Все о снифферах

Хакер, номер #021, стр. 021-044-1

Delta delta@caravan.ru

Что?

Sniffer - это тип программ, созданных для мониторинга сетевого потока и/или его анализа. Данный класс прог задумывался в качестве помощника сетевому администратору для анализа проблем, возникающих в сети. Но, как и большинство тулзов для админов, снифферы получили большее распространение среди хакеров, использовавших их для перехвата паролей, отправляемых по сети в не зашифрованном виде, и другой важной информации. Sniffer'ы получают возможность чтения всей информации, приходящей на сетевой интерфейс, путем установки его в promiscuous режим работы. В этом режиме любая (ну, почти любая ;) программа может получать всю информацию, приходящую на сетевой интерфейс в виде AS IS (как есть), т.е. полностью доступна вся "служебная" информация - заголовки Etheet frame'ов, все, что идет по не маршрутизируемым протоколам типа IPX, NetBEUI, etc.

Зачем?

Почти всегда при взломе *nix-типа систем хакеры ставят снифферы для перехвата паролей telnet/ftp/email сервисов, таким образом иногда получая от взлома одной слабо защищенной машины доступ к более закрытым серверам. Взломщик может сниффать сетевой поток, даже если пакеты отправляются не с машины, где стоит сниффер, и не ей предназначаются. Но это возможно, только если данные исходят или направляются с машин, находящихся в одной локальной сети с компьютером, подконтрольным хакеру. Например, многие не знают, что в Etheet сетях, построенных на коаксиале, в пределах одного сегмента - сетевая карточка _всегда_ посылает _всю_ информацию _всем_ машинам в этом сегменте. Это потом уже, на программном уровне, фильтруются "лишние" и чужие etheet фрэймы.

Правда

Правда, данный метод сниффинга будет невозможен, если в твоей сети используются специальные активные хабы, которые берут на себя заботу о фильтрации сетевого трафика и посылают каждой машине только пакеты, которые ей предназначены, так что снифферы в данном случае становятся неэффективны. Но такие хабы достаточно дороги, и на них все любят экономить. В общем, шансы на удачный снифф есть всегда :). Также есть модели сетевых карт, которые не поддерживают работу в promisc режиме, но это тоже большая редкость.

Далее я опишу самые популярные реализации снифферов, которые ты можешь использовать. И, конечно же, будут изложены методы обнаружения установленных снифферов как локально, так и на удаленных хостах.

Наиболее известные реализации снифферов:

Sniffit

Пожалуй, самая популярная версия сниффера на данный момент.

С отличной реализацией интерактивного режима работы, то есть

когда в графическом окне отображаются все сетевые подключения к машине

с возможностью просмотра передаваемой информации по соединению.

Также возможна фильтровка по портам и адресам, что достаточно удобно, если к машине сделано много подключений и ты хочешь отфильтровать соединения по заданным правилам.

Поддерживается большинство сетевых протоколов: TCP,ICMP,UDP. Также возможно написание собственных конфиг файлов для конкретной настройки работы сниффера. Полная информация о sniffit, последняя версия и обновления по адресу:

Содержание  Вперед на стр. 021-044-2

ttfb: 3.0491352081299 ms