• 0
Guest A`WaR

ما هو Sniffer?

سؤال

بسم الله الرحمن الرحيم

Sniffer ما هو؟

هو في الحقيقة Packet Sniffer وحاليا ليس هناك ترجمة مناسبة له ، فنستخدم مؤقتا لفظ سنيفر

السنيفر أداة للحصول علي رزم البيانات في البيئة الشبكية . وبما أن شكل هذه الرزم تختلف، يحتوي السنيفر عادة علي إمكانية تحليل البروتوكول المستخدمة بما يسمح له بعرض البيانات في شكل خام او plane text( إذا لم يكن مشفرا ) ...

السنيفر لا يستطيع الحصول علي رزم البيانات الخاصة للجهاز الذي تم تشغيله فقط، بل يستطيع الحصول علي رزم البيانات الخاصة للاجهزة التي تم وصله بالشبكة نفسها ، هذا صحيح في بيئة شبكات التي تعتمد علي اجهزة مثل المفرع hub وتقنية إيثرنت Ethernet ، وتسمي Shared media، لأن رزم البيانات ترسل لكل عقدة ( جهاز ) في الشبكة ويتم قبوله من صاحب الرزمة والباقي ترفضه ....

وتقنية إيثرنت تعتمد علي المشاركة، بمعني ان كل عقدة في الشبكة بإمكانها رؤية البيانات كما ذكرنا، ولذلك تحتوي بطاقات إيثرنت علي مرشح لتجاهل الرزم التي لا تخصها عن طريق فحص عناوين MAC ..

اقرا عن MAC address في في قسم الشبكات http://www14.brinkster.com/sadjackal

ولعرض عنوان MAC الخاص بجهازك، في بيئة ويندوز9x، شغل Winipcfg.exe

وفي بيئة W2K/XP ، شغل ipconfig.exe /all ، وفي بيئة لينكس ifconfig ..

( في حالة ارسال واستقبال بيانات مستمر، تستطيع عرض عنوان MAC للجهاز الذي تخاطبه حاليا بأمر ARP -A ) ..

ولا يمكن هذا الامر ( الحصول علي بيانات جميع الاجهزة في الشبكة ) *عادة* في بيئة الشبكات التي تستخدم اجهزة مثل البدالات Switch لان البدالة ذكي ولا يرسل الرزم إلا إلي الجهاز صاحبها .. ( هناك سنيفر DSniff يستطيع الحصول علي رزم الاجهزة الاخري حتي في بيئة Switched Media)..

لأي شيء يستخدم؟

هناك برامج سنيفر مختلفة كثيرة، بعضها مجانية وبعضها غير مجانية، وتختلف كثيرا في إمكانياتها .. من سنيفر متقدم جدا يسمح بتحليل ومراقبة بيانات شبكات موسعة وليست فقط شبكات محلية ....

وبشكل عام يستخدم لـ 1 : للحصول علي كلمات السر، ومحتويات بريد الالكتروني ( غير مشفر) ...

2 - لتحويل رزم البيانات إلي حالة تسمح للإنسان بقرائتها وتحليلها ....

3 - لاكتشاف مشاكل الشبكات ومراقبة أدائها، عن طريق تحليل رزم مثل ICMP/IGMP/SNMP الح

4 - ضمن برامج مثل أنظمة الكشف عن التطفل IDS لتحليل البيانات ..

5 - لتسجيل سريان البيانات لشبكة ما logging....

كيف يعمل ؟

كما قلنا سابقا، بطاقات إيثرنت تحتوي علي مرشح، وبرامج سنيفر تقوم بتعطيل عمل هذا المرشح بحيث الجهاز يستقبل كل البيانات، التي تخصه وتخص غيره.. ويسمي promiscuous mode ...

وفي عمله، فضلا عن بطاقات إيثرنت يعتمد علي مشغل Capture Driver او Packet Driver ( في بيئات ويندوز مشغل في مستوي Ring0 بحيث يستطيع مخاطبة العتاد مباشرة ) .

وبعد الحصول علي رزم البيانات من إيثرنت --> مشغل الرزم تاتي مرحة التحليل، ويتم فحصها، وأول طبقه للرزم عبارة عن ترويسة Ethernet، ثم IP ثم TCP او UDP حسب الاستخدام وثم البيانات الحقيقية .... والترويسات السابقة تحتوي علي معلومات غزيرة جدا، بدا من نوع البروتوكول، وجهة ومصدر الرزمة، والمنفذ المستخدم ويمكن معرفة نوع نظام التشغيل الخ ..

بعدها عملية حل رموز رزمة البيانات Decode، وعرضها في شكل Plane Text ...

( بعض المشغلات زيادة، تقدم إمكانية تكوين رزم خاصة وإرسالها إلي الشبكة مثل WinPCap، LibpCap ) ...

كيفية تطويرها؟

تم عمل أوائل برمجيات سنيفر لبيئات unix/linux ومن أشهرها TCPdump، وتم عمل مكتبة ومشغل LibPcap وBPF Berkeley Packet Filter الشهيرة ... كثير من برامج سنيفر وجدران النار في بيئة لينكس يستخدم هذه المكتبة .....

أما في بيئة ويندوز، فقبل W2K/XP كانت عمل سنيفر صعبة نوعا ما، لأنه يتطلب كتابة مشغل خاص، مما يعني يتطلب قدرات برمجية قوية لويندوز، وبالفعل تم نقل LibpCap إلي بيئة ويندوز تحت اسم WinPcap ... تعمل علي كل إصدارات ويندوز تقريبا، وتم عمل برامج سنيفر بها، مثل Ethereal, Analyzer وغيرها ... وتم أيضا نقل TcpDump باسم Windump ...

ثم تم إنتاج برمجيات لبروتوكولات معينة مثل HTTP,ARP، وهناك برامج سنيفر متخصصة في تحليل والحصول علي كلمات السر من بروتوكولات مثل IM,POP,ICQ ....

وأيضا دعمت مايكروسوفت بدا من W2K/XP مكتبة WinSock بقدرة تستطيع إستقبال كل الرزم للشبكة ولا حاجة لمشغل خاص، ولكنها ليست في قوة المشغل الخاص مثل Winpcap التي بإمكانها أخذ الرزم من البطاقة مباشرة بمستوي إيثرنت، أما Winsock فيستطيع أخذ الرزم في مستوي IP، ولا يمكن الحصول علي بيانات رزم إيثرنت ...

كيف الحماية من سرقة المعلومات الحساسة عن طريق سنيفر؟

يصنف عمليات التلصص بالسنيفر ضمن الهجمات الخامدة Passive Attack ، ولحماية البيانات الحساسة ينصح باستخدام بروتوكولات امنية مثل SSL,PGP,MIME,SSH,VPN ،IPSec، واستخدام بروكوتولات التوثيق Authentication مثل Kerberos,SRP

فضلا، هناك برامج ضد سنيفر مثل الذي يقدمه موقع http://www.l0pht.com/antisniff/

يستخدم عدة طرق للكشف، منها ما اذا تم تعطيل مرشح البطاقة وتم تهيئة promiscuous mode .....

المواقع :

موقع Libpcap و Tcpdump

موقع WinPCap و Windump

موقع Analyzer

موقع Ethereal

موقع DSniff

موقع سنيفر لبروتوكول http

موقع Password Sniffer

وهذا برنامجي Winsniff :)

SaD jAckAl Computer Idiot: CIONO2 [email protected]

http://www14.brinkster.com/sadjackal/sniff.htm

1

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه

18 إجابة على هذا السؤال .

  • 0

السلام عليكم

موضوع ممتاز (f) (f) (f)

البرنامج ممتاز وننتظر تحويله الى واجهه GUI . ( فاهم قصدي ) :P :P :P

(f)

CIONO1

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

موضوع أكثر من رائع ..

فعلا نفتقر الى مثل هذه المواضيع ..

ربما اقوم بإتمامه ببعض الأمثلة ..

قريبا ان شاء الله ..

شكرا لك (f)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

عبد الحفيظ : صحح الخطأ :P

ان شاء الله بعد ما اطلع على الكود نتناقش :mad:

(f)

CIONO1

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

موضوع متميز جداً

بارك الله فيك.

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

اضافة بسيطة: هناك ايضا مجموعة برامج رائعة لسنيفر على هذا الوقع http://www.sniffer.com الموقع يتبع لشركة مكافي

البرامج طبعا احترافية و غالية جدا و لكن مميزاتها تجعلها تستاهل سعرها فانا جربت احدها و قد اكتب عنه لاحقا.

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

tmaaa : حاضر يا زعيم، انا صلحت الخطأ :P

محمد قطان : اي اي طلع الادلة الي عندك :D

عبد القادر حجار : وبارك الله فيك ياخي ..

خضر ترزي : شكرا، ننتظر كتاباتك عن sniffer ;)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

الـ EXE المرفق ما زال فيه الخطأ القديم . ( لم تقم بـ Rebuild ) .

:P

CIONO1

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

انا نزلت اكثر من برنامج سنفر بس المشكلة لايعمل على سيرفر محلي اعمل تجارب على البورت 80 حتى اشوف GET وPOST وغير ذلك فهل السنفر يعمل على السيرفر المحلي واذا كان نعم هل هناك نوع محدد او ان لدي خلل

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

الاخ الجاسوس : بالنسبة لمزود محلي في جهاز وحيد ، السنيفر لا يعمل إلا في حالة اتصال بالانترنت ( من خلال موديم مثلا ) ....

والله أعلم وآسف للتأخير

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

يعطيك العافيه عبد الحفيظ

كم تعجبني مواضيعك

طيب هل تعطينا مثال على ذلك

وشكرا

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

اشكرك A`WaR على الموضوع والرد فعلا لم يعمل معي ابداً للأسف :(

يجب ان اتصل حتى اتابع المرسلات والمدخلات وهذا بالنسبه لي غير مجدي

فاذا عرفتوا لنا برنامج يتابع المدخلات والمخرجات ضعوه لنا لو تكرموتوا ساشباب (f)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

السلام عليكم

اخي جاسوس، توجد برنامج اسمه SockSpy اظن ، يعمل علي التقطات البيانات والأوامر المرسلة بين مزود وخادم ... جرب تبحث في النت

وذا ما لقيت سوف اضيفه هنا ...

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

وجدته الان وسأجربه واوافيك بالنتائج اشكرك من اعماق قلبي اخوي A`WaR

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

موضوع يستحق أن يرفع

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0
هو في الحقيقة Packet Sniffer وحاليا ليس هناك ترجمة مناسبة له ، فنستخدم مؤقتا لفظ سنيفر

اسمه أداة شم الرزمه :D :D

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

لا ممكن يبقا اسمه كمان سفاف او بلغة اخرة ((شمام)) :)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0
لا ممكن يبقا اسمه كمان سفاف او بلغة اخرة ((شمام)) :)

شمام :o

أتذكر أنه فاكهة صار الحين برنامج :lol:

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
  • 0

لا هو شمام بلغة الحشيش :)

0

شارك هذا الرد


رابط المشاركة
شارك الرد من خلال المواقع ادناه
زوار
This topic is now closed to further replies.

  • يستعرض القسم حالياً   0 members

    لا يوجد أعضاء مسجلين يشاهدون هذه الصفحة .