СНИФФЕРЫ - вынюхаем все!
ManderX (forother@fromru.com)
Спецвыпуск Xakep, номер #025, стр. 025-034-1
Наверняка ты уже знаком с понятием сниффер, или анализатор протоколов, но я все-таки поясню, что это; за этим последует маленький обзорчик самых популярных сниффаков, а потом мы приступим к самому интересному - сниффингу! В самом конце статьи я расскажу, как защититься от снифферов в системе.
HOW IT WORKS?
X-spez уже объяснял тебе, что такое сниффер (вынюхиватель), но я все-таки еще раз поясню, что это такое, только по-своему. Допустим, есть сетка, каждая тачка в этой сети прослушивает и обрабатывают только те пакеты, которые адресованы ей, однако можно создать такое ПО (программное обеспечение), которое переводит сетевой интерфейс машины в неразборчивый режим (promiscuous mode). В этом режиме компутер (находящийся в сети) будет перехватывать всю передаваемую по сети информацию и проходящие мимо пакеты независимо от того, кому они предназначены. Вот это ПО и есть сниффер. Чтобы понять все это детально, я бы советовал тебе ознакомиться с исходниками сниффера под *nix, а также изучить все компоненты, которые они (снифферы) используют. Например, можно перевести сетевой интерфейс в неразборчивый режим, используя флаг из if.h. Для установки "вручную" сетевого интерфейса в неразборчивый режим необходимо включить флаг PROMISC: ifconfig eth0 promisc; для отключения - promiscuous mode: ifconfig eth0 -promisc (это я про линух =).
WHO IS WHO
В настоящее время существует огромное количество снифферов как под вынь, так и под *nix системы. Но я заострю твое внимание только на самых популярных и чем-то примечательных. Но прежде я скажу несколько слов о WinPcap. Для работы с сырыми сокетами (raw sockets) под Win некоторые сниффаки требуют библиотеку WinPcap. Слить ее можешь тут - http://winpcap.polito.it/install/bin/WinPcap_2_3.exe, всего 326 KB. Эта библиотека является результатом переноса libpcap с *nix на Win32 (как и сниффаков, которым она нужна, - dsniff, ethereal и др., все они были перенесены с *nix на win). WinPcap позволяет использовать расширенный интерфейс Berkely Packet Filters. Подробнее о WinPcap (особенно полезно для кодеров) можешь прочитать в статье "Архитектура захвата пакетов для Windows WinPCAP: бальзам на душу хакера или панацея для программиста?", состоящей из трех частей, ищи тут - http://www.nmap.ru/reading/index.html. А теперь о снифферах.
ИРИСКА
Один из самых популярных снифферов под выньдоуз - Iris от eEye, взять, соответственно, можешь на www.eeye.com. Ессесно, не бесплатный. Этот сниффак является революцией в области сетевого мониторинга. Помимо того, что он превосходно выполняет стандартные функции (сбора, фильтрации и поиска пакетов, а также построения отчетов), он способен реконструировать данные. Ириска помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Также в этой софтине присутствует модуль декодирования (decode module), преобразующий сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др.