Теперь мы знаем, кто управляет твоей сетью

DemiurG (arkhangel@mail.ru)

Спецвыпуск Xakep, номер #041, стр. 041-056-4

Многие админы, экономя деньги (либо руководство жидится), строят свою сеть не на свитчах, а на хабах. Как ты знаешь, по большому счету, свитч (он же коммутатор) - это тот же самый хаб, только трафик, который по нему идет, попадает из одного порта в другой, не дублируясь на всех остальных. А в хабе весь трафик, проходящий к одному порту, получает и сам этот порт, и все остальные. Т.е. если вдруг девочка Маша, находящаяся в твоей локальной сети, вдруг захочет (да, да, девочка и ЗАХОЧЕТ) скачать файл "http://www.porno.com/pushisty_burunduk.jpg", этот файл получат и все остальные пользователи. В случае если сеть построена на коммутаторах, такого не произойдет. Как мы можем это использовать? Устанавливай снифер, мой фаворит - CommView (www.all-nettools.com/cv4.zip). После запуска обязательно придется выбрать сетевой интерфейс, на котором ты будешь снифить трафик. Отлично, допустим, ты захотел отловить пароли к почте юзеров своей сети. Иди в закладку Rules -> Protocols & Direction -> Enable Ethernet Protocol rules -> ставь галочку возле IP -> Enable IP Protocol rules -> ставь галочку возле TCP. В обоих случаях должен стоять флажок Capture. Одним словом, как на рисунке:

Потом суйся в закладку Ports. Ставь галочку возле Enable Port Rules, отметь To и добавляй порт 110 (т.к. нам нужно увидеть, какой разговор между пользователем и сервером идет на 110 порту). Разумеется, если админ забирает почту по протоколу POP3. Если же он наслаждается всеми прелестями протокола IMAP - тогда порт 143. Переключайся на закладку Packets -> File -> Start Capture.

Через некоторое время (если, разумеется, ты не ошибся в расчетах и настройках) в этом окне осядут пакеты. Чтобы понять, какой именно трафик прошел, жми правой кнопкой мыши на пакете и выбирай Reconstruct TCP Session - вуаля, теперь ты знаешь все тайны мира.

Разумеется, снифить таким образом ты можешь не только POP3, а вообще любые протоколы. Конечно, нужны будут тебе только те, где пароли или сам трафик не шифруется. Если ты попытаешь удачу на SSH (22 порт) или SSL, тебя ждет большой облом. Сам трафик ты получишь, но расшифровать вряд ли сможешь.

Система подсчета трафика - унижая других, выше не станешь

За неделю до сдачи моего проекта админ озадачил пользователей (в том числе и меня) тем, что в локальной сети работает система учета трафика. Каждому пользователю выделяется определенный лимит, и если юзер переходит за этот лимит, то по рыночной цене этот трафик переводится в живые деньги и вычитается из зарплаты пользователя. Позже показалось, что сисад и в самом деле взялся за ум. В сети был создан полноценный домен (почему-то на основе NT 4.0), и всем были розданы стандартные юзеровские права. Мне, естественно, этих прав для работы не хватало, а конфликтовать с админом не хотелось. Поэтому я решил увеличить себе права - последняя версия программы L0pht Crack (которую я описал выше) позволяет перехватывать пароли через снифер на лету. Жмешь на Import -> Import from Sniffer, и все, что мелькает, импортируешь нажатием кнопки Import.