Вынюхай все!

Степан Ильин aka Step

Xakep, номер #064, стр. 064-024-1

(step@real.xakep.ru)

Обзор специализированных сниферов

На страницах журнала мы уже не раз писали о серьезных сниферах - программах, как правило, довольно объемных, имеющих массу различных опций и не слишком простых в освоении. С помощью этих сниферов мы тщательно изучали строение сетевых пакетов, на практике разбирались с понятием spoofing и, в конце концов, просто смотрели, в каком виде передается информация по локальной сети. Однако сегодня речь пойдет о том, что иногда можно обойтись и без использования самых навороченных и универсальных представителей этого вида ПО. Я говорю о тех случаях, когда юзеру просто хочется слегка пошпионить за своими соседями по локалке, а на тонкости работы сети ему наплевать.

Копаемся в корреспонденции

Интернет-пейджеры, IRC, e-mail уже давно стали неотъемлемой частью нашей онлайновой жизни. Твои соседи по локалке тоже наверняка пользуются прелестями современных коммуникаций. Ведь так? Почему бы тогда нам не попробовать перехватить их переписку? Согласен, это нехорошо. Я лично всегда считал, что следить за корреспонденцией и личной жизнью людей, по крайней мере, неприлично. Но как-то раз все-таки решился попробовать. Исключительно в целях самообразования! В итоге выяснил, что один перец из домашней сетки кидает горе-кардеров на Webmoney, продавая им номера кредиток с заведомо невалидной инфой. А парочка "хакеров", которым я еще совсем недавно помогал искать клавишу "Any Key", периодически общаются в IRC-чатах, причем от МОЕГО имени. Как тебе, а? Естественно, пришлось сделать ребятам втык… э-э-э… организационно-воспитательного характера.

IcqSnif 1.3.26

ОС: WinAll

Размер: 551 Кб

Лицензия: Freeware

www.ufasoft.com/icqsnif

Для слежки за членами локалки я не стал юзать свой любимый снифер, а воспользовался специальной утилитой IcqSnif. Почему именно так? Сам посуди: каково это - вручную перебрать десятки мегабайтов перехваченного рядовым снифером трафика, чтобы найти заветные сообщения с интересующей тебя инфой? Где гарантия того, что эти мессаги вообще существуют? IcqSnif же предназначен лишь для снифинга трафика коммуникационных программ. Первоначально прога умела перехватывать лишь ICQ-сообщения, однако со временем обзавелась дополнительными модулями и сейчас позволяет держать под контролем обмен сообщениями по e-mail, IRC и MSN.

Интерфейс утилиты выполнен крайне просто - я с первого взгляда понял, что к чему и как работает. Основную часть окна занимает панель с перехваченными сообщениями. Мессаги отлавливаются и отображаются в режиме реального времени, то есть в тот же момент, что и на экранах мониторов настоящих пользователей. К сожалению, выводятся они сплошным текстом без каких-либо выделений, поэтому ориентироваться среди массы хаотично разбросанных сообщений не так-то легко. Особенно если данные передаются по разным протоколам, да еще десятком-другим пользователей. Тут уж сам черт ногу сломит - честное слово!

Впрочем, проблему отчасти решает то, что информация логируется не одной сплошной кучей, а тщательно сортируется по различным файлам. Имя каждого лога состоит из названия используемого протокола и IP-адреса передающего компьютера. Изучая отчеты, не удивляйся, если в некоторых местах вместо ICQ UIN`а ты встретишь слово "unknown". Дело в том, что в силу специфики ICQ-протокола, определить UIN пользователя порой бывает невозможно. Зато перехватить переданные серверу пароли для IcqSnif - раз плюнуть! Так что не забывай заглядывать в лежащий рядом с логами XML-файл.