Читаем Защита от хакеров корпоративных сетей полностью

Sniffit – другой анализатор трафика, который существует уже несколько лет. Он работает на операционных системах Linux, Solaris, SunOS, Irix и FreeBSD. Sniffit не обновлялся несколько лет, но я нахожу его достаточно стабильным (даже несмотря на то, что последний релиз был классифицирован как бета-версия). Бречт Клаерхорт, автор Sniffit, имеет две версии, доступные на его сайте: 0.3.5 (релиз апреля 1997 года) и 0.3.7.beta (релиз июля 1998 года). Я не имел никаких проблем с компиляцией и использованием 0.3.7.beta, но если вы встретитесь с проблемой в 0.3.7.beta, то можете использовать 0.3.5. Сайт Бречта Клаерхорта находится на http://reptile.rug.ac.be/~coder/sniffit/sniffit.html.

Одна из причин, по которой мне так сильно нравится (и я использую) Sniffit, заключается в том, что вы можете с легкостью настраивать его журнализировать только определенный вид трафика, как, например, FTP и Telnet. Данный тип фильтрации не необычен; он присутствует в других анализаторах трафика, таких как Sniffer Pro и NetMon. Но когда в последний раз вы видели любой из этих анализаторов скрытно установленным на скомпрометированных системах? Sniffit маленький и легко настраивается на перехват (и журнализацию) только того трафика, который несет полезную информацию в открытом виде, например имена пользователей и пароли для определенных протоколов, как показано на примере далее:

[Tue Mar 28 09:46:01 2000] – Sniffit session started.

[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:

USER

[hansen]

[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:

PASS

[worksux]

[Tue Mar 28 10:39:42 2000] – 10.40.1.99.1651-10.216.82.5.23:

login

[trebor]

[Tue Mar 28 10:39:47 2000] – 10.40.1.99.1651-10.216.82.5.23:

password

[goaway]

[Tue Mar 28 11:08:10 2000] – 10.40.2.133.1123-10.60.56.5.23:

login

[jaaf]

[Tue Mar 28 11:08:17 2000] – 10.40.2.133.1123-10.60.56.5.23:

password

[5g5g5g5]

[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-

10.157.14.198.21: USER

[afms]

[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-

10.157.14.198.21: PASS

[smfasmfa]

[Tue Mar 28 14:38:53 2000] – 10.40.1.183.1132-

10.22.16.51.23: login

[hohman]

[Tue Mar 28 14:38:58 2000] – 10.40.1.183.1132-

10.22.16.51.23: password

[98rabt]

[Tue Mar 28 16:47:14 2000] – 10.40.2.133.1069-10.60.56.5.23:

login

[whitt]

[Tue Mar 28 16:47:16 2000] – 10.40.2.133.1067-10.60.56.5.23:

password

[9gillion]

[Tue Mar 28 17:13:56 2000] – 10.40.1.237.1177-10.60.56.5.23:

login

[douglas]

[Tue Mar 28 17:13:59 2000] – 10.40.1.237.1177-10.60.56.5.23:

password

[11satrn5]

[Tue Mar 28 17:49:43 2000] – 10.40.1.216.1947-

10.22.16.52.23: login

[demrly]

[Tue Mar 28 17:49:46 2000] – 10.40.1.216.1947-

10.22.16.52.23: password

[9sefi9]

[Tue Mar 28 17:53:08 2000] – 10.40.1.216.1948-

10.22.16.52.23: login

[demrly]

[Tue Mar 28 17:53:11 2000] – 10.40.1.216.1948-

10.22.16.52.23: password

[jesa78]

[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-

10.178.110.226.21: USER

[custr2]

[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-

10.178.110.226.21: PASS

[Alpo2p35]

Как вы можете видеть, за промежуток примерно 10 ч я собрал имена и пароли девяти разных пользователей, три для FTP-сайтов и пять – для Telnet. Один пользователь, demrly, видимо, использовал неправильный пароль, когда он или она пытался соединиться с 10.22.16.52 первый раз, но я сохраню этот пароль потому, что он может быть правильным для другой локации.

Carnivore