Domov › Služby › Svg otevřený. Otevřete soubory vektorové grafiky SVG. Jak pracovat s SVG. Co potřebujete vědět v praxi

Svg otevřený. Otevřete soubory vektorové grafiky SVG. Jak pracovat s SVG. Co potřebujete vědět v praxi

Čichač není vždy zlomyslný. Ve skutečnosti se tento typ softwaru často používá k analýze síťového provozu za účelem zjištění a odstranění anomálií a zajištění hladkého provozu. Sniffer však může být použit se zlým úmyslem. Sniffery analyzují vše, co jimi prochází, včetně nešifrovaných hesel a přihlašovacích údajů, takže hackeři s přístupem k snifferu mohou získat osobní údaje uživatelů. Sniffer lze navíc nainstalovat na jakýkoli počítač připojený k lokální síti, aniž by bylo nutné jej instalovat na samotné zařízení – jinými slovy, nelze jej detekovat po celou dobu připojení.

Odkud pocházejí čichači?

Hackeři používají sniffery ke krádeži cenných dat sledováním síťové aktivity a shromažďováním osobních údajů o uživatelích. Útočníci se obvykle nejvíce zajímají o uživatelská hesla a přihlašovací údaje, aby získali přístup k online bankovnictví a účtům online obchodů. Nejčastěji hackeři instalují sniffery na místa, kde jsou distribuována nezabezpečená Wi-Fi připojení, například v kavárnách, hotelech a na letištích. Sniffery se mohou maskovat jako zařízení připojené k síti v takzvaném spoofingovém útoku, aby ukradli cenná data.

Jak poznat čichače?

Neautorizované sniffery je velmi obtížné virtuálně rozpoznat, protože je lze nainstalovat téměř kdekoli, což představuje velmi vážnou hrozbu pro bezpečnost sítě. Běžní uživatelé často nemají šanci rozpoznat, že sniffer sleduje jejich síťový provoz. Teoreticky je možné nainstalovat vlastní sniffer, který by monitoroval veškerý DNS provoz na přítomnost jiných snifferů, ale pro běžného uživatele je mnohem jednodušší nainstalovat antisniffovací software nebo antivirové řešení, které obsahuje ochranu síťové aktivity pro zastavení jakékoli neoprávněné vniknutí nebo skrytí vašich síťových aktivit.

Jak odstranit sniffer

Můžete použít vysoce účinný antivirus k detekci a odstranění všech typů malwaru nainstalovaného ve vašem počítači pro účely sniffování. Chcete-li však sniffer úplně odstranit z počítače, musíte odstranit absolutně všechny složky a soubory, které se k němu vztahují. Důrazně se také doporučuje používat antivirus se síťovým skenerem, který důkladně prověří lokální síť na zranitelnosti a v případě jejich nalezení dá pokyn k dalšímu postupu.

Jak se nestát obětí sniffera

Šifrujte všechny informace, které odesíláte a přijímáte
Prohledejte místní síť, zda neobsahuje zranitelnosti
Používejte pouze ověřené a zabezpečené sítě Wi-Fi

Chraňte se před čichači

První věc, kterou může uživatel udělat, aby se ochránil před sniffery, je použít vysoce kvalitní antivirus, jako je bezplatný antivirus Avast, který je schopen důkladně prohledat celou síť kvůli bezpečnostním problémům. Dalším a vysoce účinným způsobem ochrany informací před čicháním je šifrování všech dat odeslaných a přijatých online, včetně e-mailů. pošta. Avast SecureLine vám umožňuje bezpečně šifrovat všechny výměny dat a provádět online akce ve 100% anonymitě.

Analyzátory síťových paketů neboli sniffery byly původně vyvinuty jako prostředek k řešení síťových problémů. Jsou schopni zachytit, interpretovat a ukládat pakety přenášené po síti pro následnou analýzu. Na jedné straně to správcům systému a technikům technické podpory umožňuje sledovat, jak jsou data přenášena po síti, diagnostikovat a opravovat vzniklé problémy. V tomto smyslu jsou paketové sniffery mocným nástrojem pro diagnostiku síťových problémů. Na druhou stranu, stejně jako mnoho dalších výkonných nástrojů, které byly původně určeny pro administraci, se postupem času začaly sniffery využívat ke zcela jiným účelům. Sniffer v rukou útočníka je skutečně poměrně nebezpečný nástroj a lze jej použít k získání hesel a dalších důvěrných informací. Neměli byste si však myslet, že sniffery jsou jakýmsi magickým nástrojem, jehož prostřednictvím může každý hacker snadno zobrazit důvěrné informace přenášené po síti. A než dokážeme, že nebezpečí čichačů není tak velké, jak se často prezentuje, podívejme se podrobněji na principy jejich fungování.

Princip činnosti paketových snifferů

Dále v tomto článku budeme zvažovat pouze softwarové sniffery určené pro sítě Ethernet. Sniffer je program, který funguje na úrovni síťového adaptéru NIC (Network Interface Card) (linková vrstva) a tajně zachycuje veškerý provoz. Protože sniffery fungují na vrstvě datového spojení modelu OSI, nemusí hrát podle pravidel protokolů vyšší úrovně. Sniffery obcházejí mechanismy filtrování (adresy, porty atd.), které ethernetové ovladače a zásobník TCP/IP používají k interpretaci dat. Snímače paketů zachycují z drátu vše, co jím prochází. Sniffery mohou ukládat snímky v binárním formátu a později je dešifrovat, aby odhalily informace vyšší úrovně skryté uvnitř (obrázek 1).

Aby mohl sniffer zachytit všechny pakety procházející síťovým adaptérem, musí ovladač síťového adaptéru podporovat promiskuitní režim. Právě v tomto režimu provozu síťového adaptéru je sniffer schopen zachytit všechny pakety. Tento režim provozu síťového adaptéru se automaticky aktivuje při spuštění snifferu nebo je nastaven ručně příslušným nastavením snifferu.

Veškerý zachycený provoz je předán do dekodéru paketů, který identifikuje a rozdělí pakety do příslušných úrovní hierarchie. V závislosti na schopnostech konkrétního snifferu lze poskytnuté informace o paketech následně dále analyzovat a filtrovat.

Omezení používání snifferů

Sniffery představovaly největší nebezpečí v dobách, kdy se informace přenášely po síti v čistém textu (bez šifrování) a místní sítě byly budovány na bázi koncentrátorů (hubů). Tyto časy jsou však nenávratně pryč a v dnešní době není použití snifferů k získání přístupu k důvěrným informacím v žádném případě snadným úkolem.

Faktem je, že při budování lokálních sítí založených na rozbočovačích existuje určité společné médium pro přenos dat (síťový kabel) a všechny síťové uzly si vyměňují pakety, soutěžící o přístup k tomuto médiu (obr. 2), a paket odeslaný jednou sítí. uzel je přenášen na všechny porty hubu a tento paket poslouchají všechny ostatní uzly v síti, ale přijímá ho pouze uzel, kterému je adresován. Navíc, pokud je na jednom ze síťových uzlů nainstalován sniffer paketů, pak může zachytit všechny síťové pakety související s daným segmentem sítě (síť tvořená hubem).

Přepínače jsou inteligentnější zařízení než broadcast huby a izolují síťový provoz. Přepínač zná adresy zařízení připojených ke každému portu a přenáší pakety pouze mezi potřebnými porty. To vám umožňuje odlehčit další porty, aniž byste jim museli přeposílat každý paket, jako to dělá rozbočovač. Paket odeslaný určitým síťovým uzlem je tedy přenášen pouze na port přepínače, ke kterému je připojen příjemce paketu a všechny ostatní síťové uzly nejsou schopny tento paket detekovat (obr. 3).

Pokud je tedy síť postavena na bázi přepínače, pak sniffer nainstalovaný na jednom ze síťových počítačů je schopen zachytit pouze ty pakety, které jsou vyměňovány mezi tímto počítačem a ostatními síťovými uzly. V důsledku toho, aby bylo možné zachytit pakety, které si útočníkův počítač nebo server vyměňuje s jinými síťovými uzly, je nutné na tento konkrétní počítač (server) nainstalovat sniffer, což ve skutečnosti není tak jednoduché. Měli byste však mít na paměti, že některé sniffery paketů jsou spouštěny z příkazového řádku a nemusí mít grafické rozhraní. Takové sniffery mohou být v zásadě instalovány a spouštěny vzdáleně a bez povšimnutí uživatelem.

Kromě toho byste také měli mít na paměti, že zatímco přepínače izolují síťový provoz, všechny spravované přepínače mají funkci předávání portů nebo zrcadlení portů. To znamená, že port přepínače lze konfigurovat tak, aby na něm byly duplikovány všechny pakety přicházející na jiné porty přepínače. Pokud je v tomto případě k takovému portu připojen počítač s paketovým snifferem, pak může zachytit všechny pakety vyměňované mezi počítači v daném segmentu sítě. Možnost konfigurace přepínače je však zpravidla dostupná pouze správci sítě. To samozřejmě neznamená, že nemůže být útočníkem, ale správce sítě má mnoho dalších způsobů, jak ovládat všechny uživatele lokální sítě a je nepravděpodobné, že vás bude takto sofistikovaně sledovat.

Dalším důvodem, proč sniffery již nejsou tak nebezpečné jako kdysi, je to, že většina citlivých dat se nyní přenáší šifrovaně. Otevřené, nešifrované služby z internetu rychle mizí. Například při návštěvě webových stránek se stále častěji používá protokol SSL (Secure Sockets Layer); Místo otevřeného FTP se používá SFTP (Secure FTP) a pro další služby, které standardně nepoužívají šifrování, se stále častěji používají virtuální privátní sítě (VPN).

Takže ti, kteří se obávají možného škodlivého použití snifferů paketů, by měli mít na paměti následující. Za prvé, aby představovali vážnou hrozbu pro vaši síť, musí být sniffery umístěny v samotné síti. Za druhé, dnešní šifrovací standardy extrémně ztěžují zachycení citlivých informací. Proto v současnosti sniffery paketů postupně ztrácejí na významu jako nástroje hackerů, ale zároveň zůstávají účinným a výkonným nástrojem pro diagnostiku sítí. Kromě toho mohou být sniffery úspěšně použity nejen pro diagnostiku a lokalizaci síťových problémů, ale také pro audit bezpečnosti sítě. Použití analyzátorů paketů umožňuje zejména detekovat neautorizovaný provoz, detekovat a identifikovat neautorizovaný software, identifikovat nepoužívané protokoly pro jejich odstranění ze sítě, generovat provoz pro penetrační testování (penetrační test) za účelem kontroly bezpečnostního systému, pracovat s systémy detekce narušení (Intrusion Detection System (IDS).

Přehled snifferů softwarových paketů

Všechny softwarové sniffery lze rozdělit do dvou kategorií: sniffery, které podporují spouštění z příkazového řádku, a sniffery, které mají grafické rozhraní. Podotýkáme však, že existují sniffery, které obě tyto schopnosti kombinují. Kromě toho se sniffery od sebe liší protokoly, které podporují, hloubkou analýzy zachycených paketů, schopností konfigurovat filtry a možností kompatibility s jinými programy.

Okno jakéhokoli snifferu s grafickým rozhraním se obvykle skládá ze tří oblastí. První z nich zobrazuje souhrnná data zachycených paketů. Obvykle tato oblast zobrazuje minimum polí, jmenovitě: čas zachycení paketu; IP adresy odesílatele a příjemce paketu; MAC adresy odesílatele a příjemce paketu, adresy zdrojového a cílového portu; typ protokolu (síťová, transportní nebo aplikační vrstva); nějaké souhrnné informace o zachycených datech. Druhá oblast zobrazuje statistické informace o jednotlivém vybraném balíčku a konečně třetí oblast zobrazuje balíček v hexadecimální nebo ASCII formě znaků.

Téměř všechny paketové sniffery umožňují analyzovat dekódované pakety (proto se paketové sniffery také nazývají paketové analyzátory nebo analyzátory protokolů). Sniffer distribuuje zachycené pakety napříč vrstvami a protokoly. Některé sniffery paketů jsou schopny rozpoznat protokol a zobrazit zachycené informace. Tento typ informací se obvykle zobrazuje ve druhé oblasti okna sniffer. Například každý sniffer dokáže rozpoznat protokol TCP a pokročilí sniffer mohou určit, která aplikace generovala tento provoz. Většina analyzátorů protokolů rozpoznává více než 500 různých protokolů a dokáže je popsat a dekódovat podle názvu. Čím více informací dokáže sniffer dekódovat a zobrazit na obrazovce, tím méně bude muset být dekódováno ručně.

Jedním z problémů, se kterými se mohou sniffery paketů setkat, je neschopnost správně identifikovat protokol pomocí jiného než výchozího portu. Například pro zlepšení zabezpečení mohou být některé známé aplikace nakonfigurovány tak, aby používaly jiné než výchozí porty. Takže namísto tradičního portu 80, vyhrazeného pro webový server, lze tento server násilně překonfigurovat na port 8088 nebo jakýkoli jiný. Některé analyzátory paketů v této situaci nejsou schopny správně určit protokol a zobrazit pouze informace o protokolu nižší úrovně (TCP nebo UDP).

Existují softwarové sniffery, které se dodávají se softwarovými analytickými moduly jako zásuvné moduly nebo vestavěné moduly, které vám umožňují vytvářet zprávy s užitečnými analytickými informacemi o zachyceném provozu.

Další charakteristickou vlastností většiny softwaru pro analýzu paketů je schopnost konfigurovat filtry před a po zachycení provozu. Filtry vybírají určité pakety z obecného provozu podle daného kritéria, což vám umožňuje zbavit se nepotřebných informací při analýze provozu.

Princip činnosti paketových snifferů

Omezení používání snifferů

Přehled snifferů softwarových paketů

Potřeba analyzovat síťový provoz může vzniknout z několika důvodů. Sledování zabezpečení počítače, ladění lokální sítě, sledování odchozího provozu pro optimalizaci provozu sdíleného internetového připojení – všechny tyto úkoly jsou často na denním pořádku systémových administrátorů i běžných uživatelů. K jejich řešení existuje mnoho utilit zvaných sniffers, a to jak specializované, zaměřené na řešení úzké oblasti úkolů, tak multifunkční „kombajny“, poskytující uživateli široký výběr nástrojů. Tento článek představuje jednoho ze zástupců posledně jmenované skupiny, konkrétně utilitu CommView vyráběnou společností. Program vám umožňuje jasně vidět úplný obraz provozu procházejícího počítačem nebo segmentem místní sítě; přizpůsobitelný poplašný systém umožňuje varovat před přítomností podezřelých paketů v provozu, výskytem uzlů s abnormálními adresami v síti nebo zvýšením zatížení sítě.

CommView poskytuje možnost udržovat statistiky všech IP připojení, dekódovat IP pakety na nízkou úroveň a analyzovat je. Vestavěný filtrační systém založený na několika parametrech umožňuje konfigurovat sledování výhradně pro potřebné balíčky, což zefektivňuje jejich analýzu. Program dokáže rozpoznat pakety z více než sedmi desítek nejběžnějších protokolů (včetně DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP atd.) a také je ukládat do souborů pro následnou analýzu. V určitých případech mohou být užitečné i různé další nástroje, jako je identifikace výrobce síťového adaptéru podle MAC adresy, rekonstrukce HTML a vzdálené zachycování paketů pomocí volitelného nástroje CommView Remote Agent.

Práce s programem

Nejprve je třeba vybrat síťové rozhraní, na kterém bude provoz sledován.

CommView podporuje téměř jakýkoli typ ethernetového adaptéru - 10, 100 a 1000 Mbit/s, stejně jako analogové modemy, xDSL, Wi-Fi atd. Analýzou provozu ethernetového adaptéru dokáže CommView zachytit nejen příchozí a odchozí, ale také tranzitní pakety adresované libovolnému počítači v segmentu místní sítě. Stojí za zmínku, že pokud je úkolem monitorovat veškerý provoz v segmentu místní sítě, je nutné, aby počítače v něm byly připojeny přes rozbočovač, a nikoli přes přepínač. Některé moderní modely přepínačů mají funkci zrcadlení portů, která jim umožňuje konfigurovat je také pro monitorování sítě pomocí CommView. Můžete si o tom přečíst více. Po výběru požadovaného připojení můžete začít zachycovat pakety. Tlačítka spuštění a zastavení snímání jsou umístěna poblíž řádku pro výběr rozhraní. Chcete-li pracovat s řadičem vzdáleného přístupu, VPN a PPPoE, musíte při instalaci programu nainstalovat příslušný ovladač.

Hlavní okno programu je rozděleno do několika záložek odpovědných za jednu nebo druhou oblast práce. první z nich, "Aktuální připojení IP", zobrazí podrobné informace o aktivních IP připojeních počítače. Zde vidíte místní a vzdálenou IP adresu, počet odeslaných a přijatých paketů, směr přenosu, počet navázaných IP relací, porty, název hostitele (pokud není v nastavení programu vypnuta funkce rozpoznávání DNS), a název procesu přijímajícího nebo vysílajícího paket pro tyto relace. Nejnovější informace nejsou k dispozici pro tranzitní balíčky nebo na počítačích se systémem Windows 9x/ME.

Karta Aktuální připojení IP

Pokud kliknete pravým tlačítkem na libovolné připojení, otevře se kontextová nabídka, kde najdete nástroje, které usnadňují analýzu připojení. Zde vidíte množství dat přenesených v rámci spojení, kompletní seznam použitých portů, podrobné informace o procesu, který přijímá nebo vysílá pakety pro tuto relaci. CommView umožňuje vytvářet aliasy pro MAC a IP adresy. Například zadáním aliasů namísto těžkopádných digitálních adres počítačů v místní síti můžete získat snadno čitelná a zapamatovatelná jména počítačů a usnadnit tak analýzu připojení.

Chcete-li vytvořit alias pro IP adresu, musíte v kontextové nabídce vybrat „Vytvořit alias“ a „pomocí místní IP“ nebo „pomocí vzdálené IP“. V okně, které se objeví, bude již vyplněno pole IP adresa a zbývá pouze zadat vhodný název. Pokud je vytvořen nový záznam názvu IP kliknutím pravým tlačítkem myši na paket, pole názvu se automaticky vyplní názvem hostitele (pokud je k dispozici) a lze jej upravit. Totéž platí pro práci s MAC aliasy.

Ze stejné nabídky, výběrem SmartWhois, můžete odeslat vybranou zdrojovou nebo cílovou IP adresu do SmartWhois, samostatné aplikace od Tamosoft, která shromažďuje informace o jakékoli IP adrese nebo názvu hostitele, jako je název sítě, doména, země, stát nebo provincie. , město a poskytuje jej uživateli.

Druhá záložka, "balíčky", zobrazí všechny pakety zachycené na vybraném síťovém rozhraní a podrobné informace o nich.

Balíčky Tab

Okno je rozděleno do tří oblastí. První z nich zobrazuje seznam všech zachycených paketů. Pokud některý z balíčků vyberete kliknutím na něj ukazatelem myši, ve zbývajících oknech se zobrazí informace o něm. Zobrazí se číslo paketu, protokol, Mac a IP adresy odesílajícího a přijímajícího hostitele, použité porty a čas, kdy se paket objevil.

Prostřední oblast zobrazuje obsah balení – v šestnáctkové soustavě nebo textu. V druhém případě jsou netisknutelné znaky nahrazeny tečkami. Pokud je v horní oblasti vybráno několik balíčků současně, zobrazí se v prostředním okně celkový počet vybraných balíčků, jejich celková velikost a také časový interval mezi prvním a posledním balíčkem.

Spodní okno zobrazuje dekódované podrobné informace o vybraném balíčku.

Kliknutím na jedno ze tří tlačítek v pravé dolní části okna si můžete vybrat umístění dekódovacího okna: dole nebo zarovnané doleva či doprava. Další dvě tlačítka umožňují automaticky přejít na poslední přijatý balíček a uložit vybraný balíček do viditelné oblasti seznamu.

Kontextové menu umožňuje kopírovat MAC, IP adresy a celé pakety do schránky, přidělovat aliasy, aplikovat rychlý filtr pro výběr požadovaných paketů a také používat nástroje TCP Session Reconstruction a Packet Generator.

Nástroj TCP Session Reconstruction umožňuje zobrazit proces výměny mezi dvěma hostiteli přes TCP. Aby byl obsah relace srozumitelnější, musíte zvolit vhodnou „logiku zobrazení“. Tato funkce je nejužitečnější pro obnovu textových informací, jako je HTML nebo ASCII.

Výsledná data lze exportovat jako textový, RTF nebo binární soubor.

Karta Soubory protokolů. Zde můžete nakonfigurovat nastavení pro ukládání zachycených paketů do souboru. CommView ukládá soubory protokolu v nativním formátu NCF; K jejich zobrazení se používá vestavěný nástroj, který lze spustit z nabídky „Soubor“.

Je možné povolit automatické ukládání zachycených paketů při jejich příchodu, protokolování relací HTTP ve formátech TXT a HTML, ukládání, mazání, slučování a rozdělování souborů protokolu. Jedna věc, kterou je třeba si zapamatovat, je, že paket se neuloží ihned po příchodu, takže pokud si soubor protokolu prohlížíte v reálném čase, s největší pravděpodobností neukáže nejnovější pakety. Aby program okamžitě odeslal vyrovnávací paměť do souboru, musíte kliknout na tlačítko „Dokončit zachycení“.

V záložce "pravidla" můžete nastavit podmínky pro zachycování nebo ignorování paketů.

Pro usnadnění výběru a analýzy požadovaných balíčků můžete použít pravidla filtrování. To také pomůže výrazně snížit množství systémových prostředků používaných CommView.

Chcete-li povolit pravidlo, musíte vybrat příslušnou sekci na levé straně okna. K dispozici je celkem sedm typů pravidel: jednoduchá - "Protokoly a směr", "Mac adresy", "IP adresy", "Porty", "Text", "TCP příznaky", "Proces" a také univerzální pravidlo "vzorec" " Pro každé z jednoduchých pravidel je možné zvolit jednotlivé parametry, jako je volba směru nebo protokolu. Univerzální pravidlo vzorce je výkonný a flexibilní mechanismus pro vytváření filtrů pomocí booleovské logiky. Podrobný odkaz na jeho syntaxi lze nalézt.

Tab "Upozornění" vám pomůže nakonfigurovat nastavení pro upozornění na různé události vyskytující se ve zkoumaném segmentu sítě.

Karta Upozornění umožňuje vytvářet, upravovat, odstraňovat pravidla výstrah a zobrazovat aktuální události, které těmto pravidlům odpovídají

Chcete-li nastavit pravidlo varování, musíte kliknout na tlačítko „Přidat...“ a v okně, které se otevře, vybrat nezbytné podmínky, které spustí upozornění, a také způsob, jak na to uživatele upozornit.

CommView umožňuje definovat následující typy událostí ke sledování:

"Zjistit balíček" odpovídající zadanému vzorci. Syntaxe vzorce je podrobně popsána v uživatelské příručce;
"Bajty za sekundu." Tato výstraha se spustí, když je překročena zadaná úroveň zatížení sítě;
"Pakety za sekundu." Spustí se, když je překročena zadaná úroveň frekvence přenosu paketů;
"Vysílání za sekundu." Totéž, pouze pro pakety vysílání;
"Multicasts per second" - totéž pro multicast pakety.
"Neznámá MAC adresa." Toto upozornění lze použít k detekci nového nebo neoprávněného zařízení připojujícího se k síti tak, že nejprve definujete seznam známých adres pomocí možnosti Nastavení;
Varování „Neznámá IP adresa“ se spustí, když budou zachyceny pakety s neznámými IP adresami odesílatele nebo příjemce. Pokud předem zadáte seznam známých adres, lze tuto výstrahu použít k detekci neoprávněných připojení prostřednictvím podnikové brány firewall.

CommView má výkonný nástroj pro vizualizaci statistik sledovaného provozu. Chcete-li otevřít okno statistiky, musíte vybrat stejnojmennou položku z nabídky „Zobrazit“.

Okno statistiky v režimu „Obecné“.

V tomto okně můžete zobrazit statistiky síťového provozu: zde vidíte počet paketů za sekundu, bajtů za sekundu, distribuci Ethernetu, IP protokoly a podprotokoly. Grafy lze zkopírovat do schránky, což vám pomůže, když potřebujete sestavovat sestavy.

Dostupnost, cena, systémové požadavky

Aktuální verze programu je CommView 5.1. Z webu Tamosoft můžete, který bude fungovat 30 dní.

Vývojář nabízí zákazníkům dvě možnosti licence:

Home License (domácí licence), v hodnotě 2 000 rublů, opravňuje používat program doma na nekomerčním základě, přičemž počet hostitelů dostupných pro monitorování ve vaší domácí síti je omezen na pět. Tento typ licence vám neumožňuje pracovat vzdáleně pomocí vzdáleného agenta.
Enterprise License (firemní, cena - 10 000 rublů) poskytuje právo na komerční a nekomerční použití programu jednou osobou, která program osobně používá na jednom nebo několika strojích. Program lze také nainstalovat na jednu pracovní stanici a používat jej více lidí, ale ne současně.

Aplikace běží na operačních systémech Windows 98/Me/NT/2000/XP/2003. K provozu potřebujete síťový adaptér Ethernet, bezdrátový Ethernet, Token Ring s podporou standardu NDIS 3.0 nebo standardní ovladač vzdáleného přístupu.

Klady:

lokalizované rozhraní;
vynikající systém nápovědy;
podpora různých typů síťových adaptérů;
pokročilé nástroje pro analýzu paketů a identifikaci protokolů;
vizualizace statistik;
funkční výstražný systém.

mínusy:

příliš vysoké náklady;
nedostatek předvoleb pro pravidla odposlechu a varování;
nepříliš pohodlný mechanismus pro výběr balíčku na záložce „Balíčky“.

Závěr

Díky vynikající funkčnosti a uživatelsky přívětivému rozhraní se CommView může stát nepostradatelným nástrojem pro správce lokální sítě, poskytovatele internetových služeb a domácí uživatele. Byl jsem potěšen pečlivým přístupem vývojáře k ruské lokalizaci balíčku: rozhraní i referenční příručka byly vytvořeny na velmi vysoké úrovni. Obrázek je poněkud zatemněn vysokými náklady na program, ale třicetidenní zkušební verze pomůže potenciálnímu kupci rozhodnout o vhodnosti nákupu tohoto nástroje.

Čichači- to jsou programy, které zachycují
veškerý síťový provoz. Sniffery jsou užitečné pro diagnostiku sítě (pro administrátory) a
zachytit hesla (je jasné pro koho :)). Například pokud jste získali přístup k
jeden síťový stroj a nainstaloval tam sniffer,
pak brzy všechna hesla z
jejich podsítě budou vaše. Sada čichačů
síťová karta při poslechu
režimu (PROMISC), to znamená, že přijímají všechny pakety. Lokálně můžete zachytit
všechny odeslané pakety ze všech strojů (pokud nejste odděleni žádnými huby),
Tak
Jak se tam provozuje vysílání?
Čichači mohou zachytit všechno
balíčky (což je velmi nepohodlné, soubor protokolu se plní strašně rychle,
ale pro podrobnější analýzu sítě je to perfektní)
nebo pouze první bajty ze všech druhů
ftp, telnet, pop3 atd. (toto je ta zábavná část, obvykle v prvních 100 bytech
obsahuje uživatelské jméno a heslo :)). Čichači teď
rozvedený... Čichačů je mnoho
jak pod Unixem, tak pod Windows (i pod DOSem existuje :)).
Čichači umí
podporují pouze určitou osu (například linux_sniffer.c, která
podporuje Linux :)), nebo několik (například Sniffit,
pracuje s BSD, Linux, Solaris). Čichači tak zbohatli, protože
že hesla jsou přenášena po síti jako prostý text.
Takové služby
mnoho. Jedná se o telnet, ftp, pop3, www atd. Tyto služby
používá hodně
lidi :). Po čichacím boomu různé
algoritmy
šifrování těchto protokolů. Objevil se SSH (alternativa
podporující telnet
šifrování), SSL (Secure Socket Layer - vývoj Netscape, který umí šifrovat
www relace). Všechny druhy Kerberous, VPN (Virtual Private
Síť). Byly použity některé AntiSniffs, ifstatusy atd. Ale to v zásadě není
změnil situaci. Služby, které využívají
předání hesla pomocí prostého textu
jsou maximálně využité :). Tudíž budou ještě dlouho čuchat :).

Windows sniffer implementace

linsniffer
Toto je jednoduchý sniffer k zachycení
přihlašovací údaje/hesla. Standardní kompilace (gcc -o linsniffer
linsniffer.c).
Protokoly se zapisují do tcp.log.

linux_sniffer
Linux_sniffer
vyžadováno, když chcete
prostudujte si síť podrobně. Standard
sestavení. Rozdává všechny druhy svinstva navíc,
like is, ack, syn, echo_request (ping) atd.

Sniffit
Sniffit - pokročilý model
sniffer napsal Brecht Claerhout. Nainstalovat (potřeba
libcap):
#./configure
#udělat
Nyní spustíme
čichač:
#./čichnout
použití: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) záznamový soubor]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t | -s ) |
(-i|-I) | -C ]
Dostupné pluginy:
0 - Figurína
Zapojit
1 - Plugin DNS

Jak můžete vidět, sniffit podporuje mnoho
možnosti. Sniffak můžete používat interaktivně.
Sniffit však
docela užitečný program, ale nepoužívám ho.
Proč? Protože Sniffit
velké problémy s ochranou. Vzdálený kořen a dos pro Sniffit již byly vydány
Linux a Debian! Ne každý čichač si tohle dovolí :).

LOV
Tento
můj oblíbený šňupání. Velmi snadno se používá,
podporuje hodně cool
čipy a v současné době nemá žádné bezpečnostní problémy.
Navíc ne moc
náročné na knihovny (jako je linsniffer a
Linux_sniffer). On
dokáže zachytit aktuální spojení v reálném čase a
vyčistit výpis ze vzdáleného terminálu. V
obecně, Hijacku
rulezzz :). doporučuji
všem pro lepší využití :).
Nainstalujte:
#udělat
Běh:
#lov -i

READSMB
Sniffer READSMB je vyjmut z LophtCrack a přenesen do
Unix (kupodivu :)). Readsmb zachycuje SMB
balíčky.

TCPDUMP
tcpdump je poměrně známý analyzátor paketů.
Psaný
ještě slavnější osobnost - Van Jacobson, který vynalezl VJ kompresi pro
PPP a napsal program traceroute (a kdo ví co ještě?).
Vyžaduje knihovnu
Libpcap.
Nainstalujte:
#./configure
#udělat
Nyní spustíme
její:
#tcpdump
tcpdump: poslech na ppp0
Všechna vaše připojení jsou zobrazena na
terminál. Zde je příklad výstupu ping

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.doména: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.doména > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
žádost
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
odpověď

Obecně je sniff užitečný pro ladění sítí,
odstraňování problémů a
atd.

Dsniff
Dsniff vyžaduje libpcap, ibnet,
libnids a OpenSSH. Zaznamenává pouze zadané příkazy, což je velmi pohodlné.
Zde je příklad protokolu připojení
na unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
SZO
poslední
výstup

Tady
dsniff zachytil přihlašovací jméno a heslo (stalsen/asdqwe123).
Nainstalujte:
#./configure
#udělat
#udělat
Nainstalujte

Ochrana proti čichačům

Nejjistější způsob ochrany proti
čichači -
použít ŠIFROVÁNÍ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL atd.). Studna
a pokud se nechcete vzdát služeb prostého textu a nainstalovat další
balíčky :)? Pak je čas použít balíčky proti čichání...

AntiSniff pro Windows
Tento produkt vydala slavná skupina
Loft. Byl to první produkt svého druhu.
AntiSniff, jak je uvedeno v
Popis:
„AntiSniff je nástroj řízený grafickým uživatelským rozhraním (GUI).
detekce promiskuitních karet síťového rozhraní (NIC) ve vaší místní síti
segment". Obecně platí, že chytá karty v promisc režimu.
Podporuje obrovskou
počet testů (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Lze skenovat jako jedno auto,
a mřížka. Tady je
log podporu. AntiSniff funguje na win95/98/NT/2000,
i když doporučeno
platforma NT. Ale jeho vláda byla krátkodobá a brzy bude
Časem se objevil čichač s názvem AntiAntiSniffer :),
napsal Mike
Perry (Mike Perry) (najdete ho na www.void.ru/news/9908/snoof.txt).
založené na LinSniffer (diskutované níže).

Detekce snifferu Unix:
Čichač
lze najít pomocí příkazu:

#ifconfig -a
lo Odkaz encap:Local
Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
NAHORU.
LOOPBACK RUNNING MTU:3924 Metrika:1
RX pakety:2373 chyb:0
vypadl:0 přetečení:0 snímek:0
TX pakety:2373 chyby:0 zahozené:0
překročení:0 dopravce:0
kolize:0 txqueuelen:0

ppp0 odkaz
encap:Protokol Point-to-Point
inet addr:195.170.y.x
P-t-P:195.170.y.x Maska:255.255.255.255
NAHORU POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metrické:1
RX pakety: 3281
chyby:74 zahozené:0 přetečení:0 snímek:74
TX pakety:3398 chyb:0
klesl:0 překročení:0 dopravce:0
kolize:0 txqueuelen:10

Jak
vidíte, že rozhraní ppp0 je v režimu PROMISC. Buď operátor
nahraný sniff for
kontroluje síť, nebo už vás mají... Ale pamatujte,
že ifconfig lze provést bezpečně
spoof, takže k detekci použijte tripwire
změny a nejrůznější programy
pro kontrolu čichání.

AntiSniff pro Unix.
Pracovat pro
BSD, Solaris a
Linux. Podporuje ping/icmp časový test, arp test, echo test, dns
test, etherping test, obecně analog AntiSniff pro Win, pouze pro
Unix :).
Nainstalujte:
#make linux-all

Stráž
Také užitečný program pro
chytání čichačů. Podporuje mnoho testů.
Snadno
použití.
Instalace: #make
#./stráž
./sentinel [-t
]
Metody:
[ -a ARP test ]
[ -d DNS test
]
[ -i Test latence ping ICMP ]
[ -e Test ICMP Etherping
]
Možnosti:
[ -f ]
[ -v Zobrazit verzi a
odejít]
[ -n ]
[-I
]

Možnosti jsou tak jednoduché, že ne
komentáře.

VÍCE

Zde je několik dalších
nástroje pro kontrolu vaší sítě (např
Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Detektor režimu PROMISC pro ethernetové karty (pro red hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Network Promiscuous Ethernet Detector (vyžaduje libcap & Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- skenuje systémová zařízení, aby detekovala čichání.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
— ifstatus testuje síťová rozhraní v režimu PROMISC.

Oblíbené v kategorii: