СНИФФАЕМ НА ПРАВИЛЬНОЙ ОСИ

Ушаков Андрей aka A-nd-Y

Спецвыпуск Xakep, номер #032, стр. 032-074-2

SNIFFIT

Сайт: http://sniffit.rug.ac.be/~coder/sniffit/sniffit.html

Сниффер для правильной оси с хорошим набором функций. Есть во многих дистрибутивах, но в своей свалке я его не обнаружил :-). Если у тебя его нет, качай архив с сайта и инсталь. Пример запуска программы:

sniffit -F eth0 -P tcp -p 6667

Сниффаем весь трафик IRC в сетке: опция "-F" задает устройство, которое нужно слушать, "-P" - нужный протокол, "-p" - нужный порт.

Среди возможностей сниффера есть отлов паролей mail, http, icq, баз данных, возможность работы как с графическим интерфейсом в интерактивном режиме, основанном на ncurses (опция -i), так и без него, использование специальных конфигурационных файлов с правилами фильтрации, работа с ppp и eth интерфейсами, а также возможность настройки для других интерфейсов.

Sniffit - удобный, сбалансированный по возможностям сниффер под Linux. Многие люди используют именно его и очень довольны.

ETHEREAL

Сайт: http://www.ethereal.com

Хороший сниффер с полностью графическим (gtk) интерфейсом (для кого-то это может быть минусом). Обладает всеми необходимыми функциями сниффера: поддерживает множество протоколов, увидеть полный список которых можно в диалоге "Edit" > "Protocols...". Там же можно и отключить все, что тебе не нужно. Есть возможность создавать весьма гибкие фильтры, чтобы просматривать только нужные тебе пакеты.

Порадовало, что ethereal, помимо eth интерфейса, поддерживает также ppp и lo.

В Ethereal есть хорошая возможность, которая обозначается как "Follow TCP STREAM". Она позволят объединить перехваченные пакеты и предоставить их в виде готового письма или html странички.

Ethereal - единственный из рассматриваемых прог сниффер с удобным графическим интерфейсом и, пожалуй, наибольшим количеством поддерживаемых протоколов. Он прост в освоении и использовании, к тому же присутствует подробный man.

DSNIFF

Сайт: http://www.monkey.org/~dugsong/dsniff/

Относительно простой сниффер. Задумывался как сниффер паролей и средство для отладки сетей. Поддерживает наиболее распространенные протоколы TCP: HTTP, POP, FTP, AIM, ICQ, SOCKS, SNMP, NFS и другие. Сам по себе Dsniff не является полнофункциональным сниффером, но в составе дистрибутива есть дополнительные сетевые утилиты, которые призваны дополнять возможности программы. Среди этих утилит arpspoof - перенаправление трафика с одного хоста на другой посредством ложных ARP-ответов, filesnarf - сниффер NFS, macof - MAC-спуффинг, mailsnarf - снифф почтовых сообщений, sshmitm - снифф SSH трафика (поддерживает только SSH первого протокола) и некоторые другие (man страничка есть по каждой утилите).

Архив весит всего 124 КБ, так что можешь скачать и попробовать. Инсталляция требует Berkeley DB, OpenSSL, libpcap, libnids, libnet, так что позаботься, чтобы они у тебя были (соответствующие сайты указаны в README).

Dsniff - неплохое средство для определенных сетевых задач.

ETTERCAP

Сайт: http://ettercap.sourceforge.net

Отличный сниффер, работает как под управлением Линукс, так и многих других nix систем. Объединяет в себе как функции сниффера, так и некоторого сетевого средства с набором полезных возможностей. Имеет все базовые функции сниффера, а также множество оригинальных, таких как задание различных режимов работы для наименьшей вероятности обнаружения в сети, поддержка плагинов и наличие собственного интерфейса для их разработки.