Ievads un uzstādīšana Netsniff
A sniffer ir rīks, ko izmanto, lai uztvertu datplūsmas paketes no tīkla un analizētu paketes tiešraidē, kamēr tiek izmantots viens vai vairāki tīkli, tas tos atšifrē saskaņā ar protokola specifikācijām, kas var būt TCP, ICMP vai cits. Programmatūra Netsniff-ng ir rīku kopums, tā ir bezmaksas un darbojas operētājsistēmā Linux.
Tā veiktspēja ir ļoti augsta, jo tā darbojas no komandrindas, tāpēc pakešu saņemšana un pārsūtīšana tiek veikta tieši datora vai servera atmiņā. Netsniff-ng tika izveidots kā tīkla sniffer jāiekļauj tīkla kodolu Linux kodolā.
Netsniff-ng, uztveriet visu satiksmi reālā laikā un ģenerē failus pcap formātā, kurus pēc tam var analizēt, izmantojot Wireshark programmatūru. Rīks netsniff-ng ir pieejams visiem operētājsistēmu izplatījumiem, piemēram, Linux Ubuntu, Debian, Fedora un to atvasinājumiem. Mēs to varam atrast arī īpašos kriminālistikas uzdevumu sadalījumos.
Šajā apmācībā mēs pieņemsim Ubutnu izplatīšanu, un mēs redzēsim divus instalēšanas veidus, vienu no krātuvēm:
sudo apt-get instalēt netsniff-ng
Otrs instalēšanas veids ir lejupielādēt lietojumprogrammu no oficiālās vietnes http: //pub.netsniff-… rg / netsniff-ng / un unzip un pēc tam piekļūt mapei un izpildīt šādas komandas:
sh ./configure make sudo make installTālāk mēs redzēsim, kā uztvert trafiku, šim nolūkam mums ir jāpiešķir tīkla interfeiss, kuru mēs vēlamies analizēt, piemēram, eth0 wlan0 kabeļa savienojumam wifi, tāpēc mēs izmantosim šādas komandas:
sudo netsniff-ng -i eth0-out /home/myuser/capture-eth0.pcap
Mēs izmantojam -tut, lai saglabātu visus uzņemtos failus pcap failā, ko pēc tam varam atvērt, izmantojot Wireshark. Dosimies uz izvēlni Fails> Atvērt un mēs importējam ģenerēto pcap failu.
Tad mēs varam sākt analizēt, piemēram, mēs meklēsim datplūsmu, kas radīta Solvetic lapā.
Mēs redzam, ka no eth0 tīkla saskarnes tas pārlūkoja http, Solvetic apmācību lapā var redzēt, ka tas tika darīts no pārlūka Chrome un kāds ir IP, no kura tas tika pārlūkots.
Šis rīks ļauj uztvert paketes no ierīces, kas pievienota tīklam, un izveidot failus ar visu PCAP, šo failu ar uztveršanu var izmantot arī, lai uztvertu tikai vienu protokolu, kas mūs interesē, piemēram, TCP, tas ir, mēs uztveram tikai datplūsmu, kas ievada caur interfeisu eth0 un nosūta to uz failu.
netsniff -ng -in eth0 -out traps -tcp -eth0.pcap -s tcp
Mēs redzam, ka šajā gadījumā mēs uztveram visas paketes, kurās tiek izmantoti TCP un HTTP protokoli, kas tiek pārsūtīti caur eth0 tīkla saskarni. Izmantojot parametru, mēs norādām, ka uztvertā datplūsma tiks saglabāta pcap failā, mēs varētu norādīt arī citu tīkla saskarni, lai novirzītu trafiku no viena tīkla uz citu.
Iepriekšējais1. lapa no 3Nākamais