Sniffers. Analizuesi i trafikut të rrjetit narkotik

Sniffer quhet gjithashtu një analizues i trafikut - është një program apo diçka tjetër pajisje harduerike që përgjon dhe më pas analizon trafikun e rrjetit. Aktualisht, këto programe kanë një justifikim plotësisht ligjor, prandaj ato përdoren gjerësisht në rrjet, por mund të përdoren si për të mirë ashtu edhe për dëm.

Historia e origjinës së tyre shkon prapa në vitet '90, kur hakerët mund të përdornin një softuer të tillë për të kapur me lehtësi një emër përdoruesi dhe fjalëkalim, të cilët në atë kohë ishin të koduar shumë dobët.

Fjala sniffer vjen nga anglishtja. për të nuhatur - për të nuhatur, parimi i funksionimit është se ky program regjistron dhe analizon programet e instaluara në makinat transmetuese paketat e informacionit... Duhet të jetë afër kompjuterit pritës që operacioni i leximit të jetë efektiv.

Programuesit përdorin këtë aplikacion për analizën e trafikut, qëllime të tjera ndiqen nga hakerat në rrjet, ata thjesht gjurmojnë fjalëkalime ose informacione të tjera që u nevojiten.

Llojet e analizuesve të trafikut

Sniffers ndryshojnë në lloje, ato mund të jenë aplikacione në internet ose aplikacione të instaluara drejtpërdrejt në një kompjuter, të cilët nga ana tjetër ndahen në harduer dhe softuer dhe harduer.

Më shpesh ato përdoren për të përgjuar fjalëkalimet, ndërkohë që aplikacioni fiton akses në kodet e informacionit të koduar. Kjo mund të sjellë shqetësime të mëdha për përdoruesin, pasi shpesh ka raste kur të njëjtat fjalëkalime vendosen për disa programe ose sajte, gjë që përfundimisht çon në humbjen e aksesit në burimet e nevojshme.

Ekziston një lloj nuhatjeje që përdoret për të kapur një fotografi kujtesë e gjallë sepse është e vështirë të lexosh informacion gjatë gjithë kohës pa përdorur fuqinë e procesorit. Zbuloni spiunështë e mundur duke gjurmuar ngarkesën maksimale të skedarit të PC gjatë funksionimit.

Një lloj tjetër programi funksionon me një kanal të madh transmetimi të të dhënave, ndërsa dëmtuesi mund të gjenerojë deri në 10 megabajt protokolle çdo ditë.

Si punon

Analizuesit punojnë vetëm me protokollet TCP / IP, programe të tilla kanë nevojë lidhje me tela të tilla si ruterat që ndajnë internetin. Transmetimi i të dhënave kryhet duke përdorur paketa individuale, të cilat përsëri bëhen një tërësi e vetme kur të arrihet qëllimi përfundimtar. Ata janë gjithashtu në gjendje të përgjojnë paketat në çdo fazë të transmetimit dhe të marrin me të informacion të vlefshëm në formën e fjalëkalimeve të pasigurta. Në çdo rast, me ndihmën e programeve të dekoderit, është e mundur të merret një çelës edhe për një fjalëkalim të mbrojtur.

Mënyra më e lehtë për të përdorur nuhatësit WiFi në rrjete me mbrojtje të dobët - në një kafene, në vende publike etj.

Ofruesit që përdorin këto programe mund perndjek akses i paautorizuar në adresat e jashtme të sistemit.

Si të mbroheni nga nuhatësit

Për të kuptuar se dikush ka depërtuar në rrjetin lokal, para së gjithash, duhet t'i kushtoni vëmendje shpejtësia e shkarkimit të paketës nëse është dukshëm më e ulët se ajo e deklaruar, kjo duhet të jetë alarmante. Performanca e kompjuterit mund të monitorohet duke përdorur Task Manager. Mund të përdoret shërbimet e veçanta, por më së shpeshti bien ndesh me muri i zjarrit i Windows, kështu që është më mirë ta fikni për një kohë.

Për administratorët e sistemit kontrollimi dhe kërkimi i analizuesve të trafikut në rrjet lokalËshtë një ngjarje e nevojshme. Për të zbuluar aplikacione të dëmshme, mund të përdorni antiviruse të njohur të rrjetit, të tilla si Doctor Web ose Kaspersky Anti-Virus, të cilët mund të zbulojnë dëmtuesit si në hostet e largët ashtu edhe direkt brenda rrjetit lokal.

Përveç aplikacione speciale që thjesht instaloni në kompjuterin tuaj, mund t'i përdorni më shumë fjalëkalime komplekse dhe sistemet kriptografike. Sistemet kriptografike punoni drejtpërdrejt me informacionin, duke e koduar atë duke përdorur një nënshkrim elektronik.

Pasqyra e aplikacionit dhe veçoritë kryesore

CommView

CommView dekodon paketat e informacionit të transmetuar, shfaq statistikat e protokolleve të përdorura në formën e diagrameve. Trafiku sniffer ju lejon të analizoni paketat IP dhe ato që nevojiten. Sniffer për Windows punon me protokollet e njohura : HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, etj. CommView punon me Modemët Ethernet, wi-fi dhe të tjera. Kapja e paketave ndodh përmes lidhje e vendosur, duke përdorur skedën " AktualeIP-lidhjet", Ku mund të krijoni pseudonime adresash.

Skeda " Paketat»Paraqit informacion rreth tyre, ndërsa ato mund të kopjohen në kujtesën e fragmenteve.

« REGJISTRI-skedarët»Ju lejon të shikoni paketat në formatin NFC.

Skeda " Rregullat". Këtu mund të vendosni kushtet për kapjen e paketave. Seksionet e kësaj skede: IP-adresat, MAC-adresat, Portet, Procesi, Formulat dhe Parametrat Individualë.

« Paralajmërim": Ofron konfigurimin e njoftimeve në rrjetin lokal, funksionon me butonin "Shto". Këtu mund të vendosni kushtet, llojin e ngjarjeve:

• "Paketat për sekondë" - kur niveli i ngarkesës së rrjetit tejkalohet.
• "Bajt për sekondë" - kur tejkalohet frekuenca e transmetimit të të dhënave.
• "Adresa e panjohur", domethënë zbulimi i lidhjeve të paautorizuara.

Skeda " Pamje"- statistikat e trafikut shfaqen këtu.

CommView është i pajtueshëm me Windows 98, 2000, XP, 2003. Aplikacioni kërkon një përshtatës Ethernet.

Përparësitë: ndërfaqe miqësore për përdoruesit në Rusisht, mbështet llojet e zakonshme përshtatësit e rrjetit, statistikat vizualizohen. Disavantazhet përfshijnë vetëm çmimin e lartë.

Spynet

Spynet kryen funksionet e dekodimit dhe përgjimit të paketave. Me ndihmën e tij, ju mund të rikrijoni faqet e vizituara nga përdoruesi. Përbëhet nga 2 programe CaptureNet dhe PipeNet. Është i përshtatshëm për ta përdorur atë në një rrjet lokal. CaptureNet skanon paketat e të dhënave, një program i dytë monitoron procesin.

Ndërfaqja është mjaft e thjeshtë:

• Butoni Modifiko Filtro- vendosja e filtrave.
• Butoni Avokat 2,3 - instalon protokollet Flame - IP; Shtresa 3 - TCP.
• Butoni Modeli Përputhja kërkon për paketa me parametra të specifikuar.
• Butoni IP— Adresat ju lejon të skanoni adresat e nevojshme IP, duke transmetuar informacionin me interes. (Opsionet 1-2, 2-1, 2 = 1). V rastin e fundit i gjithë trafiku.
• Butoni Portet, pra zgjedhja e porteve.

Për të përgjuar të dhënat, duhet të ekzekutoni programin Capture Start, domethënë fillon procesi i kapjes së të dhënave. Skedari me informacionin e ruajtur kopjohet vetëm pas komandës Stop, d.m.th., përfundimi i veprimeve të kapjes.

Avantazhi i Spynet është aftësia për të deshifruar faqet e internetit që përdoruesi ka vizituar. Programi gjithashtu mund të shkarkohet falas, megjithëse është mjaft i vështirë për t'u gjetur. Disavantazhet përfshijnë një grup të vogël funksionesh në Windows. Punon në Windows XP, Vista.

BUTTSniffer

BUTTSniffer analizon drejtpërdrejt paketat e rrjetit. Parimi i funksionimit është përgjimi i të dhënave të transmetuara, si dhe mundësia e tyre kursim automatik në media, e cila është shumë e përshtatshme. Nisja e këtij programi ndodh përtej linja e komandës ... Ekzistojnë gjithashtu opsione filtri. Programi përbëhet nga BUTTSniff.exe dhe BUTTSniff. dll.

Disavantazhet e rëndësishme të BUTTSniffer përfshijnë punë e paqëndrueshme, dështimet e shpeshta deri në prishjen e sistemit operativ nuk janë të rralla ( Ekran I kalter e vdekjes).

Përveç këtyre programeve sniffer, ka shumë të tjerë, jo më pak të famshëm: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Ka edhe sniffer online, të cilët përveç marrjes së adresës IP të viktimës, ndryshojnë drejtpërdrejt adresën IP të sulmuesit. ato. sulmuesi fillimisht hyn në një adresë IP, dërgon një fotografi në kompjuterin e viktimës që duhet të shkarkohet ose email që ju duhet vetëm ta hapni. Pas kësaj, hakeri merr të gjitha të dhënat e nevojshme.

Vlen të kujtojmë se ndërhyrja në të dhënat e kompjuterit të dikujt tjetër është vepër penale.

Kur përdorues i rregullt dëgjon termin "narkoman", ai menjëherë fillon të interesohet se çfarë është dhe pse është e nevojshme.

Ne do të përpiqemi të shpjegojmë gjithçka gjuhë e thjeshtë.

Sidoqoftë, ky artikull do të synohet jo vetëm për përdoruesit fillestarë, por edhe për.

Përkufizimi

NjehësuesËshtë një analizues trafiku. Nga ana tjetër, trafiku është i gjithë informacioni që kalon nëpër rrjetet kompjuterike.

Ky analizues shikon se çfarë informacioni po transmetohet. Për ta bërë këtë, ju duhet ta përgjoni atë. Në fakt, kjo është një gjë e paligjshme, sepse në këtë mënyrë njerëzit shpesh fitojnë akses në të dhënat e të tjerëve.

Mund të krahasohet me një grabitje treni - një komplot klasik i shumicës së perëndimorëve.

Ju transferoni disa informacione te një përdorues tjetër. Ajo drejtohet nga një "tren", domethënë një kanal rrjeti.

Gomarët nga banda e Bloody Joe kapin trenin dhe e grabisin atë deri në kockë. Në rastin tonë, informacioni shkon më tej, domethënë sulmuesit nuk e vjedhin atë në kuptimin e vërtetë të fjalës.

Por, le të themi se ky informacion është fjalëkalime, shënime personale, foto dhe të ngjashme.

Sulmuesit thjesht mund të rishkruajnë dhe fotografojnë të gjithë. Në këtë mënyrë, ata do të kenë akses në të dhënat e ndjeshme që ju dëshironi t'i fshihni.

Po, ju do t'i keni të gjitha këto informacione, do t'ju vijnë.

Por ju do të dini se të gjithë e dinë njësoj dhe në mënyrë të përsosur të huajt. Por në shekullin e 21-të, është informacioni që vlerësohet më shumë!

Në rastin tonë, ky është parimi i përdorur. Disa njerez ndaloni trafikun, lexoni të dhënat prej tij dhe dërgojini më tej.

Megjithatë, në rastin e nuhatësve, gjërat nuk janë gjithmonë aq të frikshme. Ato përdoren jo vetëm për të fituar akses të paautorizuar në të dhëna, por edhe për të analizuar vetë trafikun. Kjo është një pjesë e rëndësishme e punës së administratorëve të sistemit dhe thjesht administratorëve të burimeve të ndryshme. Vlen të flasim për aplikacionin në më shumë detaje. Por para kësaj, ne do të prekim se si funksionojnë të njëjtët nuhatës.

Parimi i funksionimit

Në praktikë, nuhatësit mund të jenë pajisje portative, të cilat fjalë për fjalë vendosen në kabllo dhe lexojnë të dhëna prej tij, si dhe programe.

Në disa raste, është vetëm një grup udhëzimesh, domethënë kode që duhet të futen në një sekuencë specifike dhe në një mjedis programor specifik.

Më në detaje, se përgjimi i trafikut nga pajisje të tilla mund të lexohet nga një prej mënyrat e mëposhtme:

1 Duke instaluar shpërndarës në vend të çelsave. Në parim, dëgjimi i një ndërfaqe rrjeti mund të kryhet në mënyra të tjera, por të gjitha ato janë joefektive.

2 Duke lidhur një nuhatës fjalë për fjalë me ndërprerjen e kanalit. Kjo është pikërisht ajo që u diskutua më lart - dhe është vënë pajisje e vogël, i cili lexon gjithçka që lëviz përgjatë kanalit.

3 Duke instaluar një degë nga trafiku. Kjo degë drejtohet te ndonjë pajisje tjetër, ndoshta e deshifruar dhe dërguar te përdoruesi.

4 Një sulm që synon të ridrejtojë plotësisht trafikun te një sniffer. Natyrisht, pasi informacioni hyn te lexuesi, ai përsëri i dërgohet përdoruesit fundor, të cilit i ishte menduar fillimisht. v formë e pastër!

5 Përmes analizave rrezatimi elektromagnetik që lindin për shkak të lëvizjes së trafikut. Kjo është metoda më e vështirë dhe e përdorur rrallë.

Këtu diagrami i përafërt puna e metodës së dytë.

Vërtetë, këtu tregohet se lexuesi thjesht është futur në kabllo.

Në fakt, është pothuajse e pamundur të bëhet në këtë mënyrë.

Fakti është se përdoruesi përfundimtar do të vërejë ende se në një vend ka një boshllëk në kanal.

Vetë parimi i funksionimit të një sniferi konvencional bazohet në faktin se brenda një segmenti ato dërgohen në të gjitha makinat e lidhura. Mjaft budallallëk, por deri më tani asnjë metodë alternative! Dhe midis segmenteve, të dhënat transmetohen duke përdorur çelsat. Këtu bëhet e mundur përgjimi i informacionit duke përdorur një nga metodat e mësipërme.

Në fakt, kjo quhet sulme kibernetike dhe hakerim!

Nga rruga, nëse instaloni saktë të njëjtët çelsat, mund ta mbroni plotësisht segmentin nga të gjitha llojet e sulmeve kibernetike.

Ka metoda të tjera mbrojtjeje, për të cilat do të flasim në fund.

Aplikacion

Sigurisht, para së gjithash, këtë koncept ka aplikacionin e diskutuar më sipër, domethënë sulmet e hakerëve dhe marrja e paligjshme e të dhënave të përdoruesit.

Por përveç kësaj, sniffers përdoren në fusha të tjera, veçanërisht në punën e administratorëve të sistemit.

Në veçanti, pajisje të tilla ose programet ndihmojnë për të përmbushur detyrat e mëposhtme:

Siç mund ta shihni, pajisjet ose programet që po shqyrtojmë mund të lehtësojnë shumë punën e administratorëve të sistemit dhe njerëzve të tjerë që përdorin rrjete. Dhe ky jemi të gjithë ne.

Tani le të kalojmë në pjesën më interesante - një përmbledhje e programeve sniffer.

Më sipër, kuptuam se ato mund të bëhen në formën e pajisjeve fizike, por në shumicën e rasteve përdoren të veçanta.

Le t'i studiojmë ato.

Programet Sniffer

Këtu është një listë e programeve më të njohura të tilla:

CommView... Programi paguhet, si gjithë të tjerët në listën tonë. Një licencë minimale kushton 300 dollarë. Por softueri ka funksionalitetin më të pasur. Gjëja e parë që duhet theksuar është mundësia vetë-instalim rregullat. Për shembull, mund ta bëni atë në mënyrë që (këto janë protokolle) të injorohen plotësisht. Vlen gjithashtu të përmendet se programi ju lejon të shikoni detajet dhe regjistrin e të gjitha paketave të dërguara. Ekziston një version i rregullt dhe një version Wi-Fi.

SpyNet. Ky është, në fakt, trojani nga i cili të gjithë jemi lodhur. Por mund të përdoret edhe për qëllimet fisnike për të cilat folëm më sipër. Programi përgjon dhe, të cilat janë në trafik. Ka shumë karakteristika të pazakonta. Për shembull, ju mund të rikrijoni faqet në internet që "viktima" ka vizituar. Vlen të përmendet se ky softuer është falas, por nuk është e lehtë për ta gjetur atë.

BUTTSniffer. Ky është një sniffer i pastër që ndihmon për të analizuar paketat e rrjetit dhe jo për të përgjuar fjalëkalimet e njerëzve të tjerë dhe historinë e shfletuesit. Nga të paktën, kështu mendoi autori. Në fakt, krijimi i tij është përdorur ju vetë e kuptoni pse. Kjo është e zakonshme program batch i cili funksionon përmes linjës komanduese. Për të filluar, dy skedarë ngarkohen dhe ekzekutohen. Paketat e kapura ruhen në hard disk, gjë që është shumë e përshtatshme.

Ka shumë programe të tjera sniffer atje. Për shembull, fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer dhe shumë të tjerë janë të njohur. Zgjidhni ndonjë! Por është e drejtë të thuhet se CommView është më e mira.

Pra, ne kemi renditur se çfarë janë nuhatësit, si funksionojnë dhe çfarë janë.

Tani le të kalojmë nga vendi i një hakeri ose sysadmin në vendin e një përdoruesi të zakonshëm.

Ne e dimë mirë se të dhënat tona mund të vidhen. Çfarë duhet bërë për të parandaluar që kjo të ndodhë?

Sniffer, ose analizuesi i trafikut, (nga anglishtja në sniff - për të nuhatur) është një analizues i trafikut në rrjet, program ose pajisje softuerike dhe harduerike e krijuar për përgjim dhe analiza të mëvonshme, ose vetëm analiza trafiku i rrjetit të destinuara për nyje të tjera.
Ndjekësi mund të analizojë vetëm atë që kalon përmes tij kartën e rrjetit... Brenda një segmenti Rrjetet Ethernet të gjitha paketat dërgohen në të gjitha makinat, për shkak të kësaj është e mundur të përgjohen informacionet e njerëzve të tjerë. Përdorimi i çelësave (switch, switch-hub) dhe konfigurimi kompetent i tyre është tashmë mbrojtje kundër përgjimit. Ndërmjet segmenteve, informacioni transferohet përmes ndërprerësve. Ndërrimi i paketave është një formë transmetimi në të cilën të dhënat ndahen në paketa individuale, mund të përcillet nga burimi në destinacion me rrugë të ndryshme. Pra, nëse dikush në një segment tjetër dërgon ndonjë pako brenda tij, atëherë ndërprerësi nuk do t'i dërgojë këto të dhëna në segmentin tuaj.
Përgjimi i trafikut mund të kryhet:
...

0 0

Në këtë artikull unë do të shpjegoj se çfarë është një sniffer, si ta përdorim atë, kontrolloni falsifikimet, çfarë është një ID PASS.
Çfarë na nevojitet për këtë:
-sniff socketsniff ose smsniff
- 2 duar
- 1 kokë
-9 Klasa të përfunduara: D

Unë nuk do t'ju shpjegoj se çfarë është një nuhatës, mendoj se shumë kanë dëgjuar.
Këtu mund të lexoni në detaje
http://ru.wikipedia.org/wiki/%D0%90%D0% ... 0% BA% D0% B0
Së pari, shkarkoni sniffer
http://www.nirsoft.net/utils/socketsniff.zip
Është i përshtatshëm në atë që ju mund të nuhasni vetëm një aplikacion që zgjidhni dhe programet e tjera që funksionojnë nuk do të ndërhyjnë me ne.
Epo, le të fillojmë, së pari le të kontrollojmë programin për virusin total http://www.virustotal.com/ (a nuk na dhanë një Trojan në vend të një fallco)
Për të kontrolluar nëse nxjerrim përfundime për të nisur apo jo, mos harroni se AntiVirus mund të shajë paketuesin.
Tjetra, ne nisim programin e shkarkuar (për shembull, unë do të marr një false me dërgimin e kodeve në Asya)
Ne fillojmë socketsniff, ne po kërkojmë programin tonë në proceset që ...

0 0

Sniffers janë programe që përgjojnë
i gjithë trafiku i rrjetit. Sniffers janë të dobishëm për diagnostikimin e rrjetit (për administratorët) dhe
për të përgjuar fjalëkalime (është e qartë për kë :)). Për shembull, nëse keni akses në
një makinë në rrjet dhe instaloi një nuhatës atje,
pastaj së shpejti të gjitha fjalëkalimet nga
nënrrjetet e tyre do të jenë tuajat. Sniffers vënë
kartën e rrjetit në dëgjim
mode (PROMISC).Dmth ata marrin të gjitha paketat. Në LAN, ju mund të përgjoni
të gjitha paketat dalëse nga të gjitha makineritë (nëse nuk jeni të ndarë nga të gjitha llojet e shpërndarësve),
Kështu që
si praktikohet transmetimi atje.
Sniferët mund të përgjojnë gjithçka
paketat (që është shumë e papërshtatshme, skedari i regjistrit vërshon tmerrësisht shpejt,
por për një analizë më të detajuar të rrjetit është më së shumti)
ose vetëm bajtët e parë nga ndonjë
ftp, telnet, pop3, etj. (kjo është më qesharake, zakonisht rreth 100 bajtit e parë
përmban emrin e përdoruesit dhe fjalëkalimin :)). Sniffers tani
të divorcuar ... Ka shumë nuhatës
si nën Unix ashtu edhe nën Windows ...

0 0

çfarë_është_sniffer_

Prezantimi

Shpresoj që ky artikull të jetë një rrëfim i mirë në lidhje me nuhatësit për hakerat fillestarë, si dhe për ata që janë marrë me ta.

Çfarë është Sniffer?

Sniffer (sniffer, eng) është një program që instalohet nën një NIC (Network Interface Card), i quajtur ndryshe një kartë Ethernet (një nga pjesët e nevojshme të harduerit për lidhje fizike kompjuterë në rrjetin lokal). Siç e dini, informacioni transmetohet përmes rrjetit në pako - nga kompjuteri juaj në atë të largët, kështu që një sniffer i instaluar në një kompjuter të ndërmjetëm përmes të cilit do të kalojnë paketat - është në gjendje t'i kapë ato ndërsa ato nuk e kanë arritur ende objektivin. Sniffers të ndryshëm zbatojnë procesin e kapjes së informacionit në mënyra të ndryshme, mirë, më shumë për këtë më poshtë.

(kompjuteri juaj) -> (kompjuteri fqinj) -> (kompjuteri me sniffer) -> (kompjuteri në distancë)
Paketa standarde udhëton nga "kompjuteri juaj" përmes rrjetit. Do të kalojë çdo...

0 0

Sniffers janë programe që përgjojnë të gjithë trafikun e rrjetit. Sniffers janë të dobishëm për diagnostikimin e rrjetit (për administratorët) dhe për përgjimin e fjalëkalimeve (është e qartë për kë). Për shembull, nëse keni akses në një makinë rrjeti dhe keni instaluar një sniffer atje, atëherë së shpejti të gjitha fjalëkalimet nga nënrrjeti i tyre do të jenë tuajat. Sniffers e vendosin kartën e rrjetit në një modalitet dëgjimi (PROMISC), domethënë, ata marrin të gjitha paketat. Në një rrjet lokal, ju mund të përgjoni të gjitha paketat e dërguara nga të gjitha makinat (nëse nuk jeni të ndarë nga të gjitha llojet e shpërndarësve), pasi transmetimi praktikohet atje. Sniffers mund të përgjojnë të gjitha paketat (gjë që është shumë e papërshtatshme, skedari log mbushet tmerrësisht shpejt, por për një analizë më të detajuar të rrjetit është më së shumti) ose vetëm bajtet e para nga çdo ftp, telnet, pop3, etj. Ka shumë sniffer tani ... Ka shumë sniffers si nën Unix ashtu edhe nën Windows (ka edhe nën DOS). Sniffers mund të mbështesin vetëm një të caktuar sistemi operativ(për shembull linux_sniffer.c që mbështet Linux), ose ...

0 0

Wireshark: si të përdoret?

Përshëndetje miq! Në këtë artikull do të përpiqem t'ju shpjegoj dhe t'ju tregoj për gjërat më të nevojshme që duhet të dini kur përdorni Wireshark në Linux dhe të tregoj analizën tre lloje trafiku i rrjetit. Ky manualështë gjithashtu i zbatueshëm që Wireshark të funksionojë në Windows.

Nëse jeni i ri në siguria e informacionit, dhe ju e kuptoni shumë mirë se çfarë është një sniffer (analizues trafiku), ju këshilloj të lexoni artikullin Çfarë është një sniffer dhe vetëm atëherë lexoni këtë artikull se si të përdorni Wireshark.

Wireshark është një analizues shumë i popullarizuar dhe jashtëzakonisht i aftë protokolli i rrjetit të cilin Gerald Combs e zhvilloi, Wireshark u shfaq në qershor 2006 kur Combs u riemërua mjet rrjeti Ethereal, i krijuar edhe prej tij, pasi ndërroi punë dhe nuk mund të përdorte më emrin e vjetër. Sot shumica e njerëzve përdorin Wireshark dhe Ethereal është histori.

Wireshark: nuhatësi më i mirë

Ju mund të pyesni se Wireshark ...

0 0

Sniffer, ose analizues i trafikut, është program të veçantë që është në gjendje të përgjojë dhe/ose të analizojë trafikun e rrjetit të destinuar për hostet e tjerë. Siç e dini, transmetimi i informacionit përmes rrjetit kryhet në pako - nga makina e përdoruesit në makinën e largët, kështu që nëse instaloni një sniffer në një kompjuter të ndërmjetëm, ai do të kapë paketat që kalojnë përpara se të arrijnë objektivin.

Puna e një gërmuesi mund të ndryshojë ndjeshëm nga puna e një tjetri. Paketa standarde fillon lëvizjen e saj nga kompjuteri i përdoruesit dhe më pas përmes çdo kompjuteri në rrjet, duke kaluar nëpër "kompjuterin fqinj", "kompjuterin e pajisur me një sniffer" dhe duke përfunduar me " kompjuter në distancë». Makinë normale nuk i kushton vëmendje një pakete që nuk është e destinuar për adresën e saj IP, dhe makina sniffer i injoron këto rregulla dhe përgjon çdo paketë që është në "fushën e saj të aktivitetit". Një nuhatës është i njëjtë me një analizues rrjeti, por kompanitë e sigurisë dhe qeveria federale ...

0 0

Wireshark do të bëhet ndihmës i madh për ata përdorues që duhet të bëjnë një analizë të detajuar paketat e rrjetit, - trafiku rrjeti kompjuterik... Sniffer ndërvepron lehtësisht me protokollet e zakonshme si p.sh netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 dhe shume te tjere. Lejon, kur analizon, të ndajë një paketë rrjeti në komponentë të duhur, sipas një protokolli specifik dhe të shfaqë informacione të lexueshme në formë numerike në ekran.
mbështet një numër të madh të formateve të ndryshme të informacionit të transmetuar dhe marrë, është në gjendje të hapë skedarë që përdoren nga shërbime të tjera. Parimi i funksionimit është që karta e rrjetit të kalojë në modalitetin e transmetimit dhe të fillojë të përgjojë paketat e rrjetit që janë në intervalin e saj të dukshmërisë. Di të punojë si program për përgjimin e paketave wifi.

Si të përdorni wireshark

Programi shqyrton përmbajtjen e paketave të informacionit që kalojnë nëpër rrjet. Për të filluar dhe përdorur rezultatet e punës së narkomanit, nuk kërkohet njohuri specifike, thjesht duhet ta hapni atë në menunë "Start" ose të klikoni në ikonën në desktop (nisja e tij nuk është e ndryshme nga ndonjë tjetër programet e Windows). Funksion i veçantë mjeti e lejon atë të kapë paketat e informacionit, të deshifrojë me kujdes përmbajtjen e tyre dhe t'i paraqesë ato tek përdoruesi për analizë.

Duke nisur wireshark, në ekran do të shihni menunë kryesore të programit, e cila ndodhet në pjesën e sipërme të dritares. Me ndihmën e tij, shërbimi kontrollohet. Nëse keni nevojë të shkarkoni skedarë që ruajnë të dhëna për paketat e kapura seancat e mëparshme, si dhe ruani të dhënat për paketat e tjera të marra në seancën e re, atëherë për këtë ju nevojitet skeda "File".

Për të filluar funksionin e kapjes së paketave të rrjetit, përdoruesi duhet të klikojë në ikonën "Capture", më pas të gjejë një seksion të veçantë të menusë të quajtur "Interfaces", me të cilin mund të hapni dritare e veçantë"Wireshark Capture Interfaces", i cili do të tregojë të gjitha ndërfaqet e disponueshme të rrjetit përmes të cilave do të kryhet kapja paketat e nevojshme të dhëna. Në rast se programi (sniffer) është në gjendje të zbulojë vetëm një ndërfaqe të përshtatshme, ai do të shfaqë të gjithë informacion i rendesishem rreth tij.

Rezultatet e punës së shërbimeve janë dëshmi e drejtpërdrejtë që, edhe nëse përdoruesit nuk e bëjnë atë vetë (në ky moment kohë) duke transmetuar ndonjë të dhënë, shkëmbimi i informacionit nuk ndalet në rrjet. Në fund të fundit, parimi i funksionimit të një rrjeti lokal është që për ta mbajtur atë në modalitetin e punës, secili prej elementeve të tij (kompjuter, ndërprerës dhe pajisje të tjera) shkëmbehet vazhdimisht me njëri-tjetrin. informacion shërbimi Prandaj, mjete të tilla rrjeti janë krijuar për të përgjuar paketa të tilla.

Ekziston edhe një version për sistemet Linux.

Duhet theksuar se sniffer është jashtëzakonisht i dobishëm për administratorët e rrjetit dhe shërbimi siguria kompjuterike, sepse programi ju lejon të identifikoni nyjet e rrjetit potencialisht të pambrojtura - zona të mundshme që mund të sulmohen nga hakerat.

Përveç qëllimit të tij të drejtpërdrejtë, Wireshark mund të përdoret si një mjet për monitorimin dhe analizimin e mëtejshëm të trafikut të rrjetit për të organizuar një sulm në pjesë të pambrojtura të rrjetit, sepse trafiku i përgjuar mund të përdoret për të arritur qëllime të ndryshme.

Çfarë është Intercepter-NG

Le të shqyrtojmë thelbin e funksionimit të ARP-së shembull i thjeshtë... Kompjuteri A (adresa IP 10.0.0.1) dhe Kompjuteri B (adresa IP 10.22.22.2) janë të lidhur nga një rrjet Ethernet. Kompjuteri A dëshiron të dërgojë një paketë të dhënash në kompjuterin B dhe njeh adresën IP të kompjuterit B. Megjithatë, rrjeti Ethernet me të cilin janë lidhur nuk funksionon me adresat IP. Prandaj, kompjuteri A duhet të dijë adresën e kompjuterit B në rrjetin Ethernet (adresa MAC në terma Ethernet) në mënyrë që të transmetojë përmes Ethernetit. Për këtë detyrë përdoret protokolli ARP. Ky protokoll përdor kompjuterin A për të dërguar një kërkesë transmetimi te të gjithë kompjuterët në të njëjtin domen transmetimi. Thelbi i kërkesës: "kompjuter me adresë IP 10.22.22.2, tregoni adresën tuaj MAC kompjuterit me adresë MAC (p.sh. a0: ea: d1: 11: f1: 01)". Rrjeti Ethernet ia dorëzon këtë kërkesë të gjitha pajisjeve në të njëjtin segment Ethernet, duke përfshirë kompjuterin B. Kompjuteri B i përgjigjet kërkesës kompjuterit A dhe raporton adresën e tij MAC (p.sh. 00: ea: d1: 11: f1: 11) Tani, Pasi të ketë marrë adresën MAC të kompjuterit B, kompjuteri A mund të transmetojë çdo të dhënë tek ai përmes rrjetit Ethernet.

Për të shmangur nevojën për të përdorur protokollin ARP përpara çdo dërgimi të të dhënave, adresat MAC të marra dhe adresat IP përkatëse regjistrohen në tabelë për ca kohë. Nëse keni nevojë të dërgoni të dhëna në të njëjtën IP, atëherë nuk ka nevojë të anketoni pajisjet çdo herë në kërkim të MAC-së së dëshiruar.

Siç e pamë sapo, ARP përfshin një kërkesë dhe një përgjigje. Adresa MAC nga përgjigja shkruhet në tabelën MAC / IP. Pas marrjes së një përgjigje, ajo nuk verifikohet në asnjë mënyrë për autenticitetin. Madje, as nuk kontrollohet nëse kërkesa është bërë. ato. ju mund të dërgoni menjëherë një përgjigje ARP në pajisjet e synuara (edhe pa kërkesë), me të dhëna të falsifikuara, dhe këto të dhëna do të përfshihen në tabelën MAC / IP dhe ato do të përdoren për transmetimin e të dhënave. Ky është thelbi i sulmit të mashtrimit ARP, i cili nganjëherë quhet helmim ARP, helmim i cache ARP.

Përshkrimi i sulmit të mashtrimit të ARP-së

Dy kompjuterë (nyje) M dhe N në rrjetin lokal Ethernet shkëmbejnë mesazhe. Sulmuesi X në të njëjtin rrjet dëshiron të përgjojë mesazhet midis këtyre nyjeve. Para se të përdorni ARP-spoofing sulm në ndërfaqja e rrjetit nyja M tabela ARP përmban IP dhe Adresa mac nyja N. Gjithashtu në ndërfaqen e rrjetit të nyjës N, tabela ARP përmban IP dhe MAC të nyjës M.

Gjatë një sulmi të mashtrimit ARP, hosti X (sulmuesi) dërgon dy përgjigje ARP (pa kërkesë) - në host M dhe në host N. Përgjigja ARP ndaj hostit M përmban adresën IP N dhe adresën MAC të X. ARP Përgjigja ndaj hostit N përmban adresën IP M dhe adresën MAC X.

Meqenëse kompjuterët M dhe N mbështesin ARP spontane, pasi marrin një përgjigje ARP, ata ndryshojnë tabelat e tyre ARP, dhe tani tabela ARP M përmban adresën MAC X të lidhur me adresën IP N, dhe tabela ARP N përmban adresën MAC X të lidhur me M.

Kështu, sulmi i mashtrimit ARP përfundon dhe tani të gjitha paketat (kornizat) ndërmjet M dhe N kalojnë përmes X. Për shembull, nëse M dëshiron të dërgojë një paketë në N, atëherë M shikon tabelën e tij ARP, gjen një hyrje me adresa IP e hostit N, zgjedh adresën MAC prej andej (dhe tashmë ka adresën MAC të nyjës X) dhe transmeton paketën. Paketa arrin në ndërfaqen X, analizohet prej saj dhe më pas përcillet në nyjen N.