Лучшие снифферы для Windows

Лучшие снифферы для Windows

Перехват и ана­лиз тра­фика — один самых важных начальных этапов взлома (пентеста). В перехваченном трафике мож­но найти мно­го интересных данных, в том числе логины у пароли. Для этой цели исполь­зуют­ся специальные программы — сниф­феры. В этой статье я расскажу о лучших сниф­ферах для Windows.

Еще по теме: Лучший сниффер для Android

Лучшие снифферы для Windows

Снифферы часто применяются и в других целях — для анализа и устранения неполадок локальной сети. Для обнаружения вредоносной активности и контроля сотрудников (посещение сайтов и т.д.). Но в большинстве снифферы конечно используются для пентеста (тестирование на проникновения).

Intercepter-NG

Про­изво­дитель: неиз­вес­тно
Сайт: http://sniff.su
Ли­цен­зия: бес­плат­но

Это тоже очень ста­рый и убе­лен­ный седина­ми инс­тру­мент — впер­вые мы писали о нем еще в 2012 году. C тех пор раз­рабаты­ваемый нашими сооте­чес­твен­никами про­ект не толь­ко не исчез с прос­торов интерне­та, как мно­гие его кон­курен­ты, но даже активно раз­вивал­ся и совер­шенс­тво­вал­ся — пос­ледняя акту­аль­ная редак­ция сниф­фера датиро­вана 2020 годом. Сущес­тву­ет вер­сия прог­раммы для Android в виде .APK-фай­ла и даже кон­соль­ная вер­сия это­го инс­тру­мен­та для Unix.

В сво­ей работе Intercepter-NG исполь­зует ути­литу NPcap, пор­табель­ную вер­сию которой, по завере­ниям раз­работ­чиков, тас­кает с собой. Одна­ко прак­тика показа­ла, что ее либо забыли туда положить, либо в Windows 10 она не работа­ет — для запус­ка сниф­фера мне приш­лось качать NPcap с сай­та https://nmap.org/npcap/ и уста­нав­ливать его вруч­ную.

Лучший сниффер для Windows Intercepter-NG
Сниффер для Windows Intercepter-NG

Intercepter-NG име­ет доволь­но сим­патич­ный поль­зователь­ский интерфейс и поз­воля­ет прос­матри­вать тра­фик в нес­коль­ких режимах. Есть обыч­ный прос­мотр пакетов и их содер­жимого, в котором мож­но филь­тро­вать пакеты с помощью пра­вил pcap или исполь­зовать фун­кцию Follow TCP stream для деталь­ного ана­лиза какой‑либо сес­сии. Есть режим Messengers Mode, в котором тул­за пыта­ется перех­ватить тра­фик мес­сен­дже­ров — преж­де все­го иско­паемых ICQ, MSN, Yahoo и AIM, но есть там под­дер­жка про­токо­ла Jabber. С Telegram фокус не удал­ся: сниф­фер поп­росту его не уви­дел.

Име­ется Passwords Mode, в котором на экра­не демонс­три­руют­ся вылов­ленные из тра­фика логины и пароли, переда­ваемые по про­токо­лам FTP, HTTP, SMTP, POP3, IMAP, LDAP, Telnet и дру­гим. Режим Resurrection mode поз­воля­ет вос­ста­нав­ливать фай­лы, переда­ваемые через HTTP, FTP, SMB, IMAP, POP3 и SMTP, — при этом удач­но вос­ста­нав­лива­ются толь­ко фай­лы из завер­шенных TCP-сес­сий.

В сос­таве Intercepter-NG име­ется допол­нитель­ный и очень полез­ный инс­тру­мен­тарий. Это прос­той DHCP-сер­вер, служ­ба NAT, поз­воля­ющая тран­сли­ровать пакеты ICMP/UDP/TCP меж­ду раз­личны­ми Ethernet-сег­мента­ми сети. Есть нес­коль­ко сетевых ска­неров: ARP, DHCP, реали­зован «умный» поиск шлю­зов. Еще один полез­ный инс­тру­мент — модуль для орга­низа­ции MiTM-атак. Под­держи­вают­ся методы Spoofing (с под­дер­жкой про­токо­лов DNS/NBNS/LLMNR), ICMP Redirect, DNS over ICMP Redirect, SSL MiTM, SSLStrip и некото­рые дру­гие.

С помощью прог­раммы мож­но прос­каниро­вать задан­ный диапа­зон пор­тов в поис­ках работа­ющих на них при­ложе­ний, про­вес­ти ана­лиз свя­зан­ных с эти­ми пор­тами про­токо­лов. Мож­но перек­лючить сниф­фер в экс­тре­маль­ный режим, при котором он будет перех­ватывать все TCP-пакеты без про­вер­ки пор­тов, что поз­волит обна­ружить в сети при­ложе­ния, работа­ющие на нес­тандар­тных и пере­опре­делен­ных адми­нис­тра­тором пор­тах. Прав­да, в этом режиме при­ложе­ние нещад­но тор­мозит и пери­оди­чес­ки зависа­ет намер­тво.

В акту­аль­ной вер­сии Intercepter-NG появи­лась встро­енная тул­за для экс­плу­ата­ции уяз­вимос­ти Heartbleed — ошиб­ки в крип­тогра­фичес­ком прог­рам­мном обес­печении OpenSSL, с помощью которой мож­но несан­кци­они­рован­но читать память на сер­вере или на кли­енте, в том чис­ле для извле­чения зак­рытого клю­ча сер­вера.

Еще в сос­тав пакета был добав­лен инс­тру­мент для брут­форса и мно­гопо­точ­ный ска­нер уяз­вимос­тей X-Scan. Ины­ми сло­вами, из прос­того при­ложе­ния сетево­го ана­лиза Intercepter-NG понем­ногу прев­раща­ется в эда­кий ком­байн, поз­воля­ющий не отхо­дя от кас­сы прос­каниро­вать сеть на наличие откры­тых пор­тов и незак­рытых уяз­вимос­тей, перех­ватить логины с пароля­ми и чего‑нибудь сбру­тить.

К минусам Intercepter-NG сле­дует отнести то, что прог­рамма рас­позна­ется как вре­донос­ная анти­виру­сом Кас­пер­ско­го и Windows Defender, из‑за чего при­бива­ется еще на эта­пе заг­рузки с сай­та про­изво­дите­ля. Так что для работы со сниф­фером при­дет­ся отклю­чать анти­виру­сы, но это доволь­но скром­ная пла­та за воз­можность поль­зовать­ся столь мно­гофун­кци­ональ­ным инс­тру­мен­том.

SmartSniff

Про­изво­дитель: Nirsoft
Сайт: http://www.nirsoft.net/utils/smsniff.html
Ли­цен­зия: бес­плат­но

Прос­тень­кий сниф­фер, работа­ющий с про­токо­лами TCP, UDP и ICMP. Тре­бует уста­нов­ки драй­вера WinPcap и Microsoft Network Monitor Driver вер­сии 3.

Лучший сниффер для SmartSniff
Сниффер для Windows SmartSniff от Nirsoft

Про­ект изна­чаль­но раз­рабаты­вал­ся под Windows 2000/XP (что, в общем‑то, замет­но по его интерфей­су), но жив и по сей день — пос­ледняя вер­сия сниф­фера датиро­вана 2018 годом. Ути­лита поз­воля­ет перех­ватывать тра­фик, про­ходя­щий через локаль­ную машину, и прос­матри­вать содер­жимое пакетов — боль­ше она, собс­твен­но, ничего не уме­ет.

tcpdump

Про­изво­дитель: Tcpdump Group
Сайт: tcpdump.org
Ли­цен­зия: бес­плат­но (модифи­циро­ван­ная лицен­зия BSD)

На­писан­ная на С кон­соль­ная ути­лита, изна­чаль­но раз­работан­ная под Unix, но поз­же пор­тирован­ная на Windows, в которой исполь­зует­ся WinPcap. Для нор­маль­ной работы тре­бует наличия адми­нис­тра­тив­ных при­виле­гий.

Лучший сниффер для Windows tcpdump
Сниффер tcpdump

Сре­ди поль­зовате­лей Windows более популяр­на вер­сия tcpdump с откры­тым исходным кодом под наз­вани­ем WinDump, которую мож­но бес­плат­но ска­чать с сай­та https://www.winpcap.org/windump/.

Burp Suite

Про­изво­дитель: Portswigger
Сайт: https://portswigger.net/burp
Ли­цен­зия: бес­плат­но (Community Edition)

Еще один популяр­ный у пен­тесте­ров инс­тру­мент, пред­назна­чен­ный для тес­тирова­ния безопас­ности веб‑при­ложе­ний. Burp вхо­дит в сос­тав Kali Linux, есть вер­сия под Windows с 64-бит­ной архи­тек­турой.

Этот фрей­мворк недаром называ­ют «швей­цар­ским ножом пен­тесте­ра» — в пла­не поис­ка уяз­вимос­тей и ауди­та безопас­ности веб‑при­ложе­ний ему нет рав­ных. Burp Suite вклю­чает воз­можнос­ти для отправ­ки на уда­лен­ные узлы модифи­циро­ван­ных зап­росов, брут­форса, фаз­зинга, поис­ка фай­лов на сер­вере и мно­гое дру­гое.

Собс­твен­но, в качес­тве сниф­фера Burp сов­сем не уни­вер­сален — он уме­ет толь­ко отсле­живать тра­фик меж­ду бра­узе­ром и уда­лен­ным веб‑при­ложе­нием с исполь­зовани­ем перех­ватыва­юще­го прок­си, для работы которо­го с про­токо­лом HTTPS тре­бует­ся уста­новить в сис­теме допол­нитель­ный сер­тификат. Но для опре­делен­ных целей это­го может ока­зать­ся дос­таточ­но.

Лучший сниффер для Windows Burp Suite
Burp Suite Community Edition

Burp перех­ватыва­ет все пакеты, которые отправ­ляет и получа­ет бра­узер и, соот­ветс­твен­но, поз­воля­ет ана­лизи­ровать тра­фик раз­личных веб‑при­ложе­ний, вклю­чая онлайн‑мес­сен­дже­ры или соц­сети. Если в иссле­дуемой пен­тесте­ром инфраструк­туре име­ются работа­ющие через HTTP или HTTPS сер­висы, луч­шего инс­тру­мен­та для их тес­тирова­ния, пожалуй, не най­ти. Но исполь­зовать Burp толь­ко в качес­тве сниф­фера HTTP/HTTPS-тра­фика — это все рав­но, что возить с дач­ного учас­тка кар­тошку на «Лам­бор­джи­ни»: он пред­назна­чен сов­сем для дру­гих задач.

Заключение

Ес­ли переф­разиро­вать популяр­ную пес­ню, сниф­феры быва­ют раз­ные — и каж­дый из них луч­ше под­ходит для сво­их задач.

В целях иссле­дова­ния веб‑при­ложе­ний и перех­вата локаль­ного HTTP-тра­фика нет ничего луч­ше Burp Suite, для поис­ка проб­лемных мест в собс­твен­ной локаль­ной сети или получе­ния спис­ка уда­лен­ных узлов, к которым обра­щает­ся какая‑либо прог­рамма, отлично подой­дет Wireshark.

А для атак на сетевую инфраструк­туру мож­но исполь­зовать Intercepter-NG — эта тул­за рас­полага­ет целым набором полез­ных инс­тру­мен­тов для тес­тирова­ния на про­ник­новение.

Еще по теме: Лучшие устройства хакера

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован.