Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #32, ИЮЛЬ 2003 г.

ЗАНЮХИВАЕМ В ОКОШКАХ

Kirion (Kirion@winfo.org)

Спецвыпуск Xakep, номер #032, стр. 032-072-1


ОБЗОР СНИФФЕРОВ ПОД WINDOWS

Твой злобный сосед-линуксоид мерзко потирает руки, запустив какой-нибудь SniffIt у себя на компе. Скоро в его распоряжении окажутся твоя почта, аська, ник на ирке, а может и что-то более серьезное. Пришла пора мести :)!

Тебе не обязательно ставить правильную ось, для того чтобы мониторить траффик, хорошие снифферы есть и для окошек :).

PACKET CAPTURE LIBRARY

Так уж сложилось, что Винды с самого начала развивались как чисто пользовательская система. О хорошей работе в сетях, видимо, не задумывались. И даже с выходом первой NT ничего сильно не изменилось. Какая работа с пакетами? Вы что! У нас даже нормального стека TCP/IP нет :). А у Unix была архитектура Berkley packet filter, которая позволяла на уровне ЯДРА работать с пакетами. Слава Богу, Unix-систем много и не у всех есть архитектура BPF :). Для остальных систем (в том числе и для большинства реализаций Linux) была создана архитектура PCAP, которая тоже позволяла успешно работать с пакетами, но уже на пользовательском уровне (а выполнена она была уже в виде драйверов). Совместимость технологий обеспечивала общая библиотека Libcap, с которой непосредственно работали приложения. Но ведь драйвер и библиотеку можно перенести на другую систему, правда :)? Так появилась библиотека WinPcap, позволяющая реализовать множество недоступных ранее функций, в том числе и написание снифферов. Сразу же появились порты популярных nix-снифферов, начали появляться и чисто виндовые разработки. Многие из них уже не требуют для работы WinPcap, однако все же советую скачать ее с winpcap.polito.it. Качать надо версию не младше 2.3, а если у тебя мультипроцессорная система (ну мало ли :)) или новомодный пень с технологией Hyper-Threading, то качай 3.0 (она как раз не очень давно зафиналилась). Ну, с теорией закончили, перейдем к прогам.

IRIS

www.eeye.com

На момент написания статьи самая свежая версия была за номером 4.06. С сайта можно скачать только демонстрационную версию. Пришлось немного покопаться в сети :). Кстати, лицензионный ключ прога проверяет при каждом запуске в Инете: советую настроить фаерволл :). Будем считать, что ты со всем справился, и посмотрим, наконец, на прогу вблизи. Скажу сразу, что это один из лучших виндовых снифферов. Кнопочек и менюшек довольно много, но не пугайся - как в настоящей виндовой проге, половина из них дублирует друг друга :). ИМХО, лучше всего пользоваться кнопками слева - там все удобно разбито по разделам.

Юзать прогу предельно просто: лезем в фильтры и задаем нужные параметры (а не то утонешь в пакетах, особенно в большой сети). Опций там много: IP и MAC адреса, порты, типы пакетов, ключевые слова и hex-последовательности. Есть и несколько готовых фильтров типа для почты, http, ftp и других стандартных сервисов. Данные можно сразу писать в логи (как в виде пакетов, так и в раскодированном виде). Все. Жмешь "Play", а когда наберется достаточно пакетов, клацаешь "Decode". Ириска раскидает пакеты по сессиям, сгруппирует по адресу, и можно будет посмотреть, что куда передавалось.

Содержание  Вперед на стр. 032-072-2