Sniffer je drugo ime za analizator prometa - da li je to program ili nešto drugo? hardverski uređaj, koji presreće i zatim analizira mrežni promet. Trenutno ovi programi imaju potpuno zakonsko opravdanje, stoga se široko koriste na internetu, ali se mogu koristiti i na dobro i na štetu.
Povijest njihovog nastanka seže do 90-ih godina, kada su hakeri koji su koristili takav softver lako mogli uhvatiti korisničko ime i lozinku, koji su u to vrijeme bili vrlo slabo šifrirani.
Reč njuškalo dolazi iz engleskog. to sniff - to sniff, princip rada je da ovaj program registre i analize programe koji su instalirani na mašinama koje prenose informativni paketi. Da bi operacija čitanja informacija bila efikasna, mora se nalaziti blizu glavnog računara.
Programeri koriste ovu aplikaciju za analizu saobraćaja, hakeri na mreži ostvaruju druge ciljeve; oni prate lozinke ili druge informacije koje su im potrebne.
Vrste analizatora saobraćaja
Snifferi se razlikuju po tipu; mogu biti online apleti ili aplikacije instalirane direktno na računar, koje se pak dijele na hardverske i softversko-hardverske. 
Najčešće se koriste da presretne lozinke, u ovom slučaju aplikacija dobija pristup kodovima šifrovanih informacija. Ovo može donijeti ogromne neugodnosti korisniku, jer su česti slučajevi kada je nekoliko programa ili stranica postavljeno istim lozinkama, što u konačnici dovodi do gubitka pristupa potrebnim resursima.
Postoji vrsta njuškanja koja se koristi za presretanje snimka ram memorija, jer je teško stalno čitati informacije bez korištenja snage procesora. Detect Spy moguće praćenjem maksimalnog opterećenja PC-ja tokom rada.
Druga vrsta programa radi s velikim kanalom za prijenos podataka, a štetočina može generirati do 10 megabajta protokola svaki dan.
Kako radi
Analizatori rade samo sa TCP/IP protokolima; takvi programi trebaju žičana veza, na primjer, ruteri koji distribuiraju Internet. Prijenos podataka vrši se pomoću zasebnih paketa, koji, kada se postigne konačni cilj, ponovo postaju jedinstvena cjelina. Oni su također sposobni presresti pakete u bilo kojoj fazi prijenosa i prijema vrijedne informacije u obliku nezaštićenih lozinki. U svakom slučaju, uz pomoć programa za dešifriranje moguće je dobiti ključ čak i do zaštićene lozinke.
Najlakši način za korištenje WiFi njuškala je u mrežama sa slabom sigurnošću - u kafićima, na javnim mestima i tako dalje.
Provajderi koji koriste ove programe mogu track neovlašćeni pristup na adrese eksternog sistema.
Kako se zaštititi od njuškala
Da biste shvatili da je neko prodro u lokalnu mrežu, prije svega treba obratiti pažnju brzina preuzimanja paketa, ako je znatno niži od navedenog, ovo bi vas trebalo upozoriti. Možete pratiti performanse vašeg računara koristeći Task Manager. Može biti korišteno specijalnih uslužnih programa, ali se najčešće sukobljavaju sa windows firewall, pa je bolje da ga nakratko isključite.
Za administratori sistema provjeravanje i traženje analizatora saobraćaja u lokalna mreža- ovo je neophodan događaj. Da biste otkrili zlonamjerne aplikacije, možete koristiti dobro poznate mrežne antiviruse, kao što su Doctor Web ili Kaspersky Anti-Virus, koji vam omogućavaju da otkrijete štetočine i na udaljenim hostovima i direktno unutar lokalne mreže.
Osim toga posebne aplikacije, koji se jednostavno instaliraju na računar, mogu se koristiti više složene lozinke i kriptografski sistemi. Kriptografski sistemi rade direktno sa informacijama, šifrirajući ih pomoću elektronskog potpisa.
Pregled aplikacija i glavne karakteristike
CommView
CommView dekodira pakete prenesenih informacija i prikazuje statistiku korištenih protokola u obliku dijagrama. Sniffer saobraćaja vam omogućava da analizirate IP pakete i one koji su neophodni. Sniffer za Windows rad sa poznatim protokolima
: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, itd. CommView radi sa Ethernet modemi, wi-fi i dr. Paketi se hvataju putem uspostavljena veza, koristeći karticu " CurrentIP- veze", gdje možete kreirati pseudonime adresa. 
kartica " Paketi» prikazuje informacije o njima i mogu se kopirati u međuspremnik. 
« LOG-fajlovi» vam omogućava da vidite pakete u NFC formatu.
kartica " Pravila" Ovdje možete postaviti uslove za presretanje paketa. Odjeljci ove kartice: IP adrese, MAC adrese, Portovi, Procesi, Formule i Individualni parametri.
« Upozorenje": omogućava podešavanje obavijesti na lokalnoj mreži, djeluje pomoću gumba "Dodaj". Ovdje možete postaviti uslove i vrste događaja:
- "Paketi u sekundi" - kada je nivo opterećenja mreže premašen.
- “Bytes per second” - kada je frekvencija prijenosa podataka prekoračena.
- “Nepoznata adresa”, odnosno otkrivanje neovlaštenih veza.
kartica " Pogled»—ovdje je prikazana statistika prometa.
CommView je kompatibilan sa Windows 98, 2000, XP, 2003. Za korištenje aplikacije potreban je Ethernet adapter.
Prednosti: korisničko sučelje na ruskom, podržava uobičajene tipove mrežni adapteri, statistika je vizualizirana. Jedini nedostatak je visoka cijena. 
Spynet
Spynet obavlja funkcije dekodiranja paketa i njihovog presretanja. Uz njegovu pomoć možete ponovo kreirati stranice koje je korisnik posjetio. Sastoji se od 2 programa CaptureNet i PipeNet. Pogodan je za korištenje na lokalnoj mreži. CaptureNet skenira pakete podataka, drugi program prati proces.
Interfejs je prilično jednostavan:
- Dugme Modify Filter– postavljanje filtera.
- Dugme Layer 2,3 – instalira Flame – IP protokole; Sloj 3 – TCP.
- Dugme Uzorak Matching traži pakete sa navedenim parametrima.
- Dugme IP— Adrese omogućava vam da skenirate potrebne IP adrese koje prenose informacije od interesa. (Opcije 1-2, 2-1, 2=1). IN poslednji slučaj sav promet.
- Dugme Luke, odnosno izbor portova.
Za presretanje podataka morate pokrenuti program Capture Start, tj. počinje proces presretanja podataka. Datoteka sa sačuvanim informacijama se kopira tek nakon naredbe Stop, odnosno prekida akcija hvatanja.
Prednost Spyneta je mogućnost dekodiranja web stranice koje je korisnik posjetio. Program se također može besplatno preuzeti, iako ga je prilično teško pronaći. Nedostaci uključuju mali skup funkcija u Windows-u. Radi u Windows XP, Vista. 
BUTTSniffer
BUTTSniffer direktno analizira mrežne pakete. Princip rada je presretanje prenetih podataka, kao i mogućnost da se automatsko spremanje na nosaču, što je vrlo zgodno. Ovaj program je pokrenut kroz komandna linija . Postoje i opcije filtera. Program se sastoji od BUTTSniff.exe i BUTTSniff. dll.
Značajni nedostaci BUTTSniffera uključuju nestabilan rad, česti su kvarovi sve do rušenja OS ( plavi ekran smrti).
Pored ovih sniffer programa, postoji mnogo drugih jednako poznatih: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.
Postoje i online njuškari koji, osim što dobijaju IP adresu žrtve, direktno mijenjaju IP adresu napadača. One. Haker se prvo registruje pod IP adresom, pošalje sliku na računar žrtve koju treba preuzeti ili email, koju samo trebate otvoriti. Nakon toga, haker prima sve potrebne podatke.
Vrijedi podsjetiti da je ometanje podataka na tuđem računaru krivično djelo.
Kada redovni korisnikčuje izraz „njuškalo“, odmah se zainteresuje šta je to i zašto je potrebno.
Pokušaćemo sve da objasnimo jednostavnim jezikom.
Međutim, ovaj članak će biti namijenjen ne samo početnicima, već i korisnicima.
Definicija
Njuškalo je analizator saobraćaja. Sa druge strane, promet su sve informacije koje prolaze kroz kompjuterske mreže.
Ovaj analizator gleda koje informacije se prenose. Da biste to učinili, mora se presresti. Zapravo, ovo je nezakonita stvar, jer na taj način ljudi često dobijaju pristup tuđim podacima.
Ovo se može uporediti sa pljačkom voza - klasičnom zapletom većine vesterna.
Prebacujete neke informacije drugom korisniku. Nosi ga "voz", odnosno mrežni kanal.
Idioti iz bande Bloody Joea presreću voz i potpuno ga opljačkaju. U našem slučaju informacija ide dalje, odnosno napadači ih ne kradu u doslovnom smislu riječi.
Ali recimo da su ove informacije lozinke, lične beleške, fotografije i sl.
Napadači mogu sve to jednostavno prepisati i fotografirati. Na taj način će imati pristup osjetljivim podacima koje biste željeli sakriti.
Da, imaćete sve ove informacije, doći će do vas.
Ali znaćete da svi znaju istu stvar i da su u potpunosti stranci. Ali u 21. veku informacije su najcenjenije!
U našem slučaju se koristi upravo ovaj princip. Određeni ljudi zaustaviti saobraćaj, pročitati podatke iz njega i poslati ih dalje.
Istina, u slučaju njuškala nije sve uvijek tako strašno. Koriste se ne samo za dobivanje neovlaštenog pristupa podacima, već i za analizu samog prometa. Ovo je važan dio rada sistemskih administratora i jednostavno administratora raznih resursa. Vrijedi detaljnije razgovarati o aplikaciji. Ali prije toga ćemo se dotaknuti kako ti isti njuškari rade.
Princip rada
U praksi, njuškalo može biti prenosivi uređaji, koji se doslovno postavljaju na kabl i čitaju podatke sa njega, kao i programe.
U nekim slučajevima, to je jednostavno skup instrukcija, odnosno kodova koji se moraju unijeti u određenom nizu iu određenom programskom okruženju.
Detaljnije, presretanje saobraćaja takvim uređajima može pročitati jedan od sledećim metodama:
1 Ugradnjom čvorišta umjesto prekidača. U principu, slušanje mrežnog interfejsa može se obaviti i na druge načine, ali svi su neefikasni.
2 Povezivanjem doslovnog sniffera na mjesto gdje se kanal prekida. To je upravo ono o čemu se gore govorilo - i stoji mali uređaj, koji čita sve što se kreće duž kanala.
3 Postavljanje saobraćajne grane. Ova viljuška se usmjerava na neki drugi uređaj, eventualno dešifruje i šalje korisniku.
4 Napad čiji je cilj potpuno preusmjeriti promet na njuškalo. Naravno, nakon što informacija stigne do uređaja za čitanje, ona se ponovo šalje krajnjem korisniku kome je prvobitno bila namijenjena. V čista forma!
5 Analizom elektromagnetno zračenje , koji nastaju zbog kretanja saobraćaja. Ovo je najsloženija i rijetko korištena metoda.
Evo približni dijagram rad druge metode.
Istina, ovdje je prikazano da je čitač jednostavno spojen na kabel.
U stvari, učiniti to na ovaj način je gotovo nemoguće.
Činjenica je da krajnji korisnik i dalje će primijetiti da postoji prekid kanala na nekom mjestu.
Sam princip rada običnog sniffera zasniva se na činjenici da se unutar jednog segmenta šalju na sve povezane mašine. Prilično glupa, ali za sada bez alternativne metode! A između segmenata, podaci se prenose pomoću prekidača. Tu se pojavljuje mogućnost presretanja informacija pomoću jedne od gore navedenih metoda.
Zapravo, to je ono što se zove sajber napadi i hakovanje!
Inače, ako pravilno instalirate ove iste prekidače, segment možete u potpunosti zaštititi od svih vrsta cyber napada.
Postoje i druge metode zaštite, o kojima ćemo govoriti na samom kraju.
Aplikacija
Naravno, prije svega, ovaj koncept ima gore opisanu aplikaciju, odnosno hakerske napade i nezakonito pribavljanje korisničkih podataka.
Ali osim ovoga, njuškari se koriste i u drugim oblastima, posebno u radu sistem administratora.
Konkretno, takvi uređaji ili programi pomažu u obavljanju sljedećih zadataka:
Kao što vidite, uređaji ili programi koje razmatramo mogu uvelike olakšati rad sistem administratorima i drugim ljudima koji koriste mreže. I to smo svi mi.
Sada pređimo na najzanimljiviji dio - pregled programa za njuškanje.
Gore smo shvatili da se mogu napraviti u obliku fizičkih uređaja, ali se u većini slučajeva koriste posebni.
Hajde da ih proučimo.
Sniffer programi
Evo liste najpopularnijih takvih programa:
CommView. Program je plaćen, kao i svi ostali na našoj listi. Jedna minimalna licenca košta 300 dolara. Ali softver ima bogatu funkcionalnost. Prva stvar koju treba napomenuti je mogućnost samoinstalacija pravila Na primjer, možete biti sigurni da su (ovi protokoli) potpuno zanemareni. Također je vrijedno napomenuti da program omogućava pregled detalja i dnevnika svih poslatih paketa. Postoji obična verzija i Wi-Fi verzija.
SpyNet. Ovo je, u stvari, trojanac od kojeg smo svi tako umorni. Ali može se koristiti i u plemenite svrhe, o čemu smo govorili gore. Program presreće i to je u saobraćaju. Postoje mnoge neobične karakteristike. Na primjer, možete ponovo kreirati stranice na Internetu koje je “žrtva” posjetila. Važno je napomenuti da je ovaj softver besplatan, ali ga je prilično teško pronaći.
BUTTSniffer. Ovo je njuškalo u svom najčistijem obliku, koji pomaže u analizi mrežnih paketa umjesto da presretne tuđe lozinke i historiju pretraživača. By najmanje, tako je mislio njen autor. Zapravo, njegova kreacija se koristi za znate za šta. Ovo je normalno batch program, koji radi preko komandne linije. Za početak, dvije datoteke se preuzimaju i pokreću. “Uhvaćeni” paketi se čuvaju na vašem hard disku, što je veoma zgodno.
Postoji mnogo drugih programa za njuškanje. Na primjer, poznati su fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer i mnogi drugi. Odaberite bilo koji! Ali, pošteno rečeno, vrijedi napomenuti da je najbolji CommView.
Dakle, pogledali smo šta su njuškači, kako rade i kakvi su.
Pređimo sada sa mesta hakera ili sistem administratora na mesto običnog korisnika.
Svjesni smo da naši podaci mogu biti ukradeni. Šta se može učiniti da se to ne dogodi?
Njuškalo, ili analizator saobraćaja, (od engleskog do njuškati - njuškati) - analizator mrežnog saobraćaja, program ili firmver uređaj dizajniran za presretanje i naknadnu analizu ili samo analizu mrežni promet, namijenjen drugim čvorovima.
Njuškalo može analizirati samo ono što prolazi kroz njega mrežna kartica. U okviru jednog segmenta Ethernet mreže svi paketi se šalju na sve mašine, zbog toga je moguće presresti informacije drugih ljudi. Upotreba prekidača (switch, switch-hub) i njihova pravilna konfiguracija je već zaštita od prisluškivanja. Informacije se prenose između segmenata preko prekidača. Komutacija paketa je oblik prijenosa u kojem se podaci dijele na pojedinačni paketi, može se poslati od polazišta do odredišta različitim rutama. Dakle, ako neko u drugom segmentu pošalje bilo kakve pakete unutar njega, onda komutator neće poslati ove podatke vašem segmentu.
Presretanje saobraćaja može se vršiti:
...
0 0
U ovom članku ću objasniti šta je njuškalo, kako ga koristiti, provjeriti ima li lažnih i šta je ID PASS.
Šta nam je potrebno za ovo:
-sniffer socketsniff ili smsniff
-2 ruke
-1 glava
-9 završenih razreda:D
Neću vam objašnjavati šta je njuškalo, mislim da su mnogi čuli za njega.
Detaljnije možete pročitati ovdje
http://ru.wikipedia.org/wiki/%D0%90%D0% ... 0%BA%D0%B0
Prvo preuzmite njuškalo
http://www.nirsoft.net/utils/socketsniff.zip
Zgodno je u tome što možete njuškati samo jednu aplikaciju koju odaberete i ostali pokrenuti programi neće nas ometati.
Pa hajde da počnemo, prvo da provjerimo program za ukupni virus http://www.virustotal.com/ (da li su nam ubacili trojanac umjesto lažnjaka)
Hajde da provjerimo treba li ga pokrenuti ili ne, ne zaboravite da AntiVirus može opsovati pakera.
Zatim pokrenite preuzeti program (na primjer, uzet ću lažnjak sa slanjem kodova Asyi)
Pokrećemo socketsniff i tražimo naš program u procesima...
0 0
Sniffers su programi koji presreću
sav mrežni promet. Sniffers su korisni za dijagnostiku mreže (za administratore) i
da presretne lozinke (jasno je za koga :)). Na primjer, ako ste dobili pristup
jedan mrežna mašina i instalirao njuškalo tamo,
onda uskoro sve lozinke iz
njihove podmreže će biti vaše. Sniffers set
mrežna kartica u slušanju
mode (PROMISC).To jest, oni primaju sve pakete. Lokalno možete presresti
svi poslani paketi sa svih mašina (ako niste odvojeni nikakvim čvorištima),
Dakle
Kako se tamo praktikuje emitovanje?
Njuškači mogu presresti sve
pakete (što je veoma nezgodno, log fajl se užasno brzo popunjava,
ali za detaljniju analizu mreže je savršeno)
ili samo prvi bajtovi iz svih vrsta
ftp, telnet, pop3, itd. (ovo je zabavni dio, obično u prvih 100 bajtova
sadrži korisničko ime i lozinku :)). Njuškalo sada
razveden... Ima mnogo njuškala
i na Unix-u i na Windows-u...
0 0
šta_je_njuškalo_
Uvod
Nadam se da će ovaj članak biti dobar uvod u njuškanje za hakere početnike, kao i za one koji su se s njima bavili.
Šta je Njuškalo?
Sniffer je program koji je instaliran pod NIC-om (Network Interface Card), inače se naziva Ethernet kartica (jedan od potrebnih dijelova hardvera za fizička veza računara na lokalnoj mreži). Kao što znate, informacije se preko mreže prenose u paketima - sa vašeg računara na udaljeni, tako da je njuškalo instalirano na srednjem računaru kroz koje će paketi prolaziti sposobno da ih uhvati pre nego što stignu do cilja. Različiti njuškari različito provode proces hvatanja informacija, više o tome u nastavku.
(vaš računar) -> (susedni računar) -> (računar sa njuškalom) -> (udaljeni računar)
Standardni paketće putovati sa "vašeg računara" kroz mrežu. Proći će kroz svaki...
0 0
Sniffers su programi koji presreću sav mrežni promet. Njuškači su korisni za dijagnostiku mreže (za administratore) i za presretanje lozinki (jasno je za koga). Na primjer, ako ste dobili pristup jednoj mrežnoj mašini i tamo instalirali njuškalo, onda će uskoro sve lozinke za njihovu podmrežu biti vaše. Snifferi stavljaju mrežnu karticu u režim slušanja (PROMISC), odnosno primaju sve pakete. Na lokalnoj mreži možete presresti sve poslate pakete sa svih mašina (ako niste odvojeni nikakvim čvorištima), pošto se tamo praktikuje emitovanje. Snifferi mogu presresti sve pakete (što je vrlo nezgodno, log fajl se užasno brzo popunjava, ali za detaljniju analizu mreže je savršen) ili samo prve bajtove sa bilo kojeg ftp-a, telneta, pop3 itd. Sada ima puno njuškala... Ima dosta njuškača i za Unix i za Windows (ima čak i za DOS). Njuškači mogu podržati samo određene operativni sistem(na primjer, linux_sniffer.c, koji podržava Linux), ili...
0 0
Wireshark: kako koristiti?
Zdravo, prijatelji! U ovom članku pokušat ću objasniti i govoriti o najvažnijim stvarima koje trebate znati kada koristite Wireshark na Linuxu, te prikazati analizu tri vrste mrežni promet. Ovaj priručnik također primjenjiv za pokretanje Wiresharka na Windows-u.
Ako ste novi u sigurnost informacija, a dobro razumijete šta je njuškalo (analizator saobraćaja), savjetujem vam da pročitate članak Što je sniffer, pa tek onda pročitajte ovaj članak o tome kako koristiti Wireshark.
Wireshark je veoma popularan i izuzetno sposoban analizator mrežni protokol, koji je razvio Gerald Combs, Wireshark se pojavio u junu 2006. godine, kada je Combs preimenovan u mrežni alat Ethereal, koji je također kreirao jer je promijenio posao i više nije mogao koristiti staro ime. Danas većina ljudi koristi Wireshark, a Ethereal je prošlost.
Wireshark: najbolji njuškalo
Možda se pitate šta Wireshark...
0 0
Sniffer ili analizator saobraćaja je poseban program, koji može presresti i/ili analizirati mrežni promet namijenjen drugim čvorovima. Kao što znate, informacije se prenose preko mreže u paketima - sa računara korisnika na udaljenu mašinu, tako da ako instalirate njuškalo na međuračunalo, on će uhvatiti prolazne pakete pre nego što stignu do cilja.
Rad jednog njuškala može se značajno razlikovati od rada drugog. Standardni paket počinje svoje kretanje sa računara korisnika, a zatim kroz svaki računar u mreži, prolazeći kroz „susedni računar“, „računar opremljen njuškalom“ i završava sa „ udaljeni računar». Običan auto ne obraća pažnju na paket koji nije predviđen za njegovu IP adresu, a mašina sa njuškalom ignoriše ova pravila i presreće svaki paket koji završi u njegovom „polju aktivnosti“. Njuškalo je isto što i analizator mreže, ali sigurnosne kompanije i federalna vlada...
0 0
Wireshark će postati odličan asistent za one korisnike koji trebaju izvršiti detaljnu analizu mrežni paketi, - saobraćaj računarsku mrežu. Sniffer lako komunicira sa uobičajenim protokolima kao što su netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 i mnogi drugi. Tokom analize, omogućava vam da odvojite mrežni paket na odgovarajuće komponente, prema određenom protokolu, i prikažete čitljive informacije u numeričkom obliku na ekranu.
podržava veliki broj različitih formata prenesenih i primljenih informacija i može otvoriti datoteke koje koriste drugi uslužni programi. Princip rada je da mrežna kartica prelazi u radiodifuzni režim i počinje da presreće mrežne pakete koji se nalaze u njenoj vidljivoj zoni. Može raditi kao program za presretanje wifi paketa.
Kako koristiti wireshark
Program proučava sadržaj informacijskih paketa koji prolaze kroz mrežu. Da biste pokrenuli i koristili rezultate rada njuškala, nije vam potrebno nikakvo specifično znanje, samo ga trebate otvoriti u izborniku "Start" ili kliknuti na ikonu na radnoj površini (pokretanje se ne razlikuje od bilo kojeg drugog Windows programi). Posebna karakteristika Uslužni program mu omogućava da uhvati pakete informacija, pažljivo dešifruje njihov sadržaj i vrati ih korisniku na analizu.Nakon pokretanja wireshark-a, vidjet ćete glavni meni programa na ekranu, koji se nalazi na vrhu prozora. Koristi se za kontrolu uslužnog programa. Ako trebate preuzeti datoteke koje pohranjuju podatke o uhvaćenim paketima prethodne sesije, a također sačuvajte podatke o drugim paketima miniranim u novoj sesiji, tada će vam za to trebati kartica "Datoteka".
Da bi pokrenuo funkciju hvatanja mrežnih paketa, korisnik mora kliknuti na ikonu "Capture", a zatim pronaći poseban odjeljak izbornika pod nazivom "Interfaces" s kojim možete otvoriti poseban prozor"Wireshark Capture Interfaces", gdje treba prikazati sva dostupna mrežna sučelja preko kojih će se vršiti snimanje potrebnih paketa podaci. U slučaju kada je program (njuškalo) u stanju da otkrije samo jedan odgovarajući interfejs, prikazaće ceo važna informacija o njemu.
Rezultati uslužnog programa su direktni dokaz da, čak i ako korisnici ne rade samostalno (in ovog trenutka vrijeme) prijenosa bilo kojih podataka, razmjena informacija ne prestaje na mreži. Na kraju krajeva, princip rada lokalne mreže je da se, kako bi se održala u radnom režimu, svaki njen element (računalo, prekidač i drugi uređaji) kontinuirano razmjenjuje jedan s drugim. službene informacije, dakle, takvi mrežni alati su dizajnirani da presretnu takve pakete.
Postoji i verzija za Linux sisteme.
Treba napomenuti da njuškalo je izuzetno korisno za mrežni administratori i usluge kompjuterska sigurnost, jer vam uslužni program omogućava da identifikujete potencijalno nezaštićene mrežne čvorove - vjerovatno područja koja mogu napasti hakeri.
Osim svoje direktne namjene, Wireshark se može koristiti i kao alat za praćenje i dalju analizu mrežnog saobraćaja u cilju organizovanja napada na nezaštićena područja mreže, jer se presretnuti saobraćaj može koristiti za postizanje različitih ciljeva.
Šta je Intercepter-NG?
Razmotrimo suštinu funkcionisanja ARP-a jednostavan primjer. Računar A (IP adresa 10.0.0.1) i računar B (IP adresa 10.22.22.2) povezani su Ethernet mrežom. Računar A želi da pošalje paket podataka računaru B; zna IP adresu računara B. Međutim, Ethernet mreža na koju su povezani ne radi s IP adresama. Stoga, da bi prenosio preko Etherneta, računar A treba da zna adresu računara B na Ethernet mreži (MAC adresa u terminima za Ethernet). Za ovaj zadatak se koristi ARP protokol. Koristeći ovaj protokol, računar A šalje zahtjev za emitovanje upućen svim računarima u istom domenu emitiranja. Suština zahtjeva: „kompjuter sa IP adresom 10.22.22.2, dostavite svoju MAC adresu računaru sa MAC adresom (na primjer, a0:ea:d1:11:f1:01).“ Eternet mreža isporučuje ovaj zahtev svim uređajima na istom Ethernet segmentu, uključujući računar B. Računar B odgovara računaru A na zahtev i prijavljuje njegovu MAC adresu (npr. 00:ea:d1:11:f1:11) Sada, nakon primio MAC adresu računara B, računar A može na njega prenijeti bilo koje podatke preko Ethernet mreže.
Kako bi se izbjegla potreba za korištenjem ARP protokola prije svakog slanja podataka, primljene MAC adrese i njihove odgovarajuće IP adrese se zapisuju u tablicu neko vrijeme. Ako trebate slati podatke na istu IP adresu, onda nema potrebe da svaki put prozivate uređaje u potrazi za željenim MAC-om.
Kao što smo upravo vidjeli, ARP uključuje zahtjev i odgovor. MAC adresa iz odgovora se upisuje u MAC/IP tablicu. Kada se primi odgovor, ni na koji način se ne provjerava autentičnost. Štaviše, ne provjerava ni da li je zahtjev postavljen. One. možete odmah poslati ARP odgovor ciljnim uređajima (čak i bez zahtjeva), s lažnim podacima, a ti podaci će završiti u MAC/IP tablici i koristit će se za prijenos podataka. Ovo je suština ARP-spoofing napada, koji se ponekad naziva ARP urezivanje, trovanje ARP keša.
Opis ARP-spoofing napada
Dva računara (čvorovi) M i N na Ethernet lokalnoj mreži razmjenjuju poruke. Napadač X, koji se nalazi na istoj mreži, želi presresti poruke između ovih čvorova. Prije korištenja ARP-spoofing napada na mrežni interfejsčvor M ARP tabela sadrži IP i MAC adresačvor N. Takođe na mrežnom interfejsu čvora N, ARP tabela sadrži IP i MAC čvora M.
Tokom ARP-spoofing napada, čvor X (napadač) šalje dva ARP odgovora (bez zahtjeva) - čvoru M i čvoru N. ARP odgovor čvoru M sadrži IP adresu N i MAC adresu X. ARP odgovor na čvor N sadrži IP adresu M i MAC adresu X.
Pošto računari M i N podržavaju spontani ARP, nakon što dobiju ARP odgovor, oni menjaju svoje ARP tabele, i sada ARP tabela M sadrži MAC adresu X vezanu za IP adresu N, a ARP tabela N sadrži MAC adresu X, vezan za IP adresu M.
Dakle, napad ARP-spoofing je završen i sada svi paketi (okviri) između M i N prolaze kroz X. Na primjer, ako M želi poslati paket na računar N, onda M traži u svojoj ARP tablici, pronalazi unos sa IP adresom domaćina N, odatle bira MAC adresu (a već postoji MAC adresa čvora X) i prenosi paket. Paket stiže na interfejs X, analizira ga, a zatim prosleđuje čvoru N.
