СНИФФЕРЫ - вынюхаем все!

ManderX (forother@fromru.com)

Спецвыпуск Xakep, номер #025, стр. 025-034-3

Здесь: -i - сетевой интерфейс, -n - числовой вывод адресов и номеров портов, -vv - очень подробный вывод, -w - запись лога в файл. Чтобы прочитать перехваченный траффик из лога, используй: tcpdump -r /root/dump.log. http://www.opennet.ru/opennews/art.shtml?num=824&showsection=9_ - здесь есть ссылка на замечательную статью об использовании tcpdump и дальнейшем изучении лог-файлов (английская). Этот сниффер занимает третье место в рейтинге лучших утилит сетевой безопасности, проводимом Insecure.org.

DSNIFF

http://naughty.monkey.org/%7Edugsong/dsniff/ - официальная страница этого "вынюхивателя", мне там понравилась обезьянка =). Сниффер перехватывает пароли, че тут еще добавить =). Рекомендую запускать так: dsniff.exe > dsniff.log, а потом уже спокойненько рассматривать лог-файл.

ETTERCAP

Замечательный сниффер! Хоумпага - http://ettercap.sourceforge.net/, наконец-то приличный урл =). Сегодня все останутся довольны, он реализован и под винду, и под UNIX, а также он часто обновляется, последняя версия - 0.6.7. http://www.xakep.ru/post/16610/default.htm - тут можешь прочитать о нем и о его работе. Далее мы разберем этот сниффак подробнее, так как он, как и Iris, один из самых-самых, только под *nix =).

CGI-СНИФФЕРЫ

Существуют такие снифферы, которые предназначены для ловли REMOTE_ADDR и PATH_INFO CGI-запроса. Чаще всего используются для того, чтобы узнать ip какого-нибудь чела в чате. Пример - http://www1.hut.ru/aneksniff/ или всем известный http://www.hackzone.ru/underground/sniff.html. http://www1.xakep.ru/post/11950/default.asp - здесь можешь прочитать о таком же сниффере, как и предыдущие, только на php. Сейчас на многих халявных хостингах есть поддержка php, так что ты без проблем сможешь его воткнуть.

В БОЙ!

Если с NetSniffer-ом все понятно (скрин 1), то с Iris сложнее. Так что давай с самого начала. А сначала надо указать, какой девайс юзать (скрин 2). Недолго думая, я нажал на кнопку Play aka Start (выглядит так же, как и на видаке), и полилось ручьем, скока инфы-то, ничего не понять... Но иногда все-таки проскакивают понятные данные, например, на скрине 4 ты можешь прочитать несколько слов (я зашел на www.wzor.net). Но это все не то, нам нужны пароли, поэтому я приконнектился с другой тачки к фтп, введя логин и пароль. Останавливаем сниффер и жмем на пимпу под названием "decode buffer packets" (она находится левее "play"). Глянь на скрин 5, это то, что отловила и декодировала в нормальное сообщение ириска; пароли и всю инфу, которая тебя не касается, я закрасил =). Также она может вести логи, но этим уже никого не удивишь. А удивить тебя может много другое в этой софтине, например, то, что ириска может работать по расписанию, она имеет кучу фильтров, поэтому ты можешь конкретизировать свою цель. Заметь, Iris может раскидывать пакеты не только по заголовкам (IP-адрес, порт и т.д.), но и по содержанию некоторого слова в области пакета. И еще одной особенностью чудо-ириски является возможность динамического наблюдения за сетью. По твоему хотению она может построить всевозможные графики, основываясь на инфе, поступающей на сетевуху. Так можно выявить атакующих, можно быстро просмотреть диаграмму самых активных компов в сети и т.д.