ХОЧЕШЬ ЗНАТЬ, ЧТО ПРОИСХОДИТ В ЛОКАЛКЕ?

Ушаков Андрей aka A-nd-Y

Спецвыпуск Xakep, номер #032, стр. 032-042-3

Конечно, можно вручную изучать все пакеты в поисках нужной информации, но мы поступим умнее, тем более что для этого в Ethereal предусмотрено очень удобное средство: выбери в списке пакет определенного типа, например, POP, и в мышином меню - команду "Follow TCP STREAM". В результате в новом открывшемся окне ты получишь абсолютно целые письма со всеми заголовками и содержанием, которые можно с легкостью читать, а также ход сессии общения с сервером в виде telnet команд, среди которых ты, конечно же, увидишь и пароли.

Так же дела обстоят с html страницами и IRC мессагами. С аськой посложнее: даже объединяя все захваченные пакеты, читать что-либо вразумительное не удается, лишь отдельные обрывки - сказываются особенности протокола.

Ethereal корректно отображает только koi8-r, так что, если хочешь читать что-то в cp1251, придется подумать о перекодировке. Хотя это не составит для тебя труда - в простейшем случае можно воспользоваться текстовым редактором с поддержкой нескольких кодировок или браузером.

К сожалению, в Ethereal отсутствует возможность автоматизированного выдирания паролей и логинов из пакета, так что придется поковыряться самому. Опция выдирания паролей отлично реализована в Ettercap, что в очередной раз говорит, что в одну программу невозможно впихнуть все возможности, что-то будет хуже, что-то лучше, чем в других. Поэтому используй программы комплексно.

Ну вот, ты уже имеешь все пароли от почты, стянул все шестизначки в твоей сетке, в курсе личной жизни соседей :). Ты, конечно, крут, но не забывай, законы еще никто не отменял, в том числе и статью о незаконном доступе к чужой информации.

Естественно, возможности Ethereal не ограничиваются рассмотренными мною. С помощью этого замечательного сниффера можно узнать еще много интересного о жизни твоей сети. Все в твоих руках, дерзай!

Фильтры позволяют тебе получать только те данные, которые тебе нужны. При работе с сотнями пакетов это важно.

К сожалению, в Ethereal отсутствует возможность автоматизированного выдирания паролей и логинов из заголовков пакета, так что придется поковыряться самому.

Выбери в списке пакет определенного типа, например, POP, и в мышином меню - команду "Follow TCP STREAM". В результате в новом открывшемся окне ты получишь абсолютно целые письма со всеми заголовками и содержанием, которые можно с легкостью читать.

Не хочешь оказаться на месте твоего соседа? Вдруг кто-то уже использует сниффер в твоей сети? Пора подумать о методах защиты! Пожалуй, наиболее действенным в данном случае является шифрование передаваемых данных.

Есть мнение, что сниффер нельзя обнаружить. В определенной степени оно ошибочно. В некоторых режимах сниффер проявляет сетевую активность, поэтому есть шанс его обнаружения. Все зависит от уровня админов твоего провайдера.

Почитай Linux Administration's Security Guide (http://www.lrn.ru/index.php?module=library&action=show&docid=193&part=1809) - в этом руководстве ты найдешь множество полезной информации по защите и анализу сетей.