|
Снифферы Sniffer - это тип программ, созданных для мониторинга сетевого потока и/или его анализа.
Данный класс прог задумывался в качестве помощника сетевому администратору для анализа проблем, возникающих в сети. Но, как и большинство тулзов для админов, снифферы получили большее распространение среди хакеров, использовавших их для перехвата паролей, отправляемых по сети в не зашифрованном виде, и другой важной информации. Sniffer'ы получают возможность чтения всей информации, приходящей на сетевой интерфейс, путем установки его в promiscuous режим работы. В этом режиме любая (ну, почти любая ;) программа может получать всю информацию, приходящую на сетевой интерфейс в виде AS IS (как есть), т.е. полностью доступна вся "служебная" информация - заголовки Ethernet frame'ов, все, что идет по не маршрутизируемым протоколам типа IPX, NetBEUI, etc. Зачем? Почти всегда при взломе *nix-типа систем хакеры ставят снифферы для перехвата паролей telnet/ftp/email сервисов, таким образом иногда получая от взлома одной слабо защищенной машины доступ к более закрытым серверам. Взломщик может сниффать сетевой поток, даже если пакеты отправляются не с машины, где стоит сниффер, и не ей предназначаются. Но это возможно, только если данные исходят или направляются с машин, находящихся в одной локальной сети с компьютером, подконтрольным хакеру. Например, многие не знают, что в Ethernet сетях, построенных на коаксиале, в пределах одного сегмента - сетевая карточка _всегда_ посылает _всю_ информацию _всем_ машинам в этом сегменте. Это потом уже, на программном уровне, фильтруются "лишние" и чужие ethernet фрэймы. Правда, данный метод сниффинга будет невозможен, если в твоей сети используются специальные активные хабы, которые берут на себя заботу о фильтрации сетевого трафика и посылают каждой машине только пакеты, которые ей предназначены, так что снифферы в данном случае становятся неэффективны. Но такие хабы достаточно дороги, и на них все любят экономить. В общем, шансы на удачный снифф есть всегда :). Также есть модели сетевых карт, которые не поддерживают работу в promisc режиме, но это тоже большая редкость. Далее я опишу самые популярные реализации снифферов, которые ты можешь использовать. И, конечно же, будут изложены методы обнаружения установленных снифферов как локально, так и на удаленных хостах. Наиболее известные реализации снифферов: Sniffit Пожалуй, самая популярная версия сниффера на данный момент. С отличной реализацией интерактивного режима работы, то есть когда в графическом окне отображаются все сетевые подключения к машине с возможностью просмотра передаваемой информации по соединению. Также возможна фильтровка по портам и адресам, что достаточно удобно, если к машине сделано много подключений и ты хочешь отфильтровать соединения по заданным правилам. Поддерживается большинство сетевых протоколов: TCP, ICMP, UDP. Также возможно написание собственных конфиг файлов для конкретной настройки работы сниффера. Полная информация о sniffit, последняя версия и обновления по адресу: http://reptile.rug.ac.be/~coder/sniffit/sniffit.html Данный пакет включает в себя не только обычный сниффер, но и другие не менее интересные программы как для хакера, так и для администратора. Dsniff Обычный сниффер со специальными возможностями отслеживания паролей для следующих сервисов: FTP, Telnet, HTTP, POP, NNTP, IMAP,SNMP, LDAP, Rlogin, NFS, SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, Symantec pcAnywhere, NAISniffer, Microsoft SMB, и Oracle SQL*Net auth. Tcpkill программа для отключения заданного tcp/ip процесса в процессе работы. Tcpnice программа для понижения приоритета пропускной способности заданного tcp/ip процесса. Это нужно, например, для того, чтобы ограничить Vasya the kewl warezz couirier каналом в 300бит/c - пусть себе качает на здоровье. :) Webspy выводит все запрашиваемые http адре- са в Netscape Navigator. Получается так, что ты как будто сидишь у него за спиной и смотришь на монитор. ;) Также в пакет входит еще несколько сетевых утилит. Всем рекомендую! Полная информация о dsniff и последняя версия по адресу: http://www.monkey.org/~dugsong/dsniff/ suck.c Самый примитивный девайс, единственным параметром которого является задание сетевого Все о снифферах Delta (delta@caravan.ru) |