ЗАНЮХИВАЕМ В ОКОШКАХ

Kirion (Kirion@winfo.org)

Спецвыпуск Xakep, номер #032, стр. 032-072-2

Фича под название Guard - это тот же монитор подключений, только более глобальный: он следит не только за твоим компом, но и за всей подсетью (для админов может быть полезно).

На основе полученных при захвате данных специально для любознательных Iris может создавать различные типы графиков и отчетов (мне, например, было интересно, кто больше всех флудит мою сеть :)). Ну и для реальных челов есть возможность самому создавать и отсылать пакеты. Если интересно, учи протоколы и станешь digital god :). Ну, и для самых хозяйственных есть планировщик заданий.

COMMVIEW 4.0

www.tamos.com

Еще один отличный сниффер, к тому же с русским интерфейсом (выставляется в настройках)! На сайте компании есть еще пара очень любопытных прог: CommView for WiFi - сниффер, заточенный под беспроводные сети (никто не хочет еще немного позаниматься варчоком?), и CommView remote agent - прога, создающая что-то вроде моста для сниффинга между сетями. То есть в локалке стоит remote agent и передает все данные на сервер (обычный сниффер CommView). Открываются неплохие горизонты, правда? Особенно, если remote agent можно было бы закинуть в виде трояна :). Тем более что CommView можно запустить в режиме невидимки (cv.exe hidden, в Win2k/XP, естественно, виден в процессах). Чтобы приконнектиться к удаленному агенту, зайди в File>Remote Monitoring Mode. Кстати, если тебе вдруг просто понадобилось перенаправить куда-нибудь данные из сниффера (например, в другое приложение), можно обойтись и без агента. Загляни в раздел Exchanging Data with Your Application мануала.

CommView поддерживает работу из командной строки, хотя визуальный интерфейс у него простой и удобный. На одной закладке выводятся все соединения, на другой - все пакеты. Правда, мне не понравилось, что показывается только hex-содержимое пакета и его свойства, а для того чтобы посмотреть содержимое сессии в человеческом виде, придется выбрать нужный пакет и в контекстном меню кликнуть "Reconstructing TCP Sessions". В Iris это сделано удобнее.

Естественно, можно задать фильтры (здесь они называются правилами), причем есть возможность вешать фильтр даже на флаги TCP. Имеются и универсальные формулы, построенные на логических выражениях. А еще в CommView реализован достаточно навороченный механизм предупреждений (если все правильно настроить, ты никогда не пропустишь нужные пакеты, можно даже присылать алярму на мыло :)).

Реализован в проге и генератор пакетов (по-моему, удобнее, чем в Iris), и раздел статистики с генератором отчетов (отчет можно генерировать на русском!). Ну и на всякий случай - база NIC по производителям сетевух и простой шедулер.

CAIN&ABEL 2.5 BETA

www.oxid.it

Ничего название, да ;)? Abel - это NT-сервис, представляющий собой удаленную консоль для Cain (фишку со сниффингом удаленного траффика обещают включить позже). А Cain... это не просто сниффер. Это весьма мощная и многофункциональная тулза для взлома. Зачем заморачиваться с раскодировкой пакетов - нам пароли сразу выдают :). А еще есть такая фишка, как ARP poison routing, позволяющая сниффать на свичах! (Для тех, кто в танке: хабы посылают пакеты всем, поэтому сниффать легко, свитчи же посылают пакеты на конкретный адрес.) На сайте даже есть флэшка, описывающая эту технологию :) (http://www.oxid.it/downloads/apr-intro.swf). А увидел закладочки под названием "ARP-SSH" и "ARP-HTTPS", и мне стало плохо. Если это еще и работает :)... Но если тебе нужен сниффер как тулза для диагностики сети, придется, видимо, искать что-нибудь другое. А вот если тебе нужно "спереть паролей, да побольше :)" - в самый раз. Тем более что прога еще и многофункциональный взломщик паролей: от pwl и LM-hash до такой экзотики, как Cisco PIX и VNC. Минусов у проги всего два, но достаточно серьезные. Во-первых, это бета и не все функции еще работают. А во-вторых, документацию обещают сделать только к выходу финальной версии. А без доков порой проблематично разбираться :(.