Анализаторы сетевых потоков
Если мы посмотрим еще ниже, то найдем действительно полезную информацию:
Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 10 Source Port: 23 Target Port: 2111 Seq: 7BFD4196 Ack: 0919F344 Flags: PA Window: 32120 TCP ChkSum: 1056 UrgPtr: 0 00000000: 50 61 73 73 77 6F 72 64 3A 20 Password: Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 0 Source Port: 2111 Target Port: 23 Seq: 0919F344 Ack: 7BFD41A0 Flags: A Window: 65389 TCP ChkSum: 27131 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F344 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 2034 UrgPtr: 0 00000000: 62 b Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 0 Source Port: 23 Target Port: 2111 Seq: 7BFD41A0 Ack: 0919F345 Flags: A Window: 32120 TCP ChkSum: 60399 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F345 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 64240 UrgPtr: 0 00000000: 6F o Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 0 Source Port: 23 Target Port: 2111 Seq: 7BFD41A0 Ack: 0919F346 Flags: A Window: 32120 TCP ChkSum: 60398 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F346 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 2032 UrgPtr: 0 00000000: 62 b Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 0 Source Port: 23 Target Port: 2111 Seq: 7BFD41A0 Ack: 0919F347 Flags: A Window: 32120 TCP ChkSum: 60397 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F347 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 14575 UrgPtr: 0 00000000: 31 1 Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 0 Source Port: 23 Target Port: 2111 Seq: 7BFD41A0 Ack: 0919F348 Flags: A Window: 32120 TCP ChkSum: 60396 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F348 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 14318 UrgPtr: 0 00000000: 32 2 Source IP: 192.168.1.100 Target IP: 192.168.1.101 TCP Length: 0 Source Port: 23 Target Port: 2111 Seq: 7BFD41A0 Ack: 0919F349 Flags: A Window: 32120 TCP ChkSum: 60395 UrgPtr: 0 Source IP: 192.168.1.101 Target IP: 192.168.1.100 TCP Length: 1 Source Port: 2111 Target Port: 23 Seq: 0919F349 Ack: 7BFD41A0 Flags: PA Window: 65389 TCP ChkSum: 14061 UrgPtr: 0 00000000: 33 3
Похоже на то, что мы подслушали нехитрый пароль Боба. Снова, сосредотачиваясь только на пакетах, прибывающих с адреса отправителя 192.168.1.101 получателю 192.168.1.100, мы видим, что пользователь набрал b-o-b-1-2-3. Обратите внимание, что пакеты подтверждения от сервера telnet не делают повторения ввода, как это произошло с именем пользователя. Так и должно быть, потому что когда мы вводим пароль, мы не видим его напечатанным на экране telnet.
Анализаторы сетевых потоков дают также отличную возможность узнать больше о TCP/IP. Здесь видно, как размер пакетов данных влияет на порядковый номер пакета, и как используются флаги.
Аналогично тому, как диалоговый режим инструмента BUTTSniffer имеет фильтры, режим дампа диска имеет необязательный "файл фильтра", который может быть указан в конце командной строки. Файл использует ту же самую методику, которая используется в диалоговом меню. Пустой файл фильтра означает, что BUTTSniffer должен регистрировать все. Если вы хотите сосредоточиться на определенном IP-адресе или порте, вы сначала должны исключить все остальное.
Ниже приводится синтаксис файла фильтра, который устанавливает тот же самый фильтр, который мы использовали в диалоговом режиме:
-*.*.*.* +192.168.1.100 -0-65535 +23 +80
Выглядит незамысловато. Сохраните этот текст как myfilter.fil, а затем выполните команду buttsniff-d 1 sniff.log p myfilter.fil, чтобы прослушивать только telnet и деятельность сети, направленную по адресу 192.168.1.100 и обратно.
Tcpdump и WinDump
Загружаемый с сайта http://www.tcpdump.org, tcpdump является широко конфигурируемым пакетом анализатора сетевых потоков, который управляется из командной строки и предназначен для системы Unix. В то время как BUTTSniffer первоначально предназначался как дополнительный хакерский модуль ( plug-in ) для подслушивания на собственной системе, tcpdump был сделан специально для прослушивания сети, анализа и тестирования трафика и для перехвата пакетов.
tcpdump, скорее, представляет собой анализатор сетевых пакетов, чем сетевых потоков. Его способности фильтрации превосходят многие другие инструментальные средства, но он не обязательно облегчит вам перехват пакетов данных. Утилита действительно позволяет получать много интересной низкоуровневой информации о пакетах, передающихся по вашей сети, и может помочь вам диагностировать все виды сетевых проблем.
Установка
Утилиты Tcpdump и WinDump, ее воплощение под Windows, используют библиотеку pcap, набор подпрограмм по перехвату пакетов данных, написанный в Национальной лаборатории Лоренса Беркелея (Lawrence Berkeley National Laboratory). Программы pcap обеспечивают интерфейс и функциональность для фильтрации пакетов на уровне операционной системы и дизассемблирование IP-пакетов в необработанные данные.
Установка Tcpdump (и Libpcap) на Unix
Сначала необходимо загрузить и установить libpcap. libpcap представляет собой системно-независимый интерфейс к пакетным фильтрам уровня ядра. Если вы не уверены в том, что libpcap у вас установлен, попробуете установить tcpdump ; если libpcap в вашей системе нет, он выдаст вам сообщение. Вы можете также найти libpcap на сайте http://www.tcpdump.org. Библиотека libpcap работает только в том случае, если ваша система использует механизм фильтрации пакетов уровня ядра, который она может распознать. У Linux есть свой собственный встроенный "пакетный" протокол, который libpcap признает и с которым она работает, при условии, что ваше ядро Linux скомпилировано с надлежащими опциями. Варианты BSD (Berkeley Software Distribution) и другие клоны операционной системы Unix используют BPF (Berkeley Packet Filtering).
После того как вы загрузили библиотеку libpcap и разархивировали ее, выполните скрипт выбора конфигурации. Ищите строку, в которой написано "checking packet capture type" (проверка типа перехвата пакета), чтобы выяснить какой механизм использует ваша система. Если libpcap не признает ваш пакетный фильтр, вам потребуется обратиться к сопровождающей систему документации, чтобы выяснить, как решить эту проблему. В противном случае, вы можете продолжить установку libpcap так, как вы бы устанавливали любой другой исходный файл под Unix (make и make install). После установки libpcap утилита tcpdump может быть установлена таким же способом.
Установка WinDump (и WinPcap) в системе Windows
Как и в случае с Unix, перед установкой WinDump (и WinPcap) в системе Windows вы должны установить библиотеку pcap. WinPcap и WinDump теперь работают с Windows 9x, ME, NT, 2000 и XP. Пакет поставляется в единственном исполняемом файле и может быть загружен с сайта http://netgroup-serv.polito.it/winpcap/. У WinPcap нет никаких опций установки. Устанавливается в течение примерно пяти секунд.
Теперь все, что вы должны сделать, это направиться на сайт http://netgroup-serv.polito.it/windump/ и загрузить windump.exe. Все готово!