Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #025, стр. 025-034-2, СНИФФЕРЫ

СНИФФЕРЫ - вынюхаем все!

ManderX (forother@fromru.com)

Спецвыпуск Xakep, номер #025, стр. 025-034-2

MUST HAVE или хотя бы TRY =). Об ириске мы с тобой еще поговорим.

ETHEREAL

Очень известный сниффер, перенесенный с *nix, поэтому и выглядит так коряво. Огромным плюсом этой софтины является то, что реализация ethereal есть практически под все Оси, сам глянь - http://www.ethereal.com/download.html, а также она бесплатна. В остальном - просто хороший сниффер =).

NETSNIFFER

Конкурентов ириске я не нашел, но все же этот сниффер мне тоже приглянулся, так как он прост, удобен и имеет приятный интерфейс, а еще он на русском языке. http://www.tmeter.ru/netsniffer/ - взять можешь тут, программка фриварная. Знает четыре протокола (маловато будет =): POP3, IMAP4, FTP, PAP. Позволяет одновременно собирать пароли с 4-х сетевых адаптеров.

SNIFFIT

А че это мы про вынь, да про вынь, давайте и о *nix-системах поговорим. Sniffit - сниффер, входящий в большинство дистрибьютивов линуха, поэтому, скорей всего, он у тебя уже есть, очень серьезное средство, и научиться им пользоваться нелегко, поэтому я маленько поясню (ведь когда еще я буду писать статью про снифферы =)). Разберем вот такую строку запуска сниффера:

sniffit -d -p 23 -s 127.0.0.2 -t 127.0.0.1 -L1

Тут -d значит, что sniffit переводится в режим dump, в этом режиме прога выдает пакеты в байтовом формате в стандартный выходной поток. -p используется для указания конкретного контролируемого порта. -s [ip] используется для указания исходного адреса, sniffit будет перехватывать пакеты, поступающие именно с этого адреса. -t [ip], соответственно, используется для указания целевого адреса (target - цель), т.е. sniffit будет перехватывать пакеты, направляющиеся по этому адресу. L [уровень] - используется для указания уровня детализации. Тем самым я указал sniffit отслеживать 23 порт между хостами 127.0.0.1 и 127.0.0.2. С помощью -с [файл_конфигурации] можешь указать файл для детального сниффинга =), рассмотрим такой файл конфигурации:

select from host 172.17.0.1

select from host 172.17.0.2 80

select both port 23

Теперь разберем каждое поле конкретнее (поля по вертикали). Первое поле может иметь значения select или deselect, т.е. перехватывать или не перехватывать пакеты с хостов. Возможные значения второго поля: from, to, both указывают, надо ли перехватывать пакеты, исходящие от хоста, направляющиеся на хост или и те, и другие. Третье поле может содержать следующие значения: host, port или multiple-hosts. Это поле задает один или несколько целевых хостов/портов. Опция multiple-hosts позволяет использовать стандартные символы-заместители. В четвертом поле надо указать номер порта или адрес хоста, можно и список нескольких хостов. И в пятом поле можешь указать порт на хосте. В результате этого примера будут перехвачены все пакеты telnet и Web, посылаемые с обоих хостов.

TCPDUMP

Известное средство, официальный сайт - http://www.tcpdump.org/, и, скорей всего, он тоже присутствует в твоем дистрибьютиве линуха (не сайт, а сниффер). Пример запуска:

tcpdump -i eth0 -n -vv -w /root/dump.log

Назад на стр. 025-034-1 Содержание Вперед на стр. 025-034-3