В новой версии появился как новый функционал, так и обновился старый.
Рассмотрим наиболее примечательные нововведения.
1. PCAP Over IP.
Данная функция связана с удаленным захватом трафика и является отличной заменой
старому и проблемному сервису rpcapd. Название говорит само за себя. Практически на любом
юниксе всегда присутствует связка tcpdump и netcat, при помощи которых можно логировать
трафик на удаленный компьютер-приемщик. В данном случае Intercepter может открыть порт
в ожидании потока данных в формате libpcap и в реальном времени вести их анализ.
Нет никакой принципиальной разницы в источнике трафика, поэтому кроме tcpdump'а можно точно так же использовать утилиту cat для чтения уже существующего .pcap лога.
Вот несколько примеров использования, по-умолчанию Intercepter слушает 2002 порт:
#tcpdump -i face -w — | nc IP 2002
если планируется передача трафика через тот же самый интерфейс с которого ведется захват, то необходимо добавить правило фильтрации, исключающее служебный трафик между сервером и Intercepter: tcpdump -i face -w — not port 2002 | nc IP 2002
#cat log.pcap | nc IP 2002
#dumpcap -i face -P -w — | nc IP 2002
это аналог tcpdump'а входящий в состав Wireshark. Флаг -P указывает на то, что следует сохранять пакеты в стандартном формате libpcap, а не в новом pcapng.
2. Просмотр пойманных Cookie в браузере (IE). Популярная функция, ради которой создаются целые отдельные приложения, например Cookie Cadger.
3. В режим спуфинга добавились 2 протокола. Теперь помимо подмены DNS ответов это можно осуществить и с NBNS (NetBios Name Service) и LLMNR (Link-local Multicast Name Resolution).
При спуфинге DNS имен появилась возможность указать маску, что позволяет подменять ответы нескольким доменам сразу (*mail.com) или все поддомены одного домена (*.mail.com).
4. Встроенный сокс-сервис (при атаке на WPAD) теперь поддерживает функцию HTTP Inection.
5. В Экспертном режиме появилась опция, позволяющая удаленно остановить процесс http injection. Область и способ применения каждый найдет для себя сам.
Краткий видео-обзор:
Скачать можно здесь (основной сайт временно не работает)
intercepter.nerf.ru
Отзывы, пожелания и вопросы можно отправить на почту или создать тему на форуме.
Существует мануал в виде wiki страницы, в котором можно найти ответы на многие вопросы.
UPDATE:
Подсказали альтернативный способ перенаправления пакетов без помощи netcat:
tcpdump > /dev/tcp/ip/port
Рассмотрим наиболее примечательные нововведения.
1. PCAP Over IP.
Данная функция связана с удаленным захватом трафика и является отличной заменой
старому и проблемному сервису rpcapd. Название говорит само за себя. Практически на любом
юниксе всегда присутствует связка tcpdump и netcat, при помощи которых можно логировать
трафик на удаленный компьютер-приемщик. В данном случае Intercepter может открыть порт
в ожидании потока данных в формате libpcap и в реальном времени вести их анализ.
Нет никакой принципиальной разницы в источнике трафика, поэтому кроме tcpdump'а можно точно так же использовать утилиту cat для чтения уже существующего .pcap лога.
Вот несколько примеров использования, по-умолчанию Intercepter слушает 2002 порт:
#tcpdump -i face -w — | nc IP 2002
если планируется передача трафика через тот же самый интерфейс с которого ведется захват, то необходимо добавить правило фильтрации, исключающее служебный трафик между сервером и Intercepter: tcpdump -i face -w — not port 2002 | nc IP 2002
#cat log.pcap | nc IP 2002
#dumpcap -i face -P -w — | nc IP 2002
это аналог tcpdump'а входящий в состав Wireshark. Флаг -P указывает на то, что следует сохранять пакеты в стандартном формате libpcap, а не в новом pcapng.
2. Просмотр пойманных Cookie в браузере (IE). Популярная функция, ради которой создаются целые отдельные приложения, например Cookie Cadger.
3. В режим спуфинга добавились 2 протокола. Теперь помимо подмены DNS ответов это можно осуществить и с NBNS (NetBios Name Service) и LLMNR (Link-local Multicast Name Resolution).
При спуфинге DNS имен появилась возможность указать маску, что позволяет подменять ответы нескольким доменам сразу (*mail.com) или все поддомены одного домена (*.mail.com).
4. Встроенный сокс-сервис (при атаке на WPAD) теперь поддерживает функцию HTTP Inection.
5. В Экспертном режиме появилась опция, позволяющая удаленно остановить процесс http injection. Область и способ применения каждый найдет для себя сам.
Краткий видео-обзор:
Скачать можно здесь (основной сайт временно не работает)
intercepter.nerf.ru
Отзывы, пожелания и вопросы можно отправить на почту или создать тему на форуме.
Существует мануал в виде wiki страницы, в котором можно найти ответы на многие вопросы.
UPDATE:
Подсказали альтернативный способ перенаправления пакетов без помощи netcat:
tcpdump > /dev/tcp/ip/port
