SnifferyAby zrozumieć zasadę działania snifferów należy najpierw poznać sposób przepływu informacji w sieci . Wiadomość wysłana jest dzielona na pakiety w których znajdują się takie informacje jak nadawca , odbiorca i dane . Przy wysyłaniu pakietu komputer nie zna odbiorcy , dlatego wysyła to do wszystkich komputerów w sieci . Następnie karta sieciowa komputera docelowego przyjmuje pakiet , a karty innych odrzucają go . Posłużę się na przykładzie siecią składającą się z 3 komputerów K1 , K2 , K3 , HUB`a i serwera (rysunek).
[HUB]----[SERWER] | | [K1]--------[K2]--------[K3]
Wiadomość wysłana z K3 do serwera wędruje do niego , K1 i K2 . Odpowie jednak na nią tylko serwer ,a K1 i K2 odrzucą ją . A teraz co się dzieje jeżeli siedzimy na K1 i mamy włączonego sniffera . K2 wysyła swoją stronkę www na serwer . Pakiety z K2 dochodzą do nas , a dzięki snifferowi nie są odrzucane przez kartę sieciową . Na naszym komputerze pojawia się wtedy pocięty na częsci kod html i znaczki . Na tym właśnie polega przechwyt danych .
Tak ogólnie sniffery to takie piękne zabawki , które przechwytują pakiety wędrujące po sieci bez względu na jej rodzaj (TCP/IP , IPX , ETHERNET) . A co możemy znaleźć w takich pakietkach ? Wszystko zależy od sieci . Mogą to być zwykłe dane jak np. kod html , informacje o sieci , albo nawet login i hasła .
Wbrew pozorom sniffery nie zostały stworzone przez hakerów . Ich pierwotnym założeniem była diagnostyka sieci , czyli sprawdzanie drogi jaką przechodzi pakiet z jednego komputera do drugiego i na jakie problemy natrafia . Dopiero później jakiś geniusz wpadł na pomysł , aby wykorzystać sniffery w trochę inny sposób , mnie zgodny z prawem . Teraz dobry sniffer umieszczony w newralgicznym punkcie sieci stanowi niezastąpioną broń dla hackera/krackera .
Gobbler to dobra narzędzie , jeżeli ktoś chce się nauczyć o sieciach , ale mało przyjazne . Najlepiej znaleźć do niego opis w postaci pliku paper.gs . Działa pod DOSem , Windows 95/98 i NT . Klawisz F1 dostarcza informacji o funkcjach dostępnych w tym programie . Umożliwia m.in. uzyskiwanie adresów adresatów i odbiorców pakietów danych oraz ustawienie rodzaju pakietów , jakie mają być wyszukiwane w sieci .
Sniff ICMP działa pod Windows95/98 . Przydatny by analizować jakie sygnały ICMP przychodzą konkretnie do nas - nie wyłapuje on sygnałów spoza naszego komputera . Protokól ICMP odpowiada za przesyłanie informacji dotyczących działania sieci . Są to np. komunikaty PING-PONG jak i informacje o niedostępności danych hostów .
Po uruchomieniu mamy następujące funkcje : Sur ecoute - włącza nasłuchiwanie ; Signaler une eventuelle attaque - sygnalizacja ewentualnych ataków ; Enregistrer le log - włącza zapisywanie logów do pliku icmp_log.txt w katalogu , w którym został uruchomiony program ; Voir le log - pokazuje zapisany log ; Reinitialiser - czyści okna z logami ; Minimiser - minimalizuje okno :
Najważniejsze kolumny w oknie z logami : Nbre - ilosć identycznych komunikatów wysłanych pod rząd ; IP (distant) - adres ipz jakiego został wysłany komunikat ; Port (distant) - port na zdalnym komputerze z którego został wysłany komunikat ; IP (local) - adres ip naszego komputera ; Port (local) - port naszego komputera na jaki został wysłany komunikat ; Message - jest to " przetłumaczony" przez program komunikat jaki do nas trafił ( nieprzetłumaczony znajduje się w kolumnie Code ) :
Nie powinno się łączyć segmentów sieci bez konieczności , stosowanie narzędzi kodujących informacje przepływające w sieci , np. protokół SSH , który podpina się do portu 22 .Od momentu podłączenia dane koduję się przy pomocy algorytmu IDEA ; przy tworzeniu sieci stosować technikę segmentacji . Podstawową cechą tego typu sieci jest to , że każdy komputer jest oddzielnie podłączony do HUB`a , a ten do przełącznika (rysunek) ;
[HUB] / | / | [K1] [K2] [K3] |