netrf-sniff

сниффинг в условиях приближенных к боевым

Ares & Крис Касперски

сниффер для хакера — это как катана для самурая. вот только самураев нынче много, а достойного оружия — мало. плохо, когда сниффер отказывается работать, но еще хуже, когда он работает неправильно, например, в упор не видит трафик или некорректно его декодирует, теряя пароли и другую жизненно важную информацию…

Поздравляем! В нашем полку прибыло! Зарелизен новый сниффер 0x4553-Intercepter отечественной разработки, распространяемый на бесплатной основе, хоть и без исходных текстов, что, конечно, большой минус, но этот минус полностью перекрывается богатым функционалом, обгоняющим конкурентов по всем статьям сразу. И это — с первого релиза! В последующих версиях планируется введение в строй множества соблазнительных фич, выводящих конкуренцию в плоскость вертикального предела с полным отрывом от земли. Что ж, как говориться, поживем — увидим, а пока разберемся с тем, что уже есть (благо, разбирается действительно есть с чем).

Рисунок 1 форум пользователей 0x4553-Intercepter'а

Краткая характеристика: характер — нордический, тьфу, какой к черту характер? Не характер! Интерфейс! А интерфейс у нас графический, то есть гуевый, можно даже сказать интуитивно понятный, позволяющий начать хачить сразу же после запуска без чтения мануалов. Для начинающих хакеров — самое то! Конечно, парни поопытнее предпочитают командную строку с кучей «магических» ключей и строгое разделение обязанностей. Они мыслят так: пусть у нас будет куча мелких утилит, каждая из которых делает что-то одно: кто-то грабит трафик, кто-то его декодирует, кто-то выдергивает из декодированного трафика пароли, а кто-то… короче, UNIX-way в чистом виде. 0x4553-Intercepter идет по пути интеграции (швейцарский нож типа «все в одном»), исповедуя концепции Windows, что, впрочем, совсем неудивительно, поскольку, он, собственно говоря, на Windows и ориентирован.

Грабеж трафика реализован через популярный пакет PCAP, перенесенный из мира UNIX'а в мир Windows. Достаточно многие снифферы устанавливают WinPCAP в систему, жестоко прописывая его на диске и в реестре, что в конечном счете приводит к конфликтам со многими приложениями, возникающих даже при незапущенном сниффере. 0x4553-Intercepter в этом плане предельно корректен. Библиотеки wpcap.dll и packet.dllон деловито носит за собой, динамически подгружая их из своего рабочего каталога строго по необходимости, а потому операционная система остается в нетронутой девственной целости.

Кстати, операционная система может быть любой из линейки NT — W2K, XP, S2K3 и, по заявлением разработчика, — Висла. Мыщъх третировал, тьфу, тестировал сниффер на S2K3 – полет нормальный. Вислы под рукой нет, проверять не на чем, хотя по слухам, циркулирующим на форумах, у WinPCAP'а с ней какие-то терки, так что не факт, что все заведется. Впрочем, Висла на хакерских машинах — явление редкое, если не сказать, исключительное, так что независимо от качества поддержки последней — это не есть проблема.К тому же, если копнуть вглубь, 0x4553-Intercepter не ограничивается одной лишь Windows, поддерживая возможность удаленного захвата трафика посредством RPCAP-демона, обычно устанавливаемого на шлюз локальной сети и грабящий весь трафик на входе/выводе во «внешний» мир. Поскольку, шлюзах нередко вращаются под управлением Linux'аили xBSD, то RPCAP-демон оказывается весьма полезным подспорьем. А без него сниффер превращается в игрушку, которой много не награбишь, особенно в сетях с интеллектуальными машртуизатрами, доставляющих пакеты только тем узлам, которым они непосредственно адресованы (впрочем, 0x4553-Intercepter способен грабить трафик даже в таких условиях, но об этом мы поговорим чуть позже), а пока вернемся к описанию базового функционала.

Рисунок 2 0x4553-Intercepter грабит трафик в «сыром» (raw) режиме

Снифферы первых поколений работали в так называемом «сыром» режиме (raw mode), захватывая весь (или не весь) пролетающий мимо них трафик, который потом приходилось растягивать на пакеты, сортируя их по номерам портов/типам протоколов, а затем еще и декодировать содержимое с учетом формата конкретного протокола. 0x4553-Intercepter не только отображает награбленное в удобночитаемом виде, но и способен «выхватывать» пароли (или их хэши) из следующих протоколов: ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, NNTP, CVS, TELNET, MRA, DC++, VNC, MYSQL, ORACLE.

Пароли, посланные открытым текстом «как есть» (они же «plain»), готовы к непосредственному использованию сразу же после перехвата. Стоп! Нельзя понимать написанное столь буквально. Конечно же не сразу после перехвата, а только после завершения текущей сессии легальным пользователем-жертвой, т. к. повторный вход в активную сессию в 99% случаев блокируется, что, впрочем, не представляет особой проблемы. С хэш-суммами дело обстоит намного хуже и без взлома (обычно осуществляемого методом перебора) тут не обойтись, однако, у большинства протоколов криптостойкость невелика, а современные компьютеры (особенно объеденные в boot-net'ы) — чрезвычайно мощны. Короче, эх, кони мои кони! Достаточно воспользоваться одной из многих хэш-ломалок (некоторые из которых можно скачать с www.insidepro.com) и запастись терпением. По понятным причинам (нельзя объять необъятное!) хэш-ломалки в состав 0x4553-Intercepter не входят.

Сниффер поддерживает множество популярных мессенджеров, отображая диалог в удобночитемом виде. В настоящий момент «перевариваются» следующие протоколы: ICQ, AIM, JABBER, YAHOO, MSN, GADU-GADU, IRC и MRA, причем в отличии от зарубежных снифферов, работающих преимущественно с ANSI-текстом, 0x4553-Intercepter выгодно отличается тем, что поддерживает кодировки UTF8\UTF16\RTF, используемые для передачи национальных символов (в том числе и кирилических). Мыщъх проверил: 0x4553-Intercepter корректно отображает не только русские, но даже китайские письмена и арабскую вязь, а вот с некоторыми европейскими языками имеются определенные трудности, поскольку они используют ANSI со своей локалью (читай — кодовой страницей), которая _не_ есть уникод и при попытке вывода на экран при текущей кирилической или американской локали такая мешанина получается… Но это не проблема 0x4553-Intercepter'а. Если в сети находятся два человека, общающиеся не через уникодовые мессенджеры (или через уникодовые, но с отличной от нас локалью), то мы должны через «региональные настройки» выбрать туже самую локаль, что у них, открыть текст, награбленный 0x4553-Intercepter'ом, в «Блокноте» и сохранить его как уникод, после чего можно возвращать русскую локаль на место и открывать файл чем угодно (читай — чем угодно, с поддержкой уникода, вот в частности, FAR позволяет просматривать уникодовые файлы по F3, но для их редактирования нужно установить специальный планиг, коих много). Кстати, китайские/японские неуникодовые клиенты так же используют ANSI, ну это, конечно, не совсем ANSI, точнее даже совсем не ANSI, но с точки зрения сниффера оно выглядит именно так и чтобы прочесть захваченный текст приходится опять-таки перенастраивать операционную систему на китайскую/японскую локаль.

Рисунок 3 китайская мессага, посланная в ANSI формате, отображаемая в системе с установленной китайской локалью (сверху), тот же самый текст, отображаемый в системе с установленной кирилической локалью

Тут, кстати говоря, самое время (и место!) сказать, что протокол и клиент совсем не одно и тоже. GTalk например, использует JABBER-протокол, и хотя отсутствует в данном списке, замечательно «захватывается» сниффером. Вообще же, клиентов много. Намного больше, чем протоколов. Некоторые клиенты (та же «Миринда») поддерживают целый легион протоколов и потому успешность перехвата зависит от того по какому протоколу треплется конкретный пользователь. Традиционная почта (в смысле SMTP/POP3) к мессенджерам не относится, но она так же захватывается и декодируется сниффером. К WEB-интерфейсу сказанное не относится и потому его приходится разгребать руками, лапами и хвостом…

Кстати, о птичках, то есть о хвостах. Для любителей поработать руками, в 0x4553-Intercepter предусмотрен старый добрый «сырой» режим, отображающий трафик в hex-виде (слева цифры, справа — символы), но прибегать к этому режиму обычно нет никакой нужды, поскольку, сырых граберов — от хвоста и больше, и в этом плане 0x4553-Intercepter им не конкурент, то есть, конкурент, конечно, но все-таки он ориентирован на совсем другой класс задач.

В арсенале 0x4553-Intercepter имеется множество убийственных технологий. Чего только один «eXtreme mode» стоит. В этом режиме снифер грабит весь трафик, определяя типы протоколов не по номерам портов, которые могут быть изменены, а по их содержимому (естественно, поскольку искусственный интеллект еще не изобретен, возможны ошибки — как позитивные, т. е. захват «левых» пакетов, так и негативные — т.е. пропуск полезных пакетов, однако, достаточно выловить всего лишь несколько пакетов, чтобы определить порт, зная который, можно грабить трафик и в обычном режиме). Главным образом эта фича полезна для выявления Proxy- и FTP-серверов. Остальные сервисы работают с более или менее предсказуемыми портами. POP3/SMTP на нестандартных портах встречаются крайне редко, а вот приватный FTP на нестандартном порте (типа, чтобы не засекли и не ломились всякие левые личности) — явление вполне нормальное.

Награбленный трафик может быть сохранен в pcap-формате (стандарт де-факто среди снифферов) и подвергнут дальнейшему анализу в утилитах, извлекающих информацию, которую не извлек 0x4553-Intercepter. Как правило, это взломщики паролей, работающие с протоколами неизвестными 0x4553-Intercepter'у, к которым относятся многие беспроводные протоколы и нестандартные протоколы реализованные неизвестно кем и неизвестно для чего. В любом случае, возможность экспорта трафика в общепринятый формат не помешает, тем более, что 0x4553-Intercepter с радостью импортирует в себя pcap-дампы, собранные другими снифферами, ловко грабящими трафик но не знающими, чего с такого хорошо с ним можно сделать (где искать пароли, как декодировать сообщения мессенджеров и т. д.)

Помимо чисто снифферных функций, 0x4553-Intercepter располагает рядом весьма соблазнительных фич. Начнем с банального обнаружения узлов, которое в данном случае осуществляется отнюдь не тупым сканированием перебором IP-адресов (даже мааааленькая локальная сеть класса С сканируется ну очень долго, плюс на узле могут быть закрыты все порты и запрещен ответ на ping). 0x4553-Intercepter посылает широковещательный ARP-запрос, требуя, чтобы все узлы, которые его получили, сообщили свои IP-адреса. Быстро и эффективно. Это вполне легальная операция, на которую системы обнаружения вторжением смотрят сквозь пальцы, ну разве что хакер не начнет от нечего делать слать запросы один за другим, что выглядит весьма подозрительно.

Рисунок 4 0x4553-Intercepter обнаруживает узлы локальной сети, выявляя активные снифферы, многие из которых в действительности представляют собой сторожевые системы

Причем, 0x4553-Intercepter способен выявлять остальных снифферов, многие из которых с формальной точки зрения представляют собой брандмауэры или те же самые системы обнаружения вторжений. Вот такие, с позволения сказать, «честные» снифферы в локальной сети, высаживающие администратора на измену и делающие эту фичу совершенно бесполезной для него (вменяемые злоумышленники давно используют стелс-снифферы, требующие небольшой доработки сетевой карты, чтобы она не реагировала на пакеты, которые предназначены не ей, и простейший способ заткнуть ей рот — перерезать передающий провод в витой паре, правда будучи запущенным на такой карте 0x4553-Intercepter потеряет добрую половину функционала). А вот для хакеров функция обнаружения снифферов — самое то. Даже если это не система защиты, а просто человек-со-сниффером, он явно не ламер и лучше его узел не трогать, а то ведь можно и огрести. Еще неизвестно кто круче окажется — он или мы.

Интегрированный перепрограмматор MAC-адресов — вещь полезная, хотя и без нее имеется куча утилит аналогичного назначения, в том числе и входящих в состав большинства (если не всех) дистрибутивов Linux'а и xBSD. В крупных локальных сетях идентификация хакера, как правило, осуществляется по номеру порта марштутизатора, в который воткнут его сетевой кабель, причем, специальная сторожевая программа следит за соответствием MAC-адресов и номеров физических портов маршрутизатора, а потому от возмездия не уйти. Ну разве что добраться до марштуизатора и на время атаки переткнуть соседние кабели, поменяв их местами. А вот в маленьких локальных сетях (особенно с приходящими администраторами) ситуация совершенно иная. Огромное количество таких типа «администраторов» о MAC-адресах только слышали, но так и не врубились зачем они нужны, ведь у нас есть замечательный лог в котором записаны IP!

Администраторы поумнее устанавливают разнообразные системы обнаружения вторжений, отображающие MAC-адреса потенциальных нарушителей и если хакер изменит свой MAC, то найти его будет весьма проблематично. Хотя не стоит забывать, что чем умнее администратор, тем более глупым он стремиться выглядеть. А зачем ему понты кидать? Зато когда нагружают непрофильной работой, то отмазка: «не знаю, не умею, и вообще совсем не в теме» — работает железно. Кстати то же самое относится к хакерам. Чтобы хакерствовать, оставаясь при этом на свободе при всех своих (бригада каратистов быстрого реагирования пролетает мимо), достаточно пригнуться лаптем или поленом, прущимся от Visual Basic'а и шепотом называющей ATL-CTRL-DEL хакерской комбинацией.

Рисунок 5 определение MAC-адреса нарушителя при помощи популярного пакета Colasoft Capsa, используемого многими администраторами

Сниффер полезен не только для перехвата чужих данных, но так же и для анализа циркулирующего локального трафика. С его помощью можно понять кто и куда ломится с нашей машины, например, какие данные передает система при входе в сеть. Аналогичным образом вылавливаются спам боты (особенно при сниффе со шлюза) — в логе друг за другом идет отображение перехваченных писем. Шлюзовой перехват в этом плане очень хорош тем, что его крайне трудно замаскировать, в то же самое время, если зловредная программа запущена на одной машине со сниффером она может ему весьма эффективно противостоять и потому если сниффер говорит, что в «Багдаде все спокойно», вовсе не факт, что нас уже не поимели.

У 0x4553-Intercepter есть еще одна очень полезная фича. Cain и Ufasoft sniffer при загрузке pcap-дампов «подвисают» на время их обработки, не предоставляя никаких рычагов управления для управления процессом и ничего не отображая на экране. 0x4553-Intercepter показывает текущий статус загрузки в пакетах/процентах, выводя данные (появляющиеся буквально на глазах) параллельно с их загрузкой. Можно созерцать, а можно переключиться в другой режим, занявшись делом, или просто прерывать загрузку дампа, если нам уже понятно, что ничего интересного в нем все равно нет.

Без ложной скромности 0x4553-Intercepter претендует на роль одного из лучших снифферов, ориентированного на молодое поколение хакеров, влюбленных в графический интерфейс и шарахающихся от командной строки как ладан от дьявола. Консольные снифферы их не удовлетворяют, а необходимость обрабатывать награбленный трафик кучей различных утилит — просто бесит. Что ж, спрос рождает предложение и желающие наконец обрящут то, что они так давно и безуспешно искали.

А если возникнут какие-то непонятки — то это RFTM. Курим мануал в смысле путем нажатия на F1 или открываем справку, находящуюся в файле help.chm, написанном на международном хакерском языке. Английском в смысле, научиться трепаться на котором намного проще, чем освоить кодинг на ассемблере. Ну а для совсем ленивых — машинные переводчики есть.

Ну а там с графического интерфейса и до командной строки недалеко. Главное — ведь это понять основные концепции, врубится в тему, втянувшись в первые эксперименты (а экспериментировать с 0x4553-Intercepter сниффером можно оччччень долго). Когда же его функционала и гибкости будет недоставать — вот тогда и только тогда следует всерьез задумываться об установке Linux/xBSD и доработке имеющихся снифферов, распространяемых в исходных текстах.

Рисунок 6 сниффер — русский, а мануал — английский. для затяжного раскуривания

  1. Cain – бесплатный, отлично работает, но в плане перехвата данных существенно уступает 0x4553-Intercepter'у по функционалу;
  2. ettercap + dsniff — обе древние, неудобные, да еще и с кучей глюков и багов. в топку!
  3. give me too + tamosoft netresident — оба платные, и качество сомнительное.
  1. максимально большое (среди существующих аналогов) количество поддерживаемых сервисов, у которых перехватываются пароли в открытом виде или их хэш-суммы;
  2. максимально большое (среди существующих аналогов) количество поддерживаемых мессенджеров, у которых перехватываются сообщения и отображаются в удобочитаемом виде;
  3. продвинутая обработка OSCAR протокола (используемого ICQ\AIM мессенджерами), учитывающая ряд тонких особенностей, приводящих к потере сообщений у большинства конкурирующих снифферов (и, в частности, ufasoft im sniffer);
  4. для ICQ\AIM\JABBER предусмотрен декодинг UTF8\UTF16\RTF сообщений, что полезно при перехвате национальных сообщений (читай — написанных не по-английски);
  5. зарубежные MSN\GADU-GADU\YAHOO захватываются как есть, без декодинга, поскольку идут в ASCII;
  6. 100% перехват сообщений от mail.ru agent (зарубежные снифферы его вообще не хавают, поскольку не знают, что есть на российских просторах такой зверь);
  7. поддерживается сохранение перехваченные POP3/SMTP сообщений в .eml формате, что позволяет одним щелчком мыши импортировать их в любой почтовый клиент (Outlook Express, The Bat!);
  8. качество обработки протоколов на порядок выше, чем у конкурирующих сниферов: там где cain или ettercap ничего не видит, 0x4553-Intercepter свободно «вытягивает» пароль;
  9. поддерживается уникальный режим «экстремального» сканирования (eXtreme mode), при котором снифферу достаточно указать целевой протокол без специфицирования порта — 0x4553-Intercepter будет просматривать весь трафик, автоматически «вылавливая» пакеты, относящиеся к данному протоколу, путем анализа их содержимого;
  10. поддерживается удаленный грабеж трафика через RPCAP демона, устанавливаемого на Linux/xBSD или Windows-узлах (предпочтительнее всего — на шлюзе);
  11. награбленный трафик может быть сохранен в популярном pcap-формате, «перевариваемом» многими сторонними анализаторами;
  12. так же поддерживается загрузка pcap-дампов, полученных другим сниффером, с их последующей обработкой на предмет отображения содержимого протоколов в удобночитаемом виде, поиске паролей и т.д.;
  13. имеется поддержка GRE\PPPOE\WIFI инкапсуляций;
  14. прочие полезные функции, напрямую не относящиеся к сниффингу, но косвенно связанные с ним:
    1. ARP SCAN — поиск узлов в выбранной подсети, осуществляемый широковещательной посылкой ARP-запросов (легальный примем);
    2. DHCP DISCOVERY — поиск DHCP-серверов (уникальная возможность отсутствующая у конкурирующих снифферов). Знание адреса DHCP-сервера открывает путь ко многим видам атак, в том числе связанных и с перехватом трафика в сетях с интеллектуальными маршрутизаторами;
    3. PROMISCUOUS SCAN — поиск узлов, работающий в «неразборчивом» режиме, то есть принимающих все пролетающие мимо них пакеты, даже если они адресованы другим узлам, что (теоретически) позволяет выявить активных снифферов, а практически дает множество ложных срабатываний, конфликтуя с брандмауэрами и другим программным обеспечением, как правило, предназначенным для выявления атак и не афиширующих тот факт, что они захватывают посторонний трафик;
    4. в последующих версиях планируется добавить автоматический поиск Интернет-шлюза;
    5. реализован встроенный «перепрограмматор» MAC-адресов сетевых карт, воткнутых в локальную машину, что до некоторой степени затрудняет поиск злоумышленника, однако, не стоит переоценивать его возможности, поскольку администратор может со 100% надежностью определить отправителя «зловредных» пакетов по порту марштутизатора, куда воткнут кабель, ведущий к сетевой карте хакера, однако, об этом трюке осведомлены далеко не все администраторы и штатные средства порты марштуизатора не отображают;
    6. интегрирован модуль для атаки типа «ARP POISON», выявляемой многими системами обнаружения вторжений, а потому реально работающей только в незащищенных локальных сетях;

Рисунок 7 в первом релизе имеются недоделанные функции в стиле «under construction»

  1. http://intercepter.nerf.ru/__: - официальный сайт программы, откуда всегда можно утянуть самую свежую версию вместе с документацией; - http://www.colasoft.com/download/arp_flood_arp_spoofing_arp_poisoning_attack_solution_with_capsa.php____:__
    1. разъяснение сути ARP-poison атаки, реализуемой 0x4553-Intercepter'ом в качестве небольшого довеска к основному функционалу (на английском языке с видео-презентацией);
  2. http://en.wikipedia.org/wiki/ARP_spoofing__: - ARP-атаки на wiki (на английском языке); - http://www.omniglot.com/links/translation.htm__:
    1. бесплатный on-line переводчик (поможет прочитать хелп тем, кто не дружит с английским и не только прочитать, но даже и проговорить приятным женским войсом — это уже для сооовсем ленивых);