Wireshark (раньше назывался Ethereal) - программа для просмотра сетевого трафика. Периодически им пользуюсь, довольна, рекомендую. У него приятный интерфейс и есть возможность настройки фильтров. 
А также отличные доки, FAQ и куча собранного сетевого трафика для тех, кому нечем заняться.
Очень удобная штука, если вы программируете сетевые игры, MMO. Также может пригодиться в быту. Забыли вы, например, пароль к почте. Смотрите трафик Wireshark'ом. Пароли к почте обычно передаются в текстовом виде, тут-то вы его и увидите. Бывает, что пароль закодирован в base64 и выглядит как-то так: bXlMb2dpbgBCYXppbmdhIQ. Тогда его легко декодировать (декодирование base64 оставляю как упражнение читателю). Правда, если пароль зашифрован, то тут все несколько сложнее...
Ссылки по теме:
tcpdump
Top Wireless Hack Tools Packet Sniffers
Wardriving
пятница, января 15, 2010
Wireshark
Подписаться на:
Комментарии к сообщению (Atom)
Atom feed
20 коммент.:
wireshark - гуд. про пароли - жжошь.
Да, wireshark хорош. Пару раз помог разобраться с тем, как чужая проприетарная программа работает. Особенно радует декодирование протоколов. Удобно видеть, что такой-то запрос - не просто запрос к такому-то хосту по такому-то порту, а что это SMB-сообщение с запросом на открытие такого-то файла или это http-запрос с таким-то телом или это запрос к СУБД на создание SQL-запроса с указанным текстом запроса.
Пробовал несколько сетевых мониторов, наиболее же понравился CommView, рекомендую.
Вот только забыли упомянуть, что Wireshark - кроссплатформенный опенсорсный проект. Для меня это основной сниффер под линуксом.
Одна из самых приятных фич его - что он знает уйму протоколов и показывает не просто бинарные данные в полете через сеть, а отображает имена полей и их значения. так что разбираться и считать смещения не приходится. icq, jabber клиенты приходилось отлаживать с помощью Wireshark-a.
Очень большое преимущество Wireshark - наличие открытой системы диссекторов, которые можно писать для своих собственных протоколов.
Что касается паролей, то любой минимально параноидальный айтишник не будет использовать протоколы с plain text authentication. Message digest, challenge-response, SSL с pre-shared trusted keys - правильные решения. POP3 в чистом виде - игра с огнем.
Wireshark хорош... но вот когда пришлось смотреть им довольно большие дампы (порядка 200-400 мегабайт), становилось очень грустно... :)
P.S.: когда однажды забыл пароль от почты, тогда я еще пользовался Sylpheed-claws, ныне Claws Mail, я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками :) ловить трафик - не наш метод!
2Cy6erBr4in:
я просто скачал исходники, и поправил GUI так, чтобы пароль не закрывался черными кружочками
гениально :-)
Cy6erBr4in (:
Чисто для ликбеза - а что это за дампы таких размеров?
WireShark не помню чем, но не понравился.(кажется из-за того, что нельзя было посмотреть пакет как он есть - не в древовидном представлении. Ну и на тот момент когда я им пользовался он не умел отправлять сформированные вручную пакеты)
раньше, пока не поменялись сетевые интерфейсы в висте, прекрасно устраивал "платный" Iris(старый SpyNet). Iris естественно не заводится ни на Висте ни на семерке - он просто не находит сетевух.
Под Висту понравились Microsoft Network Monitor 3.* c неплохими возможностями для задания фильтров в виде скриптов.
_http://support.microsoft.com/kb/933741
Это крутой сниффер и опять же бесплатно.
Еще оказалась замечетальной программка, как раз то что надо под Висту - IP Tools 1.97.1.2.
_http://erwan.l.free.fr/
Программка бесплатная, в ней ничего лишнего(кстати использует winpcap); может легко подменивать MAC-адреса.
Пробовал еще Http Analyzer,понравился, но он все-таки платный )
Логично предположить что под различные кастомизируемые IDE - тоже полно снифферов. Я говорю конкретно про Eclipse, для которого есть например Http4e _http://www.ywebb.com/eclipse-restful-http-client-plugin-http4e/.
Собственно и для Firefox существует много полезных плагинов для просмотра траффика(FireBug{к нему еще и доп. плагины подобного рода есть}, Tamper Data, Live HTTP Headers ... ).
Это покрайней мере часть снифферов, с которыми приходилось иметь дело.
Если не секрет, для чего надо просматривать трафик, программируя ММО? :)
2dtjurev:
Если не секрет, для чего надо просматривать трафик, программируя ММО? :)
У меня была ситуация, когда на машину был установлен клиент, исходников не было и надо было быстро глянуть передается вообще чего-нибудь или нет.
А еще можно включить "другой" режим и ловить пароли соседей по локалке :) У меня криворукий провайдер, поэтому пакеты не фильтруются на роутерах и гуляют по всей внутренней сети. Иногда чувствуешь себя героем триллера когда ловишь пакет отправленный неделю назад, и который по каким то причинам гуляет по кругу в сетке :) А если серьезно, то один раз благодаря этому сниферу я принтер починил. Он ведь снифит все что можно. Вот я и снифил USB и ловил момент где глюки начинаются. И так выявил где поломка.
2Алёна.
Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.
2nvy:
Вы пишете,что пользуетесь софтиной периодически.а чем для подобных целей Вы пользуетесь постоянно? Заранее благодарю.
Периодически - потому что задача такая возникает периодически. Сейчас ничего кроме Wireshark не использую. Когда-то давно пользовалась tcpdump'ом.
Я давно еще начал пользоваться Wiresharkом, тогда она называлась, дай бог памяти,... :-) Ethereal. Программа просто супер! Для ловли одиночных пакетов, самое то. Без нее я отлаживал бы сетевые программы очень долго. А так запускал и своей программой клиентом отправлял одиночные пакеты. Которые не ловились моей прогой-приемником, рассматривал Езереалом. Эх, молодость :-) Что то в ностальгию ударился...
А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?
Пробую декодировать:
$ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
myLoginBazinga!base64: invalid input
2_Andrey_
А строка "bXlMb2dpbgBCYXppbmdhIQ" правильная?
Ага.
Пробую декодировать:
$ echo "bXlMb2dpbgBCYXppbmdhIQ=" | base64 -d -
myLoginBazinga!base64: invalid input
А почему там знак равенства в конце, это так и должно быть?
Вообще все дешифровалось, так что это неважно.
В конце надо ставить два знака равенства.
Здравствуйте.
Чайнику подскажите в чем проблема.
На W7 поставил на ноуте.
Сетевуха видется, пакеты вообще нет.
тыкал все настройки, штудирую форумы. проблема видимо до тупости простая. Но наверное для посвященных.
Касперский выключен..
В чем проблема может быть?
Отправить комментарий