Программа для перехвата SMS на мобильном телефоне iPhone и Android. Программа для iPhone. Импорт и экспорт файлов из других пакетных. Для перехвата.
Введение В статье рассмотрены некоторые небезопасные протоколы передачи данных, продемонстрированы способы перехвата конфиденциальной информации, передающейся по ним, предложены пути решения этих проблем. Термин снифер происходит от английского «to sniff » – нюхать – и представляет собой программу или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов. Wireshark: основы Wireshark – это анализатор сетевого трафика. Его задача состоит в том, чтобы перехватывать сетевой трафик и отображать его в детальном виде. Анализатор сетевого трафика можно сравнить с измерительным устройством, которое используется для просмотра того, что происходит внутри сетевого кабеля, как например вольтметр используется электриками для того чтобы узнать что происходит внутри электропроводки (но, конечно, на более высоком уровне).
В прошлом такие инструменты были очень дорогостоящими и проприетарными. Однако, с момента появления такого инструмента как Wireshark ситуация изменилась. Wireshark – это один из лучших анализаторов сетевого трафика, доступных на сегодняшний момент. Wireshark работает на основе библиотеки pcap. Библиотека Pcap (Packet Capture) позволяет создавать программы анализа сетевых данных, поступающих на сетевую карту компьютера. Разнообразные программы мониторинга и тестирования сети, сниферы используют эту библиотеку. Она написана для использования языка С/С так что другие языки, такие как Java,.NET и скриптовые языки использовать не рационально.
Для Unix-подобных систем используют libpcap библиотеку, а для Microsoft Windows NT используют WinPcap библиотеку. Программное обеспечение сетевого мониторинга может использовать libpcap или WinPcap, чтобы захватить пакеты, путешествующие по сети и в более новых версиях для передачи пакетов в сети. Libpcap и WinPcap также поддерживают сохранение захваченных пакетов в файл и чтение файлов содержащих сохранённые пакеты. Программы написанные на основе libpcap или WinPcap могут захватить сетевой трафик, анализировать его. Файл захваченного траффика сохраняется в формате, понятном для приложений, использующих Pcap.
2.1 Для чего используется Wireshark?. Системные администраторы используют его для решения проблем в сети.
Аудиторы безопасности используют его для выявления проблем в сети. Разработчики используют его для отладки сетевых приложений. Обычные пользователи используют его для изучения внутреннего устройства сетевых протоколов. 2.2 Возможности Wireshark. Работает на большинстве современных ОС (Microsoft Windows, Mac OS X, UNIX).
Wireshark – продукт с открытым исходным кодом, распространяемый на основании лицензии GPL. Его можно использовать на любом количестве компьютеров, не опасаясь за ввод лицензионных ключей, продление лицензии и другие неприятные мероприятия. Поэтому сообществу очень легко добавлять в него поддержку новых протоколов в виде плагинов или напрямую вшить её в исходный код. Перехват трафика сетевого интерфейса в режиме реального времени. Wireshark может перехватывать трафик различных сетевых устройств, отображая его имя (включая беспроводные устройства).
Поддерживаемость того или иного устройства зависит от многих факторов, например от операционной системы. Множество протокольных декодировщиков (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG и другие).
Сохранение и открытие ранее сохраненного сетевого трафика. Импорт и экспорт файлов из других пакетных анализаторов. Wireshark может сохранять перехваченные пакеты в большое количество форматов других пакетных анализаторов, например: libpcap, tcpdump, Sun snoop, atmsnoop, Shomiti/Finisar Surveyor, Novell LANalyzer, Microsoft Network Monitor, AIX's iptrace. Позволяет фильтровать пакеты по множеству критерий. Позволяет искать пакеты по множеству критерий. Позволяет подсвечивать захваченные пакеты разных протоколов. Позволяет создавать разнообразную статистику.
Ниже перечислены некоторые вещи, которые Wireshark делать не умеет. Wireshark – это не система обнаружения вторжений. Он не предупредит о том, если кто-то делает странные вещи в сети. Однако если это происходит, Wireshark поможет понять что же на самом деле случилось. Wireshark не умеет генерировать сетевой трафик, он может лишь анализировать имеющийся. В целом, Wireshark никак не проявляет себя в сети, кроме как при резолвинге доменных имен, но и эту функцию можно отключить. 2.3 Установка Установка снифера Wireshark под Windows является тривиальной задачей и производится мастером установки.
Если на компьютере отсутствует библиотека WinPcap, то она будет установлена вместе со снифером. На шаге выбора компонентов можно установить некоторые сопутствующие инструменты:.
TShark – консольный анализатор сетевого трафика;. Rawshark – фильтр «сырых» пакетов;. Editcap – утилита, позволяющая открывать сохраненные пакетные дампы и изменять их;. Text2Pcap – утилита для конвертации HEX-дампов (побайтовое представление) пакетов в формат Pcap;. Mergecap – утилита для соединения нескольких дампов в один файл;.
Capinfos – утилита для предоставления информации о сохраненных дампах;. Некоторые плагины расширенной статистики. Сразу после установки снифер готов к работе.
2.4 Интерфейс Wireshark Интерфейс программы Wireshark представлен на рисунке 1. Рисунок 1 – Главное окно программы Wireshark Рассмотрим интерфейс более подробно. Сверху находится стандартные для Windows приложений меню и тулбар, на них подробно останавливаться смысла не имеет. Далее следует фильтр, в нем можно задавать критерии фильтрации пакетов, подробное описание работы с ним рассмотрим позже. Следом идет окошко со списком всех перехваченных пакетов. В нем доступна такая информация как: номер пакета, относительное время получения пакета (отсчет производится от первого пакета; параметры отображения времени можно изменить в настройках), IP адрес отправителя, IP адрес получателя, протокол, по которому пересылается пакет, а также дополнительная информация о нем.
Как можно заметить, разные протоколы подсвечены разными цветами, что добавляет наглядности и упрощает анализ. Далее видно окно, в котором представлена детальная информация о пакете согласно сетевой модели OSI (подробнее см. Ну, и самое нижнее окно показывает нам пакет в сыром HEX виде, то есть побайтово. Конфигурация интерфейса может быть легко изменена в меню View. Например, можно убрать окно побайтового представления пакета (оно же Packet Bytes в меню View), так как в большинстве случаев (кроме анализа данных в пакете) оно не нужно и только дублирует информацию из окна детального описания. 2.5 Перехват трафика Перехват трафика является одной из ключевых возможностей Wireshark.
Движок Wireshark по перехвату предоставляет следующие возможности:. перехват трафика различных видов сетевого оборудования (Ethernet, Token Ring, ATM и другие);.
прекращение перехвата на основе разных событий: размера перехваченных данных, продолжительность перехвата по времени, количество перехваченных пакетов;. показ декодированных пакетов во время перехвата;. фильтрация пакетов с целью уменьшить размер перехваченной информации;. запись дампов в несколько файлов, если перехват продолжается долго. Движок не может выполнять следующие функции:. перехват трафика с нескольких сетевых интерфейсов одновременно (однако, существует возможность запустить несколько копий Wireshark – каждая для своего интерфейса);.
прекращение перехвата в зависимости от перехваченной информации. Чтобы начать перехват трафика нужно иметь права Администратора на данной системе и выбрать правильный сетевой интерфейс. Итак, начнем. Чтобы выбрать сетевой адаптер, с которого будет выполняться перехват нужно нажать на кнопку Interfaces на тулбаре, либо их меню Capture Interfaces (отмечены красным цветом на рисунке 2).
Рисунок 7 – Фильтрация по протоколу ICMP Здесь мы можем наблюдать как происходит Echo Request и Echo Reply в протоколе ICMP изнутри: какие тестовые данные посылаются, какие флаги символизируют о том, что это именно Echo Request, и другую не менее важную информацию. 3.2 Перехват FTP трафика В этом пункте рассматривается перехват документа, передающегося по протоколу FTP без шифрования, и убедимся, что при использовании шифрования на основе TLS ничего полезного мы перехватить не сможем. В качестве FTP сервера используется Cerberus FTP Server, в качестве клиента – любой браузер, например, Internet Explorer (в данной работе использовался плагин к Mozilla Firefox под названием FireFTP). Запускаем захват пакетов в Wireshark и делаем фильтр по протоколу FTP для удобства (набираем «ftp or ftp-data» без кавычек). Набираем в строке адреса браузера адрес нашего FTP сервера: ftp:// и жмем Enter. На сервере будет лежать текстовый документ под названием test.txt, скачиваем его. Теперь посмотрим, что произошло в снифере, и какие пакеты мы перехватили.
На рисунке 8 можно видеть, что перехватить можно не только данные, которые передаются по протоколу, но и логин с паролем. Рисунок 8 – Перехват логина и пароля Теперь найдем в перехваченных пакетах содержание нашего документа. Несколько слов о процессе передачи файлов по протоколу FTP: в самом начале сервер посылает клиенту баннер приветствия (в данном случае это 220-Welcome to Cerberus FTP Server), пользователь проходит аутентификацию на сервере с помощью команд USER и PASS, получает список директорий с помощью команды LIST и запрашивает нужный файл с помощью команды RETR. Команду RETR мы и будем искать в списке пакетов. Для этого нужно нажать Ctrl+F, выбрать в опциях поиска Find by String и Search in Packet Bytes, в строке поиска ввести RETR и нажать Enter. Будет найден пакет, в котором клиент посылает эту команду серверу, если файл существует, то сервер пришлет ответ 150 Opening data connection, а в следующем пакете и будет содержимое документа (рисунок 9). Рисунок 10 – Список перехваченных зашифрованных пакетов 3.3 Перехват документа, переданного по протоколу SMB SMB (Server Message Block) – формат сообщений на основе протокола совместного использования файлов Microsoft/3Com, используемый для передачи файловых запросов (open – открыть, close – закрыть, read – прочитать, write – записать и т.
П.) между клиентами и серверами. Откроем Wireshark, запустим перехват пакетов и фильтр по протоколу SMB. Затем зайдем на удаленный расшаренный ресурс и скачаем файл test.txt. Остановим перехват пакетов, нажав на кнопочку «Stop the running live capture». Теперь посмотрим на то, что мы получили.
В списке пакетов найдем запрос на передачу файла test.txt: Спустя несколько пакетов можно будет увидеть ответ: В этом пакете и будет содержание документа (рисунок 11). Заключение Проблема снифинга была актуальной раньше – в сетях основанных на концентраторах (хабах) – она остается актуальной и сейчас для сетей на коммутаторах (свитчах), благодаря такой технологии как ARP spoofing.
Более того, сегодня семимильными шагами развивается технологии беспроводных сетей, где снифинг возможен даже в пассивном режиме. Единственным решением, препятствующим снифингу, является шифрование.
Нельзя допускать использования фирменных небезопасных прикладных протоколов или унаследованных протоколов, передающих данные явным образом. Замена небезопасных протоколов (таких как telnet) на их надежные шифрованные аналоги (такие как SSH) представляется серьезным барьером от перехвата. Замена всех небезопасных протоколов в большинстве случаев маловероятна. Вместо прекращения использования протоколов, передающих данные явным образом, остается только одна возможность - шифрование всего сетевого трафика на 3 уровне, используя IPSec. Осуществляя шифрование на 3 уровне, возможно продолжать использовать небезопасные протоколы, поскольку все данные будут инкапсулированы IPSec и зашифрованы при передаче по сети. Таким образом, унаследованные приложения, которые используют старые протоколы, не пострадают.
IPSec полностью прозрачен для приложений и пользователей. Это открытый стандарт, поддерживаемый многими вендорами, включая Microsoft и Cisco. Кроме того, многие реализации Unix поддерживают IPSec. Легкая настройка IPSec в Win2k/XP дополнительно увеличивает его доступность. Осуществление технологии шифрования на 3 уровне, таких как IPSec решает проблему снифинга полностью.
Масштабируемость, распространенность, доступность IPSec выделяет его как прагматическое решение проблемы перехвата сетевого трафика. Не выходит анализ трафика wireshark доброе время суток! Уже разобрался с прошлым вопросом (ftp) т.е. Понял что не обязательнь заходить на сайт.
Подскажите пожалуйста как находить в собранном трафике логи и пароли. У меня в сети 3 машины, после запуска wireshark на всех захожу на почту в facebook, останавливаю сбор тарфика и ищу ( cntr-f ) by string, все как описано в статье.прописываю следующие слова: password, retr, post, cookie ( единственное что находится) и мои логин и пароли, ничего кроме cookie не нахожу( и то не со всех машин ). В cookie cadger я мог нажатием кнопки загрузить его в мазилу и зайти на страницу а что тут делать не разберусь. Извените за глупые вопросы,.
Помогите плз. Спасибо за рание. Доброе время суток!
Уже разобрался с прошлым вопросом (ftp) т.е. Понял что не обязательнь заходить на сайт. Подскажите пожалуйста как находить в собранном трафике логи и пароли. У меня в сети 3 машины, после запуска wireshark на всех захожу на почту в facebook, останавливаю сбор тарфика и ищу ( cntr-f ) by string, все как описано в статье.прописываю следующие слова: password, retr, post, cookie ( единственное что находится) и мои логин и пароли, ничего кроме cookie не нахожу( и то не со всех машин ). В cookie cadger я мог нажатием кнопки загрузить его в мазилу и зайти на страницу а что тут делать не разберусь.
Извените за глупые вопросы,. Помогите плз. Спасибо за рание. Доброе время суток!
Как всегда огромное спасибо за советы, уверен пригодятся. Я тут просто попал в небольшой замес, так как наталкивался на какието проблемы что не мох решить в одних направления начинал пробывать другие, и получилось что я рою по нескольким фронтам, а головы у меня едва хватает на что то одно) так вот основной проблемой, ко-я у меня онняла много времени это то что мой адаптер не работает с os x 10.8 (alfa awuo36h)при использовании kismac,это я вычитал в фак их сайта. Там же пробывал cooki cadger, пока что проблемой стоит перевод адаптера в монитор режим ( прога видит все дивайсы по показывает cookie только одного,машины на которой я сижу, такое впечатление что онa по wifi ничего не видит, кроме маков и айпи), блин не выходит)) ( взял погонять другой alfa awuo36nh) у него другой чипсет, но тоже проблема прога(kismac) его видет но еще нужно его настраивать, тоже сейчас буду продолжать искать, уже нашол точнее просто нужно осуществить)).
Его нужно добавить в список потдерживаемых устройств, говорят что может помоч.wireshark начал видить новый адаптер лучше, теперь в опциях по крайней мере не пишится что монитор мод. Но тоже еще не идет, теща пишет что нужно нужно заходить на какой то сервер, скачивать txt file и там уже что то видно, при работе с wire shark, короче как видешь я тут совсем в этих дебрях запутался, нужен прорыв))) и все заработает, еще раз благодарю за помощь. Нужна помощь! У нас в универе задание, показать преподавателю статистику портов и протоколов в Wireshark`е.
Вроде бы я нашел в меню Статистикс общую статистику по протоколам в виде иерархии. А где можно взглянуть статистику портов? И еще нам доп.
Задание: попытаться выявить ошибку в сети. Каким образом это можно сделать? Есть ли какой-нибудь способ найти хоть самую малюсенькую ошибочку в чем-нибудь?
И может ли быть такое, чтобы в сети вообще не было ошибок?(у нас компьютерный класс, подключенный к прокси). Click to expand.Вопрос в том, что ваш преподаватель считает ошибками в сети. Если коллизии кадров - тогда способа их увидеть wireshark`ом нет, т.к.
Они отрабатываются аппаратно. Кое-какие пакеты wireshark автоматически помечает черным цветом с красным шрифтом внутри. Это пакеты, попадающие под дефолтное правило 'Bad TCP'. Что там конкретно записано в правиле - смотреть мне сейчас лень, но если судить из названия, это можно тоже в некотором роде считать ошибкой сети Чтобы найти все такие пакеты, нужно остановить сниффинг, и сделать сортировку по полю Info в основном окне программы.