пятница, января 15, 2010

Wireshark

Wireshark (раньше назывался Ethereal) - программа для просмотра сетевого трафика. Периодически им пользуюсь, довольна, рекомендую. У него приятный интерфейс и есть возможность настройки фильтров.



А также отличные доки, FAQ и куча собранного сетевого трафика для тех, кому нечем заняться.

Очень удобная штука, если вы программируете сетевые игры, MMO. Также может пригодиться в быту. Забыли вы, например, пароль к почте. Смотрите трафик Wireshark'ом. Пароли к почте обычно передаются в текстовом виде, тут-то вы его и увидите. Бывает, что пароль закодирован в base64 и выглядит как-то так: bXlMb2dpbgBCYXppbmdhIQ. Тогда его легко декодировать (декодирование base64 оставляю как упражнение читателю). Правда, если пароль зашифрован, то тут все несколько сложнее...

Ссылки по теме:
tcpdump
Top Wireless Hack Tools Packet Sniffers
Wardriving
в

20 комментариев:

  1. Moisei15/1/10 17:08

    wireshark - гуд. про пароли - жжошь.

    ОтветитьУдалить
  2. dmitry_vk15/1/10 17:21

    Да, wireshark хорош. Пару раз помог разобраться с тем, как чужая проприетарная программа работает. Особенно радует декодирование протоколов. Удобно видеть, что такой-то запрос - не просто запрос к такому-то хосту по такому-то порту, а что это SMB-сообщение с запросом на открытие такого-то файла или это http-запрос с таким-то телом или это запрос к СУБД на создание SQL-запроса с указанным текстом запроса.

    ОтветитьУдалить
  3. Unknown15/1/10 17:31

    Пробовал несколько сетевых мониторов, наиболее же понравился CommView, рекомендую.

    ОтветитьУдалить
  4. Unknown15/1/10 18:08

    Вот только забыли упомянуть, что Wireshark - кроссплатформенный опенсорсный проект. Для меня это основной сниффер под линуксом.

    ОтветитьУдалить
  5. Evgen Bodunov15/1/10 18:12

    Одна из самых приятных фич его - что он знает уйму протоколов и показывает не просто бинарные данные в полете через сеть, а отображает имена полей и их значения. так что разбираться и считать смещения не приходится. icq, jabber клиенты приходилось отлаживать с помощью Wireshark-a.

    ОтветитьУдалить
  6. Sergey Maslyakov15/1/10 20:53

    Очень большое преимущество Wireshark - наличие открытой системы диссекторов, которые можно писать для своих собственных протоколов.

    Что касается паролей, то любой минимально параноидальный айтишник не будет использовать протоколы с plain text authentication. Message digest, challenge-response, SSL с pre-shared trusted keys - правильные решения. POP3 в чистом виде - игра с огнем.

    ОтветитьУдалить
  7. Unknown15/1/10 23:42

    Wireshark хорош... но вот когда пришлось смотреть им довольно большие дампы (порядка 200-400 мегабайт), становилось очень грустно... :)

    P.S.: когда однажды забыл пароль от почты, тогда я еще пользовался Sylpheed-claws, ныне Claws Mail, я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками :) ловить трафик - не наш метод!

    ОтветитьУдалить
  8. Alena15/1/10 23:50

    2Cy6erBr4in:

    я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками

    гениально :-)

    ОтветитьУдалить
  9. Abu16/1/10 07:13

    Cy6erBr4in (:

    Чисто для ликбеза - а что это за дампы таких размеров?

    ОтветитьУдалить
  10. Анонимный16/1/10 12:07

    WireShark не помню чем, но не понравился.(кажется из-за того, что нельзя было посмотреть пакет как он есть - не в древовидном представлении. Ну и на тот момент когда я им пользовался он не умел отправлять сформированные вручную пакеты)

    раньше, пока не поменялись сетевые интерфейсы в висте, прекрасно устраивал "платный" Iris(старый SpyNet). Iris естественно не заводится ни на Висте ни на семерке - он просто не находит сетевух.

    Под Висту понравились Microsoft Network Monitor 3.* c неплохими возможностями для задания фильтров в виде скриптов.
    _http://support.microsoft.com/kb/933741
    Это крутой сниффер и опять же бесплатно.

    Еще оказалась замечетальной программка, как раз то что надо под Висту - IP Tools 1.97.1.2.
    _http://erwan.l.free.fr/
    Программка бесплатная, в ней ничего лишнего(кстати использует winpcap); может легко подменивать MAC-адреса.

    Пробовал еще Http Analyzer,понравился, но он все-таки платный )

    Логично предположить что под различные кастомизируемые IDE - тоже полно снифферов. Я говорю конкретно про Eclipse, для которого есть например Http4e _http://www.ywebb.com/eclipse-restful-http-client-plugin-http4e/.

    Собственно и для Firefox существует много полезных плагинов для просмотра траффика(FireBug{к нему еще и доп. плагины подобного рода есть}, Tamper Data, Live HTTP Headers ... ).

    Это покрайней мере часть снифферов, с которыми приходилось иметь дело.

    ОтветитьУдалить
  11. Анонимный16/1/10 16:40

    Если не секрет, для чего надо просматривать трафик, программируя ММО? :)

    ОтветитьУдалить
  12. Alena16/1/10 19:31

    2dtjurev:

    Если не секрет, для чего надо просматривать трафик, программируя ММО? :)

    У меня была ситуация, когда на машину был установлен клиент, исходников не было и надо было быстро глянуть передается вообще чего-нибудь или нет.

    ОтветитьУдалить
  13. Omeh200316/1/10 19:54

    А еще можно включить "другой" режим и ловить пароли соседей по локалке :) У меня криворукий провайдер, поэтому пакеты не фильтруются на роутерах и гуляют по всей внутренней сети. Иногда чувствуешь себя героем триллера когда ловишь пакет отправленный неделю назад, и который по каким то причинам гуляет по кругу в сетке :) А если серьезно, то один раз благодаря этому сниферу я принтер починил. Он ведь снифит все что можно. Вот я и снифил USB и ловил момент где глюки начинаются. И так выявил где поломка.

    ОтветитьУдалить
  14. nvy22/1/10 13:00

    2Алёна.
    Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.

    ОтветитьУдалить
  15. Alena22/1/10 18:38

    2nvy:

    Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.

    Периодически - потому что задача такая возникает периодически. Сейчас ничего кроме Wireshark не использую. Когда-то давно пользовалась tcpdump'ом.

    ОтветитьУдалить
  16. Dmitry11/2/10 13:19

    Я давно еще начал пользоваться Wiresharkом, тогда она называлась, дай бог памяти,... :-) Ethereal. Программа просто супер! Для ловли одиночных пакетов, самое то. Без нее я отлаживал бы сетевые программы очень долго. А так запускал и своей программой клиентом отправлял одиночные пакеты. Которые не ловились моей прогой-приемником, рассматривал Езереалом. Эх, молодость :-) Что то в ностальгию ударился...

    ОтветитьУдалить
  17. _Andrey_14/6/10 17:12

    А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?
    Пробую декодировать:
    $ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
    myLoginBazinga!base64: invalid input

    ОтветитьУдалить
  18. Alena14/6/10 22:13

    2_Andrey_

    А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?

    Ага.

    Пробую декодировать:
    $ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
    myLoginBazinga!base64: invalid input

    А почему там знак равенства в конце, это так и должно быть?
    Вообще все дешифровалось, так что это неважно.

    ОтветитьУдалить
  19. Анонимный17/8/10 18:33

    В конце надо ставить два знака равенства.

    ОтветитьУдалить
  20. Unknown13/2/12 23:05

    Здравствуйте.
    Чайнику подскажите в чем проблема.
    На W7 поставил на ноуте.
    Сетевуха видется, пакеты вообще нет.
    тыкал все настройки, штудирую форумы. проблема видимо до тупости простая. Но наверное для посвященных.
    Касперский выключен..
    В чем проблема может быть?

    ОтветитьУдалить