Сниферы, в поисках серебряной пули.

Discussion in 'С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby' started by Gin, 27 May 2012.

  1. Gin

    Gin Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    133
    Likes Received:
    7
    Reputations:
    4
    Тема уже очень заезжена, но тем не менее. Ищу снифер, который бы удовлетворял полностью.
    Из того что имеется на сегодняшний день
    Wireshark - очень крутой пакетный снифер, но собрать эти пакеты без мусора так и не получилось, один из тех
    случаев, когда функционала столько что аж неудобно.
    CommView - все очень хвалят и рекомендуют, работает со всем протоколами, может собрать TCP/UDP сессию и представить
    как надо, но не может на лету разбирать ssl
    HttpAnalyzer - работает только с HTTP могет на лету разбирать SSL, минус очевиден только HTTP и в коментах
    пишут, что падает и имеет определенные глюки.

    Можно написать свой снифер используя PCap проект, но опять-таки грешок в том что когда собираем полученный
    траффик там оказывается "мусор".
    Уважаемые участники проекта выскажите свое мнение о ситуации со сниферами, что сейчас тру, а что нет.

    Хотелось бы услышать мнение модераторов и людей, которые имеют долгий опыт использования.
     
  2. slesh

    slesh Elder - Старейшина

    Joined:
    5 Mar 2007
    Messages:
    2,702
    Likes Received:
    1,224
    Reputations:
    455
    Перехват SSL сничего не даст. Слишком много заморочек, особенно если через клиентские сертификаты всё сделано. По этому надо хватать более высокий уровень. Обычно (99%) софта юзают:
    1) WinInet - хуки на HttpSendRequest(Ex)(A/W)
    2) OpenSSL - динамическая линковка - хуки ssl_read и ssl_write (ищутся в импорте/экспорте)
    3) OpenSSL - статическая линковка - тоже самое, но ищется по сигнатуре.

    В случае с WinInet можно спуститься на более низкий уровень - EncryptMessage и DecryptMessage.

    По этому тупо только перехваты. Остальное всё очень сложные вещи и не всегда пашут.
     
  3. stilyaga22

    stilyaga22 New Member

    Joined:
    7 Dec 2011
    Messages:
    72
    Likes Received:
    2
    Reputations:
    3
    хз под винду я пользуюсь интерцептером но глючный правда
    под юникс Loki охуев*ий снифер
    смотря для чего тебе
     
  4. Gin

    Gin Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    133
    Likes Received:
    7
    Reputations:
    4
    В основном, сейчас использую для анализа HTTP/HTTPS траффика, но как это обычно бывает хочу иметь универсальное средство анализа. Ковырялся с CommView приятная штуковина, есть масса вещей что удобны, но не может декодировать на лету HTTPS, что минус.
     
  5. sl1k

    sl1k Member

    Joined:
    31 Jul 2009
    Messages:
    106
    Likes Received:
    26
    Reputations:
    5
    wireshark имхо самый лучший,настрой фильтр и собирай нужные пакеты без мусора
    удели пару часов изучению функционала, потом не пожалеешь
     
  6. Gin

    Gin Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    133
    Likes Received:
    7
    Reputations:
    4
    2sl1k Пробовал разбирался, без мусора собрать не получилось, то и дело появлялись лишние байты где их быть не должно. Если не ошибаюсь wireshark использует драйвера PCap, я использовал их что бы создать свой снифер, но толкового ничего не вышло, "мусор" оказывался в перехвате. Если в чем либо ошибаюсь поправьте меня.
     
  7. Karantin

    Karantin Elder - Старейшина

    Joined:
    21 Dec 2007
    Messages:
    330
    Likes Received:
    146
    Reputations:
    24
    В чем проявляется глюкавость? Автор открыт для общения, сообщи ему о багах. Почта есть на sniff.su
     
  8. fucil

    fucil Banned

    Joined:
    11 Dec 2008
    Messages:
    10
    Likes Received:
    0
    Reputations:
    -5
    Microsoft Network Monitor 3.4

    Как насчёт Microsoft Network Monitor 3.4 недавно наткнулся на майкрасовках, ещё не было времени поюзать, но как я глянул там много чего !
     
  9. Gin

    Gin Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    133
    Likes Received:
    7
    Reputations:
    4
    2fucil Надо попробовать. Может кто уже использовал отпишется по теме, плюсы, минусы данного продукта.
     
  10. Mifody

    Mifody New Member

    Joined:
    18 Jan 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    1. SSL - ну это смотря какой SSL, к примеру для твиттера и гугля "за глаза хватает"
    2. падучесть эт да, эт у него есть :), все из-за попытки отобразить тело ответа в основном, тем более, если там хитрый JSON, а так, ничего - на мой взгляд зря на него так бочку катят
     
  11. Gin

    Gin Elder - Старейшина

    Joined:
    11 Sep 2008
    Messages:
    133
    Likes Received:
    7
    Reputations:
    4
    Из того что есть, тоже склоняюсь к тому, что для анализа HTTP/HTTPS луше HttpAnalyzer'а нет.

    По поводу Microsoft Network Monitor бегло протестировал, сразу какие минусы, на лету не расшифровывает SSL, что в общем-то плохо, но он также не разбирает gzip, deflate, т.е. захотите посмотреть на контент получите закорючки. Это то что сразу бросилось в глаза.
    Из видимых плюсов, есть встроенная поддержка многих протоколов, заголовки HTTP разбирает хорошо и предоставляет в удобоваримой форме. Есть поддержка пользовательских фильтров. Можно просмотреть траффик отдельно каждого процесса. Так же есть возможность написать свой снифер под свои нужны используя C#/C ссылка на SDK вот
     
  12. constantinus

    constantinus New Member

    Joined:
    25 Apr 2012
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Подскажи где скачть Loki
     
  13. Gar|k

    Gar|k Moderator

    Joined:
    20 Mar 2009
    Messages:
    1,166
    Likes Received:
    266
    Reputations:
    82
    Если тебе нужно снифать HTTPS, самый верный вариант, плагины для обозревателей, так как они на прямую вмешиваются в работу обозревателя и могут перехватить данные до шифровки и после расшифровки.

    Удобнее инструмента для веб-программиста чем Firebug, я пока не встречал. Есть там закладка Сеть (сейчас проверил на gmail.com), корректно показывает все заголовки и данные. Незаменимая вкладка для отладки AJAX приложений.
     
    _________________________
  14. stilyaga22

    stilyaga22 New Member

    Joined:
    7 Dec 2011
    Messages:
    72
    Likes Received:
    2
    Reputations:
    3
    считаеться банковским сниффером, насколько я знаю в паблике его нету , пиши в пм скину , ну а толку тебе с него не будет если ты тачку какого нить провайдера не взломал там у них стоит ось на лине хз как называеться забыл