Մենյու
տունՀամակարգի կոմունալ ծառայություններ

Ներկառուցված sniffer. Ինչու են անհրաժեշտ Sniffers - ինչ են դրանք և ինչպես են դրանք օգտագործվում: Wireshark տրաֆիկի վերլուծություն

Sniffer-ը կամ տրաֆիկի անալիզատորը (անգլերենից sniff - sniff) ցանցային երթևեկության անալիզատոր է, ծրագիր կամ ապարատային-ծրագրային սարք, որը նախատեսված է այլ հանգույցների համար նախատեսված ցանցային տրաֆիկի վերլուծության և հետագա վերլուծության համար:
Սնիֆերը կարող է միայն վերլուծել, թե ինչ է անցնում իր ցանցային քարտով: Ethernet ցանցի մեկ սեգմենտի շրջանակներում բոլոր փաթեթներն ուղարկվում են բոլոր մեքենաներին, ինչը հնարավորություն է տալիս գաղտնալսել այլ մարդկանց տեղեկատվությունը: Անջատիչների օգտագործումը (switch, switch-hub) և դրանց ճիշտ կոնֆիգուրացիան արդեն իսկ պաշտպանություն է գաղտնալսումից: Սեգմենտների միջև տեղեկատվությունը փոխանցվում է անջատիչների միջոցով: Փաթեթների փոխարկումը փոխանցման մի ձև է, որի դեպքում տվյալները, բաժանված առանձին փաթեթների, կարող են ուղարկվել սկզբնակետից դեպի նպատակակետ տարբեր ուղիներով: Այսպիսով, եթե ինչ-որ մեկը մեկ այլ հատվածում որևէ փաթեթ ուղարկի դրա ներսում, ապա անջատիչը չի ուղարկի այս տվյալները ձեր հատվածին:
Երթևեկության հետախուզումը կարող է իրականացվել.
...

0 0

Այս հոդվածում ես կբացատրեմ, թե ինչ է sniffer-ը, ինչպես օգտագործել այն, ստուգել կեղծիքի առկայությունը և ինչ է ID PASS-ը:
Այն, ինչ մեզ անհրաժեշտ է դրա համար.
-sniffer socketsniff կամ smsniff
- 2 ձեռքեր
- 1 գլուխ
-9 ավարտված պարապմունք:Դ

Ես ձեզ չեմ բացատրի, թե ինչ է sniffer-ը, կարծում եմ շատերն են լսել դրա մասին:
Մանրամասն կարող եք կարդալ այստեղ
http://ru.wikipedia.org/wiki/%D0%90%D0% ... 0%BA%D0%B0
Նախ, ներբեռնեք sniffer-ը
http://www.nirsoft.net/utils/socketsniff.zip
Հարմար է նրանով, որ դուք կարող եք հոտ քաշել ձեր ընտրած միայն մեկ հավելվածից, և գործող մյուս ծրագրերը մեզ չեն խանգարի:
Դե, եկեք սկսենք, նախ ստուգենք ծրագիրը ամբողջական վիրուսի համար http://www.virustotal.com/ (արդյո՞ք նրանք կեղծի փոխարեն տրոյական են տվել մեզ)
Եկեք ստուգենք՝ պետք է գործարկենք այն, թե ոչ, մի մոռացեք, որ հակավիրուսը կարող է հայհոյել փաթեթավորողին։
Հաջորդը, գործարկեք ներբեռնված ծրագիրը (օրինակ, ես կեղծ կվերցնեմ Ասյա կոդերը ուղարկելով)
Մենք գործարկում ենք socketsniff-ը և գործընթացներում փնտրում մեր ծրագիրը...

0 0

Sniffers-ը գաղտնալսող ծրագրեր են
բոլորը ցանցային տրաֆիկ. Sniffer-ները օգտակար են ցանցային ախտորոշման համար (ադմինիստրատորների համար) և
գաղտնաբառերը կտրելու համար (պարզ է, թե ում համար :)): Օրինակ, եթե մուտք եք ստացել
մեկ ցանցային մեքենա և այնտեղ տեղադրեց sniffer,
ապա շուտով բոլոր գաղտնաբառերը
նրանց ենթացանցերը կլինեն ձերը: Sniffers հավաքածու
ցանցային քարտ լսելիս
ռեժիմ (PROMISC): Այսինքն, նրանք ստանում են բոլոր փաթեթները: Տեղում դուք կարող եք ընդհատել
բոլոր ուղարկված փաթեթները բոլոր մեքենաներից (եթե դուք առանձնացված չեք որևէ հանգույցով),
Այսպիսով
Ինչպե՞ս է այնտեղ հեռարձակվում:
Sniffers-ը կարող է գաղտնալսել ամեն ինչ
փաթեթներ (ինչը շատ անհարմար է, գրանցամատյանի ֆայլը սարսափելի արագ է լցվում,
բայց ցանցի ավելի մանրամասն վերլուծության համար դա կատարյալ է)
կամ միայն առաջին բայթերը բոլոր տեսակիներից
ftp, telnet, pop3 և այլն: (սա զվարճալի մասն է, սովորաբար առաջին 100 բայթում
պարունակում է օգտվողի անուն և գաղտնաբառ :)): Sniffers հիմա
ամուսնալուծված... Շառաչողները շատ են
ինչպես Unix-ում, այնպես էլ Windows-ում...

0 0

What_is_sniffer_

Ներածություն

Հուսով եմ, որ այս հոդվածը լավ ներածություն կլինի sniffers-ի համար սկսնակ հաքերների, ինչպես նաև նրանց համար, ովքեր գործ են ունեցել նրանց հետ:

Ի՞նչ է Sniffer-ը:

Sniffer-ը ծրագիր է, որը տեղադրվում է NIC-ի (Network Interface Card) տակ, այլ կերպ կոչվում է Ethernet քարտ (անհրաժեշտ սարքավորումներից մեկը՝ համակարգիչները ֆիզիկապես միացնելու համար: տեղական ցանց) Ինչպես գիտեք, ցանցի միջոցով տեղեկատվությունը փոխանցվում է փաթեթներով՝ ձեր մեքենայից դեպի հեռավոր, այնպես որ միջանկյալ համակարգչի վրա տեղադրված սնիֆերը, որի միջով կանցնեն փաթեթները, ի վիճակի է դրանք գրավել նախքան թիրախին հասնելը: Տարբեր սնիֆերներ տարբեր կերպ են իրականացնում տեղեկատվության հավաքագրման գործընթացը, ավելին` ստորև:

(ձեր համակարգիչը) -> (հարևան համակարգիչ) -> (համակարգիչ սնուցիչով) -> (հեռավոր համակարգիչ)
Ստանդարտ փաթեթը կանցնի «ձեր համակարգչից» ցանցի միջոցով: Նա կանցնի ամեն...

0 0

Sniffers-ը ծրագրեր են, որոնք ընդհատում են ցանցի ողջ տրաֆիկը: Sniffer-ները օգտակար են ցանցային ախտորոշման համար (ադմինիստրատորների համար) և գաղտնաբառերը խափանելու համար (պարզ է, թե ում համար): Օրինակ, եթե դուք մուտք եք գործել մեկ ցանցային մեքենա և այնտեղ տեղադրել sniffer, ապա շուտով նրանց ենթացանկի բոլոր գաղտնաբառերը կլինեն ձերը: Sniffer-ները ցանցային քարտը դնում են լսելու ռեժիմի (PROMISC), այսինքն՝ ստանում են բոլոր փաթեթները։ Տեղական ցանցում դուք կարող եք գաղտնալսել բոլոր ուղարկված փաթեթները բոլոր մեքենաներից (եթե ձեզ չեն բաժանում որևէ հանգույց), քանի որ այնտեղ հեռարձակում է իրականացվում: Sniffers-ը կարող է ընդհատել բոլոր փաթեթները (ինչը շատ անհարմար է, գրանցամատյանի ֆայլը ահավոր արագ է լցվում, բայց ցանցի ավելի մանրամասն վերլուծության համար դա կատարյալ է) կամ միայն առաջին բայթերը ցանկացած ftp-ից, telnet-ից, pop3-ից և այլն: Սնիֆերները հիմա շատ են... Ե՛վ Յունիքսի, և՛ Վինդոուսի համար (նույնիսկ DOS-ներ կան): Sniffer-ները կարող են աջակցել միայն կոնկրետ օպերացիոն համակարգին (օրինակ՝ Linux_sniffer.c-ն, որն աջակցում է Linux-ին), կամ...

0 0

Wireshark: Ինչպե՞ս օգտագործել:

Բարև, ընկերներ: Այս հոդվածում ես կփորձեմ բացատրել և խոսել ամենակարևոր բաների մասին, որոնք դուք պետք է իմանաք Wireshark-ը Linux-ում օգտագործելիս և ցույց կտամ երեք տեսակի ցանցային տրաֆիկի վերլուծություն: Այս ձեռնարկը վերաբերում է նաև Wireshark-ն աշխատում է Windows-ի տակ:

Եթե ​​դուք նոր եք տեղեկատվական անվտանգություն, իսկ դուք շատ լավ հասկանում եք, թե ինչ է sniffer-ը (թրաֆիկի անալիզատորը), խորհուրդ եմ տալիս կարդալ What is a sniffer հոդվածը, և միայն դրանից հետո կարդալ այս հոդվածը Wireshark-ի օգտագործման մասին։

Wireshark-ը շատ տարածված և չափազանց հմուտ ցանցային արձանագրության անալիզատոր է, որը մշակվել է Ջերալդ Կոմբսի կողմից: Wireshark-ը ստեղծվել է 2006 թվականի հունիսին, երբ Combs-ը վերանվանեց իր ստեղծած ցանցային գործիքը՝ Ethereal, քանի որ նա փոխել էր աշխատանքը և այլևս չէր կարող օգտագործել հին անունը: Այսօր մարդկանց մեծ մասն օգտագործում է Wireshark-ը, և Ethereal-ը պատմություն է:

Wireshark. լավագույն sniffer

Դուք կարող եք մտածել, թե ինչ Wireshark...

0 0

Sniffer-ը կամ երթեւեկության անալիզատորն է հատուկ ծրագիր, որն ի վիճակի է գաղտնալսելու և/կամ վերլուծելու այլ հանգույցների համար նախատեսված ցանցային տրաֆիկը։ Ինչպես գիտեք, տեղեկատվությունը ցանցի միջոցով փոխանցվում է փաթեթներով՝ օգտագործողի մեքենայից դեպի հեռավոր մեքենա, այնպես որ, եթե միջանկյալ համակարգչի վրա տեղադրեք sniffer, այն կգրավի անցնող փաթեթները՝ նախքան դրանք հասնելը թիրախին:

Մի աչքառողի աշխատանքը կարող է էականորեն տարբերվել մյուսի աշխատանքից։ Ստանդարտ փաթեթը սկսում է իր շարժումը օգտատիրոջ համակարգչից, այնուհետև ցանցի յուրաքանչյուր համակարգչի միջով՝ անցնելով «հարևան համակարգչով», «սնիֆերով հագեցած համակարգիչով» և վերջանալով « հեռավոր համակարգիչ« Սովորական մեքենան ուշադրություն չի դարձնում այն ​​փաթեթին, որը նախատեսված չէ իր IP հասցեի համար, բայց sniffer ունեցող մեքենան անտեսում է այս կանոնները և ընդհատում ցանկացած փաթեթ, որն ավարտվում է իր «գործունեության ոլորտում»: Սնիֆերը նույնն է, ինչ ցանցային անալիզատորը, բայց անվտանգության ընկերությունները և Դաշնային կառավարությունը...

0 0

sniff - sniff) - ցանցային երթևեկության անալիզատոր, ծրագիր կամ ապարատային և ծրագրային սարք, որը նախատեսված է այլ հանգույցների համար նախատեսված ցանցային տրաֆիկը որսալու և հետագայում վերլուծելու կամ միայն վերլուծելու համար:

Սնիֆերը կարող է միայն վերլուծել, թե ինչ է անցնում իր ցանցային քարտով: Ethernet ցանցի մեկ սեգմենտի շրջանակներում բոլոր փաթեթներն ուղարկվում են բոլոր մեքենաներին, ինչը հնարավորություն է տալիս գաղտնալսել այլ մարդկանց տեղեկատվությունը: Անջատիչների օգտագործումը (switch, switch-hub) և դրանց ճիշտ կոնֆիգուրացիան արդեն իսկ պաշտպանություն է գաղտնալսումից: Սեգմենտների միջև տեղեկատվությունը փոխանցվում է անջատիչների միջոցով: Փաթեթների փոխարկումը փոխանցման մի ձև է, որի դեպքում տվյալները, բաժանված առանձին փաթեթների, կարող են ուղարկվել սկզբնակետից դեպի նպատակակետ տարբեր ուղիներով: Այսպիսով, եթե ինչ-որ մեկը մեկ այլ հատվածում որևէ փաթեթ ուղարկի դրա ներսում, ապա անջատիչը չի ուղարկի այս տվյալները ձեր հատվածին:

Երթևեկության հետախուզումը կարող է իրականացվել.

  • ցանցային ինտերֆեյսի կանոնավոր «լսում» (մեթոդը արդյունավետ է, երբ օգտագործվում է սեգմենտում »-ի փոխարեն, հակառակ դեպքում մեթոդն անարդյունավետ է, քանի որ միայն առանձին շրջանակներ են հասնում sniffer-ին);
  • sniffer-ի միացում ալիքի բացին;
  • ճյուղավորել (ծրագրային կամ ապարատային) երթևեկությունը և դրա պատճենն ուղղել սնիֆերին ();
  • կողմնակի էլեկտրամագնիսական ճառագայթման վերլուծության և այդպիսով գաղտնալսված երթևեկության վերականգնման միջոցով.
  • () կամ շերտի վրա հարձակման միջոցով, որը հանգեցնում է զոհի երթևեկի կամ հատվածի ողջ երթևեկության վերահղմանը դեպի sniffer և այնուհետև վերադարձնելով երթևեկությունը ճիշտ հասցեին:

    • 1990-ականների սկզբին այն լայնորեն օգտագործվում էր օգտվողների մուտքերն ու գաղտնաբառերը գրավելու համար, որոնք փոխանցվում են չգաղտնագրված կամ թույլ կոդավորված մի շարք ցանցային արձանագրություններում: Համատարած բաշխումը հնարավորություն է տվել առանց ջանքերի գրավել երթևեկությունը ցանցի մեծ հատվածներում՝ գրեթե առանց հայտնաբերման ռիսկի:

Անշուշտ շատ օգտվողներ համակարգչային համակարգերլսել եմ «sniffer»-ի մասին, չնայած ոչ բոլորն են լիովին հասկանում, թե դա ինչ է նշանակում այս հայեցակարգը. Նաև այսօր մենք կարող ենք բացահայտել օգտվողների բավականին սահմանափակ շրջանակ, ովքեր գիտեն, թե ինչպես և որտեղ են օգտագործվում նման ծրագրերն ու ապարատային բաղադրիչները: Փորձենք պարզել, թե ինչն ինչ է:

Ի՞նչ է sniffer-ը:

Նախ, եկեք նայենք սահմանմանը այս տերմինը. Այս հարցի էությունը հասկանալու համար նախ պետք է թարգմանել «sniffer» բառը։ Եթե ​​թարգմանվում է բառացի, ապա դեպի Անգլերեն Լեզու sniffer նշանակում է sniffer. Ավելի պարզ ասած, սա ծրագիր կամ սարքավորում է, որը, հիմնվելով տրաֆիկի վերլուծության վրա՝ փոխանցված և ստացված տվյալների տեսքով, կարող է արդյունահանել բոլոր անհրաժեշտ տեղեկությունները, օրինակ՝ կոդավորված գաղտնաբառեր, արտաքին ցանցի IP հասցեներ կամ գաղտնի տեղեկատվություն: sniffers իրենք կարող են օգտագործվել ինչպես վնաս, այնպես էլ լավ:

Sniffers. հիմնական տեսակները

Եթե ​​խոսենք սնիֆերների հիմնական տեսակների մասին, ապա դա անպայման չի կարող լինել ծրագրային ապահովում, որը տեղադրված է համակարգչային տերմինալի վրա կամ նախագծված է որպես առցանց հավելված։ Բավականին հաճախ այսօր կարելի է գտնել «ապարատային» սարքավորումների կամ դրա բաղադրիչների տեսքով սնուցիչներ, որոնք համատեղում են ֆիզիկական և ծրագրային հատկանիշները: Սնիֆերների հիմնական դասակարգումը ներառում է հետևյալ տեսակները.

- ծրագրային ապահովում;

- ապարատային;

- ապարատային և ծրագրային ապահովում;

— առցանց բաղադրիչներ:

Նաև հիմնական դասակարգման մեջ բաժանումը կարելի է առանձնացնել ըստ վերլուծության ուղղության։ Ամենատարածված տեսակը, օրինակ, գաղտնաբառի խուզարկիչն է: Հիմնական խնդիրը այս գործիքիբաց կամ կոդավորված մուտքի կոդերի կամ այլ տեղեկատվության արդյունահանումն է տեղեկատվական փաթեթներից: Կան նաև սնիֆերներ, որոնք ներառում են համակարգչային կոնկրետ տերմինալի IP հասցեների հաշվարկ՝ օգտատիրոջ համակարգչին և դրա վրա պահվող տեղեկատվությանը մուտք գործելու համար:

Ինչպես է դա աշխատում? Ցանցային տրաֆիկի գաղտնալսման տեխնոլոգիան կարող է կիրառվել միայն TCP/IP արձանագրությունների վրա կառուցված ցանցերի, ինչպես նաև միջոցով իրականացվող կապերի վրա ցանցային քարտեր Ethernet. Անլար ցանցերը նույնպես կարող են վերլուծվել: Նման համակարգում սկզբում դեռ կա լարային կապ (բաշխող ստացիոնար համակարգչի կամ նոութբուքի, երթուղիչի հետ): Ցանցում տվյալների փոխանցումն իրականացվում է ոչ թե որպես մեկ բլոկի, այլ բաժանելով այն ստանդարտ հատվածների և փաթեթների, որոնք ստացող կողմի կողմից ստացվելիս միավորվում են մեկի մեջ։ Sniffers-ը կարող է վերահսկել յուրաքանչյուր հատվածի հաղորդման տարբեր ալիքները: Երբ անպաշտպան փաթեթները փոխանցվում են միացված սարքերին, ինչպիսիք են անջատիչները, հանգույցները, երթուղիչները, համակարգիչները կամ շարժական սարքերարդյունահանումն իրականացվում է անհրաժեշտ տեղեկատվություն, որը կարող է պարունակել գաղտնաբառեր: Գաղտնաբառի կոտրումը դառնում է տեխնիկական խնդիր, հատկապես, եթե այն ճիշտ գաղտնագրված չէ: Նույնիսկ օգտագործելիս ժամանակակից տեխնոլոգիաներծածկագրման գաղտնաբառը, այն կարող է փոխանցվել համապատասխան բանալիով: Եթե ​​տրված բանալին բաց տեսակ, ապա գաղտնաբառը ստանալը շատ հեշտ կլինի։ Եթե ​​բանալին գաղտնագրված է, ապա հարձակվողը կարող է օգտագործել գաղտնազերծող ծրագիր: Սա դեռ կհանգեցնի տվյալների խախտման, ի վերջո:

Որտե՞ղ կարող է օգտագործվել ցանցային ախտահանիչը: Կիրառման տարածք

Սնիֆերների օգտագործման շրջանակը բավականին յուրահատուկ է. Դուք չպետք է մտածեք, որ ռուսերեն լեզվով որոշ հարմար sniffer-ը բացառապես գործիք է հաքերների համար, ովքեր փորձում են չարտոնված միջամտություն կատարել ցանցային տրաֆիկին՝ ձեռք բերելու համար: կարեւոր տեղեկություններ. Sniffers-ը կարող է օգտագործվել նաև պրովայդերների կողմից, ովքեր իրենց տվյալների հիման վրա վերլուծում են իրենց օգտատերերի տրաֆիկը, դրանով իսկ բարձրացնելով համակարգչային համակարգերի անվտանգությունը: Նման սարքավորումներն ու հավելվածները կոչվում են հակասնիֆերներ, բայց իրականում դրանք սովորական հոտառիչներ են, որոնք աշխատում են հակառակ ուղղությամբ։ Իհարկե, ոչ ոք օգտատերերին չի տեղեկացնում մատակարարի կողմից նման գործողությունների մասին։ Բացի այդ, դա այնքան էլ իմաստ չունի։ Քիչ հավանական է, որ սովորական օգտագործողը կարողանա ինքնուրույն որևէ արդյունավետ միջոց ձեռնարկել: Մատակարարի համար տրաֆիկի վերլուծությունը հաճախ շատ է կարևոր կետ, ուստի այն կարող է կանխել դրսից ցանցերի աշխատանքին միջամտելու փորձերը: Վերլուծելով փոխանցված փաթեթների հասանելիությունը՝ կարող եք հետևել չարտոնված մուտքնրանց նույնիսկ արտաքին IP հասցեների հիման վրա, որոնք փորձում են գաղտնալսել փոխանցված հատվածները: Սա ամենապարզ օրինակն է։ Ընդհանուր առմամբ, տեխնոլոգիան շատ ավելի բարդ է թվում:

Ինչպե՞ս որոշել sniffer-ի առկայությունը:

Առայժմ մի կողմ թողնենք «sniffer» հասկացությունը։ Արդեն մի փոքր պարզ է, թե դա ինչ է: Այժմ տեսնենք, թե ինչ նշաններով կարող եք ինքնուրույն որոշել, թե արդյոք խափանողը «գաղտնալսում է»: Եթե, ընդհանուր առմամբ, համակարգչային համակարգում ամեն ինչ կարգին է, և ինտերնետ կապն ու ցանցային սարքավորումներն աշխատում են առանց խափանումների, ապա արտաքին միջամտության առաջին նշանը տվյալների փոխանցման արագության նվազումն է՝ համեմատած մատակարարի հայտարարածի: IN օպերացիոն համակարգեր Windows-ի ընտանիքը, սովորական օգտագործողը դժվար թե կարողանա որոշել օգտագործելու արագությունը ստանդարտ միջոցներնույնիսկ կարգավիճակի ընտրացանկը զանգահարելիս՝ սեղմելով կապի պատկերակը: Այստեղ նշված է միայն ստացված և ուղարկված փաթեթների քանակը: Արագության նվազումը կարող է պայմանավորված լինել ռեսուրսի հասանելիության սահմանափակումներով: Լավ կլինի օգտագործել հատուկ անալիզատորի կոմունալ ծառայություններ: Հատկանշական է, որ նրանք աշխատում են սնոտի սկզբունքով։ Միակ կետը, որին պետք է ուշադրություն դարձնել, այն է, որ այս տիպի ծրագրերը տեղադրվելուց հետո կարող են առաջացնել սխալներ, որոնք հայտնվում են firewalls-ի հետ կոնֆլիկտների արդյունքում ( երրորդ կողմի ծրագրերկամ ներկառուցված Windows firewall): Այդ իսկ պատճառով վերլուծության պահին խորհուրդ է տրվում ամբողջությամբ անջատել պաշտպանիչ էկրանները:

Եզրակացություն

Մենք համառոտ ուսումնասիրեցինք այն հիմնական խնդիրները, որոնք վերաբերում են այնպիսի հասկացությանը, ինչպիսին է «շնչող»: Հիմա, սկզբունքորեն, պետք է պարզ լինի, թե դա ինչ է անվտանգության կամ հաքերային գործիքի տեսանկյունից։ Մնում է միայն մի քանի խոսք ավելացնել առցանց հավելվածների մասին։ Մեծ մասամբ դրանք կարող են օգտագործվել հարձակվողների կողմից՝ զոհի IP հասցեն և մուտքը ձեռք բերելու համար գաղտնի տեղեկատվություն. Նման առցանց sniffer-ը նաև կատարում է իր անմիջական գործառույթը, փոխվում է նաև հարձակվողի IP հասցեն: Այս հավելվածները որոշակիորեն հիշեցնում են անանուն վստահված սերվերներ, որոնք թաքցնում են օգտատիրոջ իրական IP հասցեն։ Հասկանալի պատճառներով, նման ինտերնետային ռեսուրսների վերաբերյալ տվյալներ չեն տրամադրվում, ուստի միջամտություն այլ մարդկանց համակարգչային համակարգերի աշխատանքին՝ թվացյալ պաշտոնապես հրապարակվածների օգնությամբ: ծրագրային արտադրանք, քրեական հանցագործություն է և անօրինական։

Սնիֆերը կամ երթևեկության անալիզատորը հատուկ ծրագիր է, որն ի վիճակի է արգելափակել և/կամ վերլուծել ցանցի տրաֆիկը, որը նախատեսված է այլ հանգույցների համար: Ինչպես գիտեք, տեղեկատվությունը ցանցով փոխանցվում է փաթեթներով՝ օգտագործողից մինչև հեռավոր մեքենա, այնպես որ, եթե միջանկյալ համակարգչի վրա տեղադրեք sniffer, այն կգրավի անցնող փաթեթները՝ նախքան դրանք հասնելը թիրախին:

Մի աչքառողի աշխատանքը կարող է էականորեն տարբերվել մյուսի աշխատանքից։ Ստանդարտ փաթեթը սկսում է իր շարժումը օգտատիրոջ համակարգչից, այնուհետև ցանցի յուրաքանչյուր համակարգչի միջով, անցնելով «հարևան համակարգչով», «սնիֆերով հագեցած համակարգիչով» և ավարտվում «հեռավոր համակարգչով»: Սովորական մեքենան ուշադրություն չի դարձնում այն ​​փաթեթին, որը նախատեսված չէ իր IP հասցեի համար, բայց sniffer ունեցող մեքենան անտեսում է այս կանոնները և ընդհատում ցանկացած փաթեթ, որն ավարտվում է իր «գործունեության ոլորտում»: Sniffer-ը նույնն է, ինչ ցանցային անալիզատորը, սակայն անվտանգության ընկերությունները և Դաշնային կառավարությունը նախընտրում են անվանել այն:

Պասիվ հարձակում

Հաքերներն ամենուր օգտագործում են այս սարքը՝ ուղարկվող տեղեկատվությունը վերահսկելու համար, և սա ոչ այլ ինչ է, քան հարձակում: Այսինքն՝ չկա ուղղակի ներխուժում ուրիշի ցանց կամ համակարգիչ, բայց կա հնարավորություն ստանալ ցանկալի տեղեկատվություն և գաղտնաբառեր։ Ի տարբերություն հեռավոր հոսթինգի և ցանցային բուֆերների արտահոսքի հետ կապված ակտիվ հարձակումների, պասիվ սնիֆերի հարձակումը հնարավոր չէ հայտնաբերել: Նրա գործունեության հետքերը ոչ մի տեղ չեն գրանցվում։ Բայց, այնուամենայնիվ, նրա գործողությունների բնույթը երկիմաստության տեղ չի թողնում։

Այս սարքըթույլ է տալիս ստանալ ցանցում փոխանցվող ցանկացած տեսակի տեղեկատվություն՝ գաղտնաբառեր, էլեկտրոնային հասցե, գաղտնի փաստաթղթեր և այլն: Ավելին, որքան մոտ է տեղադրվում sniffer-ը հիմնական մեքենային, այնքան ավելի շատ հնարավորություններ ունի այն ստանալու. գաղտնի տեղեկատվություն.

Սնիֆերների տեսակները

Առավել հաճախ օգտագործվող սարքերն այն սարքերն են, որոնք կարճ ժամանակով տեղեկատվություն են հավաքում և գործում են փոքր ցանցերում: Փաստն այն է, որ sniffer-ը, որը կարող է անընդհատ վերահսկել փաթեթները, մեծ էներգիա է սպառում կենտրոնական պրոցեսոր, որպեսզի սարքը հնարավոր լինի հայտնաբերել։ Խոշոր ցանցերում տվյալների փոխանցման մեծ պրոտոկոլներով աշխատող սնիֆերները կարող են օրական մինչև 10 ՄԲ գեներացնել, եթե դրանք սարքավորված են ամբողջ խոսակցական տրաֆիկը ձայնագրելու համար: Իսկ եթե և մշակվի, ապա ծավալները կարող են էլ ավելի մեծ լինել։ Գոյություն ունի նաև sniffer-ի տեսակ, որը գրանցում է փաթեթի միայն առաջին մի քանի բայթերը՝ անունը և գաղտնաբառը գրավելու համար: Որոշ սարքեր առևանգում են ամբողջ նիստը և անջատում բանալին: Սնիֆերի տեսակն ընտրվում է՝ կախված ցանցի հնարավորություններից և հաքերի ցանկություններից։

Wireshark-ը հզոր ցանցային անալիզատոր է, որը կարող է օգտագործվել ձեր համակարգչի ցանցային միջերեսով անցնող թրաֆիկը վերլուծելու համար: Դա ձեզ կարող է անհրաժեշտ լինել ցանցային խնդիրները հայտնաբերելու և լուծելու, ձեր վեբ հավելվածները վրիպազերծելու համար, ցանցային ծրագրերկամ կայքեր: Wireshark-ը թույլ է տալիս ամբողջությամբ դիտել փաթեթի բովանդակությունը բոլոր մակարդակներում, որպեսզի կարողանաք ավելի լավ հասկանալ, թե ինչպես է ցանցն աշխատում ցածր մակարդակում:

Բոլոր փաթեթները պահվում են իրական ժամանակում և տրամադրվում են հեշտ ընթերցվող ձևաչափով: Ծրագիրն աջակցում է շատ հզոր զտման համակարգին, գունային ընդգծմանը և այլ հնարավորությունների, որոնք կօգնեն ձեզ գտնել ճիշտ փաթեթներ: Այս ձեռնարկում մենք կանդրադառնանք, թե ինչպես օգտագործել Wireshark-ը թրաֆիկը վերլուծելու համար: Վերջերս մշակողները սկսեցին աշխատել Wireshark 2.0 ծրագրի երկրորդ ճյուղի վրա, շատ փոփոխություններ և բարելավումներ արվեցին դրանում, հատկապես ինտերֆեյսի համար։ Սա այն է, ինչ մենք կօգտագործենք այս հոդվածում:

Նախքան երթևեկության վերլուծության ուղիները քննարկելուն անցնելը, դուք պետք է մտածեք, թե ինչ գործառույթներ է աջակցում ծրագիրը ավելի մանրամասն, ինչ արձանագրություններով կարող է աշխատել և ինչ կարող է անել: Ահա ծրագրի հիմնական հատկանիշները.

  • Փաթեթները իրական ժամանակում գրավել լարային կամ ցանկացած այլ տեսակի ցանցային միջերեսներից, ինչպես նաև կարդալ ֆայլից.
  • Աջակցվում են գրավման հետևյալ միջերեսները. Ethernet, IEEE 802.11, PPP և տեղական վիրտուալ միջերեսներ;
  • Փաթեթները կարող են զտվել բազմաթիվ պարամետրերի հիման վրա՝ օգտագործելով զտիչներ.
  • Բոլոր հայտնի արձանագրությունները ընդգծված են ցանկում տարբեր գույներ, ինչպիսիք են TCP, HTTP, FTP, DNS, ICMP և այլն;
  • Աջակցություն VoIP զանգերի տրաֆիկի գրավման համար;
  • HTTPS տրաֆիկի ապակոդավորումը աջակցվում է, եթե առկա է վկայագիր.
  • WEP և WPA տրաֆիկի վերծանում անլար ցանցերբանալիով և ձեռքսեղմումով;
  • Ցանցի բեռնվածության վիճակագրության ցուցադրում;
  • Դիտեք փաթեթի բովանդակությունը ցանցի բոլոր շերտերի համար;
  • Ցուցադրում է փաթեթների ուղարկման և ստացման ժամանակը:

Ծրագիրն ունի շատ այլ հնարավորություններ, բայց սրանք այն հիմնականներն էին, որոնք կարող են հետաքրքրել ձեզ:

Ինչպես օգտագործել Wireshark-ը

Ենթադրում եմ, որ դուք արդեն տեղադրել եք ծրագիրը, բայց եթե ոչ, կարող եք տեղադրել այն պաշտոնական պահոցներից։ Դա անելու համար մուտքագրեք հրամանը Ubuntu-ում.

sudo apt տեղադրել wireshark

Տեղադրվելուց հետո ծրագիրը կարող եք գտնել բաշխման հիմնական ընտրացանկում: Դուք պետք է գործարկեք Wireshark-ը գերօգտագործողի իրավունքներով, քանի որ հակառակ դեպքում այն ​​չի կարողանա վերլուծել ցանցի փաթեթները: Դա կարելի է անել հիմնական ընտրացանկից կամ տերմինալի միջոցով՝ օգտագործելով KDE-ի հրամանը.

Իսկ Gnome/Unity-ի համար՝

Ծրագրի հիմնական պատուհանը բաժանված է երեք մասի՝ առաջին սյունակը պարունակում է վերլուծության համար հասանելի ցանցային ինտերֆեյսների ցանկ, երկրորդը՝ ֆայլեր բացելու տարբերակներ, իսկ երրորդը՝ օգնություն:

Ցանցային տրաֆիկի վերլուծություն

Վերլուծությունը սկսելու համար ընտրեք ցանցային ինտերֆեյս, օրինակ eth0, և սեղմեք կոճակը Սկսել.

Դրանից հետո կբացվի հետևյալ պատուհանը՝ արդեն ինտերֆեյսի միջով անցնող փաթեթների հոսքով։ Այս պատուհանը նույնպես բաժանված է մի քանի մասի.

  • Վերին մաս- սրանք ընտրացանկեր և վահանակներ են տարբեր կոճակներով.
  • Փաթեթների ցանկ- այնուհետև ցուցադրվում է ցանցային փաթեթների հոսքը, որը դուք կվերլուծեք.
  • Փաթեթի բովանդակությունը- հենց ներքևում է ընտրված փաթեթի պարունակությունը, այն բաժանված է կատեգորիաների՝ կախված տրանսպորտի մակարդակից.
  • Իրական կատարում- ամենաներքևում փաթեթի բովանդակությունը ցուցադրվում է իրական տեսքով, ինչպես նաև HEX ձևով:

Դուք կարող եք սեղմել ցանկացած փաթեթի բովանդակությունը վերլուծելու համար.

Այստեղ մենք տեսնում ենք DNS հարցման փաթեթ՝ կայքի IP հասցեն ստանալու համար, հարցումում ինքնին ուղարկվում է տիրույթը, իսկ պատասխան փաթեթում մենք ստանում ենք մեր հարցը, ինչպես նաև պատասխանը։

Ավելի հարմար դիտելու համար փաթեթը կարող եք բացել նոր պատուհանում՝ կրկնակի սեղմելով մուտքի վրա.

Wireshark զտիչներ

Փաթեթների ձեռքով անցնելը ձեզ անհրաժեշտը գտնելու համար շատ անհարմար է, հատկապես ակտիվ թելի դեպքում: Հետեւաբար, այս առաջադրանքի համար ավելի լավ է օգտագործել զտիչներ: Մենյուի տակ կա հատուկ տող՝ զտիչներ մուտքագրելու համար։ Դուք կարող եք սեղմել Արտահայտությունֆիլտրի դիզայները բացելու համար, բայց դրանք շատ են, ուստի մենք կանդրադառնանք ամենահիմնականներին.

  • ip.dst- թիրախային IP հասցե;
  • ip.src- ուղարկողի IP հասցեն;
  • ip.addr- ուղարկողի կամ ստացողի IP;
  • ip.proto- արձանագրություն;
  • tcp.dstport- նպատակակետ նավահանգիստ;
  • tcp.srcport- ուղարկողի նավահանգիստ;
  • ip.ttl- TTL զտիչ, որոշում է ցանցի հեռավորությունը;
  • http.request_uri- կայքի պահանջվող հասցեն:

Զտիչում դաշտի և արժեքի միջև կապը սահմանելու համար կարող եք օգտագործել հետևյալ օպերատորները.

  • == - հավասար է;
  • != - ոչ հավասար;
  • < - պակաս;
  • > - ավելին;
  • <= - պակաս կամ հավասար;
  • >= - ավելի կամ հավասար;
  • լուցկի- կանոնավոր արտահայտություն;
  • պարունակում է- պարունակում է.

Մի քանի արտահայտություններ միավորելու համար կարող եք օգտագործել.

  • && - երկու արտահայտությունները պետք է ճշմարիտ լինեն փաթեթի համար.
  • || - արտահայտություններից մեկը կարող է ճիշտ լինել.

Այժմ եկեք ավելի սերտ նայենք մի քանի ֆիլտրերի օրինակներով և փորձենք հասկանալ հարաբերությունների բոլոր նշանները:

Նախ, եկեք զտենք 194.67.215 համարին ուղարկված բոլոր փաթեթները: Մուտքագրեք տող ֆիլտրի դաշտում և սեղմեք Դիմել. Հարմարության համար Wireshark ֆիլտրերը կարող են պահպանվել կոճակի միջոցով Պահպանել:

ip.dst == 194.67.215.125

Եվ որպեսզի ստանաք ոչ միայն ուղարկված փաթեթներ, այլ նաև այս հանգույցից ի պատասխան ստացվածները, կարող եք համատեղել երկու պայման.

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Մենք կարող ենք նաև ընտրել փոխանցված մեծ ֆայլեր.

http.content_length > 5000

Բովանդակության տեսակը զտելով՝ մենք կարող ենք ընտրել բոլոր վերբեռնված նկարները; Եկեք վերլուծենք Wireshark-ի տրաֆիկը, փաթեթները, որոնք պարունակում են պատկեր բառը.

http.content_type պարունակում է պատկեր

Զտիչը մաքրելու համար կարող եք սեղմել կոճակը Պարզ. Պատահում է, որ դուք միշտ չէ, որ գիտեք զտման համար անհրաժեշտ բոլոր տեղեկությունները, այլ պարզապես ցանկանում եք ուսումնասիրել ցանցը: Դուք կարող եք փաթեթի ցանկացած դաշտ ավելացնել որպես սյունակ և դիտել դրա բովանդակությունը յուրաքանչյուր փաթեթի ընդհանուր պատուհանում:

Օրինակ, ես ուզում եմ ցուցադրել փաթեթի TTL-ը (ապրելու ժամանակը) որպես սյունակ: Դա անելու համար բացեք փաթեթի տեղեկատվությունը, գտեք այս դաշտը IP բաժնում: Հետո զանգահարեք համատեքստային մենյուև ընտրեք տարբերակը Կիրառել որպես սյունակ:

Նույն կերպ, դուք կարող եք ստեղծել ֆիլտր, որը հիմնված է ցանկացած ցանկալի դաշտի վրա: Ընտրեք այն և բացեք համատեքստի ընտրացանկը, այնուհետև կտտացրեք Կիրառել որպես զտիչկամ Պատրաստել որպես ֆիլտր, ապա ընտրեք Ընտրված էցուցադրել միայն ընտրված արժեքները, կամ Ընտրված չէդրանք հեռացնելու համար.

Նշված դաշտը և դրա արժեքը կկիրառվեն կամ, երկրորդ դեպքում, կտեղադրվեն ֆիլտրի դաշտում.

Այս կերպ դուք կարող եք ֆիլտրում ավելացնել ցանկացած փաթեթի կամ սյունակի դաշտ: Համատեքստի ընտրացանկում կա նաև այս տարբերակը: Արձանագրությունները զտելու համար կարող եք ավելին օգտագործել պարզ պայմաններ. Օրինակ, եկեք վերլուծենք Wireshark տրաֆիկը HTTP և DNS արձանագրությունների համար.

Ծրագրի մեկ այլ հետաքրքիր առանձնահատկությունն այն է, որ Wireshark-ի օգտագործումը օգտատիրոջ համակարգչի և սերվերի միջև որոշակի սեսիա հետևելու համար: Դա անելու համար բացեք փաթեթի համատեքստային ընտրացանկը և ընտրեք Հետևեք TCP հոսքին.

Այնուհետև կբացվի պատուհան, որտեղ դուք կգտնեք սերվերի և հաճախորդի միջև փոխանցված բոլոր տվյալները.

Wireshark-ի խնդիրների ախտորոշում

Ձեզ կարող է հետաքրքրել, թե ինչպես օգտագործել Wireshark 2.0-ը՝ ձեր ցանցում առկա խնդիրները հայտնաբերելու համար: Դա անելու համար պատուհանի ստորին ձախ անկյունում կա կլոր կոճակ, որի վրա սեղմելիս բացվում է պատուհան։ Expet գործիքներ. Դրանում Wireshark-ը հավաքում է բոլոր սխալ հաղորդագրությունները և ցանցային խնդիրները.

Պատուհանը բաժանված է ներդիրների, ինչպիսիք են Սխալներ, Զգուշացումներ, Ծանուցումներ, Զրույցներ: Ծրագիրը կարող է զտել և գտնել բազմաթիվ ցանցային խնդիրներ, և այստեղ դուք կարող եք շատ արագ տեսնել դրանք: Wireshark ֆիլտրերը նույնպես աջակցվում են այստեղ:

Wireshark տրաֆիկի վերլուծություն

Դուք կարող եք շատ հեշտությամբ հասկանալ, թե ինչ են օգտվողները ներբեռնել և ինչ ֆայլեր են դիտել, եթե կապը գաղտնագրված չէ: Ծրագիրը շատ լավ աշխատանք է կատարում բովանդակություն հանելու հարցում:

Դա անելու համար նախ անհրաժեշտ է դադարեցնել երթևեկության գրավումը` օգտագործելով վահանակի կարմիր քառակուսին: Այնուհետև բացեք ընտրացանկը Ֆայլ -> Արտահանման օբյեկտներ -> HTTP: