HTTPNetworkSniffer は、ネットワーク間で送信されるすべての HTTP リクエスト/レスポンスをキャプチャするパケット スニファー ツールです。 ウェブブラウザと Web サーバーを統合し、それらを簡単な表に表示します。 すべての HTTP リクエストについて、次の情報が表示されます: ホスト名、HTTP メソッド (GET、POST、HEAD)、URL パス、ユーザー エージェント、応答コード、応答文字列、コンテンツ タイプ、リファラー、コンテンツ エンコーディング、転送エンコーディング、サーバー名、コンテンツの長さ、Cookie 文字列など...

1 つ以上の HTTP 情報行を簡単に選択し、text/html/xml/csv ファイルにエクスポートするか、クリップボードにコピーして Excel に貼り付けることができます。

システム要件

• このユーティリティは、Windows 2000 から Windows 10 までのあらゆるバージョンの Windows (64 ビット システムを含む) で動作します。
• HTTPNetworkSniffer を使用するには、次のキャプチャ ドライバーのいずれかが必要です。
  • WinPcap キャプチャ ドライバ : WinPcap は、Windows の任意のバージョンでネットワーク パケットをキャプチャできるオープン ソース キャプチャ ドライバです。 この Web ページから WinPcap ドライバーをダウンロードしてインストールできます。
  • Microsoft ネットワーク モニター ドライバー バージョン 2.x (Windows 2000/XP/2003 のみ): Microsoft は、Windows 2000/XP/2003 で HTTPNetworkSniffer で使用できる無料のキャプチャ ドライバーを提供していますが、このドライバーはデフォルトではインストールされていないため、次のオプションのいずれかを使用して、手動でインストールする必要があります。
    • オプション 1: Microsoft Web サイトの指示に従って、Windows 2000/XP の CD-ROM からインストールします。
    • オプション 2 (XP のみ): Windows XP Service Pack 2 サポート ツールをダウンロードしてインストールします。 このパッケージに含まれるツールの 1 つが netcap.exe です。 このツールを初めて実行すると、ネットワーク モニター ドライバーがシステムに自動的にインストールされます。
  • Microsoft ネットワーク モニター ドライバー バージョン 3.x: Microsoft は、Windows 7/Vista/2008 でもサポートされる新しいバージョンの Microsoft ネットワーク モニター ドライバー (3.x) を提供します。
    Microsoft ネットワーク モニターの新しいバージョン (3.x) は、Microsoft Web サイトからダウンロードできます。
• 「Raw Sockets」方法を使用して、ドライバーをインストールせずに HTTPNetworkSniffer を使用してみることもできます。 残念ながら、Raw Sockets 方法には多くの問題があります。
  • Windows のバージョン、サービス パック、システムにインストールされている更新プログラムによっては、すべての Windows システムで動作するとは限りません。
  • UAC が有効になっている Windows 7 では、「Raw Sockets」メソッドは、「管理者として実行」で HTTPNetworkSniffer を実行する場合にのみ機能します。

既知の制限事項

• HTTPNetworkSniffer は、セキュリティで保護された Web サイト (HTTPS) の HTTP データをキャプチャできません

バージョン履歴

• バージョン1.63:
  • バージョン 1.62 からのバグを修正しました: 接続情報なしでネットワーク インターフェイスを選択すると HTTPNetworkSniffer がクラッシュしました。
• バージョン1.62:
  • 選択したネットワークアダプターの情報がウィンドウタイトルに表示されます。
• バージョン1.61:
  • /cfg コマンド ライン オプションを追加しました。これは、HTTPNetworkSniffer に、デフォルトの構成ファイルの代わりに別の場所にある構成ファイルを使用するように指示します。次に例を示します。
    HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
• バージョン1.60:
  • 「キャプチャ開始時にクリア」オプションを追加しました。 キャプチャを停止して再開するときに前の項目をクリアしたくない場合は、オフにすることができます。
  • 「クイック フィルター」機能を追加しました ([表示] -> [クイック フィルターを使用] または Ctrl+Q)。 これをオンにすると、ツールバーの下に追加されたテキスト ボックスに文字列を入力すると、HTTPNetworkSniffer が即座に HTTP 項目をフィルタリングし、入力した文字列を含む行のみを表示します。
• バージョン1.57:
  • 「すべての項目を保存」(Shift+Ctrl+S)を追加しました。
• バージョン1.56:
  • HTTPNetworkSniffer は、システムに WinPCap ドライバーがインストールされている場合、https://nmap.org/npcap/ から新しいバージョンの WinPCap ドライバーを自動的にロードするようになりました。
• バージョン1.55:
  • 2 つの HTTP リクエスト列「Accept」と「Range」を追加しました。
• バージョン1.51:
  • HTTPNetworkSniffer は、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Netmon3 で指定されたインストール パスに従って、ネットワーク モニター ドライバー 3.x (NmApi.dll) の DLL をロードしようとします。 この変更により、一部のシステムでのネットワーク モニター ドライバー 3.x のロードに関する問題が解決されるはずです。
• バージョン1.50:
  • 「キャプチャ オプション」ウィンドウのアダプタ リストに 4 つの列を追加しました:「接続名」、「MAC アドレス」、「インスタンス ID」、「インターフェイス GUID」。
  • WinPCap ドライバーを使用する場合、HTTPNetworkSniffer は、[キャプチャ オプション] ウィンドウのアダプター リストにより正確な情報を表示するようになりました。
• バージョン1.47:
  • 「更新ごとに列のサイズを自動調整する」オプションを追加しました。
• バージョン1.46:
  • JSON ファイルにエクスポートするオプションを追加しました。
• バージョン1.45:
  • 「常に最前面に表示」オプションを追加しました。
  • 二次並べ替えのサポートの追加: Shift キーを押しながら列ヘッダーをクリックすると、二次並べ替えができるようになりました。 2 列目、3 列目、4 列目をクリックするときは、Shift キーを押し続けるだけでよいことに注意してください。 最初の列を並べ替えるには、Shift キーを押したままにしないでください。
• バージョン1.41:
  • HTTPNetworkSniffer は、管理者として実行できるようになりました (UAC を備えた Windows Vista/7/8 の下)
• バージョン1.40:
  • HTTPNetworkSniffer では、キャプチャの開始時に Windows ファイアウォールの許可されたプログラムのリストに自動的に追加し、キャプチャの停止時に削除できるようになりました。 このオプションは、Windows ファイアウォールがオンになっているときに「Raw Socket」キャプチャ方法を使用する場合に必要です。これは、HTTPNetworkSniffer が Windows ファイアウォールに追加されていない場合、受信トラフィックがまったくキャプチャされず、HTTPNetworkSniffer が適切に機能しないためです。
• バージョン1.36:
  • 「キャプチャ オプション」ウィンドウのアダプタ リストに列名 (「IP アドレス」と「アダプタ名」) を追加しました。
• バージョン1.35:
  • ユーティリティとの統合を追加
• バージョン1.32:
  • 「GMT で時間を表示」オプションを追加しました。
• バージョン1.31:
  • 修正されたバグ: [キャプチャ オプション] ウィンドウの [無差別モード] チェックボックスが設定ファイルに保存されませんでした。
• バージョン1.30:
  • 「応答時間」列を追加しました。これは、クライアントが HTTP リクエストを送信した瞬間から、クライアントが HTTP サーバーの応答を受信した瞬間までの経過時間 (ミリ秒) を計算して表示します。
    この列でより正確な結果を得るには、WinPcap ドライバーまたは Microsoft ネットワーク モニター ドライバー (バージョン 3.4 以降) を使用してパケットをキャプチャすることをお勧めします。
• バージョン1.27:
  • 「新しい行で下にスクロール」オプションを追加しました。 これがオンになっている場合、HTTPNetworkSniffer は新しい行が追加されると自動的に一番下までスクロールします。
• バージョン1.26:
  • Windows 7 でのちらつきの問題を修正しました。
• バージョン1.25:
  • 「キャプチャファイルからロード」オプションを追加しました。 WinPcap/Wireshark によって作成されたキャプチャ ファイル (WinPcap ドライバーが必要) または Microsoft ネットワーク モニター ドライバーによって作成されたキャプチャ ファイル (ネットワーク モニター ドライバー 3.x が必要) をロードし、キャプチャされたデータを HTTPNetworkSniffer の形式で表示できます。
  • /load_file_pcap および /load_file_netmon コマンドライン オプションを追加しました。
• バージョン1.22:
  • 「表示」メニューに「奇数行/偶数行をマーク」オプションを追加しました。 オンにすると、奇数行と偶数行が異なる色で表示され、1 行が読みやすくなります。
• バージョン1.21:
  • 「列+ヘッダーの自動サイズ調整」オプションを追加しました。これにより、次の条件に従って列のサイズを自動的に変更できます。 行値と列ヘッダー。
  • 修正された問題: マルチモニター システムで、プロパティ ダイアログ ボックスとその他のウィンドウが間違ったモニターで開かれました。
• バージョン1.20:
  • URL欄を追加しました。
  • 修正されたバグ: ネットワーク モニター ドライバー 3.x が選択された後に [キャプチャ オプション] ダイアログ ボックスを開くと、HTTPNetworkSniffer が Raw ソケット モードに戻りました。
• バージョン1.15:
  • 新しい列「最終更新時刻」を追加しました。
• バージョン1.10:
  • 場所、サーバー時間、有効期限という 3 つの新しい列を追加しました。
• バージョン1.06:
  • 「キャプチャ停止」(F6)のアクセラレータキーを修正しました。
• バージョン1.05:
  • 選択した HTTP アイテムの URL をクリップボードにコピーする「URL をコピー」オプション (Ctrl+U) を追加しました。
• バージョン 1.00 - 最初のリリース。

HTTPNetworkSniffer の使用を開始する

ネットワーク パケットのキャプチャに必要なキャプチャ ドライバーを除き、HTTPNetworkSniffer にはインストール プロセスや追加の DLL ファイルは必要ありません。使用を開始するには、実行可能ファイル HTTPNetworkSniffer.exe を実行するだけです。

HTTPNetworkSniffer を初めて実行すると、画面に「キャプチャ オプション」ウィンドウが表示され、キャプチャ方法と目的のネットワーク アダプタを選択するように求められます。次回 HTTPNetworkSniffer を使用するときは、自動的にキャプチャが開始されます。キャプチャ方法と以前に選択したネットワーク アダプターを使用してパケットを収集します。 F9 を押すと、いつでも「キャプチャ オプション」を再度変更できます。

キャプチャ方法とネットワーク アダプタを選択すると、HTTPNetworkSniffer は Web ブラウザとリモート Web サーバー間で送信されるすべての HTTP 要求/応答をキャプチャして表示します。

コマンドラインオプション

/cfg	指定された構成ファイルを使用して HTTPNetworkSniffer を開始します。 例えば： HTTPNetworkSniffer.exe /cfg "c:\config\hns.cfg" HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
/load_file_pcap	WinPcap ドライバーによって作成された、指定されたキャプチャ ファイルを読み込みます。
/load_file_netmon	ネットワーク モニター ドライバー 3.x によって作成された、指定されたキャプチャ ファイルを読み込みます。

IPNetInfoユーティリティとの統合

HTTPNetworkSniffer ユーティリティに表示されるサーバー IP アドレスに関する詳細情報を取得する場合は、IPNetInfo ユーティリティとの統合を使用して、WHOIS サーバーから直接ロードされた IP アドレス情報を簡単に表示できます。

1. 最新バージョンの を実行します。
2. 目的の接続を選択し、[ファイル] メニューから [IPNetInfo - サーバー IP] を選択します (または単に Ctrl+I をクリックします)。
3. IPNetInfo は、選択したアイテムのサーバー IP アドレスに関する情報を取得します。

HTTPNetworkSniffer を他の言語に翻訳する

HTTPNetworkSniffer を他の言語に翻訳するには、以下の手順に従ってください。

1. /savelangfile パラメーターを指定して HTTPNetworkSniffer を実行します。
   HTTPNetworkSniffer.exe /savelangfile
   HTTPNetworkSniffer_lng.ini という名前のファイルが HTTPNetworkSniffer ユーティリティのフォルダーに作成されます。
2. 作成した言語ファイルをメモ帳またはその他のテキスト エディタで開きます。
3. すべての文字列エントリを目的の言語に翻訳します。 オプションで、自分の名前や Web サイトへのリンクを追加することもできます。 (TranslatorName と TranslatorURL の値) この情報を追加すると、[バージョン情報] ウィンドウで使用されます。
4. 翻訳が完了したら、HTTPNetworkSniffer を実行すると、翻訳されたすべての文字列が言語ファイルからロードされます。
   翻訳せずに HTTPNetworkSniffer を実行する場合は、言語ファイルの名前を変更するか、別のフォルダーに移動します。

ライセンス

このユーティリティはフリーウェアとしてリリースされています。 このユーティリティは、料金を請求せず、商業目的の一部として販売または配布しない限り、フロッピー ディスク、CD-ROM、インターネット、またはその他の方法を介して自由に配布することができます。製品。 このユーティリティを配布する場合は、すべてのファイルを変更せずに配布パッケージに含める必要があります。

免責事項

ソフトウェアは「現状のまま」で提供され、商品性および特定の目的への適合性の暗黙の保証を含むがこれに限定されない、明示的か黙示的かを問わず、いかなる保証もありません。 著者は、データの損失またはその他の理由による特別損害、付随的損害、結果的損害、または間接的な損害については責任を負いません。

フィードバック

問題、提案、コメントがある場合、または私のユーティリティでバグを見つけた場合は、次の宛先にメッセージを送信してください。 [メールで保護されています]

HTTPNetworkSniffer (32 ビット版) をダウンロードする

HTTPNetworkSniffer (x64 バージョン) をダウンロード

HTTPNetworkSniffer は他の言語でも利用できます。 HTTPNetworkSniffer の言語を変更するには、適切な言語の zip ファイルをダウンロードし、「httpnetworksniffer_lng.ini」を抽出して、HTTPNetworkSniffer ユーティリティをインストールしたのと同じフォルダーに置きます。

言語	翻訳者	日付	バージョン

オンライン追跡はすべて、スニファー テクノロジー (ネットワーク パケット アナライザー) の使用に基づいています。 スニッファーとは何ですか?

スニファーは、デジタル ネットワークまたはその一部を通過するトラフィックを傍受して分析できるコンピューター プログラムまたはコンピューター機器です。 アナライザーはすべてのストリームをキャプチャし (インターネット トラフィックを傍受してログに記録し)、必要に応じてデータをデコードし、送信されたユーザー情報を順次保存します。

スニファーによるオンライン追跡の使用のニュアンス。

ユーザーのコンピュータ ネットワーク LAN (ローカル エリアネットワーク）、ネットワーク構造（スイッチまたはハブ）に応じて、スニファは 1 台のラップトップまたはコンピュータからのネットワーク全体または一部のトラフィックを傍受します。 ただし、使用すると、 さまざまな方法(ARP スプーフィングなど) インターネット トラフィックなどを実現できます。 コンピュータシステムネットワークに接続されています。

スニファーは監視によく使用されます コンピュータネットワーク。 ネットワーク パケット アナライザは、継続的かつ継続的な監視を実行して、低速で障害のあるシステムを特定し、結果として得られる障害情報を (電子メール、電話、またはサーバー経由で) 管理者に送信します。

場合によっては、ネットワーク タップを使用する方が、ポート監視よりもオンライン インターネット トラフィックを監視する信頼性の高い方法になります。 同時に、障害のあるパケット (フロー) を検出する確率が増加し、ネットワーク負荷が高い場合に良い影響を及ぼします。
さらに、スニファーは、複数のアダプタを使用する場合の、無線シングルおよびマルチチャネル ローカル ネットワーク (いわゆる無線 LAN) の監視にも優れています。

LAN ネットワークでは、スニファは一方向トラフィック (単一アドレスへの情報パケットの転送) とマルチキャスト トラフィックの両方を効果的に傍受できます。 同時に、 ネットワークアダプター無差別モードが必要です。

ワイヤレス ネットワークでは、アダプタが「プロミスキャス」モードにある場合でも、設定された (メイン) システムからリダイレクトされないデータ パケットは自動的に無視されます。 これらの情報パケットを監視するには、アダプタが別のモード (監視) になっている必要があります。

情報パケットを傍受するシーケンス。

1. ヘッダーまたはコンテンツ全体をインターセプトします。

スニファーは、データ パケットの内容全体、またはヘッダーのみを傍受できます。 2 番目のオプションでは、情報を保存するための全体的な要件を軽減し、ユーザーの個人情報の不正な削除に関連する法的問題を回避できます。 同時に、送信されたパケット ヘッダーの履歴には、必要な情報を特定したり、障害を診断したりするのに十分な量の情報が含まれる場合があります。

2. パケットをデコードします。

傍受された情報は、デジタル (読み取り不可能な形式) から、認識および読み取りが容易な形式にデコードされます。 スニファ システムを使用すると、プロトコル アナライザの管理者は、ユーザーが送受信した情報を簡単に表示できます。

アナライザーの違いは次のとおりです。

• データ表示機能(タイミング図の作成、UDP、TCP データプロトコルの再構築など);
• アプリケーションの種類(エラーや根本原因を検出するため、またはオンラインでユーザーを追跡するため)。

一部のスニファーはトラフィックを生成し、送信元デバイスとして機能します。 たとえば、プロトコル テスターとして使用されます。 このようなテスト スニファー システムを使用すると、機能テストに必要な正しいトラフィックを生成できます。 さらに、スニファーは、テスト対象のデバイスの機能をテストするために、意図的にエラーを導入する可能性があります。

ハードウェアスニッファー。

トラフィック アナライザーは、プローブまたはディスク アレイ (より一般的なタイプ) の形式のハードウェア タイプにすることもできます。 これらのデバイスは、情報パケットまたはその一部をディスク アレイに記録します。 これにより、ユーザーがインターネットで送受信した情報を再作成したり、インターネット トラフィックの誤動作を迅速に特定したりできます。

適用方法。

ネットワーク パケット アナライザーは次の目的で使用されます。

• ネットワーク内の既存の問題の分析。
• ネットワーク侵入の試みを検出する。
• ユーザーによるトラフィック乱用の判断 (システム内外)。
• 規制要件の文書化 (可能なログイン境界、トラフィック分散エンドポイント)。
• ネットワーク侵入の可能性に関する情報を取得する。
• オペレーティング システムの分離。
• グローバルネットワークチャネルの負荷を監視する。
• ネットワークステータス (システム内外のユーザーアクティビティを含む) を監視するために使用されます。
• 移動データの監視。
• WAN の監視とエンドポイントのセキュリティ ステータス。
• ネットワーク統計を収集する。
• ネットワークトラフィックから送信される疑わしいコンテンツをフィルタリングします。
• ネットワークのステータスと管理を監視するためのプライマリ データ ソースを作成します。
• ユーザーの機密情報を収集するスパイとしてのオンライン追跡。
• サーバーとクライアントの通信のデバッグ。
• 内部制御（アクセス制御、ファイアウォール、スパムフィルターなど）の有効性をチェックします。

スニファーは、犯罪容疑者の活動を監視するために法執行機関でも使用されます。 米国およびヨーロッパのすべてのインターネット サービス プロバイダーおよび ISP は CALEA に準拠していることに注意してください。

人気のスニッファー。

オンライン追跡用の最も機能的なシステム アナライザー:

NeoSpy スパイ プログラムは、オンライン ユーザーの行動を監視することを主な活動としており、汎用的なものに加えて、 プログラムコードスニファー、キーロガー コード ( キーロガー）およびその他の秘密追跡システム。

いつ 一般ユーザー「スニッファー」という言葉を聞くと、彼はすぐにそれが何なのか、そしてなぜそれが必要なのかに興味を持ちます。

すべてを簡単な言葉で説明するよう努めます。

しかし、 この記事初心者ユーザーだけでなく、 も対象としています。

意味

スニッファートラフィックアナライザーです。 つまり、トラフィックはコンピュータ ネットワークを通過するすべての情報です。

このアナライザーは、どのような情報が送信されているかを調べます。 これを行うには、それを傍受する必要があります。 実際、これは違法なことです。この方法で人々は他の人のデータにアクセスできることがよくあります。

これは、ほとんどの西部劇の古典的なプロットである列車強盗にたとえることができます。

一部の情報を別のユーザーに転送しています。 それは「電車」、つまりネットワークチャネルによって運ばれます。

ブラッディ・ジョーのギャングの愚か者たちが列車を妨害し、完全に強奪します。 私たちの場合、情報はさらに進んでいます。つまり、攻撃者は言葉の文字通りの意味で情報を盗みません。

ただし、この情報がパスワード、個人的なメモ、写真などであるとします。

攻撃者はこれらすべてを単純に書き換えて撮影することができます。 こうすることで、彼らはあなたが隠したい機密データにアクセスできるようになります。

はい、あなたはこれらの情報をすべて持っており、あなたのもとに届くでしょう。

しかし、まったく知らない人でも同じことを知っていることがわかります。 しかし、21世紀では情報が最も大切にされています。

私たちの場合、これがまさに私たちが使用する原則です。 特定の人々がトラフィックを停止し、そこからデータを読み取って送信します。

確かに、スニッファーの場合、すべてが必ずしもそれほど怖いわけではありません。これらは、データへの不正アクセスを取得するためだけでなく、トラフィック自体を分析するためにも使用されます。 これは、システム管理者だけでなく、さまざまなリソースの管理者の仕事の重要な部分です。 アプリケーションについて詳しく説明する価値があります。 その前に、これらの同じスニッファーがどのように機能するかについて触れておきます。

動作原理

実際には、スニファは文字通りケーブル上に置かれ、そこからデータやプログラムを読み取るポータブル デバイスです。

場合によっては、それは単に一連の命令、つまり特定の順序および特定のプログラミング環境で入力する必要があるコードである場合もあります。

より詳細には、このようなデバイスによるトラフィックの傍受 次のいずれかの方法で読み取ることができます。

1 スイッチの代わりにハブをインストールする。原則として、ネットワーク インターフェイスのリッスンは他の方法でも実行できますが、それらはすべて効果的ではありません。

2 文字通りのスニファーをチャネルが壊れた場所に接続することによって。これはまさに上で説明したことです - そして、チャネルに沿って移動するすべてのものを読み取る小さなデバイスが取り付けられています。

3 交通支線の設置。このフォークは他のデバイスにルーティングされ、場合によっては復号化されてユーザーに送信されます。

4 トラフィックをスニファーに完全にリダイレクトすることを目的とした攻撃。もちろん、情報が読み取りデバイスに到達した後は、本来の対象であるエンド ユーザーに再び送信されます。 最も純粋な形で！

5 電磁波を分析することで、交通の動きによって発生します。 これは最も複雑で、ほとんど使用されない方法です。

2 番目の方法がどのように機能するかを示す概略図を次に示します。

確かに、ここではリーダーがケーブルに接続されているだけであることが示されています。

実際、この方法で実行することはほぼ不可能です。

実際のところ、エンド ユーザーは、ある時点でチャネルに中断があることに依然として気づきます。

通常のスニファの動作原理は、1 つのセグメント内で接続されているすべてのマシンに送信されるという事実に基づいています。 かなり愚かですが、これに代わる方法は今のところありません。 また、セグメント間ではスイッチを使用してデータが転送されます。 ここで、上記の方法のいずれかを使用して情報を傍受する可能性が現れます。

実はこれがサイバー攻撃、ハッキングと呼ばれるものなのです！

ちなみに、これらの同じスイッチを正しく設置すれば、セグメントをあらゆる種類のサイバー攻撃から完全に保護できます。

他にも保護方法はありますが、それについては最後に説明します。

役立つ情報:

プログラムに注目してください。 これは、ネットワーク トラフィックの分析とデータ パケットの解析に使用され、そのために pcap ライブラリが使用されます。 このライブラリでサポートされているパッケージのみを解析できるため、解析に使用できるパッケージの数が大幅に制限されます。

応用

もちろん、まずは、 このコンセプト前述のアプリケーション、つまりハッカー攻撃とユーザーデータの違法な取得が含まれています。

しかし、これに加えて、スニッファーは他の分野、特に仕事でも使用されます。 システム管理者.

特に、そのようなデバイスや プログラムは、次のタスクの実行に役立ちます。

ご覧のとおり、私たちが検討しているデバイスやプログラムは、システム管理者やネットワークを使用する他の人々の作業を大幅に容易にすることができます。 それが私たち全員です。

それでは、最も興味深い部分であるスニファー プログラムのレビューに移りましょう。

上記で、それらは物理デバイスの形で作成できることを理解しましたが、ほとんどの場合、特別なデバイスが使用されます。

それらを勉強しましょう。

スニッファープログラム

最も人気のあるそのようなプログラムのリストは次のとおりです。

CommView。 私たちのリストにある他のプログラムと同様に、このプログラムは有料です。 最低 1 ライセンスの料金は 300 ドルです。 しかし、このソフトウェアには豊富な機能があります。 まず注目すべき点は、ルールを自分で設定できることです。 たとえば、(これらのプロトコルが) 完全に無視されるようにすることができます。 このプログラムでは、送信されたすべてのパケットの詳細とログを表示できることも注目に値します。 通常版とWi-Fi版があります。

スパイネット。実際、これは私たち全員がうんざりしているトロイの木馬です。 しかし、上で説明したように、高貴な目的にも使用できます。 プログラムはトラフィック内にあるものをインターセプトします。 珍しい機能がたくさんあります。 たとえば、「被害者」がアクセスしたインターネット上のページを再作成できます。 このソフトウェアは無料であることは注目に値しますが、見つけるのは非常に困難です。

ケツニファー。これは、他の人のパスワードやブラウザ履歴を傍受するのではなく、ネットワーク パケットの分析に役立つ純粋なスニファーです。 による 少なくとも、作者はそう思いました。 実際、彼の作品はご存知のとおり、何にでも使用されています。 これは、次のように動作する通常のバッチ プログラムです。 コマンドライン。 まず、2 つのファイルをダウンロードして起動します。 「キャプチャされた」パケットはハードドライブに保存されるため、非常に便利です。

他にも多くのスニファー プログラムがあります。たとえば、fsniff、WinDump、dsniff、NatasX、NetXRay、CooperSniffer、LanExplorer、Net Analyzer などが知られています。 どれでもお選びください！ しかし、公平を期すために、最良の製品は CommView であることは注目に値します。

ここまで、スニッファーとは何なのか、どのように機能するのか、どのようなものなのかを見てきました。

次に、ハッカーやシステム管理者の立場から一般ユーザーの立場に移りましょう。

私たちは、データが盗まれる可能性があることをよく知っています。 このようなことが起こらないようにするにはどうすればよいでしょうか）。 その仕組みは非常にシンプルで、ネットワークをスキャンしてあらゆる種類のスパイを検出し、スパイが検出された場合は報告します。 これは、サイバー攻撃から身を守るための最もシンプルでわかりやすい原則です。

3 プロミスキャンを使用します。このプログラムのプロパティと実行されるタスクは AntiSniff for Windows に非常に似ているため、どちらかを選択してください。 インターネット上にはダウンロード リンクも多数あります (ここではそのうちの 1 つを紹介します)。 これは、同じネットワークに接続されているコンピュータをリモート制御できる革新的なプログラムです。 その動作原理は、ネットワーク上にあるべきではないノードを決定することです。 実際、これらは盗聴者である可能性が最も高いです。 プログラムはそれらを識別し、雄弁なメッセージでこれを知らせます。 とても便利です！

4 暗号化を使用する拡張された場合は、暗号化システム 公開鍵。 これは特別な暗号化システムであるか、 電子署名。 その「トリック」は、キーが公開されており、誰もがそれを見ることができるということですが、データを変更することは不可能です。これは、ネットワーク上のすべてのコンピュータで同時に行う必要があるためです。 泥棒の餌としての優れた方法です。 では、まさにそのようなシステムが使用されているブロックチェーンについて読むことができます。

5 不審なプログラムをダウンロードしたり、不審なサイトにアクセスしたりしないでください。現代のすべてのユーザーはこのことを知っていますが、これはトロイの木馬やその他の厄介なものがあなたのサイトに侵入する主な方法です。 オペレーティング·システム。 したがって、インターネットを使用するときは、原則として十分な責任を持ってください。

さらに質問がある場合は、以下のコメント欄で質問してください。

すべてをシンプルでわかりやすい言葉で説明できれば幸いです。

多くのユーザーは、閉じられたインターネット リソースで登録または認証するときにログイン名とパスワードを入力して Enter キーを押すと、このデータが簡単に傍受できることに気づいていません。 非常に多くの場合、それらは安全でない形式でネットワーク上に送信されます。 したがって、ログインしようとしているサイトが HTTP プロトコルを使用している場合、このトラフィックをキャプチャして分析するのは非常に簡単です。 Wiresharkを使用する次に、特別なフィルターとプログラムを使用して、パスワードを見つけて復号化します。

パスワードを傍受するのに最適な場所はネットワークのコアです。ここでは、すべてのユーザーのトラフィックが閉じたリソース (メールなど) に送信されるか、外部リソースに登録するときにインターネットにアクセスするルーターの前に送信されます。 ミラーを設置して、ハッカーになった気分を味わう準備ができています。

ステップ 1. Wireshark をインストールして起動してトラフィックをキャプチャする

これを行うには、トラフィックをキャプチャする予定のインターフェイスのみを選択し、[開始] ボタンをクリックするだけで十分な場合があります。 私たちの場合は、ワイヤレス ネットワーク経由でキャプチャしています。

トラフィックのキャプチャが開始されました。

ステップ 2. キャプチャされた POST トラフィックのフィルタリング

ブラウザを開いて、ユーザー名とパスワードを使用してリソースにログインしようとします。 認証プロセスが完了し、サイトが開かれると、Wireshark でのトラフィックのキャプチャが停止されます。 次に、プロトコル アナライザーを開いて確認します。 多数のパッケージ。 この時点で、ほとんどの IT プロフェッショナルは次に何をすればよいか分からずに諦めてしまいます。 しかし、私たちは以下を含む特定のパッケージを知っており、興味を持っています。 POSTデータ、画面上でフォームに記入する際にローカルマシン上で生成され、送信されます。 リモートサーバーブラウザの「ログイン」または「認証」ボタンをクリックしたとき。

ウィンドウに特別なフィルタを入力して、キャプチャされたパケットを表示します。 http.リクエスト。メソッド == “役職"

そして、何千ものパッケージではなく、探しているデータを含むパッケージは 1 つだけであることがわかります。

ステップ 3. ユーザーのログイン名とパスワードを見つける

すばやく右クリックしてメニューから項目を選択します TCP Steamをフォローする

この後、コード内のページのコンテンツを復元する新しいウィンドウにテキストが表示されます。 パスワードとユーザー名に対応するフィールド「password」と「user」を見つけてみましょう。 場合によっては、両方のフィールドが簡単に読み取れるだけでなく、暗号化さえされませんが、Mail.ru、Facebook、Vkontakte などの非常によく知られたリソースにアクセスするときにトラフィックをキャプチャしようとすると、パスワードが暗号化されます。

HTTP/1.1 302 が見つかりました

サーバー: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"

設定-Cookie: パスワード= ; 期限切れ=2024 年 11 月 7 日木 23:52:21 GMT; パス=/

場所: loggedin.php

コンテンツの長さ: 0

接続: 閉じる

コンテンツタイプ: テキスト/html; 文字セット=UTF-8

したがって、私たちの場合は次のようになります。

ユーザー名: ネットワークグル

パスワード：

ステップ 4. パスワードを復号化するためのエンコードタイプを決定する

たとえば、Web サイト http://www.onlinehashcrack.com/hash-identification.php#res にアクセスし、識別ウィンドウにパスワードを入力します。 エンコードプロトコルの優先順位のリストが与えられました。

ステップ 5. ユーザーパスワードの復号化

この段階では、hashcat ユーティリティを使用できます。

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

出力では、復号化されたパスワードを受け取りました: simplepassword

したがって、Wireshark の助けを借りて、アプリケーションやサービスの運用上の問題を解決できるだけでなく、ユーザーが Web フォームに入力するパスワードを傍受して、ハッカーとして自分自身を試すこともできます。 次のパスワードを見つけることもできます。 メールボックスユーザーは単純なフィルターを使用して以下を表示します。

• POP プロトコルとフィルターは次のようになります。pop.request.command == "USER" || Pop.request.command == "パス"
• IMAPプロトコルフィルターは次のようになります。 imap.request には「ログイン」が含まれています
• プロトコルは SMTP で、次のフィルターを入力する必要があります。 smtp.req.command == "認証"

エンコードプロトコルを復号化するためのより本格的なユーティリティもあります。

ステップ 6: トラフィックが暗号化されており、HTTPS を使用している場合はどうなりますか?

この質問に答えるには、いくつかの選択肢があります。

オプション 1. ユーザーとサーバー間の接続が切断されたときに接続し、接続が確立された瞬間にトラフィックをキャプチャします (SSL ハンドシェイク)。 接続が確立されると、セッション キーが傍受される可能性があります。

オプション 2: Firefox または Chrome によって記録されたセッション キー ログ ファイルを使用して、HTTPS トラフィックを復号化できます。 これを行うには、これらの暗号化キーをログ ファイル (FireFox ベースの例) に書き込むようにブラウザを設定する必要があり、そのログ ファイルを受信する必要があります。 基本的に、セッションキーファイルを盗む必要があります ハードドライブ別のユーザー（これは違法です）。 次に、トラフィックをキャプチャし、結果のキーを使用して復号化します。

説明。私たちは、パスワードを盗もうとしている人の Web ブラウザについて話しています。 独自の HTTPS トラフィックを復号化するつもりで、練習したい場合は、この戦略が機能します。 他のユーザーのコンピュータにアクセスせずにその HTTPS トラフィックを復号化しようとしても、これは機能しません。これは暗号化とプライバシーの両方を意味します。

オプション 1 または 2 に従ってキーを受け取った後、それらを WireShark に登録する必要があります。

1. メニューの「編集」→「環境設定」→「プロトコル」→「SSL」に移動します。
2. 「複数の TCP セグメントにまたがる SSL レコードを再構成する」フラグを設定します。
3. 「RSA キーリスト」を選択し、「編集」をクリックします。
4. すべてのフィールドにデータを入力し、キーを含むファイルのパスを書き込みます

WireShark は、RSA アルゴリズムを使用して暗号化されたパケットを復号化できます。 DHE/ECDHE、FS、ECC アルゴリズムが使用されている場合、スニファーは役に立ちません。

オプション 3. ユーザーが使用している Web サーバーにアクセスし、キーを取得します。 しかし、これはさらに難しい作業です。 企業ネットワークでは、アプリケーションのデバッグやコンテンツ フィルタリングを目的として、このオプションは法的根拠に基づいて実装されていますが、ユーザー パスワードを傍受する目的ではありません。

ボーナス

ビデオ: Wireshark のパケット スニッフィング ユーザー名、パスワード、および Web ページ

インターセプターNGとは

ARP が機能する本質を考えてみましょう。 簡単な例。 コンピュータ A (IP アドレス 10.0.0.1) とコンピュータ B (IP アドレス 10.22.22.2) はイーサネット ネットワークで接続されています。 コンピュータ A はコンピュータ B にデータ パケットを送信したいと考えています。コンピュータ A はコンピュータ B の IP アドレスを知っています。 ただし、接続されているイーサネット ネットワークは IP アドレスでは機能しません。 したがって、イーサネット経由で送信するには、コンピュータ A はイーサネット ネットワーク上のコンピュータ B のアドレス (イーサネット用語では MAC アドレス) を知る必要があります。 このタスクには ARP プロトコルが使用されます。 このプロトコルを使用して、コンピュータ A は、同じブロードキャスト ドメイン内のすべてのコンピュータにアドレス指定されたブロードキャスト要求を送信します。 リクエストの本質は、「IP アドレス 10.22.22.2 のコンピュータ、あなたの MAC アドレスを MAC アドレスを持つコンピュータに提供してください (例: a0:ea:d1:11:f1:01)」です。 イーサネット ネットワークは、この要求を、コンピュータ B を含む同じイーサネット セグメント上のすべてのデバイスに配信します。コンピュータ B は、コンピュータ A にその要求に応答し、その MAC アドレス (例: 00:ea:d1:11:f1:11) を報告します。コンピュータ B の MAC アドレスを受信すると、コンピュータ A はイーサネット ネットワーク経由で任意のデータをコンピュータ B に転送できます。

各データ送信前に ARP プロトコルを使用する必要を避けるために、受信した MAC アドレスとそれに対応する IP アドレスがテーブルにしばらく記録されます。 同じ IP にデータを送信する必要がある場合、目的の MAC を検索するために毎回デバイスをポーリングする必要はありません。

先ほど見たように、ARP にはリクエストとレスポンスが含まれます。 応答の MAC アドレスが MAC/IP テーブルに書き込まれます。 応答を受信した場合、その信憑性は一切チェックされません。 さらに、リクエストが行われたかどうかさえチェックしません。 それらの。 スプーフィングされたデータを含む ARP 応答を (リクエストがなくても) ターゲット デバイスに即座に送信できます。このデータは最終的に MAC/IP テーブルに保存され、データ転送に使用されます。 これが ARP スプーフィング攻撃の本質であり、ARP エッチング、ARP キャッシュ ポイズニングとも呼ばれます。

ARP スプーフィング攻撃の説明

2 台のコンピュータ (ノード) M と N ローカルネットワークイーサネットはメッセージを交換します。 同じネットワーク上にある攻撃者 X は、これらのノード間のメッセージを傍受したいと考えています。 ホスト M のネットワーク インターフェイスに ARP スプーフィング攻撃を適用する前に、ARP テーブルには IP と MACアドレスまた、ノード N のネットワーク インターフェイス上の ARP テーブルには、ノード M の IP と MAC が含まれています。

ARP スプーフィング攻撃中、ノード X (攻撃者) は 2 つの ARP 応答 (要求なし) をノード M とノード N に送信します。ノード M への ARP 応答には、N の IP アドレスと X の MAC アドレスが含まれます。ノード N への ARP 応答には、IP アドレス M と MAC アドレス X が含まれます。

コンピュータ M と N は自発的 ARP をサポートしているため、ARP 応答を受信した後、ARP テーブルを変更します。ARP テーブル M には IP アドレス N にバインドされた MAC アドレス X が含まれ、ARP テーブル N には MAC アドレス X が含まれます。 IP アドレス M にバインドされています。

したがって、ARP スプーフィング攻撃は完了し、M と N の間のすべてのパケット (フレーム) が X を通過するようになります。たとえば、M がコンピュータ N にパケットを送信したい場合、M は ARP テーブルを調べ、エントリを見つけます。ホストの IP アドレス N を使用して、そこから MAC アドレスを選択し (ノード X の MAC アドレスはすでに存在します)、パケットを送信します。 パケットはインターフェイス X に到着し、インターフェイス X によって分析されてからノード N に転送されます。