Вышла новая сборка бесплатного сниффера 0x4553-Intercepter

[Assargin]

*пошел качать*

***

хм… каспер не ругается… благородный сниф? о_О
Буду пробовать на работе…

[imya_polzovatelya]

простите, а где вы работаете?
это я так спросил, на всякий случай, чтобы не попасть в компанию, где работают малолетние дрочеры на чужие аськи

[Assargin]

Я чужими аськами не промышляю, и ксапепством тоже, но мне интересно все, в том числе и то, что на этом фронте происходит

[Render]

А может кто-нибудь объяснить куда нажимать и вообще в целом объяснить как этот снифер может перехватить ICQ сообщение? Тоесть внутри локальной сети или вообще любое? А как это он пароль может перехватить, разве они не шифруются?
Извените если задал кучу глупых вопросов, но мне действительно очень интересно как это работает

[skazkin]

там есть же видео-туториал для юных ксакепов — что непонятно-то в использовании?=)

Сниффер слушает трафик и вычленяет оттуда соответствующие данные — например, когда ты отправляешь форму в mail.ru — пароль сначала передаётся на сервер в незашифрованном виде — если http-протокол — сниффер перехватывает пароль из POST-данных и показывает у себя в окошке — это если по видео обьяснять=)

А ещё извините пишется с буквой И)

[eof]

Возьмем локальную сеть. Если, вдруг, используется концентратор (хаб), то весь трафик приходит всем. Сниферу надо только слушать. Если используется коммутатор (свич), между каждыми двумя компьютерами создается peer-to-peer соединение, и никто не видит их трафика. Об этом заботится коммутатор, это его принцип работы.

Чтобы подслушать этот трафик, сниферы вклиниваются всередину с помощью подмен MAC-адресов, которые используются для адресации в Ethernet. Это возможно из-за того, что в механизме, сопоставляющем IP-адреса с MAC-адресами, нет никакой авторизации или другой защиты от подмены. На этом низком уровне нет ничего для защиты от подобных вещей. Поэтому защищаться следует на уровне выше с помощью шифрования.

А на уровне выше уже все зависит от протокола. Если он подразумевает шифрование трафика, пароли перехватить нельзя или сложнее. Если шлет все в открытом виде — пароли можно увидеть в дампе трафика без использования каких-либо анализаторов.

[parta]

за активный снифер можно и по башке получить. в случае если юный ксакеп воткнут в управляемый свитч, то время его обнаружения стремится к нулю. если на свитче на порту сделана привязка по мак-ойпи, то юный ксакеп всасывает :-) так что для защиты достаточно правильно строить сеть :)

пс: в сети на свичах если на роутире стоит арпвотч или типа того можно отследить кто первый затеял преваться плохими маками, и так же впалить ксакепа и дать по башке :)
ппс: от крутого одмина никто не спрячится: миррор трафика на отдельный порт и потрошения его снифером :)
пппс: ну шифрование, да, спасет отцов демократии. чтоб не очковать, пользуйте tor :)

[egorinsk]

А если одмин — начинающий студент, работающи за еду?

[taishy]

Спомощью него можно сохранить шифрованный WPA-трафик для последущей расшифрации чем-нибудь?

[stasikos]

man airdecap-ng (aircrack-ng)

[YoungSkipper]

Спасибо, как раз в тему.

Может подскажите если знаете — есть задача перехватывать программно трафик от одного локального приложения. Может есть уже готовые SDK и прочее? Чтобы велосипед не изобретать?

[CobaltD]

WinPCap

[CobaltD]

Vista x64, wi-fi адаптер Interceptor не обнаружил.

[CombatPenguin]

адаптер то какой?

[CobaltD]

Ну для таких целей не очень подходящий :)
Dlink DWA-510

[AlexeyK]

TCPView тебе в руки :)

[AlexeyK]

Был бы счастлив, если б были исходники :)

[upir]

Помоему плохая тема для хабра…

[pin]

чем же она плохая то? отличный инструмент для анализа трафика.

[romx]

для «анализа трафика».

[man_without_face]

лично у меня пасс на icq не поймал. точнее паймал туфту какую-то.

[Whitemaster]

SSL трафик не снифит

[eof]

А каким образом вы хотите? Подменяя сертификаты в середине?

[Whitemaster]

просто констатирую факт ) архитектура SSL хорошо описана и вроде понятна каждому)

[eof]

Нет-нет, это другое. Открытость алгоритмов шифрования вовсе не дает возможности расшифровать данные, зашифрованные такими алгоритмами.

[Whitemaster]

минус в карму за то что кому то не понятно? так учитесь господа а не с… те в карму ближнему

[MAGnitos]

Хм, а по-моему что то у себя сломал.((

[plzen]

а как можно защититься от таких снифферов?

[dolotov]

Не устанавливать их. Это не вирус и не троян — а полезная утилита

[Render]

Эмм, а если она (утилита) окажется в руках злоумышленника? Который например захочет «подслушать» кого-то в аське или утянуть пароль от красивого номера?

[Shandry]

А если Вы с молотком по улице будете ходить и по голове всем стучать? :)
Хорошо всё, что используется по назначению.

[stasikos]

От ARP-спуффинга статические ARP-записи обычно спасают. А по-другому, от любителей послушать траффик на шлюзе — только vpn или ssl.

[al1k]

от подслушки — щифрование сообщений — встроенно в qip и R&Q (работает только между одинаковыми клиентами), и вроде было для миранды

от перехвата пароля — если не ошибаюсь — его можно передавать в шифрованном виде(или в виде хеша) — в qip — безопасный логин, в R&Q — в настройках безопасности — использовать md5 логин

[Baf]

угу и для миранды (SecureIM.dll) есть
жаль, что не работает между другими клиентами :(

[leemuar]

Не использовать интернет

[Shandry]

Шифровать траффик?

[eof]

Использовать шифрование до узла или через узел, который находится дальше непроверенной сети с возможным содержанием снифера.

Например, использовать протокол https для соединения с сайтами или pop3s или imaps и smtps для работы с почтой. Это вариант шифрования «до узла», никто, кроме него, не может видеть ваш трафик, но надо, чтобы сам узел поддерживал эти протоколы.

Или использовать свой VPN-сервер, располагающийся вне враждебной сети. В этом случае весь трафик до него будет шифрованым, а после — открытым. Зато на территории враждебной сети перехват информации будет невозможен.

[eof]

Чтобы получить трафик, не обязательно снифер запускать на компьютере, через который идет весь трафик. Например, в проводной Ethernet-сети сторонний хост может пропустить трафик через себя. В открытой Wi-Fi сети трафик вообще бегает голым по воздуху. Я вон там выше оставил чуть более подробный комментарий по поводу проводных сетей.

[pxx]

Компьютерная безопасность?
По-моему, это в первую очередь готовое многофункциональное решение для вредителей, а уже во вторую — полезная утилита для детального изучения трафика разработчиками.

[romx]

Ну все, запалил. :-}

[DELLL]

существует платная программулина netresident, вот там очень удобно было (просмотр переписки по УИНам… по отдельности), а тут все идет одним списком… может его как то можно напильником подработать? кто-нибудь пробовал?

[DELLL]

+ не определяет внутренний IP клиента rambler.icq, хотя с квипом все ровно)

[egorinsk]

Скажите пожалуйста, для каких целей и на какую аудиторию рассчитана ваша чудесная программка? И не кажтся ли вам что порядочный человек ее запускать не станет?

p.s. Был бы моложе, обязательно бы где-нить протестил софтинку))

[bagyr]

Ну трафик, допустим, анализируется не только на предмет сообщений по icq и паролей, но и для отлавливания вирья, червей, spyware, прочих менее злономерянных утечек мегабайтов, к примеру.

[egorinsk]

Вирусов внутри icq сообщений? Ну-ну

[chanaev]

Я например сниффер использовал в добрых целях.
Смотрел заголовки и запросы на АПИ от ли. ру. Баловался в свое время написанием собственного клиента, обо стандартный был тормознутый.

Тоесть реверс-инженеринг протокола.

Причина снифанья — документация АПИ была неполной и устаревшей.

[ni4]

А WireShark уже отменили? О_о

[RendeRR]

удалено: троянская программа Backdoor.Win32.Aimbot.jd Файл: 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe

[RendeRR]

www.virustotal.com/ru/analisis/baf83da36e48d7fabbdf003e3f719331

[Su6]

20.01.2009 17:47:04 Обнаружено: HackTool.Win32.Intercept.a 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe

[Su6]

Антивирус Версия Обновление Результат
a-squared 4.0.0.73 2009.01.20 — AhnLab-V3 5.0.0.2 2009.01.20 — AntiVir 7.9.0.57 2009.01.20 — Authentium 5.1.0.4 2009.01.19 W32/Backdoor2.DFFE
Avast 4.8.1281.0 2009.01.20 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.20 — BitDefender 7.2 2009.01.20 Backdoor.Bot.62477
CAT-QuickHeal 10.00 2009.01.20 — ClamAV 0.94.1 2009.01.20 — Comodo 939 2009.01.20 — DrWeb 4.44.0.09170 2009.01.20 — eSafe 7.0.17.0 2009.01.20 — eTrust-Vet 31.6.6315 2009.01.19 — F-Prot 4.4.4.56 2009.01.19 W32/Backdoor2.DFFE
F-Secure 8.0.14470.0 2009.01.20 HackTool.Win32.Intercept.a
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.20 Backdoor.Bot.62477
Ikarus T3.1.1.45.0 2009.01.20 — K7AntiVirus 7.10.596 2009.01.20 — Kaspersky 7.0.0.125 2009.01.20 HackTool.Win32.Intercept.a
McAfee 5500 2009.01.19 Generic BackDoor
McAfee+Artemis 5500 2009.01.19 Generic BackDoor
Microsoft 1.4205 2009.01.20 — NOD32 3780 2009.01.20 probably a variant of Win32/Agent
Norman 5.93.01 2009.01.20 — nProtect 2009.1.8.0 2009.01.20 — Panda 9.5.1.2 2009.01.20 — PCTools 4.4.2.0 2009.01.20 — Prevx1 V2 2009.01.20 — Rising 21.13.11.00 2009.01.20 — SecureWeb-Gateway 6.7.6 2009.01.20 — Sophos 4.37.0 2009.01.20 Mal/Generic-A
Sunbelt 3.2.1835.2 2009.01.16 — Symantec 10 2009.01.20 — TheHacker 6.3.1.5.224 2009.01.20 — TrendMicro 8.700.0.1004 2009.01.20 — VBA32 3.12.8.10 2009.01.19 Backdoor.Win32.Aimbot.jd
ViRobot 2009.1.20.1569 2009.01.20 — VirusBuster 4.5.11.0 2009.01.19 -