Снифферы под win

Xakep, номер #030, стр. 030-056-1

BlueTooth (rhady@rsu.ru)

СМЕРШ к работе готов!

Приветствую тебя, коллега по хаку! Настало время для нас заняться делом и обсудить для начала серьезные проблемы. Как часто ты слышишь шпионские истории про разведчиков, проваленные явки и сдавшихся перебежчиков? Изредка по ящику показывают одного-двух зайцев, перебежавших границу, да может еще какого-нибудь проштрафившегося атташе, высланного из дипломатического корпуса в Зимбабве... А ведь все самое интересное происходит отнюдь не на передовой линии войны "плаща и кинжала". Все самое интересное творится у нас под боком - дома, в институте, на работе, у знакомых. Мир охватил бум локальных сетей, везде организации, фирмочки и компашки подключают к Интернету свои дохленькие компы, выставляя наружу соблазнительно оголенные места незащищенных операционок. Весь цивилизованный мир еще не забыл поучительного урока начала прошлого года, когда начальству НАТО (!!!) был сделан выговор и назначен хороший пинок. За то, что оно (начальство) юзало домашний комп как для работы с секретными документами, так и для просмотра порнографических материалов. Ха-ха-ха! Только слепой, наверное, еще не видел этих PDF-ок... Да! Мир поумнел с тех пор, и простые емейловые аттачи с троянами уже не срабатывают как раньше. Повсеместно заговорили о том, что для проведения более-менее значимых действий надобно Юникс себе ставить... А как быть тем, кто виндами пользуется? Сегодня мы займемся изучением хацкерского инструментария под win.

WIN-SNIFF: далеко пойдут, если не остановят

Рассмотрим три самых популярных сниффера на платформе Win32. Собственно говоря, только один из них был изначально предназначен для реализации на Win32, это Iris, со второй версией которого мы поиграем. Вскользь коснемся Snort и Dsniff, вернее их портов под мастдай.

Ириска - вкус адреналина

Ириска - именно так ласково окрестили ее местные хакеры. Ласковое к ней обращение более чем заслужено. Первый запуск Ласки-Iris'ки выглядел так:

Недолго думая, я тыкаю кнопочку, похожую на "PLAY", на видаке у меня дома. Справа в колонке тотчас же забегали пакетики: ириска свое дело знает туго. Итак, карточка переключена в режим прослушки, и мы пожинаем плоды шпионской деятельности. Радостно потирая потные от возбуждения ручки я полез в список бегающих пакетиков:

Круто! Ириска понимает большинство современных протоколов маршрутизации. Что такое OSPF, у Iris можно даже не спрашивать - сама все покажет и расскажет, что куда сунуть. Умная девочка! Потыкав немного, я случайно обнаружил пакетик, ставший началом HTTP-запроса (на рисунке он выделен курсором в правом нижнем окне):

Однако на третий день индеец Соколиный Глаз заметил, что на панели слева отнюдь не одна кнопка [Capture], но и еще целая куча разных батонов. В глаза бросилась следующая элементарная поверхность с интригующим названием [Decode]:

Совсем неплохо! Вместо того чтобы самому разбираться в шлаке пакетов, достаточно использовать встроенные функции самой Ириски. Разбросав соединения по протоколам, хостам и связав многочисленные пакетики в одни потоки данных, Ириска делает всю черновую работу, позволяя наслаждаться многообразием человеческой небрежности (которая приводит к использованию рутовых паролей при доступе через telnet).

Содержание  Вперед на стр. 030-056-2

ttfb: 3.2279491424561 ms