetrasiya testi (penetrasiya testi) üçün trafik yaratmaq, onlarla işləmək imkanı verir. müdaxilə aşkarlama sistemləri (Intrusion Detection System (IDS).
Proqram paketi snayferlərinə ümumi baxış
Bütün proqram snifferlərini iki kateqoriyaya bölmək olar: əmr xəttindən işə salmağı dəstəkləyən snifferlər və qrafik interfeysə malik olan snifferlər. Bununla belə, qeyd edirik ki, bu imkanların hər ikisini özündə birləşdirən snayferlər var. Bundan əlavə, snifferlər bir-birindən dəstəklədikləri protokollara, ələ keçirilən paketlərin təhlilinin dərinliyinə, filtrləri konfiqurasiya etmək qabiliyyətinə və digər proqramlarla uyğunluq imkanlarına görə fərqlənirlər.
Tipik olaraq, qrafik interfeysli hər hansı bir snayferin pəncərəsi üç sahədən ibarətdir. Onlardan birincisi ələ keçirilən paketlərin xülasə məlumatlarını göstərir. Tipik olaraq, bu sahə minimum sahələri göstərir, yəni: paketin tutulma vaxtı; paket göndərən və alıcının IP ünvanları; Paketin göndərici və alıcısının MAC ünvanları, mənbə və təyinat port ünvanları; protokol növü (şəbəkə, nəqliyyat və ya tətbiq səviyyəsi); ələ keçirilən məlumatlar haqqında bəzi ümumi məlumat. İkinci sahə fərdi seçilmiş paket haqqında statistik məlumatı, nəhayət üçüncü sahədə paketi onaltılıq və ya ASCII simvol şəklində göstərir.
Demək olar ki, bütün paket snifferləri deşifrə olunmuş paketləri təhlil etməyə imkan verir (buna görə də paket snifferlərinə paket analizatorları və ya protokol analizatorları da deyilir). Sniffer ələ keçirilən paketləri təbəqələr və protokollar arasında paylayır. Bəzi paket snifferləri protokolu tanımaq və ələ keçirilən məlumatları göstərmək qabiliyyətinə malikdir. Bu tip məlumat adətən sniffer pəncərəsinin ikinci sahəsində göstərilir. Məsələn, hər hansı bir sniffer TCP protokolunu tanıya bilər və qabaqcıl snifferlər bu trafiki hansı tətbiqin yaratdığını müəyyən edə bilər. Əksər protokol analizatorları 500-dən çox müxtəlif protokolları tanıyır və onları adla təsvir edə və deşifrə edə bilir. Sniffer nə qədər çox məlumatı deşifrə edə və ekranda göstərə bilsə, bir o qədər əl ilə deşifrə etməli olacaqsınız.
Paket snifferlərinin qarşılaşa biləcəyi problemlərdən biri standart portdan başqa bir portdan istifadə edərək protokolu düzgün müəyyən edə bilməməkdir. Məsələn, təhlükəsizliyi yaxşılaşdırmaq üçün bəzi tanınmış proqramlar standart portlardan başqa portlardan istifadə etmək üçün konfiqurasiya edilə bilər. Beləliklə, veb server üçün qorunan ənənəvi port 80 əvəzinə bu server 8088 və ya hər hansı digər porta məcburi şəkildə yenidən konfiqurasiya edilə bilər. Bu vəziyyətdə bəzi paket analizatorları protokolu düzgün təyin edə bilmir və yalnız aşağı səviyyəli protokol (TCP və ya UDP) haqqında məlumatları göstərə bilmir.
Pluginlər və ya quraşdırılmış modullar kimi əlavə edilmiş proqram analitik modulları ilə təchiz edilmiş proqram snifferləri var ki, onlar sizə müdaxilə edilmiş trafik haqqında faydalı analitik məlumatlarla hesabatlar yaratmağa imkan verir.
Əksər paket analizator proqramlarının başqa bir xarakterik xüsusiyyəti, trafikin tutulmasından əvvəl və sonra filtrləri konfiqurasiya etmək qabiliyyətidir. Filtrlər ümumi trafikdən müəyyən paketləri verilmiş kriteriyaya uyğun seçir ki, bu da trafiki təhlil edərkən lazımsız məlumatlardan xilas olmağa imkan verir.
Sniffers- bunlar müdaxilə edən proqramlardır
bütün şəbəkə trafiki. Sniffers şəbəkə diaqnostikası üçün faydalıdır (inzibatçılar üçün) və
parolları ələ keçirmək (kimin üçün aydındır :)). Məsələn, giriş əldə etmisinizsə
bir şəbəkə maşını və orada bir snayfer quraşdırdı,
sonra tezliklə bütün parollar
onların alt şəbəkələri sizin olacaq. Snifferlər dəsti
dinləmə zamanı şəbəkə kartı
rejimi (PROMISC), yəni bütün paketləri alırlar. Yerli olaraq müdaxilə edə bilərsiniz
bütün maşınlardan göndərilən bütün paketlər (heç bir hub ilə ayrılmamısınızsa),
Beləliklə
Orada yayım necə tətbiq olunur?
Sniffers hər şeyin qarşısını ala bilər
paketləri (bu çox əlverişsizdir, log faylı olduqca tez doldurulur,
lakin daha ətraflı şəbəkə təhlili üçün mükəmməldir)
və ya hər növdən yalnız ilk bayt
ftp, telnet, pop3 və s. (bu əyləncəli hissədir, adətən ilk 100 baytdadır
istifadəçi adı və şifrə var :)). İndi iyləyir
boşanıb... İyləyənlər çoxdur
həm Unix altında, həm də Windows altında (hətta DOS altında da var :)).
Sniffers bilər
yalnız müəyyən bir oxu dəstəkləyir (məsələn, linux_sniffer.c, hansı
Linux :)) və ya bir neçəsini dəstəkləyir (məsələn, Sniffit,
BSD, Linux, Solaris ilə işləyir). Sniffers bu qədər zənginləşiblər, çünki
parolların şəbəkə üzərindən aydın mətnlə ötürülməsi.
Belə xidmətlər
çox. Bunlar telnet, ftp, pop3, www və s. Bu xidmətlər
çox istifadə edir
insanlar :). Sniffer bumu sonra, müxtəlif
alqoritmlər
bu protokolların şifrələnməsi. SSH ortaya çıxdı (alternativ
telnet dəstəyi
şifrələmə), SSL (Secure Socket Layer - şifrələyə bilən Netscape inkişafı
www sessiya). Bütün növ Kerberous, VPN (Virtual Şəxsi
Şəbəkə). Bəzi AntiSniffs, ifstatus və s. istifadə edilmişdir. Amma bu, prinsipcə belə deyil
vəziyyəti dəyişdi. İstifadə edən xidmətlər
düz mətn parolunun ötürülməsi
tam istifadə olunur :). Buna görə də uzun müddət burnunu çəkəcəklər :).
Windows sniffer tətbiqləri
linsniffer
Bu tutmaq üçün sadə bir snifferdir
girişlər/parollar. Standart tərtib (gcc -o linsniffer
linsniffer.c).
Qeydlər tcp.log-a yazılır.
linux_sniffer
Linux_sniffer
istədiyiniz zaman tələb olunur
şəbəkəni ətraflı öyrənin. Standart
tərtib. Hər cür əlavə axmaqlıq verir,
isn, ack, syn, echo_request (ping) və s.
iyləmək
Sniffit - qabaqcıl model
sniffer Brecht Claerhout tərəfindən yazılmışdır. Quraşdırın (lazımdır
libcap):
#./konfiqurasiya
#edin
İndi başlayaq
iyləmək:
#./sniffit
istifadə: ./sniffit [-xdabvnN] [-P proto] [-A simvol] [-p
port] [(-r|-R) qeyd faylı]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plagini]
[-D tty] (-t
(-i|-I) | -c
Mövcud plaginlər:
0 -- Dummy
Plugin
1 -- DNS Plugin
Gördüyünüz kimi, sniffit çoxlarını dəstəkləyir
seçimlər. Sniffak-dan interaktiv şəkildə istifadə edə bilərsiniz.
Sniffit olsa da
olduqca faydalı proqramdır, amma istifadə etmirəm.
Niyə? Çünki Sniffit
qorunması ilə bağlı böyük problemlər. Sniffit üçün uzaq kök və dos artıq buraxılmışdır
Linux və Debian! Hər iyləyən özü bunu etməyə imkan vermir :).
HUNT
Bu
ən sevdiyim qoxu. İstifadəsi çox asandır,
çox sərin dəstəkləyir
cipsdir və hal-hazırda təhlükəsizlik problemi yoxdur.
Üstəlik çox deyil
kitabxanalardan tələbkarlıq (məsələn, linsniffer və
Linux_sniffer). O
real vaxtda cari əlaqələri kəsə bilər və
uzaq terminaldan təmiz zibil. IN
ümumiyyətlə, Hijack
rulezzz :). tövsiyə edirəm
təkmilləşdirilmiş istifadə üçün hər kəs :).
Quraşdırın:
#edin
Qaçış:
#ov -i
READSMB
READSMB sniffer LophtCrack-dən kəsilir və ona ötürülür
Unix (qəribədir :)). Readsmb SMB-ni kəsir
paketlər.
TCPDUMP
tcpdump kifayət qədər tanınmış paket analizatorudur.
yazılı
daha məşhur şəxs - Van Jacobson, VJ sıxılma üçün icad edən
PPP və tracerout proqramı yazdı (və başqa nə bilir?).
Kitabxana tələb edir
Libpcap.
Quraşdırın:
#./konfiqurasiya
#edin
İndi başlayaq
onun:
#tcpdump
tcpdump: ppp0-da dinləmək
Bütün bağlantılarınız açıq görünür
terminal. Ping çıxışının bir nümunəsidir
ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domen: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domen > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: əks-səda
xahiş
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: əks-səda
cavab ver
Ümumiyyətlə, sniff şəbəkələri sazlamaq üçün faydalıdır,
problemlərin aradan qaldırılması və
və s.
Dsniff
Dsniff üçün libpcap, ibnet,
libnids və OpenSSH. Yalnız daxil edilmiş əmrləri qeyd edir, bu da çox rahatdır.
Budur bir əlaqə jurnalının nümunəsi
unix-shells.com saytında:
02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
ÜST
sonuncu
çıxış
Burada
dsniff giriş və şifrəni ələ keçirdi (stalsen/asdqwe123).
Quraşdırın:
#./konfiqurasiya
#edin
#edin
quraşdırın
Sniffers qarşı müdafiə
Qorunmağın ən etibarlı yolu
iyləyənlər -
ŞİFRELƏMƏDƏN istifadə edin (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL və s.). Yaxşı
və düz mətn xidmətlərindən imtina etmək və əlavə quraşdırmaq istəmirsinizsə
paketlər :)? O zaman anti-sniffer paketlərindən istifadə etmək vaxtıdır...
Windows üçün AntiSniff
Bu məhsul məşhur bir qrup tərəfindən buraxıldı
Loft. Bu, öz növünün ilk məhsulu idi.
AntiSniff -də göstərildiyi kimi
Təsvir:
"AntiSniff Qrafik İstifadəçi İnterfeysi (GUI) üçün idarə olunan bir vasitədir
yerli şəbəkənizdə qeyri-adi Şəbəkə İnterfeys Kartlarının (NIC) aşkarlanması
seqment". Ümumiyyətlə, o, promisc rejimində kartları tutur.
Böyük dəstəkləyir
testlərin sayı (DNS testi, ARP testi, Ping Testi, ICMP Time Delta
Test, Echo Test, PingDrop testi). Bir avtomobil kimi skan edilə bilər,
və şəbəkə. var
log dəstəyi. AntiSniff win95/98/NT/2000-də işləyir,
tövsiyə olsa da
NT platforması. Lakin onun səltənəti qısamüddətli idi və tezliklə olacaq
zaman, AntiAntiSniffer adlı bir qoxuçu peyda oldu :),
Mike tərəfindən yazılmışdır
Perri (Mike Perry) (onu www.void.ru/news/9908/snoof.txt saytında tapa bilərsiniz).
LinSniffer əsasında (aşağıda müzakirə olunacaq).
Unix sniffer aşkar edir:
Sniffer
əmri ilə tapmaq olar:
#ifconfig -a
lo Link qapağı: Yerli
Geri dönmə
inet ünvanı:127.0.0.1 Maska:255.0.0.0
U.P.
GERİ DÖNÜŞLƏRİ MTU:3924 Metrik:1
RX paketləri: 2373 səhv: 0
düşdü:0 həddi aşır:0 kadr:0
TX paketləri: 2373 səhv: 0 düşdü: 0
aşır: 0 daşıyıcı: 0
toqquşmalar:0 txqueuelen:0
ppp0 keçid
encap:Nöqtədən Nöqtə Protokolu
inet ünvanı: 195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
YUKARI NÖQTƏNƏ PROMISC
NOARP MULTICAST MTU:1500 Metrik:1
RX paketləri: 3281
səhvlər: 74 düşdü: 0 həddi aşır: 0 çərçivə: 74
TX paketləri: 3398 səhv: 0
düşdü:0 həddi aşır:0 daşıyıcı:0
toqquşmalar:0 txqueuelen:10
Necə
ppp0 interfeysinin PROMISC rejimində olduğunu görürsünüz. İstənilən operator
üçün iyləmə yüklənmişdir
Şəbəkə yoxlayır, yoxsa onlarda sizdə var... Amma unutmayın,
ifconfig təhlükəsiz şəkildə edilə bilər
saxtakarlıq, buna görə də aşkar etmək üçün tripwire istifadə edin
dəyişikliklər və hər cür proqramlar
qoxuları yoxlamaq üçün.
Unix üçün AntiSniff.
Powered by
BSD, Solaris və
Linux. Ping/icmp vaxt testi, arp testi, echo testi, dns dəstəkləyir
test, etherping testi, ümumiyyətlə Win üçün AntiSniff analoqu, yalnız üçün
Unix :).
Quraşdırın:
#linux-u düzəldin
Sentinel
üçün də faydalı proqram
iyləyənləri tutmaq. Bir çox testləri dəstəkləyir.
Asan
istifadə edin.
Quraşdırın: #make
#./sentinel
./ gözətçi [-t
Metodlar:
[-ARP testi]
[ -d DNS testi
]
[ -i ICMP Ping Latency testi ]
[ -e ICMP Etherping testi
]
Seçimlər:
[ -f
[ -v Versiyanı göstər və
çıxış]
[ -n
[-I
]
Seçimlər o qədər sadədir ki, yox
şərhlər.
DAHA ÇOX
Budur daha bir neçəsi
şəbəkənizi yoxlamaq üçün kommunal proqramlar (
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Ethernet kartları üçün PROMISC rejimi detektoru (qırmızı şapka 5.x üçün).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (libcap & Glibc tələb edir).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- qoxuları aşkar etmək üçün sistem cihazlarını skan edir.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus şəbəkə interfeyslərini PROMISC rejimində sınaqdan keçirir.
