Software pro sniffování Windows 7. Práce s programem

Když běžný uživatel slyší výraz „čichač“, okamžitě se začne zajímat o to, co to je a proč je to potřeba.

Pokusíme se vše vysvětlit jednoduchým jazykem.

Tento článek však bude určen nejen pro začínající uživatele, ale také pro.

Definice

Čichač je analyzátor dopravy. Provoz jsou zase všechny informace, které procházejí počítačovými sítěmi.

Tento analyzátor sleduje, jaké informace jsou přenášeny. K tomu musí být zachycen. Ve skutečnosti jde o nezákonnou věc, protože se tak lidé často dostávají k cizím datům.

Dá se to přirovnat k vlakové loupeži – klasické zápletce většiny westernů.

Přenášíte některé informace jinému uživateli. Je přepravován „vlakem“, tedy síťovým kanálem.

Idioti z gangu Bloody Joe zachytí vlak a úplně ho vykradou. V našem případě jdou informace dále, to znamená, že je útočníci nekradou v doslovném slova smyslu.

Ale řekněme, že tyto informace jsou hesla, osobní poznámky, fotografie a podobně.

To vše mohou útočníci jednoduše přepsat a vyfotografovat. Tímto způsobem budou mít přístup k citlivým údajům, které byste chtěli skrýt.

Ano, všechny tyto informace budete mít, přijdou k vám.

Ale budete vědět, že úplně cizí lidé vědí to samé. Ale v 21. století se nejvíce cení informace!

V našem případě jde přesně o použitý princip. Někteří lidé zastaví provoz, načtou z něj data a pošlou je dál.

Pravda, v případě snifferů není vždy všechno tak děsivé. Používají se nejen k získání neoprávněného přístupu k datům, ale také k analýze samotného provozu. Jde o důležitou součást práce systémových administrátorů a jednoduše administrátorů různých zdrojů. Stojí za to mluvit o aplikaci podrobněji. Předtím se však dotkneme toho, jak tyto stejné čichadla fungují.

Princip fungování

V praxi mohou být sniffery přenosná zařízení, která jsou doslova umístěna na kabelu a čtou z něj data a programy.

V některých případech jde jednoduše o soubor instrukcí, tedy kódů, které je nutné zadávat v určité sekvenci a v určitém programovacím prostředí.

Podrobněji odposlouchávání dopravy takovými zařízeními lze číst jedním z následujících způsobů:

1 Instalací rozbočovačů místo přepínačů. Naslouchání síťovému rozhraní lze v zásadě provádět i jinými způsoby, ale všechny jsou neúčinné.

2 Připojením doslova snifferu k místu, kde se kanál zlomí. To je přesně to, co bylo diskutováno výše - a je uvedeno malé zařízení, který čte vše, co se pohybuje podél kanálu.

3 Instalace dopravní větve. Tato větev je směrována na jiné zařízení, případně dešifrována a odeslána uživateli.

4 Útok, jehož cílem je zcela přesměrovat provoz na sniffer. Samozřejmě poté, co se informace dostane do čtecího zařízení, je opět odeslána koncovému uživateli, pro kterého byla původně určena. ve své nejčistší podobě!

5 Analýzou elektromagnetického záření, které vznikají v důsledku pohybu dopravy. Jedná se o nejsložitější a málo používanou metodu.

Zde je přibližný diagram, jak funguje druhá metoda.

Pravda, zde je ukázáno, že čtečka je jednoduše připojena ke kabelu.

Ve skutečnosti je to tímto způsobem téměř nemožné.

Faktem je, že koncový uživatel si stále všimne, že v určitém okamžiku došlo k přerušení kanálu.

Samotný princip fungování běžného snifferu je založen na tom, že v rámci jednoho segmentu jsou posílány do všech připojených strojů. Docela hloupá, ale zatím žádná alternativní metoda! A mezi segmenty jsou data přenášena pomocí přepínačů. Zde se objevuje možnost zachycení informací pomocí jedné z výše uvedených metod.

Ve skutečnosti se tomu říká kybernetické útoky a hacking!

Mimochodem, pokud správně nainstalujete stejné přepínače, můžete segment zcela ochránit před všemi druhy kybernetických útoků.

Existují další způsoby ochrany, o kterých si povíme úplně na konci.

Aplikace

Samozřejmě v první řadě má tento koncept výše diskutovanou aplikaci, tedy hackerské útoky a nelegální získávání uživatelských dat.

Kromě toho se ale sniffery používají i v jiných oblastech, konkrétně v práci správci systému.

Zejména taková zařízení resp programy pomáhají provádět následující úkoly:

Jak vidíte, zařízení nebo programy, o kterých uvažujeme, mohou výrazně usnadnit práci správcům systému a dalším lidem, kteří používají sítě. A to jsme všichni.

Nyní přejděme k nejzajímavější části – recenzi programů pro sniffer.

Výše jsme zjistili, že mohou být vyrobeny ve formě fyzických zařízení, ale ve většině případů se používají speciální.

Pojďme je studovat.

Sniffer programy

Zde je seznam nejoblíbenějších takových programů:

CommView. Program je placený, stejně jako všichni ostatní na našem seznamu. Jedna minimální licence stojí 300 USD. Ale software má bohatou funkčnost. První věc, která stojí za zmínku, je schopnost určovat pravidla sami. Můžete se například ujistit, že (tyto protokoly) jsou zcela ignorovány. Je také pozoruhodné, že program umožňuje zobrazit podrobnosti a protokol všech odeslaných paketů. K dispozici je běžná verze a verze Wi-Fi.

SpyNet. To je ve skutečnosti Trojan, ze kterého jsme všichni tak unavení. Dá se ale využít i k ušlechtilým účelům, o kterých jsme mluvili výše. Program zachytí a jsou v provozu. Existuje mnoho neobvyklých funkcí. Můžete například znovu vytvořit stránky na internetu, které „oběť“ navštívila. Je pozoruhodné, že tento software je zdarma, ale je poměrně obtížné jej najít.

BUTTSniffer. Toto je sniffer ve své nejčistší podobě, který pomáhá analyzovat síťové pakety spíše než zachytit hesla jiných lidí a historii prohlížeče. Alespoň si to myslel její autor. Ve skutečnosti se jeho výtvor používá, víte k čemu. Toto je běžný dávkový program, který funguje příkazový řádek. Chcete-li začít, stáhnou se a spustí se dva soubory. „Zachycené“ pakety se ukládají na váš pevný disk, což je velmi výhodné.

Existuje mnoho dalších sniffer programů. Známé jsou například fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer a mnoho dalších. Vyberte si jakýkoli! Ale spravedlivě stojí za zmínku, že nejlepší je CommView.

Podívali jsme se tedy na to, co jsou sniffery, jak fungují a jací jsou.

Nyní se přesuneme z místa hackera nebo správce systému na místo běžného uživatele.

Jsme si dobře vědomi toho, že naše data mohou být odcizena. Co dělat, aby se to nestalo?

Jak se chránit před sniffery

Zde je několik tipů pomůže běžným uživatelům chránit se před útoky sniff:

1 Použijte šifrování. Toto je nejjednodušší a nejviditelnější, ale fungující metoda. Je to velmi jednoduché. Nainstalujte si jej do prohlížeče nebo stejného programu v počítači a používejte internet pouze s ním. Tajemství je v tom, že vaše pakety budou tak šifrované a jejich cesta bude tak nejasná, že je žádný sniffer nezachytí. Další typy šifrování, se kterými se můžete setkat a pracovat s nimi: SSH, S/MIME, S/Key, SHTTP, SSL a tak dále.

2 Použijte AntiSniff pro Windows. Je to velmi pohodlné a volný program, který lze snadno najít na internetu (například). Funguje to extrémně jednoduše – prohledává síť na všechny druhy špionů a hlásí, pokud jsou detekováni. Jedná se o nejjednodušší a nejsrozumitelnější princip, který umožňuje chránit se před kybernetickými útoky.

Rýže. 7. PromiScan

4 Použijte kryptografii a pokud se rozšíří, kryptografický systém s veřejný klíč. Jedná se o speciální šifrovací systém resp elektronický podpis. Jeho „trikem“ je, že klíč je veřejný a každý ho vidí, ale není možné změnit data, protože to musí být provedeno na všech počítačích v síti současně. Výborná metoda - jako návnada na zloděje. V se dočtete o blockchainu, kde se přesně takový systém používá.

5 Nestahujte podezřelé programy, nechoďte na podezřelé stránky a podobně. Každý moderní uživatel o tom ví, a přesto je to hlavní způsob, jak se trojské koně a další ošklivé věci dostanou do vašeho operačního systému. Proto buďte při používání internetu zásadně velmi zodpovědní!

Pokud máte nějaké další otázky, zeptejte se jich v komentářích níže.

Doufáme, že se nám vše podařilo vysvětlit jednoduchým a srozumitelným jazykem.

Potřeba analyzovat síťový provoz může vzniknout z několika důvodů. Sledování bezpečnosti počítače, ladění místní síť, sledování odchozího provozu pro optimalizaci provozu sdíleného internetového připojení – všechny tyto úkoly jsou často na agendě systémových administrátorů i běžných uživatelů. K jejich řešení existuje mnoho utilit zvaných sniffers, a to jak specializovaných, zaměřených na řešení úzké oblasti úkolů, tak multifunkčních „kombinací“, které uživateli poskytují široký výběr nástrojů. Tento článek představuje jednoho ze zástupců posledně jmenované skupiny, konkrétně utilitu CommView vyráběnou společností. Program vám umožňuje jasně vidět úplný obraz provozu procházejícího počítačem nebo segmentem místní sítě; přizpůsobitelný poplašný systém umožňuje varovat před přítomností podezřelých paketů v provozu, výskytem uzlů s abnormálními adresami v síti nebo zvýšením zatížení sítě.

CommView poskytuje možnost udržovat statistiky všech IP připojení, dekódovat IP pakety na nízkou úroveň a analyzovat je. Vestavěný filtrační systém založený na několika parametrech umožňuje konfigurovat sledování výhradně pro potřebné balíčky, což zefektivňuje jejich analýzu. Program dokáže rozpoznat pakety z více než sedmi desítek nejběžnějších protokolů (včetně DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP atd.) a také je ukládat do souborů pro následnou analýzu. V určitých případech mohou být užitečné i různé další nástroje, jako je identifikace výrobce síťového adaptéru podle MAC adresy, rekonstrukce HTML a vzdálené zachycování paketů pomocí volitelného nástroje CommView Remote Agent.

Práce s programem

Nejprve je třeba vybrat síťové rozhraní, na kterém bude provoz sledován.

CommView podporuje téměř jakýkoli typ ethernetového adaptéru - 10, 100 a 1000 Mbit/s, stejně jako analogové modemy, xDSL, Wi-Fi atd. Analýzou provozu ethernetového adaptéru dokáže CommView zachytit nejen příchozí a odchozí, ale také tranzitní pakety adresované libovolnému počítači v segmentu místní sítě. Stojí za zmínku, že pokud je úkolem monitorovat veškerý provoz v segmentu místní sítě, je nutné, aby počítače v něm byly připojeny přes rozbočovač, a nikoli přes přepínač. Některé moderní modely přepínačů mají funkci zrcadlení portů, která jim umožňuje konfigurovat je také pro monitorování sítě pomocí CommView. Můžete si o tom přečíst více. Po výběru požadovaného připojení můžete začít zachycovat pakety. Tlačítka spuštění a zastavení snímání jsou umístěna poblíž řádku pro výběr rozhraní. Pro práci s ovladačem vzdálený přístup, VPN a PPPoE, při instalaci programu je nutné nainstalovat příslušný ovladač.

Hlavní okno programu je rozděleno do několika záložek odpovědných za jednu nebo druhou oblast práce. první z nich, "Aktuální připojení IP", zobrazí podrobné informace o aktuálních IP připojeních počítače. Zde si můžete prohlédnout místní a vzdálenou IP adresu, počet odeslaných a přijatých paketů, směr přenosu, počet vytvořených IP relací, porty, název hostitele (pokud není v nastavení programu zakázána funkce rozpoznávání DNS) a název procesu přijímajícího nebo vysílajícího pakety pro tuto relaci. Nejnovější informace nejsou k dispozici pro tranzitní pakety nebo na počítačích běžících pod Ovládání Windows 9x/ME.

Karta Aktuální připojení IP

Pokud kliknete pravým tlačítkem na libovolné připojení, otevře se kontextová nabídka, kde najdete nástroje, které usnadňují analýzu připojení. Zde vidíte množství dat přenesených v rámci připojení, úplný seznam použité porty, podrobné informace o procesu přijímání nebo odesílání paketů pro tuto relaci. CommView umožňuje vytvářet aliasy pro MAC a IP adresy. Například zadáním aliasů namísto těžkopádných digitálních adres počítačů v místní síti můžete získat snadno čitelná a zapamatovatelná jména počítačů a usnadnit tak analýzu připojení.

Chcete-li vytvořit alias pro IP adresu, musíte vybrat kontextové menu postupně položky „Vytvořit alias“ a „pomocí místní IP“ nebo „pomocí vzdálené IP“. V okně, které se objeví, bude již vyplněno pole IP adresa a zbývá pouze zadat vhodný název. Li nový záznam IP název vytvořený kliknutím pravé tlačítko klikněte na balíček, pole pro jméno se automaticky vyplní názvem hostitele (pokud je k dispozici) a lze jej upravit. Totéž platí pro práci s MAC aliasy.

Ze stejné nabídky, výběrem SmartWhois, můžete odeslat vybranou zdrojovou nebo cílovou IP adresu do SmartWhois, samostatné aplikace od Tamosoft, která shromažďuje informace o jakékoli IP adrese nebo názvu hostitele, jako je název sítě, doména, země, stát nebo provincie. , město a poskytuje jej uživateli.

Druhá záložka, "balíčky", zobrazí všechny pakety zachycené na vybraném síťovém rozhraní a podrobné informace o nich.

Balíčky Tab

Okno je rozděleno do tří oblastí. První z nich zobrazuje seznam všech zachycených paketů. Pokud některý z balíčků vyberete kliknutím na něj ukazatelem myši, ve zbývajících oknech se zobrazí informace o něm. Zobrazí se číslo paketu, protokol, Mac a IP adresy odesílajícího a přijímajícího hostitele, použité porty a čas, kdy se paket objevil.

Prostřední oblast zobrazuje obsah balení – v šestnáctkové soustavě nebo textu. V druhém případě jsou netisknutelné znaky nahrazeny tečkami. Pokud je v horní oblasti vybráno několik balíčků současně, zobrazí se v prostředním okně celkový počet vybraných balíčků, jejich celková velikost a také časový interval mezi prvním a posledním balíčkem.

Spodní okno zobrazuje dekódované podrobné informace o vybraném balíčku.

Kliknutím na jedno ze tří tlačítek v pravé dolní části okna si můžete vybrat umístění dekódovacího okna: dole nebo zarovnané doleva či doprava. Další dvě tlačítka umožňují automaticky přejít na poslední přijatý balíček a uložit vybraný balíček do viditelné oblasti seznamu.

Kontextové menu umožňuje kopírovat MAC, IP adresy a celé pakety do schránky, přidělovat aliasy, aplikovat rychlý filtr pro výběr požadovaných paketů a také používat nástroje TCP Session Reconstruction a Packet Generator.

Nástroj TCP Session Reconstruction umožňuje zobrazit proces výměny mezi dvěma hostiteli přes TCP. Aby byl obsah relace srozumitelnější, musíte zvolit vhodnou „logiku zobrazení“. Tato funkce je nejužitečnější pro obnovu textové informace, například HTML nebo ASCII.

Výsledná data lze exportovat jako textový, RTF nebo binární soubor.

Karta Soubory protokolu. Zde můžete nakonfigurovat nastavení pro ukládání zachycených paketů do souboru. CommView ukládá soubory protokolu do vlastní formát NCF; K jejich zobrazení se používá vestavěný nástroj, který lze spustit z nabídky „Soubor“.

Je možné povolit automatické ukládání zachycených paketů při jejich příchodu, protokolování relací HTTP ve formátech TXT a HTML, ukládání, mazání, slučování a rozdělování souborů protokolu. Mějte na paměti, že paket se neuloží ihned po příchodu, takže pokud si soubor protokolu prohlížíte v reálném čase, s největší pravděpodobností neukáže nejnovější pakety. Aby program okamžitě odeslal vyrovnávací paměť do souboru, musíte kliknout na tlačítko „Dokončit zachycení“.

V záložce "pravidla" můžete nastavit podmínky pro zachycování nebo ignorování paketů.

Pro usnadnění výběru a analýzy požadovaných balíčků můžete použít pravidla filtrování. To také pomůže výrazně snížit množství systémové prostředky, který používá CommView.

Chcete-li povolit pravidlo, musíte vybrat příslušnou sekci na levé straně okna. K dispozici je celkem sedm typů pravidel: jednoduchá - "Protokoly a směr", "Mac adresy", "IP adresy", "Porty", "Text", "TCP příznaky", "Proces" a také univerzální pravidlo "vzorec" " Pro každého z jednoduchá pravidla Je možné zvolit jednotlivé parametry, jako je volba směru nebo protokolu. Univerzální pravidlo vzorce je výkonný a flexibilní mechanismus pro vytváření filtrů pomocí booleovské logiky. Podrobný odkaz na jeho syntaxi lze nalézt.

Tab "Upozornění" vám pomůže nakonfigurovat nastavení pro upozornění na různé události vyskytující se ve zkoumaném segmentu sítě.

Karta Upozornění umožňuje vytvářet, upravovat, odstraňovat pravidla výstrah a zobrazovat aktuální události, které těmto pravidlům odpovídají

Chcete-li nastavit pravidlo varování, musíte kliknout na tlačítko „Přidat...“ a v okně, které se otevře, vybrat nezbytné podmínky, které spustí upozornění, a také způsob, jak na to uživatele upozornit.

CommView umožňuje definovat následující typy událostí ke sledování:

• "Zjistit balíček" odpovídající zadanému vzorci. Syntaxe vzorce je podrobně popsána v uživatelské příručce;
• "Bajty za sekundu." Tato výstraha se spustí, když je překročena zadaná úroveň zatížení sítě;
• "Pakety za sekundu." Spustí se, když je překročena zadaná úroveň frekvence přenosu paketů;
• "Vysílání za sekundu." Totéž, pouze pro broadcast pakety;
• "Multicasts per second" - totéž pro multicast pakety.
• "Neznámá MAC adresa." Toto upozornění lze použít k detekci nového nebo neoprávněného zařízení připojujícího se k síti tak, že nejprve definujete seznam známých adres pomocí možnosti Nastavení;
• Varování „Neznámá IP adresa“ se spustí, když budou zachyceny pakety s neznámými IP adresami odesílatele nebo příjemce. Pokud předem zadáte seznam známých adres, lze tuto výstrahu použít k detekci neoprávněných připojení prostřednictvím podnikové brány firewall.

CommView má výkonný nástroj pro vizualizaci statistik sledovaného provozu. Chcete-li otevřít okno statistiky, musíte vybrat stejnojmennou položku z nabídky „Zobrazit“.

Okno statistiky v režimu „Obecné“.

V tomto okně můžete zobrazit statistiky síťového provozu: zde vidíte počet paketů za sekundu, bajtů za sekundu, distribuci Ethernetu, IP protokoly a podprotokoly. Grafy lze zkopírovat do schránky, což vám pomůže, když potřebujete sestavovat sestavy.

Dostupnost, cena, systémové požadavky

Aktuální verze programu je CommView 5.1. Z webu Tamosoft můžete, který bude fungovat 30 dní.

Vývojář nabízí zákazníkům dvě možnosti licence:

• Domácí licence (domácí licence), v hodnotě 2 000 rublů, opravňuje používat program doma na nekomerčním základě, přičemž počet hostitelů dostupných pro monitorování ve vašem domácí síť, omezeno na pět. V tohoto typu licence nesmí pracovat vzdáleně pomocí vzdáleného agenta.
• Enterprise License (firemní, cena - 10 000 rublů) poskytuje právo na komerční a nekomerční použití programu jednou osobou, která program osobně používá na jednom nebo několika strojích. Program lze také nainstalovat na jednu pracovní stanici a používat jej více lidí, ale ne současně.

Aplikace funguje na operačních sálech Systémy Windows 98/Me/NT/2000/XP/2003. Požadováno pro práci síťový adaptér Ethernet, Wireless Ethernet, Token Ring s podporou NDIS 3.0 nebo standardní ovladač vzdáleného přístupu.

Pro:

• lokalizované rozhraní;
• vynikající systém nápovědy;
• podpora různých typů síťových adaptérů;
• pokročilé nástroje pro analýzu paketů a identifikaci protokolů;
• vizualizace statistik;
• funkční výstražný systém.

nevýhody:

• příliš vysoké náklady;
• nedostatek předvoleb pro pravidla odposlechu a varování;
• nepříliš pohodlný mechanismus pro výběr balíčku na záložce „Balíčky“.

Závěr

Díky vynikající funkčnosti a uživatelsky přívětivému rozhraní se CommView může stát nepostradatelným nástrojem pro správce lokální sítě, poskytovatele internetových služeb a domácí uživatele. Potěšil mě pečlivý přístup vývojáře k ruské lokalizaci balíčku: jak rozhraní, tak referenční příručka provedeny na velmi vysoké úrovni. Obrázek poněkud zatemňuje vysoká cena programu, ale třicetidenní zkušební verze pomůže potenciálního kupce rozhodnout o vhodnosti nákupu tohoto nástroje.

Mnoho správců sítě se často setkává s problémy, které lze vyřešit analýzou síťového provozu. A zde se setkáváme s pojmem jako je analyzátor dopravy. tak co to je?

termín " NetFlow“ označuje protokol Cisco určený ke shromažďování informací o IP provozu a monitorování síťového provozu. NetFlow byl přijat jako standardní protokol pro streamovací technologie.

Software NetFlow shromažďuje a analyzuje toková data generovaná routery a prezentuje je v uživatelsky přívětivém formátu.

Několik dalších prodejců síťových zařízení má své vlastní protokoly pro monitorování a sběr dat. Například Juniper, další vysoce uznávaný prodejce síťová zařízení, nazývá svůj protokol " J-Flow". HP a Fortinet používají termín „ s-Flow". Přestože se protokoly nazývají odlišně, všechny fungují podobným způsobem. V tomto článku se podíváme na 10 bezplatných analyzátorů síťového provozu a kolektorů NetFlow pro Windows.

SolarWinds NetFlow Traffic Analyzer v reálném čase

Tento bezplatný nástroj je omezen na jedno monitorovací rozhraní NetFlow a ukládá pouze 60 minut dat. Tento Netflow analyzátor je mocný nástroj, který se vyplatí používat.

Colasoft Capsa zdarma

Mezi další funkce patří analýza zabezpečení sítě. Například sledování DoS/DDoS útoků, aktivity červů a detekce ARP útoků. Stejně jako dekódování paketů a zobrazování informací, statistická data o každém hostiteli v síti, řízení výměny paketů a rekonstrukce toku. Capsa Free podporuje všechny 32bitové a 64bitové verze Verze Windows XP.

Minimální systémové požadavky pro instalaci: 2 GB BERAN a 2,8 GHz procesor. Musíte mít také ethernetové připojení k internetu ( kompatibilní s NDIS 3 nebo vyšší), Fast Ethernet nebo Gigabit s ovladačem pro smíšený režim. Umožňuje pasivně zachytit všechny pakety přenášené přes ethernetový kabel.

Rozzlobený IP skener

ManageEngine NetFlow Analyzer Professional

Bezplatná verze Linuxový analyzátor provozu umožňuje neomezené používání produktu po dobu 30 dnů, poté můžete sledovat pouze dvě rozhraní. Systémové požadavky pro NetFlow Analyzer ManageEngine závisí na průtoku. Doporučené požadavky na minimální průtoky od 0 do 3000 závitů za sekundu: dvoujádrový procesor 2,4 GHz, 2 GB RAM a 250 GB volné místo na vašem pevném disku. S rostoucí rychlostí toku, který má být monitorován, rostou i požadavky.

Vole

JDSU Network Analyzer Fast Ethernet

Aplikace podporuje vytváření vysoce detailních grafů a tabulek, které správcům umožňují sledovat dopravní anomálie, filtrovat data pro prosévání velkých objemů dat a mnoho dalšího. Tento nástroj pro začínající profesionály i zkušené administrátory vám umožní převzít úplnou kontrolu nad vaší sítí.

Plixer Scrutinizer

Wireshark

Systémové požadavky: Windows XP a vyšší, jakýkoli moderní 64/32bitový procesor, 400 Mb RAM a 300 Mb volného místa místo na disku. Wireshark NetFlow Analyzer je mocný nástroj, což může výrazně zjednodušit práci každého správce sítě.

Paessler PRTG

Bezplatná verze vám umožňuje používat neomezený počet senzorů po dobu 30 dnů, poté můžete zdarma používat pouze 100 senzorů.

nProbe

nProbe podporuje IPv4 a IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, obsahuje funkce pro analýzu provozu VoIP, vzorkování toků a paketů, generování logů, aktivitu MySQL/Oracle a DNS a mnoho dalšího. Aplikace je zdarma, pokud si stáhnete a zkompilujete analyzátor provozu na Linuxu nebo Windows. Instalační spustitelný soubor omezuje velikost zachycení na 2000 paketů. nProbe je zcela zdarma pro vzdělávací instituce, ale i neziskové a vědecké organizace. Tento nástroj bude fungovat na 64bitových verzích operačních systémů Linuxové systémy a Windows.

Tento seznam 10 bezplatných analyzátorů a sběračů provozu NetFlow vám pomůže začít s monitorováním a řešením problémů v malé kancelářské síti nebo velké podnikové síti WAN s více místy.

Každá aplikace uvedená v tomto článku umožňuje monitorovat a analyzovat síťový provoz, zjišťovat menší selhání a identifikovat anomálie šířky pásma, které mohou naznačovat bezpečnostní hrozby. A také vizualizovat informace o síti, provozu a mnoho dalšího. Správci sítě musí mít takové nástroje ve svém arzenálu.

Tato publikace je překladem článku „ Top 10 nejlepších bezplatných analyzátorů a kolektorů Netflow pro Windows“, připravený přátelským projektovým týmem

Dobrý Špatný

Čichači- to jsou programy, které zachycují
veškerý síťový provoz. Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a
zachytit hesla (je jasné pro koho :)). Například pokud jste získali přístup k
jeden síťový stroj a nainstaloval tam sniffer,
pak brzy všechna hesla z
jejich podsítě budou vaše. Sada čichačů
síťová karta při poslechu
režimu (PROMISC), to znamená, že přijímají všechny pakety. Lokálně můžete zachytit
všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby),
Tak
Jak se tam provozuje vysílání?
Čichači mohou zachytit všechno
balíčky (což je velmi nepohodlné, soubor protokolu se plní strašně rychle,
ale pro podrobnější analýzu sítě je to perfektní)
nebo pouze první bajty ze všech druhů
ftp, telnet, pop3 atd. (toto je ta zábavná část, obvykle v prvních 100 bytech
obsahuje uživatelské jméno a heslo :)). Čichači teď
rozvedený... Čichačů je mnoho
jak pod Unixem, tak pod Windows (i pod DOSem existuje :)).
Čichači umí
podporují pouze určitou osu (například linux_sniffer.c, která
podporuje Linux :)), nebo několik (například Sniffit,
pracuje s BSD, Linux, Solaris). Čichači tak zbohatli, protože
že hesla jsou přenášena po síti jako prostý text.
Takové služby
mnoho. Jedná se o telnet, ftp, pop3, www atd. Tyto služby
používá hodně
lidi :). Po čichacím boomu různé
algoritmy
šifrování těchto protokolů. Objevil se SSH (alternativa
podporující telnet
šifrování), SSL (Secure Socket Layer - vývoj Netscape, který umí šifrovat
www relace). Všechny druhy Kerberous, VPN (Virtual Private
Síť). Byly použity některé AntiSniffs, ifstatusy atd. Ale to v zásadě není
změnil situaci. Služby, které využívají
předání hesla pomocí prostého textu
jsou maximálně využité :). Tudíž budou čuchat ještě dlouho :).

Windows sniffer implementace

linsniffer
Toto je jednoduchý sniffer k zachycení
přihlašovací údaje/hesla. Standardní kompilace (gcc -o linsniffer
linsniffer.c).
Protokoly se zapisují do tcp.log.

linux_sniffer
Linux_sniffer
vyžadováno, když chcete
podrobně prostudujte síť. Norma
sestavení. Rozdává všechny druhy svinstva navíc,
like is, ack, syn, echo_request (ping) atd.

Sniffit
Sniffit - pokročilý model
sniffer napsal Brecht Claerhout. Nainstalovat (potřeba
libcap):
#./configure
#make
Nyní spustíme
čichač:
#./čichnout
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t | -s ) |
(-i|-I) | -C ]
Dostupné pluginy:
0 - Figurína
Plugin
1 - Plugin DNS

Jak můžete vidět, sniffit podporuje mnoho
možnosti. Sniffak můžete používat interaktivně.
Sniffit však
docela užitečný program, ale nepoužívám ho.
Proč? Protože Sniffit
velké problémy s ochranou. Vzdálený kořen a dos pro Sniffit již byly vydány
Linux a Debian! Ne každý čichač si tohle dovolí :).

LOV
Tento
můj oblíbený šňupání. Velmi snadno se používá,
podporuje hodně cool
čipy a momentálně nemá žádné bezpečnostní problémy.
Navíc nic moc
náročné na knihovny (jako je linsniffer a
Linux_sniffer). On
dokáže zachytit aktuální spojení v reálném čase a
vyčistit výpis ze vzdáleného terminálu. V
obecně, Hijacku
rulezzz :). doporučuji
všem pro lepší využití :).
Instalovat:
#make
Běh:
#lov -i

READSMB
Sniffer READSMB je vyjmut z LophtCrack a přenesen do
Unix (kupodivu :)). Readsmb zachycuje SMB
balíčky.

TCPDUMP
tcpdump je poměrně známý analyzátor paketů.
Napsáno
ještě slavnější osobnost - Van Jacobson, který vynalezl VJ kompresi pro
PPP a napsal program traceroute (a kdo ví co ještě?).
Vyžaduje knihovnu
Libpcap.
Instalovat:
#./configure
#make
Nyní spustíme
jí:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení jsou zobrazena na
terminál. Zde je příklad výstupu ping

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď

Obecně je sniff užitečný pro ladění sítí,
odstraňování problémů a
atd.

Dsniff
Dsniff vyžaduje libpcap, ibnet,
libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné.
Zde je příklad protokolu připojení
na unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup

Zde
dsniff zachytil přihlašovací jméno a heslo (stalsen/asdqwe123).
Instalovat:
#./configure
#make
#make
instalovat

Ochrana proti čichačům

Nejjistější způsob ochrany proti
čichači -
použít ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL atd.). Dobře
a pokud se nechcete vzdát služeb prostého textu a nainstalovat další
balíčky :)? Pak je čas použít balíčky proti čichání...

AntiSniff pro Windows
Tento produkt vydala slavná skupina
Loft. Byl to první produkt svého druhu.
AntiSniff, jak je uvedeno v
Popis:
„AntiSniff je nástroj řízený grafickým uživatelským rozhraním (GUI).
detekce promiskuitních karet síťového rozhraní (NIC) ve vaší místní síti
segment". Obecně platí, že chytá karty v promisc režimu.
Podporuje obrovskou
počet testů (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Lze skenovat jako jedno auto,
a mřížka. Existuje
log podporu. AntiSniff funguje na win95/98/NT/2000,
i když doporučeno
platforma NT. Ale jeho vláda byla krátkodobá a brzy bude
Časem se objevil čichač s názvem AntiAntiSniffer :),
napsal Mike
Perry (Mike Perry) (najdete ho na www.void.ru/news/9908/snoof.txt).
založené na LinSniffer (diskutované níže).

Detekce unixového snifferu:
Čichač
lze najít pomocí příkazu:

#ifconfig -a
lo Odkaz encap:Local
Loopback
inet addr:127.0.0.1 Maska:255.0.0.0
NAHORU.
LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyb:0
vypadl:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0
překročení:0 dopravce:0
kolize:0 txqueuelen:0

ppp0 odkaz
encap:Protokol Point-to-Point
inet addr:195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
NAHORU POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrické:1
RX pakety: 3281
chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyb:0
klesl:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10

Jak
vidíte, že rozhraní ppp0 je v režimu PROMISC. Buď operátor
nahraný sniff for
kontroluje síť, nebo už vás mají... Ale pamatujte,
že ifconfig lze provést bezpečně
spoof, takže k detekci použijte tripwire
změny a nejrůznější programy
pro kontrolu čichání.

AntiSniff pro Unix.
Provozováno na
BSD, Solaris a
Linux. Podporuje ping/icmp časový test, arp test, echo test, dns
test, etherping test, obecně analog AntiSniff pro Win, pouze pro
Unix :).
Instalovat:
#make linux-all

Stráž
Také užitečný program pro
chytání čichačů. Podporuje mnoho testů.
Snadno
použití.
Instalace: #make
#./stráž
./sentinel [-t
]
Metody:
[ -a ARP test ]
[ -d DNS test
]
[ -i Test latence ping ICMP ]
[ -e Test ICMP Etherping
]
Možnosti:
[ -f ]
[ -v Zobrazit verzi a
odejít]
[ -n ]
[-I
]

Možnosti jsou tak jednoduché, že ne
komentáře.

VÍCE

Zde je několik dalších
nástroje pro kontrolu vaší sítě (např
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detektor režimu PROMISC pro ethernetové karty (pro red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- skenuje systémová zařízení, aby detekovala čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
— ifstatus testuje síťová rozhraní v režimu PROMISC.

Každý člen týmu ][ má své vlastní preference týkající se softwaru a utilit pro
test perem. Po konzultaci jsme zjistili, že výběr se liší natolik, že je to možné
vytvořit opravdovou gentlemanskou sadu osvědčených programů. To je vše
rozhodl. Abychom z toho nebyli žvásty, rozdělili jsme celý seznam do témat – a do
Tentokrát se dotkneme nástrojů pro čichání a manipulaci s pakety. Použijte jej
zdraví.

Wireshark

Netcat

Pokud mluvíme o odposlechu dat, pak Network Miner budou staženy ze vzduchu
(nebo z předem připraveného výpisu ve formátu PCAP) soubory, certifikáty,
obrázky a další média, stejně jako hesla a další informace pro autorizaci.
Užitečnou funkcí je vyhledávání těch dat, která obsahují klíčová slova
(například přihlášení uživatele).

Scapy

webové stránky:
www.secdev.org/projects/scapy

Povinná výbava každého hackera, je to mocný nástroj
interaktivní manipulaci s pakety. Přijímat a dekódovat pakety většiny
různé protokoly, reagovat na požadavek, vložit upravené a
balíček, který jste sami vytvořili - vše je snadné! S jeho pomocí můžete provést celek
řadu klasických úkolů jako skenování, tracorute, útoky a detekce
síťové infrastruktury. V jedné láhvi získáme náhradu za tak oblíbené nástroje,
jako: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f atd. Při tom
už je na čase Scapy umožňuje provádět jakýkoli úkol, i ten nejkonkrétnější
úkol, který nikdy nemůže provést jiný již vytvořený vývojář
prostředek. Místo psaní celé hory řádků v C např.
stačí vygenerovat špatný paket a fuzzovat nějakého démona
vhoďte pár řádků kódu pomocí Scapy! Program nemá
grafické rozhraní a interaktivity je dosaženo prostřednictvím tlumočníka
Krajta. Jakmile to pochopíte, nebude vás nic stát vytvoření nesprávného
pakety, vložit potřebné rámce 802.11, kombinovat různé přístupy v útocích
(řekněme otrava mezipaměti ARP a přeskakování VLAN) atd. Sami vývojáři na tom trvají
aby bylo zajištěno, že schopnosti Scapy budou využívány v jiných projektech. Připojování
jako modul je snadné vytvořit nástroj pro různé typy místního výzkumu,
vyhledávání zranitelností, injekce Wi-Fi, automatické provedení konkrétní
úkoly atd.

balíček

webové stránky:
Platforma: *nix, existuje port pro Windows

Zajímavý vývoj, který umožňuje na jedné straně generovat jakékoli
ethernetový paket, a na druhé straně posílat sekvence paketů s účelem
kontroly šířky pásma. Na rozdíl od jiných podobných nástrojů, balíček
má GUI, což vám umožní vytvářet balíčky co nejsnadněji
formulář. Dále - více. Speciálně propracované je vytvoření a odeslání
sekvence paketů. Můžete nastavit zpoždění mezi odesláním,
posílat pakety maximální rychlostí pro testování propustnosti
část sítě (ano, to je místo, kde se budou podávat) a co je ještě zajímavější -
dynamicky měnit parametry v paketech (například IP nebo MAC adresu).