Наша взаимовыгодная связь https://banwar.org/
Злом HTTP паролів за допомогою програми Xavior.
родукт, про який піде мова в даному огляді, є досить пересічним сніффером. Навіщо ж я буду описувати продукт, подібних якому останнім часом з'явилося дуже багато? Відповідь досить проста: редакція отримує дуже багато пошти з проханням роз'яснити на прикладі, що таке сниффер і які функції він виконує.
Продукт, про який зараз піде мова, доступний для вільного скачування з сторінки розробника , І призначений для платформ win95 / 98 / NT. Як і будь-який сниффер, програма переводить мережеву карту в режим promiscuous (в такому режимі карта перехоплює весь внутрішньосегментний ethernet-трафік, незалежно від того, якого mac-адресу призначений проходить пакет). Ясна річ, що вручну розібрати результат захоплення всієї каші, що твориться в ethernet-сегменті, буде вельми нелегко, тому вбудовані засоби фільтрації розбивають спіймані пакети за типами, фільтрують розділ з даними, сортують трафік по ip-адресами машин, або по протоколам, які вказані в captured пакеті.
Для чого потрібен перехоплення трафіку? Відповідь на це питання двоякий. Безперечно, за допомогою таких засобів (сніфферов) можна дуже легко виявити, що ведеться на сусідній хост атаку (хоча б поставити фільтр-тригер на утримання в tcp-пакетах слів AZZ, select, msadcs.dll для виявлення атак на NT за допомогою експлойтів msadc2.pl ). Але більшість програм і сервісів (icq, telnet, ftp, http auth basic, pop3 і т.д.) пересилають пароль і логін користувача відкритим текстом (без всякої кодування і шифрування), і працює сниффер без праці дозволить перехоплювати і такі сесії, тому сніфери з моменту появи міцно потрапили в розряд "information warfare", тобто програмного забезпечення, використовуваного хакерами в своїй роботі.
Я не збираюся розповідати тут про всіх функціях і особливостях даної програми (spynet), а на конкретних прикладах продемонструю деякі можливості перехоплення даних, що передаються plaintextом. На наведеній ілюстрації (рис 1) показаний приклад того, як повідомлення ICQ, надіслане машиною з IP-адресою 24.28.73.321 cтало надбанням громадськості.
У програму вбудований нехитрий reverse = механізм, який дозволяє з малоосмисленное для недосвідченого погляду каші даних відновити минулі telnet, pop3 і т.д. сесії. Наприклад, на другому скріншоті наведено приклад того, як сниффер по захопленому трафіку відновив pop3-сесію з сервером і показав пароль і логін користувача.
Як ви бачите, автор не пошкодував часу на написання процедур декодування захоплення. Можливо навіть повністю реконструювати web-сторінки, які відвідував користувач з ethernet-сегмента, в якому працює сниффер, на screenshot'e - фрагмент поштової скриньки на службі hotmail. Отже, можна спробувати зробити висновки. Як ви бачите, сниффер не є ні крякери інтернету, ні "програмою для злому провайдера", і можливості його дії обмежуються тими роутерами, між якими ви затиснуті;) Але і те, що він може - поки ще сервісів, що використовують plaintext при авторизації величезна безліч - вражає на перший погляд.
Не варто думати, що сниффер - це інструмент, для написання якого потрібно бути великим світилом в програмуванні мережних додатків. Оригінальний текст невеликого сніффер для * nix додається - як бачите, він дуже маленький і простий.
Під * nix-системи існує велика кількість сніфферов, які працюють таємно - маскуючись, наприклад, під named, і використовуються хакером після отримання root'a на будь-якої машині в ethernet-сегменті для легкого отримання контролю над іншими. Для запобігання подібних сценарівев якраз і використовується ssh, засоби VPN, які здійснюють шифровку трафіку.
Автор - duke
Навіщо ж я буду описувати продукт, подібних якому останнім часом з'явилося дуже багато?Для чого потрібен перехоплення трафіку?