HTTPNetworkSniffer عبارة عن أداة شمع للحزم تلتقط جميع طلبات / استجابات HTTP المرسلة بين مستعرض الويب وخادم الويب وتعرضها في جدول بسيط. لكل طلب HTTP ، يتم عرض المعلومات التالية: اسم المضيف ، طريقة HTTP (GET ، POST ، HEAD) ، مسار URL ، وكيل المستخدم ، رمز الاستجابة ، سلسلة الاستجابة ، نوع المحتوى ، المرجع ، ترميز المحتوى ، ترميز النقل ، اسم الخادم ، طول المحتوى وسلسلة ملفات تعريف الارتباط والمزيد ...

يمكنك بسهولة تحديد واحد أو أكثر من خطوط معلومات HTTP ، ثم تصديرها إلى ملف نصي / html / xml / csv أو نسخها إلى الحافظة ثم لصقها في Excel.

متطلبات النظام

• تعمل هذه الأداة على أي إصدار من Windows ، بدءًا من Windows 2000 وحتى Windows 10 ، بما في ذلك أنظمة 64 بت.
• مطلوب أحد برامج تشغيل الالتقاط التالية لاستخدام HTTPNetworkSniffer:
  • WinPcap Capture Driver: WinPcap هو برنامج تشغيل التقاط مفتوح المصدر يسمح لك بالتقاط حزم الشبكة على أي إصدار من Windows. يمكنك تنزيل برنامج تشغيل WinPcap وتثبيته من صفحة الويب هذه.
  • Microsoft Network Monitor Driver الإصدار 2.x (فقط لأنظمة التشغيل Windows 2000 / XP / 2003): توفر Microsoft برنامج تشغيل التقاط مجاني تحت Windows 2000 / XP / 2003 يمكن استخدامه بواسطة HTTPNetworkSniffer ، لكن برنامج التشغيل هذا غير مثبت افتراضيًا ، وأنت يجب تثبيته يدويًا ، باستخدام أحد الخيارات التالية:
    • الخيار 1: قم بتثبيته من القرص المضغوط لنظام التشغيل Windows 2000 / XP وفقًا للإرشادات الموجودة في موقع Microsoft على الويب
    • الخيار 2 (XP فقط): قم بتنزيل وتثبيت أدوات دعم Windows XP Service Pack 2. إحدى الأدوات الموجودة في هذه الحزمة هي netcap.exe. عند تشغيل هذه الأداة في المرة الأولى ، سيتم تثبيت برنامج تشغيل مراقب الشبكة تلقائيًا على نظامك.
  • الإصدار 3.x من برنامج تشغيل مراقب شبكة الاتصال من Microsoft: توفر Microsoft إصدارًا جديدًا من برنامج تشغيل Microsoft Network Monitor (3.x) المدعوم أيضًا ضمن Windows 7 / Vista / 2008.
    يتوفر الإصدار الجديد من Microsoft Network Monitor (3.x) للتنزيل من موقع Microsoft على الويب.
• يمكنك أيضًا محاولة استخدام HTTPNetworkSniffer دون تثبيت أي برنامج تشغيل ، وذلك باستخدام طريقة "Raw Sockets". لسوء الحظ ، فإن طريقة Raw Sockets بها العديد من المشكلات:
  • لا يعمل في جميع أنظمة Windows ، اعتمادًا على إصدار Windows وحزمة الخدمة والتحديثات المثبتة على نظامك.
  • في Windows 7 مع تشغيل UAC ، تعمل طريقة "Raw Sockets" فقط عند تشغيل HTTPNetworkSniffer مع "تشغيل كمسؤول".

القيود المعروفة

• يتعذر على HTTPNetworkSniffer التقاط بيانات HTTP الخاصة بموقع ويب آمن (HTTPS)

تاريخ الإصدارات

• الإصدار 1.63:
  • علة ثابتة من الإصدار 1.62: تعطل HTTPNetworkSniffer عند تحديد واجهة الشبكة بدون معلومات الاتصال.
• الإصدار 1.62:
  • يتم الآن عرض معلومات محول الشبكة المحدد في عنوان النافذة.
• الإصدار 1.61:
  • تمت إضافة خيار سطر الأوامر / cfg ، والذي يوجه HTTPNetworkSniffer لاستخدام ملف تكوين في موقع آخر بدلاً من ذلك إذا كان ملف التكوين الافتراضي ، على سبيل المثال:
    HTTPNetworkSniffer.exe / cfg "٪ AppData٪ \ HTTPNetworkSniffer.cfg"
• الإصدار 1.60:
  • تمت إضافة خيار "المسح عند بدء الالتقاط". يمكنك إيقاف تشغيله إذا كنت لا تريد مسح العناصر السابقة عند إيقاف الالتقاط والبدء من جديد.
  • تمت إضافة ميزة "التصفية السريعة" (عرض -> استخدام عامل التصفية السريع أو Ctrl + Q). عند تشغيله ، يمكنك كتابة سلسلة في مربع النص المضاف أسفل شريط الأدوات وسيقوم HTTPNetworkSniffer على الفور بتصفية عناصر HTTP ، مع إظهار الأسطر التي تحتوي على السلسلة التي كتبتها فقط.
• الإصدار 1.57:
  • تمت إضافة "حفظ كل العناصر" (Shift + Ctrl + S).
• الإصدار 1.56:
  • يقوم HTTPNetworkSniffer الآن تلقائيًا بتحميل الإصدار الجديد من برنامج تشغيل WinPCap من https://nmap.org/npcap/ إذا كان مثبتًا على نظامك.
• الإصدار 1.55:
  • تمت إضافة عمودين لطلب HTTP: "قبول" و "نطاق".
• الإصدار 1.51:
  • يحاول HTTPNetworkSniffer الآن تحميل dll لبرنامج تشغيل مراقب الشبكة 3.x (NmApi.dll) وفقًا لمسار التثبيت المحدد في HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Netmon3. يجب أن يحل هذا التغيير مشكلة تحميل برنامج تشغيل مراقب الشبكة 3.x على بعض الأنظمة.
• الإصدار 1.50:
  • تمت إضافة 4 أعمدة إلى قائمة المحولات في نافذة "خيارات الالتقاط": "اسم الاتصال" ، "عنوان MAC" ، "معرف المثيل" ، "دليل الواجهة".
  • عند استخدام برنامج تشغيل WinPCap ، يعرض HTTPNetworkSniffer الآن معلومات أكثر دقة في قائمة المحولات في نافذة "خيارات الالتقاط".
• الإصدار 1.47:
  • تمت إضافة خيار "أعمدة الحجم التلقائي عند كل تحديث".
• الإصدار 1.46:
  • تمت إضافة خيار للتصدير إلى ملف JSON.
• الإصدار 1.45:
  • تمت إضافة خيار "Always On Top".
  • تمت إضافة دعم الفرز الثانوي: يمكنك الآن الحصول على فرز ثانوي ، عن طريق الضغط باستمرار على مفتاح Shift أثناء النقر فوق رأس العمود. اعلم أنه عليك فقط الضغط باستمرار على مفتاح Shift عند النقر فوق العمود الثاني / الثالث / الرابع. لفرز العمود الأول ، يجب ألا تضغط باستمرار على مفتاح Shift.
• الإصدار 1.41:
  • يتيح لك HTTPNetworkSniffer الآن تشغيله كمسؤول (ضمن Windows Vista / 7/8 مع UAC)
• الإصدار 1.40:
  • يتيح لك HTTPNetworkSniffer الآن إضافته تلقائيًا إلى قائمة البرامج المسموح بها لجدار حماية Windows عند البدء في التقاطه وإزالته عند التوقف عن الالتقاط. هذا الخيار مطلوب عند استخدام طريقة الالتقاط "Raw Socket" أثناء تشغيل جدار حماية Windows ، لأنه إذا لم تتم إضافة HTTPNetworkSniffer إلى جدار حماية Windows ، فلن يتم التقاط حركة المرور الواردة على الإطلاق ، وبالتالي لا يعمل HTTPNetworkSniffer بشكل صحيح.
• الإصدار 1.36:
  • تمت إضافة أسماء الأعمدة ("عنوان IP" و "اسم المحول") إلى قائمة المحولات في نافذة "خيارات الالتقاط".
• الإصدار 1.35:
  • التكامل الإضافي مع المنفعة
• الإصدار 1.32:
  • تمت إضافة خيار "إظهار الوقت في GMT".
• الإصدار 1.31:
  • علة ثابتة: لم يتم حفظ خانة الاختيار "الوضع المشوش" في نافذة "خيارات الالتقاط" في ملف التكوين.
• الإصدار 1.30:
  • تمت إضافة عمود "وقت الاستجابة" ، الذي يحسب ويعرض الوقت (بالملي ثانية) المنقضي بين لحظة إرسال العميل لطلب HTTP ولحظة تلقي العميل استجابة خادم HTTP.
    للحصول على نتيجة أكثر دقة في هذا العمود ، يوصى باستخدام برنامج تشغيل WinPcap أو برنامج تشغيل Microsoft Network Monitor (الإصدار 3.4 أو أحدث) لالتقاط الحزم.
• الإصدار 1.27:
  • تمت إضافة خيار "التمرير لأسفل على الخط الجديد". إذا تم تشغيله ، يقوم HTTPNetworkSniffer بالتمرير تلقائيًا إلى الأسفل عند إضافة سطر جديد.
• الإصدار 1.26:
  • تم إصلاح مشكلة الخفقان في Windows 7.
• الإصدار 1.25:
  • تمت إضافة خيار "تحميل من ملف الالتقاط". يسمح لك بتحميل ملف الالتقاط الذي تم إنشاؤه بواسطة WinPcap / Wireshark (يتطلب برنامج WinPcap) أو ملف الالتقاط الذي تم إنشاؤه بواسطة برنامج تشغيل Microsoft Network Monitor (يتطلب برنامج تشغيل Network Monitor 3.x) ويعرض البيانات الملتقطة بتنسيق HTTPNetworkSniffer.
  • تمت إضافة خيارات سطر الأوامر / load_file_pcap و / load_file_netmon.
• الإصدار 1.22:
  • تمت إضافة خيار "تمييز الصفوف الفردية / الزوجية" ضمن قائمة العرض. عند تشغيله ، يتم عرض الصفوف الفردية والزوجية بألوان مختلفة ، لتسهيل قراءة سطر واحد.
• الإصدار 1.21:
  • تمت إضافة خيار "أعمدة الحجم التلقائي + الرؤوس" ، والذي يسمح لك بتغيير حجم الأعمدة تلقائيًا وفقًا لذلك الصفالقيم ورؤوس الأعمدة.
  • المشكلة التي تم إصلاحها: فتح مربع حوار الخصائص والنوافذ الأخرى في الشاشة الخاطئة على نظام الشاشات المتعددة.
• الإصدار 1.20:
  • تمت إضافة عمود URL.
  • خطأ ثابت: عند فتح مربع الحوار "خيارات الالتقاط" بعد تحديد برنامج تشغيل مراقب الشبكة 3.x مسبقًا ، عاد HTTPNetworkSniffer إلى وضع Raw Sockets.
• الإصدار 1.15:
  • تمت إضافة عمود جديد: وقت آخر تعديل.
• الإصدار 1.10:
  • تمت إضافة 3 أعمدة جديدة: الموقع ووقت الخادم ووقت انتهاء الصلاحية.
• الإصدار 1.06:
  • تم إصلاح مفتاح التسريع الخاص بـ "Stop Capture" (F6)
• الإصدار 1.05:
  • تمت إضافة خيار "نسخ عناوين URL" (Ctrl + U) ، والذي ينسخ عناوين URL لعناصر HTTP المحددة في الحافظة
• الإصدار 1.00 - الإصدار الأول.

ابدأ باستخدام HTTPNetworkSniffer

باستثناء برنامج تشغيل الالتقاط المطلوب لالتقاط حزم الشبكة ، لا يتطلب HTTPNetworkSniffer أي عملية تثبيت أو ملفات dll إضافية. من أجل البدء في استخدامه ، ما عليك سوى تشغيل الملف القابل للتنفيذ - HTTPNetworkSniffer.exe

بعد تشغيل HTTPNetworkSniffer في المرة الأولى ، تظهر نافذة "خيارات الالتقاط" على الشاشة ، ويطلب منك اختيار طريقة الالتقاط ومحول الشبكة المطلوب. في المرة التالية التي تستخدم فيها HTTPNetworkSniffer ، "سيبدأ الالتقاط تلقائيًا" الحزم مع طريقة الالتقاط ومحول الشبكة الذي حددته مسبقًا. يمكنك دائمًا تغيير "خيارات الالتقاط" مرة أخرى بالضغط على F9.

بعد اختيار طريقة الالتقاط ومحول الشبكة ، يلتقط HTTPNetworkSniffer ويعرض كل طلب / استجابة HTTP يتم إرسالها بين مستعرض الويب الخاص بك وخادم الويب البعيد.

خيارات سطر الأوامر

/ cfg	ابدأ HTTPNetworkSniffer بملف التكوين المحدد. على سبيل المثال: HTTPNetworkSniffer.exe / cfg "c: \ config \ hns.cfg" HTTPNetworkSniffer.exe / cfg "٪ AppData٪ \ HTTPNetworkSniffer.cfg"
/ load_file_pcap	يقوم بتحميل ملف الالتقاط المحدد ، الذي تم إنشاؤه بواسطة برنامج تشغيل WinPcap.
/ load_file_netmon	يقوم بتحميل ملف الالتقاط المحدد ، الذي تم إنشاؤه بواسطة برنامج تشغيل مراقب الشبكة 3.x.

التكامل مع IPNetInfo المساعدة

إذا كنت ترغب في الحصول على مزيد من المعلومات حول عنوان IP للخادم المعروض في الأداة المساعدة HTTPNetworkSniffer ، فيمكنك استخدام الأداة المساعدة Integration with IPNetInfo لعرض معلومات عنوان IP التي تم تحميلها مباشرةً من خوادم WHOIS بسهولة:

1. وتشغيل أحدث إصدار من.
2. حدد الاتصالات المطلوبة ، ثم اختر "IPNetInfo - Server IP" من قائمة "ملف" (أو ببساطة انقر فوق Ctrl + I).
3. سيقوم IPNetInfo باسترداد المعلومات حول عناوين IP للخادم الخاصة بالعناصر المحددة.

ترجمة HTTPNetworkSniffer إلى لغات أخرى

لترجمة HTTPNetworkSniffer إلى لغة أخرى ، اتبع الإرشادات أدناه:

1. قم بتشغيل HTTPNetworkSniffer مع المعلمة / savelangfile:
   HTTPNetworkSniffer.exe / savelangfile
   سيتم إنشاء ملف يسمى HTTPNetworkSniffer_lng.ini في مجلد الأداة المساعدة HTTPNetworkSniffer.
2. افتح ملف اللغة الذي تم إنشاؤه في Notepad أو في أي محرر نصوص آخر.
3. ترجمة كافة إدخالات السلسلة إلى اللغة المطلوبة. اختياريًا ، يمكنك أيضًا إضافة اسمك و / أو ارتباط إلى موقع الويب الخاص بك. (قيم TranslatorName و TranslatorURL) إذا قمت بإضافة هذه المعلومات ، فسيتم استخدامها في نافذة "حول".
4. بعد الانتهاء من الترجمة ، قم بتشغيل HTTPNetworkSniffer ، وسيتم تحميل كافة السلاسل المترجمة من ملف اللغة.
   إذا كنت تريد تشغيل HTTPNetworkSniffer بدون الترجمة ، فما عليك سوى إعادة تسمية ملف اللغة أو نقله إلى مجلد آخر.

رخصة

يتم تحرير هذه الأداة المساعدة كبرنامج مجاني. يُسمح لك بتوزيع هذه الأداة بحرية عبر قرص مرن أو قرص مضغوط أو الإنترنت أو بأي طريقة أخرى ، طالما أنك لا تتقاضى أي رسوم مقابل ذلك ولا تبيعه أو توزعه كجزء من الإعلانات التجارية المنتج. إذا قمت بتوزيع هذه الأداة المساعدة ، يجب عليك تضمين جميع الملفات في حزمة التوزيع ، دون أي تعديل!

تنصل

يتم توفير البرنامج "كما هو" بدون أي ضمان ، صريحًا أو ضمنيًا ، بما في ذلك ، على سبيل المثال لا الحصر ، الضمانات الضمنية الخاصة بالتسويق والملاءمة لغرض معين. لن يكون المؤلف مسؤولاً عن أي أضرار خاصة أو عرضية أو تبعية أو غير مباشرة بسبب فقدان البيانات أو لأي سبب آخر.

استجابة

إذا كانت لديك أي مشكلة أو اقتراح أو تعليق أو وجدت خطأ في الأداة المساعدة الخاصة بي ، فيمكنك إرسال رسالة إلى [بريد إلكتروني محمي]

تنزيل HTTPNetworkSniffer (إصدار 32 بت)

تنزيل HTTPNetworkSniffer (إصدار x64)

HTTPNetworkSniffer متاح أيضًا بلغات أخرى. لتغيير لغة HTTPNetworkSniffer ، قم بتنزيل ملف مضغوط للغة المناسبة ، واستخرج "httpnetworksniffer_lng.ini" ، وضعه في نفس المجلد الذي قمت بتثبيت الأداة المساعدة HTTPNetworkSniffer فيه.

لغة	تمت الترجمة بواسطة	تاريخ	إصدار

يعتمد أي تتبع عبر الإنترنت على استخدام تقنيات الشم (محللات حزم الشبكة). ما هو الشم؟

المتشمم هو برنامج كمبيوتر أو جزء من جهاز كمبيوتر يمكنه اعتراض وتحليل حركة المرور التي تمر عبر شبكة رقمية أو جزء منها. يلتقط المحلل جميع التدفقات (اعتراضات وتسجيل حركة مرور الإنترنت) ، وإذا لزم الأمر ، يقوم بفك تشفير البيانات وحفظ معلومات المستخدم المرسلة بالتسلسل.

الفروق الدقيقة في استخدام التتبع عبر الإنترنت عبر المتشممون.

على قناة البث لشبكة الكمبيوتر الخاصة بالمستخدم LAN (شبكة المنطقة المحلية) ، اعتمادًا على بنية الشبكة (مفتاح التبديل أو لوحة الوصل) ، يعترض المتشممون حركة المرور إما من الشبكة الصادرة بالكامل أو من جزء منها من كمبيوتر محمول أو كمبيوتر واحد. ومع ذلك ، باستخدام طرق مختلفة (على سبيل المثال ، انتحال ARP) من الممكن تحقيق حركة مرور الإنترنت وأنظمة الكمبيوتر الأخرى المتصلة بالشبكة.

غالبًا ما تستخدم أجهزة الاستنشاق للرصد شبكات الحاسب... من خلال إجراء مراقبة مستمرة ومستمرة ، يتعرف محللو حزم الشبكة على الأنظمة البطيئة والمعطلة ويرسلون (عن طريق البريد أو الهاتف أو الخادم) المعلومات المستلمة حول الإخفاقات إلى المسؤول.

يعد استخدام النقر على الشبكة (Network tap) ، في بعض الحالات ، طريقة أكثر موثوقية لمراقبة حركة الإنترنت عبر الإنترنت من مراقبة المنفذ. في الوقت نفسه ، تزداد احتمالية اكتشاف الحزم المعيبة (التدفقات) ، مما يؤثر بشكل إيجابي على الحمل العالي للشبكة.
بالإضافة إلى ذلك ، فإن المتشممون جيدون في تتبع الشبكات المحلية اللاسلكية أحادية ومتعددة القنوات (ما يسمى بالشبكة المحلية اللاسلكية) عند استخدام محولات متعددة.

على شبكات LAN ، يمكن أن يعترض المتشمم بشكل فعال حركة المرور أحادية الاتجاه (إرسال حزمة من المعلومات إلى عنوان واحد) والبث المتعدد. حيث، محول الشبكةيجب أن يكون لديك وضع مختلط.

على الشبكات اللاسلكية ، حتى عندما يكون المحول في وضع "مختلط" ، سيتم تلقائيًا تجاهل حزم البيانات التي لم يتم إعادة توجيهها من النظام (الرئيسي) الذي تم تكوينه. لمراقبة حزم المعلومات هذه ، يجب أن يكون المحول في وضع مختلف - المراقبة.

تسلسل اعتراض حزم المعلومات.

1. اعتراض الرؤوس أو كل المحتوى.

يستطيع المتشممون اعتراض محتويات حزم البيانات بالكامل أو رؤوسها فقط. يتيح لك الخيار الثاني تقليل المتطلبات العامة لتخزين المعلومات ، بالإضافة إلى تجنب المشكلات القانونية المرتبطة بالحذف غير المصرح به للمعلومات الشخصية للمستخدمين. في الوقت نفسه ، يمكن أن يحتوي تاريخ رؤوس الحزم المرسلة على كمية كافية من المعلومات لتحديد المعلومات الضرورية أو تشخيص الأعطال.

2. فك الحزم.

يتم فك تشفير المعلومات التي تم اعتراضها من رقمية (غير مقروءة) إلى نوع يسهل قراءته وقراءته. يسمح نظام الشم لمسؤولي محلل البروتوكول بمشاهدة المعلومات التي أرسلها المستخدم أو استقبلها بسهولة.

تختلف المحللون في:

• قدرات عرض البيانات(إنشاء الرسوم البيانية الزمنية ، وإعادة بناء UDP ، وبروتوكولات بيانات TCP ، وما إلى ذلك) ؛
• نوع الطلب(لاكتشاف الأخطاء أو الأسباب الجذرية أو لتتبع المستخدمين عبر الإنترنت).

يمكن لبعض المتشممون إنشاء حركة مرور والعمل كجهاز مصدر. على سبيل المثال ، يمكن استخدامها كمختبري بروتوكول. تولد أنظمة اختبار الشم هذه حركة المرور الصحيحة المطلوبة للاختبار الوظيفي. بالإضافة إلى ذلك ، يمكن أن يقوم المتشممون بحقن أخطاء عن قصد لاختبار قدرات الجهاز قيد الاختبار.

متشمم الأجهزة.

يمكن أن تكون أجهزة تحليل حركة المرور من نوع الأجهزة ، في شكل مسبار أو مجموعة أقراص (النوع الأكثر شيوعًا). تسجل هذه الأجهزة حزم المعلومات أو أجزائها على مجموعة أقراص. يتيح لك ذلك إعادة إنشاء أي معلومات يتلقاها المستخدم أو يرسلها إلى الإنترنت ، أو لتحديد الخلل في حركة المرور على الإنترنت في الوقت المناسب.

طرق التطبيق.

تُستخدم أجهزة تحليل حزم الشبكة من أجل:

• تحليل المشاكل الموجودة في الشبكة ؛
• كشف محاولات التسلل على الشبكة ؛
• الكشف عن مخالفات المرور من قبل المستخدمين (داخل النظام وخارجه) ؛
• توثيق المتطلبات التنظيمية (محيط تسجيل الدخول المحتمل ، نقاط نهاية توزيع حركة المرور) ؛
• الحصول على معلومات حول احتمالات اختراق الشبكة ؛
• عزل الأنظمة المشغلة
• مراقبة تحميل قنوات WAN ؛
• تستخدم لتتبع حالة الشبكة (بما في ذلك أنشطة المستخدمين داخل النظام وخارجه) ؛
• مراقبة البيانات التي يتم نقلها ؛
• تتبع WAN وحالة أمان نقطة النهاية ؛
• جمع إحصائيات الشبكة ؛
• تصفية المحتوى المشبوه من حركة مرور الشبكة ؛
• إنشاء مصدر بيانات أولي لمراقبة صحة وإدارة الشبكة ؛
• التتبع عبر الإنترنت كجاسوس يجمع معلومات سرية للمستخدمين ؛
• خادم التصحيح ، اتصال العميل ؛
• التحقق من فعالية الضوابط الداخلية (التحكم في الوصول ، والجدران النارية ، ومرشحات البريد العشوائي ، وما إلى ذلك).

تستخدم أجهزة الشم أيضًا في إنفاذ القانون لتتبع أنشطة المتسللين المشتبه بهم. يرجى ملاحظة أن جميع مزودي خدمات الإنترنت وموفري خدمات الإنترنت في الولايات المتحدة وأوروبا يمتثلون لقوانين ولوائح التنصت على المكالمات الهاتفية (CALEA).

المتشممون الشعبيون.

أكثر أجهزة تحليل النظام وظيفية للتتبع عبر الإنترنت:

برنامج التجسس NeoSpy ، النشاط الرئيسي الذي يتضمن تتبع إجراءات المستخدم عبر الإنترنت ، بالإضافة إلى رمز الشم العالمي ، رموز keylogger (keyloggers) وأنظمة التتبع السرية الأخرى.

متي المستخدم العادييسمع مصطلح "الشم" ، يبدأ على الفور في الاهتمام بما هو عليه ولماذا هو مطلوب.

سنحاول شرح كل شيء بعبارات بسيطة.

ومع ذلك ، فإن هذه المقالة مخصصة ليس فقط للمستخدمين المبتدئين ، ولكن أيضًا من أجل.

تعريف

الشمهو محلل حركة المرور. في المقابل ، حركة المرور هي جميع المعلومات التي تمر عبر شبكات الكمبيوتر.

يبحث هذا المحلل في المعلومات التي يتم إرسالها. للقيام بذلك ، تحتاج إلى اعتراضه. في الواقع ، هذا أمر غير قانوني ، لأنه بهذه الطريقة غالبًا ما يتمكن الأشخاص من الوصول إلى بيانات الآخرين.

يمكن مقارنتها بسرقة قطار - مؤامرة كلاسيكية لمعظم الغربيين.

تقوم بنقل بعض المعلومات إلى مستخدم آخر. يقودها "قطار" ، أي قناة شبكية.

المتسكعون من عصابة Bloody Joe يعترضون القطار ويسرقونه حتى العظم. في حالتنا ، تذهب المعلومات إلى أبعد من ذلك ، أي أن المهاجمين لا يسرقونها بالمعنى الحقيقي للكلمة.

ولكن لنفترض أن هذه المعلومات عبارة عن كلمات مرور وسجلات شخصية وصور وما شابه ذلك.

يمكن للمهاجمين ببساطة إعادة كتابة كل شيء وتصويره. بهذه الطريقة ، سيتمكنون من الوصول إلى البيانات الحساسة التي ترغب في إخفاءها.

نعم ، ستحصل على كل هذه المعلومات ، وستأتي إليك.

لكنك ستعرف أن الغرباء تمامًا يعرفون نفس الشيء. ولكن في القرن الحادي والعشرين ، فإن المعلومات هي الأكثر قيمة!

في حالتنا ، هذا هو المبدأ المستخدم. يقوم بعض الأشخاص بإيقاف حركة المرور ، وقراءة البيانات منها وإرسالها.

ومع ذلك ، في حالة المتشممون ، لا تكون الأمور مخيفة دائمًا.لا يتم استخدامها فقط للحصول على وصول غير مصرح به إلى البيانات ، ولكن أيضًا لتحليل حركة المرور نفسها. هذا جزء مهم من عمل مسؤولي النظام ومسؤولي الموارد المختلفة ببساطة. يجدر الحديث عن التطبيق بمزيد من التفصيل. لكن قبل ذلك ، سنتطرق إلى كيفية عمل هؤلاء المتشممون.

مبدأ التشغيل

من الناحية العملية ، يمكن أن تكون أجهزة الاستنشاق عبارة عن أجهزة محمولة توضع فعليًا على كبل وتقرأ البيانات والبرامج منه.

في بعض الحالات ، تكون مجرد مجموعة من التعليمات ، أي الرموز التي يجب إدخالها في تسلسل محدد وفي بيئة برمجة معينة.

بمزيد من التفصيل ، أن تقوم تلك الأجهزة باعتراض حركة المرور يمكن قراءتها بإحدى الطرق التالية:

1 عن طريق تثبيت محاور بدلا من المفاتيح.من حيث المبدأ ، يمكن الاستماع إلى واجهة الشبكة بطرق أخرى ، لكن جميعها غير فعالة.

2 من خلال ربط المتشمم الحرفي بقطع القناة.هذا هو بالضبط ما تمت مناقشته أعلاه - ويتم تثبيت جهاز صغير يقرأ كل ما يتحرك على طول القناة.

3 عن طريق تركيب فرع من المرور.يتم توجيه هذا الفرع إلى جهاز آخر ، ربما يتم فك تشفيره وإرساله إلى المستخدم.

4 هجوم يهدف إلى إعادة توجيه حركة المرور بالكامل إلى متشمم.بالطبع ، بعد أن تدخل المعلومات إلى القارئ ، يتم إرسالها مرة أخرى إلى المستخدم النهائي ، الذي كانت مخصصة له في الأصل. في أنقى صورها!

5 عن طريق تحليل الإشعاع الكهرومغناطيسيالتي تنشأ بسبب حركة المرور. هذه هي الطريقة الأكثر صعوبة ونادرًا ما تستخدم.

فيما يلي مثال على كيفية عمل الطريقة الثانية.

صحيح ، يظهر هنا أن القارئ متصل ببساطة بالكابل.

في الواقع ، يكاد يكون من المستحيل القيام بذلك بهذه الطريقة.

الحقيقة هي أن المستخدم النهائي سيظل يلاحظ وجود انقطاع في القناة في مكان ما.

يعتمد مبدأ تشغيل جهاز الشم التقليدي على حقيقة أنه يتم إرسالهم في جزء واحد إلى جميع الأجهزة المتصلة. غبي بما فيه الكفاية ، لكن حتى الآن لا توجد طريقة بديلة! وبين المقاطع ، يتم نقل البيانات باستخدام المفاتيح. هذا هو المكان الذي يصبح من الممكن فيه اعتراض المعلومات باستخدام إحدى الطرق المذكورة أعلاه.

في الواقع ، هذا يسمى الهجمات الإلكترونية والقرصنة!

بالمناسبة ، إذا قمت بتثبيت هذه المفاتيح نفسها بشكل صحيح ، يمكنك حماية المقطع بالكامل من جميع أنواع الهجمات الإلكترونية.

هناك طرق أخرى للحماية سنتحدث عنها في النهاية.

معلومات مفيدة:

انتبه إلى البرنامج. يتم استخدامه لتحليل حركة مرور الشبكة وتحليل حزم البيانات باستخدام مكتبة pcap. يقلل هذا بشكل كبير من عدد الحزم المتاحة للتحليل ، حيث يمكن فقط تحليل الحزم التي تدعمها هذه المكتبة.

تطبيق

بالطبع ، أولاً وقبل كل شيء ، يحتوي هذا المفهوم على التطبيق الذي تمت مناقشته أعلاه ، وهو هجمات القراصنة والحصول غير القانوني على بيانات المستخدم.

لكن إلى جانب ذلك ، يتم استخدام أجهزة الشم في مناطق أخرى ، على وجه التحديد ، في العمل مسؤولي النظام.

على وجه الخصوص ، مثل هذه الأجهزة أو تساعد البرامج على إنجاز المهام التالية:

كما ترى ، يمكن للأجهزة أو البرامج التي ندرسها أن تسهل بشكل كبير عمل مسؤولي النظام والأشخاص الآخرين الذين يستخدمون الشبكات. وهذا كل منا.

الآن دعنا ننتقل إلى الجزء الأكثر إثارة للاهتمام - نظرة عامة على برامج الشم.

أعلاه ، اكتشفنا أنه يمكن صنعها في شكل أجهزة مادية ، ولكن في معظم الحالات يتم استخدام أجهزة خاصة.

دعونا ندرسها.

برامج الشم

فيما يلي قائمة بأكثر هذه البرامج شيوعًا:

كومفييو... يتم دفع البرنامج ، مثل أي شخص آخر في قائمتنا. الحد الأدنى للترخيص 300 دولار. لكن البرنامج لديه أغنى وظائف. أول شيء جدير بالملاحظة هو القدرة على وضع القواعد بنفسك. على سبيل المثال ، يمكنك إجراء ذلك بحيث يتم تجاهل (هذه بروتوكولات) تمامًا. من الجدير بالذكر أيضًا أن البرنامج يتيح لك عرض تفاصيل وتسجيل جميع الحزم المعاد توجيهها. هناك إصدار عادي ونسخة Wi-Fi.

SpyNet.هذا ، في الواقع ، هو حصان طروادة الذي سئمنا منه جميعًا. ولكن يمكن استخدامه أيضًا للأغراض النبيلة التي تحدثنا عنها أعلاه. برنامج اعتراض و ، والتي هي في حركة المرور. هناك العديد من الميزات غير العادية. على سبيل المثال ، يمكنك إعادة إنشاء الصفحات التي زارتها "الضحية" على الإنترنت. يشار إلى أن هذا البرنامج مجاني ولكن ليس من السهل العثور عليه.

بعقبهذا هو المتشمم الخالص الذي يساعد في تحليل حزم الشبكة ، وليس اعتراض كلمات مرور الآخرين وسجل المتصفح. على الأقل هذا ما اعتقده المؤلف. في الواقع ، يستخدم خلقه أنت نفسك تفهم السبب. هذا هو برنامج دفعي شائع يعمل من خلال سطر الأوامر... للبدء ، يتم تحميل وتشغيل ملفين. يتم حفظ الحزم الملتقطة على القرص الصلب ، وهو أمر مريح للغاية.

هناك العديد من برامج الشم الأخرى.على سبيل المثال ، تُعرف fsniff و WinDump و dsniff و NatasX و NetXRay و CooperSniffer و LanExplorer و Net Analyzer وغيرها الكثير. اختيار أي! لكن من العدل أن نقول إن CommView هو الأفضل.

لذلك ، قمنا بفرز ماهية المتشممون وكيف يعملون وما هم.

الآن دعنا ننتقل من مكان المتسلل أو مسؤول النظام إلى مكان المستخدم العادي.

نحن ندرك جيدًا أنه يمكن سرقة بياناتنا. ماذا تفعل لمنع حدوث ذلك هنا). إنه يعمل بكل بساطة - يقوم بمسح الشبكة بحثًا عن جميع أنواع الجواسيس والتقارير إن وجدت. هذا هو المبدأ الأبسط والأكثر قابلية للفهم والذي يسمح لك بحماية نفسك من الهجمات الإلكترونية.

3 استخدم PromiScan.من حيث خصائصه ومهامه ، فإن هذا البرنامج مشابه جدًا لبرنامج AntiSniff لنظام التشغيل Windows ، لذا اختر أحدهما. هناك العديد من روابط التنزيل على الويب أيضًا (هذا واحد). إنه برنامج مبتكر يسمح لك بالتحكم عن بعد في أجهزة الكمبيوتر المتصلة بنفس الشبكة. مبدأ عملها هو تحديد العقد التي لا ينبغي أن تكون على الشبكة. في الواقع ، هؤلاء هم على الأرجح متشممون. يكتشفها البرنامج ويبلغ عن ذلك برسالة بليغة. مريح جدا !.

4 استخدم التشفير ،وفي حالة نشره ، نظام تشفير بمفتاح عمومي. هذا نظام تشفير خاص أو نظام توقيع إلكتروني. "الحيلة" هي أن المفتاح عام ويمكن للجميع رؤيته ، لكن من المستحيل تغيير البيانات ، حيث يجب القيام بذلك على جميع أجهزة الكمبيوتر في الشبكة في نفس الوقت. طريقة ممتازة - مثل طعم لص. يمكنك أن تقرأ عن blockchain ، حيث يتم استخدام مثل هذا النظام.

5 لا تقم بتنزيل البرامج المشبوهة ، ولا تزور المواقع المشبوهة ، وما إلى ذلك.يعرف كل مستخدم حديث عن هذا الأمر ، ومع ذلك فإن هذا هو المسار الرئيسي لأحصنة طروادة وغيرها من الحيل القذرة للوصول إلى نظام التشغيل... لذلك كن مسئولا جدا عن استخدام الإنترنت بشكل عام!

إذا كان لديك أي أسئلة أخرى ، فاطرحها في التعليقات أدناه.

نأمل أن نكون قادرين على شرح كل شيء بلغة بسيطة ومفهومة.

لا يدرك العديد من المستخدمين أنه من خلال ملء معلومات تسجيل الدخول وكلمة المرور عند التسجيل أو الترخيص على مورد إنترنت مغلق والضغط على ENTER ، يمكن بسهولة اعتراض هذه البيانات. في كثير من الأحيان يتم إرسالها عبر الشبكة في شكل غير محمي. لذلك ، إذا كان الموقع الذي تحاول تسجيل الدخول إليه يستخدم بروتوكول HTTP ، فمن السهل جدًا التقاط حركة المرور هذه وتحليلها باستخدام باستخدام Wiresharkثم استخدام عوامل التصفية والبرامج الخاصة للعثور على كلمة المرور وفك تشفيرها.

أفضل مكان لاعتراض كلمات المرور هو في قلب الشبكة ، حيث تذهب حركة مرور جميع المستخدمين إلى الموارد المغلقة (على سبيل المثال ، البريد) أو أمام جهاز التوجيه للوصول إلى الإنترنت ، عند التسجيل باستخدام موارد خارجية. نصنع مرآة ونحن على استعداد لنشعر وكأننا هاكر.

الخطوة 1. قم بتثبيت وتشغيل Wireshark لالتقاط حركة المرور

في بعض الأحيان ، يكفي تحديد الواجهة التي نخطط من خلالها لالتقاط حركة المرور والنقر فوق الزر "ابدأ". في حالتنا ، نقوم بالتقاط الشبكة اللاسلكية.

بدأ التقاط حركة المرور.

الخطوة 2. تصفية حركة مرور POST التي تم التقاطها

نفتح متصفحًا ونحاول تسجيل الدخول إلى أي مورد باستخدام اسم مستخدم وكلمة مرور. عند الانتهاء من عملية التفويض وفتح الموقع ، نتوقف عن التقاط حركة المرور في Wireshark. بعد ذلك ، افتح محلل البروتوكول وشاهد عددًا كبيرًا من الحزم. في هذه المرحلة يستسلم معظم محترفي تكنولوجيا المعلومات لأنهم لا يعرفون ماذا يفعلون بعد ذلك. لكننا نعلم ونهتم بالحزم المحددة التي تحتوي على بيانات POST التي يتم إنشاؤها على أجهزتنا المحلية عند ملء نموذج على الشاشة وإرسالها إلى خادم بعيد عند النقر فوق الزر "تسجيل الدخول" أو "التفويض" في المتصفح.

أدخل مرشحًا خاصًا في النافذة لعرض الحزم الملتقطة: http.طلب.الطريقة == "بريد "

وبدلاً من ألف حزمة ، نرى واحدة فقط تحتوي على البيانات التي نبحث عنها.

الخطوة 3. ابحث عن اسم المستخدم وكلمة المرور

نقرة سريعة بزر الماوس الأيمن وحدد العنصر من القائمة اتبع TCP Steam

بعد ذلك ، سيظهر النص في نافذة جديدة ، والتي في الكود تستعيد محتوى الصفحة. لنجد الحقلين "password" و "user" ، اللذين يتوافقان مع كلمة المرور واسم المستخدم. في بعض الحالات ، سيكون من السهل قراءة كلا الحقلين ولا يتم تشفيرهما ، ولكن إذا كنا نحاول التقاط حركة المرور عند الوصول إلى موارد معروفة جدًا مثل Mail.ru و Facebook و Vkontakte وما إلى ذلك ، فسيتم تشفير كلمة المرور :

تم العثور على HTTP / 1.1 302

الخادم: Apache / 2.2.15 (CentOS)

X-Powered-By: PHP / 5.3.3

P3P: CP = "NOI ADM DEV PSAi COM NAV OTRo STP IND DEM"

تعيين ملف تعريف الارتباط: كلمة المرور = ؛ تنتهي الصلاحية = الخميس ، 07 نوفمبر 2024 23:52:21 GMT ؛ المسار = /

الموقع: loggedin.php

طول المحتوى: 0

الاتصال: إغلاق

نوع المحتوى: نص / html ؛ محارف = UTF-8

وهكذا في حالتنا:

اسم المستخدم: networkguru

كلمه السر:

الخطوة 4. تحديد نوع التشفير لفك تشفير كلمة المرور

نذهب ، على سبيل المثال ، إلى الموقع http://www.onlinehashcrack.com/hash-identification.php#res وأدخل كلمة المرور الخاصة بنا في نافذة التعريف. لقد حصلت على قائمة بروتوكولات الترميز حسب الأولوية:

الخطوة 5. فك تشفير كلمة مرور المستخدم

في هذه المرحلة ، يمكننا استخدام أداة التجزئة:

~ # hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

عند الإخراج ، تلقينا كلمة مرور غير مشفرة: كلمة مرور بسيطة

وبالتالي ، باستخدام Wireshark ، لا يمكننا حل المشكلات في تشغيل التطبيقات والخدمات فحسب ، بل يمكننا أيضًا تجربة أنفسنا كمخترق ، واعتراض كلمات المرور التي يدخلها المستخدمون في نماذج الويب. يمكنك أيضًا معرفة كلمات المرور لصناديق بريد المستخدمين باستخدام عوامل تصفية بسيطة لعرضها:

• يبدو بروتوكول POP والمرشح كما يلي: pop.request.command == "USER" || pop.request.command == "تمرير"
• بروتوكول IMAPوسيكون المرشح: يحتوي طلب imap.request على "تسجيل الدخول"
• بروتوكول SMTP وستحتاج إلى إدخال عامل التصفية التالي: smtp.req.command == "AUTH"

وأدوات مساعدة أكثر جدية لفك تشفير بروتوكول التشفير.

الخطوة 6. ماذا لو تم تشفير حركة المرور واستخدام HTTPS؟

هناك عدة خيارات للإجابة على هذا السؤال.

الخيار 1. الاتصال لقطع الاتصال بين المستخدم والخادم والتقاط حركة المرور في اللحظة التي يتم فيها إنشاء الاتصال (SSL Handshake). عند إنشاء الاتصال ، يمكنك اعتراض مفتاح الجلسة.

الخيار 2. يمكنك فك تشفير حركة مرور HTTPS باستخدام ملف سجل مفتاح الجلسة المسجل بواسطة Firefox أو Chrome. للقيام بذلك ، يجب تكوين المتصفح لكتابة مفاتيح التشفير هذه إلى ملف سجل (مثال على FireFox) ويجب أن تحصل على ملف السجل هذا. في الأساس ، تحتاج إلى سرقة ملف مفتاح الجلسة باستخدام القرص الصلبمستخدم آخر (وهو أمر غير قانوني). حسنًا ، ثم التقط حركة المرور واستخدم المفتاح الناتج لفك تشفيرها.

إيضاح.نحن نتحدث عن متصفح الويب لشخص يحاول سرقة كلمة مرور. إذا كنا نعني فك تشفير حركة مرور HTTPS الخاصة بنا وأردنا الممارسة ، فستعمل هذه الإستراتيجية. إذا كنت تحاول فك تشفير حركة مرور HTTPS الخاصة بالمستخدمين الآخرين دون الوصول إلى أجهزة الكمبيوتر الخاصة بهم ، فلن تعمل - هذا هو التشفير والخصوصية.

بعد استلام المفاتيح للخيار 1 أو 2 ، تحتاج إلى تسجيلها في WireShark:

1. اذهب إلى قائمة تحرير - تفضيلات - بروتوكولات - SSL.
2. قم بتعيين العلامة "إعادة تجميع سجلات SSL التي تمتد عبر مقاطع TCP المتعددة".
3. "قائمة مفاتيح RSA" وانقر فوق تحرير.
4. ندخل البيانات في جميع الحقول ونكتب المسار في الملف باستخدام المفتاح

يمكن لـ WireShark فك تشفير الحزم المشفرة باستخدام خوارزمية RSA. إذا تم استخدام خوارزميات DHE / ECDHE و FS و ECC ، فلن يكون المتشمم مساعدًا لنا.

الخيار 3. الوصول إلى خادم الويب الذي يستخدمه المستخدم والحصول على المفتاح. لكن هذا أكثر صعوبة. في شبكات الشركات ، لغرض تصحيح أخطاء التطبيقات أو تصفية المحتوى ، يتم تنفيذ هذا الخيار على أساس قانوني ، ولكن ليس لغرض اعتراض كلمات مرور المستخدم.

علاوة

فيديو: Wireshark Packet Sniffing Usernames، Passwords، and Web Pages

ما هو Intercepter-NG

دعونا ننظر في جوهر عمل ARP مثال بسيط... الكمبيوتر A (عنوان IP 10.0.0.1) والكمبيوتر B (عنوان IP 10.22.22.2) متصلان بشبكة Ethernet. يريد الكمبيوتر A إرسال حزمة بيانات إلى الكمبيوتر B ، ويعرف عنوان IP للكمبيوتر B. ومع ذلك ، فإن شبكة Ethernet التي يتصلون بها لا تعمل مع عناوين IP. لذلك ، يحتاج الكمبيوتر A إلى معرفة عنوان الكمبيوتر B على شبكة Ethernet (عنوان MAC في مصطلحات Ethernet) من أجل الإرسال عبر Ethernet. لهذه المهمة ، يتم استخدام بروتوكول ARP. يستخدم هذا البروتوكول الكمبيوتر A لإرسال طلب بث إلى جميع أجهزة الكمبيوتر في نفس مجال البث. جوهر الطلب: "كمبيوتر بعنوان IP 10.22.22.2 ، أخبر عنوان MAC الخاص بك إلى الكمبيوتر بعنوان MAC (على سبيل المثال a0: ea: d1: 11: f1: 01)". تقدم شبكة Ethernet هذا الطلب إلى جميع الأجهزة الموجودة على نفس مقطع Ethernet ، بما في ذلك الكمبيوتر B. يستجيب الكمبيوتر B لطلب الكمبيوتر A ويعطي عنوان MAC الخاص به (على سبيل المثال 00: ea: d1: 11: f1: 11) الآن ، بعد تلقي عنوان MAC الخاص بالكمبيوتر B ، يمكن للكمبيوتر A إرسال أي بيانات إليه عبر شبكة Ethernet.

لتجنب الحاجة إلى استخدام بروتوكول ARP قبل كل إرسال للبيانات ، يتم تسجيل عناوين MAC المستلمة وعناوين IP المقابلة في الجدول لبعض الوقت. إذا كنت بحاجة إلى إرسال البيانات إلى نفس عنوان IP ، فلا داعي لاستقصاء الأجهزة في كل مرة بحثًا عن MAC المطلوب.

كما رأينا للتو ، تتضمن ARP طلبًا واستجابة. تتم كتابة عنوان MAC من الاستجابة في جدول MAC / IP. عند استلام الرد ، لا يتم التحقق منه بأي شكل من الأشكال للتأكد من صحته. علاوة على ذلك ، لم يتم التحقق حتى من تقديم الطلب. أولئك. يمكنك على الفور إرسال استجابة ARP للأجهزة المستهدفة (حتى بدون طلب) ، مع البيانات المخادعة ، وسيتم تضمين هذه البيانات في جدول MAC / IP وسيتم استخدامها لنقل البيانات. هذا هو جوهر هجوم انتحال ARP ، والذي يسمى أحيانًا تسمم ARP وتسمم ذاكرة التخزين المؤقت لـ ARP.

وصف هجوم ARP-spoofing

جهازي كمبيوتر (عقد) M و N in شبكه محليهرسائل تبادل إيثرنت. يريد المهاجم X الموجود على نفس الشبكة اعتراض الرسائل بين هذه العقد. قبل تطبيق انتحال ARP على واجهة الشبكة الخاصة بالعقدة M ، يحتوي جدول ARP على عنوان IP و MAC الخاص بالعقدة N. أيضًا ، على واجهة الشبكة الخاصة بالعقدة N ، يحتوي جدول ARP على عنوان IP وعنوان MAC للعقدة M.

أثناء هجوم انتحال ARP ، يرسل المضيف X (المهاجم) استجابتي ARP (بدون طلب) - لاستضافة M وللاستضافة N. تحتوي استجابة ARP على المضيف M على عنوان IP N وعنوان MAC الخاص بـ X. ARP تحتوي الاستجابة للمضيف N على عنوان IP M وعنوان MAC X.

نظرًا لأن أجهزة الكمبيوتر M و N تدعم ARP تلقائيًا ، فبعد تلقي استجابة ARP ، قاموا بتغيير جداول ARP الخاصة بهم ، والآن يحتوي جدول ARP M على عنوان MAC X المرتبط بعنوان IP N ، ويحتوي جدول ARP N على عنوان MAC X المرتبط بـ م.

وهكذا ، اكتمل هجوم ARP-spoofing ، والآن تمر جميع الحزم (الإطارات) بين M و N عبر X. على سبيل المثال ، إذا أراد M إرسال حزمة إلى N ، فإن M يبحث في جدول ARP الخاص به ، ويعثر على إدخال بـ عنوان IP للمضيف N ، يحدد عنوان MAC من هناك (وهناك بالفعل عنوان MAC الخاص بالعقدة X) وينقل الحزمة. تصل الحزمة إلى واجهة X ، يتم تحليلها بواسطتها ، ثم إعادة توجيهها إلى العقدة N.