Vlastnosti použití snifferů. Sniffer - co to je a proč je to potřeba Co je Intercepter-NG

Jakékoli online sledování je založeno na použití technologií sniffer (analyzátory síťových paketů). Co je to sniffer?

Sniffer je počítačový program nebo část počítačového vybavení, které dokáže zachytit a analyzovat provoz procházející digitální sítí nebo její částí. Analyzátor zachycuje všechny toky (zachycuje a zaznamenává internetový provoz) a v případě potřeby dekóduje data a postupně ukládá přenášené uživatelské informace.


Nuance používání online sledování prostřednictvím snifferů.

Na vysílacím kanálu uživatelské počítačové sítě LAN (Local Area Network), v závislosti na struktuře sítě (přepínač nebo rozbočovač), sniffery zachycují provoz celé sítě nebo její části přicházející z jednoho notebooku nebo počítače. Pomocí různých metod (například ARP spoofing) je však možné dosáhnout internetového provozu a dalších počítačových systémů připojených k síti.

Sniffery se také často používají k monitorování počítačových sítí. Analyzátory síťových paketů provádějí neustálé nepřetržité monitorování a identifikují pomalé, vadné systémy a předávají (prostřednictvím e-mailu, telefonu nebo serveru) výsledné informace o selhání správci.

Použití síťových odboček je v některých případech spolehlivějším způsobem sledování online internetového provozu než sledování portů. Zároveň se zvyšuje pravděpodobnost detekce vadných paketů (toků), což se pozitivně projevuje při vysokém zatížení sítě.
Kromě toho jsou sniffery dobré při monitorování bezdrátových jednokanálových a vícekanálových místních sítí (tzv. Wireless LAN) při použití několika adaptérů.

V sítích LAN může sniffer efektivně zachytit jak jednosměrný provoz (přenos paketu informací na jednu adresu), tak provoz multicast. V tomto případě musí mít síťový adaptér promiskuitní režim.

V bezdrátových sítích, i když je adaptér v „promiskuitním“ režimu, budou datové pakety, které nejsou přesměrovány z nakonfigurovaného (hlavního) systému, automaticky ignorovány. Pro sledování těchto informačních paketů musí být adaptér v jiném režimu – monitorování.


Sekvence zachycování informačních paketů.

1. Zachycování záhlaví nebo celého obsahu.

Sniffery mohou zachytit buď celý obsah datových paketů, nebo pouze jejich hlavičky. Druhá možnost vám umožňuje snížit celkové požadavky na ukládání informací a také se vyhnout právním problémům spojeným s neoprávněným odstraněním osobních údajů uživatelů. Současně může mít historie přenášených hlaviček paketů dostatečné množství informací pro identifikaci potřebných informací nebo diagnostiku poruch.


2. Dekódování paketů.

Zachycená informace je dekódována z digitální (nečitelné) formy do typu, který je snadno vnímatelný a čitelný. Systém sniffer umožňuje správcům analyzátoru protokolů snadno prohlížet informace odeslané nebo přijaté uživatelem.

Analyzátory se liší:

  • možnosti zobrazení dat(vytváření časových diagramů, rekonstrukce datových protokolů UDP, TCP atd.);
  • typ aplikace(k detekci chyb, hlavních příčin nebo ke sledování uživatelů online).

Některé sniffery mohou generovat provoz a fungovat jako zdrojové zařízení. Používají se například jako testery protokolů. Takové testovací sniffer systémy umožňují generovat správný provoz nezbytný pro funkční testování. Snifferové navíc mohou cíleně zavádět chyby, aby otestovali schopnosti testovaného zařízení.


Hardwarové sniffery.


Analyzátory provozu mohou být i hardwarového typu, ve formě sondy nebo diskového pole (běžnější typ). Tato zařízení zaznamenávají informační pakety nebo jejich části na diskové pole. To vám umožní znovu vytvořit jakékoli informace přijaté nebo přenesené uživatelem na internet nebo okamžitě identifikovat poruchu v internetovém provozu.


Způsoby aplikace.

Analyzátory síťových paketů se používají pro:

  • analýza existujících problémů v síti;
  • detekce pokusů o narušení sítě;
  • určení zneužívání provozu uživateli (uvnitř i vně systému);
  • dokumentování regulačních požadavků (možný přihlašovací perimetr, koncové body distribuce provozu);
  • získávání informací o možnostech narušení sítě;
  • izolace operačních systémů;
  • monitorování zatížení globálních síťových kanálů;
  • používá se k monitorování stavu sítě (včetně aktivity uživatelů v systému i mimo něj);
  • monitorování pohyblivých dat;
  • monitorování WAN a stav zabezpečení koncových bodů;
  • sběr síťových statistik;
  • filtrování podezřelého obsahu pocházejícího ze síťového provozu;
  • vytvoření primárního zdroje dat pro sledování stavu a řízení sítě;
  • online sledování jako špión shromažďující důvěrné uživatelské informace;
  • ladění komunikace serveru a klienta;
  • kontrola účinnosti vnitřních kontrol (kontrola přístupu, firewally, spamové filtry atd.).

Sniffery využívají i orgány činné v trestním řízení ke sledování činnosti podezřelých ze zločinu. Vezměte prosím na vědomí, že všichni ISP a ISP v USA a Evropě dodržují CALEA.


Populární čichači.

Nejfunkčnější systémové analyzátory pro online sledování:


Špionážní program NeoSpy, jehož hlavní činností je sledování online akcí uživatelů, obsahuje kromě kódu univerzálního programu sniffer i kódy keylogger (keylogger) a další skryté sledovací systémy.

Mnoho uživatelů si neuvědomuje, že vyplněním přihlašovacího jména a hesla při registraci nebo autorizaci na uzavřeném internetovém zdroji a stisknutím klávesy ENTER mohou být tato data snadno zachycena. Velmi často jsou přenášeny po síti v nezabezpečené podobě. Pokud tedy stránka, na kterou se pokoušíte přihlásit, používá protokol HTTP, pak je velmi snadné zachytit tento provoz, analyzovat jej pomocí Wireshark a poté pomocí speciálních filtrů a programů najít a dešifrovat heslo.

Nejlepším místem pro zachycení hesel je jádro sítě, kde provoz všech uživatelů směřuje k uzavřeným zdrojům (například pošta) nebo před routerem pro přístup k internetu, při registraci na externí zdroje. Nastavujeme zrcadlo a jsme připraveni cítit se jako hacker.

Krok 1. Nainstalujte a spusťte Wireshark pro zachycení provozu

Někdy k tomu stačí vybrat pouze rozhraní, přes které plánujeme zachytit provoz, a kliknout na tlačítko Start. V našem případě snímáme přes bezdrátovou síť.

Bylo zahájeno zachycení dopravy.

Krok 2. Filtrování zachyceného provozu POST

Otevřeme prohlížeč a pokusíme se přihlásit k nějakému zdroji pomocí uživatelského jména a hesla. Jakmile je proces autorizace dokončen a stránka je otevřena, přestaneme zachycovat provoz ve Wiresharku. Dále otevřete analyzátor protokolů a uvidíte velký počet paketů. Právě v tomto bodě to většina IT profesionálů vzdává, protože nevědí, co dál. Ale víme a zajímáme se o konkrétní balíčky, které obsahují POST data, která jsou generována na našem místním počítači při vyplňování formuláře na obrazovce a odeslána na vzdálený server, když v prohlížeči klikneme na tlačítko „Přihlásit se“ nebo „Autorizace“.

Do okna zadáme speciální filtr pro zobrazení zachycených paketů: http.žádost.metoda == "POŠTA"

A vidíme místo tisíců balíčků jen jeden s údaji, které hledáme.

Krok 3. Najděte přihlašovací jméno a heslo uživatele

Rychle klikněte pravým tlačítkem a vyberte položku z nabídky Sledujte TCP Steam


Poté se v novém okně objeví text, který obnoví obsah stránky v kódu. Najdeme pole „heslo“ a „uživatel“, která odpovídají heslu a uživatelskému jménu. V některých případech budou obě pole snadno čitelná a dokonce nebudou šifrována, ale pokud se snažíme zachytit provoz při přístupu k velmi známým zdrojům, jako je Mail.ru, Facebook, VKontakte atd., pak bude heslo zašifrováno:

HTTP/1.1 302 Nalezeno

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

Set-Cookie: password= ; expires=Čt, 07-Nov-2024 23:52:21 GMT; cesta=/

Umístění: login.php

Obsah – délka: 0

Připojení: zavřít

Content-Type: text/html; znaková sada=UTF-8

V našem případě tedy:

Uživatelské jméno: networkguru

Heslo:

Krok 4. Určete typ kódování pro dešifrování hesla

Přejděte například na webovou stránku http://www.onlinehashcrack.com/hash-identification.php#res a do identifikačního okna zadejte naše heslo. Dostal jsem seznam kódovacích protokolů v pořadí podle priority:

Krok 5. Dešifrování hesla uživatele

V této fázi můžeme použít nástroj hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na výstupu jsme obdrželi dešifrované heslo: simplepassword

S pomocí Wiresharku tak můžeme nejen řešit problémy s provozem aplikací a služeb, ale také se vyzkoušet jako hacker, zachycující hesla, která uživatelé zadávají do webových formulářů. Hesla k uživatelským schránkám můžete také zjistit pomocí jednoduchých filtrů pro zobrazení:

  • Protokol a filtr POP vypadá takto: pop.request.command == "USER" || pop.request.command == "PASS"
  • Protokol a filtr IMAP budou: imap.request obsahuje "login"
  • Protokol je SMTP a budete muset zadat následující filtr: smtp.req.command == "AUTH"

a serióznější nástroje pro dešifrování kódovacího protokolu.

Krok 6: Co když je provoz šifrovaný a používá HTTPS?

Existuje několik možností, jak na tuto otázku odpovědět.

Možnost 1. Připojte se, když je spojení mezi uživatelem a serverem přerušeno, a zachyťte provoz v okamžiku navázání spojení (SSL Handshake). Když je navázáno spojení, klíč relace může být zachycen.

Možnost 2: Provoz HTTPS můžete dešifrovat pomocí souboru protokolu klíče relace zaznamenaného prohlížečem Firefox nebo Chrome. Chcete-li to provést, musí být prohlížeč nakonfigurován tak, aby zapisoval tyto šifrovací klíče do souboru protokolu (příklad založený na aplikaci FireFox) a tento soubor protokolu byste měli obdržet. V podstatě musíte ukrást soubor klíče relace z pevného disku jiného uživatele (což je nezákonné). No, pak zachyťte provoz a použijte výsledný klíč k jeho dešifrování.

Vyjasnění. Mluvíme o webovém prohlížeči člověka, jehož heslo se snaží ukrást. Pokud máme na mysli dešifrování vlastního HTTPS provozu a chceme si to procvičit, pak tato strategie bude fungovat. Pokud se pokoušíte dešifrovat HTTPS provoz jiných uživatelů bez přístupu k jejich počítačům, nebude to fungovat – to je jak šifrování, tak soukromí.

Po obdržení klíčů podle možnosti 1 nebo 2 je musíte zaregistrovat ve WireShark:

  1. Přejděte do nabídky Úpravy - Předvolby - Protokoly - SSL.
  2. Nastavte příznak „Znovu sestavit záznamy SSL zahrnující více segmentů TCP“.
  3. „Seznam klíčů RSA“ a klikněte na Upravit.
  4. Zadejte data do všech polí a zapište cestu do souboru s klíčem

WireShark dokáže dešifrovat pakety, které jsou zašifrovány pomocí algoritmu RSA. Pokud jsou použity algoritmy DHE/ECDHE, FS, ECC, sniffer nám nepomůže.

Možnost 3. Získejte přístup k webovému serveru, který uživatel používá, a získejte klíč. To je ale ještě těžší úkol. Ve firemních sítích je pro účely ladění aplikací nebo filtrování obsahu tato možnost implementována na právním základě, nikoli však za účelem zachycení uživatelských hesel.

BONUS

VIDEO: Wireshark Packet Sniffing uživatelských jmen, hesel a webových stránek

Když běžný uživatel slyší výraz „sniffer“, okamžitě se začne zajímat o to, co to je a proč je to potřeba.

Pokusíme se vše vysvětlit jednoduchým jazykem.

Tento článek však bude určen nejen pro začínající uživatele, ale také pro.

Definice

Čichač je analyzátor dopravy. Provoz jsou zase všechny informace, které procházejí počítačovými sítěmi.

Tento analyzátor sleduje, jaké informace jsou přenášeny. K tomu musí být zachycen. Ve skutečnosti jde o nezákonnou věc, protože se tak lidé často dostávají k cizím datům.

Dá se to přirovnat k vlakové loupeži – klasické zápletce většiny westernů.

Přenášíte některé informace jinému uživateli. Je přepravován „vlakem“, tedy síťovým kanálem.

Idioti z gangu Bloody Joe zachytí vlak a úplně ho vykradou. V našem případě jdou informace dále, to znamená, že je útočníci nekradou v doslovném slova smyslu.

Ale řekněme, že tyto informace jsou hesla, osobní poznámky, fotografie a podobně.

To vše mohou útočníci jednoduše přepsat a vyfotografovat. Tímto způsobem budou mít přístup k citlivým údajům, které byste chtěli skrýt.

Ano, všechny tyto informace budete mít, přijdou k vám.

Ale budete vědět, že úplně cizí lidé vědí to samé. Ale v 21. století se nejvíce cení informace!

V našem případě jde přesně o použitý princip. Někteří lidé zastaví provoz, přečtou z něj data a pošlou je dál.

Pravda, v případě čichačů není vždy všechno tak děsivé. Používají se nejen k získání neoprávněného přístupu k datům, ale také k analýze samotného provozu. Jedná se o důležitou součást práce systémových administrátorů a jednoduše administrátorů různých zdrojů. Stojí za to mluvit o aplikaci podrobněji. Předtím se však dotkneme toho, jak tyto stejné čichadla fungují.

Princip činnosti

V praxi mohou být sniffery přenosná zařízení, která jsou doslova umístěna na kabelu a čtou z něj data a programy.

V některých případech jde jednoduše o soubor instrukcí, tedy kódů, které je nutné zadávat v určité sekvenci a v určitém programovacím prostředí.

Podrobněji odposlouchávání dopravy takovými zařízeními lze číst jedním z následujících způsobů:

1 Instalací rozbočovačů místo přepínačů. Naslouchání síťovému rozhraní lze v zásadě provádět i jinými způsoby, ale všechny jsou neúčinné.

2 Připojením doslova snifferu k místu, kde se kanál zlomí. To je přesně to, co bylo diskutováno výše - a je nainstalováno malé zařízení, které čte vše, co se pohybuje podél kanálu.

3 Instalace dopravní větve. Tato větev je směrována na jiné zařízení, případně dešifrována a odeslána uživateli.

4 Útok, jehož cílem je zcela přesměrovat provoz na sniffer. Samozřejmě poté, co se informace dostane do čtecího zařízení, je opět odeslána koncovému uživateli, pro kterého byla původně určena. ve své nejčistší podobě!

5 Analýzou elektromagnetického záření, které vznikají v důsledku pohybu dopravy. Toto je nejsložitější a zřídka používaná metoda.

Zde je přibližný diagram, jak funguje druhá metoda.

Pravda, zde je ukázáno, že čtečka je jednoduše připojena ke kabelu.

Ve skutečnosti je to tímto způsobem téměř nemožné.

Faktem je, že koncový uživatel si stále všimne, že v určitém okamžiku došlo k přerušení kanálu.

Samotný princip fungování běžného snifferu je založen na tom, že v rámci jednoho segmentu jsou posílány do všech připojených strojů. Docela hloupá, ale zatím žádná alternativní metoda! A mezi segmenty se data přenášejí pomocí přepínačů. Zde se objevuje možnost zachycení informací pomocí jedné z výše uvedených metod.

Ve skutečnosti se tomu říká kybernetické útoky a hacking!

Mimochodem, pokud správně nainstalujete stejné přepínače, můžete segment zcela ochránit před všemi druhy kybernetických útoků.

Existují další způsoby ochrany, o kterých si povíme úplně na konci.

Užitečné informace:

Věnujte pozornost programu. Používá se k analýze síťového provozu a analýze datových paketů, pro které se používá knihovna pcap. To výrazně zužuje počet balíčků dostupných pro analýzu, protože lze analyzovat pouze balíčky, které jsou podporovány touto knihovnou.

aplikace

Samozřejmě v první řadě má tento koncept výše diskutovanou aplikaci, tedy hackerské útoky a nelegální získávání uživatelských dat.

Kromě toho se ale sniffery používají i v jiných oblastech, konkrétně v práci systémových administrátorů.

Zejména taková zařízení resp programy pomáhají provádět následující úkoly:

Jak můžete vidět, zařízení nebo programy, o kterých uvažujeme, mohou výrazně usnadnit práci správcům systému a dalším lidem, kteří používají sítě. A to jsme všichni.

Nyní přejděme k nejzajímavější části – recenzi programů pro sniffer.

Výše jsme zjistili, že mohou být vyrobeny ve formě fyzických zařízení, ale ve většině případů se používají speciální.

Pojďme je studovat.

Sniffer programy

Zde je seznam nejoblíbenějších takových programů:

CommView. Program je placený, stejně jako všichni ostatní na našem seznamu. Jedna minimální licence stojí 300 USD. Ale software má bohatou funkčnost. První věc, která stojí za zmínku, je schopnost určovat pravidla sami. Můžete se například ujistit, že (tyto protokoly) jsou zcela ignorovány. Je také pozoruhodné, že program umožňuje zobrazit podrobnosti a protokol všech odeslaných paketů. K dispozici je běžná verze a verze Wi-Fi.

SpyNet. To je ve skutečnosti Trojan, ze kterého jsme všichni tak unavení. Dá se ale využít i k ušlechtilým účelům, o kterých jsme mluvili výše. Program zachytí a jsou v provozu. Existuje mnoho neobvyklých funkcí. Můžete například znovu vytvořit stránky na internetu, které „oběť“ navštívila. Je pozoruhodné, že tento software je zdarma, ale je poměrně obtížné jej najít.

BUTTSniffer. Toto je čistý sniffer, který pomáhá analyzovat síťové pakety spíše než zachytit hesla jiných lidí a historii prohlížeče. Alespoň si to myslel její autor. Ve skutečnosti se jeho výtvor používá k čemu. Toto je běžný dávkový program, který pracuje přes příkazový řádek. Chcete-li začít, stáhnou se a spustí se dva soubory. „Zachycené“ pakety se ukládají na váš pevný disk, což je velmi výhodné.

Existuje mnoho dalších sniffer programů. Známé jsou například fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer a mnoho dalších. Vyberte si jakýkoli! Ale spravedlivě stojí za zmínku, že nejlepší je CommView.

Podívali jsme se tedy na to, co jsou sniffery, jak fungují a jací jsou.

Nyní se přesuneme z místa hackera nebo správce systému na místo běžného uživatele.

Jsme si dobře vědomi toho, že naše data mohou být odcizena. Co dělat, aby se to zde nestalo). Funguje to extrémně jednoduše – prohledává síť na všechny druhy špionů a hlásí, pokud jsou detekováni. Jedná se o nejjednodušší a nejsrozumitelnější princip, který umožňuje chránit se před kybernetickými útoky.

3 Použijte PromiScan. Svými vlastnostmi a prováděnými úkoly je tento program velmi podobný AntiSniffu pro Windows, proto si jeden vyberte. Na internetu je také mnoho odkazů ke stažení (zde je jeden z nich). Jedná se o inovativní program, který umožňuje vzdáleně ovládat počítače připojené ke stejné síti. Principem jeho fungování je určení uzlů, které by v síti neměly být. Ve skutečnosti jsou to s největší pravděpodobností čichači. Program je identifikuje a signalizuje to výmluvnou zprávou. Velmi pohodlně!.

4 Použijte kryptografii a pokud je nasazen, kryptografický systém s veřejným klíčem. Jedná se o speciální systém šifrování nebo elektronického podpisu. Jeho „trikem“ je, že klíč je veřejný a každý ho vidí, ale není možné změnit data, protože to musí být provedeno na všech počítačích v síti současně. Výborná metoda - jako návnada na zloděje. In si můžete přečíst o blockchainu, kde se přesně takový systém používá.

5 Nestahujte podezřelé programy, nechoďte na podezřelé stránky a podobně. Každý moderní uživatel o tom ví, a přesto je to hlavní způsob, jak se trojské koně a další ošklivé věci dostanou do vašeho operačního systému. Proto buďte při používání internetu zásadně velmi zodpovědní!

Pokud máte nějaké další otázky, zeptejte se jich v komentářích níže.

Doufáme, že se nám vše podařilo vysvětlit jednoduchým a srozumitelným jazykem.

HTTPNetworkSniffer je nástroj pro sledování paketů, který zachycuje všechny požadavky/odpovědi HTTP odeslané mezi webovým prohlížečem a webovým serverem a zobrazuje je v jednoduché tabulce. Pro každý požadavek HTTP se zobrazí následující informace: název hostitele, metoda HTTP (GET, POST, HEAD), cesta URL, uživatelský agent, kód odpovědi, řetězec odpovědi, typ obsahu, referer, kódování obsahu, kódování přenosu, název serveru, Délka obsahu, řetězec cookie a další...

Můžete snadno vybrat jeden nebo více informačních řádků HTTP a poté je exportovat do souboru text/html/xml/csv nebo je zkopírovat do schránky a poté vložit do Excelu.

Požadavky na systém

  • Tento nástroj funguje na jakékoli verzi Windows, počínaje Windows 2000 a až po Windows 10, včetně 64bitových systémů.
  • Pro použití HTTPNetworkSniffer je vyžadován jeden z následujících ovladačů pro zachycení:
    • WinPcap Capture Driver: WinPcap je open source ovladač pro zachytávání, který vám umožňuje zachycovat síťové pakety na jakékoli verzi Windows. Ovladač WinPcap si můžete stáhnout a nainstalovat z této webové stránky.
    • Microsoft Network Monitor Driver verze 2.x (pouze pro Windows 2000/XP/2003): Společnost Microsoft poskytuje bezplatný ovladač pro zachycení pod Windows 2000/XP/2003, který může používat HTTPNetworkSniffer, ale tento ovladač není ve výchozím nastavení nainstalován a vy musíte jej nainstalovat ručně pomocí jedné z následujících možností:
      • Možnost 1: Nainstalujte jej z disku CD-ROM systému Windows 2000/XP podle pokynů na webu společnosti Microsoft
      • Možnost 2 (pouze XP): Stáhněte a nainstalujte nástroje podpory Windows XP Service Pack 2. Jedním z nástrojů v tomto balíčku je netcap.exe. Při prvním spuštění tohoto nástroje se do vašeho systému automaticky nainstaluje ovladač Network Monitor Driver.
    • Microsoft Network Monitor Driver verze 3.x: Společnost Microsoft poskytuje novou verzi ovladače Microsoft Network Monitor Driver (3.x), která je podporována také pod Windows 7/Vista/2008.
      Nová verze programu Microsoft Network Monitor (3.x) je k dispozici ke stažení z webu společnosti Microsoft.
  • Můžete se také pokusit použít HTTPNetworkSniffer bez instalace jakéhokoli ovladače pomocí metody "Raw Sockets". Bohužel metoda Raw Sockets má mnoho problémů:
    • Nefunguje ve všech systémech Windows, v závislosti na verzi Windows, aktualizaci Service Pack a aktualizacích nainstalovaných ve vašem systému.
    • Ve Windows 7 se zapnutým UAC funguje metoda „Raw Sockets“ pouze při spuštění HTTPNetworkSniffer s „Spustit jako správce“.

Známá omezení

  • HTTPNetworkSniffer nemůže zachytit data HTTP zabezpečeného webu (HTTPS)

Historie verzí

  • Verze 1.63:
    • Opravená chyba z verze 1.62: HTTPNetworkSniffer se zhroutil při výběru síťového rozhraní bez informací o připojení.
  • Verze 1.62:
    • Informace o vybraném síťovém adaptéru se nyní zobrazí v záhlaví okna.
  • Verze 1.61:
    • Přidána možnost příkazového řádku /cfg, která dává HTTPNetworkSniffer pokyn, aby místo toho použil konfigurační soubor v jiném umístění, pokud je výchozí konfigurační soubor, například:
      HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
  • Verze 1.60:
    • Přidána možnost "Vymazat při zahájení snímání". Můžete jej vypnout, pokud nechcete vymazat předchozí položky, když zastavíte snímání a začnete znovu.
    • Přidána funkce "Rychlý filtr" (Zobrazit -> Použít rychlý filtr nebo Ctrl+Q). Když je zapnutá, můžete zadat řetězec do textového pole přidaného pod panel nástrojů a HTTPNetworkSniffer okamžitě filtruje položky HTTP a zobrazuje pouze řádky, které obsahují řetězec, který jste zadali.
  • Verze 1.57:
    • Přidáno „Uložit všechny položky“ (Shift+Ctrl+S).
  • Verze 1.56:
    • HTTPNetworkSniffer nyní automaticky načte novou verzi ovladače WinPCap z https://nmap.org/npcap/, pokud je ve vašem systému nainstalována.
  • Verze 1.55:
    • Přidány 2 sloupce požadavku HTTP: „Přijmout“ a „Rozsah“.
  • Verze 1.51:
    • HTTPNetworkSniffer se nyní pokouší načíst dll ovladače Network Monitor Driver 3.x (NmApi.dll) podle instalační cesty zadané v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Netmon3. Tato změna by měla vyřešit problém s načítáním ovladače Network Monitor Driver 3.x na některých systémech.
  • Verze 1.50:
    • Do seznamu adaptérů v okně „Možnosti zachycení“ byly přidány 4 sloupce: „Název připojení“, „Adresa MAC“, „ID instance“, „Průvodce rozhraním“.
    • Při použití ovladače WinPCap , HTTPNetworkSniffer nyní zobrazuje přesnější informace v seznamu adaptérů v okně "Možnosti snímání".
  • Verze 1.47:
    • Přidána možnost „Automatická velikost sloupců při každé aktualizaci“.
  • Verze 1.46:
    • Přidána možnost exportu do souboru JSON.
  • Verze 1.45:
    • Přidána možnost „Vždy navrchu“.
    • Přidána podpora sekundárního třídění: Nyní můžete získat sekundární třídění podržením klávesy Shift a kliknutím na záhlaví sloupce. Uvědomte si, že při kliknutí na druhý/třetí/čtvrtý sloupec stačí podržet klávesu Shift. Chcete-li seřadit první sloupec, neměli byste držet stisknutou klávesu Shift.
  • Verze 1.41:
    • HTTPNetworkSniffer vám nyní nabízí spuštění jako správce (ve Windows Vista/7/8 s UAC)
  • Verze 1.40:
    • HTTPNetworkSniffer vám nyní umožňuje automaticky jej přidat do seznamu povolených programů brány firewall systému Windows při zahájení zachycování a odstranit jej, když zachytávání zastavíte. Tato možnost je potřebná při použití metody zachycení "Raw Socket" při zapnutém firewallu Windows, protože pokud není HTTPNetworkSniffer přidán do firewallu Windows, příchozí provoz se vůbec nezachytí a HTTPNetworkSniffer nebude fungovat správně.
  • Verze 1.36:
    • Přidány názvy sloupců ("IP adresa" a "Název adaptéru") do seznamu adaptérů v okně "Možnosti zachycení".
  • Verze 1.35:
    • Přidána integrace s utilitou
  • Verze 1.32:
    • Přidána možnost „Zobrazit čas v GMT“.
  • Verze 1.31:
    • Opravená chyba: Zaškrtávací políčko "Promiskuitní režim" v okně "Možnosti snímání" nebylo uloženo do konfiguračního souboru.
  • Verze 1.30:
    • Přidán sloupec "Doba odezvy", který počítá a zobrazuje čas (v milisekundách), který uplynul mezi okamžikem, kdy klient odeslal požadavek HTTP, a okamžikem, kdy klient obdržel odpověď HTTP serveru.
      Chcete-li získat přesnější výsledky v tomto sloupci, doporučuje se k zachycení paketů použít ovladač WinPcap nebo ovladač Microsoft Network Monitor (verze 3.4 nebo novější).
  • Verze 1.27:
    • Přidána možnost „Posunout dolů na novém řádku“. Pokud je zapnutá, HTTPNetworkSniffer se po přidání nového řádku automaticky posune dolů.
  • Verze 1.26:
    • Opraven problém s blikáním ve Windows 7.
  • Verze 1.25:
    • Přidána možnost „Načíst ze souboru zachycení“. Umožňuje načíst soubor pro zachycení vytvořený programem WinPcap/Wireshark (vyžaduje ovladač WinPcap) nebo soubor pro zachycení vytvořený ovladačem programu Microsoft Network Monitor (vyžaduje ovladač monitorování sítě 3.x) a zobrazí zachycená data ve formátu HTTPNetworkSniffer.
    • Přidány možnosti příkazového řádku /load_file_pcap a /load_file_netmon.
  • Verze 1.22:
    • Přidána možnost "Označit liché/sudé řádky" v nabídce Zobrazit. Když je zapnutý, liché a sudé řádky se zobrazují v různých barvách, aby bylo snazší přečíst jeden řádek.
  • Verze 1.21:
    • Přidána možnost „Automatická velikost sloupců+záhlaví“, která vám umožňuje automaticky měnit velikost sloupců podle hodnot řádků a záhlaví sloupců.
    • Opravený problém: Dialogové okno vlastností a další okna se otevřela na nesprávném monitoru v systému s více monitory.
  • Verze 1.20:
    • Přidán sloupec URL.
    • Opravená chyba: Při otevření dialogového okna "Možnosti zachycení" poté, co byl předtím vybrán ovladač Network Monitor Driver 3.x, se HTTPNetworkSniffer přepnul zpět do režimu Raw Sockets.
  • Verze 1.15:
    • Přidán nový sloupec: Čas poslední změny.
  • Verze 1.10:
    • Přidány 3 nové sloupce: Umístění, Čas serveru a Čas vypršení platnosti.
  • Verze 1.06:
    • Opravena klávesa akcelerátoru "Stop Capture" (F6)
  • Verze 1.05:
    • Přidána možnost „Kopírovat adresy URL“ (Ctrl+U), která zkopíruje adresy URL vybraných položek HTTP do schránky
  • Verze 1.00 – první vydání.

Začněte používat HTTPNetworkSniffer

Kromě zachycovacího ovladače potřebného pro zachytávání síťových paketů HTTPNetworkSniffer nevyžaduje žádný instalační proces ani další dll soubory. Chcete-li jej začít používat, jednoduše spusťte spustitelný soubor - HTTPNetworkSniffer.exe

Po prvním spuštění HTTPNetworkSniffer se na obrazovce objeví okno „Možnosti zachytávání“ a budete požádáni, abyste zvolili metodu zachytávání a požadovaný síťový adaptér. Při příštím použití HTTPNetworkSniffer se zachytí automaticky pakety s metodou zachycení a síťovým adaptérem, který jste dříve vybrali. "Možnosti snímání" můžete kdykoli znovu změnit stisknutím klávesy F9.

Po výběru metody zachycení a síťového adaptéru HTTPNetworkSniffer zachytí a zobrazí každý požadavek/odpověď HTTP odeslanou mezi vaším webovým prohlížečem a vzdáleným webovým serverem.

Možnosti příkazového řádku

/cfg Spusťte HTTPNetworkSniffer se zadaným konfiguračním souborem. Například:
HTTPNetworkSniffer.exe /cfg "c:\config\hns.cfg"
HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
/load_file_pcap Načte zadaný soubor zachycení vytvořený ovladačem WinPcap.
/load_file_netmon Načte zadaný soubor zachycení vytvořený ovladačem Sledování sítě 3.x.

Integrace s nástrojem IPNetInfo

Chcete-li získat více informací o IP adrese serveru zobrazené v nástroji HTTPNetworkSniffer, můžete použít nástroj Integrace s IPNetInfo, abyste mohli snadno zobrazit informace o IP adrese načtené přímo ze serverů WHOIS:
  1. a spusťte nejnovější verzi .
  2. Vyberte požadovaná připojení a poté zvolte "IPNetInfo - Server IP" z nabídky Soubor (nebo jednoduše klikněte na Ctrl+I).
  3. IPNetInfo získá informace o IP adresách serverů vybraných položek.

Překlad HTTPNetworkSniffer do jiných jazyků

Chcete-li přeložit HTTPNetworkSniffer do jiného jazyka, postupujte podle následujících pokynů:
  1. Spusťte HTTPNetworkSniffer s parametrem /savelangfile:
    HTTPNetworkSniffer.exe /savelangfile
    Ve složce nástroje HTTPNetworkSniffer bude vytvořen soubor s názvem HTTPNetworkSniffer_lng.ini.
  2. Otevřete vytvořený jazykový soubor v programu Poznámkový blok nebo v jakémkoli jiném textovém editoru.
  3. Přeložte všechny položky řetězce do požadovaného jazyka. Volitelně můžete také přidat své jméno a/nebo odkaz na váš web. (Hodnoty TranslatorName a TranslatorURL) Pokud tyto informace přidáte, budou použity v okně „O aplikaci“.
  4. Po dokončení překladu Spusťte HTTPNetworkSniffer a všechny přeložené řetězce se načtou z jazykového souboru.
    Pokud chcete HTTPNetworkSniffer spustit bez překladu, jednoduše přejmenujte jazykový soubor nebo jej přesuňte do jiné složky.

Licence

Tento nástroj je vydán jako freeware. Tento nástroj můžete volně šířit prostřednictvím diskety, CD-ROM, internetu nebo jakýmkoli jiným způsobem, pokud za to nebudete nic účtovat a nebudete jej prodávat nebo distribuovat jako součást komerční produkt. Pokud distribuujete tento nástroj, musíte do distribučního balíčku zahrnout všechny soubory bez jakýchkoli úprav!

Zřeknutí se odpovědnosti

Software je poskytován „TAK, JAK JE“ bez jakékoli záruky, ať už vyjádřené nebo předpokládané, včetně, nikoli však výhradně, předpokládaných záruk prodejnosti a vhodnosti pro konkrétní účel. Autor nenese odpovědnost za žádné zvláštní, náhodné, následné nebo nepřímé škody způsobené ztrátou dat nebo z jakéhokoli jiného důvodu.

Zpětná vazba

Pokud máte jakýkoli problém, návrh, komentář nebo jste našli chybu v mém nástroji, můžete poslat zprávu na [e-mail chráněný]
Stáhnout HTTPNetworkSniffer (32bitová verze)
Stáhnout HTTPNetworkSniffer (verze x64)

HTTPNetworkSniffer je k dispozici také v jiných jazycích. Chcete-li změnit jazyk HTTPNetworkSniffer, stáhněte si příslušný jazykový soubor zip, rozbalte soubor „httpnetworksniffer_lng.ini“ a vložte jej do stejné složky, do které jste nainstalovali nástroj HTTPNetworkSniffer.

JazykPřeloženodatumVerze

Co je Intercepter-NG

Podívejme se na podstatu ARP na jednoduchém příkladu. Počítač A (IP adresa 10.0.0.1) a Počítač B (IP adresa 10.22.22.2) jsou propojeny sítí Ethernet. Počítač A chce odeslat datový paket do počítače B, zná IP adresu počítače B. Síť Ethernet, ke které jsou připojeni, však nefunguje s adresami IP. Proto, aby mohl počítač A vysílat přes Ethernet, potřebuje znát adresu počítače B v síti Ethernet (MAC adresu ve smyslu Ethernetu). K tomuto účelu se používá protokol ARP. Pomocí tohoto protokolu odešle počítač A požadavek na vysílání adresovaný všem počítačům ve stejné doméně vysílání. Podstata požadavku: „počítač s IP adresou 10.22.22.2, poskytněte počítači MAC adresu s MAC adresou (například a0:ea:d1:11:f1:01).“ Ethernetová síť doručí tento požadavek všem zařízením na stejném ethernetovém segmentu, včetně počítače B. Počítač B odpoví počítači A na požadavek a oznámí jeho MAC adresu (např. 00:ea:d1:11:f1:11) Nyní, Having obdržel MAC adresu počítače B, počítač A mu může přes síť Ethernet přenášet jakákoli data.

Aby nebylo nutné před každým odesláním dat používat protokol ARP, jsou přijaté MAC adresy a jim odpovídající IP adresy po určitou dobu zaznamenávány do tabulky. Pokud potřebujete posílat data na stejnou IP, není třeba pokaždé žádat zařízení při hledání požadované MAC.

Jak jsme právě viděli, ARP obsahuje požadavek a odpověď. MAC adresa z odpovědi se zapíše do tabulky MAC/IP. Po obdržení odpovědi se žádným způsobem nekontroluje její pravost. Navíc ani nekontroluje, zda byla žádost podána. Tito. můžete okamžitě odeslat ARP odpověď na cílová zařízení (i bez požadavku) s podvrženými daty a tato data skončí v tabulce MAC/IP a budou použita pro přenos dat. To je podstata útoku ARP-spoofing, kterému se někdy říká ARP etching, ARP cache poisoning.

Popis útoku spoofingu ARP

Dva počítače (uzly) M a N v místní síti Ethernet si vyměňují zprávy. Útočník X, umístěný ve stejné síti, chce zachytit zprávy mezi těmito uzly. Před použitím ARP-spoofingového útoku na síťové rozhraní hostitele M obsahuje tabulka ARP IP a MAC adresu hostitele N. Také na síťovém rozhraní hostitele N obsahuje tabulka ARP IP a MAC adresu hostitele M .

Během útoku spoofingu ARP odešle uzel X (útočník) dvě odpovědi ARP (bez požadavku) - do uzlu M a do uzlu N. Odpověď ARP do uzlu M obsahuje IP adresu N a MAC adresu X. Odpověď ARP na uzel N obsahuje IP adresu M a MAC adresu X.

Protože počítače M a N podporují spontánní ARP, po obdržení odpovědi ARP změní své tabulky ARP a nyní ARP tabulka M obsahuje MAC adresu X vázanou na IP adresu N a ARP tabulka N obsahuje MAC adresu X, vázaný na IP adresu M.

Útok ARP-spoofing je tedy dokončen a nyní všechny pakety (rámce) mezi M a N procházejí přes X. Například, pokud M chce poslat paket do počítače N, pak M se podívá do své ARP tabulky, najde záznam s IP adresou hostitele N, odtud vybere MAC adresu (a tam již je MAC adresa uzlu X) a odešle paket. Paket dorazí na rozhraní X, je jím analyzován a poté předán do uzlu N.