Содержание.

Содержание. 2

Введение. 3

Более подробный взгляд на снифферы. 4

Описание программ – снифферов. 7

CommView. Сетевой монитор и анализатор для MS Windows. 7

Работа с программой CommView. 8

NetXRay. Сетевой анализатор. 23

SpyNet. Программа – сниффер. 26

Заключение. 28

Используемая литература. 29

Введение.

В данной контрольной работе будут рассмотрены особенности использования программ-снифферов – специального типа программ, созданных для мониторинга сетевого потока и его анализа.

Снифферы - это программы, которые перехватывают весь сетевой трафик. Снифферы полезны при проведении диагностики сети (для администраторов) и для перехвата паролей (для хакеров). Например, если вы получили доступ к одной сетевой машине, и установили там сниффер, то скоро вам будут известны пароли от их подсети. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC), то есть они получают все пакеты. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато это идеальный вариант для детального анализа сети), или только первые байты от различных ftp,telnet,pop3 и т.д. (это самое интересное, обычно примерно в первых 100 байтах содержится имя и пароль), кроме того, в настройках многих снифферов можно задавать фильтрацию отдельных пакетов.

Помимо несанкционированного использования снифферов в хакерских целях, они могут использоваться также для тестирования и отладки компьютерных сетей.

Таким образом, в руках одного человека сниффер – очень полезная программа, другого же – чрезвычайно опасная "игрушка", способная нанести значительный ущерб для пользователей сети.

Более подробный взгляд на снифферы.

Что такое Сниффер ?

Слово sniffer (дословно с английского это можно перевести как "нюхач" или "вынюхиватель") в самом общем смысле суть некое прослушивающее устройство, внедренное в сеть для перехвата передаваемых по ней данных. Можно предположить, что снифферы что-то разнюхивают. Так оно и есть, сниффер – это программа, которая перехватывает сетевые пакеты. Так вот, сниффер, установленный на промежуточном компьютере, через который будут проходить пакеты - способен захватывать их, пока они еще не достигли цели. У разных снифферов процесс захвата информации реализован по разному. (ваш комп) -> (соседний комп) -> (комп со сниффером) -> (удаленный комп) Стандартный пакет попутешествует из "вашего компа" через сеть. Он пройдет через каждый компьютер в сети, начиная с "соседнего компа", через "комп со сниффером" и заканчивая "удаленным компом". Каждая машина должна игнорировать пакет, если он не предназначен для ее IP адреса. Тем не менее, машина со сниффером позволяет принимать ЛЮБОЙ пакет, который через нее проходит.

В некоторой литературе и документации, а также в электронных словарях типа Lingvo, термин sniffer (network sniffer) отождествляется с такими понятиями, как "анализатор сетевого трафика", "анализатор пакетов", "анализатор протоколов", "сетевой анализатор". Однако позволю себе немного не согласиться с таким подходом.

Все-таки логичней было бы утверждать, что сниффинг - это совокупность мер по перехвату траффика. В рамках же конкретного продукта может быть реализована функция по захвату пакетов (packet capturing). На этом этапе мы получаем некий сырой (mashine readable) дамп данных, обычно разделенный на куски по границам кадров (пакетов). И уж что мы с ним собираемся делать - наши проблемы. Но обычно, раз уж мы зачем-то запустили работать сниффер - нам интересно получить некий результат в "human readable" формате, т.е. формате понятном для человека, для чего используется декодирование пакетов (decoding) или анализ протоколов, для преобразования информации в более удобочитаемый вид, нежели машинный код.

Виды снифферов и сниффинга.

По "месторасположению" (если уместно применение данного термина) сниффер может работать:

На маршрутизаторе (шлюзе) – при таком раскладе вы можете перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из вашей локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, мы можем отслеживать трафик его пользователей.

На оконечном узле сети – применительно к Ethernet мы будем иметь два основных возможных варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе "слышит" весть траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой МАС-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме вы можете перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuous mode, чтобы она "бесстыдно" продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode.

Примечание: использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в promiscuous mode делает прослушивание не предназначенного вашей станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так называемый "broadcast domain", и хост с установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом, трафик соседей насильственно завернется в сторону "шпиона".

В остальном же снифферы могут отличаются друг от друга главным образом функциональными возможностями, как то:

· поддерживаемые физические интерфейсы и протоколы канального уровня;

· качество декодирования и количество известных протоколов;

· пользовательский интерфейс и удобство отображения;

· дополнительные возможности: статистика, просмотр в реальном времени, генерирование или модификация пакетов и другое .

При выборе сниффера (как, впрочем, и любого другого софта) есть смысл руководствоваться следующими соображениями: из того, что существует под вашу ОС выбираем либо то, что точно соответствует вашим задачам (имеет смысл в том случае, если вы планируете либо разовое мероприятие, либо постоянное выполнение одной и той же операции) либо максимально навороченное решение, в случае, если вы чувствуете, что сниффер будет вам полезен, но еще не знаете в какой ситуации). А ситуации бывают разные .

Зачем нужен сниффер ?

Традиционно идея сниффинга жила как бы в двух ипостасях: легальное и нелегальное применение. Что характерно, слово "сниффер" чаще применяется в нелегальной сфере, а "сетевой анализатор" - в легальной. Начнем, пожалуй, с легального применения: