Популярное программное обеспечение для прослушивания сетевого трафика

Популярное программное обеспечение для прослушивания сетевого трафика

За всю историю прослушивания сетевого трафика было написано много анализаторов трафика. Здесь мы рассматриваем несколько ключевых программ. Необходимо отметить, что мы не стремились предоставить всеобъемлющий список анализаторов трафика, а только некоторые реализации. Мы рассматриваем как коммерческие реализации, используемые для диагностики сети, так и реализации, написанные чисто для перехвата информации аутентификации. Большое количество реализаций может быть найдено на ближайшем сайте, посвященном информационной безопасности, например www.securityfocus.com.

Ethereal

Ethereal является одним из самых новых анализаторов протоколов, впервые появившимся в 1998 году. Однако благодаря своей природе системы с открытым кодом Ethereal стал одним из самых популярных анализаторов протоколов. Вследствие его разработки сообществом разработчиков он расшифровывает больше протоколов, чем многие коммерческие реализации. Данный анализатор протоколов является самым лучшим для UNIX-систем. Однако, несмотря на то что он работает и из-под Windows, анализатор не имеет такого «блеска», который ожидают пользователи Windows. Интерфейс пользователя основан на Gtk, таким образом, он очень UNIX-подобен.

На рисунке 10.1 показано окно перехвата Ethereal. Одной из полезных отличительных возможностей Ethereal является live decodes. Многие анализаторы протоколов не могут демонстрировать перехваченную информацию до остановки перехвата. Прямое декодирование считалось плохой отличительной возможностью вследствие того, что сетевой трафик может протекать со скоростью 10 000 пакетов в секунду, намного быстрее, чем человек может воспринимать. Однако большинство пользователей анализаторов трафика создают фильтры захвата, которые так или иначе отбрасывают наибольшую часть трафика.

Рис. 10.1. Свойства захвата Ethereal

После перехвата пакеты хранятся в буфере и демонстрируются на дисплее в стандартном трехоконном варианте (см. рис. 10.2). Данный формат отображения был выбран для первоначального анализатора протокола и в дальнейшем был принят всеми другими продуктами. Верхнее окно показывает построчно краткое изложение каждого пакета. Второе окно показывает детальную расшифровку текущего пакета выделенного в окне краткого изложения. Третье окно показывает шестнадцатеричный дамп того же пакета. Выбор щелчком по кнопке мыши поля в окне детализации вызывает подсветку эквивалентных символов в окне шестнадцатеричного дампа.

Рис. 10.2. Расшифровка протокола программой Ethereal

Network Associates Sniffer Pro

Sniffer Pro – коммерческий продукт (название «Sniffer» является торговой маркой корпорации Network Associates, Inc.). Продукт может быть очень популярным, если его имя образовано из хакерского сленга, так как он существовал задолго до появления программ для перехвата паролей. Продукт Sniffer Pro компании Network Associates предоставляет легкий в использовании интерфейс для перехвата и просмотра сетевого трафика. Одно из основных преимуществ коммерческих продуктов заключается в том, что они поддерживают обширный диапазон сетевых протоколов и показывают расшифрованные данные протокола в очень легком для чтения виде. Sniffer Pro работает в двух основных режимах: в первом он перехватывает сетевой трафик, а во втором расшифровывает и демонстрирует его.

Сетевая статистика и данные Sniffer Pro в режиме перехвата в деталях показаны на рис. 10.3.

Рис. 10.3. Sniffer Pro в режиме перехвата

После перехвата данные декодируются в легкочитаемый вид. На рисунке 10.4 мы видим, как Sniffer Pro декодировал HTTP-запрос. Мы видим, что некоторые соответствующие переменные прошли, alias и pw. Для данного Web-приложения они являются именем пользователя и паролем соответственно.

Рис. 10.4. Sniffer Pro отображение перехваченных данных

NT Network Monitor

Windows NT server поставляется с программным обеспечением контроля сети Network Monitor, или для краткости Netmon. Данная версия Netmon перехватывает только входящий или исходящий трафик сервера, на котором он установлен. Существуют версии Netmon для Windows 2000 и Windows XP с теми же ограничениями. Однако есть версия Netmon, позволяющая прослушивать весь трафик. Данная версия входит в состав Systems Management Server (SMS). Netmon предоставляет некоторые преимущества перед коммерческими анализаторами сети, заключающиеся в умении декодировать проприетарный трафик сетей Microsoft, который не имеет открытых спецификаций. Хорошим примером такого типа трафика является множество различных сервисов MS-RPC, которые взаимодействуют, используя именованные каналы через Windows NT-сети. Несмотря на то что Netmon не декодирует трафик всех сервисов MS-RPC, он декодирует наиболее значимую часть, которую иным способом декодировать невозможно.

Операции Network Monitor'а очень схожи с операциями Sniffer Pro, они предоставляют как механизм перехвата (рис. 10.5), так и механизм просмотра (рис. 10.6) одинаковой функциональности.

Рис. 10.5. Network Monitor в режиме перехвата

Рис. 10.6. Network Monitor в режиме просмотра

WildPackets

EtherPeek от WildPackets (в настоящее время поставляется A.G. Group) является одним из старейших анализаторов протоколов. Существуют его реализации для Macintosh, так же как и под Windows (изначально данный анализатор протоколов был написан более 10 лет назад для Macintosh). EtherPeek имеет интересные возможности демонстрации и декодирования в реальном времени, а также интересные отличительные особенности (загрузить демо-версию продукта можно с сайта www.wildpackets.com). На сегодняшний день главным образом он примечателен своей EtherPeek-версией, прослушивающей IEEE 802.11b беспроводные сети.

TCPDump

TCPDump представляет собой наиболее популярный инструмент сетевой диагностики и анализа для операционных систем на базе UNIX. TCPDump просматривает и декодирует все данные хедеров IP, TCP, UDP и ICMP, в дополнение к некоторым данным уровня приложений (по большей части протоколы сетевой инфраструктуры). TCPDump не был написан как инструмент нарушителя и не предназначен для помощи нарушителю, желающему прослушивать сеть. Как было сказано, он предоставляет хорошую точку старта для всех, намеревающихся заняться написанием анализаторов трафика, и так как его исходные коды открыты и бесплатны, небезынтересно с ними ознакомиться.

dsniff

dsniff от Dug Song является инструментарием для прослушивания сетевого трафика. dsniff доступен на сайте www.monkey.org/~dugsong/dsniff.

dsniff наиболее знаменит за свою способность прослушивать информацию аутентификации (имена пользователей и пароли). Текущая версия dsniff декодирует информацию аутентификации следующих протоколов: AOL Instant Messenger, Citrix Winframe, Concurrent Versions System (CVS), FTP, HTTP, ICQ, IMAP, Internet Relay Chat (IRC), Lightweight Directory Access Protocol (LDAP), RPC mount requests, Napster, NNTP, Oracle SQL*Net, Open Shortest Path First (OSPF), PC Anywhere, POP, PostgreSQL, Routing Information Protocol (RIP), Remote Login (rlogin), Windows NT plaintext (SMB), Network Associates Sniffer Pro (remote), Simple Network Management Protocol (SNMP), Socks, Telnet, X11, и RPC yppasswd.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Программное обеспечение

Из книги автора

Программное обеспечение 1. PHP || The PHP Group http://www.php.net/index.htmlСкрипт-язык для web-программирования. Наиболее гибкий, удобный, простой и достаточно мощный язык, созданный специально для web-программистов, который интерпретируется и выполняется на сервере. Значительно облегчает


Программное обеспечение

Из книги автора

Программное обеспечение Перед тем как с головой окунуться в Интернет, убедитесь, что на вашем компьютере установлено все необходимое программное обеспечение. Минимальный список программ приведен ниже. Расширять его, безусловно, можно, а сужать, пожалуй, не стоит. Рано


Программное обеспечение для поддержки SSH

Из книги автора

Программное обеспечение для поддержки SSH Существуют два основных пакета SSH, предназначенных для работы в системе Linux: коммерческий продукт SSH (http://www.ssh.com/products/ssh/), разработанный компанией SSH, и пакет OpenSSH, распространяемый в исходных кодах (http://www.openssh.org). Пакет OpenSSH входит в


Программное обеспечение

Из книги автора

Программное обеспечение Основное внимание данная книга уделяет документированию Asterisk версии 1.4; однако многие соглашения и информация в данной книге являются универсальными и не относятся к какой-либо конкретной версии. Для выполнения и тестирования Asterisk мы


Программное обеспечение

Из книги автора

Программное обеспечение Можно ли получить что-либо бесплатно в Сети? Можно! В первую очередь это относится к бесплатному (freeware) программному обеспечению. Тонны ПО на любой цвет и вкус, для любого рода деятельности – от сканеров безопасности и до графических редакторов.


2.4.4 Коммерческое программное обеспечение

Из книги автора

2.4.4 Коммерческое программное обеспечение Многие сторонние разработчики создают приложения, работающие поверх TCP/IP. Например, производители баз данных соединяют настольные компьютеры-клиенты с серверами средствами


Программное обеспечение

Из книги автора

Программное обеспечение http://www.cnidr.org/ir/ir.htmlInformation Retrieval at CNIDR – сервер индексирования и поиска документов.http://www.activestate.com/pldb/latest.htmPerl Active Debugger – отладчик для Perl.http://www.verity.com/prodNdemos.htmlVerity Products and Demos – серверы поиска и


Оптимизация сетевого трафика

Из книги автора

Оптимизация сетевого трафика Как правило, сервер СУБД устанавливается не на одном компьютере вместе с клиентом, а используется через локальную сеть. При этом на времени отклика сервера сказываются задержки при передаче данных по сети, независимо от того, насколько


Программное обеспечение

Из книги автора

Программное обеспечение На ноутбуке можно работать с теми же программами, что и на обычном компьютере. Однако, работая на настольном компьютере, мы не ограничены во времени (аккумулятор ведь не разряжается), к тому же можно почти не заботиться о заполнении винчестера


Учет сетевого трафика

Из книги автора

Учет сетевого трафика Возможно, когда-нибудь на просторы России и близлежащих стран придет эра супер-Интернета. Тогда скорость соединения у каждого пользователя будет такой, как при копировании данных на жестком диске, компьютеры будут продаваться с уже настроенным


Программное обеспечение

Из книги автора

Программное обеспечение Для работы Pinnacle Studio 11 на компьютере должна быть установлена операционная система Windows XP или Windows Vista, DirectX версии не ниже девятой, а также корректные драйверы для видео– и звуковой карты и прочего оборудования. При недостаточно высокой


5.4. Программное обеспечение компьютера

Из книги автора

5.4. Программное обеспечение компьютера Компьютер не способен делать что-либо сам, им необходимо управлять и руководить. Этим под контролем пользователя занимается программное обеспечение (ПО).Существует огромное количество разнообразного по функциональности и


Что такое прослушивание сетевого трафика?

Из книги автора

Что такое прослушивание сетевого трафика? Прослушивание сетевого трафика является методом, с помощью которого нарушитель может скомпрометировать безопасность сети в пассивном режиме. Анализатор трафика (sniffer) – программа, которая пассивно наблюдает компьютерную сеть


Усовершенствованные методы прослушивания сетевого трафика

Из книги автора

Усовершенствованные методы прослушивания сетевого трафика По мере развития технологии хакеры вынуждены создавать новые методы прослушивания сетевого трафика. Следующий раздел посвящен нескольким методам, используемым нарушителями в целях перехитрить