взломvideoНа DVD мы выложилипознавательныйвидео-урок, которыйнаучит тебя всем прелестямснифера.links• intercepter.nerf.ru— официальный сайтпрограммы, откудавсегда можно утянутьсамую свежую версиювместе с документацией.• colasoft.com/download/arp_flood_arp_spoofing_arp_poisoning_attack_solution_with_capsa.php — разъяснениесути ARP-poisonатаки, реализуемой0x4553‐Intercepter’омв качестве небольшогодовеска к основномуфункционалу.• en.wikipedia.org/wiki/ARP_spoofing— ARP-атаки на wiki.0x4553‐Intercepter обнаруживает узлы локальной сети, выявляя активные сниферы, многие из которых в действительностипредставляют собой сторожевые системылика, а современные компьютеры (особенно, объеденные вbotnet’ы) — чрезвычайно мощны. Достаточно воспользоватьсяодной из хэш-ломалок (некоторые из которых можно скачатьс www.insidepro.com) и запастись терпением. По понятнымпричинам (нельзя объять необъятное), хэш-ломалки в состав0x4553‐Intercepter не входят.Снифер поддерживает множество популярных мессенджеров,отображая диалог в удобочитаемом виде. В настоящий момент«перевариваются» следующие протоколы: ICQ, AIM, JABBER,YAHOO, MSN, GADU-GADU, IRC и MRA. Причем, в отличиеот зарубежных сниферов, работающих преимущественно сANSI-текстом, 0x4553‐Intercepter выгодно отличается тем,что поддерживает кодировки UTF8\UTF16\RTF, используемыедля передачи национальных символов (в том числе икириллических). Мы проверили: 0x4553‐Intercepter корректноотображает не только русские, но даже китайские письменаи арабскую вязь. А вот с некоторыми европейскими языкамизамечены трудности, поскольку они используют ANSI со своейлокалью (читай — кодовой страницей), которая не есть уникод.В попытке вывода на экран при текущей кириллической илиамериканской локали такая мешанина получается!Но это не проблема 0x4553‐Intercepter’а. Если в сети находятсядва человека, общающиеся не через уникодовые мессенджеры(или через уникодовые, но с отличной от нас локалью),то мы должны через «региональные настройки» выбрать ту жесамую локаль, что у них, открыть в «Блокноте» текст, награбленный0x4553‐Intercepter’ом, и сохранить его как уникод.После чего можно возвращать русскую локаль на место иоткрывать файл чем угодно (с поддержкой уникода). В частности,FAR позволяет просматривать уникодовые файлы по ,но для их редактирования нужно установить специальныйплагин. Кстати, китайские/японские неуникодовые клиентытакже используют ANSI, ну это, конечно, не совсем ANSI, но сточки зрения снифера — выглядит именно так. Чтобы прочестьзахваченный текст, приходится опять-таки перенастраиватьоперационную систему на китайскую/японскую локаль.Тут, кстати говоря, самое время (и место) сказать, что протоколи клиент — не одно и то же. GTalk, например, используетJABBER-протокол, и хотя отсутствует в данном списке, замечательно«захватывается» снифером. Клиентов много. Намногобольше, чем протоколов. Некоторые клиенты (та же Миранда)Грабим самих себяСнифер полезен не только для перехвата чужих данных, но и дляанализа циркулирующего локального трафика. С его помощью можнопонять, кто и куда ломится с нашей машины, например, какие данныепередает система при входе в Сеть. Аналогичным образом вылавливаютсяспам-боты (особенно, при сниффе со шлюза) — в логе друг задругом идет отображение перехваченных писем. Шлюзовой перехватв этом плане хорош тем, что его крайне трудно замаскировать. В тоже время, если зловредная программа запущена на одной машине соснифером, она может ему весьма эффективно противостоять. Потому,когда снифер говорит, что в «Багдаде все спокойно», вовсе не факт, чтонас уже не поимели.062Висим? Нет, не висим— видишь, дискомдрыгает!У 0x4553‐Intercepter есть еще одна полезная фича. Cain и Ufasoft snifferпри загрузке pcap-дампов «подвисают» на время их обработки, непредоставляя никаких рычагов для управления процессом и ничегоне отображая на экране. 0x4553‐Intercepter показывает текущийстатус загрузки в пакетах/процентах, выводя данные параллельнос их загрузкой. Можно созерцать, а можно переключиться в другойрежим, занявшись делом, или просто прерывать загрузку дампа, еслинам уже понятно, что ничего интересного все равно нет.xàêåð 07 /115/ 08
взломКитайская мессага, посланная в ANSI-формате, отображаемаяв системе с установленной китайской локалью (сверху). И тотже самый текст, отображаемый в системе с кириллическойлокальюподдерживают целый легион протоколов и потому успешностьперехвата зависит от того, по какому протоколу треплетсяконкретный пользователь. Традиционная почта (в смысле,SMTP/POP3) также захватывается и декодируется снифером. КWEB-интерфейсу сказанное не относится и потому его приходитсяразгребать руками, лапами и хвостом.Кстати, о птичках. Для любителей поработать руками в0x4553‐Intercepter предусмотрен старый добрый «сырой»режим, отображающий трафик в hex-виде (слева цифры,справа — символы). Но прибегать к нему обычно нет нужды,поскольку сырых граберов — от хвоста и больше, и в этомплане 0x4553‐Intercepter им не конкурент. То есть, конкурент,конечно, но все-таки он ориентирован на другой класс задач.В арсенале 0x4553‐Intercepter имеется множество убийственныхтехнологий. Чего стоит только один «eXtreme mode». Вэтом режиме снифер грабит весь трафик, определяя типы протоколовне по номерам портов, которые могут быть изменены,а по их содержимому. Естественно, поскольку искусственныйинтеллект еще не изобретен, возможны ошибки — как позитивные(захват «левых» пакетов), так и негативные (пропускполезных пакетов). Достаточно выловить лишь несколькопакетов, чтобы определить порт, зная который, можно грабитьтрафик и в обычном режиме. Эта фича полезна для выявленияProxy- и FTP-серверов. Остальные сервисы работают сболее или менее предсказуемыми портами. POP3/SMTP нанестандартных портах встречаются крайне редко, а вот приватныйFTP на нестандартном порте (типа, чтобы не засеклии не ломились всякие левые личности) — явление вполненормальное.Награбленный трафик может быть сохранен в pcap-формате(стандарт де-факто среди сниферов) и подвергнут дальнейшемуанализу в утилитах, извлекающих информацию. Какправило, это взломщики паролей, работающие с протоколаминеизвестными 0x4553‐Intercepter’у. К таковым относятсямногие беспроводные протоколы и нестандартные протоколы,реализованные неизвестно кем и неизвестно для чего. Влюбом случае, возможность экспорта трафика в общепринятыйформат не помешает, тем более что 0x4553‐Intercepter срадостью импортирует в себя pcap-дампы, собранные другимисниферами. Последние ловко грабят трафик, но не знают, чеготакого хорошего с ним можно сделать (где искать пароли, какдекодировать сообщения мессенджеров и т.д.).Помимо чисто сниферных функций, 0x4553‐Intercepterрасполагает рядом весьма соблазнительных фич. Начнемс банального обнаружения узлов, которое в данном случаеосуществляется отнюдь не тупым сканированием и переборомIP-адресов (даже м-а-а-аленькая локальная сеть «класса С»сканируется ну очень долго, плюс на узле могут быть закрытыxàêåð 07 /115/ 08В первом релизе имеются недоделанные функции в стиле «underconstruction»0x4553‐Intercepter грабит трафик в «сыром» (raw) режимевсе порты и запрещен ответ на ping). 0x4553‐Intercepterпосылает широковещательный ARP-запрос, требуя, чтобы всеузлы, которые его получили, сообщили свои IP-адреса. Быстрои эффективно. Это вполне легальная операция, на которуюсистемы обнаружения вторжений смотрят сквозь пальцы. Ну,разве что хакер не начнет от нечего делать слать запросы одинза другим, что выглядит весьма подозрительно.Причем, 0x4553‐Intercepter способен выявлять остальныесниферы, многие из которых с формальной точки зренияпредставляют собой брандмауэры или те же самые системыобнаружения вторжений. Вот такие, с позволения сказать,«честные» сниферы в локальной сети, высаживающиеадминистратора на измену и делающие эту фичу совершеннобесполезной для него. Вменяемые злоумышленники давноиспользуют стелс-сниферы, требующие небольшой доработкисетевой карты, чтобы она не реагировала на пакеты, которыепредназначены не ей. Простейший способ заткнуть ей рот— перерезать передающий провод в витой паре, правда, будучизапущенным на такой карте, 0x4553‐Intercepter потеряетдобрую половину функционала. А вот для хакеров функцияобнаружения сниферов — самое то. Даже если это не системазащиты, а просто человек-со-снифером, — он явно не ламери лучше его узел не трогать, а то ведь можно и огрести. Ещенеизвестно, кто круче окажется — он или мы.Интегрированный перепрограмматор MAC-адресов — вещьполезная, хотя и без нее имеется куча утилит аналогичного назначения,в том числе и входящих в состав большинства (еслиdvdНа диске ищипоследний (ибесплатный) релиз0x4553‐Intercepter’а!063