Sniffer ialah nama lain untuk penganalisis trafik - ia ialah program atau peranti perkakasan lain yang memintas dan kemudian menganalisis trafik rangkaian. Pada masa ini, program ini mempunyai justifikasi undang-undang sepenuhnya, oleh itu ia digunakan secara meluas di Internet, tetapi ia boleh digunakan untuk kebaikan dan kemudaratan.
Sejarah asal usul mereka kembali ke tahun 90-an, apabila penggodam yang menggunakan perisian sedemikian boleh dengan mudah menangkap log masuk dan kata laluan pengguna, yang pada masa itu disulitkan dengan sangat lemah.
Perkataan sniffer berasal daripada bahasa Inggeris. untuk menghidu - untuk menghidu, prinsip operasi adalah bahawa program ini mendaftar dan menganalisis program yang dipasang pada mesin yang menghantar paket maklumat. Untuk operasi membaca maklumat berkesan, ia mesti terletak berhampiran dengan PC utama.
Pengaturcara menggunakan aplikasi ini untuk analisis trafik, matlamat lain dikejar oleh penggodam di rangkaian mereka menjejaki kata laluan atau maklumat lain yang mereka perlukan.
Jenis penganalisis trafik
Sniffers berbeza dalam jenis; ia boleh menjadi applet dalam talian atau aplikasi yang dipasang terus pada komputer, yang seterusnya dibahagikan kepada perkakasan dan perisian-perkakasan. 
Selalunya mereka digunakan untuk memintas kata laluan, dalam kes ini aplikasi mendapat akses kepada kod maklumat yang disulitkan. Ini boleh membawa kesulitan yang besar kepada pengguna, kerana sering terdapat kes apabila beberapa program atau tapak ditetapkan kata laluan yang sama, yang akhirnya membawa kepada kehilangan akses kepada sumber yang diperlukan.
Terdapat jenis sniffing yang digunakan untuk memintas syot kilat RAM, kerana sukar untuk membaca maklumat secara berterusan tanpa menggunakan kuasa pemproses. Kesan Perisik mungkin dengan memantau beban fail maksimum PC semasa operasi.
Satu lagi jenis program berfungsi dengan saluran penghantaran data yang besar, dan perosak itu boleh menjana sehingga 10 megabait protokol setiap hari.
Bagaimana ia berfungsi
Penganalisis berfungsi hanya dengan protokol TCP/IP program sedemikian memerlukan sambungan berwayar, contohnya, penghala yang mengedarkan Internet. Pemindahan data dilakukan menggunakan pakej berasingan, yang, apabila matlamat akhir dicapai, sekali lagi menjadi satu keseluruhan. Mereka juga mampu memintas paket pada mana-mana peringkat penghantaran dan mendapatkan maklumat berharga dalam bentuk kata laluan yang tidak dilindungi bersama-sama dengannya. Walau apa pun, dengan bantuan program penyahsulitan adalah mungkin untuk mendapatkan kunci walaupun kepada kata laluan yang dilindungi.
Cara paling mudah untuk menggunakan penghidu WiFi adalah dalam rangkaian dengan perlindungan yang lemah - di kafe, tempat awam, dsb.
Penyedia yang menggunakan program ini boleh menjejaki akses yang tidak dibenarkan kepada alamat sistem luaran.
Bagaimana untuk melindungi diri anda daripada penghidu
Untuk memahami bahawa seseorang telah menembusi rangkaian tempatan, pertama sekali anda harus memberi perhatian kepada kelajuan muat turun pakej, jika ia jauh lebih rendah daripada yang dinyatakan, ini sepatutnya memberi amaran kepada anda. Anda boleh memantau prestasi komputer anda menggunakan Pengurus Tugas. Anda boleh menggunakan utiliti khas, tetapi ia paling kerap bercanggah dengan firewall Windows, jadi lebih baik untuk melumpuhkannya seketika.
Bagi pentadbir sistem, menyemak dan mencari penganalisis trafik pada rangkaian tempatan adalah satu usaha yang perlu. Untuk mengesan aplikasi berniat jahat, anda boleh menggunakan antivirus rangkaian yang terkenal, seperti Doctor Web atau Kaspersky Anti-Virus, yang membolehkan anda mengesan perosak pada hos jauh dan terus dalam rangkaian tempatan.
Selain aplikasi khas yang hanya dipasang pada komputer anda, anda boleh gunakan kata laluan yang lebih kompleks dan sistem kriptografi. Sistem kriptografi berfungsi secara langsung dengan maklumat, menyulitkannya menggunakan tandatangan elektronik.
Gambaran keseluruhan aplikasi dan ciri utama
CommView
CommView menyahkod paket maklumat yang dihantar dan memaparkan statistik protokol yang digunakan dalam bentuk rajah. Penghidu trafik membolehkan anda menganalisis paket IP, dan yang diperlukan. Sniffer untuk Windows berfungsi dengan protokol yang diketahui: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, dll. CommView berfungsi dengan modem Ethernet, wi-fi dan lain-lain. Paket ditangkap melalui sambungan yang telah ditetapkan menggunakan " semasaIP- sambungan", di mana anda boleh membuat alias alamat. 
tab " Pakej» memaparkan maklumat tentangnya, dan ia boleh disalin ke papan keratan. 
« LOG-fail» membolehkan anda melihat pakej dalam format NFC.
tab " Peraturan" Di sini anda boleh menetapkan syarat untuk pemintasan paket. Bahagian tab ini: alamat IP, alamat MAC, Port, Proses, Formula dan parameter Individu.
« Amaran": menyediakan untuk menyediakan pemberitahuan pada rangkaian tempatan, beroperasi menggunakan butang "Tambah". Di sini anda boleh menetapkan syarat dan jenis acara:
- "Paket sesaat" - apabila tahap beban rangkaian melebihi.
- "Bait sesaat" - apabila kekerapan penghantaran data melebihi.
- "Alamat tidak diketahui", iaitu pengesanan sambungan yang tidak dibenarkan.
tab " Lihat»—statistik trafik ditunjukkan di sini.
CommView serasi dengan Windows 98, 2000, XP, 2003. Penyesuai Ethernet diperlukan untuk menggunakan aplikasi.
Kelebihan: antara muka mesra pengguna dalam bahasa Rusia, menyokong jenis penyesuai rangkaian biasa, statistik divisualisasikan. Satu-satunya kelemahan ialah harga yang tinggi. 
Spynet
Spynet melaksanakan fungsi penyahkodan paket dan memintasnya. Dengan bantuannya, anda boleh mencipta semula halaman yang dilawati pengguna. Terdiri daripada 2 program CaptureNet dan PipeNet. Ia mudah digunakan pada rangkaian tempatan. CaptureNet mengimbas paket data, program kedua memantau proses.
Antara muka agak mudah:
- Butang Ubah suai Penapis– menyediakan penapis.
- Butang Lapisan 2,3 – memasang Flame – protokol IP; Lapisan 3 – TCP.
- Butang Corak Padanan mencari pakej dengan parameter yang ditentukan.
- Butang IP— Alamat membolehkan anda mengimbas alamat IP yang diperlukan yang menghantar maklumat yang menarik. (Pilihan 1-2, 2-1, 2=1). Dalam kes kedua, semua lalu lintas.
- Butang Pelabuhan, iaitu pemilihan port.
Untuk memintas data, anda mesti menjalankan program Capture Start, iaitu, proses pemintasan data bermula. Fail dengan maklumat yang disimpan disalin hanya selepas arahan Berhenti, iaitu, penamatan tindakan tangkapan.
Kelebihan Spynet ialah keupayaan untuk menyahkod halaman web yang telah dilawati pengguna. Program ini juga boleh dimuat turun secara percuma, walaupun agak sukar untuk dicari. Kelemahannya termasuk set kecil ciri dalam Windows. Berfungsi dalam Windows XP, Vista. 
BUTTSniffer
BUTTSniffer menganalisis paket rangkaian secara langsung. Prinsip operasi adalah pemintasan data yang dihantar, serta keupayaan untuk menyimpannya secara automatik pada medium, yang sangat mudah. Program ini dilancarkan melalui baris arahan. Terdapat juga pilihan penapis. Program ini terdiri daripada BUTTSniff.exe dan BUTTSniff. dll.
Kelemahan ketara BUTTSniffer termasuk operasi yang tidak stabil, ranap yang kerap, malah OS (skrin biru kematian) ranap.
Sebagai tambahan kepada program sniffer ini, terdapat banyak lagi yang sama terkenal: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.
Terdapat juga penghidu dalam talian, yang, selain mendapatkan alamat IP mangsa, menukar alamat IP penyerang secara langsung. Itu. Penggodam mula-mula mendaftar di bawah alamat IP dan menghantar kepada komputer mangsa gambar yang perlu dimuat turun atau e-mel yang hanya perlu dibuka. Selepas ini, penggodam menerima semua data yang diperlukan.
Perlu diingat bahawa mengganggu data komputer orang lain adalah satu kesalahan jenayah.
Setiap ahli pasukan ][ mempunyai keutamaan mereka sendiri mengenai perisian dan utiliti untuk
ujian pen. Selepas berunding, kami mendapati bahawa pilihan itu berbeza-beza sehingga mungkin
buat set program terbukti lelaki sejati. Itu sahaja
memutuskan. Untuk tidak membuat hodgepodge, kami membahagikan keseluruhan senarai ke dalam topik - dan dalam
Kali ini kita akan menyentuh tentang utiliti untuk menghidu dan memanipulasi paket. Gunakannya pada
kesihatan.
Wireshark
Netcat
Jika kita bercakap tentang pemintasan data, maka Pelombong Rangkaian akan dikeluarkan dari udara
(atau daripada tempat pembuangan yang telah disediakan dalam format PCAP) fail, sijil,
imej dan media lain, serta kata laluan dan maklumat lain untuk kebenaran.
Ciri yang berguna ialah mencari bahagian data yang mengandungi kata kunci
(contohnya, log masuk pengguna).
Scapy
laman web:
www.secdev.org/projects/scapy
Mesti ada untuk mana-mana penggodam, ia adalah alat yang berkuasa untuk
manipulasi paket interaktif. Terima dan nyahkod paket paling banyak
protokol yang berbeza, bertindak balas kepada permintaan, menyuntik yang diubah suai dan
pakej yang dibuat sendiri - semuanya mudah! Dengan bantuannya anda boleh melakukan keseluruhan
beberapa tugas klasik seperti pengimbasan, tracorute, serangan dan pengesanan
infrastruktur rangkaian. Dalam satu botol kami mendapat pengganti untuk utiliti popular seperti itu,
seperti: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f, dsb. Pada itu
sudah tiba masanya Scapy membolehkan anda melakukan apa-apa tugas, walaupun yang paling khusus
tugas yang tidak boleh dilakukan oleh pembangun lain yang telah dibuat
bermakna. Daripada menulis segunung baris dalam C ke, sebagai contoh,
menjana paket yang salah dan mengaburkan beberapa daemon sudah memadai
buang dalam beberapa baris kod menggunakan Scapy! Program ini tidak mempunyai
antara muka grafik, dan interaktiviti dicapai melalui penterjemah
Ular sawa. Sebaik sahaja anda memahaminya, anda tidak akan dikenakan sebarang bayaran untuk membuat yang salah
paket, menyuntik bingkai 802.11 yang diperlukan, menggabungkan pendekatan yang berbeza dalam serangan
(katakan, keracunan cache ARP dan lompat VLAN), dsb. Pemaju sendiri berkeras
untuk memastikan bahawa keupayaan Scapy digunakan dalam projek lain. Menyambungnya
sebagai modul, mudah untuk mencipta utiliti untuk pelbagai jenis penyelidikan kawasan tempatan,
cari kelemahan, suntikan Wi-Fi, pelaksanaan automatik khusus
tugas, dsb.
paketh
laman web:
Platform: *nix, terdapat port untuk Windows
Satu perkembangan menarik yang membolehkan, di satu pihak, menjana sebarang
paket ethernet, dan, sebaliknya, menghantar urutan paket dengan tujuan
pemeriksaan jalur lebar. Tidak seperti alat lain yang serupa, paketh
mempunyai antara muka grafik, membolehkan anda membuat pakej semudah mungkin
bentuk. Lebih lanjut lagi. Penciptaan dan penghantaran dihuraikan terutamanya
urutan paket. Anda boleh menetapkan kelewatan antara penghantaran,
menghantar paket pada kelajuan maksimum untuk menguji daya pemprosesan
bahagian rangkaian (ya, di sinilah mereka akan memfailkan) dan, apa yang lebih menarik -
menukar parameter secara dinamik dalam paket (contohnya, alamat IP atau MAC).
Untuk Win2000 - Windows 10 (2019) (Pelayan, x86, x64). Versi terkini: 4.4.17 binaan 424. 24 April 2019.
Apa itu penghidu port bersiri ialah program yang memantau pemindahan data oleh program lain dan, seolah-olah, "baji itu sendiri" antara antara muka bersiri dan program yang sedang dikaji. Pemintas data port bersiri membolehkan anda mengkaji ciri pengendalian program anda atau program lain yang dijalankan dalam Windows. Jika program yang anda sedang belajar dibangunkan oleh anda, maka pemintas data port bersiri bertukar menjadi penyahpepijat antara muka RS232, yang akan membolehkan anda menjejaki ralat yang berlaku semasa pertukaran data. Mod pemantauan data port bersiri dalam program kami dipanggil "Pemerhati" dan dipanggil dari menu "Mod" dalam tetingkap program utama.
Beralih kepada mod penghidu data port bersiri mesti dilakukan SEBELUM melancarkan program yang sedang dipelajari. Jika anda tidak melakukan ini, kemudian penghidu port bersiri tidak lagi dapat mengakses port bersiri dan, dengan itu, tidak akan dapat melaksanakan fungsinya.
Dalam mod pemintas data port bersiri, program memantau semua lalu lintas, kedua-dua dihantar dan diterima. Data yang dihantar boleh diserlahkan pada skrin program. Ciri ini boleh didayakan dalam pilihan pada tab "Lain-lain / Jenis Data".
Pemintas data port bersiri kami membolehkan anda memantau penghantaran data pada skrin dalam sebarang bentuk (heksadesimal, perpuluhan atau mana-mana yang lain). Ini membolehkan, tanpa meninggalkan pemintas data port bersiri, untuk mencari urutan berulang blok data dan mengenal pasti corak dalam laluan data.
Satu lagi ciri penting pemintas data port bersiri kami ialah keupayaan untuk menyimpan data yang dihantar dan diterima ke fail untuk analisis kemudian. Mod penjanaan fail pemintas data port bersiri dikonfigurasikan secara fleksibel, yang menjimatkan masa apabila menganalisis sejumlah besar data yang direkodkan oleh program.
Program kami sangat mudah untuk bertukar menjadi pemerhati data yang berkuasa dan sangat disesuaikan. Untuk melakukan ini, hanya muat turun dan pasang program. Kemudian jalankan program. Pilih mod "Pemerhati" dalam menu utama "Mod". Kemudian pilih port bersiri dari senarai dan klik butang "Buka". Jangan lupa bahawa ini mesti dilakukan sebelum melancarkan program yang sedang dipelajari. Dan semuanya ada di tangan anda - alat universal untuk menyelesaikan pelbagai masalah.
Berbanding dengan penghidu port bersiri lain, Monitor Port Bersiri Lanjutan mempunyai beberapa ciri unik:
- Pemintas data port bersiri menyediakan keupayaan untuk dijalankan pada seluruh keluarga sistem pengendalian Windows, dari Windows 2000 hingga Windows 10 x64;
- Pemintas data port bersiri membolehkan anda memantau penghantaran data pada semua port bersiri yang dipasang dalam sistem. Nombor port bersiri boleh berkisar antara 1 hingga 255;
- Penghidu port bersiri memberi anda keupayaan untuk memantau trafik yang dihantar semasa sambungan Dail.
Semua keupayaan pemintas data port bersiri dilaksanakan dalam program Pemantauan Port Bersiri Lanjutan kami. Muat turun versi percubaan sekarang - ia pantas dan percuma!
Penganalisis paket rangkaian, atau penghidu, pada asalnya dibangunkan sebagai cara untuk menyelesaikan masalah rangkaian. Mereka boleh memintas, mentafsir dan menyimpan paket yang dihantar melalui rangkaian untuk analisis seterusnya. Di satu pihak, ini membolehkan pentadbir sistem dan jurutera sokongan teknikal memerhatikan cara data dipindahkan melalui rangkaian, mendiagnosis dan menyelesaikan masalah yang timbul. Dalam pengertian ini, penghidu paket ialah alat yang berkuasa untuk mendiagnosis masalah rangkaian. Sebaliknya, seperti banyak alat berkuasa lain yang pada asalnya bertujuan untuk pentadbiran, dari masa ke masa, penghidu mula digunakan untuk tujuan yang sama sekali berbeza. Sesungguhnya, penghidu di tangan penyerang adalah alat yang agak berbahaya dan boleh digunakan untuk mendapatkan kata laluan dan maklumat sulit yang lain. Walau bagaimanapun, anda tidak sepatutnya berfikir bahawa penghidu adalah sejenis alat ajaib yang melaluinya mana-mana penggodam boleh melihat maklumat sulit yang dihantar melalui rangkaian dengan mudah. Dan sebelum kita membuktikan bahawa bahaya yang ditimbulkan oleh penghidu tidak sehebat yang sering dikemukakan, mari kita pertimbangkan dengan lebih terperinci prinsip fungsinya.
Prinsip operasi penghidu paket
Selanjutnya dalam artikel ini kami akan mempertimbangkan hanya penghidu perisian yang direka untuk rangkaian Ethernet. Sniffer ialah program yang beroperasi pada peringkat penyesuai rangkaian NIC (Kad Antara Muka Rangkaian) (lapisan pautan) dan memintas semua trafik secara rahsia. Oleh kerana penghidu beroperasi pada lapisan pautan data model OSI, mereka tidak perlu bermain mengikut peraturan protokol lapisan lebih tinggi. Sniffers memintas mekanisme penapisan (alamat, port, dll.) yang pemacu Ethernet dan tindanan TCP/IP gunakan untuk mentafsir data. Penghidu paket menangkap dari wayar semua yang melaluinya. Sniffers boleh menyimpan bingkai dalam format binari dan kemudian menyahsulitnya untuk mendedahkan maklumat peringkat lebih tinggi yang tersembunyi di dalam (Rajah 1).
Untuk penghidu menangkap semua paket yang melalui penyesuai rangkaian, pemacu penyesuai rangkaian mesti menyokong mod rambang. Dalam mod operasi penyesuai rangkaian inilah penghidu dapat memintas semua paket. Mod operasi penyesuai rangkaian ini diaktifkan secara automatik apabila penghidu dilancarkan atau ditetapkan secara manual oleh tetapan penghidu yang sepadan.
Semua trafik yang dipintas dihantar kepada penyahkod paket, yang mengenal pasti dan membahagikan paket ke dalam tahap hierarki yang sesuai. Bergantung pada keupayaan penghidu tertentu, maklumat paket yang disediakan kemudiannya boleh dianalisis dan ditapis selanjutnya.
Had penggunaan penghidu
Sniffers menimbulkan bahaya terbesar pada zaman itu apabila maklumat dihantar melalui rangkaian dalam teks yang jelas (tanpa penyulitan), dan rangkaian tempatan dibina berdasarkan penumpu (hab). Walau bagaimanapun, hari-hari itu telah berlalu buat selama-lamanya, dan pada masa kini menggunakan penghidu untuk mendapatkan akses kepada maklumat sulit bukanlah satu tugas yang mudah.
Hakikatnya ialah apabila membina rangkaian tempatan berdasarkan hab, terdapat medium penghantaran data biasa tertentu (kabel rangkaian) dan semua nod rangkaian bertukar paket, bersaing untuk akses kepada medium ini (Rajah 2), dan satu paket yang dihantar oleh satu rangkaian nod dihantar ke semua port hab dan paket ini didengari oleh semua nod lain pada rangkaian, tetapi hanya nod yang dialamatkan menerimanya. Selain itu, jika penghidu paket dipasang pada salah satu nod rangkaian, maka ia boleh memintas semua paket rangkaian yang berkaitan dengan segmen rangkaian tertentu (rangkaian yang dibentuk oleh hab).
Suis adalah peranti yang lebih pintar daripada hab penyiaran dan mengasingkan trafik rangkaian. Suis mengetahui alamat peranti yang disambungkan ke setiap port dan menghantar paket hanya antara port yang diperlukan. Ini membolehkan anda memunggah port lain tanpa perlu memajukan setiap paket kepada mereka, seperti yang dilakukan oleh hab. Oleh itu, paket yang dihantar oleh nod rangkaian tertentu dihantar hanya ke port suis yang penerima paket disambungkan, dan semua nod rangkaian lain tidak dapat mengesan paket ini (Gamb. 3).
Oleh itu, jika rangkaian dibina berdasarkan suis, maka penghidu yang dipasang pada salah satu komputer rangkaian mampu memintas hanya paket yang ditukar antara komputer ini dan nod rangkaian lain. Akibatnya, untuk dapat memintas paket yang komputer atau pelayan yang diminati oleh penyerang bertukar dengan nod rangkaian lain, adalah perlu untuk memasang sniffer pada komputer tertentu ini (pelayan), yang sebenarnya tidak begitu mudah. Walau bagaimanapun, anda harus ingat bahawa beberapa penghidu paket dilancarkan dari baris arahan dan mungkin tidak mempunyai antara muka grafik. Sniffers sedemikian, pada dasarnya, boleh dipasang dan dilancarkan dari jauh dan tanpa disedari oleh pengguna.
Selain itu, anda juga harus ingat bahawa walaupun suis mengasingkan trafik rangkaian, semua suis terurus mempunyai fungsi pemajuan port atau pencerminan port. Iaitu, port suis boleh dikonfigurasikan sedemikian rupa sehingga semua paket yang tiba pada port suis lain diduplikasi padanya. Jika dalam kes ini komputer dengan penghidu paket disambungkan ke port sedemikian, maka ia boleh memintas semua paket yang ditukar antara komputer pada segmen rangkaian tertentu. Walau bagaimanapun, sebagai peraturan, keupayaan untuk mengkonfigurasi suis hanya tersedia kepada pentadbir rangkaian. Ini, sudah tentu, tidak bermakna dia tidak boleh menjadi penyerang, tetapi pentadbir rangkaian mempunyai banyak cara lain untuk mengawal semua pengguna rangkaian tempatan, dan tidak mungkin dia akan memantau anda dengan cara yang begitu canggih.
Satu lagi sebab mengapa penghidu tidak lagi berbahaya seperti dahulu ialah kebanyakan data sensitif kini dihantar secara disulitkan. Perkhidmatan terbuka dan tidak disulitkan dengan cepat hilang daripada Internet. Sebagai contoh, apabila melawat tapak web, protokol SSL (Lapisan Soket Selamat) semakin digunakan; SFTP (FTP Selamat) digunakan dan bukannya FTP terbuka dan rangkaian peribadi maya (VPN) semakin digunakan untuk perkhidmatan lain yang tidak menggunakan penyulitan secara lalai.
Jadi, mereka yang bimbang tentang potensi penggunaan penghidu paket secara berniat jahat harus mengingati perkara berikut. Pertama, untuk menimbulkan ancaman serius kepada rangkaian anda, penghidu mesti ditempatkan dalam rangkaian itu sendiri. Kedua, piawaian penyulitan hari ini menjadikannya amat sukar untuk memintas maklumat sensitif. Oleh itu, pada masa ini, penghidu paket secara beransur-ansur kehilangan kaitannya sebagai alat penggodam, tetapi pada masa yang sama ia kekal sebagai alat yang berkesan dan berkuasa untuk mendiagnosis rangkaian. Selain itu, penghidu boleh berjaya digunakan bukan sahaja untuk mendiagnosis dan menyetempatkan masalah rangkaian, tetapi juga untuk mengaudit keselamatan rangkaian. Khususnya, penggunaan penganalisis paket membolehkan anda mengesan trafik yang tidak dibenarkan, mengesan dan mengenal pasti perisian yang tidak dibenarkan, mengenal pasti protokol yang tidak digunakan untuk mengeluarkannya daripada rangkaian, menjana trafik untuk ujian penembusan (ujian penembusan) untuk menyemak sistem keselamatan, bekerja dengan sistem pengesanan pencerobohan ( Intrusion Detection System (IDS).
Gambaran keseluruhan penghidu paket perisian
Semua penghidu perisian boleh dibahagikan kepada dua kategori: penghidu yang menyokong pelancaran daripada baris arahan dan penghidu yang mempunyai antara muka grafik. Walau bagaimanapun, kami perhatikan bahawa terdapat penghidu yang menggabungkan kedua-dua keupayaan ini. Di samping itu, penghidu berbeza antara satu sama lain dalam protokol yang mereka sokong, kedalaman analisis paket yang dipintas, keupayaan untuk mengkonfigurasi penapis, dan kemungkinan keserasian dengan program lain.
Biasanya, tetingkap mana-mana penghidu dengan antara muka grafik terdiri daripada tiga kawasan. Yang pertama memaparkan data ringkasan paket yang dipintas. Biasanya, kawasan ini memaparkan medan minimum, iaitu: masa pemintasan paket; Alamat IP pengirim dan penerima paket; Alamat MAC pengirim dan penerima paket, sumber dan alamat port destinasi; jenis protokol (rangkaian, pengangkutan atau lapisan aplikasi); beberapa maklumat ringkasan tentang data yang dipintas. Kawasan kedua memaparkan maklumat statistik tentang pakej individu yang dipilih, dan akhirnya kawasan ketiga memaparkan pakej dalam bentuk aksara heksadesimal atau ASCII.
Hampir semua penghidu paket membolehkan anda menganalisis paket yang dinyahkod (sebab itu penghidu paket juga dipanggil penganalisis paket, atau penganalisis protokol). Sniffer mengedarkan paket yang dipintas merentas lapisan dan protokol. Sesetengah penghidu paket mampu mengenali protokol dan memaparkan maklumat yang ditangkap. Maklumat jenis ini biasanya dipaparkan di kawasan kedua tetingkap sniffer. Contohnya, mana-mana penghidu boleh mengecam protokol TCP dan penghidu lanjutan boleh menentukan aplikasi mana yang menjana trafik ini. Kebanyakan penganalisis protokol mengenali lebih 500 protokol berbeza dan boleh menerangkan serta menyahkodnya mengikut nama. Lebih banyak maklumat penghidu boleh menyahkod dan memaparkan pada skrin, semakin sedikit yang perlu dinyahkod secara manual.
Satu masalah yang mungkin dihadapi oleh penghidu paket ialah ketidakupayaan untuk mengenal pasti protokol dengan betul menggunakan port selain daripada port lalai. Contohnya, untuk meningkatkan keselamatan, beberapa aplikasi terkenal mungkin dikonfigurasikan untuk menggunakan port selain daripada port lalai. Jadi, bukannya port tradisional 80, dikhaskan untuk pelayan web, pelayan ini boleh dikonfigurasikan semula secara paksa ke port 8088 atau mana-mana yang lain. Sesetengah penganalisis paket dalam situasi ini tidak dapat menentukan protokol dengan betul dan hanya memaparkan maklumat tentang protokol peringkat rendah (TCP atau UDP).
Terdapat penghidu perisian yang disertakan dengan modul analisis perisian sebagai pemalam atau modul terbina dalam yang membolehkan anda membuat laporan dengan maklumat analisis berguna tentang trafik yang dipintas.
Satu lagi ciri ciri kebanyakan perisian penganalisis paket ialah keupayaan untuk mengkonfigurasi penapis sebelum dan selepas trafik ditangkap. Penapis memilih paket tertentu daripada trafik umum mengikut kriteria tertentu, yang membolehkan anda menyingkirkan maklumat yang tidak diperlukan semasa menganalisis trafik.
Penghidu- ini adalah program yang memintas
semua trafik rangkaian. Sniffers berguna untuk diagnostik rangkaian (untuk pentadbir) dan
untuk memintas kata laluan (jelas untuk siapa :)). Sebagai contoh, jika anda mendapat akses kepada
satu mesin rangkaian dan memasang sniffer di sana,
maka tidak lama lagi semua kata laluan daripada
subnet mereka akan menjadi milik anda. Set penghidu
kad rangkaian dalam mendengar
mod (PROMISC). Iaitu, mereka menerima semua paket. Secara tempatan anda boleh memintas
semua paket yang dihantar dari semua mesin (jika anda tidak dipisahkan oleh mana-mana hab),
Jadi
Bagaimanakah penyiaran dipraktikkan di sana?
Sniffers boleh memintas segala-galanya
pakej (yang sangat menyusahkan, fail log terisi dengan sangat cepat,
tetapi untuk analisis rangkaian yang lebih terperinci ia sempurna)
atau hanya bait pertama daripada semua jenis
ftp, telnet, pop3, dsb. (ini adalah bahagian yang menyeronokkan, biasanya dalam kira-kira 100 bait pertama
mengandungi nama pengguna dan kata laluan :)). Sniffers sekarang
bercerai... Ramai yang menghidu
kedua-duanya di bawah Unix dan di bawah Windows (walaupun di bawah DOS ada :)).
Sniffers boleh
menyokong hanya paksi tertentu (contohnya linux_sniffer.c, yang
menyokong Linux :)), atau beberapa (contohnya Sniffit,
berfungsi dengan BSD, Linux, Solaris). Sniffers telah menjadi begitu kaya kerana
bahawa kata laluan dihantar melalui rangkaian dalam teks yang jelas.
Perkhidmatan sedemikian
banyak. Ini ialah telnet, ftp, pop3, www, dll. Perkhidmatan ini
menggunakan banyak
orang :). Selepas ledakan sniffer, pelbagai
algoritma
penyulitan protokol ini. SSH muncul (alternatif
sokongan telnet
penyulitan), SSL (Lapisan Soket Selamat - pembangunan Netscape yang boleh menyulitkan
sesi www). Semua jenis Kerberous, VPN (Virtual Private
Rangkaian). Beberapa AntiSniffs, ifstatus, dsb. telah digunakan. Tetapi ini pada asasnya tidak
mengubah keadaan. Perkhidmatan yang menggunakan
menghantar kata laluan teks biasa
digunakan sepenuhnya :). Oleh itu, mereka akan menghidu untuk masa yang lama :).
Pelaksanaan Windows sniffer
linsniffer
Ini adalah penghidu mudah untuk memintas
log masuk/kata laluan. Penyusunan standard (gcc -o linsniffer
linsniffer.c).
Log ditulis ke tcp.log.
linux_sniffer
Linux_sniffer
diperlukan apabila anda mahu
mengkaji rangkaian secara terperinci. Standard
kompilasi. Memberi segala macam omong kosong tambahan,
seperti isn, ack, syn, echo_request (ping), dsb.
Menghidu
Sniffit - model lanjutan
sniffer yang ditulis oleh Brecht Claerhout. Pasang (perlu
libcap):
#./configure
#buat
Sekarang mari kita lancarkan
menghidu:
#./sniffit
penggunaan: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) fail rekod]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M pemalam]
[-D tty] (-t
(-i|-I) | -c
Pemalam Tersedia:
0 -- Dummy
Pasangkan
1 -- Pemalam DNS
Seperti yang anda lihat, sniffit menyokong banyak perkara
pilihan. Anda boleh menggunakan sniffak secara interaktif.
Sniffit walaupun
Ia adalah program yang agak berguna, tetapi saya tidak menggunakannya.
kenapa? Kerana Sniffit
masalah besar dengan perlindungan. Untuk Sniffit akar jauh dan dos telah dikeluarkan untuk
Linux dan Debian! Tidak setiap penghidu membenarkan dirinya melakukan ini :).
MEMBURU
ini
sedutan kegemaran saya. Ia sangat mudah digunakan,
menyokong banyak keren
cip dan pada masa ini tidak mempunyai masalah keselamatan.
Tambahan pula tidak banyak
menuntut perpustakaan (seperti linsniffer dan
Linux_sniffer). Dia
boleh memintas sambungan semasa dalam masa nyata dan
pembuangan bersih dari terminal jauh. DALAM
secara umum, Hijack
rulezzz:). saya syorkan
semua orang untuk kegunaan yang dipertingkatkan :).
Pasang:
#buat
Jalankan:
#memburu -i
READSMB
Penghidu READSMB dipotong daripada LophtCrack dan dialihkan ke
Unix (cukup pelik :)). Readsmb memintas SMB
pakej.
TCPDUMP
tcpdump ialah penganalisis paket yang cukup terkenal.
Ditulis
orang yang lebih terkenal - Van Jacobson, yang mencipta pemampatan VJ untuk
PPP dan menulis program traceroute (dan siapa tahu apa lagi?).
Memerlukan perpustakaan
Libpcap.
Pasang:
#./configure
#buat
Sekarang mari kita lancarkan
dia:
#tcpdump
tcpdump: mendengar pada ppp0
Semua sambungan anda dipaparkan pada
terminal. Berikut adalah contoh output ping
ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: gema
permintaan
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: gema
balas
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: gema
permintaan
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: gema
balas
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: gema
permintaan
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: gema
balas
Secara umum, sniff berguna untuk menyahpepijat rangkaian,
penyelesaian masalah dan
dan lain-lain.
Dsniff
Dsniff memerlukan libpcap, ibnet,
libnids dan OpenSSH. Rekod hanya memasukkan arahan, yang sangat mudah.
Berikut ialah contoh log sambungan
di unix-shells.com:
02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
terbantut
asdqwe123
ls
pwd
WHO
terakhir
keluar
Di sini
dsniff memintas log masuk dan kata laluan (stalsen/asdqwe123).
Pasang:
#./configure
#buat
#buat
pasang
Perlindungan terhadap penghidu
Cara paling pasti untuk melindungi daripada
penghidu -
gunakan ENCRYPTION (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL, dll.). Nah
dan jika anda tidak mahu melepaskan perkhidmatan teks biasa dan memasang tambahan
pakej :)? Kemudian tiba masanya untuk menggunakan paket anti-penghidu...
AntiSniff untuk Windows
Produk ini dikeluarkan oleh kumpulan terkenal
Loteng. Ia adalah produk pertama seumpamanya.
AntiSniff seperti yang dinyatakan dalam
Penerangan:
"AntiSniff ialah alat didorong Antara Muka Pengguna Grafik (GUI) untuk
mengesan Kad Antara Muka Rangkaian (NIC) rambang pada rangkaian tempatan anda
segmen". Secara amnya, ia menangkap kad dalam mod promisc.
Menyokong besar
bilangan ujian (ujian DNS, ujian ARP, Ujian Ping, Delta Masa ICMP
Ujian, Ujian Gema, ujian PingDrop). Boleh diimbas sebagai satu kereta,
dan grid. Terdapat
sokongan log. AntiSniff berfungsi pada win95/98/NT/2000,
walaupun disyorkan
platform NT. Tetapi pemerintahannya tidak lama dan tidak lama lagi
masa, penghidu dipanggil AntiAntiSniffer muncul :),
ditulis oleh Mike
Perry (Mike Perry) (anda boleh menemuinya di www.void.ru/news/9908/snoof.txt).
berdasarkan LinSniffer (dibincangkan di bawah).
Unix sniffer mengesan:
Menghidu
boleh didapati dengan arahan:
#ifconfig -a
lo Pautan encap:Setempat
Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
U.P.
LOOPBACK RUNNING MTU:3924 Metrik:1
Paket RX:2373 ralat:0
jatuh:0 overrun:0 frame:0
Paket TX:2373 ralat:0 jatuh:0
melebihi:0 pembawa:0
perlanggaran:0 txqueuelen:0
ppp0 Pautan
encap:Protokol Titik-ke-Titik
inet addr:195.170.y.x
P-t-P:195.170.y.x Topeng:255.255.255.255
NAIK POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrik:1
Paket RX:3281
ralat:74 jatuh:0 overrun:0 bingkai:74
Paket TX:3398 ralat:0
jatuh:0 melebihi:0 pembawa:0
perlanggaran:0 txqueuelen:10
Bagaimana
anda lihat antara muka ppp0 berada dalam mod PROMISC. Sama ada pengendali
uploaded sniff for
semakan rangkaian, atau mereka sudah mempunyai anda... Tetapi ingat,
bahawa ifconfig boleh dilakukan dengan selamat
spoof, jadi gunakan tripwire untuk mengesan
perubahan dan segala macam program
untuk memeriksa sedutan.
AntiSniff untuk Unix.
Berfungsi untuk
BSD, Solaris dan
Linux. Menyokong ujian masa ping/icmp, ujian arp, ujian gema, dns
ujian, ujian etherping, secara amnya analog AntiSniff untuk Win, hanya untuk
Unix:).
Pasang:
#buat linux-semua
Sentinel
Juga program yang berguna untuk
menangkap penghidu. Menyokong banyak ujian.
Senang untuk
guna.
Pasang: #make
#./sentinel
./sentinel [-t
Kaedah:
[ -ujian ARP ]
[ -d ujian DNS
]
[ -i Ujian Kependaman Ping ICMP ]
[ -e Ujian ICMP Etherping
]
Pilihan:
[ -f
[ -v Tunjukkan versi dan
keluar ]
[ -n
[ -Saya
]
Pilihannya sangat mudah sehingga tidak
komen.
LAGI
Berikut adalah beberapa lagi
utiliti untuk menyemak rangkaian anda (untuk
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Pengesan mod PROMISC untuk kad ethernet (untuk topi merah 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Pengesan Ethernet Promiscuous Rangkaian (memerlukan libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- mengimbas peranti sistem untuk mengesan sedutan.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- ifstatus menguji antara muka rangkaian dalam mod PROMISC.
