Начинающему qa: полезные функции снифферов на примере charles proxy

Scapy

Сайт: www.secdev.org/projects/scapy

Must-have для любого хакера, представляющий собой мощнейшую тулзу для интерактивной манипуляции пакетами. Принять и декодировать пакеты самых различных протоколов, ответить на запрос, инжектировать модифицированный и собственноручно созданный пакет — все легко! С ее помощью можно выполнять целый ряд классических задач, вроде сканирования, tracorute, атак и определения инфраструктуры сети. В одном флаконе мы получаем замену таких популярных утилит, как: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и т.д. В то же самое время Scapy

позволяет выполнить любое, даже самое специфическое задание, которое никогда не сможет сделать уже созданное другим разработчиком средство. Вместо того чтобы писать целую гору строк на Си, чтобы, например, сгенерировать неправильный пакет и сделать фаззинг какого-то демона, достаточно накидать пару строчек кода с использованиемScapy ! У программы нет графического интерфейса, а интерактивность достигается за счет интерпретатора Python. Чуть освоишься, и тебе уже ничего не будет стоить создать некорректные пакеты, инжектировать нужные фреймы 802.11, совмещать различные подходы в атаках (скажем, ARP cache poisoning и VLAN hopping) и т.д. Разработчики сами настаивают на том, чтобы возможности Scapy использовались в других проектах. Подключив ее как модуль, легко создать утилиту для различного рода исследования локалки, поиска уязвимостей, Wi-Fi инжекции, автоматического выполнения специфических задач и т.д.

Два слова об интерфейсе

Интерфейс Charles Proxy прост. Слева — список перехваченных запросов, справа — детали.

В списке запросов есть две основные вкладки — Structure и Sequence.

В первом случае запросы рассортированы по хостам-папкам. Наведя на любой из них, можно получить всю информацию о количестве запросов к этому корневому хосту, доле удачных, таймингах, размерах и т.п. Фактически, здесь представлена вся та же информация, которую можно получить из панели разработчика в браузере. Выбрав конкретный URL, можно увидеть код ответа, версии протоколов, контент и т.п. Тело запроса, заголовки, cookie (если есть) можно посмотреть в разных форматах — даже в HEX.

С помощью контекстного меню запроса можно настраивать блокировки, повторять и изменять запросы. На этом мы еще остановимся.

На вкладке Sequence запросы выведены по времени в виде настраиваемой таблицы. Видно, когда начался запрос, сколько он длился, его размер, статус и т.п. Наведя на конкретную строку, мы получим ту же информацию о теле, заголовках и т.п.

Если запросов на экране слишком много, с помощью панели инструментов их можно очистить или вообще остановить перехват. Там же есть возможность включить и выключить троттлинг (подробнее об этих функциях расскажу позже). Базовая настройка каждой из функций осуществляется через меню, а кнопки панели управления выступают своего рода тумблерами On / Off.

Где скачать и как установить

Чтобы WhatsApp Sniffer скачать для Андроид нужно набрать в Google: «whatsapp sniffer apk скачать», либо воспользоваться установочным файлом, который ты можешь найти у нас на сайте.  К сожалению, Whatsapp sniffer скачать для iphone не получится, т. к. для этой операционной системы его просто нет.

Для того чтобы установить утилиту на телефон выполни следующие действия:

1. Передай установочный файл на свой смартфон.
2. Запусти его – он установится в обычном режиме.
3. При открытии файл запросит разрешение доступа к некоторым функциям, выбери «Разрешить». Вот и все: сниффер установлен на твоем гаджете.

https://youtube.com/watch?v=mtrNlhTvBg8

Пассивный и активный нюхающий

Прежде чем мы рассмотрим пассивный и активный сниффинг, давайте рассмотрим два основных устройства, используемых для сетевых компьютеров; концентраторы и коммутаторы.

Концентратор работает, отправляя широковещательные сообщения на все выходные порты, кроме того, который отправил широковещание . Компьютер получателя отвечает на широковещательное сообщение, если IP-адрес совпадает. Это означает, что при использовании концентратора все компьютеры в сети могут видеть широковещательное сообщение. Он работает на физическом уровне (уровень 1) модели OSI.

Диаграмма ниже иллюстрирует работу концентратора.

Переключатель работает по-другому; он сопоставляет IP / MAC-адреса с физическими портами на нем . Широковещательные сообщения отправляются на физические порты, которые соответствуют конфигурации IP / MAC-адреса компьютера получателя. Это означает, что широковещательные сообщения видны только на компьютере получателя. Коммутаторы работают на канальном уровне (уровень 2) и сетевом уровне (уровень 3).

На приведенной ниже схеме показано, как работает коммутатор.

Пассивный анализатор перехватывает пакеты, передаваемые по сети, которая использует концентратор . Это называется пассивным анализом, потому что его трудно обнаружить. Это также легко выполнить, так как концентратор отправляет широковещательные сообщения на все компьютеры в сети.

Активный сниффинг перехватывает пакеты, передаваемые по сети, использующей коммутатор . Существует два основных метода, используемых для обнаружения связанных сетей: отравление ARP и затопление MAC.

Проблемы с сетевыми снифферами

Инструменты сетевого сниффинга предлагают отличный способ узнать, как работают сетевые протоколы. Тем не менее, они также обеспечивают легкий доступ к некоторой частной информации, такой как сетевые пароли. Свяжитесь с владельцами, чтобы получить разрешение, прежде чем использовать анализатор в их сети.

Сетевые зонды только перехватывают данные из сетей, к которым подключен их хост-компьютер. На некоторых соединениях снифферы захватывают только трафик, адресованный этому конкретному сетевому интерфейсу

В любом случае, самое важное, что нужно помнить, это то, что любому, кто хочет использовать сетевой анализатор для слежения за трафиком, будет трудно сделать это, если этот трафик зашифрован

Источник

Как предотвратить атаки сетевых перехватчиков

Если вы обеспокоены тем, что программное обеспечение для слежения за сетью отслеживает сетевой трафик, исходящий от вашего компьютера, есть способы защитить себя.

Существуют этические причины, по которым кому-то может понадобиться использовать сетевой сниффер, например, когда сетевой администратор отслеживает поток сетевого трафика.

Когда сетевые администраторы обеспокоены злонамеренным использованием этих инструментов в своей сети, они используют анти-снифф-сканирование для защиты от атак сниффера. Это означает, что корпоративные сети обычно безопасны.

Тем не менее, легко получить и использовать сетевой сниффер со злыми намерениями, что делает его незаконное использование в вашем домашнем интернете поводом для беспокойства. Для кого-то может быть легко подключить такое программное обеспечение даже к корпоративной компьютерной сети.

Если вы хотите защитить себя от того, кто шпионит за вашим интернет-трафиком, используйте VPN, который шифрует ваш интернет-трафик.

7) EtherApe – FREE

This may not be the most complex or complete tool available, but for those who rely on Unix, this GTK3-based network monitor can get the job done.

It uses an easy to decipher color-coded display for visualizing network and packet data, and has RPM packages that have been built for Arch Linux, Fedora, OpenSUSE, and Mageia 6.

The use of the GTK3 graphical libraries make this an attractive native Linux experience in several flavors.

The display of network data is heavily graphical and intuitive in design, with more active nodes appearing large on the screen.

This makes an otherwise arcane tool rather easy to use and interpret, even for those with intermediate knowledge of networks.

Где скачать Intercepter-NG

Официальным сайтом программы Intercepter-NG является sniff.su. Там же её можно скачать. Но некоторые браузеры помечают сайт как содержащий нежелательное ПО. Конечно, это не препятствует посещению сайта, но если вам не хочется нажимать несколько лишних кнопок, то ещё одни официальным сайтом, где можно скачать Intercepter-NG, является зеркало на Гитхабе: https://github.com/intercepter-ng/mirror. Там имеются все версии программы:

• файл с расширением .apk – это версия для Android (требует root прав)
• с буквами CE – консольная версия
• Intercepter-NG.v*.zip – основная версия для Windows

Скаченная программа не нуждается в установке – достаточно распаковать архив.

Whatsapp Sniffer APK 2020 Installation Guide

• In the beginning, open the settings on your android device.
• After that, you can touch on security settings to find the unknown sources option.

• Now, allow the option after you can happily install WhatsappSniffer APK files on your smartphone device.
• Once the Installation method is complete, open any file explorer on your device like ES File Explorer.
• In here, operate to the folder holding the WhatsAppSniffer App, which you have downloaded beginning. Once you have noticed this APK file, open it utilizing ES File Explorer.
• Later that, allow all the required approvals of this app, which will start the installation method. And Whatsapp Sniffer Apk will be happily installed on your device within some seconds. Once that is completed, you can start managing this app for sniffing Whatsapp accounts on your network right away.

Фильтрация

В Charles Proxy очень много вариантов фильтрации запросов.

Начнем с вкладки Structure. Самое примитивное — скопировать хост и вставить в поле Filter. Так мы увидим только запросы с этого хоста. Примерно того же результата можно добиться, если в контекстном меню хоста выбрать Focus. Остальные запросы будут собраны в Other Hosts. Если при этом перейти на закладку Sequence и отметить настройку Focused, то в списке окажется информация только о тех запросах, которые были выбраны на вкладке Structure.

На вкладке Sequence есть аналогичный фильтр.

Charles Proxy умеет работать с регулярными выражениями. Для этого на вкладке Sequence выбираем Settings и отмечаем пункт Filter uses regex. И вписываем в поле поиска элементарную регулярку.

Например, вот так

можно выбрать все запросы, в которых в начале имени хоста находится четыре буквы, а потом идет точка.

Там же можно включить Autoscroll списка запросов или указать максимальное количество строк.

В Charles Proxy можно фильтровать не только отображение, но и запись запросов. Для этого надо зайти в Proxy -> Record settings и задать условия на одной из вкладок — Include или Exclude — так мы включаем или выключаем запись запросов данного хоста.

Похожего результата можно добиться, используя блок-листы. Включить хост в блок лист можно из контекстного меню (команда Block list) или через добавление в Tools -> Block list, где следует отметить Enable Block list.

Блокируемый запрос можно прервать двумя способами (подходящий надо выбрать в настройках):

• сбросить соединение;

• вернуть ошибку 403.

От выбранного способа блокировки зависит, какой ответ мы получим.

Можно провести эксперимент. Включим наш тестовый стенд в Block list, выбрав простой сброс соединения. С помощью контекстного меню запроса повторим его (команда Repeat) и получим такой ответ:

Статус запроса — Failed, а в описании ошибки указано, что Connection dropped.

2) PRTG IP Sniffer – PAID

PRTG by Paessler is a popular and powerful network monitor tool which does much more than IP sniffing.

PRTG’s approach to network monitoring is based on sensors. You can set up sensors across an entire network that measure the values of different things such as CPU load, disk space, bandwidth and so on.

Once you set them up, they can all be monitored from a central dashboard. In this sense, the sensors act like little network alarms that will alert the network administrator to a network problem.

There’s a lot to like about this approach, and the first 100 sensors are free to use for 30 days, after which the software will revert to a free version that has limitations. The unique sensor-based approach that PRTG takes makes it an interesting choice.

Now, the IP Sniffing functionality of PRTG is another sensor just like the other ones they have.

The Packet Sniffer Sensor uses a built-in packet sniffer to monitor the headers of data packets passing through the network card. Only packet headers are captured.  

Первичная настройка

При тестировании мобильного приложения

Charles Proxy необходимо запустить на компьютере, который находится в той же локальной подсети, что и мобильное устройство с тестируемым приложением.

Как правило, соединение настраивается по Wi-Fi. В настройках Wi-Fi мобильного устройства в качестве proxy-сервера надо указать IP-адрес компьютера и стандартный порт инструмента 8888 (пароль остается пустым).

IP-адрес компьютера можно узнать через командную строку (ipconfig) или в самом Charles Proxy (Help -> Local IP Address).

Этот же адрес есть в инструкции по подключению, доступной в Help -> SSL Proxying -> Install Charles Root Certificate on mobile device remote browser.

После сохранения настроек Charles Proxy сможет читать HTTP-трафик мобильного устройства. Но чтобы смотреть расшифрованный трафик HTTPS, нужны дополнительные манипуляции — требуется установить SSL-сертификат Charles Proxy в браузере на мобильном устройстве.

Скачать сертификат можно по адресу: chls.pro/ssl (адрес, по которому скачивается сертификат, также можно найти в инструкции Help -> SSL Proxying -> Install Charles Root Certificate on mobile device remote browser). Далее в iOS его необходимо сделать доверенным (в Настройки -> Основные -> Профили).

В Android установленные сертификаты верифицируются в Settings -> Trusted Credentials на вкладке User.

Главное отличие в настройках для этой ОС в том, что с Android 6.0 и выше в Androidmanifest надо добавить специальную конфигурацию, позволяющую просматривать защищенный трафик. На продакшене эта конфигурация убирается из соображений безопасности.

При тестировании приложения на ПК

В этом случае дополнительные сертификаты нужно установить на сам ПК. Для скачивания и установки нужна ссылка из Help -> SSL Proxying -> Install Charles Root Certificate.

Сертификат устанавливается в доверенные корневые центры.

Как обезопасить себя от WhatsApp Sniffer

Что делать, если ты не шпион, а жертва? При любом малейшем подозрении того, что твой телефон используется злоумышленниками в корыстных целях, то следует удалить приложение Воцап и установить его заново. Более того, рекомендуется:

• Почистить телефон с помощью любого антивируса;
• Обратиться к разработчикам Воцап для того чтобы они поставили более серьёзную защиту от проникновения сторонних программ в утилиту.
• Всегда проверяй насколько Wi-Fi-сеть, которой ты пользуешься, надежна. Так, если у тебя возникли подозрения, что к ней могут быть подключены хакеры, то лучше не подключаться к ней.

WhatsApp Sniffer App For PC (Windows | Mac) | iOS

Apk file format is not suitable for every device’s platform out there. So, one should acquire the knowledge on how to install, download, and update guides of the android application for various devices, which shall be provided below.

Whatsapp sniffer for PC: Keep tracking your loved one’s details is fun unless you know how to do it. For those facing problem downloading and installing the WhatsApp sniffer apk can now do it easily by accessing this tutorial here: How to Install Whatsapp sniffer for PC

WhatsApp Sniffer For iOS (Not Available): 

iPhone or iPad devices are highly secured, and their ios software is not compatible with every app available on the web. Although there are different ways to find solutions to install other apps, this one Whatsappsniffer needs many requirements to fulfill. It needs rooting, and apps like busy box to engage with the system settings. Hence, these requirements are highly impossible to meet on IOS gadgets; we cannot process WhatsAppsniffer Apk.

Программы-сниферы

Вот список наиболее популярных таких программ:

CommView. Программа платная, как и все остальных в нашем списке. Одна минимальная лицензия стоит 300 долларов. Зато функционал у ПО богатейший. Первое, что стоит отметить, так это возможность самостоятельной установки правил отслеживания чужого трафика. К примеру, можно сделать так, чтобы ICMP или TCP (это протоколы) полностью игнорировались. Примечательно также, что программа позволяет просматривать детали и лог всех пересылаемых пакетов. Существует обычная версия и версия для Wi-Fi.

Рис. 4. CommView

SpyNet. Это, фактически, троян, от которых мы все так устали. Но он может использоваться и в благородных целях, о которых мы говорили выше. Программа выполняет перехват и расшифровку пакетов, которые есть в трафике. Есть множество необычных функций. К примеру, можно воссоздавать страницы в интернете, на которых побывала «жертва». Примечательно, что это ПО бесплатное, но найти его достаточно непросто.

Рис. 5. SpyNet

BUTTSniffer. Это сниффер в чистом виде, который помогает анализировать сетевые пакеты, а не перехватывать чужие пароли и историю браузера. По крайней мере, так думал ее автор. На самом же деле его творение используется сами понимаете для чего. Это обычная пакетная программа, которая работает через командную строку. Для начала использования загружаются и запускаются два файла. «Захваченные» пакеты сохраняются на жестком диске, что очень удобно.

Существует множество других программ-снифферов. К примеру, известны fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и многие другие. Выбирайте любую! Но, справедливости ради стоит отметить, что лучшая – CommView.

Итак, мы разобрали, что такое снифферы, как они работают и какие бывают.

Теперь перейдем с места хакера или сисадмина на место обычного юзера.

Мы прекрасно понимаем, что наши данные могут украсть. Что же делать, чтобы этого не произошло?

вернуться к меню

Как работает

Работает утилита только на Android. Разработчики также заверяют нас, что это приложение полностью безопасно для телефона.

Итак, суть работы сниффера в следующем: у каждого телефона есть свой оригинальный MAC-код, который утилита копирует и, таким образом, программа думает, что в нее зашли с привычного смартфона, либо же другого гаджета. Копировать MAC-код сниффер может тремя способами:

• СМС. Пришли специальное СМС жертве с ссылкой. Когда жертва откроет ссылку сниффер проникнет в телефон и в программу WhatsApp пользователя, открывая доступ для тебя.
• Звонок. Приложение звонит на телефон жертвы и когда она отвечает проникает в телефон и в приложение.
• Wi-Fi. Если ты находишься рядом с жертвой, и вы с ней пользуетесь одним вай-фаем, то тогда нужно просто запустить сниффер на телефоне и указать номер жертвы: уже через секунду доступ к ее WhatsApp будет у тебя.

Для использования сниффера достаточно запустить утилиту, выбрать способ использования и нажать «spoof» — кнопку, которая позволяет обнаруживать телефон интересной тебе персоны.

Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?

Для ответа на этот вопрос есть несколько вариантов.

Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.

Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.

Уточнение.
Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает — на то оно и шифрование, и личное пространство.

После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:

1. Идем в меню Edit — Preferences — Protocols — SSL.
2. Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
3. «RSA keys list» и нажимаем Edit.
4. Вводим данные во все поля и прописываем путь в файлу с ключом

WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.

Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.

Как защититься от снифферов

Вот несколько советов, которые помогут обычным юзерам обезопасить себя от снифф-атаки:

1Используйте шифрование. Это наиболее простой и очевидный, но работающий метод. Все очень просто. Установите в браузер расширение VPN или такую же программу на компьютер и пользуйтесь интернетом только с ним. Секрет в том, что ваши пакеты будут настолько зашифрованными и их путь будет настолько непонятным, что никакой сниффер их не перехватит. Другие типы шифрования, с которыми вы можете столкнуться и работать: SSH, S/MIME, S/Key, SHTTP, SSL и так далее.

2Используйте программу AntiSniff for Windows. Это очень удобная и бесплатная программа, которую легко найти в интернете (например, здесь). Работает она крайне просто – сканирует сеть на предмет всевозможных шпионов и сообщает, если таковые будут обнаружены. Это самый простой и понятный принцип, который позволяет обезопасить себя от кибератак.

Рис. 6. AntiSniff for Windows

3Используйте PromiScan. По своим свойствам и выполняемым задачам эта программа очень схожа с AntiSniff for Windows, поэтому выберете что-то одно. В сети тоже есть множество ссылок на скачивание (). Это инновационная программа, которая позволяет отдаленно контролировать компьютеры, подключенные к одной сети. Принцип ее работы состоит в определении узлов, которых не должно быть в сети. Собственно, это, скорее всего, и есть снифферы. Программа выявляет их и сигнализирует об этом красноречивым сообщением. Очень удобно!.

Рис. 7. PromiScan

4Используйте криптографию, а если развернуто, криптографическую систему с открытым ключом. Это специальная система шифрования или электронной подписи. Ее «фишка» в том, что ключ открытый и все могут его видеть, но изменить данные невозможно, так как это нужно сделать на всех компьютерах сети одновременно. Прекрасный метод – как приманка для вора. В данной статье вы можете прочитать про блокчейн, где используется именно такая система.

5Не скачивайте подозрительные программы, не заходите на подозрительные сайты и так далее. Об этом знает каждый современный пользователь и все же именно этот путь является основным для попадания троянов и других пакостей в вашу операционную систему. Поэтому очень ответственно относитесь к использованию интернета в принципе!

Надеемся, мы смогли все объяснить простым и понятным языком.

Рекомендовать

Wi-Fi network sniffer and Wi-Fi channel sniffer

After starting Acrylic Wi-Fi as System Administrator, the three options for monitoring Wi-Fi network traffic will be enabled. The first two options are ideal for Wi-Fi channel analysis.

• Sniffer in normal mode: This mode uses Windows native Wi-Fi traffic capture mechanisms, so you will only be able to view Wi-Fi networks and channels. This mode does not require the installation of Acrylic’s Wi-Fi traffic capture drivers.

• Sniffer in Wi-Fi monitor mode: This mode allows you to view all the clients connected to nearby Wi-Fi networks and devices. This mode does not allow you to be connected to a Wi-Fi network while the sniffer is capturing Wi-Fi network traffic and network and channel information, since your connection will be interrupted when changing between Wi-Fi channels and frequencies (2.4Ghz and 5Ghz). This mode is ideal for viewing 802.11 standard Wi-Fi threads within reach.

1) WireShark – FREE

As one of the world’s most used network sniffing and analysis tools, WireShark has a wealth of features that are continually being added to by a community of volunteers.

This free tool is usually the de-facto first option for network and system engineers for capturing and analyzing network packets.  

WireShark is available across various platforms, including Windows, Mac, Linux, FreeBSD, Solaris, and others. It also can read hundreds of network protocols and can do all of this in real time over a variety of networks, including Ethernet, PPP, Bluetooth, FDDI etc.

A website full of information with a wealth of tutorials and documents tops all of this off, and they even conduct regular training on how to use their software.

This makes it relatively easy to get up to speed on not just how to use the tool, but also how it can help network administrators and other IT professionals improve the speed and efficiency of their networks.

Personally I use Wireshark extensively in my work environment to either troubleshoot problems or inspect traffic for security purposes.

There is a learning curve to find out the various filters needed to apply in order to search within packets and display only the packets you want. If you learn these, the tool is very powerful and flexible.