НЮХАЧИ, К БОЮ!

Kirion (Kirion@winfo.org)

Спецвыпуск Xakep, номер #032, стр. 032-044-1

ТЕСТИРУЕМ СНИФФЕРЫ ПОД WINDOWS

"The lord of the (token) Ring (the fellowship of the packet)": "One ring to link them all, One ring to ping them, One ring to bring them all and in the darkness sniff them" :). Copyright by составители мануала Ettercap :).

Итак, снифферы для боевого задания мы уже выбрали. Осталось только прослушать брифинг перед миссией и в бой!

БРИФИНГ

Бойцы! Нам вручено современное и очень мощное оружие под названием Сниффер. Оно позволяет перехватывать всю информацию в сегменте сети, к которому вы подключитесь. Принцип его действия таков: переведя коммуникаторы в беспорядочный (promiscuous) режим (что позволяет принимать сообщения для всех узлов сегмента), он фильтрует полученную информацию, анализирует и выдает в значимом виде. Наиболее продвинутые модели могут использоваться в среде, охраняемой выключателем (switch). Выключатель передает секретные пакеты только на тот узел, которому он непосредственно предназначен, отсекая, таким образом, сегменты сети. Но, использовав специальные заряды для заражения таблиц адресов выключателя (ARP poison routing), мы можем изменить пути следования информации, пропуская пакеты определенного узла через себя. Более того, некоторые армейские заводы заявили, что их снифферы обладают возможностью перехватывать и расшифровывать пакеты с пометкой "Совершенно секретно". Нам предстоит проверить эти заявления, грозящие хаосом и анархией. Кроме того, основной боевой задачей является перехват пакетов, переданных по известным протоколам: е-мыл, ай-си-кью, ай-эр-си (черт их побрал, не могут по-человечески назвать :)) и аш-ти-ти-пи. По результатам учений, а также личного опроса бойцов будут определены заводы, с которыми будут подписаны договоры (ну это мы еще посмотрим :)) на поставку вооружения. Вольно!

Е-МЫЛ

Ну что, прослушал речь прапорщика :). Тогда приступаем к делу. Начнем с самого легкого и часто встречающегося - перехвата паролей от почты. Я лично читать чужую почту не люблю и перехватывал почту только однажды. Как часто бывает в таких случаях - из ревности :). Что мне было нужно узнать, не узнал, зато прочитал много тупых женских сплетен :). Ладно, настраивай фильтры на почту (это, скорее всего, порты 25-й, 110-й, 119-й и 143-й, но основной порт - 110-й, это POP3). Ну что же, все снифферы справились с этой задачей. Удобнее всего было, конечно же, в Cain (там все просто, не нужно даже содержимое пакетов смотреть) и Ettercap (если в настройках разобраться). CommView же начинает разочаровывать - слишком уж неудобно переходить от одного пакета к другому. Приблизительно так же и в Ethereal. Первые несколько пассов уже у нас в руках :).

ТЕТЯ АСЯ

С ICQ все немного хуже. Во-первых, структура запроса несколько сложнее, чем у почты. Во-вторых, она отличается в разных версиях аськиного протокола (а вдруг у тебя кто-нибудь использует старую асю, такое часто встречается, если аська - локальная). Ну а в-третьих... При коннекте аська передает UIN, свою версию и, теоретически, пароль. Можешь посмотреть на скрине перехваченный пакет: ни фига там не разобрать пароля :(. А все потому, что он шифруется. Такая ситуация у нас везде: и в Iris, и в Ethereal, и в Ettercap, и в CommView. А вот Cain все делает тихо и спокойно и выдает пароль :). Правда, я заметил одну странность: если заходил через аську, пароль он перехватывал. А если через мой любимый Trillian, то нет (кстати, судя по пакету, Trillian выдает себя за 2001 аську). Вероятно, это связано с самим Cain. Бета все-таки... Ну а тем, кто хочет защитить свою переписку, могу посоветовать зайти на www.encrsoft.com/products/tsm.html и скачать Top Secret Messenger. Это плагин для всех версий ICQ, добавляющий возможность ассиметричного шифрования сообщений. Там есть и плагин для Миранды с теми же функциями.