Найкращі інструменти пен-тестера: сніфери та робота з пакетами. Аналізатори мережних пакетів Програми сніфери огляд
SmartSniffдозволяє перехопити мережевий трафік і відобразити його вміст ASCII. Програма захоплює пакети, що проходять через мережевий адаптер і виводить на екран вміст пакетів у текстовому вигляді (протоколи http, pop3, smtp, ftp) та у вигляді шістнадцяткового дампа. Для захоплення TCP/IP пакетів SmartSniff використовує методики: необроблені сокети – RAW Sockets, WinCap Capture Driver та Microsoft Network Monitor Driver. Програма підтримує російську мову та проста у використанні.
Програма сніффер для захоплення пакетів
 |
SmartSniff відображає таку інформацію: назва протоколу, локальна та віддалена адреса, локальний та віддалений порт, локальний вузол, назва служби, обсяг даних, загальний розмір, час захоплення та час останнього пакета, тривалість, локальна та віддалена МАС адреса, країни та зміст пакету даних . Програма має гнучкі налаштування, в ній реалізована функція фільтра захоплення, розпакування відповідей http, перетворення ip адреси, утиліта згортається в системний трей. SmartSniff формує звіт про потоки пакетів у вигляді HTML сторінки. У програмі можна виконати експорт потоків TCP/IP.
Сніффери(Sniffers) – це програми, здатні перехоплювати та згодом проводити аналіз мережевого трафіку. Сніфери корисні у випадках, коли потрібно перехопити паролі чи провести діагностику мережі. Програму можна встановити на одному пристрої, до якого є доступ і протягом короткого часу отримати всі дані, що передаються з підмережі.
Принцип роботи сніфферів
Перехопити трафік через сніффер можна такими способами:
- Шляхом прослуховування у звичайному режимі мережного інтерфейсу, цей спосіб дає ефект лише тоді, коли у певному полі використовуються хаби, а не світчі.
- Якщо місце розриву каналу підключити сниффер (sniffers) , можна перехопити трафік.
- Адаптер або програма змінюють шлях трафіку та відправляють копію на сніффер.
- Побічні електромагнітні випромінювання проаналізувати та відновити трафік для прослуховування.
- Рівень каналу та мережі атакувати, що перенаправить трафік на сніффер для отримання даних, після чого трафік спрямовується по попередньому маршруту.
Трафік, перехоплений сніффером, піддається аналізу, що дозволяє виявити:
Звичайний сніфер (sniffers) аналізує трафік дуже просто, застосовуючи найдоступніші автоматизовані засоби і здатний аналізувати лише дуже маленькі обсяги.
Приклади найбільш відомих сніферів:
- WinSniffer 1.3 – найкращий сніффер, має безліч різних настроюваних режимів, здатний ловити паролі різних сервісів;
- CommViev 5.0 ловить та аналізує інтернет-трафік, а також локальну мережу. Збирає інформаційні дані, пов'язані з модемом та мережевою картою, і піддає їх декодування. Це дає можливість бачити повний список з'єднань у мережі, статистичні відомості з IP. Перехоплена інформація зберігається в окремий файл, для подальшого аналізу, до того ж зручна система фільтрації дозволяє ігнорувати непотрібні пакети і залишає тільки ті, які потрібні зловмиснику;
- ZxSniffer 4.3 – невеликий за розміром сніффер об'ємом 333 kb, він поміщається на будь-який сучасний носій інформації та може бути використаний;
- SpyNet - досить відомий і популярний сніффер. В основний функціонал входить перехоплення трафіку та декодування пакетів даних;
- IRIS- має широкі можливості фільтрації. Здатний ловити пакети із заданими обмеженнями.
Класифікація сніфферів (Sniffers)
Сніффери ділять методом використання на легальні і нелегальні. При цьому саме поняття сніфери застосовується саме до нелегального використання, а легальні називають «Аналізатор трафіку».
Для того, щоб отримувати повну інформацію про стан мережі та розуміти, чим зайняті працівники на робочих місцях використовують легальні сніфери (аналізатори трафіку). Не можна переоцінити допомогу сніферів, коли потрібно «прослухати» порти програм, через які вони можуть надсилати конфіденційну інформацію своїм господарям. Для програмістів вони допомагають проводити налагодження та взаємодію програм. Використовуючи аналізатори трафіку, можна вчасно виявити несанкціонований доступ до даних або проведення DoS-атаки.
Нелегальне використання має на увазі шпигунство за користувачами мережі, зловмисник зможе отримати інформацію про те, які сайти використовує користувач, дані пересилає, дізнається про програми, які використовуються для спілкування. Основна мета «прослуховування» трафіку – отримання логінів та паролів, що передаються в незашифрованому вигляді.
Аналізатори трафіку відрізняються такими можливостями:
- Підтримка протоколів канального рівня та фізичних інтерфейсів.
- Якістю декодування протоколів.
- Інтерфейс користувача.
- Надавати доступ до статистики, перегляду трафіку в реальному часі та ін.
Джерело загрози
Працювати сніффери можуть на:
- Маршрутизатор (router) – може аналізуватися весь трафік, що проходить через пристрій.
- На кінцевому вузлі мережі – всі дані, що передаються по мережі, доступні для всіх мережевих карт, але в стандартному режимі роботи, мережні карти, для яких не призначені дані, просто не помічають їх. При цьому, якщо перевести мережну карту в режим promiscuous mode, то з'явиться можливість отримувати всі дані, що передаються в мережі. І звичайно сніфери дозволяють перемикатися в цей режим.
Аналіз ризиків
Будь-яка організація може опинитися під загрозою сніфінгу. У цьому є кілька варіантів, як убезпечити організацію від витоків даних. По-перше, потрібно використовувати шифрування. По-друге, можна застосувати антисніфери.
Антисніффер - програмний або апаратний засіб, що працює в мережі і дозволяє знаходити сніфери.
Використовуючи лише шифрування при передачі даних, не вдасться приховати сам факт передачі. Тому можна використовувати шифрування разом із антисніффером.
Сніффер по-іншому називають аналізатором трафіку — це програма або інший апаратний пристрій, який перехоплює, а потім аналізує мережевий трафік. В даний час ці програми мають цілком законне обґрунтування, тому широко використовуються в мережі, але застосовуватися вони можуть як на благо, так і на шкоду.
Історія їх виникнення йде до 90-х років, коли хакери могли використовуючи подібний софт легко захопити користувальницький логін і пароль, які на той момент були дуже слабо зашифрованими.
Слово sniffer походить від англ. to sniff - нюхати, принцип дії в тому, що ця програма реєструє та аналізуєпрограми, встановлені на машинах, що передають інформаційні пакети. Для ефективності операції з зчитування інформації він повинен бути поблизу головного ПК.
Програмісти використовують цю програму для аналізу трафікуІнші цілі переслідують хакери в мережі, вони якраз і відстежують паролі або іншу необхідну їм інформацію.
Види аналізаторів трафіку
Сніффери різняться за типами, це можуть бути онлайн-аплети або програми, що встановлюються безпосередньо на комп'ютер, які діляться на апаратні і програмно-апаратні. 
Найчастіше вони використовуються для перехоплення паролів, при цьому програма отримує доступ до кодів зашифрованої інформації. Це може принести величезні незручності користувачеві, оскільки нерідко трапляються випадки, коли кільком програмам або сайтам встановлюються однакові паролі, що, зрештою, веде до втрати доступу до необхідних ресурсів.
Існує тип сніфінгу, який використовується для перехоплення знімка оперативної пам'яті, оскільки складно зчитувати інформацію постійно, і не використовувати потужність процесора. Виявити шпигунаможна відстеження максимального файлового завантаження ПК під час роботи.
Ще один тип програм працює з великим каналом передачі даних, причому шкідник може щодня генерувати до 10 мегабайтових протоколів.
Як це працює
Аналізатори працюють тільки з протоколами TCP/IP, таким програмам потрібне провідне підключення, наприклад, маршрутизатори, що роздають інтернет. Передача даних здійснюється за допомогою окремих пакетів, які при досягненні кінцевої мети знову стають єдиним цілим. Вони так само здатні перехопити пакети на будь-якому етапі передачі та отримати разом з ним цінну інформацію у вигляді незахищених паролів. У будь-якому випадку, за допомогою програм дешифраторів можна отримати ключ навіть до захищеного пароля.
Найпростіше використовувати WiFi сніфери в мережах із слабким захистом – у кафе, громадських місцях тощо.
Провайдери за допомогою цих програм можуть відстежити несанкціонований доступдо зовнішніх системних адрес.
Як захиститися від сніферів
Щоб зрозуміти, що в локальну мережу хтось проник, насамперед варто звернути увагу на швидкість завантаження пакетів, якщо вона значно нижча за заявлену, це має насторожити. Швидкодія комп'ютера можна відстежити за допомогою Диспетчера завдань. Можна використовувати спеціальні утиліти, але вони найчастіше конфліктують із брандмауером windows, тому його краще на якийсь час відключити.
Для системних адміністраторів перевірка та пошук аналізаторів трафіку в локальній мережі – це необхідний захід. Для виявлення шкідливих програм можна використовувати відомі мережеві антивіруси, такі як Лікар Веб або Касперський Антивірус, які дозволяють виявити шкідників як на віддалених хостах, так і безпосередньо всередині локальної мережі.
Крім спеціальних програм, які просто встановлюють на комп'ютер, можна використовувати більш складні пароліта криптографічні системи. Криптографічні системи працюють безпосередньо з інформацією, шифруючи її за допомогою електронного підпису.
Огляд додатків та основні можливості
CommView
CommView декодує пакети переданої інформації, видає статистику використовуваних протоколів, як діаграм. Сніффер трафіку дозволяє аналізувати IP-пакети, причому ті, які потрібні. Сніффер для Windows працює з відомими протоколами: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP та ін. CommView працює з модемами Ethernet, wi-fi та іншими. Захоплення пакетів відбувається через встановлене з'єднання за допомогою вкладки « ПоточніIP-з'єднання», де можна створювати псевдоніми адрес. 
Вкладка « Пакети» Відображає інформацію про них, при цьому їх можна скопіювати в буфер обміну. 
« LOG-файли» дозволяє переглядати пакети у форматі NFC.
Вкладка « Правила». Тут можна встановити умови перехоплення пакетів. Розділи цієї вкладки: IP-адреси, MAC-адреси, Порти, Процес, Формули та Індивідуальні параметри.
« Попередження»: передбачає налаштування сповіщень у локальній мережі, функціонує за допомогою кнопки «Додати». Тут можна задати умови, тип подій:
- «Пакети за секунду» — якщо ви перевищуєте рівень завантаження мережі.
- "Байти в секунду" - при перевищенні частоти передачі даних.
- "Невідома адреса", тобто виявлення несанкціонованих підключень.
Вкладка « Вид» - Тут відображається статистика трафіку.
CommView сумісна з Windows 98, 2000, XP, 2003. Для роботи з програмою потрібен адаптер Ethernet.
Переваги: зручний інтерфейс російською мовою, підтримує поширені типи мережевих адаптерів, статистика є візуалізованою. До мінусів можна віднести хіба високу ціну. 
Spynet
Spynet виконує функції декодування пакетів, їх перехоплення. З його допомогою можна відтворити сторінки, де побував користувач. Складається з 2-х програм CaptureNet та PipeNet. Її зручно використовувати у локальній мережі. CaptureNet сканує пакети даних, друга програма контролює процес.
Інтерфейс досить простий:
- Кнопка Modify Filter- Налаштування фільтрів.
- Кнопка Layer 2,3 - Встановлює протоколи Flame - IP; Layer 3 – TCP.
- Кнопка Pattern Matchingздійснює пошук пакетів із заданими параметрами.
- Кнопка IP— Adressesдозволяє сканувати необхідні IP-адреси, що передають інформацію, що цікавить. (Варіанти 1-2, 2-1, 2 = 1). У разі весь трафік.
- Кнопка Ports, тобто вибір портів.
Для перехоплення даних необхідно запустити програму Capture Start (запуск), тобто запускається процес перехоплення даних. Файл із збереженою інформацією копіюється лише після команди Stop, тобто припинення дій із захоплення.
Перевагою Spynet є можливість декодування веб-сторінок, які відвідував користувач. Також програму можна завантажити безкоштовно, хоча і досить важко знайти. До недоліків можна віднести мінімальний набір можливостей у Windows. Працює у Windows XP, Vista. 
BUTTSniffer
BUTTSniffer аналізує безпосередньо мережеві пакети. Принцип роботи — це перехоплення даних, а також можливість їх автоматичного збереження на носії, що дуже зручно. Запуск цієї програми відбувається через командний рядок. Є також параметри фільтрів. Програма складається з BUTTSniff.exe та BUTTSniff. DLL.
До значних мінусів BUTTSniffer відносяться нестабільна робота, часті часті збої аж до зносу ОС (синього екрану смерті).
Крім цих програм-сніферів, існує безліч інших, не менш відомих: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.
Також існують онлайн-сніфери (online sniffer), які окрім отримання IP-адреси жертви змінюють IP-адресу безпосередньо зловмисника. Тобто. Зломщик спочатку реєструється під будь-якою IP-адресою, посилає на комп'ютер жертви картинку, яку необхідно завантажити або електронний лист, який потрібно просто відкрити. Після цього хакер отримує усі необхідні дані.
Втручання до даних чужого комп'ютера є кримінальним діянням.
Informatie (ENG):
SmartSniff is a network monitoring utility that allows you to capture TCP/IP packets that pass through your network adapter, and view the captured data as sequence of conversations between clients and servers. Ви можете переглядати TCP/IP розмови в режимі Ascii (для текстових даних протоколів, як HTTP, SMTP, POP3 і FTP.) або як hex dump. (for non-text base protocols, як DNS)
SmartSniff забезпечує 3 методи для отримання TCP/IP пакетів:
Raw Sockets (Тільки для Windows 2000/XP або greater): Ви можете скористатися TCP/IP пакетами на вашій мережі без налаштування зображень. Цей метод має деякі обмеження і проблеми.
WinPcap Capture Driver: Ви можете вибрати TCP/IP пакети на всіх операційних системах Windows. (Windows 98/ME/NT/2000/XP/2003/Vista) Для того, щоб він був використаний, ви можете додати і натиснути WinPcap Capture Driver від цього веб-сайту. (WinPcap is a free open-source capture driver.)
Цей метод є в основному preferred way до capture TCP/IP пакети з SmartSniff, і його трудяться, ніж Raw Sockets метод.
Microsoft Network Monitor Driver (Только для Windows 2000/XP/2003): Microsoft забезпечує безкоштовний візерунок за допомогою Windows 2000/XP/2003, що може бути використаний за допомогою SmartSniff, але цей driver не буде налаштовано заздалегідь, і ви повинні використовувати його як автоматично. it, by using one of the following options:
Option 1: Install it from the CD-ROM of Windows 2000/XP підтримує instructions в Microsoft Web site
Option 2 (XP Only) : Download and install Windows XP Service Pack 2 Support Tools. Один інструмент у цьому пакеті є netcap.exe. Якщо ви робите це інструмент у першому часі, Network Monitor Driver буде автоматично налаштований на вашій системі.
Microsoft Network Monitor Driver 3: Microsoft забезпечує нову версію Microsoft Network Monitor driver (3.x), яка також підтримується під Windows 7/Vista/2008. Starting from version 1.60, SmartSniff може використовувати цей driver до capture the network traffic.
Нова версія Microsoft Network Monitor (3.x) є доступною для download from Microsoft Web site.
System Requirements
SmartSniff може надіслати TCP/IP пакети на будь-яку версію операційної системи Windows (Windows 98/ME/NT/2000/XP/2003/2008/Vista/7/8) як довгий як WinPcap capture driver is installed and works properly with your network adapter.
Ви можете використовувати SmartSniff з шаблоном driver of Microsoft Network Monitor, якщо він налаштований на вашій системі.
Під Windows 2000/XP (або greater), SmartSniff також дозволяє вам отримати TCP/IP пакети без введення будь-якого шаблону driver, використовуючи 'Raw Sockets' метод. However, this capture method has some limitations and problems:
* Outgoing UDP і ICMP пакети не captured.
* На Windows XP SP1 outgoing packets є не надіслано at all – Відповідь на Microsoft's bug that appeared in SP1 update… Це було fixed on SP2 update, але під Vista, Microsoft returned back the outgoing packets bug of XP/SP1.
* На Windows Vista/7/8: Be aware that Raw Sockets method doesn’t work properly on all systems. It's not a bug в SmartSniff, але в API of Windows operating system. Якщо ви тільки бачите трафіку, намагайтеся перейти до Windows Firewall, або придбати smsniff.exe до дозволених програм List з Windows Firewall.
Перед вами непоганий сніффер (аналізатор мережного трафіку, з його допомогою можна перехоплювати інформацію), який дозволить вам у наочному відео отримувати досить повну інформацію про всі пакети, що проходять за вибраним вами протоколом, у повній новині можна без труднощів скачати IP Sniffer. Розробники постаралися і зробили зі звичайного сніфера більш потужну програму, тому що тепер можливо фільтрувати дані, що обробляються, і вести повне декодування всього вмісту пакетів.
IP Sniffer має ряд додаткових утиліт, серед яких досить непоганий моніторинг трафіку, можна переглядати в діаграмах IP адреси, які найчастіше використовуються, теж саме можна сказати і про протоколи. При бажанні ви зможете працювати з протоколом визначення адреси або більш відомим як ARM - вести його перегляд, видалення різних записів, надсилати відповіді. Є функція, що допомагає отримувати Netbios ім'я для заданої IP адреси. Хотілося відзначити в IP Sniffer інструмент Netstat - він відобразить різноманітні мережеві підключення і у вас буде можливість примусово завершувати обрані вами підключення, що досить зручно.
Якщо вам потрібно отримати повну інформацію по мережному адаптеру, то програма допоможе і тут. Крім іншого, є підтримка Spoofing різного роду протоколів, у тому числі і ARP, що означає підтримку перехоплення трафіку між різними хостами. IP Sniffer вміє здійснювати пошук DHCP серверів, вбудована служба з видачі інформації за потрібними вам IP адресами, можна вести перетворення IP в Hostname і відповідно навпаки, звичайно пінгувати хости та мережі теж можливо.
IP Sniffer не потребує встановлення, може запускатися з носіїв, не має Російської підтримки, і має простий інтерфейс без підтримки зміни сників. Загалом ось така перед вами технологія, думаю за певних цілей буде досить корисна. Не забуваємо залишати своїми думками щодо цієї програми, якщо хтось знайде їй застосування ділимося враженнями, і не забуваємо, що вона повністю безкоштовна.
Назва випуску: IP.Sniffer.1.99.3.6
Розробник:
Ліцензія: FreeWare
Мова: English
Розмір: 7.16 MB
ОС: Windows
завантажити:
- 7.16 MB