Сніфери — це програми, які перехоплюють весь мережевий трафік. Сніфери корисні для діагностики мережі(для адмінів) і для перехоплення паролів (зрозуміло для кого:)). Наприклад, якщо ти отримав доступ до однієї мережевий машині і встановив там сніффер, то скоро всі паролі від їх підмережі будуть твої. Сніфери ставлять мережеву карту в режим прослуховування (PROMISC).Тобто вони отримують всі пакети. В локалці можна перехоплювати всі надіслані пакети зі всіх машин (якщо ви не розділені всякими хабами), так як там практикується широкомовлення. Сніфери можуть перехоплювати всі пакети (що дуже незручно, страшенно швидко переповнюється лог файл, зате для більш детального аналізу мережі саме воно) або тільки перші байти від всяких ftp,telnet,pop3 і т. д. (це саме веселе, зазвичай приблизно в перших 100 байтах міститься ім’я і пароль:)). Сніффер зараз розвелося… Безліч сніффер є як під Unix, так і під Windows (навіть під DOS є:)). Сніфери можуть підтримувати тільки певну вісь (наприклад linux_sniffer.c, який підтримує Linux:)), або декілька (наприклад Sniffit, працює з BSD, Linux, Solaris). Сніфери так розжилися з-за того, що паролі передаються по мережі відкритим текстом. Таких служб сила-силенна. Це telnet, ftp, pop3, www і т. д. Цими службами користується сила-силенна народу:). Після буму сніффер почали з’являтися різні алгоритми шифрування цих протоколів. З’явився SSH (альтернатива telnet, що підтримує шифрування), SSL(Secure Socket Layer — розробка Netscape, здатна шифрувати www сеанс). З’явилися всякі Kerberous, VPN(Virtual Private Network). Заюзались якісь AntiSniff’и, ifstatus’и і т. д. Але це докорінно не змінило становища. Служби, які використовують передачу пароля plain text’ом юзаются у всю:). Тому сниффать ще довго будуть:).

Windows реалізації сніффер

CommView — www.tamos.com
Досить просунутий сніффер виробництва TamoSoft. Можна встановити свої правила на сниффинг (наприклад ігнорувати ICMP, а TCP сниффать, також крім Internet протоколів є підтримка Ethernet протоколів, таких як ARP,SNMP,NOVELL і т. д.). Можна наприклад сниффать тільки вхідні пакети, а решта ігнорити. Можна вказати лог-файл для усіх пакетів з лімітів розміру в мегах. Має дві tools’и — Packet Generator і NIC Vendor Indentifier. Можна побачити всі подробиці відправлених /отриманих пакетів (наприклад, TCP пакет можна переглянути Source Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags, Urgent). Радує ще те, що вона автоматично встановлює CAPTURE драйвер. Загалом програма дуже корисна для снифа, рекомендую всім.

SpyNet — packetstorm.securify.com
Досить відомий сніффер виробництва Laurentiu Nicula 2000:). Звичайні функції — перехоплення/декодинг пакетів. Хоча декодинг розвинений прикольно (можна, наприклад, по пакетах відтворювати сторінки, на яких побував юзер!). Загалом на любителя:).

Analyzer — neworder.box.sk
Analyzer вимагає встановлення спеціального драйвера, вкладеного в пакет (packet.inf, packet.sys). Можна подивитися всю інфу про вашої мережевої карти. Також Analyzer підтримує роботу з командного рядка. Він прекрасно працює з локальною мережею. Має кілька утиліт: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Нічого видатного.

IRIS — www.eeye.com
IRIS продукт відомої фірми eEye. Представляє великі можливості по фільтрації. Мене в ньому сильно порадувало три фішки:
1.Protocol Distribution
2.Top hosts
3.Size Distribution
Також є Packet Decoder. Він підтримує розвинену систему логів. А доступні можливості фільтрації перевершують всі сніфери огляду. Це Hardware Filter, який може ловити або всі пакети (Promiscious), або з різними обмеженнями (наприклад захоплювати тільки multicast пакети або broadcast пакети, або тільки Mac фрейми). Можна фільтрувати за певним MAC/IP адресам, по портам, по пакетах, містить певні символи. Загалом непоганий сниффак. Вимагає 50comupd.dll.

WinDUMP

Аналог TCPdump for Unix. Цей сниффак діє через командний рядок і являє мінімальні можливості конфігурації і ще вимагає бібліотеки WinPcap. Мені не дуже…

SniffitNT

Теж вимагає WinPcap. Робота тільки як командним рядком, так і в інтерактивному режимі. Зі складними опціями. Мені не дуже.

ButtSniff

Звичайний пакетний сніффер створений відомою групою CDC(Cult of the Dead Cow). Фішка його в тому, що його можна використовувати, як плагін до BO:)(Дуже корисно:)).Робота з командного рядка.

Існують ще безліч сніффер, таких як NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer і т. д. Підемо далі…

Unix’ові сніфери

Всі сніфери даного огляду можна знайти на packetstorm.securify.com.

linsniffer

Це простий сніффер для перехоплення логінів/паролів. Стандартна компіляція (gcc -o linsniffer linsniffer.c).
Логи пише в tcp.log.

linux_sniffer

Linux_sniffer потрібно тоді, коли ви хочете детальніше вивчити мережу. Стандартна компіляція. Видає всяку белеберду додатково, типу isn, ack, syn, echo_request (ping) і т. д.

Sniffit

Sniffit — просунута модель сніфер написана Brecht Claerhout. Install(потрібна libcap):
#./configure
#make
Тепер запускаємо сніффер:
#./sniffit
usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t | -s) | (-i|I) | -c]
Plugins Available:
0 — Dummy Plugin
1 — DNS Plugin

Як бачите, сниффит підтримує безліч опцій. Можна використовувати сниффак в інтерактивному режимі. Сниффит хоч і досить корисна прога, але я їй не користуюся. Чому? Тому що у Sniffit великі проблеми з захистом. Для Sniffit’a вже вийшли ремоутный рут і дос для лінукса і дебиана! Не кожен сніффер собі таке дозволяє:).

HUNT

Це мій улюблений сниффак. Він дуже простий у використанні, підтримує багато прикольних фішок і на даний момент не має проблем з безпекою. Плюс не особливо вимогливий до бібліотек (як наприклад linsniffer і Linux_sniffer). Він може в реальному часі перехоплювати поточні з’єднання і під чисту дамп з віддаленого терміналу. Загалом, Hijack rulezzz:). Рекомендую всім для посиленого юзания:).
Install:
#make
Run:
#hunt -i [interface]

READSMB

Сніффер READSMB вирізаний з LophtCrack і портований під Unix (як не дивно:)). Readsmb перехоплює SMB пакети.

TCPDUMP

tcpdump — досить відомий аналізатор пакетів. Написаний ще більш відомим чолом — Вен Якобсоном, який придумав VJ-стиснення для PPP і написав прогу traceroute (і хто знає що ще?). Вимагає бібліотеку Libpcap.
Install:
#./configure
#make
Тепер запускаємо її:
#tcpdump
tcpdump: listening on ppp0
Всі твої коннекти виводить на термінал. Ось приклад виведення на пінг
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo reply
Загалом, снифф корисний для налагодження мереж, знаходження несправностей і т. д.

Dsniff

Dsniff вимагає libpcap, ibnet, libnids та OpenSSH. Записує тільки введені команди, що дуже зручно. Ось приклад лода конекту на unix-shells.com:

02/18/01 03:58:04 tcp my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit

Ось dsniff перехопив логін з паролем (stalsen/asdqwe123).
Install:
#./configure
#make
#make install