Добрый день. Имеем следующую ситуацию: Роутер ASUS WL-500g P V2, который подключен к интернету и раздает его преимущественно по вай-фаю на несколько компов, а так же компьютер, который по проводу подключен к роутеру и включен 24/7 (так же в компе установлен USB WiFi адаптер). Задача: собсно вести логи всего общения, паролей и прочего. На данный момент ставил на невыключаемом компьютере Ufasoft ICQ Snif 1.426, результат есть, но я им не совсем доволен, т.к. насколько я понимаю, фиксирует он только то, что отправляется от пользователей (например видел только исходящие сообщения аськи). Так же возникает ощущение, что фиксирует он все же не то, т.к. активность пользователей мне "слышна", но вот данных очень мало ухватывается снифом. На счет "только исходящего" я читал материал про ARP, как я понял после прочтения - вполне возможно, что роутер не дает изменять ARP таблицу, в связи с чем и отсутствует весь входящий на пользователей трафик. Роутер находится под МОИМ контролем, так что с ним могу любые выкрутасы делать, только, честно говоря, не понимаю где копать, хоть и кажется, что оно должно быть на поверхности, ведь мне всего-то надо пропустить весь трафик через неотключаемый компьютер. Ставил Cain, урвал пароль на почту, но через небольшой отрезок времени, пользователь бывший в poison'инге пожаловался на то, что у него интернет скис, отрубил Cain'а, все восстановилось, более не юзал. Может быть кто-нибудь подскажет как мне можно реализовать задуманное? PS Так же интересно, а можно ли как-то ухватывать общение в скайпе и в вебчатах? PS2 В принципе имею возможность установить "вредоносное ПО" пользователям, но велик шанс, что это будет замечено, пользователи могут и в процессах полазить и список установленного ПО посмотреть... Так же у них NOD32 стоит. Вообщем вариант не "айс" с моей точки зрения. Спасибо. Буду очень признателен за толковые комментарии.
Попробуй Iris Network Traffic Analyzer Офф. сайт: http://www.eeye.com/html/Products/Iris/index.html Архив с кейгеном был на web-hack'e когда-то. Помимо стандартных функций сбора, фильтрации и поиска пакетов, а также построения отчетов, программа Iris The Network Traffic Analyzer предлагает уникальные возможности для реконструирования данных. Iris The Network Traffic Analyzer помогает детально воспроизвести сеансы работы пользователей с различными web-ресурсами и даже позволяет имитировать отправку паролей для доступа к защищенным web-серверам с помощью cookies. Уникальная технология реконструирования данных, реализованная в модуле дешифрования (decode module), преобразует сотни собранных двоичных сетевых пакетов в привычные глазу электронные письма, web-страницы, сообщения ICQ и др. eEye Iris позволяет просматривать незашифрованные сообщения web-почты и программ мгновенного обмена сообщениями, расширяя возможности имеющихся средств мониторинга и аудита. Анализатор пакетов eEye Iris позволяет зафиксировать различные детали атаки, такие как дата и время, IP-адреса и DNS-имена компьютеров хакера и жертвы, а также использованные порты. И что гораздо важнее, продукт компании eEye Iris поможет быстро воссоздать точную, вплоть до нажатия клавиш и движений мыши, картину вторжения.
Neoveneficus Установил я IRIS, но он не видит ни одного сетевого адаптера на невыключаемом компьютере и на ноутбуке. Пишет "Ooops". Включая и проводные и безпроводные. Но в любом случае, на сколько я понимаю - IRIS будет работать в случае если весь трафик будет проходить через 24/7 компьютер... А как в первую очередь реализовать это?
Пробовал Wireshark'ом в локалке, сообщения понимал и входящие и исходящие, как меня так и других пользователей сети.
Во избежании недопонимания - ещё раз включал Cain & Abel. Условно говоря 10 минут у абонента интернет был, а потом опять все вырубилось и он пропал. Каин был в том же режиме, перехват Роутер<->Абонент....
nicusor Так он же при уставновке Cain ставится, или это другой имеется ввиду? Ещё вопрос, не конфликутуют ли между собой несколько сниферов? (например 4.126 и Cain) (опытным путем проверять не хочется во избежании косых взглядов со стороны пользователей) PS Проверил, winpcap стоит, свежая версия.
Сниферы как-то хитро посылают пакеты, что трафик проходит через тебя. Правда при этом очень сильно расходуется пропускная способность сети и ресурсы роутера. У меня снифер работал абсолютно спокойно. Даже http перехватывал сразу после установки. Ловил все что в моей подсети, то бишь под NAT'ом роутера. Вот не могу вспомнить что за снифер, по-моему все-же это был Iris. Помню что там была функция "антироутер", правда так и не сумел ей воспользоваться.
Neoveneficus Да, у меня по загадочным причинам все стало работать и без принудительноо направления трафика, Cain ловит пароли, нет необходимости указывать в нем какие-то жесткие связи между компами, просто включил сниф и арп пойзон. А icqsnif 4.126 айсикью сообщения. Так же порадовало, что Cain записывает голосовые skype сессии, правда я пока не слушал, что он там записывает. PS Вот если бы Cain ещё хватал сообщения по аське, то цены бы ему в моих глазах небыло. Так все нравится, вот только если бы триальный icqsnif не надо было для ухвата icq сообщений.
не думаю что любой из выложеный ниже сниферов поможет,ето уже как криво нужно настраивать сетку,что я просто не знаю...
