Характеристики на използването на снифери. Sniffer - какво е това и защо е необходимо? Какво е Intercepter-NG?

Всяко онлайн проследяване се основава на използването на снифър технологии (анализатори на мрежови пакети). Какво е снифър?

Снифърът е компютърна програма или част от компютърно оборудване, което може да прихваща и анализира трафик, преминаващ през цифрова мрежа или част от нея. Анализаторът улавя всички потоци (прихваща и регистрира интернет трафик) и, ако е необходимо, декодира данните, като последователно съхранява предадената потребителска информация.

Нюанси на използване на онлайн проследяване чрез снифери.

В канала за излъчване на компютърната мрежа на потребителя LAN (Local Area Network), в зависимост от структурата на мрежата (комутатор или хъб), сниферите прихващат трафика на цялата или част от мрежата, идващ от един лаптоп или компютър. Въпреки това, използвайки различни методи (например ARP spoofing) е възможно да се постигне интернет трафик и други компютърни системи, свързани към мрежата.

Сниферите също често се използват за наблюдение на компютърни мрежи. Извършвайки постоянен, непрекъснат мониторинг, анализаторите на мрежови пакети идентифицират бавни, дефектни системи и предават (чрез имейл, телефон или сървър) произтичащата информация за неизправност на администратора.

Използването на мрежови кранове в някои случаи е по-надежден начин за наблюдение на интернет трафика онлайн от наблюдението на портове. В същото време вероятността за откриване на грешни пакети (потоци) се увеличава, което има положителен ефект при голямо натоварване на мрежата.
В допълнение, сниферите са добри в наблюдението на безжични едно- и многоканални локални мрежи (т.нар. Wireless LAN), когато се използват няколко адаптера.

В LAN мрежи снифърът може ефективно да прихваща както еднопосочен трафик (прехвърляне на пакет информация към един адрес), така и мултикаст трафик. В този случай мрежовият адаптер трябва да има безразборен режим.

В безжичните мрежи, дори когато адаптерът е в „промискуитетен“ режим, пакетите с данни, които не са пренасочени от конфигурираната (главна) система, ще бъдат автоматично игнорирани. За да следите тези информационни пакети, адаптерът трябва да е в различен режим - мониторинг.

Последователност на прихващане на информационни пакети.

1. Прихващане на заглавки или цялото съдържание.

Снифърите могат да прихващат или цялото съдържание на пакетите с данни, или само техните заглавки. Втората опция ви позволява да намалите общите изисквания за съхранение на информация, както и да избегнете правни проблеми, свързани с неоторизирано премахване на лична информация на потребителите. В същото време историята на предадените заглавки на пакети може да има достатъчно количество информация, за да идентифицира необходимата информация или да диагностицира грешки.

2. Декодиране на пакети.

Прихванатата информация се декодира от цифрова (нечетима) форма във вид, който е лесен за възприемане и четене. Системата за снифър позволява на администраторите на анализатори на протоколи лесно да преглеждат информация, която е изпратена или получена от потребител.

Анализаторите се различават по:

възможности за показване на данни(създаване на времеви диаграми, реконструиране на UDP, TCP протоколи за данни и др.);
вид приложение(за откриване на грешки, първопричини или за проследяване на потребителите онлайн).

Някои снифери могат да генерират трафик и да действат като изходно устройство. Например, те ще бъдат използвани като тестери на протоколи. Такива тестови снифър системи ви позволяват да генерирате правилния трафик, необходим за функционално тестване. В допълнение, снифърите могат целенасочено да въвеждат грешки, за да тестват възможностите на тестваното устройство.

Хардуерни снифери.

Трафик анализаторите могат да бъдат и от хардуерен тип, под формата на сонда или дисков масив (по-често срещаният тип). Тези устройства записват информационни пакети или части от тях върху дисков масив. Това ви позволява да пресъздадете всяка информация, получена или предадена от потребителя в интернет, или незабавно да идентифицирате неизправност в интернет трафика.

Начини на приложение.

Анализаторите на мрежови пакети се използват за:

анализ на съществуващи проблеми в мрежата;
откриване на опити за проникване в мрежата;
определяне на злоупотреба с трафик от потребители (вътре и извън системата);
документиране на регулаторни изисквания (възможен периметър за влизане, крайни точки за разпределение на трафика);
получаване на информация за възможностите за проникване в мрежата;
изолация на операционни системи;
наблюдение на натоварването на глобалните мрежови канали;
използва се за наблюдение на състоянието на мрежата (включително активността на потребителя както в системата, така и извън нея);
Мониторинг на движещи се данни;
Мониторинг на WAN и състояние на сигурността на крайната точка;
събиране на мрежова статистика;
филтриране на подозрително съдържание, идващо от мрежов трафик;
създаване на първичен източник на данни за наблюдение на състоянието и управление на мрежата;
онлайн проследяване като шпионин, събиращ поверителна потребителска информация;
отстраняване на грешки в комуникацията между сървър и клиент;
проверка на ефективността на вътрешния контрол (контрол на достъпа, защитни стени, спам филтри и др.).

Снифърите се използват и от правоприлагащите органи за наблюдение на дейностите на заподозрени престъпници. Моля, имайте предвид, че всички интернет доставчици и интернет доставчици в САЩ и Европа отговарят на CALEA.

Стъпка 1. Инсталирайте и стартирайте Wireshark за улавяне на трафик

Понякога, за да направите това, е достатъчно да изберете само интерфейса, чрез който планираме да улавяме трафика, и да щракнете върху бутона Старт. В нашия случай заснемаме през безжична мрежа.

Улавянето на трафика е започнало.

Стъпка 2. Филтриране на уловения POST трафик

Отваряме браузъра и се опитваме да влезем в някакъв ресурс с потребителско име и парола. След като процесът на оторизация приключи и сайтът бъде отворен, спираме да улавяме трафик в Wireshark. След това отворете анализатора на протоколи и вижте голям брой пакети. Това е мястото, където повечето ИТ специалисти се отказват, защото не знаят какво да правят след това. Но ние знаем и се интересуваме от конкретни пакети, които съдържат POST данни, които се генерират на нашата локална машина при попълване на формуляр на екрана и се изпращат до отдалечен сървър, когато щракнем върху бутона „Вход“ или „Упълномощаване“ в браузъра.

Въвеждаме специален филтър в прозореца, за да покажем заснетите пакети: http.искане.метод == “ПУБЛИКУВАНЕ"

И виждаме, вместо хиляди пакети, само един с данните, които търсим.

Стъпка 3. Намерете данните за вход и парола на потребителя

Щракнете бързо с десния бутон и изберете елемента от менюто Следвайте TCP Steam

След това в нов прозорец ще се появи текст, който възстановява съдържанието на страницата в код. Нека намерим полетата “парола” и “потребител”, които съответстват на паролата и потребителското име. В някои случаи и двете полета ще бъдат лесно четими и дори не са криптирани, но ако се опитваме да уловим трафик при достъп до много добре познати ресурси като Mail.ru, Facebook, VKontakte и т.н., тогава паролата ще бъде криптирана:

HTTP/1.1 302 Намерено

Сървър: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: парола= ; изтича=четвъртък, 07 ноември 2024 г. 23:52:21 GMT; път=/

Местоположение: loggedin.php

Съдържание-дължина: 0

Връзка: затворена

Content-Type: текст/html; charset=UTF-8

Така в нашия случай:

Потребителско име: networkguru

Парола:

Стъпка 4. Определете типа кодиране за дешифриране на паролата

Например отидете на уебсайта http://www.onlinehashcrack.com/hash-identification.php#res и въведете нашата парола в прозореца за идентификация. Дадоха ми списък с протоколи за кодиране по ред на приоритет:

Стъпка 5. Дешифриране на потребителската парола

На този етап можем да използваме помощната програма hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

На изхода получихме дешифрирана парола: проста парола

По този начин с помощта на Wireshark можем не само да решаваме проблеми при работата на приложения и услуги, но и да се опитаме като хакер, прихващайки пароли, които потребителите въвеждат в уеб формуляри. Можете също да откриете пароли за потребителски пощенски кутии, като използвате прости филтри за показване:

POP протоколът и филтърът изглеждат така: pop.request.command == "USER" || pop.request.command == "PASS"
IMAP протоколът и филтърът ще бъдат: imap.request съдържа "вход"
Протоколът е SMTP и ще трябва да въведете следния филтър: smtp.req.command == "AUTH"

и по-сериозни помощни програми за дешифриране на протокола за кодиране.

Стъпка 6: Какво става, ако трафикът е криптиран и използва HTTPS?

Има няколко варианта за отговор на този въпрос.

Вариант 1. Свързване, когато връзката между потребителя и сървъра е прекъсната и улавяне на трафика в момента на установяване на връзката (SSL Handshake). Когато се установи връзка, сесийният ключ може да бъде прихванат.

Опция 2: Можете да дешифрирате HTTPS трафик, като използвате регистрационния файл с ключ на сесията, записан от Firefox или Chrome. За да направите това, браузърът трябва да е конфигуриран да записва тези ключове за криптиране в лог файл (пример, базиран на FireFox) и вие трябва да получите този лог файл. По същество трябва да откраднете файла с ключ на сесията от твърдия диск на друг потребител (което е незаконно). Е, тогава уловете трафика и използвайте получения ключ, за да го дешифрирате.

Изясняване.Говорим за уеб браузъра на човек, чиято парола се опитват да откраднат. Ако имаме предвид дешифриране на нашия собствен HTTPS трафик и искаме да практикуваме, тогава тази стратегия ще работи. Ако се опитвате да дешифрирате HTTPS трафика на други потребители без достъп до техните компютри, това няма да работи - това е едновременно криптиране и поверителност.

След получаване на ключовете по вариант 1 или 2 е необходимо да ги регистрирате в WireShark:

Отидете в менюто Редактиране - Предпочитания - Протоколи - SSL.
Задайте флага „Повторно сглобяване на SSL записи, обхващащи множество TCP сегменти“.
„Списък с ключове на RSA“ и щракнете върху Редактиране.
Въведете данни във всички полета и напишете пътя във файла с ключа

WireShark може да дешифрира пакети, които са криптирани с помощта на алгоритъма RSA. Ако се използват алгоритмите DHE/ECDHE, FS, ECC, снифърът няма да ни помогне.

Вариант 3. Получаване на достъп до уеб сървъра, който потребителят използва, и получаване на ключа. Но това е още по-трудна задача. В корпоративните мрежи, с цел отстраняване на грешки в приложения или филтриране на съдържание, тази опция се прилага на законово основание, но не и с цел прихващане на потребителски пароли.

БОНУС

ВИДЕО: Wireshark Packet Sniffing потребителски имена, пароли и уеб страници

Когато обикновен потребител чуе термина „снифър“, той веднага се интересува какво е това и защо е необходимо.

Ще се опитаме да обясним всичко на прост език.

Тази статия обаче ще бъде предназначена не само за начинаещи потребители, но и за.

Определение

Снифъре анализатор на трафика. От своя страна трафикът е цялата информация, която преминава през компютърните мрежи.

Този анализатор разглежда каква информация се предава. За да направите това, той трябва да бъде прихванат. Всъщност това е нещо незаконно, защото по този начин хората често получават достъп до чужди данни.

Това може да се сравни с обир на влак - класически сюжет на повечето уестърни.

Прехвърляте някаква информация на друг потребител. Пренася се от „влак“, т.е. мрежов канал.

Идиотите от бандата на Кървавия Джо пресрещат влака и го ограбват напълно. В нашия случай информацията отива по-далеч, тоест нападателите не я крадат в буквалния смисъл на думата.

Но да кажем, че тази информация е пароли, лични бележки, снимки и други подобни.

Нападателите могат просто да пренапишат и снимат всичко това. По този начин те ще имат достъп до чувствителни данни, които бихте искали да скриете.

Да, ще имате цялата тази информация, тя ще дойде при вас.

Но ще знаете, че напълно непознати знаят същото. Но в 21 век информацията се цени най-много!

В нашия случай се използва точно този принцип. Някои хора спират трафика, четат данни от него и го изпращат.

Вярно е, че в случай на снифери всичко не винаги е толкова страшно.Те се използват не само за получаване на неоторизиран достъп до данни, но и за анализ на самия трафик. Това е важна част от работата на системните администратори и просто администраторите на различни ресурси. Струва си да поговорим за приложението по-подробно. Но преди това ще разгледаме как работят същите тези снифери.

Принцип на действие

На практика сниферите могат да бъдат преносими устройства, които буквално се поставят на кабел и четат данни и програми от него.

В някои случаи това е просто набор от инструкции, тоест кодове, които трябва да бъдат въведени в определена последователност и в определена програмна среда.

По-подробно прихващане на трафик от такива устройства може да се чете по един от следните начини:

1 Чрез инсталиране на хъбове вместо суичове.По принцип слушането на мрежов интерфейс може да се направи и по други начини, но всички те са неефективни.

2 Чрез свързване на буквален снифър към мястото, където каналът прекъсва.Точно това беше обсъдено по-горе - и е инсталирано малко устройство, което чете всичко, което се движи по канала.

3 Монтаж на пътен клон.Това разклонение се насочва към друго устройство, вероятно дешифрирано и изпратено до потребителя.

4 Атака, чиято цел е напълно да пренасочи трафика към снифъра.Разбира се, след като информацията достигне до четящото устройство, тя отново се изпраща до крайния потребител, за когото е била първоначално предназначена. в най-чист вид!

5 Чрез анализиране на електромагнитно излъчване, които възникват поради движението на трафика. Това е най-сложният и рядко използван метод.

Ето приблизителна диаграма за това как работи вторият метод.

Вярно, тук е показано, че четецът просто се свързва към кабела.

Всъщност да го направите по този начин е почти невъзможно.

Факт е, че крайният потребител все пак ще забележи, че в даден момент има прекъсване на канала.

Самият принцип на работа на обикновения снифър се основава на факта, че в рамките на един сегмент те се изпращат до всички свързани машини. Доста глупав, но засега без алтернативен метод! А между сегментите данните се прехвърлят с помощта на превключватели. Тук се появява възможността за прихващане на информация чрез един от горните методи.

Всъщност това се нарича кибератаки и хакване!

Между другото, ако инсталирате същите тези комутатори правилно, можете напълно да защитите сегмента от всички видове кибератаки.

Има и други методи за защита, за които ще говорим в самия край.

Полезна информация:

Обърнете внимание на програмата. Използва се за анализ на мрежовия трафик и анализиране на пакети с данни, за което се използва библиотеката pcap. Това значително стеснява броя на пакетите, налични за анализиране, тъй като само онези пакети, които се поддържат от тази библиотека, могат да бъдат анализирани.

Приложение

Разбира се, на първо място тази концепция има приложението, което беше обсъдено по-горе, тоест хакерски атаки и незаконно придобиване на потребителски данни.

Но освен това, сниферите се използват и в други области, по-специално в работата на системните администратори.

По-специално, такива устройства или програмите помагат за изпълнението на следните задачи:

Както можете да видите, устройствата или програмите, които разглеждаме, могат значително да улеснят работата на системните администратори и други хора, които използват мрежи. И това сме всички ние.

Сега нека да преминем към най-интересната част - преглед на снифър програми.

По-горе разбрахме, че те могат да бъдат направени под формата на физически устройства, но в повечето случаи се използват специални.

Нека ги проучим.

Снифър програми

Ето списък на най-популярните такива програми:

CommView. Програмата е платена, както всички останали в нашия списък. Един минимален лиценз струва $300. Но софтуерът има богата функционалност. Първото нещо, което си струва да се отбележи, е способността сами да задавате правила. Например, можете да се уверите, че (тези протоколи) са напълно игнорирани. Също така трябва да се отбележи, че програмата ви позволява да видите подробности и дневник на всички изпратени пакети. Има обикновена версия и Wi-Fi версия.

SpyNet.Това всъщност е троянският кон, от който всички сме толкова уморени. Но може да се използва и за благородни цели, за които говорихме по-горе. Програмата прихваща и които са в трафика. Има много необичайни функции. Например, можете да пресъздадете страници в интернет, които „жертвата“ е посетила. Трябва да се отбележи, че този софтуер е безплатен, но е доста труден за намиране.

BUTTSniffer.Това е чист снифър, който помага да се анализират мрежовите пакети, вместо да прихваща пароли и история на браузъра на други хора. Поне така смята авторът му. Всъщност творението му се използва за знаете какво. Това е обикновена групова програма, която работи чрез командния ред. За да започнете, два файла се изтеглят и стартират. „Заловените“ пакети се записват на вашия твърд диск, което е много удобно.

Има много други снифър програми.Известни са например fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и много други. Изберете всеки! Но, честно казано, заслужава да се отбележи, че най-добрият е CommView.

И така, ние разгледахме какво представляват сниферите, как работят и какви са.

Сега нека се преместим от мястото на хакер или системен администратор на мястото на обикновен потребител.

Добре знаем, че нашите данни могат да бъдат откраднати. Какво да направите, за да предотвратите това тук). Работи изключително просто - сканира мрежата за всякакви видове шпиони и докладва, ако има такива. Това е най-простият и разбираем принцип, който ви позволява да се предпазите от кибератаки.

3 Използвайте PromiScan.По своите свойства и изпълнявани задачи тази програма е много подобна на AntiSniff за Windows, така че изберете една. В интернет има и много връзки за изтегляне (ето една от тях). Това е иновативна програма, която ви позволява да управлявате дистанционно компютри, свързани към една и съща мрежа. Принципът на неговата работа е да определи възли, които не трябва да съществуват в мрежата. Всъщност това най-вероятно са снифери. Програмата ги идентифицира и сигнализира за това с красноречиво съобщение. Много удобно!.

4 Използвайте криптографияи ако е внедрена, криптографска система с публичен ключ. Това е специална система за криптиране или електронен подпис. Неговият "номер" е, че ключът е публичен и всеки може да го види, но е невъзможно да се променят данните, тъй като това трябва да се направи на всички компютри в мрежата едновременно. Отличен метод - като стръв за крадец. В можете да прочетете за blockchain, къде точно се използва такава система.

5 Не изтегляйте подозрителни програми, не посещавайте подозрителни сайтове и т.н.Всеки съвременен потребител знае за това, но това е основният начин за троянски коне и други неприятни неща да проникнат във вашата операционна система. Затова бъдете много отговорни при използването на интернет по принцип!

Ако имате още въпроси, задайте ги в коментарите по-долу.

Надяваме се, че успяхме да обясним всичко на прост и разбираем език.

HTTPNetworkSniffer е инструмент за снифър на пакети, който улавя всички HTTP заявки/отговори, изпратени между уеб браузъра и уеб сървъра, и ги показва в проста таблица. За всяка HTTP заявка се показва следната информация: име на хост, HTTP метод (GET, POST, HEAD), URL път, потребителски агент, код на отговор, низ на отговор, тип съдържание, референт, кодиране на съдържание, кодиране на трансфер, име на сървър, Дължина на съдържанието, низ от бисквитки и други...

Можете лесно да изберете един или повече HTTP информационни реда и след това да ги експортирате в текстов/html/xml/csv файл или да ги копирате в клипборда и след това да ги поставите в Excel.

Системни изисквания

Тази помощна програма работи на всяка версия на Windows, като се започне от Windows 2000 и до Windows 10, включително 64-битови системи.
Един от следните драйвери за улавяне е необходим, за да използвате HTTPNetworkSniffer:
- WinPcap Capture Driver : WinPcap е драйвер за заснемане с отворен код, който ви позволява да улавяте мрежови пакети на всяка версия на Windows. Можете да изтеглите и инсталирате драйвера WinPcap от тази уеб страница.
- Microsoft Network Monitor Driver версия 2.x (само за Windows 2000/XP/2003): Microsoft предоставя безплатен драйвер за улавяне под Windows 2000/XP/2003, който може да се използва от HTTPNetworkSniffer, но този драйвер не е инсталиран по подразбиране и вие трябва да го инсталирате ръчно, като използвате една от следните опции:
  - Вариант 1: Инсталирайте го от CD-ROM на Windows 2000/XP според инструкциите в уеб сайта на Microsoft
  - Опция 2 (само за XP): Изтеглете и инсталирайте инструментите за поддръжка на Windows XP Service Pack 2. Един от инструментите в този пакет е netcap.exe. Когато стартирате този инструмент за първи път, драйверът за мрежов монитор автоматично ще бъде инсталиран на вашата система.
- Microsoft Network Monitor Driver версия 3.x: Microsoft предоставя нова версия на Microsoft Network Monitor драйвер (3.x), който също се поддържа под Windows 7/Vista/2008.
  Новата версия на Microsoft Network Monitor (3.x) е достъпна за изтегляне от уеб сайта на Microsoft.
Можете също така да опитате да използвате HTTPNetworkSniffer, без да инсталирате драйвер, като използвате метода "Raw Sockets". За съжаление, методът Raw Sockets има много проблеми:
- Не работи във всички Windows системи, в зависимост от версията на Windows, сервизния пакет и актуализациите, инсталирани на вашата система.
- В Windows 7 с включен UAC методът "Raw Sockets" работи само когато стартирате HTTPNetworkSniffer с "Run As Administrator".

Известни ограничения

HTTPNetworkSniffer не може да улови HTTP данни на защитен уеб сайт (HTTPS)

История на версиите

Версия 1.63:
- Коригирана грешка от версия 1.62: HTTPNetworkSniffer се срива при избор на мрежов интерфейс без информация за връзка.
Версия 1.62:
- Информацията за избрания мрежов адаптер вече се показва в заглавието на прозореца.
Версия 1.61:
- Добавена е опция на командния ред /cfg, която инструктира HTTPNetworkSniffer да използва конфигурационен файл на друго място вместо това, ако е конфигурационният файл по подразбиране, например:
  HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
Версия 1.60:
- Добавена е опцията „Изчистване при стартиране на заснемането“. Можете да го изключите, ако не искате да изчистите предишните елементи, когато спрете заснемането и започнете отново.
- Добавена е функция "Бърз филтър" (Изглед -> Използване на бърз филтър или Ctrl+Q). Когато е включен, можете да въведете низ в текстовото поле, добавено под лентата с инструменти, и HTTPNetworkSniffer незабавно ще филтрира HTTP елементите, показвайки само редове, които съдържат въведения от вас низ.
Версия 1.57:
- Добавено е „Запазване на всички елементи“ (Shift+Ctrl+S).
Версия 1.56:
- HTTPNetworkSniffer вече автоматично зарежда новата версия на драйвера WinPCap от https://nmap.org/npcap/, ако е инсталиран на вашата система.
Версия 1.55:
- Добавени са 2 колони за HTTP заявки: „Приемам“ и „Диапазон“.
Версия 1.51:
- HTTPNetworkSniffer сега се опитва да зареди dll на драйвера за мрежов монитор 3.x (NmApi.dll) според инсталационния път, посочен в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Netmon3. Тази промяна трябва да реши проблема със зареждането на драйвера за мрежов монитор 3.x на някои системи.
Версия 1.50:
- Добавени са 4 колони към списъка с адаптери в прозореца „Опции за заснемане“: „Име на връзката“, „MAC адрес“, „Идентификационен номер на екземпляр“, „Ръководство за интерфейс“.
- Когато използвате драйвер WinPCap, HTTPNetworkSniffer вече показва по-точна информация в списъка с адаптери на прозореца „Опции за заснемане“.
Версия 1.47:
- Добавена е опцията „Автоматично оразмеряване на колони при всяка актуализация“.
Версия 1.46:
- Добавена е опция за експортиране в JSON файл.
Версия 1.45:
- Добавена е опцията „Винаги отгоре“.
- Добавена поддръжка за вторично сортиране: Вече можете да получите вторично сортиране, като задържите клавиша shift, докато щракате върху заглавката на колоната. Имайте предвид, че трябва само да задържите клавиша shift, когато щракнете върху втората/третата/четвъртата колона. За да сортирате първата колона, не трябва да задържате клавиша Shift.
Версия 1.41:
- HTTPNetworkSniffer вече ви предлага да го стартирате като администратор (под Windows Vista/7/8 с UAC)
Версия 1.40:
- HTTPNetworkSniffer вече ви позволява автоматично да го добавите към списъка с разрешени програми на защитната стена на Windows, когато започнете да заснемате и да го премахнете, когато спрете да заснемате. Тази опция е необходима, когато използвате метода за улавяне „Raw Socket“, докато защитната стена на Windows е включена, тъй като ако HTTPNetworkSniffer не е добавен към защитната стена на Windows, входящият трафик изобщо не се улавя и следователно HTTPNetworkSniffer не работи правилно.
Версия 1.36:
- Добавени са имена на колони („IP адрес“ и „Име на адаптер“) към списъка с адаптери в прозореца „Опции за заснемане“.
Версия 1.35:
- Добавена интеграция с помощна програма
Версия 1.32:
- Добавена е опцията „Показване на часа в GMT“.
Версия 1.31:
- Коригирана грешка: квадратчето за отметка „Promiscuous Mode“ в прозореца „Capture Options“ не беше запазено в конфигурационния файл.
Версия 1.30:
- Добавена е колона „Време за отговор“, която изчислява и показва времето (в милисекунди), изминало между момента, в който клиентът е изпратил HTTP заявката, и момента, в който отговорът на HTTP сървъра е получен от клиента.
  За да получите по-точен резултат в тази колона, се препоръчва да използвате драйвера WinPcap или драйвера на Microsoft Network Monitor (версия 3.4 или по-нова) за улавяне на пакетите.
Версия 1.27:
- Добавена е опцията „Превъртане надолу на нов ред“. Ако е включен, HTTPNetworkSniffer автоматично превърта до дъното, когато се добави нов ред.
Версия 1.26:
- Поправен е проблемът с трептенето на Windows 7.
Версия 1.25:
- Добавена е опцията „Зареждане от файл за заснемане“. Позволява ви да заредите файл за заснемане, създаден от WinPcap/Wireshark (изисква драйвера WinPcap) или файл за заснемане, създаден от драйвера на Microsoft Network Monitor (изисква драйвера за мрежов монитор 3.x) и показва заснетите данни във формат на HTTPNetworkSniffer.
- Добавени са /load_file_pcap и /load_file_netmon опции на командния ред.
Версия 1.22:
- Добавена е опция „Маркиране на четни/нечетни редове“ под менюто Изглед. Когато е включено, нечетните и четните редове се показват в различен цвят, за да се улесни четенето на един ред.
Версия 1.21:
- Добавена е опция „Автоматично оразмеряване на колони+заглавки“, която ви позволява автоматично да преоразмерявате колоните според стойностите на редовете и заглавките на колоните.
- Коригиран проблем: Диалоговият прозорец със свойства и други прозорци се отваряха на грешен монитор, в система с няколко монитора.
Версия 1.20:
- Добавена URL колона.
- Коригиран бъг: При отваряне на диалоговия прозорец „Опции за заснемане“, след като драйверът за мрежов монитор 3.x е избран преди това, HTTPNetworkSniffer превключи обратно към режим на необработени гнезда.
Версия 1.15:
- Добавена е нова колона: Време на последна промяна.
Версия 1.10:
- Добавени са 3 нови колони: местоположение, време на сървъра и време на изтичане.
Версия 1.06:
- Поправен е клавишът за ускоряване на „Спиране на заснемането“ (F6)
Версия 1.05:
- Добавена е опция „Копиране на URL адреси“ (Ctrl+U), която копира URL адресите на избраните HTTP елементи в клипборда
Версия 1.00 - Първо издание.

Започнете да използвате HTTPNetworkSniffer

Освен драйвер за улавяне, необходим за улавяне на мрежови пакети, HTTPNetworkSniffer не изисква инсталационен процес или допълнителни dll файлове. За да започнете да го използвате, просто стартирайте изпълнимия файл - HTTPNetworkSniffer.exe

След стартиране на HTTPNetworkSniffer за първи път, прозорецът „Опции за улавяне“ се появява на екрана и от вас се иска да изберете метода на улавяне и желания мрежов адаптер. При следващото използване на HTTPNetworkSniffer, той автоматично ще започне да улавяне пакети с метода за улавяне и мрежовия адаптер, който сте избрали преди това. Винаги можете да промените "Опции за заснемане" отново, като натиснете F9.

След като изберете метода за улавяне и мрежовия адаптер, HTTPNetworkSniffer улавя и показва всяка HTTP заявка/отговор, изпратена между вашия уеб браузър и отдалечения уеб сървър.

Опции на командния ред

/cfg	Стартирайте HTTPNetworkSniffer с посочения конфигурационен файл. Например: HTTPNetworkSniffer.exe /cfg "c:\config\hns.cfg" HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
/load_file_pcap	Зарежда посочения файл за заснемане, създаден от драйвера WinPcap.
/load_file_netmon	Зарежда указания файл за заснемане, създаден от драйвера за мрежов монитор 3.x.

Интеграция с помощната програма IPNetInfo

Ако искате да получите повече информация за IP адреса на сървъра, показан в помощната програма HTTPNetworkSniffer, можете да използвате помощната програма Интегриране с IPNetInfo, за да видите лесно информацията за IP адреса, заредена директно от WHOIS сървърите:

и стартирайте най-новата версия на .
Изберете желаните връзки и след това изберете "IPNetInfo - IP сървър" от менюто "Файл" (или просто щракнете върху Ctrl+I).
IPNetInfo ще извлече информацията за IP адресите на сървъра на избраните елементи.

Превод на HTTPNetworkSniffer на други езици

За да преведете HTTPNetworkSniffer на друг език, следвайте инструкциите по-долу:

Стартирайте HTTPNetworkSniffer с параметър /savelangfile:
HTTPNetworkSniffer.exe /savelangfile
Файл с име HTTPNetworkSniffer_lng.ini ще бъде създаден в папката на помощната програма HTTPNetworkSniffer.
Отворете създадения езиков файл в Notepad или във всеки друг текстов редактор.
Преведете всички записи на низове на желания език. По желание можете също да добавите вашето име и/или връзка към вашия уеб сайт. (Стойности на TranslatorName и TranslatorURL) Ако добавите тази информация, тя ще се използва в прозореца „Относно“.
След като завършите превода, стартирайте HTTPNetworkSniffer и всички преведени низове ще бъдат заредени от езиковия файл.
Ако искате да стартирате HTTPNetworkSniffer без превода, просто преименувайте езиковия файл или го преместете в друга папка.

Разрешително

Тази помощна програма е пусната като безплатна програма. Имате право да разпространявате свободно тази помощна програма чрез дискета, CD-ROM, Интернет или по друг начин, стига да не начислявате нищо за това и да не я продавате или разпространявате като част от реклама продукт. Ако разпространявате тази помощна програма, трябва да включите всички файлове в пакета за разпространение, без никакви модификации!

Опровержение

Софтуерът се предоставя „КАКТО Е“ без никаква гаранция, изрична или подразбираща се, включително, но не само, подразбиращите се гаранции за продаваемост и пригодност за определена цел. Авторът няма да носи отговорност за никакви специални, случайни, косвени или косвени щети поради загуба на данни или друга причина.

Обратна връзка

Ако имате някакъв проблем, предложение, коментар или сте намерили грешка в моята помощна програма, можете да изпратите съобщение до [имейл защитен]

Изтеглете HTTPNetworkSniffer (32-битова версия)

Изтеглете HTTPNetworkSniffer (x64 версия)

HTTPNetworkSniffer се предлага и на други езици. За да промените езика на HTTPNetworkSniffer, изтеглете съответния езиков zip файл, извлечете „httpnetworksniffer_lng.ini“ и го поставете в същата папка, в която сте инсталирали помощната програма HTTPNetworkSniffer.

език	Преведено от	Дата	Версия

Какво е Intercepter-NG

Нека да разгледаме същността на ARP с помощта на прост пример. Компютър A (IP адрес 10.0.0.1) и Компютър B (IP адрес 10.22.22.2) са свързани чрез Ethernet мрежа. Компютър А иска да изпрати пакет данни към компютър Б; той знае IP адреса на компютър Б. Въпреки това Ethernet мрежата, към която са свързани, не работи с IP адреси. Следователно, за да предава чрез Ethernet, компютър A трябва да знае адреса на компютър B в Ethernet мрежата (MAC адрес в термините на Ethernet). За тази задача се използва протоколът ARP. Използвайки този протокол, компютър А изпраща заявка за излъчване, адресирана до всички компютри в същия домейн за излъчване. Същността на искането: „компютър с IP адрес 10.22.22.2, предоставете вашия MAC адрес на компютъра с MAC адрес (например a0:ea:d1:11:f1:01).“ Ethernet мрежата доставя тази заявка до всички устройства в същия Ethernet сегмент, включително компютър B. Компютър B отговаря на компютър A на заявката и съобщава своя MAC адрес (напр. 00:ea:d1:11:f1:11) Сега, като получи MAC адреса на компютър B, компютър A може да предава всякакви данни към него чрез Ethernet мрежата.

За да се избегне необходимостта от използване на ARP протокола преди всяко изпращане на данни, получените MAC адреси и съответните им IP адреси се записват в таблицата за известно време. Ако трябва да изпратите данни до един и същ IP, тогава няма нужда да анкетирате устройства всеки път в търсене на желания MAC.

Както току-що видяхме, ARP включва заявка и отговор. MAC адресът от отговора се записва в MAC/IP таблицата. Когато се получи отговор, той не се проверява по никакъв начин за автентичност. Освен това дори не проверява дали заявката е направена. Тези. можете незабавно да изпратите ARP отговор до целевите устройства (дори без заявка), с подправени данни, и тези данни ще попаднат в MAC/IP таблицата и ще бъдат използвани за пренос на данни. Това е същността на ARP-spoofing атаката, която понякога се нарича ARP ецване, ARP cache poisoning.

Описание на ARP-spoofing атаката

Два компютъра (възли) M и N в Ethernet локална мрежа обменят съобщения. Нападателят X, намиращ се в същата мрежа, иска да прихване съобщения между тези възли. Преди ARP-spoofing атаката да бъде приложена към мрежовия интерфейс на хост M, ARP таблицата съдържа IP и MAC адреса на хост N. Също така в мрежовия интерфейс на хост N, ARP таблицата съдържа IP и MAC адреса на хост M .

По време на ARP-spoofing атака, възел X (нападателят) изпраща два ARP отговора (без заявка) - към възел M и възел N. ARP отговорът към възел M съдържа IP адреса на N и MAC адреса на X. ARP отговорът към възел N съдържа IP адрес M и MAC адрес X.

Тъй като компютрите M и N поддържат спонтанен ARP, след получаване на ARP отговор, те променят своите ARP таблици и сега ARP таблицата M съдържа MAC адреса X, свързан с IP адреса N, а ARP таблицата N съдържа MAC адреса X, обвързан с IP адрес M.

По този начин ARP-spoofing атаката е завършена и сега всички пакети (рамки) между M и N преминават през X. Например, ако M иска да изпрати пакет до компютър N, тогава M поглежда в своята ARP таблица, намира запис с IP адреса на хоста N, избира MAC адреса от там (и вече има MAC адреса на възел X) и предава пакета. Пакетът пристига на интерфейс X, анализира се от него и след това се препраща към възел N.