Комментарии 54
*пошел качать*
***
хм… каспер не ругается… благородный сниф? о_О
Буду пробовать на работе…
***
хм… каспер не ругается… благородный сниф? о_О
Буду пробовать на работе…
НЛО прилетело и опубликовало эту надпись здесь
А может кто-нибудь объяснить куда нажимать и вообще в целом объяснить как этот снифер может перехватить ICQ сообщение? Тоесть внутри локальной сети или вообще любое? А как это он пароль может перехватить, разве они не шифруются?
Извените если задал кучу глупых вопросов, но мне действительно очень интересно как это работает
Извените если задал кучу глупых вопросов, но мне действительно очень интересно как это работает
там есть же видео-туториал для юных ксакепов — что непонятно-то в использовании?=)
Сниффер слушает трафик и вычленяет оттуда соответствующие данные — например, когда ты отправляешь форму в mail.ru — пароль сначала передаётся на сервер в незашифрованном виде — если http-протокол — сниффер перехватывает пароль из POST-данных и показывает у себя в окошке — это если по видео обьяснять=)
А ещё извините пишется с буквой И)
Сниффер слушает трафик и вычленяет оттуда соответствующие данные — например, когда ты отправляешь форму в mail.ru — пароль сначала передаётся на сервер в незашифрованном виде — если http-протокол — сниффер перехватывает пароль из POST-данных и показывает у себя в окошке — это если по видео обьяснять=)
А ещё извините пишется с буквой И)
Возьмем локальную сеть. Если, вдруг, используется концентратор (хаб), то весь трафик приходит всем. Сниферу надо только слушать. Если используется коммутатор (свич), между каждыми двумя компьютерами создается peer-to-peer соединение, и никто не видит их трафика. Об этом заботится коммутатор, это его принцип работы.
Чтобы подслушать этот трафик, сниферы вклиниваются всередину с помощью подмен MAC-адресов, которые используются для адресации в Ethernet. Это возможно из-за того, что в механизме, сопоставляющем IP-адреса с MAC-адресами, нет никакой авторизации или другой защиты от подмены. На этом низком уровне нет ничего для защиты от подобных вещей. Поэтому защищаться следует на уровне выше с помощью шифрования.
А на уровне выше уже все зависит от протокола. Если он подразумевает шифрование трафика, пароли перехватить нельзя или сложнее. Если шлет все в открытом виде — пароли можно увидеть в дампе трафика без использования каких-либо анализаторов.
Чтобы подслушать этот трафик, сниферы вклиниваются всередину с помощью подмен MAC-адресов, которые используются для адресации в Ethernet. Это возможно из-за того, что в механизме, сопоставляющем IP-адреса с MAC-адресами, нет никакой авторизации или другой защиты от подмены. На этом низком уровне нет ничего для защиты от подобных вещей. Поэтому защищаться следует на уровне выше с помощью шифрования.
А на уровне выше уже все зависит от протокола. Если он подразумевает шифрование трафика, пароли перехватить нельзя или сложнее. Если шлет все в открытом виде — пароли можно увидеть в дампе трафика без использования каких-либо анализаторов.
за активный снифер можно и по башке получить. в случае если юный ксакеп воткнут в управляемый свитч, то время его обнаружения стремится к нулю. если на свитче на порту сделана привязка по мак-ойпи, то юный ксакеп всасывает :-) так что для защиты достаточно правильно строить сеть :)
пс: в сети на свичах если на роутире стоит арпвотч или типа того можно отследить кто первый затеял преваться плохими маками, и так же впалить ксакепа и дать по башке :)
ппс: от крутого одмина никто не спрячится: миррор трафика на отдельный порт и потрошения его снифером :)
пппс: ну шифрование, да, спасет отцов демократии. чтоб не очковать, пользуйте tor :)
пс: в сети на свичах если на роутире стоит арпвотч или типа того можно отследить кто первый затеял преваться плохими маками, и так же впалить ксакепа и дать по башке :)
ппс: от крутого одмина никто не спрячится: миррор трафика на отдельный порт и потрошения его снифером :)
пппс: ну шифрование, да, спасет отцов демократии. чтоб не очковать, пользуйте tor :)
Спомощью него можно сохранить шифрованный WPA-трафик для последущей расшифрации чем-нибудь?
Спасибо, как раз в тему.
Может подскажите если знаете — есть задача перехватывать программно трафик от одного локального приложения. Может есть уже готовые SDK и прочее? Чтобы велосипед не изобретать?
Может подскажите если знаете — есть задача перехватывать программно трафик от одного локального приложения. Может есть уже готовые SDK и прочее? Чтобы велосипед не изобретать?
Vista x64, wi-fi адаптер Interceptor не обнаружил.
НЛО прилетело и опубликовало эту надпись здесь
Был бы счастлив, если б были исходники :)
Помоему плохая тема для хабра…
лично у меня пасс на icq не поймал. точнее паймал туфту какую-то.
SSL трафик не снифит
Хм, а по-моему что то у себя сломал.((
а как можно защититься от таких снифферов?
Не устанавливать их. Это не вирус и не троян — а полезная утилита
Эмм, а если она (утилита) окажется в руках злоумышленника? Который например захочет «подслушать» кого-то в аське или утянуть пароль от красивого номера?
А если Вы с молотком по улице будете ходить и по голове всем стучать? :)
Хорошо всё, что используется по назначению.
Хорошо всё, что используется по назначению.
От ARP-спуффинга статические ARP-записи обычно спасают. А по-другому, от любителей послушать траффик на шлюзе — только vpn или ssl.
от подслушки — щифрование сообщений — встроенно в qip и R&Q (работает только между одинаковыми клиентами), и вроде было для миранды
от перехвата пароля — если не ошибаюсь — его можно передавать в шифрованном виде(или в виде хеша) — в qip — безопасный логин, в R&Q — в настройках безопасности — использовать md5 логин
от перехвата пароля — если не ошибаюсь — его можно передавать в шифрованном виде(или в виде хеша) — в qip — безопасный логин, в R&Q — в настройках безопасности — использовать md5 логин
Не использовать интернет
Шифровать траффик?
Использовать шифрование до узла или через узел, который находится дальше непроверенной сети с возможным содержанием снифера.
Например, использовать протокол https для соединения с сайтами или pop3s или imaps и smtps для работы с почтой. Это вариант шифрования «до узла», никто, кроме него, не может видеть ваш трафик, но надо, чтобы сам узел поддерживал эти протоколы.
Или использовать свой VPN-сервер, располагающийся вне враждебной сети. В этом случае весь трафик до него будет шифрованым, а после — открытым. Зато на территории враждебной сети перехват информации будет невозможен.
Например, использовать протокол https для соединения с сайтами или pop3s или imaps и smtps для работы с почтой. Это вариант шифрования «до узла», никто, кроме него, не может видеть ваш трафик, но надо, чтобы сам узел поддерживал эти протоколы.
Или использовать свой VPN-сервер, располагающийся вне враждебной сети. В этом случае весь трафик до него будет шифрованым, а после — открытым. Зато на территории враждебной сети перехват информации будет невозможен.
НЛО прилетело и опубликовало эту надпись здесь
Чтобы получить трафик, не обязательно снифер запускать на компьютере, через который идет весь трафик. Например, в проводной Ethernet-сети сторонний хост может пропустить трафик через себя. В открытой Wi-Fi сети трафик вообще бегает голым по воздуху. Я вон там выше оставил чуть более подробный комментарий по поводу проводных сетей.
Компьютерная безопасность?
По-моему, это в первую очередь готовое многофункциональное решение для вредителей, а уже во вторую — полезная утилита для детального изучения трафика разработчиками.
По-моему, это в первую очередь готовое многофункциональное решение для вредителей, а уже во вторую — полезная утилита для детального изучения трафика разработчиками.
существует платная программулина netresident, вот там очень удобно было (просмотр переписки по УИНам… по отдельности), а тут все идет одним списком… может его как то можно напильником подработать? кто-нибудь пробовал?
Скажите пожалуйста, для каких целей и на какую аудиторию рассчитана ваша чудесная программка? И не кажтся ли вам что порядочный человек ее запускать не станет?
p.s. Был бы моложе, обязательно бы где-нить протестил софтинку))
p.s. Был бы моложе, обязательно бы где-нить протестил софтинку))
А WireShark уже отменили? О_о
удалено: троянская программа Backdoor.Win32.Aimbot.jd Файл: 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe
20.01.2009 17:47:04 Обнаружено: HackTool.Win32.Intercept.a 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe
Антивирус Версия Обновление Результат
a-squared 4.0.0.73 2009.01.20 — AhnLab-V3 5.0.0.2 2009.01.20 — AntiVir 7.9.0.57 2009.01.20 — Authentium 5.1.0.4 2009.01.19 W32/Backdoor2.DFFE
Avast 4.8.1281.0 2009.01.20 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.20 — BitDefender 7.2 2009.01.20 Backdoor.Bot.62477
CAT-QuickHeal 10.00 2009.01.20 — ClamAV 0.94.1 2009.01.20 — Comodo 939 2009.01.20 — DrWeb 4.44.0.09170 2009.01.20 — eSafe 7.0.17.0 2009.01.20 — eTrust-Vet 31.6.6315 2009.01.19 — F-Prot 4.4.4.56 2009.01.19 W32/Backdoor2.DFFE
F-Secure 8.0.14470.0 2009.01.20 HackTool.Win32.Intercept.a
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.20 Backdoor.Bot.62477
Ikarus T3.1.1.45.0 2009.01.20 — K7AntiVirus 7.10.596 2009.01.20 — Kaspersky 7.0.0.125 2009.01.20 HackTool.Win32.Intercept.a
McAfee 5500 2009.01.19 Generic BackDoor
McAfee+Artemis 5500 2009.01.19 Generic BackDoor
Microsoft 1.4205 2009.01.20 — NOD32 3780 2009.01.20 probably a variant of Win32/Agent
Norman 5.93.01 2009.01.20 — nProtect 2009.1.8.0 2009.01.20 — Panda 9.5.1.2 2009.01.20 — PCTools 4.4.2.0 2009.01.20 — Prevx1 V2 2009.01.20 — Rising 21.13.11.00 2009.01.20 — SecureWeb-Gateway 6.7.6 2009.01.20 — Sophos 4.37.0 2009.01.20 Mal/Generic-A
Sunbelt 3.2.1835.2 2009.01.16 — Symantec 10 2009.01.20 — TheHacker 6.3.1.5.224 2009.01.20 — TrendMicro 8.700.0.1004 2009.01.20 — VBA32 3.12.8.10 2009.01.19 Backdoor.Win32.Aimbot.jd
ViRobot 2009.1.20.1569 2009.01.20 — VirusBuster 4.5.11.0 2009.01.19 -
a-squared 4.0.0.73 2009.01.20 — AhnLab-V3 5.0.0.2 2009.01.20 — AntiVir 7.9.0.57 2009.01.20 — Authentium 5.1.0.4 2009.01.19 W32/Backdoor2.DFFE
Avast 4.8.1281.0 2009.01.20 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.20 — BitDefender 7.2 2009.01.20 Backdoor.Bot.62477
CAT-QuickHeal 10.00 2009.01.20 — ClamAV 0.94.1 2009.01.20 — Comodo 939 2009.01.20 — DrWeb 4.44.0.09170 2009.01.20 — eSafe 7.0.17.0 2009.01.20 — eTrust-Vet 31.6.6315 2009.01.19 — F-Prot 4.4.4.56 2009.01.19 W32/Backdoor2.DFFE
F-Secure 8.0.14470.0 2009.01.20 HackTool.Win32.Intercept.a
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.20 Backdoor.Bot.62477
Ikarus T3.1.1.45.0 2009.01.20 — K7AntiVirus 7.10.596 2009.01.20 — Kaspersky 7.0.0.125 2009.01.20 HackTool.Win32.Intercept.a
McAfee 5500 2009.01.19 Generic BackDoor
McAfee+Artemis 5500 2009.01.19 Generic BackDoor
Microsoft 1.4205 2009.01.20 — NOD32 3780 2009.01.20 probably a variant of Win32/Agent
Norman 5.93.01 2009.01.20 — nProtect 2009.1.8.0 2009.01.20 — Panda 9.5.1.2 2009.01.20 — PCTools 4.4.2.0 2009.01.20 — Prevx1 V2 2009.01.20 — Rising 21.13.11.00 2009.01.20 — SecureWeb-Gateway 6.7.6 2009.01.20 — Sophos 4.37.0 2009.01.20 Mal/Generic-A
Sunbelt 3.2.1835.2 2009.01.16 — Symantec 10 2009.01.20 — TheHacker 6.3.1.5.224 2009.01.20 — TrendMicro 8.700.0.1004 2009.01.20 — VBA32 3.12.8.10 2009.01.19 Backdoor.Win32.Aimbot.jd
ViRobot 2009.1.20.1569 2009.01.20 — VirusBuster 4.5.11.0 2009.01.19 -
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вышла новая сборка бесплатного сниффера 0x4553-Intercepter