Информация из Sniffer FAQЧто такое Sniffer, и как он работаетВ отличие от телефонной сети, компьютерные сети используют общие коммуникационные каналы. Совместное использование каналов подразумевает, что узел может получать информацию, которая предназначается не ему. 'Отлов' этой информации в сети и называется sniff'ингом. Наиболее популярный способ соединения компьютеров - сети ethernet.Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам сети одного сегмента. Заголовок пакета содержит адрес узла - приемника. Предполагается, что только узел с соотв етствующим адресом может принять пакет. Однако, если какая-то машина в сети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной сети информация о паролях передается в виде простого текста, но для хакера не сложно перевести одну из машин подсети в promiscuous режим (предварительно получив на ней права root'a), вытягивая и анализируя пакеты, проходящие по сети, получить пароли к большинству компьютеров сети. Методы применения sniff'ингаSniff'инг - один из наиболее популярных видов атаки, используемых хакерами. Наибольшую известность приобрел сниффер Esniff.c - очень маленький, разработанный для работы на SunOS, занимался тем, что вылавливал первые 300 байтов telnet, ftp и rlogin сессий.Существует множество ethernet sniff'еров, здесь лишь некоторые из них: sniffers для систем Unix SunOS: Esniff.c | Etherfind | Snoop (ftp://playground.sun.com/) DEC Unix: tcpdump OSF Unix: faq on BPF suppport DEC Ultrix: tcpdump | faq on BPF suppport Solaris: tcpdump | Snoop ( ftp://playground.sun.com/) | solsniffer.c FreeBSD: ftp://gatekeeper.dec.com/pub/BSD/FreeBSD/FreeBSD-current/src/contrib/tcpdump/ NetBSD: ftp://gatekeeper.dec.com/pub/BSD/NetBSD/NetBSD-current/src/usr.sbin/ Linux: ftp://sunsite.unc.edu/pub/Linux/system/Network/management/ | Linsniffer 0.03.9 SGI Irix: nfswatch | Etherman | tcpdump HP/UX: nettl (monitor) | netfmt (display) | nfswatch Cнифферы, доступные для многих Unix'овНовый sniffer Sniffit V.0.3.5 (работает на системах IRIX, Linux, SunOS, BSD)xtended for (UDP, ICMP, netload, etc) network debugging Packetman, Interman, Etherman, Loadman (SunOS, Dec-Mips, SGI, Alpha, and Solaris). ftp://ftp.cs.curtin.edu.au:/pub/netman/ [etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z Packetman разработан для перехвата пакетов, а Interman, Etherman, и Loadman показывают трафик разных типов. Cнифферы под MS-DOSGobbler; (ethdump v1.03); (ethload v1.04); LanPatrol; LanWatch; Netmon; NetwatchCнифферы под Windows*NEW* SUPER MINI! BUTTSniffer V 0.9.3. Продукция известной группы Cult of the Dead Cow. Размер: 139Kb. Поддерживается плагин для BO main distro siteHедоработки: у меня работает только в режиме e (encapsulation) Автор пишет, что к версии 1.0 выложит исходники buttsnif.exe -d 0 dump.log e 21-110 Session Wall-3 (http://www.abirnet.com/), LANAlyzer *PacketBoy v1.2 for Win95/NT и кряк к нему Lan Trace (http://www.intellimax.com/) (6,5 Mb) Shomiti Surveyor (http://www.shomiti.com/) (8 Mb) Sniffer Ballista/NT (http://www.securenetworks.com./) Cпецифичные снифферыweb_snif.cWeb sniffer для Linux - перехватывает пароли на web basic auth (типа .htaccess)readsmb.c Перехватывает пароли на SAMBA соединения по NetBEUI icq-spof.c Позволяет читать сообщения ICQ и перехватывать пароли C2MyAzz - tricks Microsoft networking clients to send their passwords as clear text. Displays usernames and their passwords as they attach to NT Server resources.Главное - поставляется с исходниками под WinNT, в которых переводит карточку в promisc. режим! ДеталиЕсли сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode (смешанный режим), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен.В открытом виде пароли передаются по сети в реализация протоколов TCP/IP: Telnet (23 port) Pop3 (110 port) Ftp (21 port) Pop2 (109 port) Imap2 (143 port) Rlogin (513 port) Poppasswd (106 port) netbios (139 port) icq (1024-2000 UDP) Соответственно лог-файл сниффера выглядит следующим образом : [Starting sniffing .......] victim.net.ru => pop3.net.ru [110] USER victim PASS PaSsWorD STAT QUIT ----- [RST] 10.0.0.19 => 10.0.0.1 [23] % #'$ANSI!root r00t9xZx -----+ [Timed Out] Если наглядно показать администратору или пользователю, насколько просто перехватывать их brute-force-stable пароли, передаваемые через незащищенные сервисы и каналы связи, то это будет более эффективным, чем тысячу раз убеждать их в необходимости использования crypto- средств. Как опpеделить компьютер с pаботающим в сети сниффеpом.Так как это пассивное устройство, в общем случае обнаружить его тяжело (ничего в сеть не шлет, только слушает.) Однако если впадать в конкретику, то если предполагаемый сниффер стоит под Linux, то это можно обнаружить (линукс не совсем корректно работает в promiscuous mode)[bugtraq]в шелле наберите команды$ arp -s suspecthost 00:de:ad:c0:ff:ee $ ping suspecthost Если вы получите ответ, тогда это linux, находящийся в promiscuous режиме Не забудьте очистить ложный MAC address.$ arp -d suspecthost Проверка работы сетевого устройства в режиме promiscuous в локальном режимеВо многих Unix системах есть команда "ifconfig -a", или аналогичная (в которой необходимо указать конкретный интерфейс, узнаваемый командой "netstat -r") которая сообщает вам информацию обо всех сетевых интерфейсах, и о их состоянии. Информация выглядит следующим образом:#ifconfig le0 le0: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROM
|