Sniffer. Sniffer dell'analizzatore del traffico di rete

Sniffer è anche chiamato analizzatore di traffico: è un programma o qualcos'altro? dispositivo hardware che intercetta e poi analizza il traffico di rete. Attualmente, questi programmi hanno una giustificazione completamente legale, quindi sono ampiamente utilizzati in rete, ma possono essere utilizzati sia per il bene che per il danno.

La storia della loro origine risale agli anni '90, quando gli hacker potevano utilizzare tale software per acquisire facilmente un nome utente e una password, che a quel tempo erano crittografati in modo molto debole.

La parola sniffer deriva dall'inglese. annusare - annusare, il principio di funzionamento è che questo programma registri e analisi programmi installati su macchine trasmittenti pacchetti informativi... Deve essere vicino al PC host affinché l'operazione di lettura sia efficace.

I programmatori usano questa applicazione per l'analisi del traffico, altri obiettivi vengono perseguiti dagli hacker sulla rete, si limitano a scovare password o altre informazioni di cui hanno bisogno.

Tipi di analizzatori di traffico

Gli sniffer si differenziano per tipologia, possono essere applet online o applicazioni installate direttamente su un computer, che a loro volta si dividono in hardware e software e hardware.

Il più delle volte sono usati per intercettare le password, mentre l'applicazione ottiene l'accesso ai codici delle informazioni crittografate. Ciò può comportare enormi disagi per l'utente, poiché spesso si verificano casi in cui vengono impostate le stesse password per più programmi o siti, il che alla fine porta alla perdita dell'accesso alle risorse necessarie.

C'è un tipo di sniffing che viene utilizzato per catturare un'istantanea memoria ad accesso casuale perché è difficile leggere continuamente le informazioni senza utilizzare la potenza del processore. Rileva spiaè possibile tenendo traccia del carico massimo di file del PC durante il funzionamento.

Un altro tipo di programma funziona con un canale di trasmissione dati di grandi dimensioni, mentre il parassita può generare protocolli fino a 10 megabyte ogni giorno.

Come funziona

Gli analizzatori funzionano solo con i protocolli TCP/IP, tali programmi necessitano connessione via cavo come i router che condividono Internet. La trasmissione dei dati avviene tramite singoli pacchetti, che tornano ad essere un tutt'uno al raggiungimento dell'obiettivo finale. Sono anche in grado di intercettare pacchetti in qualsiasi fase della trasmissione e ricevere con esso informazione preziosa sotto forma di password non sicure. In ogni caso, con l'ausilio di programmi di decodifica, è possibile ottenere una chiave anche per una password protetta.

Il modo più semplice per utilizzare gli sniffer WiFi in reti con protezione debole: in un bar, nei luoghi pubblici eccetera.

I provider che utilizzano questi programmi possono rintracciare accesso non autorizzato a indirizzi di sistema esterni.

Come proteggersi dagli sniffer

Per capire che qualcuno è penetrato nella rete locale, prima di tutto, dovresti prestare attenzione a velocità di download del pacchetto se è significativamente inferiore a quello dichiarato, questo dovrebbe essere allarmante. Le prestazioni del computer possono essere monitorate utilizzando il Task Manager. Può essere utilizzato utilità speciali, ma molto spesso sono in conflitto con firewall di Windows, quindi è meglio spegnerlo per un po'.

Per amministratori di sistema controllo e ricerca di analizzatori di traffico in rete localeÈ un evento necessario. Per rilevare le applicazioni dannose, è possibile utilizzare noti antivirus di rete, come Doctor Web o Kaspersky Anti-Virus, in grado di rilevare i parassiti sia su host remoti che direttamente all'interno della rete locale.

Inoltre applicazioni speciali che si installa semplicemente sul tuo computer, puoi usare Di più password complesse e sistemi crittografici. Sistemi crittografici lavorare direttamente con le informazioni, crittografandole mediante una firma elettronica.

Panoramica dell'applicazione e caratteristiche principali

CommView

CommView decodifica i pacchetti di informazioni trasmesse, visualizza le statistiche dei protocolli utilizzati sotto forma di diagrammi. Lo sniffer di traffico consente di analizzare i pacchetti IP e quelli necessari. Sniffer per Windows lavora con protocolli conosciuti : HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, ecc. CommView funziona con Modem Ethernet, wi-fi e altri. La cattura dei pacchetti avviene tramite connessione stabilita, utilizzando la scheda " AttualeIP-connessioni", dove puoi creare alias di indirizzi.

Scheda " Pacchi»Riflette le informazioni su di loro, mentre possono essere copiate negli appunti.

« TRONCO D'ALBERO-File»Consente di visualizzare i pacchetti in formato NFC.

Scheda " Regole". Qui puoi impostare le condizioni per l'acquisizione dei pacchetti. Sezioni di questa scheda: indirizzi IP, indirizzi MAC, porte, processo, formule e parametri individuali.

« Avvertimento": Fornisce la configurazione delle notifiche nella rete locale, funziona con il pulsante" Aggiungi ". Qui puoi impostare condizioni, tipo di eventi:

• "Pacchetti al secondo" - quando viene superato il livello di carico di rete.
• "Byte al secondo" - quando viene superata la frequenza di trasmissione dei dati.
• "Indirizzo sconosciuto", ovvero rilevamento di connessioni non autorizzate.

Scheda " Visualizzazione"- qui vengono visualizzate le statistiche sul traffico.

CommView è compatibile con Windows 98, 2000, XP, 2003. L'applicazione richiede un adattatore Ethernet.

vantaggi: interfaccia user-friendly in russo, supporta i tipi comuni adattatori di rete, vengono visualizzate le statistiche. Gli svantaggi includono solo il prezzo elevato.

Spynet

Spynet esegue funzioni di decodifica e intercettazione dei pacchetti. Con il suo aiuto, puoi ricreare le pagine visitate dall'utente. Consiste di 2 programmi CaptureNet e PipeNet. È conveniente usarlo su una rete locale. CaptureNet esegue la scansione dei pacchetti di dati, un secondo programma monitora il processo.

L'interfaccia è abbastanza semplice:

• Pulsante Modificare Filtro- impostazione filtri.
• Pulsante Strato 2,3 - installa i protocolli Flame - IP; Livello 3 - TCP.
• Pulsante Modello corrispondenza cerca i pacchetti con i parametri specificati.
• Pulsante IP— indirizzi consente di scansionare gli indirizzi IP necessari, trasmettendo le informazioni di interesse. (Opzioni 1-2, 2-1, 2 = 1). V quest'ultimo caso tutto il traffico.
• Pulsante porti, cioè la scelta delle porte.

Per intercettare i dati, è necessario eseguire il programma Capture Start, ovvero viene avviato il processo di acquisizione dei dati. Il file con le informazioni salvate viene copiato solo dopo il comando Stop, ovvero la conclusione delle azioni di cattura.

Il vantaggio di Spynet è la capacità di decodificare pagine web che l'utente ha visitato. Il programma può essere scaricato anche gratuitamente, anche se è piuttosto difficile da trovare. Gli svantaggi includono un piccolo insieme di funzionalità in Windows. Funziona in Windows XP, Vista.

BUTTSniffer

BUTTSniffer analizza direttamente i pacchetti di rete. Il principio di funzionamento è l'intercettazione dei dati trasmessi, nonché la possibilità della loro salvataggio automatico sui media, il che è molto conveniente. Il lancio di questo programma si verifica attraverso riga di comando ... Ci sono anche opzioni di filtro. Il programma è composto da BUTTSniff.exe e BUTTSniff. dll.

Svantaggi significativi di BUTTSniffer includono lavoro instabile, non sono rari guasti frequenti fino alla demolizione del sistema operativo ( schermo blu di morte).

Oltre a questi programmi sniffer, ce ne sono molti altri, non meno famosi: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Esistono anche sniffer online che, oltre a ottenere l'indirizzo IP della vittima, modificano direttamente l'indirizzo IP dell'aggressore. Quelli. l'aggressore accede prima con un indirizzo IP, invia un'immagine al computer della vittima che deve essere scaricata o e-mail che devi solo aprire Successivamente, l'hacker riceve tutti i dati necessari.

Vale la pena ricordare che l'interferenza con i dati del computer di qualcun altro è un reato penale.

quando utente normale sente il termine "sniffer", inizia subito a interessarsi di cosa sia e perché è necessario.

Cercheremo di spiegare tutto linguaggio semplice.

Tuttavia, questo articolo sarà destinato non solo agli utenti inesperti, ma anche a.

Definizione

annusareÈ un analizzatore di traffico. A sua volta, il traffico è tutte le informazioni che passano attraverso le reti di computer.

Questo analizzatore controlla quali informazioni vengono trasmesse. Per fare ciò, è necessario intercettarlo. In realtà, questa è una cosa illegale, perché in questo modo spesso le persone ottengono l'accesso ai dati di altre persone.

Può essere paragonato a una rapina al treno, una trama classica della maggior parte dei western.

Trasferisci alcune informazioni a un altro utente. È guidata da un "treno", cioè un canale di rete.

Gli stronzi della banda di Bloody Joe intercettano il treno e lo derubano fino all'osso. Nel nostro caso, le informazioni vanno oltre, ovvero gli aggressori non le rubano nel vero senso della parola.

Ma, diciamo che queste informazioni sono password, note personali, foto e simili.

Gli aggressori possono semplicemente riscrivere e fotografare l'intera faccenda. In questo modo, avranno accesso ai dati sensibili che vorresti nascondere.

Sì, avrai tutte queste informazioni, verranno da te.

Ma saprai che tutti sanno lo stesso e perfettamente sconosciuti. Ma nel 21° secolo, sono le informazioni ad essere più apprezzate!

Nel nostro caso, questo è il principio utilizzato. Certe persone fermare il traffico, leggere i dati da esso e inviarlo ulteriormente.

Tuttavia, nel caso degli sniffer, le cose non sono sempre così spaventose. Sono utilizzati non solo per ottenere l'accesso non autorizzato ai dati, ma anche per analizzare il traffico stesso. Questa è una parte importante del lavoro degli amministratori di sistema e semplicemente degli amministratori di varie risorse. Vale la pena parlare dell'applicazione in modo più dettagliato. Ma prima, parleremo di come funzionano questi stessi sniffer.

Principio di funzionamento

In pratica, gli sniffer possono essere dispositivi portatili, che vengono letteralmente messi sul cavo e leggono i dati da esso, così come i programmi.

In alcuni casi si tratta solo di un insieme di istruzioni, cioè di codici che devono essere inseriti in una determinata sequenza e in uno specifico ambiente di programmazione.

Più in dettaglio, che l'intercettazione del traffico da parte di tali dispositivi può essere letto da uno dei seguenti modi:

1 Installando hub invece di switch. In linea di principio, l'ascolto di un'interfaccia di rete può essere eseguito in altri modi, ma tutti sono inefficaci.

2 Collegando uno sniffer letterale all'interruzione del canale. Questo è esattamente ciò che è stato discusso sopra - ed è messo piccolo dispositivo, che legge tutto ciò che si muove lungo il canale.

3 Installando un ramo dal traffico. Questo ramo è diretto a qualche altro dispositivo, magari decifrato e inviato all'utente.

4 Un attacco mirato a reindirizzare completamente il traffico a uno sniffer. Naturalmente, dopo che le informazioni sono entrate nel lettore, vengono nuovamente inviate all'utente finale, a cui erano originariamente destinate. v forma pura!

5 Attraverso l'analisi radiazioni elettromagnetiche che si verificano a causa del movimento del traffico. Questo è il metodo più difficile e usato raramente.

Qui diagramma approssimativo lavoro del secondo metodo.

È vero, qui viene mostrato che il lettore è semplicemente collegato al cavo.

In effetti, è quasi impossibile farlo in questo modo.

Il fatto è che utente finale noterà comunque che in qualche punto c'è un vuoto nel canale.

Il principio stesso di funzionamento di uno sniffer convenzionale si basa sul fatto che all'interno di un segmento vengono inviati a tutte le macchine collegate. Abbastanza stupido, ma finora nessun metodo alternativo! E tra i segmenti, i dati vengono trasmessi utilizzando gli interruttori. È qui che diventa possibile intercettare le informazioni utilizzando uno dei metodi di cui sopra.

In realtà, questo si chiama attacchi informatici e hacking!

A proposito, se installi correttamente questi stessi switch, puoi proteggere completamente il segmento da tutti i tipi di attacchi informatici.

Esistono altri metodi di protezione, di cui parleremo alla fine.

Applicazione

Ovviamente prima di tutto questo concetto ha l'applicazione discussa sopra, ovvero attacchi di hacker e acquisizione illegale di dati dell'utente.

Ma oltre a questo, gli sniffer vengono utilizzati in altre aree, in particolare, nel lavoro degli amministratori di sistema.

In particolare, tali dispositivi o i programmi aiutano a svolgere i seguenti compiti:

Come puoi vedere, i dispositivi o i programmi che stiamo considerando possono facilitare notevolmente il lavoro degli amministratori di sistema e di altre persone che utilizzano le reti. E questo siamo tutti noi.

Passiamo ora alla parte più interessante: una panoramica dei programmi sniffer.

Sopra, abbiamo capito che possono essere realizzati sotto forma di dispositivi fisici, ma nella maggior parte dei casi vengono utilizzati quelli speciali.

Studiamoli.

Programmi sniffer

Ecco un elenco dei programmi di questo tipo più popolari:

CommView... Il programma è a pagamento, come tutti gli altri sulla nostra lista. Una licenza minima costa $ 300. Ma il software ha le funzionalità più ricche. La prima cosa da notare è la possibilità autoinstallazione regole. Ad esempio, puoi fare in modo che (questi sono protocolli) vengano completamente ignorati. È anche interessante notare che il programma consente di visualizzare i dettagli e il registro di tutti i pacchetti inoltrati. Esiste una versione normale e una versione Wi-Fi.

SpyNet. Questo è, infatti, il Trojan di cui siamo tutti così stanchi. Ma può essere utilizzato anche per gli scopi nobili di cui abbiamo parlato sopra. Il programma intercetta e, che sono nel traffico. Ci sono molte caratteristiche insolite. Ad esempio, puoi ricreare le pagine su Internet che la "vittima" ha visitato. È interessante notare che questo software è gratuito, ma non è facile trovarlo.

BUTTSniffer. Questo è uno sniffer puro che aiuta ad analizzare i pacchetti di rete e non intercetta le password di altre persone e la cronologia del browser. Di almeno, così pensava l'autore. In effetti, la sua creazione è usata tu stesso capisci perché. Questo è il solito programma batch che funziona tramite la riga di comando. Per iniziare, vengono caricati ed eseguiti due file. I pacchetti acquisiti vengono salvati sul disco rigido, il che è molto conveniente.

Ci sono molti altri programmi sniffer là fuori. Ad esempio, sono noti fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer e molti altri. Scegline uno! Ma è giusto dire che CommView è il migliore.

Quindi, abbiamo risolto cosa sono gli sniffer, come funzionano e cosa sono.

Ora spostiamoci dal luogo di un hacker o amministratore di sistema al luogo di un normale utente.

Siamo ben consapevoli che i nostri dati possono essere rubati. Cosa fare per evitare che ciò accada?

Sniffer, o analizzatore di traffico, (dall'inglese to sniff - to sniff) è un analizzatore del traffico di rete, programma o dispositivo software e hardware progettato per l'intercettazione e la successiva analisi, o solo analisi traffico di rete destinato ad altri nodi.
Lo sniffer può solo analizzare ciò che passa attraverso di lui scheda di rete... All'interno di un segmento Reti Ethernet tutti i pacchetti vengono inviati a tutte le macchine, per questo è possibile intercettare le informazioni di altre persone. L'uso di interruttori (switch, switch-hub) e la loro configurazione competente è già una protezione contro le intercettazioni. Tra i segmenti, le informazioni vengono trasferite tramite interruttori. La commutazione di pacchetto è una forma di trasmissione in cui i dati, suddivisi in pacchetti individuali, possono essere inoltrati dalla sorgente alla destinazione tramite percorsi diversi. Quindi, se qualcuno in un altro segmento invia dei pacchetti al suo interno, lo switch non invierà questi dati al tuo segmento.
L'intercettazione del traffico può essere effettuata:
...

0 0

In questo articolo spiegherò cos'è uno sniffer, come usarlo, controllare i falsi, cos'è un ID PASS.
Di cosa abbiamo bisogno per questo:
-sniff socketsniff o smsniff
-2 mani
-1 testa
-9 Gradi completati: D

Non ti spiegherò cos'è uno sniffer, penso che molti lo abbiano sentito.
Puoi leggere in dettaglio qui
http://ru.wikipedia.org/wiki/%D0%90%D0% ... 0% BA% D0% B0
Per prima cosa, scarica lo sniffer
http://www.nirsoft.net/utils/socketsniff.zip
È conveniente in quanto puoi annusare solo un'applicazione che scegli e altri programmi in esecuzione non interferiranno con noi.
Bene, cominciamo, prima controlliamo il programma per il virus totale http://www.virustotal.com/ (non ci hanno fatto scivolare un trojan invece di un falso)
Per verificare se traiamo conclusioni per il lancio o meno, non dimenticare che AntiVirus può giurare sul packer.
Successivamente, avviamo il programma scaricato (ad esempio, prenderò un falso con l'invio di codici ad Asya)
Avviamo socketsniff, stiamo cercando il nostro programma nei processi che ...

0 0

Gli sniffer sono programmi che intercettano
tutto il traffico di rete. Gli sniffer sono utili per la diagnostica di rete (per gli amministratori) e
per intercettare le password (è chiaro per chi :)). Ad esempio, se hai accesso a
uno macchina in rete e installato uno sniffer lì,
poi presto tutte le password da
le loro sottoreti saranno tue. Gli sniffer mettono
scheda di rete in ascolto
modalità (PROMISC), ovvero ricevono tutti i pacchetti. In LAN, puoi intercettare
tutti i pacchetti in uscita da tutte le macchine (a meno che tu non sia separato da tutti i tipi di hub),
Così
come si pratica la trasmissione lì.
Gli sniffer possono intercettare tutto
pacchetti (che è molto scomodo, il file di registro trabocca molto rapidamente,
ma per un'analisi più dettagliata della rete è il massimo)
o solo i primi byte da qualsiasi
ftp, telnet, pop3, ecc. (questo è il più divertente, di solito intorno ai primi 100 byte
contiene nome utente e password :)). Sniffer ora
divorziato ... Ci sono un sacco di sniffer
sia sotto Unix che sotto Windows...

0 0

Cosa_è_annusato_

introduzione

Spero che questo articolo sia una buona narrazione sugli sniffer per gli hacker alle prime armi, così come per coloro che se ne sono occupati.

Cos'è Sniffer?

Sniffer (sniffer, eng) è un programma che viene installato sotto una NIC (Network Interface Card), altrimenti chiamata scheda Ethernet (uno dei componenti hardware necessari per connessione fisica computer in rete locale). Come sai, le informazioni vengono trasmesse sulla griglia in pacchetti - dalla tua macchina a quella remota, quindi uno sniffer installato su un computer intermedio attraverso il quale passeranno i pacchetti - è in grado di catturarli mentre non hanno ancora raggiunto il bersaglio. Diversi sniffer implementano il processo di acquisizione delle informazioni in modi diversi, beh, ne parleremo più avanti.

(il tuo computer) -> (computer vicino) -> (computer con sniffer) -> (computer remoto)
Pacchetto standard viaggia dal "tuo computer" attraverso la rete. Passerà attraverso ogni...

0 0

Gli sniffer sono programmi che intercettano tutto il traffico di rete. Gli sniffer sono utili per la diagnostica di rete (per gli amministratori) e per l'intercettazione delle password (è chiaro per chi). Ad esempio, se hai accesso a una macchina di rete e hai installato uno sniffer lì, presto tutte le password dalla loro sottorete saranno tue. Gli sniffer mettono la scheda di rete in modalità di ascolto (PROMISC), ovvero ricevono tutti i pacchetti. In una rete locale, puoi intercettare tutti i pacchetti inviati da tutte le macchine (se non sei separato da tutti i tipi di hub), poiché lì viene praticata la trasmissione. Gli sniffer possono intercettare tutti i pacchetti (cosa molto scomoda, il file di log si riempie terribilmente in fretta, ma per un'analisi più dettagliata della rete è il massimo) o solo i primi byte da qualsiasi ftp, telnet, pop3, ecc. Ci sono molti sniffer ora... Ci sono molti sniffer sia sotto Unix che sotto Windows (ce ne sono anche sotto DOS). Gli sniffer possono supportare solo un certo sistema operativo(ad esempio linux_sniffer.c che Linux supporta), o ...

0 0

Wireshark: come si usa?

Ciao amici! In questo articolo cercherò di spiegarti e raccontarti le cose più necessarie da sapere quando usi Wireshark su Linux e ti mostrerò l'analisi tre tipi traffico di rete. Questo manualeè applicabile anche per Wireshark per funzionare su Windows.

Se sei nuovo a informazioni di sicurezza, e capisci molto bene cos'è uno sniffer (analizzatore di traffico), ti consiglio di leggere l'articolo Cos'è uno sniffer, e solo dopo leggi questo articolo su come usare Wireshark.

Wireshark è un analizzatore molto popolare ed estremamente abile protocollo di rete sviluppato da Gerald Combs, Wireshark è apparso nel giugno 2006 quando Combs è stato rinominato strumento di rete Etereo, anch'esso creato da lui, in quanto cambiava lavoro e non poteva più usare il vecchio nome. Oggi la maggior parte delle persone usa Wireshark ed Ethereal è storia.

Wireshark: il miglior sniffer

Potresti chiederti di Wireshark ...

0 0

Lo sniffer, o analizzatore di traffico, è programma speciale cioè in grado di intercettare e/o analizzare il traffico di rete destinato ad altri host. Come sai, la trasmissione delle informazioni sulla griglia viene eseguita in pacchetti, dalla macchina dell'utente alla macchina remota, quindi se installi uno sniffer su un computer intermedio, catturerà i pacchetti in transito prima che raggiungano l'obiettivo.

Il lavoro di uno sniffer può differire in modo significativo dal lavoro di un altro. Il pacchetto standard inizia il suo movimento dal PC dell'utente e quindi attraverso ciascun computer della rete, passando per il "computer vicino", "il computer dotato di sniffer", e termina con " computer remoto». Auto normale non presta attenzione a un pacchetto che non è destinato al suo indirizzo IP e la macchina sniffer ignora queste regole e intercetta qualsiasi pacchetto che si trova nel suo "campo di attività". Uno sniffer è come un analizzatore di rete, ma le società di sicurezza e il governo federale...

0 0

Wireshark diventerà grande aiuto per quegli utenti che hanno bisogno di fare un'analisi dettagliata pacchetti di rete, - traffico rete di computer... Sniffer interagisce facilmente con protocolli comuni come netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 e molti altri. Consente, durante l'analisi, di suddividere un pacchetto di rete in componenti appropriati, secondo un protocollo specifico, e di visualizzare sullo schermo informazioni leggibili in forma numerica.
supporta un numero enorme di formati diversi di informazioni trasmesse e ricevute, è in grado di aprire file utilizzati da altre utilità. Il principio di funzionamento è che la scheda di rete entra in modalità broadcast e inizia a intercettare i pacchetti di rete che si trovano nel suo raggio di visibilità. Sa funzionare come un programma per l'intercettazione di pacchetti wifi.

Come usare Wireshark

Il programma esamina il contenuto dei pacchetti di informazioni che passano attraverso la rete. Per avviare e utilizzare i risultati del lavoro dello sniffer, non è richiesta alcuna conoscenza specifica, è sufficiente aprirlo nel menu "Start" o fare clic sull'icona sul desktop (il suo avvio non è diverso da qualsiasi altro Programmi Windows). Funzione speciale l'utility consente di acquisire pacchetti di informazioni, decrittografarne accuratamente il contenuto e presentarli all'utente per l'analisi.

Avviando wireshark, vedrai il menu principale del programma sullo schermo, che si trova nella parte superiore della finestra. Con l'aiuto di esso, l'utilità è controllata. Se hai bisogno di scaricare file che memorizzano dati sui pacchetti catturati in sessioni precedenti, oltre a salvare i dati su altri pacchetti ottenuti nella nuova sessione, per questo è necessaria la scheda "File".

Per avviare la funzione di acquisizione dei pacchetti di rete, l'utente deve fare clic sull'icona "Cattura", quindi trovare una sezione di menu speciale chiamata "Interfacce", con la quale è possibile aprire finestra separata"Wireshark Capture Interfaces", che mostrerà tutte le interfacce di rete disponibili attraverso le quali verrà eseguita la cattura pacchetti richiesti dati. Nel caso in cui il programma (sniffer) sia in grado di rilevare solo un'interfaccia adatta, visualizzerà l'intera Informazioni importanti su di lui.

I risultati del lavoro dell'utility sono la prova diretta che, anche se gli utenti non lo fanno da soli (in questo momento tempo) trasmettendo qualsiasi dato, lo scambio di informazioni non si ferma in rete. Dopotutto, il principio di funzionamento di una rete locale è che per mantenerla in modalità di lavoro, ciascuno dei suoi elementi (computer, switch e altri dispositivi) vengono continuamente scambiati tra loro informazioni di servizio, pertanto, tali strumenti di rete sono progettati per intercettare tali pacchetti.

Esiste anche una versione per sistemi Linux.

Si dovrebbe notare che sniffer è estremamente utile per amministratori di rete e servizio sicurezza del computer, perché l'utilità consente di identificare i nodi di rete potenzialmente non protetti, aree probabili che possono essere attaccate dagli hacker.

Oltre al suo scopo diretto, Wireshark può essere utilizzato come strumento per monitorare e analizzare ulteriormente il traffico di rete al fine di organizzare un attacco su parti non protette della rete, poiché il traffico intercettato può essere utilizzato per raggiungere vari obiettivi.

Cos'è Intercepter-NG

Consideriamo l'essenza del funzionamento di ARP su semplice esempio... Il Computer A (indirizzo IP 10.0.0.1) e il Computer B (indirizzo IP 10.22.22.2) sono collegati da una rete Ethernet. Il computer A vuole inviare un pacchetto di dati al computer B e conosce l'indirizzo IP del computer B. Tuttavia, la rete Ethernet a cui sono connessi non funziona con gli indirizzi IP. Pertanto, il computer A deve conoscere l'indirizzo del computer B sulla rete Ethernet (indirizzo MAC in termini Ethernet) per trasmettere su Ethernet. Per questo compito viene utilizzato il protocollo ARP. Questo protocollo utilizza il computer A per inviare una richiesta di trasmissione a tutti i computer nello stesso dominio di trasmissione. L'essenza della richiesta: "computer con indirizzo IP 10.22.22.2, comunica il tuo indirizzo MAC al computer con indirizzo MAC (es a0: ea: d1: 11: f1: 01)". La rete Ethernet consegna questa richiesta a tutti i dispositivi sullo stesso segmento Ethernet, incluso il computer B. Il computer B risponde alla richiesta al computer A e riporta il suo indirizzo MAC (es. 00: ea: d1: 11: f1: 11) Ora, Dopo aver ricevuto l'indirizzo MAC del computer B, il computer A può trasmettergli qualsiasi dato tramite la rete Ethernet.

Per evitare la necessità di utilizzare il protocollo ARP prima di ogni invio di dati, gli indirizzi MAC ricevuti ed i corrispondenti indirizzi IP vengono registrati in tabella per qualche tempo. Se è necessario inviare dati allo stesso IP, non è necessario interrogare ogni volta i dispositivi alla ricerca del MAC desiderato.

Come abbiamo appena visto, ARP include una richiesta e una risposta. L'indirizzo MAC della risposta viene scritto nella tabella MAC/IP. Al ricevimento di una risposta, non viene in alcun modo verificata l'autenticità. Inoltre, non viene nemmeno verificato se la richiesta sia stata fatta. Quelli. è possibile inviare immediatamente una risposta ARP ai dispositivi target (anche senza richiesta), con dati contraffatti, e questi dati verranno inseriti nella tabella MAC/IP e verranno utilizzati per la trasmissione dei dati. Questa è l'essenza dell'attacco di spoofing ARP, che a volte viene chiamato avvelenamento da ARP, avvelenamento della cache ARP.

Descrizione dell'attacco ARP-spoofing

Due computer (nodi) M e N nella rete Ethernet locale scambiano messaggi. L'attaccante X sulla stessa rete vuole intercettare i messaggi tra questi nodi. Prima di utilizzare l'attacco ARP-spoofing su interfaccia di rete la tabella node M ARP contiene IP e Indirizzo MAC nodo N. Anche sull'interfaccia di rete del nodo N, la tabella ARP contiene l'IP e il MAC del nodo M.

Durante un attacco di spoofing ARP, l'host X (l'attaccante) invia due risposte ARP (senza una richiesta) - all'host M e all'host N. La risposta ARP all'host M contiene l'indirizzo IP N e l'indirizzo MAC di X. L'ARP la risposta all'host N contiene l'indirizzo IP M e l'indirizzo MAC X.

Poiché i computer M e N supportano l'ARP spontaneo, dopo aver ricevuto una risposta ARP, cambiano le loro tabelle ARP, e ora la tabella ARP M contiene l'indirizzo MAC X associato all'indirizzo IP N, e la tabella ARP N contiene l'indirizzo MAC X associato a M.

Pertanto, l'attacco di spoofing ARP è completato e ora tutti i pacchetti (frame) tra M e N passano attraverso X. Ad esempio, se M vuole inviare un pacchetto a N, allora M guarda la sua tabella ARP, trova una voce con l'indirizzo IP dell'host N, seleziona da lì l'indirizzo MAC (ed è già presente l'indirizzo MAC del nodo X) e trasmette il pacchetto. Il pacchetto arriva all'interfaccia X, da essa analizzato e quindi inoltrato al nodo N.