|
Awe mini sniffer 4.1
[download]
Sniffer
completo, plataforma win32, captura pacotes em tráfego,
visualizador em hex e ascII, opções de salvar log, lookup (IP/Nome
do Host), endereços MAC e analise em geral, IP, kbps, contador de
pacotes enviados/recebidos etc. Primeiro sniffer brasileiro para
plataformas Win32.
Informações Adicionais:
Ainda não roda em Windows XP e 2000. Nessa atualização foram
corrigidos vários bugs, e é aconselhável a todos os já usuários
a atualizar para essa versão 4.1.
Roda em Windows 95, 98, NT, ME
File Sniffer Lite 1.5
[download]
Programa que dá uma fuçada
nos seus HDs e te mostra quais arquivos não estão sendo usados no seu
computador há mais de 30 dias. Ou 300 dias, tanto faz. Por ai você
pode até deletar alguns que sabe que só estão ali ocupando espaço
precioso. Possui utilitário de instalação e desinstalação.
PacketLog 1.5
[download]
Verifique como os dados
trafegam pela sua conexao Internet. Este programa, permite gerar um arquivo,
chamado LOG.TXT, no qual contera toda a informacao enviada/recebida pela
Internet. Toda comunicacao da porta 80 (HTTP), sera desviada para o PACKETLOG.EXE,
via porta 1234, fazendo os dados trafegarem normalmente. Caso seu sistema seja o
Windows 95, sera necessario ter o Winsock 2 instalado.
Sniffers by Xfaulz
Introdução
Basicamente um packet sniffer é um programa que captura os pacotes que estão
trafegando na rede e os exibe na tela ou armazena em disco para uma análise
posterior. Apesar desta aparente mal intencionada função, as primeiras
ferramentas de sniffing foram criadas com o objetivo de ajudar na administração
de redes.
O que é um sniffer?
Assim como outras ferramentas que acabaram virando um interessante brinquedo
para qualquer candidato a invasor, o sniffer já era transparente aos
dispositivos da rede (um port scanner por exemplo pode ser registrado nos
roteadores), quase impossível de se detectar e acabou se tornando uma das mais
utilizadas ferramentas com propósitos não éticos.
Mas como um programa destes funciona e consegue ter este tipo de acesso
privilegiado à rede? Para entender é necessário lembrar como as redes
Ethernet funcionam. Quem já fez algum curso/disciplina de redes locais conhece
a forma como os adaptadores Ethernet acessam o meio físico, através do CSMA/CD
(Carrier Sense Multiple Access/Collision Detect), ou seja, todos os adaptadores
competem entre si para transmitir dados e quando dois ou mais tentam fazê-lo ao
mesmo tempo há uma colisão, todos ficam calados por um tempo para depois
transmitirem.
E por todos usarem o mesmo meio físico para transmitir, por consequência, o
mesmo é usado também para receber. Assim cada adaptador fica
"escutando" o meio físico (no nosso caso o cabo), carregando cada
frame que aparece por lá, comparando o endereço de destino deles, estampado no
início de cada pacote, com o endereço gravado na sua ROM e tratando-o. Estes
sendo iguais passa adiante (para a camada acima, seja ela IP, IPX, etc...), senão
o frame é descartado e começa-se tudo de novo. Este endereço é o MAC (Media
Access Control), também conhecido como endereço de hardware, um número único
que identifica cada adaptador gravado diretamente pelo fabricante (as operações
se baseiam nessa unicidade).
Quando se utiliza um programa de sniffing o adaptador tem seu funcionamento
alterado passando a funcionar no chamado "modo promíscuo", ou seja,
independente do endereço de destino do frame ser igual ou não ao da placa, ele
é lido como se fosse dele. É o equivalente ao grampo telefônico, só que em
escala muito maior pois, dependendo da forma como a rede foi montada, todos que
estão ligados nela vão estar vulneráveis.
-------------------------------------------------------------------------------
Técnicas
Dependendo do volume de tráfego na rede, alguns minutos de sniffing são mais
que necessários para conseguir quantidade suficiente de informações desde as
mais comuns como as senhas de acesso ou números de cartão de crédito dos usuários
até trechos de documentos sigilosos da empresa armazenados, por segurança, no
servidor de arquivos. De posse dessas informações os usos vão desde simples
fraude até espionagem industrial.
E para ter acesso a tudo isto um invasor externo precisa apenas invadir alguma máquina
dentro rede, seja explorando alguma falha de segurança ou até mesmo mandando
um "cavalo de Tróia" para algum usuário incauto do lado de dentro.
Mas até aí tudo bem, basta investir em um bom sistema de segurança com
firewall, IP Masquerading, etc... escondendo totalmente a rede interna do mundo
exterior. Mas e quanto ao invasor interno? Para um usuário de dentro da rede
executar um sniffing basta querer, ainda mais sabendo que vai ser difícil de
alguém descobrir.
Mas os programas de sniffing não são de todo mal. Muitas vezes precisamos
saber como determinados serviços estão se comportando na rede, principalmente
os que não possuem um sistema eficiente de logging como o SMB (Service Message
Block, as "redes de windows") ou serviços mais ligados à camada física
como ARP, RARP, BOOTP, DHCP, etc. Nestes casos é bem mais eficiente analisar o
que trafegou pela rede à ficar tentando entender o motivo pelo qual, apesar de
tudo estar configurado corretamente, as coisas teimam em não funcionar como
deveriam.
Outra função prática, seguindo a filosofia do combater fogo com fogo, é a de
usá-lo para descobrir que tipo de recursos um provável invasor está usando.
Quem é (ou pelo menos quem diz ser), quem está tentando atacar, que portas está
usando, qual o método de ataque, etc.
Conclusão
Para GNU/Linux existem vários programas de sniffing , isto graças a libpcap
que faz boa parte do trabalho. Basta uma pesquisa rápida por sniffer no
FreshMeat para se ter idéia disto. No próximo artigo, além de explicar quem
é essa tal de libpcap , inclusive demonstrando como é um ataque de sniffing e
como pode-se bloquear, ou pelo menos restringir, a ação deles. Nao perca!
Sniffers by Xfaulz
|
