пятница, января 15, 2010

Wireshark

Wireshark (раньше назывался Ethereal) - программа для просмотра сетевого трафика. Периодически им пользуюсь, довольна, рекомендую. У него приятный интерфейс и есть возможность настройки фильтров.



А также отличные доки, FAQ и куча собранного сетевого трафика для тех, кому нечем заняться.

Очень удобная штука, если вы программируете сетевые игры, MMO. Также может пригодиться в быту. Забыли вы, например, пароль к почте. Смотрите трафик Wireshark'ом. Пароли к почте обычно передаются в текстовом виде, тут-то вы его и увидите. Бывает, что пароль закодирован в base64 и выглядит как-то так: bXlMb2dpbgBCYXppbmdhIQ. Тогда его легко декодировать (декодирование base64 оставляю как упражнение читателю). Правда, если пароль зашифрован, то тут все несколько сложнее...

Ссылки по теме:
tcpdump
Top Wireless Hack Tools Packet Sniffers
Wardriving

20 коммент.:

Moisei комментирует...

wireshark - гуд. про пароли - жжошь.

dmitry_vk комментирует...

Да, wireshark хорош. Пару раз помог разобраться с тем, как чужая проприетарная программа работает. Особенно радует декодирование протоколов. Удобно видеть, что такой-то запрос - не просто запрос к такому-то хосту по такому-то порту, а что это SMB-сообщение с запросом на открытие такого-то файла или это http-запрос с таким-то телом или это запрос к СУБД на создание SQL-запроса с указанным текстом запроса.

mibkay комментирует...

Пробовал несколько сетевых мониторов, наиболее же понравился CommView, рекомендую.

White комментирует...

Вот только забыли упомянуть, что Wireshark - кроссплатформенный опенсорсный проект. Для меня это основной сниффер под линуксом.

mOlind комментирует...

Одна из самых приятных фич его - что он знает уйму протоколов и показывает не просто бинарные данные в полете через сеть, а отображает имена полей и их значения. так что разбираться и считать смещения не приходится. icq, jabber клиенты приходилось отлаживать с помощью Wireshark-a.

evolvah комментирует...

Очень большое преимущество Wireshark - наличие открытой системы диссекторов, которые можно писать для своих собственных протоколов.

Что касается паролей, то любой минимально параноидальный айтишник не будет использовать протоколы с plain text authentication. Message digest, challenge-response, SSL с pre-shared trusted keys - правильные решения. POP3 в чистом виде - игра с огнем.

Cy6erBr4in комментирует...

Wireshark хорош... но вот когда пришлось смотреть им довольно большие дампы (порядка 200-400 мегабайт), становилось очень грустно... :)

P.S.: когда однажды забыл пароль от почты, тогда я еще пользовался Sylpheed-claws, ныне Claws Mail, я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками :) ловить трафик - не наш метод!

Алёна комментирует...

2Cy6erBr4in:

я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками

гениально :-)

Abu комментирует...

Cy6erBr4in (:

Чисто для ликбеза - а что это за дампы таких размеров?

qosys комментирует...

WireShark не помню чем, но не понравился.(кажется из-за того, что нельзя было посмотреть пакет как он есть - не в древовидном представлении. Ну и на тот момент когда я им пользовался он не умел отправлять сформированные вручную пакеты)

раньше, пока не поменялись сетевые интерфейсы в висте, прекрасно устраивал "платный" Iris(старый SpyNet). Iris естественно не заводится ни на Висте ни на семерке - он просто не находит сетевух.

Под Висту понравились Microsoft Network Monitor 3.* c неплохими возможностями для задания фильтров в виде скриптов.
_http://support.microsoft.com/kb/933741
Это крутой сниффер и опять же бесплатно.

Еще оказалась замечетальной программка, как раз то что надо под Висту - IP Tools 1.97.1.2.
_http://erwan.l.free.fr/
Программка бесплатная, в ней ничего лишнего(кстати использует winpcap); может легко подменивать MAC-адреса.

Пробовал еще Http Analyzer,понравился, но он все-таки платный )

Логично предположить что под различные кастомизируемые IDE - тоже полно снифферов. Я говорю конкретно про Eclipse, для которого есть например Http4e _http://www.ywebb.com/eclipse-restful-http-client-plugin-http4e/.

Собственно и для Firefox существует много полезных плагинов для просмотра траффика(FireBug{к нему еще и доп. плагины подобного рода есть}, Tamper Data, Live HTTP Headers ... ).

Это покрайней мере часть снифферов, с которыми приходилось иметь дело.

dtjurev комментирует...

Если не секрет, для чего надо просматривать трафик, программируя ММО? :)

Алёна комментирует...

2dtjurev:

Если не секрет, для чего надо просматривать трафик, программируя ММО? :)

У меня была ситуация, когда на машину был установлен клиент, исходников не было и надо было быстро глянуть передается вообще чего-нибудь или нет.

Иван комментирует...

А еще можно включить "другой" режим и ловить пароли соседей по локалке :) У меня криворукий провайдер, поэтому пакеты не фильтруются на роутерах и гуляют по всей внутренней сети. Иногда чувствуешь себя героем триллера когда ловишь пакет отправленный неделю назад, и который по каким то причинам гуляет по кругу в сетке :) А если серьезно, то один раз благодаря этому сниферу я принтер починил. Он ведь снифит все что можно. Вот я и снифил USB и ловил момент где глюки начинаются. И так выявил где поломка.

nvy комментирует...

2Алёна.
Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.

Алёна комментирует...

2nvy:

Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.

Периодически - потому что задача такая возникает периодически. Сейчас ничего кроме Wireshark не использую. Когда-то давно пользовалась tcpdump'ом.

guitarharp комментирует...

Я давно еще начал пользоваться Wiresharkом, тогда она называлась, дай бог памяти,... :-) Ethereal. Программа просто супер! Для ловли одиночных пакетов, самое то. Без нее я отлаживал бы сетевые программы очень долго. А так запускал и своей программой клиентом отправлял одиночные пакеты. Которые не ловились моей прогой-приемником, рассматривал Езереалом. Эх, молодость :-) Что то в ностальгию ударился...

_Andrey_ комментирует...

А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?
Пробую декодировать:
$ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
myLoginBazinga!base64: invalid input

Alena комментирует...

2_Andrey_

А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?

Ага.

Пробую декодировать:
$ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
myLoginBazinga!base64: invalid input


А почему там знак равенства в конце, это так и должно быть?
Вообще все дешифровалось, так что это неважно.

athlon128 комментирует...

В конце надо ставить два знака равенства.

Unknown комментирует...

Здравствуйте.
Чайнику подскажите в чем проблема.
На W7 поставил на ноуте.
Сетевуха видется, пакеты вообще нет.
тыкал все настройки, штудирую форумы. проблема видимо до тупости простая. Но наверное для посвященных.
Касперский выключен..
В чем проблема может быть?