ХОЧЕШЬ ЗНАТЬ, ЧТО ПРОИСХОДИТ В ЛОКАЛКЕ?

Ушаков Андрей aka A-nd-Y

Спецвыпуск Xakep, номер #032, стр. 032-042-2

Главное меню программы предоставляет следующие пункты: File - команды общего назначения, Edit - параметры настройки программы, Capture - запуск и остановка сниффера, Display - опции отображения инфы, Tools - различные дополнительные тулзы.

В меню Edit ты найдешь пункты Preferenses - здесь можно задать общие настройки программы: внешний вид, параметры сниффа, параметры протоколов. Пункты Capture Filters и Display Filters позволяют работать с фильтрами (добавлять, удалять и изменять).

Думаю, с Preferences ты разберешься сам, а вот работу с фильтрами рассмотрим более подробно. Фильтры позволяют тебе получать только те данные, которые тебе нужны. При работе с сотнями пакетов это важно. Для начала ты должен четко знать, какая информация тебе нужна, и, в соответствии с этим, создавать собственные правила для фильтров.

УСТАНОВИМ ФИЛЬТР

Наша задача почитать почту, посмотреть, какие страницы загружал сосед, узнать его пароль на e-mail, перехватить IRC-чат и получить пассы от аськи. Ты ведь уже знаешь порты, на которых работают эти сервисы? Если нет, то быстрее бери умную книжку и просвещайся. Немного подумав :), приходим к тому, что нам нужно получать все TCP пакеты для 80, 110, 5190, 6667 портов и приходящие с них.

Приступаем к созданию фильтра. Ползи в "Edit" > "Display Filters" и жми на кнопку "Add Expressions" (добавить выражение). В появившемся окне создания фильтра в поле "Field Name" увидишь огромный список протоколов, а в подменю к выбранному протоколу дополнительные опции для фильтра. Выбираем протокол TCP в поле "Field name" (все интересующие нас пакеты относятся именно к TCP протоколу) и пункт в подменю "Source or Destination port", что значит принимать пакеты для этих портов и идущие с них. В поле "Realtion" выбираем отношения поля правила к значению, в данном случае нас интересует эквивалентность (==), и в поле "Value" пишем порт 80. После чего жмем OK, и в поле "Filter String" появляется выражение "tcp.port == 80", это простейшее выражение для фильтра. Для остальных портов можешь проделать такие же действия либо просто руками написать аналогичные выражения, объединяя их логическим оператором and (&&). В результате получаем правило:

tcp.port == 80 && tcp.port == 110 && tcp.port == 5190 && tcp.port == 6667.

Называем его, например, lansnifrules и жмем "Создать". Правило готово.

МОЕМ ЗОЛОТИШКО

Возвращаемся к основному рабочему окну программы. Выбираем созданный фильтр, пускаем сниффер через "Capture" > "Start" и идем пить пиво, оставив сниффер делать свое злобное дело :).

После старта появляется информационное окошко, которое отображает процентное соотношение пакетов от различных протоколов, обработанных сниффером.

Через пару часов сниффер можно выключить и заняться изучением полученных данных. Как я уже писал, в верхнем окне видим краткую инфу о пакете, в среднем - подробный заголовок пакета, а внизу - его данные.