Как стать автором
Обновить

Комментарии 54

*пошел качать*

***

хм… каспер не ругается… благородный сниф? о_О
Буду пробовать на работе…
простите, а где вы работаете?
это я так спросил, на всякий случай, чтобы не попасть в компанию, где работают малолетние дрочеры на чужие аськи

Я чужими аськами не промышляю, и ксапепством тоже, но мне интересно все, в том числе и то, что на этом фронте происходит
Как было сказано в однои из номеров журнала «хакер» — это сниффер для любителей gui и платформы windows :) Хотя сознаюсь, когда в первый раз столкнулся с сниффером, я не знал что делать и куда нажимать :)
А может кто-нибудь объяснить куда нажимать и вообще в целом объяснить как этот снифер может перехватить ICQ сообщение? Тоесть внутри локальной сети или вообще любое? А как это он пароль может перехватить, разве они не шифруются?
Извените если задал кучу глупых вопросов, но мне действительно очень интересно как это работает
там есть же видео-туториал для юных ксакепов — что непонятно-то в использовании?=)

Сниффер слушает трафик и вычленяет оттуда соответствующие данные — например, когда ты отправляешь форму в mail.ru — пароль сначала передаётся на сервер в незашифрованном виде — если http-протокол — сниффер перехватывает пароль из POST-данных и показывает у себя в окошке — это если по видео обьяснять=)

А ещё извините пишется с буквой И)
Возьмем локальную сеть. Если, вдруг, используется концентратор (хаб), то весь трафик приходит всем. Сниферу надо только слушать. Если используется коммутатор (свич), между каждыми двумя компьютерами создается peer-to-peer соединение, и никто не видит их трафика. Об этом заботится коммутатор, это его принцип работы.

Чтобы подслушать этот трафик, сниферы вклиниваются всередину с помощью подмен MAC-адресов, которые используются для адресации в Ethernet. Это возможно из-за того, что в механизме, сопоставляющем IP-адреса с MAC-адресами, нет никакой авторизации или другой защиты от подмены. На этом низком уровне нет ничего для защиты от подобных вещей. Поэтому защищаться следует на уровне выше с помощью шифрования.

А на уровне выше уже все зависит от протокола. Если он подразумевает шифрование трафика, пароли перехватить нельзя или сложнее. Если шлет все в открытом виде — пароли можно увидеть в дампе трафика без использования каких-либо анализаторов.
за активный снифер можно и по башке получить. в случае если юный ксакеп воткнут в управляемый свитч, то время его обнаружения стремится к нулю. если на свитче на порту сделана привязка по мак-ойпи, то юный ксакеп всасывает :-) так что для защиты достаточно правильно строить сеть :)

пс: в сети на свичах если на роутире стоит арпвотч или типа того можно отследить кто первый затеял преваться плохими маками, и так же впалить ксакепа и дать по башке :)
ппс: от крутого одмина никто не спрячится: миррор трафика на отдельный порт и потрошения его снифером :)
пппс: ну шифрование, да, спасет отцов демократии. чтоб не очковать, пользуйте tor :)
А если одмин — начинающий студент, работающи за еду?
Спомощью него можно сохранить шифрованный WPA-трафик для последущей расшифрации чем-нибудь?
man airdecap-ng (aircrack-ng)
Спасибо, как раз в тему.

Может подскажите если знаете — есть задача перехватывать программно трафик от одного локального приложения. Может есть уже готовые SDK и прочее? Чтобы велосипед не изобретать?
Vista x64, wi-fi адаптер Interceptor не обнаружил.
адаптер то какой?
Ну для таких целей не очень подходящий :)
Dlink DWA-510
НЛО прилетело и опубликовало эту надпись здесь
TCPView тебе в руки :)
Был бы счастлив, если б были исходники :)
Помоему плохая тема для хабра…
чем же она плохая то? отличный инструмент для анализа трафика.
для «анализа трафика».
лично у меня пасс на icq не поймал. точнее паймал туфту какую-то.
SSL трафик не снифит
А каким образом вы хотите? Подменяя сертификаты в середине?
просто констатирую факт ) архитектура SSL хорошо описана и вроде понятна каждому)
Нет-нет, это другое. Открытость алгоритмов шифрования вовсе не дает возможности расшифровать данные, зашифрованные такими алгоритмами.
минус в карму за то что кому то не понятно? так учитесь господа а не с… те в карму ближнему
Хм, а по-моему что то у себя сломал.((
а как можно защититься от таких снифферов?
Не устанавливать их. Это не вирус и не троян — а полезная утилита
Эмм, а если она (утилита) окажется в руках злоумышленника? Который например захочет «подслушать» кого-то в аське или утянуть пароль от красивого номера?
А если Вы с молотком по улице будете ходить и по голове всем стучать? :)
Хорошо всё, что используется по назначению.
От ARP-спуффинга статические ARP-записи обычно спасают. А по-другому, от любителей послушать траффик на шлюзе — только vpn или ssl.
от подслушки — щифрование сообщений — встроенно в qip и R&Q (работает только между одинаковыми клиентами), и вроде было для миранды

от перехвата пароля — если не ошибаюсь — его можно передавать в шифрованном виде(или в виде хеша) — в qip — безопасный логин, в R&Q — в настройках безопасности — использовать md5 логин
угу и для миранды (SecureIM.dll) есть
жаль, что не работает между другими клиентами :(
Не использовать интернет
Шифровать траффик?
Использовать шифрование до узла или через узел, который находится дальше непроверенной сети с возможным содержанием снифера.

Например, использовать протокол https для соединения с сайтами или pop3s или imaps и smtps для работы с почтой. Это вариант шифрования «до узла», никто, кроме него, не может видеть ваш трафик, но надо, чтобы сам узел поддерживал эти протоколы.

Или использовать свой VPN-сервер, располагающийся вне враждебной сети. В этом случае весь трафик до него будет шифрованым, а после — открытым. Зато на территории враждебной сети перехват информации будет невозможен.
НЛО прилетело и опубликовало эту надпись здесь
Чтобы получить трафик, не обязательно снифер запускать на компьютере, через который идет весь трафик. Например, в проводной Ethernet-сети сторонний хост может пропустить трафик через себя. В открытой Wi-Fi сети трафик вообще бегает голым по воздуху. Я вон там выше оставил чуть более подробный комментарий по поводу проводных сетей.
Компьютерная безопасность?
По-моему, это в первую очередь готовое многофункциональное решение для вредителей, а уже во вторую — полезная утилита для детального изучения трафика разработчиками.
Ну все, запалил. :-}
существует платная программулина netresident, вот там очень удобно было (просмотр переписки по УИНам… по отдельности), а тут все идет одним списком… может его как то можно напильником подработать? кто-нибудь пробовал?
+ не определяет внутренний IP клиента rambler.icq, хотя с квипом все ровно)
Скажите пожалуйста, для каких целей и на какую аудиторию рассчитана ваша чудесная программка? И не кажтся ли вам что порядочный человек ее запускать не станет?

p.s. Был бы моложе, обязательно бы где-нить протестил софтинку))

Ну трафик, допустим, анализируется не только на предмет сообщений по icq и паролей, но и для отлавливания вирья, червей, spyware, прочих менее злономерянных утечек мегабайтов, к примеру.
Вирусов внутри icq сообщений? Ну-ну
Я например сниффер использовал в добрых целях.
Смотрел заголовки и запросы на АПИ от ли. ру. Баловался в свое время написанием собственного клиента, обо стандартный был тормознутый.

Тоесть реверс-инженеринг протокола.

Причина снифанья — документация АПИ была неполной и устаревшей.
А WireShark уже отменили? О_о
удалено: троянская программа Backdoor.Win32.Aimbot.jd Файл: 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe
20.01.2009 17:47:04 Обнаружено: HackTool.Win32.Intercept.a 0x4553-Intercepter.v076.zip/0x4553-Intercepter.exe

Антивирус Версия Обновление Результат
a-squared 4.0.0.73 2009.01.20 — AhnLab-V3 5.0.0.2 2009.01.20 — AntiVir 7.9.0.57 2009.01.20 — Authentium 5.1.0.4 2009.01.19 W32/Backdoor2.DFFE
Avast 4.8.1281.0 2009.01.20 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.20 — BitDefender 7.2 2009.01.20 Backdoor.Bot.62477
CAT-QuickHeal 10.00 2009.01.20 — ClamAV 0.94.1 2009.01.20 — Comodo 939 2009.01.20 — DrWeb 4.44.0.09170 2009.01.20 — eSafe 7.0.17.0 2009.01.20 — eTrust-Vet 31.6.6315 2009.01.19 — F-Prot 4.4.4.56 2009.01.19 W32/Backdoor2.DFFE
F-Secure 8.0.14470.0 2009.01.20 HackTool.Win32.Intercept.a
Fortinet 3.117.0.0 2009.01.15 PossibleThreat
GData 19 2009.01.20 Backdoor.Bot.62477
Ikarus T3.1.1.45.0 2009.01.20 — K7AntiVirus 7.10.596 2009.01.20 — Kaspersky 7.0.0.125 2009.01.20 HackTool.Win32.Intercept.a
McAfee 5500 2009.01.19 Generic BackDoor
McAfee+Artemis 5500 2009.01.19 Generic BackDoor
Microsoft 1.4205 2009.01.20 — NOD32 3780 2009.01.20 probably a variant of Win32/Agent
Norman 5.93.01 2009.01.20 — nProtect 2009.1.8.0 2009.01.20 — Panda 9.5.1.2 2009.01.20 — PCTools 4.4.2.0 2009.01.20 — Prevx1 V2 2009.01.20 — Rising 21.13.11.00 2009.01.20 — SecureWeb-Gateway 6.7.6 2009.01.20 — Sophos 4.37.0 2009.01.20 Mal/Generic-A
Sunbelt 3.2.1835.2 2009.01.16 — Symantec 10 2009.01.20 — TheHacker 6.3.1.5.224 2009.01.20 — TrendMicro 8.700.0.1004 2009.01.20 — VBA32 3.12.8.10 2009.01.19 Backdoor.Win32.Aimbot.jd
ViRobot 2009.1.20.1569 2009.01.20 — VirusBuster 4.5.11.0 2009.01.19 -
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.