Как работают снифферы


Безопасность компьютера и снифферы: многие сети построены с использованием концентраторов. Передача данных через ЛВС, основанную на концентраторах, подобна крику в переполненной комнате: все присутствующие услышат то, что вы кричите. Концентратор подобным образом создает трансляционную среду, доступную всем системам в ЛВС.

Любые данные фактически отправлены всем без исключения машинам, связанным с данной ЛВС. Поэтому, если атакующий запустит сниффер на одной системе в ЛВС, программа будет собирать данные, передаваемые любой другой системе и получаемые от нее.

Большинство решений хорошо подходят для сниффинга данных в среде концентратора. Такие инструменты называют пассивными, потому что они просто ждут трафик, который им посылается, безмолвно собирая данные из ЛВС. В частности, двумя наиболее полезными инструментальными средствами в этой области являются Snort и Sniffit.


Snort



Snort - мощная бесплатная партнерская программа, написанная и сопровождаемая Мартином Решем (Martin Roesch). Он способен собирать трафик сохранять его различными удобными способами в файловой системе.

Начал свой путь в качестве гибкого сниффера, но команда разработчиков добавила туда мощные возможности создания сценариев и поддержку препроцессинга, превратив его в очень хорошую систему обнаружения вторжений (Intrusion Detection System - IDS).

Помните, что большинство сетевых IDS прослушивают данные в сети и прочесывают их в поиске сигнатур атак. Snort делает только это, позволяя системным администраторам вести мониторинг атак в своих сетях при помощи бесплатного IDS-процессора. Наряду с подобным благонамеренным использованием Snort может применяться атакующим для сбора важной информации в сети.

Snort поддерживает невероятное число платформ, работая под Linux, Ореп- BSD, FreeBSD, NetBSD, Solaris, SunOS, HP-UX, AIX, IRIX, Tru64 и MacOS X Server. Марк Дэвис (Mark Davis) приспособил Snort даже к платформе Windows NT/2000. Если ваша организация ищет недорогое решение для сетевого IDS или дешевый быстрый сниффер, то вы определенно должны обратить внимание на Snort.


Sniffit



Sniffit многие годы использовался в компьютерном андеграунде для самых разнообразных атак. Эта программа написана Брехтом Клэрхутом (Brecht Claerhout) для Linux, Solaris, FreeBSD, SunOS и IRIX.

С точки зрения атакующего, Sniffit обладает рядом весьма полезных свойств. Подобно большинству снифферов его допустимо настроить таким образом, чтобы собирать данные без разбора и сохранять их в локальном файле. Более того, он обладает гибкими возможностями фильтрации, так что атакующий в состоянии указывать для прослушивания конкретные главные компьютеры или даже определенные протоколы типа telnet или FTP, основываясь на номерах портов, используемых этими протоколами. Однако наиболее интересной особенностью Sniffit является его способность выполнять интерактивное прослушивание сеансов в реальном масштабе времени.

Интерактивный режим Sniffit невероятно полезен для контроля ориентированных на сеанс приложений, подобных telnet или rlogin, и сеансов FTP. Указанные приложения связаны с входом в систему и постоянной передачей данных по сети туда и обратно. Программа рассортировывает пакеты по их индивидуальным сеансам, учитывая IP-адреса и номера портов.

В интерактивном режиме скрывает сложность индивидуальных пакетов за своим интерфейсом, позволяя атакующему видеть отдельные сеансы связи. Атакующий может просмотреть эти сеансы и распахнуть окно в каком-то из них, представляющем особый интерес. При распахнутом окне атакующий наблюдает нажатия клавиш жертвы в реальном масштабе времени, собирает пароли или наблюдает за тем, что происходит.

По существу, такой интерактивный режим позволяет атакующему заглядывать через плечо пользователя (во всяком случае, с сетевой точки зрения), становясь свидетелем каждого его нажатия на клавишу.


Автор: pimka21

Еще советуем:
  • Что такое снифферы
  • Передача подложных команд SQL
  • Защита сайта от взлома паролей
  • Защита от переполнения буфера памяти
  • Атаки переполнения стековой памяти