Содержание.
Содержание. 2
Введение. 3
Более подробный взгляд на снифферы. 4
Описание программ – снифферов. 7
CommView. Сетевой монитор и анализатор для MS Windows. 7
Работа с программой CommView. 8
NetXRay. Сетевой анализатор. 23
SpyNet. Программа – сниффер. 26
Заключение. 28
Используемая литература. 29
Введение.
В данной контрольной работе будут рассмотрены особенности использования программ-снифферов – специального типа программ, созданных для мониторинга сетевого потока и его анализа.
Снифферы - это программы, которые перехватывают весь сетевой трафик. Снифферы полезны при проведении диагностики сети (для администраторов) и для перехвата паролей (для хакеров). Например, если вы получили доступ к одной сетевой машине, и установили там сниффер, то скоро вам будут известны пароли от их подсети. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC), то есть они получают все пакеты. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато это идеальный вариант для детального анализа сети), или только первые байты от различных ftp,telnet,pop3 и т.д. (это самое интересное, обычно примерно в первых 100 байтах содержится имя и пароль), кроме того, в настройках многих снифферов можно задавать фильтрацию отдельных пакетов.
Помимо несанкционированного использования снифферов в хакерских целях, они могут использоваться также для тестирования и отладки компьютерных сетей.
Таким образом, в руках одного человека сниффер – очень полезная программа, другого же – чрезвычайно опасная "игрушка", способная нанести значительный ущерб для пользователей сети.
Более подробный взгляд на снифферы.
Что такое Сниффер ?
Слово sniffer (дословно с английского это можно перевести как "нюхач" или "вынюхиватель") в самом общем смысле суть некое прослушивающее устройство, внедренное в сеть для перехвата передаваемых по ней данных. Можно предположить, что снифферы что-то разнюхивают. Так оно и есть, сниффер – это программа, которая перехватывает сетевые пакеты. Так вот, сниффер, установленный на промежуточном компьютере, через который будут проходить пакеты - способен захватывать их, пока они еще не достигли цели. У разных снифферов процесс захвата информации реализован по разному. (ваш комп) -> (соседний комп) -> (комп со сниффером) -> (удаленный комп) Стандартный пакет попутешествует из "вашего компа" через сеть. Он пройдет через каждый компьютер в сети, начиная с "соседнего компа", через "комп со сниффером" и заканчивая "удаленным компом". Каждая машина должна игнорировать пакет, если он не предназначен для ее IP адреса. Тем не менее, машина со сниффером позволяет принимать ЛЮБОЙ пакет, который через нее проходит.
В некоторой литературе и документации, а также в электронных словарях типа Lingvo, термин sniffer (network sniffer) отождествляется с такими понятиями, как "анализатор сетевого трафика", "анализатор пакетов", "анализатор протоколов", "сетевой анализатор". Однако позволю себе немного не согласиться с таким подходом.
Все-таки логичней было бы утверждать, что сниффинг - это совокупность мер по перехвату траффика. В рамках же конкретного продукта может быть реализована функция по захвату пакетов (packet capturing). На этом этапе мы получаем некий сырой (mashine readable) дамп данных, обычно разделенный на куски по границам кадров (пакетов). И уж что мы с ним собираемся делать - наши проблемы. Но обычно, раз уж мы зачем-то запустили работать сниффер - нам интересно получить некий результат в "human readable" формате, т.е. формате понятном для человека, для чего используется декодирование пакетов (decoding) или анализ протоколов, для преобразования информации в более удобочитаемый вид, нежели машинный код.
Виды снифферов и сниффинга.
По "месторасположению" (если уместно применение данного термина) сниффер может работать:
На маршрутизаторе (шлюзе) – при таком раскладе вы можете перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из вашей локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, мы можем отслеживать трафик его пользователей.
На оконечном узле сети – применительно к Ethernet мы будем иметь два основных возможных варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе "слышит" весть траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой МАС-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме вы можете перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuous mode, чтобы она "бесстыдно" продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode.
Примечание: использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в promiscuous mode делает прослушивание не предназначенного вашей станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так называемый "broadcast domain", и хост с установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом, трафик соседей насильственно завернется в сторону "шпиона".
В остальном же снифферы могут отличаются друг от друга главным образом функциональными возможностями, как то:
· поддерживаемые физические интерфейсы и протоколы канального уровня;
· качество декодирования и количество известных протоколов;
· пользовательский интерфейс и удобство отображения;
· дополнительные возможности: статистика, просмотр в реальном времени, генерирование или модификация пакетов и другое .
При выборе сниффера (как, впрочем, и любого другого софта) есть смысл руководствоваться следующими соображениями: из того, что существует под вашу ОС выбираем либо то, что точно соответствует вашим задачам (имеет смысл в том случае, если вы планируете либо разовое мероприятие, либо постоянное выполнение одной и той же операции) либо максимально навороченное решение, в случае, если вы чувствуете, что сниффер будет вам полезен, но еще не знаете в какой ситуации). А ситуации бывают разные .
Зачем нужен сниффер ?
Традиционно идея сниффинга жила как бы в двух ипостасях: легальное и нелегальное применение. Что характерно, слово "сниффер" чаще применяется в нелегальной сфере, а "сетевой анализатор" - в легальной. Начнем, пожалуй, с легального применения:
· Troubleshooting (обнаружение проблем и узких мест сети). В расширенном режиме, когда сниффер работает в некоммутируемом сегменте или на шлюзе, мы можем получить практически полную картину событий, происходящих в нашей сети: интенсивность трафика по времени, по рабочим станциям, по протоколам, количество ошибок разных типов. Кроме того, в обоих режимах, мы можем "разгребать" более специфические проблемы, когда, скажем, у конкретной станции ни в какую не получается организовать некое взаимодействие по сети, и это при том, что внешне сеть выглядит вполне работоспособной. Особенно полезен сниффер в случаях, когда сетевое ПО плохо документировано или использует свои закрытые (недокументированные), зачастую подозрительные технологии (протоколы). Например: ICQ, Europe Online. Под подозрительными технологиями ПО следует понимать ситуации, когда вы предполагаете наличие в программе закладки или иной недокументированной функциональности. Например, ходили слухи, что клиентская часть знаменитого cDc Back Orifice также является троянской лошадкой и посылает некие сведения хозяевам - авторам ПО. Установка BO Client "на прослушивание" показала, что слухи не соответствуют действительности.
Не менее полезен сниффер для отладки вашего собственного ПО. Никогда не забуду момент, когда прокси – сервер не желал устанавливать соединение, если GET-запрос оканчивался на \n\n вместо требуемого \r\n\r\n. Только исследование пакетов, отправляемых "законопослушным" браузером и сравнение их с пакетами, отправляемыми моим "выскочкой"-скриптом, указало мне на досадную ошибку. Очень и очень часто в повседневной админской практике мне приходится сталкиваться и с анализом на уровне TCP/UDP.
· Обучение. Можно довести себя до полуобморочного состояния, зазубривая форматы заголовков пакетов различных протоколов и методы взаимодействия (скажем, 3-way TCP handshake, DNS, прикладные методы плана traceroute), но эти знания будут мертвыми, пока вы не попытаетесь "потрогать это руками" - написав однажды программу либо . заглянув в сниффер! Попробуйте после прочтения документации на неизвестный или плохо понятный вам протокол, смоделировать взаимодействие, перехватить пакеты и проанализировать их - уверяю вас, все станет чрезвычайно понятно и более того, это знание более реально и надолго отложится в голове. В случае же с закрытыми технологиями, сниффер может оказаться чуть ли не единственным средством для их изучения.
· Протоколирование сетевого трафика. Можно много дискутировать на тему правомерности и этичности протоколирования администратором трафика пользователей для дальнейшего просмотра, но факт остается фактом - многие организации включают в политику безопасности эту технологию. Мое личное мнение - хозяин барин, то бишь если компания обеспечивает своих сотрудников оборудованием, подключением к локальным и глобальным сетям, она вправе требовать надлежащего использования этих ресурсов. Вторая важная причина для протоколирования трафика - обнаружение попыток несанкционированного доступа и других зловредностей - DoS-атак например. Имея такие логи администратор с 100-процентной точностью может знать, что происходит в его сетевых владениях.
Теперь поговорим о нелегальной стороне сниффинга:
· Ну, во-первых, это банальное подслушивание. Грамотно установив сниффер вы можете шпионить за ближними своими и удаленными - врагами, приятелями, супругами. Вас могут заинтересовать такие вопросы: для чего человек использует сеть, какие веб – ресурсы он посещает, какие данные передает, с кем и о чем общается?
· Более меркантильное подслушивание. Однако значительная часть "хакерского" сообщества не разменивает свои таланты на слежку за неверными супругами и прочую бытовуху. Чаще всего злоумышленника интересует некий материал, с помощью которого можно продвинуться в нелегком деле по взламыванию чужих систем и сетей. Как вы могли догадаться, речь идет, главным образом, о перехвате имен пользователей и паролей, проходящих по сети в незашифрованном (plain text) виде, т.е. в виде простого текста. В частности, это касается паролей к telnet, POP, IMAP, NNTP, IRC, к веб – приложениям, не использующим шифрование и т.п.
Описание программ – снифферов.
CommView. Сетевой монитор и анализатор для MS Windows.
CommView – программный продукт производства компании TamoSoft, Inc. предназначен для мониторинга сетевой активности путём сбора и анализа пакетов любой Ethernet сети.
С помощью CommView Вы можете видеть список сетевых соединений, IP статистику и исследовать отдельные пакеты. IP пакеты декодируются вплоть до самого низкого уровня с полным анализом распространённых протоколов. Предоставляется полный доступ к необработанным данным. Перехваченные пакеты могут быть сохранены в файл для последующего анализа, а также экспортированы в другие форматы. Гибкая система фильтров делает возможным отбрасывать ненужные Вам пакеты или перехватывать только те пакеты, которые Вы захотите. Вы можете получать извещения от гибкой системы сигнализации о таких событиях, как наличие в трафике подозрительных пакетов, появление в сети узлов с нештатными адресами или повышение сетевой нагрузки.
CommView - это полезное средство для администраторов локальных сетей, специалистов по безопасности, сетевых программистов, или для любого желающего иметь полную картину трафика, проходящего через его компьютер или сегмент локальной сети. Это приложение разработано для сетей небольших или средних размеров и может быть запущено на любой Windows 95/98/Me/NT/2000/XP/2003 системе. Ему необходим сетевой адаптер Ethernet, Wireless Ethernet или Token Ring с поддержкой стандарта NDIS 3.0, или стандартный контроллер удалённого доступа (dial-up).
CommView осуществляет полный анализ следующих протоколов: ARP, BCAST, BGP, BMP, CDP, DAYTIME, DDNS, DHCP, DIAG,
DNS, EIGRP, FTP, G.723, GRE, H.225, H.261, H.263, H.323, HTTP, HTTPS, ICMP, ICQ, IGMP, IGRP, IMAP, IPsec, IPv4, IPv6, IPX,
HSRP, NCP, NDS, NetBIOS, NFS, NLSP, NNTP, NTP, OSPF, POP3, PPP, PPPoE, RARP, RADIUS, RDP, RIP, RIPX, RMCP, RPC, RSVP,
RTP, RTCP, RTSP, SAP, SER, SMB, SMTP, SNA, SNMP, SNTP, SOCKS, SPX, SSH, TCP, TELNET, TFTP, TIME, TLS, UDP, VTP, WAP,
WDOG, 802.1Q, 802.1X.
Кроме того, новая технология удалённого мониторинга позволяет пользователям CommView наблюдать сетевой трафик компьютера с установленным на нём CommView Remote Agent'ом, где бы такой компьютер ни был физически расположен. Программа CommView Remote Agent является полезным расширением данного анализатора пакетов (CommView).
Работа с программой CommView.
IP статистика.
Эта закладка отображает подробную информацию о сетевых соединениях Вашего компьютера (только по IP протоколу). Чтобы начать захват пакетов, выберите File(Файл) =>Start Capture(Начать сбор) в меню, или нажмите соответствующую кнопку на панели инструментов.
Ниже описывается назначение колонок таблицы:
Local IP – показывает локальный IP адрес. Для входящих пакетов это IP адрес получателя, для исходящих и транзитных - IP адрес источника.
Remote IP – показывает удалённый IP адрес. Для входящих пакетов это IP адрес источника, для исходящих и транзитных - IP адрес получателя.
In – показывает число принятых пакетов.
Out – показывает число посланных пакетов.
Direction – показывает направление сессии. Направление сессии определяется по направлению первого пакета, принятого
от или посланного на удалённый IP адрес.
Sessions – показывает число установленных TCP/IP сессий. Если соединения по TCP не были установлены (обрыв
соединения, или работа по протоколам UDP/IP и ICMP/IP), это значение равно нулю.
Ports – список портов удалённого компьютера, используемых во время TCP/IP соединения или попытки соединения. Этот список может быть пустым, если протокол не является TCP/IP. Порты могут быть показаны или как числовые значения, или как соответствующие названия сервисов.
Hostname – показывает доменное имя удалённого компьютера. Если имя не может быть определено – колонка пуста.
Bytes – количество байтов, переданных за сессию.
Last packet – показывает время последнего принятого/посланного пакета сессии.
Можно выводить/прятать отдельные колонки таблицы, воздействуя на элементы меню View(Просмотр) =>IPStatistics Columns(Колонки IP статистики).
Команды контекстного меню.
Нажатие правой кнопки мышки на таблице IP Statistics(IP Статистика) вызывает меню со следующими командами:
Copy – копирует локальный IP адрес, удалённый IP адрес или имя хоста в буфер обмена.
Show All Ports – отображает окно с полным списком портов используемых между выбранной парой IP адресов. Это удобно,
если все используемые порты не помещаются в соответствующей колонке.
Data Transfer – отображает окно с информацией об объёме передачи данных между выбранной парой IP адресов и с временем приёма/посылки последнего пакета.
Jump To – позволяет быстро переходить к первому/последнему пакету с выбранным IP адресом источника/получателя; программа откроет закладку Packets(Пакеты) и установит курсор на соответствующий пакет.
SmartWhois – отправляет выбранный IP адрес удалённого хоста в SmartWhois, если таковая программа установлена на Вашем компьютере. SmartWhois - это автономное приложение, разработанное компанией TamoSoft, способное собирать информацию о любом IP адресе или имени хоста, по всему миру. Оно автоматически предоставляет информацию,связанную с IP адресом, такую как домен, сетевое имя, страну, штат или провинцию, город.
Create Alias – открывает окно, где можно назначить легко запоминаемые имена (алиасы) IP адресам.
Save IP Statistics As – позволяет сохранить содержимое закладки IP Statistics(IP Статистика) как HTML отчёт.
Clear IP Statistics – очищает таблицу статистики.
More Statistics – открывает окно со статистикой протоколов и данных.
Пакеты.
Эта закладка используется для показа всех перехваченных сетевых пакетов и отображения подробной информации о выделенном пакете.
Верхнее окно содержит список всех перехваченных пакетов. Используйте этот список для выбора пакета, который Вы хотите проанализировать. При выборе пакета нажатием на него, остальные окна показывают информацию о выделенном пакете.
Ниже описывается назначение колонок таблицы:
No – уникальный номер пакета. При настройке CommView с помощью закладки Rules (Правила) на фильтрацию пакетов, некоторые пакеты не будут перехватываться, но будут регистрироваться. Поэтому можно заметить, что пакеты занумерованы не по порядку.
Protocol – показывает протокол пакета.
MAC Addresses – показывает MAC адреса источника и получателя, а также направление пакета.
Пример:
22:22:22:22:22 => 33:33:33:33:33 исходящий пакет от 22:22:22:22:22 к 33:33:33:33:33.
22:22:22:22:22 44:44:44:44:44 55:55:55:55:55 транзитный пакет от 44:44:44:44:44 к 55:55:55:55:55.
55:55:55:55:55 44:44:44:44:44 транзитный пакет от 55:55:55:55:55 к 44:44:44:44:44.
IP Addresses – показывает IP адреса источника и получателя (когда применимо), а также направление пакета.
Ports – показывает порты источника и получателя (когда применимо), а также направление пакета. Порты могут быть отображены или как числовые значения, или как соответствующие названия сервисов.
Time / Delta – показывает время появления пакета – абсолютное или как интервал от предыдущего пакета. Переключать режим можно в меню View(Просмотр) =>Packets Columns(Колонки пакета) =>Show Time As(Показать время как).
Size – показывает размер пакета в байтах. По умолчанию, колонка не отображается. Можно выводить/прятать отдельные колонки таблицы воздействуя на элементы меню View(Просмотр) =>Packet Columns(Колонки пакета). Вывод пакетов можно приостановить включив пункт File(Файл) =>Suspend Packet Output(Приостановить выдачу). В этом случае пакеты перехватываются, но не показываются в закладке
Packets(Пакеты). Этим можно воспользоваться, когда интересует только статистика, а не сами пакеты. Чтобы восстановить показ пакетов в реальном времени, включите пункт File(Файл) =>Resume Packet Output(Возобновить выдачу).
Среднее окно отображает сырые данные пакета в шестнадцатеричном виде и как текст. В тексте точками заменяются непечатаемые символы.
Нижнее окно показывает декодированную информацию о выбранном пакете. Здесь приводятся ценные сведения для сетевых специалистов. Щелчок правой кнопкой мыши в панели вызывает контекстное меню, позволяющее открывать/закрывать узлы, копировать содержимое выбранного узла или всех узлов. Нажатием на одну из трёх кнопок на краю окна, можно менять его положение (расположить его внизу, справа или слева).
Команды контекстного меню.
Нажатие правой кнопки мышки на списке пакетов вызывает меню со следующими командами:
Reconstruct TCP Session – позволяет реконструировать TCP сессию, начиная с выделенного пакета; Открывается новое
окно, отображающее весь процесс переговоров двух хостов.
Create Alias -- открывает окно, где можно назначить легко запоминаемые имена (алиасы) выбранным MAC или IP адресам.
Copy Address – копирует локальный MAC или IP адрес, удалённый MAC или IP адрес в буфер обмена.
Copy Packet – копирует сырые данные пакета в буфер обмена.
Send Packet – открывает окно генератора пакетов и позволяет послать выбранный пакет ещё раз. Перед отправкой содержимое пакета можно изменить.
Save Packet(s) As – записывает содержимое выбранного пакета (одного или нескольких) в файл. Формат файла выбирается в выпадающем меню.
Clear Packet Buffer – сбрасывает программный буфер пакетов. Список пакетов очищается, и все накопленные к этому моменту пакеты стираются.
Decode As – (Декодировать как…) действует на TCP и UDP пакеты, позволяет декодировать известные программе протоколы, использующие в данный момент нестандартные номера портов. Например, если сервер SOCKS, вместо 1080, использует порт 333, можно выбрать пакет, принадлежащий сессии SOCKS, и зайдя в это меню, заставить CommView декодировать все пакеты порта 333 как SOCKS. Такое переназначение действует до перезапуска программы. ВНИМАНИЕ! Нельзя переназначить стандартные сочетания порт-протокол, то есть, Вы не сможете заставить CommView декодировать пакеты порта 80 как пакеты TELNET’а.
Кроме того, мышкой можно перемещать пакеты на десктоп или в любую папку.
Ведение Log-файлов.
Эта закладка предназначена для записи перехваченных пакетов в файл на диске. CommView сохраняет пакеты в файлы с расширением CCF (CommView Capture Files) в собственном формате. Вы можете в любое время загрузить и просмотреть эти файлы с помощью утилиты Log viewer, или просто дважды щёлкнув мышкой любой CCF файл в папке или на десктопе.
Правила (Rules).
Эта закладка позволяет устанавливать ограничения на перехват пакетов. Если какие либо правила установлены, то программа фильтрует пакеты и накапливает только те пакеты, которые соответствуют заданным критериям.
Обратите внимание, CommView не брандмауэр, и, когда Вы задаёте правила, пакеты продолжают обрабатываться операционной системой, они лишь не отображаются и не сохраняются программой. Название закладки выводится жирным шрифтом, если правила в ней установлены.
Используя команду Rules в меню, можно сохранять профили правил в файле и загружать их.
Так как сетевой трафик часто может создавать большое количество пакетов, рекомендуется использовать ограничения для отсеивания ненужных пакетов. Это может значительно снизить объём системных ресурсов, потребляемых программой. Если Вы хотите включить/выключить какое-либо правило, выберите соответствующую закладку с левой стороны окна [напр. IP Addresses (IP Адреса) или Ports (Порты)], и установите или снимите соответствующий флажок - Enable IP Address rules (Включить правило по IP адресу) или Enable port rules (Включить правило по портам). Существует семь типов правил:
1. Protocols & Directions (Протоколы и Направления).
Позволяет игнорировать или перехватывать пакеты, основываясь на Ethernet (Layer 2) и IP (Layer 3) протоколах, а также на направлениях.
В этом примере показано, как накапливать входящие и исходящие пакеты протоколов ICMP и UDP. Все остальные пакеты семейства IP, а также транзитные, будут проигнорированы.
2. MAC Addresses (MAC адреса).
Позволяет игнорировать или перехватывать пакеты, основываясь на MAC (аппаратных) адресах.
Введите MAC адрес в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add MAC Address (Добавить MAC адрес) и новое правило будет отображено. Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Выбор MAC адреса можно упростить, нажав на кнопку MAC-алиасов. Появится список существующих имён, и, дважды щёлкнув по имени, Вы скопируете нужный адрес в поле ввода.
В этом примере показано, как игнорировать пакеты, идущие от 0A:DE:34:0F:23:3E. Пакеты с других MAC адресов будут накапливаться.
3. IP Addresses (IP адреса).
Позволяет игнорировать или перехватывать пакеты, основываясь на IP адресах.
Введите IP адрес в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add IP Address (Добавить IP адрес) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Выбор IP адреса можно упростить, нажав на кнопку IP-алиасов. Появится список существующих имён, и, дважды щёлкнув по имени, Вы скопируете нужный адрес в поле ввода.
В этом примере показано, как накапливать пакеты, идущие к 63.34.55.66, идущие к/от 207.25.16.11 и идущие со всех адресов в диапазоне 194.154.0.0 -:- 194.154.255.255. Все пакеты, идущие с/на другие адреса будут проигнорированы. Так как IP адреса используются в IP протоколе, эта конфигурация автоматически заставляет программу игнорировать все не-IPпакеты.
4. Ports (Порты).
Позволяет игнорировать или перехватывать пакеты, основываясь на номерах портов. Введите номер порта в поле Add Record (Добавить запись), выберите направление From (От), To (К) или Both (В обе стороны), и нажмите Add Port (Добавить порт) и новое правило будет отображено. Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован.
Нажав на кнопку Port reference, можно увидеть список всех известных портов; дважды щёлкнув по порту мышкой, Вы добавите его в запись. Порты можно вводить по имени, например, http или pop3, и программа подставит его номер.
В этом примере показано, как игнорировать пакеты, идущие из порта 80 и идущие из/в порт 137. Это правило позволит CommView игнорировать входящий HTTP трафик наряду с входящим/исходящим NetBIOS Name Service трафиком. Пакеты, идущие из/в другие порты, будут накапливаться.
5. TCP Flags (TCP флаги).
Позволяет игнорировать или перехватывать пакеты, основываясь на TCP флагах. Выберите флаг или комбинацию флагов в поле Add Record (Добавить запись), и нажмите Add Flags (Добавить флаги) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить пакет с соответствующим(и) флагом(ами): он может быть или захвачен или игнорирован.
В этом примере показано, как игнорировать TCP пакеты с установленным PSH ACK флагом. Пакеты с другими флагами будут накапливаться.
6. Text (Текст).
Позволяет ловить пакеты, содержащие определённый текст. Введите строку в поле Add Record (Добавить запись), выберите тип As String (Как текст) или As Hex (Шестнадцатеричная величина), и нажмите Add Text (Добавить текст) и новое правило будет отображено.
Теперь надо выбрать действие, которое будет осуществлено, когда будет проходить соответствующий пакет: он может быть или захвачен или игнорирован. Шестнадцатеричные величины разделять в образце пробелами.
В этом примере показано, как собирать только пакеты, содержащие или текст "GET" или 01 02 03 04 шестнадцатеричные данные. При необходимости, установите флажок Case sensitive (С учётом регистра).
7. Advanced (Составные).
Составные правила являются мощным и гибким механизмом создания фильтров с помощью Булевой логики.
Чтобы создать новое правило, задайте ему имя в поле Name, выберите действие (Capture(Сбор)/Ignore(Пропуск)), в поле Formula задайте формулу, пользуясь синтаксисом, описанным ниже, и нажмите Add(Добавить)/Edit(Редактировать). Новое правило будет добавлено и немедленно активизировано.
Неограниченное количество правил может быть задано, но активизированы только те из них, которые помечены галочкой в колонке имён.
Любое правило можно включить/выключить, воздействуя на соответствующий флажок, или совсем удалить с помощью кнопки Delete. Если включены сразу несколько правил, их совместное ограничение можно оценить, нажав на кнопку Evaluate. Обратите внимание, что отдельные правила объединяются в составное логическим оператором ИЛИ.
Можно пользоваться составными правилами совместно с обычными, описанными в предыдущей главе, однако, если Вы владеете Булевой логикой, рекомендуем пользоваться в основном составными, так как они более гибки. Обычные правила объединяются с составными по логическому оператору И.
Описание синтаксиса:
dir – Направление пакета. Возможные значения - in (входящий), out (исходящий), и pass (транзитный).
etherproto – Протокол Ethernet (13й и 14й байты пакета). Допустимыми значениями являются числа (например, etherproto=0x0800 соответствует протоколу IP), или известные аббревиатуры (например, etherproto=ARP, что соответствует 0x0806).
ipproto – Протокол IP. Допустимыми значениями являются числа (например, ipproto!=0x06 соответствует протоколу TCP), или известные аббревиатуры (например, ipproto=UDP, что соответствует 0x11).
smac – MAC источника. Допустимыми значениями являются MAC адреса источников в шестнадцатеричном виде (например, smac=00:00:21:0A:13:0F), или алиасы.
dmac – MAC получателя.
sip – IP адрес источника. Допустимыми значениями являются IP адреса, записанные через точку (например, sip=192.168.0.1), IP адреса с карт-бланшами (то есть, sip!=*.*.*.255), сетевые адреса с масками подсетей (например, sip=192.168.0.4/255.255.255.240 или sip=192.168.0.5/28), диапазоны IP адресов (то есть, sip from 192.168.0.15 to 192.168.0.18 или sip in 192.168.0.15 192.168.0.18 ), или алиасы.
dip - IP адрес получателя.
sport – Номер порта-источника пакета TCP или UDP. Допустимыми значениями являются числа (например, sport=80 соответствует HTTP), диапазоны (то есть, sport from 20 to 50 или sport in 20 50 для любых портов в диапазоне от 20 до 50) или алиасы, известные операционной системе (например, sport=ftp, что соответствует порту 21). Проверить список алиасов, известных ОС, можно нажав View(Просмотр) => Port Reference(Список портов).
dport – Порт-получатель пакетов TCP или UDP.
flag – Флаги TCP. Допустимыми значениями являются числа (например, 0x18 соответствует PSH ACK), одна или несколько букв из следующего списка: F (FIN), S (SYN), R (RST), P (PSH), A (ACK), and U (URG), или ключевое слово has, означающее, что флаг содержит определённое значение. Например: flag=0x18, flag=SA, flag has F.
size – Размер пакета. Допустимыми значениями являются числа (например, size=1514), или диапазоны (то есть, size from 64 to 84 или size in 64 84 для размеров с 64 до 84 байтов).
str – Содержимое пакета. Используйте эту функцию, чтобы задать условие, что пакет должен содержать определённую строку. Функция имеет три аргумента: образец поиска, местоположение, чувствительность к регистру. Первый аргумент – строка, например, 'GET'. Второй аргумент – число, показывающее смешение строки в пакете. Счёт начинается с нуля – первый байт пакета надо искать, задавая смещение равное 0. Чтобы искать строку в любом месте пакета, задайте смещение равным –1. Третий аргумент устанавливает чувствительность к регистру и может принимать значения false (без учёта регистра) или true (с учётом регистра). Второй и третий аргументы необязательны, по умолчанию имеют значения –1 и false соответственно (искать во всём пакете, без учёта регистра). Примеры: str('GET',-1,false), str('GET',-1), str ('GET').
hex - Содержимое пакета. Используйте эту функцию, чтобы задать условие, что пакет должен содержать определённую последовательность байтов. Функция имеет два аргумента: образец поиска и местоположение. Первый аргумент – шестнадцатеричная величина, например, 0x4500. Второй аргумент – число, показывающее смешение в пакете. Счёт начинается с нуля – первый байт пакета надо искать, задавая смещение равное 0. Чтобы искать во всём пакете, задайте смещение равным –1. Второй аргумент необязателен, по умолчанию имеет значение –1 (искать во всём пакете). Пример: hex(0x04500, 14) , hex(0x4500, 0x0E), hex (0x010101).
Вышеописанные ключевые слова можно использовать со следующими операторами:
and – конъюнкция, Булево И.
or - дизъюнкция, Булево ИЛИ.
not – Булево отрицание.
= - Арифметическое равенство.
!= - Арифметическое неравенство.
- Арифметическое неравенство.
> - Арифметическое условие "больше, чем".
- Арифметическое условие "меньше, чем".
( ) – скобки, управляющие порядком вычисления правил.
Числа могут быть в десятичной или шестнадцатеричной системе. Для указания на шестнадцатеричную нотацию, используйте 0x перед значением, например, 15 и 0x0F задают одно и тоже число.
Примеры:
Ниже приведены несколько примеров, поясняющих синтаксис правил. К каждому правилу, даны комментарии, отделяемые двойной косой чертой.
• dir!=pass // Захватывать только входящие и исходящие пакеты. Транзитные пакеты игнорируются.
• (smac=00:00:21:0A:13:0E or smac=00:00:21:0A:13:0F) and etherproto=arp // Захватывать пакеты ARP, посылаемые двумя компьютерами с MAC 00:00:21:0A:13:0E и 00:00:21:0A:13:0F.
• ipproto=udp and dport=137 // Захватывать пакеты UDP/IP, посылаемые в порт 137.
• dport=25 and str('RCPT TO:', -1, true) // Захватывать пакеты TCP/IP или UDP/IP, содержащие строку "RCPT TO:" и направляемые в порт 25.
• not (sport>110) // Захватывать все пакеты, кроме тех, что имеют порт-источник с номером, выше 110.
• (sip=192.168.0.3 anddip=192.168.0.15) or (sip=192.168.0.15 anddip=192.168.0.3) // Захватывать только IP пакеты, следующие между двумя хостами, 192.168.0.3 и 192.168.0.15. Все остальные игнорируются.
• ((sipfrom 192.168.0.3 to 192.168.0.7) and (dip = 192.168.1.0/28)) and (flag=PA) and (sizein 200 600) // Захватывать TCP пакеты, размер которых лежит в диапазоне от 200 до 600 байтов, приходящие с IP адресов в диапазоне 192.168.0.3 - 192.168.0.7, при чём IP адреса получателей находятся в сегменте 192.168.1.0/255.255.255.240, и имеющие TCP флаг PSH ACK. Как сделать торт футбольное поле.
• Hex(0x0203, 89) and (dirin) // Захватывать пакеты, содержащие 0x0203 в смещении 89, при этом, направление пакета не "входящий".
Реконструкция TCP сессий.
С помощью этой утилиты можно просмотреть процесс общения двух хостов по TCP. Чтобы восстановить TCP сессию, необходимо сначала выбрать пакет TCP в закладке Packets(Пакеты). Если Вы хотите восстановить сессию целиком, целесообразно выбрать первый пакет этой сессии, иначе реконструкция может начаться с середины. Найдя и выбравнужный пакет, щёлкните правой кнопкой мышки на нём, в появившемся меню выберите Reconstruct TCP Session(Реконструкция TCP сессии), как показано здесь:
Эта утилита нагляднее всего работает на текстовых протоколах - POP3, Telnet, или HTTP. Возможна также и реконструкция процесса пересылки, например "зазипованного" архива, но на восстановление нескольких мегабайтов данных CommView потребуется слишком много времени, да и в большинстве случаев полученная информация будет совершенно бесполезна. Ниже показан пример реконструкции HTTP сессии, содержащей данные HTML, в режимах ASCII и HTML соответственно:
В режиме отображения HTML, страницы HTML не содержат графических объектов, так как по протоколу HTTP они (объекты) передаются в отдельных сессиях. Для просмотра изображений необходимо перейти к следующей TCP сессии. Ниже приведён пример HTTP сессии, содержащей графические объекты, отображаемые в режиме HTML:
По умолчанию, CommView распаковывает GZIP-содержимое трафика и восстанавливает картинки. Чтобы выключить этот режим, воспользуйтесь закладкой Decoding(Декодирование) в меню Options(Опции). Можно игнорировать данные, следовавшие в выбранном направлении, установив/сняв флажок в нижней части окна. Для удобства входящие и исходящие данные помечены разным цветом. Если Вы хотите изменить цвет отображения, выберите Settings(Установки) =>Colors(Цвет) и воспользуйтесь палитрой. Можно включить или выключить перенос слов пунктом Word Wrap(Перенос слов) в меню Settings(Установки).
Выпадающее меню Display type (Тип отображения) позволяет выбрать ASCII (обычный текст), HEX (шестнадцатеричные данные), HTML (web-документы и картинки) и EBCDIC (IBM mainframes' data encoding) режимы просмотра. Данные в режиме HTML могут выглядеть несколько иначе, чем при просмотре настоящим браузером (Вы не увидите графические объекты и т.п.), однако вполне можно понять, как выглядела данная страница на самом деле.
Кнопки перемещения Navigation позволяют перескакивать к следующей или предыдущей сессиям, имеющимся в буфере. Первая кнопка “вперёд” [>>] перейдёт к следующей сессии между теми же хостами, что и при первом вызове реконструкции. Вторая кнопка “вперёд” [>>>] перейдёт к следующей сессии между любыми двумя хостами. Если в буфере несколько сессий, рекомендуется начинать реконструкцию с самой первой, так как кнопка возврата [не может перейти на сессию раньше той, с которой началась реконструкция.
Полученные данные Вы можете записать на диск в двоичном виде, в текстовом или RTF формате, выбрав File(Файл) =>Save As…(Сохранить как…). Кроме того, нажав Edit(Редактировать) => Find…(Найти…) можно искать строку в пределах сессии.
Генератор пакетов.
Эта утилита позволяет создавать и передавать пакеты через сетевой адаптер. Утилита доступна только под Windows NT/2000/XP/2003. Выберите в меню View(Просмотр) =>Packet Generator(Генератор пакетов), или выбрав пакет в закладке Packets(Пакеты), щёлкните правой кнопкой мышки на нём, а затем выберите команду Send Packet(Передать пакет).
Обратите внимание на то, что Генератор Пакетов не может и не должен быть использован для посылки пакетов с уровня приложений, то есть, он не следит за правильными значениями полей SEQ, ACK, значениями контрольных сумм и размерами пакетов, и так далее. Если требуется генерировать валидный поток TCP – воспользуйтесь соответствующей Winsock-совместимой программой. Данная утилита предназначена для воспроизведения уже захваченного трафика, тестирования межсетевых экранов и систем обнаружения вторжения, а так же для других целей, где требуется ручная обработка пакетов.
Генератор пакетов позволяет задавать содержимое пакета любого типа и декодировать его в левом окне по мере редактирования. Для пакетов IP, TCP, UDP и ICMP контрольная сумма автоматически обновляется при нажатии на кнопку "сигма". Воспользуйтесь кнопками TCP, UDP и ICMP для быстрой загрузки готовых шаблонов пакетов. В шаблонах TCP, UDP и ICMP пакетов вам потребуется изменить на нужные значения такие поля, как MAC и IP адреса, номера портов, SEQ и ACK номера, и так далее. Можно создать собственные шаблоны, загрузив файлы в формате CCF в директорию программы.
Имена файлов шаблонов должны быть "template_tcp.ccf", "template_udp.ccf" и "template_icmp.ccf". Если в директории CommView есть хоть один такой файл, нажатие на кнопку шаблонов будет загружать из него соответствующий пакет. Хотя в файле-шаблоне может быть и несколько пакетов, CommView загрузит только первый.
Ниже приведены доступные параметры передачи:
Packet Size – изменяет размер пакета.
Packets Per Second – устанавливает частоту передачи пакетов. Будьте осторожны, чтобы не превысить пропускную способность соединения. Попытка посылать 5000 раз в секунду пакеты длиной в 1000 байтов превысит возможности 10Mbit-ного сетевого адаптера.
Continuously – (Непрерывно) – включает режим непрерывной передачи, пока не нажмёте Stop.
Time(s) – (Количество) – задаёт число отправок пакета в сеть.
Send/Stop – (Старт/Стоп) – включает/выключает режим передачи пакета.
Работа с несколькими пакетами одновременно.
Генератор пакетов может передавать несколько пакетов одновременно. Выберите нужные Вам пакеты из списка и, правым щелчком мышки, вызовите Генератор Пакетов. Кроме того, можно просто перетащить файл с пакетами (в любом поддерживаемом формате) в окно Генератора Пакетов. При работе в этом режиме декодер и редактор пакетов отключаются.
Сохранение отредактированного пакета.
Если Вы отредактировали пакет и хотите его сохранить, просто перетащите мышкой дерево декодера на десктоп или в любую папку. Будет создан новый файл в формате CCF с именем PACKET.CCF. Если требуется редактировать и посылать несколько пакетов – делайте это по очереди, вынося каждый пакет на рабочий стол, и переименовывая его. Затем, откройте окно Просмотра Log-файлов, внесите в него отредактированные пакеты, выберите их удерживая клавишу Shift, и включите из контекстного меню Генератор Пакетов.
ВНИМАНИЕ:
1. Не пользуйтесь этой утилитой для баловства! Передача пакетов в сеть может привести к непредсказуемым результатам. Используйте её, только если Вы знаете, чего хотите добиться.
2. Утилита не работает с RAS/Dial-up адаптером под Windows NT.
3. Кроме Вашего, в сети должен быть хотя бы ещё один работающий компьютер, иначе в передаче пакетов возникнут значительные задержки.
NetXRay. Сетевой анализатор.
Пакет состоит из набора разных функций. Все возможности (модули) сгруппированы в меню "Tools", там же находятся и различные установки. Вы можете выбрать адаптер, для которого проводится текущее тестирование (probe). Адаптер должен поддерживать стандарт NDIS 3.0/3.1.
Внимание, баг! Если вы "натравливаете" NetXRay на "неправильный" по его мнению, адаптер или захватываете пакеты, которые он не может декодировать на канальном – сетевом уровне (например, трафик эксплойтов, посылающих криво фрагментированные пакеты) - на стадии декодирования (анализа протоколов) программа зависает намертво.
Одновременно можно проводить тестирование на нескольких интерфейсах, для чего создаются множественные ипостаси программы (probes). В новую probe можно скопировать все настройки любой из существующих.
В опциях вы можете настроить следующие вещи: внешний вид рабочего стола, стандартные номера портов для различных протоколов (3 варианта - очень полезно в случаях, когда сетевые приложения работают по нестандартным портам), реагирование на наступление некоторого события, пороговые значения для различных видов статистики и др.
При запуске программы NetXRay пред нами возникает маленькое окошечко с "приборной панелью" и парой кнопок. Все действия, которые мы можем выполнять в этом окне, продублированы в меню Capture.
Программа NetXRay позволяет выполнять следующие действия: начать захват пакетов, остановить, остановить+просмотреть содержимое буфера и просто просмотреть содержимое буфера, при условии, что захват был остановлен. Там же мы можем осуществить тонкую настройку фильтров:
· по адресам отправителя и получателя. Для облегчения данной задачи, существует адресная книга и некоторый набор предустановленных адресов, например "Any".
· по шаблонам. Если нужно изловить пакеты, содержащие некие определенные данные в любом месте пакета, вы можете написать хитро навороченный шаблон. Причем, что особенно приятно, конструировать шаблоны можно в любом удобном для вас представлении: бинарном, шестнадцатеричном, ASCII и EBCDIC.
· по известным программе протоколам, а именно по сетевым:
сетевые: AppleTalk, AppleTalk ARP, APOLLO, DECNET, IP, IP ARP, IPX, LAT, NetBEUI, OSI, SNA, VINES, VINES Loopback, VINES Echo, XNS
выше в стеке IP: транспортные, служебные и маршрутизации:
ICMP, IGMP, GGP, EGP, IGP, ISO-TP4, HELLO, IP-VINES, IGRP, OSPF, TCP, UDP; прикладного уровня - FTP, REXEC, RLOGIN, RSH, PRINTER, SMTP, TELNET, DNS(TCP), GOPHER, HTTP, POP, SUNRPC(TCP), NNTP, NETBIOS, X-WINDOW, DNS(UDP), BOOTP, TFTP, SUNRPC(UDP), SNMP, SNMPTRAP, BIFF, WHO, SYSLOG, RIP, GDP, NFS.
выше в стеке IPX:
NCP, SAP, NRIP, NBIOS, DIAGNOSTIC, SERIALIZATION, NMPI, NLSP, NSNMP, NSNMPTRAP, SPX.
Внимание! Протокольный фильтр имеет немного странный интерфейс: предполагается, что если все "чекбоксы" в границах одного уровня не помечены, захватываются все пакеты протоколов данного уровня и все что выше (ниже, если смотреть на пользовательский интерфейс). Таким образом, если вы не поставили ни одной "птички" - ловится абсолютно все. Естественно, неизвестные протоколы прикладных уровней в таком случае ловятся тоже, но не декодируются в удобочитабельный вид, что естественно, раз уж они неизвестные.
Кроме этого, можно настроить размер буфера либо указать файл, куда скидывать результат захвата пакетов.
Настройки фильтра можно записать в так называемый профайл, присвоить ему название и впоследствии выбирать его из списка.
После отработки захвата нужного числа пакетов, при активизации просмотра мы попадаем в так называемое "окно результатов", имеющее по умолчанию имена XRay1, XRay2 ну и так далее по количеству текущих буферов. Такое окно вы можете лицезреть на скриншоте: сверху - список пакетов с краткой "аннотацией", посередине - декодированные данные (то, что программа смогла декодировать) и снизу - сырой пакет. Любопытно, что при нажатии на интересующее поле в декодированной секции подсвечивается соответствующее место в сыром пакете - можно проверить качество работы анализатора протоколов.
Пользовательский интерфейс "окна результатов" имеет наряду с преимуществами (способность наложить любой из обсуждавшихся выше фильтров на отображаемый буфер, возможность одним мышьим щелчком послать любой пакет или буфер в сеть либо скопировать некоторое количество пакетов в отдельный буфер, очень красивое отображение декодированных данных, даже с некоторой вложенностью для малоинтересных рядовому пользователю полей) также и очевидные недостатки (нельзя удалить пару пакетов из буфера, нет никакой clipboard-операбельности, то есть результаты нельзя, например, скопировать и сохранить в текстовом формате).
Кроме накапливания пакетов в буфере или файле для последующего декодирования существует также возможность просмотра трафика в режиме реального времени. Правда визуально это выглядит ужасно, и включается эта опция в очень нелогичном месте. Птичка устанавливается в меню Tools => Options . закладка General, "чекбокс" Realtime Display, а не в настройках Capture, где ее логично было бы искать.
Генератор пакетов.
Вот уж поистине замечательная штука: можно с нуля "набросать" и отправить в сеть абсолютно любой пакет. Интерфейс состоит из главного окна и так называемого конструктора пакетов, разделенного на две секции - Configure и Decode.
В первой мы имеем портрет стандартного дампа забитый нулями. Начинаем вписывать туда шестнадцатеричные числа - в секции декодирования, которая выглядит точь в точь как расшифрованный пакет в "окне результатов" Capture, появляется анализ нашего пакета.
Но в данном случае мы можем не только смотреть на декодированный пакет, но и вносить изменения, щелкая мышью по нужному полю. Правда, изменение значений в любом случае осуществляется только в шестнадцатеричном виде, и поля ввода поражают своим неудобством. Есть несколько вариантов генерации и отсылки пакетов: послать текущий пакет, послать текущий буфер, написать пакет с нуля или послать отредактированный пакет из того, что насобирали.
Примечание по интерфейсу: если опция "послать текущий пакет" вызывается из "окна результатов" Capture, пакет отправляется сразу без вызова конструктора пакетов, правда, остается в текущем "буфере на отправку", и впоследствии его можно там подкорректировать.
Если "послать текущий пакет" вызывается из окна Packet Generator'а - автоматически вызывается конструктор пакетов. Будьте внимательны!
Пакеты можно посылать в разных режимах: один клик - один пакет, заданное количество пакетов либо зацикленно.
Дополнительные возможности программы:
Dashboard – Статистика загруженности сети, точнее той ее части, которая вам видна. Количество пакетов, байт, ошибок всех типов, расчет утилизации. Host Table – Отлавливает различные сведения о видимых снифферу хостах и их деятельности (без полного захвата и анализа пакетов) Matrix – Практически то же самое, что и Host Table, но представленное немного в другом формате. History – Чертит графики и диаграммы по поведению сети в определенный промежуток времени. Protocol Distribution – Как следует из названия, ведет статистику по использованию различных протоколов. Statistics – Статистика по утилизации и размерам кадров. Alarm log – Журнал учета определенных вами событий.
SpyNet. Программа – сниффер.
Программа SpyNet является сниффером и используется для локальных сетей. Как и все снифферы она перехватывает пакеты, проходящие в сети.
После установки SpyNet следует запустить CaptureNet (в пакете SpyNet 2 программы, одна из них сканирует пакеты, а другая всё это контролирует) и начинаем настраивать фильтр траффика (кнопка Modify Filter).
Для настройки используются следующие вкладки:
Layer 2,3 – справа вы увидите таблицу с двумя столбцами, ставим в колонке [Frame] — "IP", а в колонке [Layer 3+] — "TCP".
Pattern Matching – Здесь можно ввести строку для поиска в пакетах, т.е. он будет выдавать вам все пакеты, где содержится указанная строка.
IP Addresses – Здесь устанавливаются IP адреса для сканнирования. В левой и правой вкладках устанавлиются контролируемые адреса, т.е. между какими IP мы будем "вынюхивать" пакеты. Средняя устанавливает направление контроля передачи пакетов (здесь 3 варианта: либо с 1 на 2, со 2 на 1, в обе стороны), если оставить одну из вкладок пустой, а направление пересылки поставить на введенный адрес, то мы будем контролировать весь входящий траффик на указанный хост.
Ports – В правой части появившегося окна находится список стандартных портов, используемых для передачи. Двойной клик перенесет порт в левую часть табицы. Таким образом мы выбираем порты для контроля (допустим pop3[110]).
Все — снифер SpyNet готов к работе. Нажимаем кнопку "Start Capture" и вперед. А теперь рассмотрим работу SpyNet на конкретных примерах:
На приведённой иллюстрации показан пример того, как сообщение ICQ, посланное машиной с IP-адресом 24.28.73.221 cтало достоянием общественности.
На втором скриншоте приведён пример того, как сниффер по захваченному траффику восстановил pop3-сессию с сервером и показал пароль и логин пользователя.
Следует отметить немаловажную особенность процедур декодирования захвата. Возможно даже полностью реконструировать web-страницы, которые посещал пользователь из ethernet-сегмента, в котором работает сниффер, на скриншоте – фрагмент почтового ящика на службе hotmail.
Заключение.
В данной контрольной работе было дано общее представление ПО, относящееся к программам – снифферам, расшифровано само понятие "сниффер", рассмотрены принципы работы сетевых анализаторов. Также вкратце объяснены виды снифферов и "сниффинга", назначение снифферов, их потенциальные возможности, область применения, легальные и нелегальные стороны их использования, и другая информация, необходимая для пользователей подобного программного обеспечения.
Во второй части работы дано описание программ – снифферов на конкретных примерах. Рассмотрены программы: CommView, NetXRay и SpyNet. По своим функциональным возможностям мне больше всего понравилась программа CommView, но это лишь чисто теоретическое предположение, поскольку, не являясь ни хакером, ни системным администратором, также учитывая отсутствие практического опыта по работе с подобным ПО, я вряд ли смогу дать конкретный совет по использованию того или иного сниффера.
Используемая литература.
1. Информация для введения и описания снифферов взята с сайтов:
· http://www.nestor.minsk.by/sr/2000/12/01202.html
· http://netedu.netfirms.com/cgi-bin/new/index.cgi?name=articles&num=51
· http://pomogi.h10.ru/statyi/snif.htm
2. Всю информацию о программе CommView можно найти на сайте:
· http://www.tamos.com
Для русскоязычных пользователей больше подойдет копия этого сайта на русском языке:
· http://www.tamos.ru
3. Информация о программе SpyNet:
· http://hummir.narod.ru/snifer.html
· http://smi.lomo-eltem.ru/p/applications/articles/sniffer.php
4. А про сниффер NetXRay можно прочитать здесь:
· http://www.nestor.minsk.by/sr/2000/12/01202.html