المتشممونالمتشممون عبارة عن برامج يمكنها اعتراض حركة مرور الشبكة وتحليلها لاحقًا. تعتبر أدوات المتشمم مفيدة في الحالات التي تحتاج فيها إلى اعتراض كلمات المرور أو إجراء تشخيصات للشبكة. يمكن تثبيت البرنامج على جهاز واحد يمكنك الوصول إليه وفي غضون فترة زمنية قصيرة يمكنك تلقي جميع البيانات المرسلة من الشبكة الفرعية.

كيف يعمل المتشممون

يمكنك اعتراض حركة المرور من خلال جهاز الشم بالطرق التالية:

• من خلال الاستماع في الوضع العادي لواجهة الشبكة، تكون هذه الطريقة فعالة فقط عند استخدام لوحات الوصل وليس المحولات في مجال معين.
• إذا قمت بتوصيل المتشمم إلى المكان الذي تنقطع فيه القناة، فيمكنك اعتراض حركة المرور.
• يقوم المحول أو البرنامج بتغيير مسار حركة المرور ويرسل نسخة إلى المتشمم.
• ويتم تحليل الإشعاع الكهرومغناطيسي الضال واستعادة حركة المرور للاستماع.
• تتم مهاجمة طبقة الارتباط والشبكة، مما يعيد توجيه حركة المرور إلى أداة الشم للحصول على البيانات، وبعد ذلك تتم إعادة توجيه حركة المرور على طول المسار السابق.

يتم تحليل حركة المرور التي يعترضها المتشمم، مما يسمح لنا بتحديد:

يقوم المتشممون التقليديون بتحليل حركة المرور بكل بساطة، باستخدام الأدوات الآلية الأكثر توفرًا ويكونون قادرين على تحليل كميات صغيرة جدًا فقط.

أمثلة على أشهر المشامم:

• WinSniffer 1.3 هو أفضل برنامج شم، ويحتوي على العديد من الأوضاع المختلفة القابلة للتخصيص، وهو قادر على التقاط كلمات المرور لمختلف الخدمات؛
• يلتقط CommViev 5.0 حركة المرور على الإنترنت ويحللها، بالإضافة إلى الشبكة المحلية. يجمع بيانات المعلومات المرتبطة بالمودم وبطاقة الشبكة ويفك تشفيرها. وهذا يجعل من الممكن رؤية قائمة كاملة بالاتصالات على الشبكة والمعلومات الإحصائية حول IP. يتم حفظ المعلومات التي تم اعتراضها في ملف منفصل للتحليل اللاحق، بالإضافة إلى ذلك، يسمح لك نظام التصفية المريح بتجاهل الحزم غير الضرورية ويترك فقط تلك التي يحتاجها المهاجم؛
• ZxSniffer 4.3 عبارة عن أداة شم صغيرة الحجم يبلغ حجمها 333 كيلو بايت، وهي تناسب أي وسيلة تخزين حديثة ويمكن استخدامها بواسطة؛
• SpyNet هي أداة شم معروفة وشائعة إلى حد ما. تتضمن الوظيفة الرئيسية اعتراض حركة المرور وفك تشفير حزم البيانات؛
• تتمتع IRIS بقدرات تصفية واسعة النطاق. قادر على التقاط الحزم ذات القيود المحددة.

تصنيف المتشممون

يتم تقسيم المتشممون حسب طريقة الاستخدام إلى قانوني وغير قانوني. في الوقت نفسه، يتم تطبيق مفهوم المتشممون على وجه التحديد فيما يتعلق بالاستخدام غير القانوني، في حين يسمى القانون "محلل حركة المرور".

من أجل الحصول على معلومات كاملة حول حالة الشبكة وفهم ما يفعله الموظفون في أماكن عملهم، يستخدمون المتشممون القانونيون (محللو حركة المرور). لا يمكن المبالغة في تقدير مساعدة المتشممين عندما يكون من الضروري "الاستماع" إلى منافذ البرنامج التي يمكنهم من خلالها إرسال معلومات سرية إلى أصحابها. بالنسبة للمبرمجين، يساعدون في تصحيح أخطاء البرامج والتفاعل معها. باستخدام محللي حركة المرور، يمكنك اكتشاف الوصول غير المصرح به إلى البيانات أو هجوم DoS على الفور.

يتضمن الاستخدام غير القانوني التجسس على مستخدمي الشبكة؛ حيث سيتمكن المهاجم من الحصول على معلومات حول المواقع التي يستخدمها المستخدم، ويرسل البيانات، ويتعرف على البرامج المستخدمة للاتصال. الغرض الرئيسي من "الاستماع" إلى حركة المرور هو الحصول على تسجيلات الدخول وكلمات المرور المرسلة في شكل غير مشفر.

يختلف محللو حركة المرور في القدرات التالية:

• دعم بروتوكولات طبقة الارتباط بالإضافة إلى الواجهات المادية.
• جودة فك تشفير البروتوكول.
• واجهة المستخدم.
• توفير الوصول إلى الإحصائيات وعرض حركة المرور في الوقت الفعلي وما إلى ذلك.

مصدر التهديد

يمكن للمتشممون العمل على:

• جهاز التوجيه - يمكن تحليل كل حركة المرور التي تمر عبر الجهاز.
• في العقدة النهائية للشبكة، تكون جميع البيانات المنقولة عبر الشبكة متاحة لجميع بطاقات الشبكة، ولكن في وضع التشغيل القياسي، فإن بطاقات الشبكة التي لم تكن البيانات مخصصة لها لا تلاحظها ببساطة. وفي الوقت نفسه، إذا قمت بتبديل بطاقة الشبكة إلى الوضع المختلط، فستتمكن من استقبال جميع البيانات المنقولة عبر الشبكة. وبالطبع، يسمح لك المتشممون بالتبديل إلى هذا الوضع.

تحليل المخاطر

قد تكون أي منظمة معرضة لخطر الاستنشاق. وفي الوقت نفسه، هناك العديد من الخيارات حول كيفية حماية المؤسسة من تسرب البيانات. أولاً، عليك استخدام التشفير. ثانيا، يمكنك استخدام مضادات الشم.

Antisniffer هو برنامج أو أداة جهاز تعمل على الشبكة وتسمح لك بالعثور على المتشممين.

باستخدام التشفير فقط عند نقل البيانات، لن يكون من الممكن إخفاء حقيقة الإرسال. ولذلك، يمكنك استخدام التشفير بالتزامن مع antisniffer.

سيكون برنامج Wireshark مساعدًا ممتازًا لأولئك المستخدمين الذين يحتاجون إلى إجراء تحليل مفصل لحزم الشبكة - حركة مرور شبكة الكمبيوتر. يتفاعل المتشمم بسهولة مع البروتوكولات الشائعة مثل netbios، fddi، nntp، icq، x25، dns، irc، nfs، http، tcp، ipv6واشياء أخرى عديدة. أثناء التحليل، يسمح لك بفصل حزمة الشبكة إلى المكونات المناسبة، وفقًا لبروتوكول محدد، وعرض معلومات قابلة للقراءة في شكل رقمي على الشاشة.
يدعم عددًا كبيرًا من التنسيقات المختلفة للمعلومات المرسلة والمستقبلة، وهو قادر على فتح الملفات التي تستخدمها الأدوات المساعدة الأخرى. مبدأ التشغيل هو أن بطاقة الشبكة تدخل في وضع البث وتبدأ في اعتراض حزم الشبكة الموجودة في منطقة الرؤية الخاصة بها. يمكن أن يعمل كبرنامج لاعتراض حزم wifi.

كيفية استخدام واير شارك

يقوم البرنامج بدراسة محتويات حزم المعلومات التي تمر عبر الشبكة. لتشغيل نتائج المتشمم واستخدامها، لا تحتاج إلى أي معرفة محددة، ما عليك سوى فتحه في قائمة "ابدأ" أو النقر على الأيقونة الموجودة على سطح المكتب (لا يختلف تشغيله عن أي برنامج Windows آخر) . تتيح الوظيفة الخاصة للأداة المساعدة التقاط حزم المعلومات وفك تشفير محتوياتها بعناية وإعادتها إلى المستخدم لتحليلها.

بعد تشغيل Wireshark، ستظهر لك القائمة الرئيسية للبرنامج على الشاشة، والتي تقع في أعلى النافذة. يتم استخدامه للتحكم في الأداة المساعدة. إذا كنت بحاجة إلى تحميل الملفات التي تخزن بيانات حول الحزم التي تم التقاطها في الجلسات السابقة، بالإضافة إلى حفظ البيانات حول الحزم الأخرى التي تم التقاطها في جلسة جديدة، فستحتاج إلى علامة التبويب "ملف" للقيام بذلك.

لتشغيل وظيفة التقاط حزم الشبكة، يجب على المستخدم النقر على أيقونة "التقاط"، ثم العثور على قسم قائمة خاص يسمى "الواجهات"، والذي يمكنك من خلاله فتح نافذة "Wireshark Capture Interfaces" منفصلة، ​​حيث يجب أن تكون جميع واجهات الشبكة المتاحة سيتم عرضها، والتي سيتم من خلالها التقاط حزم البيانات اللازمة. في حالة تمكن البرنامج (sniffer) من اكتشاف واجهة واحدة مناسبة فقط، فإنه سيعرض جميع المعلومات المهمة عنها على الشاشة.

تعتبر نتائج عمل الأداة دليلاً مباشراً على أنه حتى لو لم يشارك المستخدمون بشكل مستقل (في وقت معين) في نقل أي بيانات، فإن تبادل المعلومات على الشبكة لا يتوقف. بعد كل شيء، مبدأ تشغيل الشبكة المحلية هو أنه من أجل إبقائها في وضع التشغيل، يقوم كل عنصر من عناصرها (الكمبيوتر والمحول والأجهزة الأخرى) بتبادل معلومات الخدمة بشكل مستمر مع بعضها البعض، لذلك تم تصميم أدوات الشبكة هذه للاعتراض مثل هذه الحزم.

هناك أيضًا نسخة لأنظمة Linux.

تجدر الإشارة إلى ذلك يعد برنامج الشم مفيدًا للغاية لمسؤولي الشبكاتوخدمات أمان الكمبيوتر، لأن الأداة المساعدة تسمح لك بتحديد عقد الشبكة التي يحتمل أن تكون غير محمية - وهي المناطق المحتملة التي يمكن أن يتعرض للهجوم من قبل المتسللين.

بالإضافة إلى غرضه المباشر، يمكن استخدام Wireshark كأداة لمراقبة حركة مرور الشبكة وتحليلها بشكل أكبر من أجل تنظيم هجوم على المناطق غير المحمية في الشبكة، لأنه يمكن استخدام حركة المرور التي تم اعتراضها لتحقيق أهداف مختلفة.

المتشممون عبارة عن برامج تعترض كل حركة مرور الشبكة.

تعتبر أدوات المتشمم مفيدة لتشخيص الشبكة (للمسؤولين) ولاعتراض كلمات المرور (من الواضح لمن). على سبيل المثال، إذا تمكنت من الوصول إلى جهاز شبكة واحد وقمت بتثبيت أداة الشم هناك، فستكون جميع كلمات المرور الخاصة بالشبكة الفرعية الخاصة بها ملكك قريبًا. يقوم المتشممون بوضع بطاقة الشبكة في وضع الاستماع (PROMISC)، أي أنهم يتلقون كافة الحزم. في بيئة محلية، يمكنك اعتراض جميع الحزم المرسلة من جميع الأجهزة (إذا لم تكن مفصولاً بأي محاور)، حيث يتم ممارسة البث هناك. يمكن للمتشممين اعتراض جميع الحزم (وهو أمر غير مريح للغاية، حيث يمتلئ ملف السجل بسرعة كبيرة، ولكن للحصول على تحليل أكثر تفصيلاً للشبكة فهو مثالي) أو البايتات الأولى فقط من أي بروتوكول نقل الملفات أو telnet أو pop3 وما إلى ذلك. (هذا هو الجزء الممتع، عادةً ما تحتوي أول 100 بايت أو نحو ذلك على اسم المستخدم وكلمة المرور). هناك الكثير من المتشممين الآن... هناك العديد من المتشممين لكل من Unix وWindows (حتى أن هناك أدوات DOS). يمكن أن تدعم برامج Sniffer محورًا محددًا فقط (على سبيل المثال، linux_sniffer.c، الذي يدعم Linux)، أو عدة محاور (على سبيل المثال، Sniffit، الذي يعمل مع BSD، وLinux، وSolaris). أصبحت أدوات المتشمم شائعة جدًا لأن كلمات المرور يتم نقلها عبر الشبكة بنص واضح. هناك الكثير من هذه الخدمات. هذه هي telnet وftp وpop3 وwww وما إلى ذلك. يستخدم الكثير من الناس هذه الخدمات. بعد طفرة الشم، بدأت خوارزميات التشفير المختلفة لهذه البروتوكولات في الظهور. ظهر SSH (بديل telnet الذي يدعم التشفير) وSSL (طبقة المقابس الآمنة - وهو تطوير Netscape يمكنه تشفير جلسة www). ظهرت جميع أنواع Kerberous و VPN (الشبكة الافتراضية الخاصة). تم استخدام بعض أدوات AntiSniffs وifstatus وما إلى ذلك. لكن هذا لم يغير الوضع بشكل جذري. يتم استخدام الخدمات التي تستخدم نقل كلمة المرور بالنص العادي إلى أقصى إمكاناتها، لذلك سيستمر الاستنشاق لفترة طويلة.

تطبيقات Windows الشم

كومفيو - www.tamos.com
أداة شم متقدمة تمامًا من إنتاج TamoSoft. يمكنك تعيين قواعد الاستنشاق الخاصة بك (على سبيل المثال، تجاهل ICMP وSniff TCP؛ بالإضافة إلى بروتوكولات الإنترنت، هناك دعم لبروتوكولات Ethernet، مثل ARP وSNMP وNOVELL وما إلى ذلك). على سبيل المثال، يمكنك التعرف على الحزم الواردة فقط وتجاهل الباقي. يمكنك تحديد ملف سجل لجميع الحزم مع حدود الحجم بالميجابكسل. يحتوي على أداتين - Packet Generator وNIC Vendor Indentifier. يمكنك عرض جميع تفاصيل الحزم المرسلة/المستقبلة (على سبيل المثال، في حزمة TCP يمكنك عرض منفذ المصدر، ومنفذ الوجهة، وطول البيانات، والمجموع الاختباري، والتسلسل، والنافذة، والإشعار ، أعلام، عاجل). والشيء الجيد الآخر هو أنه يقوم تلقائيًا بتثبيت برنامج تشغيل CAPTURE. بشكل عام، الأداة مفيدة جدًا للاستنشاق، أوصي بها للجميع.

سباي نت – packetstorm.securify.com
أداة شم معروفة إلى حد ما من إنتاج Laurentiu Nicula 2000. والوظائف المعتادة هي اعتراض/فك تشفير الحزم. على الرغم من أن فك التشفير تم تطويره بطريقة رائعة (على سبيل المثال، يمكنك استخدام الحزم لإعادة إنشاء الصفحات التي زارها المستخدم!). بشكل عام، ليس للجميع.

محلل - neworder.box.sk
يتطلب المحلل تثبيت برنامج تشغيل خاص مضمن في الحزمة (packet.inf، packet.sys). يمكنك رؤية كافة المعلومات حول بطاقة الشبكة الخاصة بك. يدعم المحلل أيضًا تشغيل سطر الأوامر. إنه يعمل بشكل رائع مع الشبكة المحلية. لديها العديد من المرافق: ConvDump، GnuPlot، FlowsDet، Analisys Engine. لا شيء مميز.

القزحية - www.eeye.com
IRIS هو أحد منتجات شركة eEye الشهيرة. يوفر قدرات تصفية واسعة النطاق. لقد سعدت جدًا بثلاثة أشياء حول هذا الموضوع:
1. توزيع البروتوكول
2. أفضل المضيفين
3. توزيع الحجم
يوجد أيضًا وحدة فك ترميز الحزم. وهو يدعم نظام السجل المطور. وإمكانيات التصفية المتاحة تتفوق على جميع أدوات المعاينة. هذا هو عامل تصفية الأجهزة الذي يمكنه التقاط جميع الحزم (Promiscious)، أو مع قيود مختلفة (على سبيل المثال، التقاط حزم البث المتعدد أو حزم البث فقط، أو إطارات Mac فقط). يمكنك التصفية حسب عناوين MAC/IP محددة، حسب المنافذ، حسب الحزم التي تحتوي على أحرف معينة. بشكل عام، شم جيد. يتطلب 50comupd.dll.

WinDUMP
مشابه لـ TCPdump لنظام Unix. يعمل هذا الشم من خلال سطر الأوامر ويوفر الحد الأدنى من خيارات التكوين ويتطلب أيضًا مكتبة WinPcap. أنا لست كثيرا...

SniffitNT
يتطلب أيضًا برنامج WinPcap. العمل فقط على سطر الأوامر وفي الوضع التفاعلي. مع خيارات معقدة. أنا لا أحب ذلك حقًا.

ButtSniff
أداة شم الحزم العادية التي أنشأتها المجموعة الشهيرة CDC (عبادة البقرة الميتة). تكمن حيلته في أنه يمكن استخدامه كمكون إضافي لـ BO (مفيد جدًا)، حيث يعمل من سطر الأوامر.

هناك العديد من برامج التجسس مثل NatasX وNetXRay وCooperSniffer وLanExplorer وNet Analyzer وما إلى ذلك. دعنا نذهب أبعد من ذلك ...

المتشممون يونكس

يمكن العثور على جميع المتشممين في هذه المراجعة على packetstorm.securify.com.

لينسنيفر
هذا أداة شم بسيطة لاعتراض عمليات تسجيل الدخول/كلمات المرور. التجميع القياسي (gcc -o linsniffer linsniffer.c).
تتم كتابة السجلات إلى tcp.log.

Linux_sniffer
Linux_sniffer مطلوب عندما تريد استكشاف الشبكة بالتفصيل. التجميع القياسي. وينتج جميع أنواع الحماقات الإضافية، مثل iss وack وsyn وecho_request (ping) وما إلى ذلك.

شم عليه
Sniffit هو نموذج شم متقدم كتبه Brecht Claerhout. التثبيت (بحاجة إلى libcap):
#./تهيئة
#يصنع
الآن دعونا نطلق الشم:
#./شم عليه
الاستخدام: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) ملف التسجيل]
[-l sniflen] [-L logparam] [-F snifdevice] [-M plugin]
[-D tty] (-t | -s) | (-ط|-أنا) | -ج]
الإضافات المتاحة:
0- البرنامج المساعد الوهمي
1- ملحق DNS

كما ترون، يدعم sniffit العديد من الخيارات. يمكنك استخدام sniffak بشكل تفاعلي. على الرغم من أن Sniffit برنامج مفيد جدًا، إلا أنني لا أستخدمه. لماذا؟ لأن Sniffit لديه مشاكل أمنية كبيرة. لقد تم بالفعل إصدار جذر بعيد وDOS لنظامي التشغيل Linux وDebian لـ Sniffit، ولا يستطيع كل متشمم تحمل تكلفة ذلك.

مطاردة
سهل الاستخدام للغاية، ويدعم الكثير من الميزات الرائعة ولا توجد به مشكلات أمنية حاليًا. بالإضافة إلى أنه لا يتطلب الكثير من المكتبات (مثل linsniffer وLinux_sniffer). يمكنه اعتراض الاتصالات الحالية في الوقت الفعلي وإجراء تفريغ نظيف من محطة بعيدة. أوصي به للجميع للاستخدام المعزز.
ثَبَّتَ:
#يصنع
يجري:
#مطاردة -i

ريدسمب
يتم قطع برنامج READSMB sniffer من LophtCrack ونقله إلى Unix (وهو أمر غريب بما فيه الكفاية). يعترض Readsmb حزم SMB.

تكبدومب
tcpdump هو محلل حزم معروف إلى حد ما. كتبه شخص أكثر شهرة - فان جاكوبسون، الذي اخترع ضغط VJ لـ PPP وكتب برنامج التتبع (ومن يعرف ماذا أيضًا؟). يتطلب مكتبة Libpcap.
ثَبَّتَ:
#./تهيئة
#يصنع
الآن دعونا نطلقها:
#tcpdump
tcpdump: الاستماع إلى ppp0
يتم إخراج جميع اتصالاتك إلى المحطة. فيما يلي مثال على إخراج ping
ftp.technotronic.com:
02:03:08.918959 195.170.212.151.1039 > 195.170.212.77.domain: 60946+ أ؟
ftp.technotronic.com. (38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946* 1/3/3 (165)
02:03:09.459421 195.170.212.151 >
02:03:09.996780 209.100.46.7 >
02:03:10.456864 195.170.212.151 > 209.100.46.7: ICMP: طلب الصدى
02:03:10.906779 209.100.46.7 > 195.170.212.151: ICMP: رد الصدى
02:03:11.456846 195.170.212.151 > 209.100.46.7: ICMP: طلب الصدى
02:03:11.966786 209.100.46.7 > 195.170.212.151: ICMP: رد الصدى
بشكل عام، يعد Sniff مفيدًا لتصحيح أخطاء الشبكات والعثور على الأخطاء وما إلى ذلك.

دسنيف
يتطلب Dsniff وجود libpcap، وibnet، وlibinids، وOpenSSH. يسجل الأوامر المدخلة فقط، وهو أمر مريح للغاية. فيما يلي مثال لسجل الاتصال على unix-shells.com:

02/18/01 03:58:04 TCP my.ip.1501 -> handi4-145-253-158-170.arcor-ip.net.23
(تلنت)
ستالسين
asdqwe123
ليرة سورية
الأشخاص ذوي الإعاقة
من
آخر
مخرج

هنا اعترض dsniff تسجيل الدخول وكلمة المرور (stalsen/asdqwe123).
ثَبَّتَ:
#./تهيئة
#يصنع
#قم بالتثبيت

الحماية ضد المتشممون

أضمن طريقة للحماية من المتسللين هي استخدام التشفير (SSH، Kerberous، VPN، S/Key، S/MIME، SHTTP، SSL، وما إلى ذلك). حسنًا، ماذا لو كنت لا ترغب في التخلي عن خدمات النص العادي وتثبيت حزم إضافية؟ ثم حان الوقت لاستخدام الحزم المضادة للشم...

AntiSniff لنظام التشغيل Windows
تم إصدار هذا المنتج من قبل مجموعة Loft الشهيرة. وكان المنتج الأول من نوعه. AntiSniff، كما هو مذكور في الوصف:
"AntiSniff هي أداة تعتمد على واجهة المستخدم الرسومية (GUI) للكشف عن بطاقات واجهة الشبكة (NIC) غير الشرعية على قطاع الشبكة المحلية لديك." بشكل عام، فإنه يمسك البطاقات في وضع الوعد. يدعم عدد كبير من الاختبارات (اختبار DNS، اختبار ARP، اختبار Ping، اختبار ICMP Time Delta، اختبار Echo، اختبار PingDrop). يمكنك مسح سيارة واحدة أو شبكة. هناك دعم السجل هنا. يعمل AntiSniff على أنظمة Win95/98/NT/2000، على الرغم من أن النظام الأساسي الموصى به هو NT. لكن فترة حكمه لم تدم طويلاً وسرعان ما ظهر جهاز شم يسمى AntiAntiSniffer، كتبه مايك بيري (يمكنك العثور عليه على www.void.ru/news/9908/snoof.txt)، وهو مبني على LinSniffer (تمت مراجعته أيضًا).

كشف شم يونكس:
يمكن الكشف عن المتشمم باستخدام الأمر:
#ifconfig -a
لو تغليف الرابط: الاسترجاع المحلي
عنوان إنت:127.0.0.1 القناع:255.0.0.0
تشغيل الاسترجاع للأعلى MTU:3924 متري:1
حزم RX: أخطاء 2373: 0 تم إسقاطها: 0 تجاوزات: 0 إطار: 0
حزم TX: 2373 أخطاء: 0 تم إسقاطها: 0 تجاوزات: 0 ناقل: 0
الاصطدامات:0 txqueuelen:0

رابط Ppp0 لبروتوكول encapoint-to-Point
عنوان inet:195.170.y.x P-t-P:195.170.y.x القناع:255.255.255.255
UP Pointopoint PROMISC RUNNING NOARP MULTICAST MTU:1500 متري:1
حزم RX: 3281 أخطاء: 74 تم إسقاطها: 0 تجاوزات: 0 إطار: 74
حزم TX: 3398 أخطاء: 0 تم إسقاطها: 0 تجاوزات: 0 ناقل: 0
الاصطدامات:0 txqueuelen:10

كما ترون، واجهة ppp0 في وضع PROMISC. إما أن المشغل قد قام بتحميل أداة شم للتحقق من الشبكة، أو أنه قد حصل عليك بالفعل... ولكن تذكر أنه يمكن استبدال ifconfig بسهولة، لذا استخدم tripwire للكشف عن التغييرات وجميع أنواع البرامج للتحقق من عمليات الشم.

AntiSniff لنظام التشغيل Unix.
يعمل على BSD، وسولاريس، ولينكس. يدعم اختبار الوقت ping/icmp، واختبار arp، واختبار الصدى، واختبار dns، واختبار etherping، بشكل عام، وهو نظير لـ AntiSniff for Win، فقط لنظام Unix.
ثَبَّتَ:
# جعل لينكس الكل

الحارس
أيضا برنامج مفيد لاصطياد المتشممون. يدعم العديد من الاختبارات. سهل الاستخدام.
تثبيت: #make
#./الحارس
./الحارس [-t]
طُرق:
[ -اختبار ARP ]
[ -d اختبار DNS ]
[ -i اختبار زمن الوصول لـ ICMP Ping ]
[ - اختبار إيثربينج ICMP ]
خيارات:
[ -F ]
[ -v عرض الإصدار والخروج ]
[-ن]
[-أنا]

الخيارات بسيطة للغاية بحيث لا توجد تعليقات.

فيما يلي بعض الأدوات المساعدة الإضافية للتحقق من شبكتك (لنظام Unix):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c - جهاز الكشف عن بعد لوضع PROMISC لبطاقات Ethernet (لإصدار Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c - كاشف شبكة إيثرنت المشوشة (يحتاج libcap وGlibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c - يقوم بفحص أجهزة النظام لاكتشاف عمليات الشم.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz - يختبر ifstatus واجهات الشبكة في وضع PROMISC.

المتشممون- هذه هي البرامج التي تعترض
جميع حركة مرور الشبكة. تعتبر أدوات المتشمم مفيدة لتشخيص الشبكة (للمسؤولين) و
لاعتراض كلمات المرور (من الواضح لمن :)). على سبيل المثال، إذا تمكنت من الوصول إلى
جهاز شبكة واحد وقمنا بتثبيت جهاز الشم هناك،
ثم قريبا كافة كلمات المرور من
شبكاتهم الفرعية ستكون لك. مجموعة المتشممون
بطاقة الشبكة في الاستماع
الوضع (PROMISC)، أي أنهم يستقبلون كافة الحزم. محليا يمكنك اعتراض
جميع الحزم المرسلة من جميع الأجهزة (إذا لم تكن مفصولة بأي محاور)،
لذا
كيف تتم ممارسة البث هناك؟
يمكن للمتشممون اعتراض كل شيء
الحزم (وهو أمر غير مريح للغاية، حيث يمتلئ ملف السجل بسرعة كبيرة،
ولكن للحصول على تحليل أكثر تفصيلاً للشبكة فهو مثالي)
أو فقط البايتات الأولى من جميع أنواع
بروتوكول نقل الملفات، التلنت، pop3، الخ. (هذا هو الجزء الممتع، عادةً ما يكون في أول 100 بايت تقريبًا
يحتوي على اسم المستخدم وكلمة المرور :)). المتشممون الآن
مطلقة... والمتشممون كثيرون
سواء تحت Unix أو تحت Windows (حتى في ظل DOS يوجد :)).
يمكن للمتشممون
دعم محور محدد فقط (على سبيل المثال linux_sniffer.c، والذي
يدعم Linux :))، أو عدة (على سبيل المثال Sniffit،
يعمل مع BSD، لينكس، سولاريس). لقد أصبح المتشممون أثرياء جدًا بسبب
يتم نقل كلمات المرور عبر الشبكة بنص واضح.
مثل هذه الخدمات
كثيراً. هذه هي telnet وftp وpop3 وwww وما إلى ذلك. هذه الخدمات
يستخدم الكثير
الناس :). بعد طفرة الشم، مختلفة
خوارزميات
تشفير هذه البروتوكولات. ظهر SSH (بديل
دعم التلنت
التشفير)، SSL (طبقة المقابس الآمنة - تطوير Netscape الذي يمكنه التشفير
جلسة www). جميع أنواع Kerberous، VPN (Virtual Private
شبكة). تم استخدام بعض أدوات مكافحة الشم، وحالة الحالة، وما إلى ذلك. لكن هذا ليس كذلك في الأساس
تغير الوضع. الخدمات التي تستخدم
تمرير كلمة المرور باستخدام نص عادي
معتادون على أكمل وجه :). لذلك سوف يتنشقون لفترة طويلة :).

تطبيقات Windows الشم

com.linsniffer
هذا هو الشم بسيط لاعتراضه
تسجيلات الدخول/كلمات المرور. التجميع القياسي (gcc -o linsniffer
linsniffer.c).
تتم كتابة السجلات إلى tcp.log.

linux_sniffer
Linux_sniffer
مطلوب عندما تريد
دراسة الشبكة بالتفصيل. معيار
التحويل البرمجي. يعطي كل أنواع حماقة اضافية،
مثل iss وack وsyn وecho_request (ping) وما إلى ذلك.

شم عليه
Snifit - نموذج متقدم
الشم كتبها بريخت كليرهوت. تثبيت (الحاجة
ليبكاب):
#./تهيئة
#يصنع
الآن دعونا نطلق
الشم:
#./شم عليه
الاستخدام: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
المنفذ] [(-r|-R) ملف التسجيل]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M البرنامج المساعد]
[-D tty] (-t | -س ) |
(-ط|-أنا) | -ج ]
الإضافات المتاحة:
0 - دمية
توصيل في
1- ملحق DNS

كما ترون، يدعم sniffit الكثير
خيارات. يمكنك استخدام sniffak بشكل تفاعلي.
على الرغم من ذلك
برنامج مفيد جداً لكني لا أستخدمه.
لماذا؟ لأن سنفيت
مشاكل كبيرة مع الحماية. لقد تم بالفعل إصدار جذر بعيد ودوس لـ Sniffit
لينكس وديبيان! ليس كل متشمم يسمح لنفسه بذلك :).

مطاردة
هذا
شمتي المفضلة. فمن السهل جدا للاستخدام،
يدعم الكثير من الرائع
رقائق وحاليا ليس لديها مشاكل أمنية.
بالإضافة إلى ليس كثيرا
المطالبة بالمكتبات (مثل linsniffer و
Linux_sniffer). هو
يمكن اعتراض الاتصالات الحالية في الوقت الحقيقي و
تفريغ نظيف من محطة بعيدة. في
بشكل عام، الاختطاف
رولزز :). أوصي
الجميع لتعزيز الاستخدام :).
ثَبَّتَ:
#يصنع
يجري:
#مطاردة -i

ريدسمب
يتم قطع أداة READSMB sniffer من LophtCrack ونقلها إلى
يونيكس (الغريب :)). Readsmb يعترض SMB
الحزم.

تكبدومب
tcpdump هو محلل حزم معروف إلى حد ما.
مكتوب
حتى أن الشخص الأكثر شهرة هو فان جاكوبسون، الذي اخترع ضغط VJ لـ
PPP وكتب برنامج تتبع (ومن يدري ماذا؟).
يتطلب مكتبة
ليبكاب.
ثَبَّتَ:
#./تهيئة
#يصنع
الآن دعونا نطلق
ها:
#tcpdump
tcpdump: الاستماع إلى ppp0
يتم عرض كافة اتصالاتك على
صالة. فيما يلي مثال على إخراج ping

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.المجال: 60946+ أ؟
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: ICMP: صدى
طلب
02:03:09.996780 209.100.46.7 > 195.170.212.151: ICMP: صدى
رد
02:03:10.456864 195.170.212.151 > 209.100.46.7: ICMP: صدى
طلب
02:03:10.906779 209.100.46.7 > 195.170.212.151: ICMP: صدى
رد
02:03:11.456846 195.170.212.151 > 209.100.46.7: ICMP: صدى
طلب
02:03:11.966786 209.100.46.7 > 195.170.212.151: ICMP: صدى
رد

بشكل عام، يعد Sniff مفيدًا لتصحيح أخطاء الشبكات،
استكشاف الأخطاء وإصلاحها و
إلخ.

دسنيف
يتطلب Dsniff libpcap، وibnet،
libnids و OpenSSH. يسجل الأوامر المدخلة فقط، وهو أمر مريح للغاية.
فيما يلي مثال لسجل الاتصال
على موقع unix-shells.com:

02/18/01
03:58:04 برنامج التعاون الفني my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(تلنت)
ستالسين
asdqwe123
ليرة سورية
الأشخاص ذوي الإعاقة
من
آخر
مخرج

هنا
اعترض dsniff تسجيل الدخول وكلمة المرور (stalsen/asdqwe123).
ثَبَّتَ:
#./تهيئة
#يصنع
#يصنع
ثَبَّتَ

الحماية ضد المتشممون

أضمن طريقة للحماية من
المتشممون -
استخدم التشفير (SSH، Kerberous، VPN، S/Key، S/MIME،
SHTTP، SSL، وما إلى ذلك). حسنًا
وإذا كنت لا ترغب في التخلي عن خدمات النص العادي وتثبيت المزيد
الحزم :)؟ ثم حان الوقت لاستخدام الحزم المضادة للشم...

AntiSniff لنظام التشغيل Windows
تم إصدار هذا المنتج من قبل مجموعة مشهورة
العلية. وكان المنتج الأول من نوعه.
AntiSniff كما هو مذكور في
وصف:
"AntiSniff هي أداة تعتمد على واجهة المستخدم الرسومية (GUI).
اكتشاف بطاقات واجهة الشبكة (NIC) غير الشرعية على شبكتك المحلية
مقطع". بشكل عام، فإنه يمسك البطاقات في وضع الوعد.
يدعم ضخمة
عدد الاختبارات (اختبار DNS، اختبار ARP، اختبار Ping، ICMP Time Delta
اختبار، اختبار الصدى، اختبار PingDrop). يمكن مسحها كسيارة واحدة،
والشبكة. هنالك
دعم السجل. يعمل AntiSniff على أنظمة Win95/98/NT/2000،
على الرغم من الموصى بها
منصة NT. لكن فترة حكمه لم تدم طويلاً، وسوف تنتهي قريباً
في الوقت المناسب، ظهر برنامج الشم يسمى AntiAntiSniffer :)،
كتبه مايك
بيري (مايك بيري) (يمكنك العثور عليه على www.void.ru/news/9908/snoof.txt).
استنادًا إلى LinSniffer (تمت مناقشته أدناه).

كشف شم يونكس:
الشم
يمكن العثور عليها مع الأمر:

#ifconfig -a
لو رابط التغليف: محلي
الاسترجاع
عنوان إنت:127.0.0.1 القناع:255.0.0.0
أعلى.
تشغيل الاسترجاع MTU:3924 متري:1
حزم RX: 2373 خطأ: 0
إسقاط:0 تجاوزات:0 الإطار:0
حزم TX: 2373 خطأ: 0 تم إسقاطها: 0
التجاوزات: 0 الناقل: 0
الاصطدامات:0 txqueuelen:0

رابط pp0
encap: بروتوكول نقطة إلى نقطة
عنوان إنت:195.170.y.x
P-t-P:195.170.y.x القناع:255.255.255.255
UP Pointopoint PROMISC
تشغيل NOARP MULTICAST MTU:1500 متري:1
حزم RX: 3281
الأخطاء:74 إسقاط:0 تجاوزات:0 الإطار:74
حزم TX: 3398 أخطاء: 0
إسقاط:0 تجاوزات:0 الناقل:0
الاصطدامات:0 txqueuelen:10

كيف
ترى واجهة ppp0 في وضع PROMISC. إما المشغل
تم تحميلها شم ل
عمليات فحص الشبكة، أو أنهم قد وصلوا إليك بالفعل... لكن تذكر،
أنه يمكن إجراء ifconfig بأمان
محاكاة ساخرة، لذا استخدم سلك التعثر للكشف
التغييرات وجميع أنواع البرامج
للتحقق من الشم.

AntiSniff لنظام التشغيل Unix.
يعمل ل
بي إس دي، سولاريس و
لينكس. يدعم اختبار الوقت ping/icmp، واختبار arp، واختبار الصدى، ونظام أسماء النطاقات
اختبار، اختبار etherping، بشكل عام نظير AntiSniff for Win، فقط لـ
يونكس :).
ثَبَّتَ:
# جعل لينكس الكل

الحارس
وأيضا برنامج مفيد ل
اصطياد المتشممون. يدعم العديد من الاختبارات.
سهلة ل
يستخدم.
تثبيت: #make
#./الحارس
./الحارس [-ر
]
طُرق:
[ -اختبار ARP ]
[-د اختبار DNS
]
[ -i اختبار زمن الوصول لـ ICMP Ping ]
[ -e اختبار ICMP Etherping
]
خيارات:
[ -F ]
[ -v عرض النسخة و
مخرج ]
[ -ن ]
[ -أنا
]

الخيارات بسيطة للغاية بحيث لا
تعليقات.

أكثر

وفيما يلي بعض أكثر
أدوات مساعدة للتحقق من شبكتك (لـ
يونكس):
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
كاشف وضع PROMISC لبطاقات الإيثرنت (للإصدار 5.x من Red hat).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- كاشف شبكة إيثرنت المشوشة (يتطلب libcap وGlibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- يقوم بفحص أجهزة النظام للكشف عن الشم.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
— ifstatus يختبر واجهات الشبكة في وضع PROMISC.