Телевизор 

Virtualbox запуск из командной строки windows. Virtualbox настройка гостевой Windows из Linux консоли. Сила командной строки

Наверняка многие пользователи компьютерных систем слышали о «сниффере», правда не все в полной мере представляют себе, что означает данное понятие. Также сегодня можно выделить довольно ограниченный круг пользователей, которые знают, как и где используются такие программы и «железные» компоненты. Давайте попробуем разобраться, что к чему.

Что такое сниффер?

Прежде всего, рассмотрим определение данного термина. Чтобы вникнуть в суть данного вопроса, необходимо сперва перевести слово «сниффер». Если переводить дословно, то на английском языке sniffer означает «нюхач». Если говорить более простым языком, то это программа или оборудование, которые способны на основе анализа трафика в виде передаваемых и принимаемых данных извлекать всю необходимую информацию, например, зашифрованные пароли, внешние сетевые IP-адреса, или конфиденциальную информацию.Сами снифферы могут быть использованы как во вред, так и во благо.

Снифферы: основные типы

Если говорить об основных разновидностях снифферов, то это вовсе не обязательно может быть программное обеспечение, которое устанавливается на компьютерный терминал или выполненное в виде онлайн-апплета. Довольно часто сегодня можно встретить снифферы, выполненные в виде «железного» оборудования или его компонентов, сочетающих в себе физические и программные признаки. В основную классификацию снифферов входят следующие типы:

— программные;

— аппаратные;

— программно-аппаратные;

— онлайн-компоненты.

Также при основной классификации можно выделить разделение по направлению анализа. Чаще всего, к примеру, встречается такая разновидность, как сниффер паролей. Основной задачей данного инструмента является извлечение из пакетов информации открытых или зашифрованных кодов доступа или иной информации. Также существуют снифферы, которые предполагают вычисление IP-адресов конкретного компьютерного терминала с целью доступа к пользовательскому компьютеру и информации, хранящейся на нем.

Как же это работает? Технология перехвата сетевого траффика может быть применена только к сетям, построенным на основе протоколов TCP/IP, а также реализуемому соединению посредством сетевых карт Ethernet. Анализу также могут подвергаться и беспроводные сети. В такой системе изначально все равно присутствует проводное подключение (к раздающему стационарному ПК или ноутбуку, маршрутизатору). В сети передача данных осуществляется не цельным блоком, а при помощи его разделения на стандартные сегменты и пакеты, которые при получении принимающей стороной объединяются в одно целое. Снифферы могут отслеживать различные каналы передачи каждого сегмента. В момент передачи незащищенных пакетов на подключенные устройства, например, свитчи, хабы, маршрутизаторы, компьютеры или мобильные устройства осуществляется извлечение нужной информации, в которой могут содержаться пароли. Взлом пароля становится делом техники, особенно если он не зашифрован должным образом. Даже при использовании современных технологий шифрования пароля, он может передаваться вместе с соответствующим ключом. Если данный ключ открытого типа, то получить пароль будет очень просто. Если ключ зашифрован, то злоумышленник может воспользоваться какой-нибудь программой дешифратором. В конечном итоге это все равно приведет к взлому данных.

Где может использоваться сниффер сети? Область применения

Сфера использования снифферов является довольно своеобразной. Не стоит думать, что какой-то удобный сниффер на русском языке является исключительно средством для хакеров, которые пытаются выполнить несанкционированное вмешательство в сетевой трафик для получения важной информации. Снифферы также могут быть использованы и провайдерами, которые на основе их данных осуществляют анализ трафика своих пользователей, тем самым усиливая безопасность компьютерных систем. Такое оборудование и приложения называют антиснифферами, но на самом деле это обыкновенные снифферы, которые работают в обратном направлении. Конечно, никто не уведомляет пользователей о подобных действиях со стороны провайдера. К тому же особого смысла в этом нет. Вряд ли рядовой пользователь сможет самостоятельно принять какие-то эффективные меры. Для провайдера анализ трафика зачастую является очень важным моментом, так он может предотвратить попытки вмешательства в работу сетей со стороны. Анализируя доступ к передаваемым пакетам, можно отследить несанкционированный доступ к ним даже на основе внешних IP-адресов, которые пытаются перехватить передаваемые сегменты. Это наиболее простой пример. В целом технология выглядит намного сложнее.

Как определить присутствие сниффера?

Давайте пока оставим в стороне такое понятие, как «сниффер». Уже немного понятно, что это такое. Давайте теперь посмотрим, по каким признакам можно самостоятельно определить «прослушку» сниффером. Если в целом с компьютерной системой все в порядке и интернет-подключение, и сетевое оборудование работают без сбоев, то первым признаком вмешательства со стороны является снижение скорости передачи данных по сравнению с заявленной провайдером. В операционных системах семейства Windows рядовой пользователь вряд ли сможет определить скорость при помощи стандартных средств даже при вызове меню состояния кликом на значке подключения. Тут указывается только число полученных и отправленных пакетов. Снижение скорости может быть связано с ограничениями самого ресурса, к которому осуществляется доступ. Лучше всего будет использовать специальные утилиты-анализаторы. Они, стоит отметить, работают по принципу сниффера. Единственный момент, на который необходимо обратить внимание, это то, что программы такого типа после установки могут вызывать ошибки, которые появляются в результате конфликтов с файрволлами (сторонними программами или встроенным брэндмауэром Windows). По этой причине на момент проведения анализа желательно полностью отключить защитные экраны.

Заключение

Мы коротко рассмотрели основные вопросы, которые касаются такого понятия, как «сниффер». Теперь в принципе должно быть понятно, что это такое с точки зрения инструмента защиты или взлома. Остается добавить только несколько слов об онлайн-апплетах. Именно они по большей части могут быть использованы злоумышленниками для получения IP-адреса жертвы и доступа к конфиденциальной информации. Такой онлайн-сниффер также выполняет свою непосредственную функцию, IP-адрес злоумышленника тоже меняется. Чем-то такие апплеты напоминают анонимные прокси-серверы, которые скрывают реальный IP-адрес пользователя. Данные о таких интернет-ресурсах по понятным соображениям не приводятся, так вмешательство в работу чужих компьютерных систем с помощью этих, вроде бы и официально размещенных программных продуктов, является уголовно наказуемым и противозаконным.

To sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри него какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Перехват трафика может осуществляться:

  • обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте вместо , в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
  • подключением сниффера в разрыв канала;
  • ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер ();
  • через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
  • через атаку на () или уровне (), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес

    • В начале 1990-х широко применялся для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

Сниффер не всегда является вредоносным. В действительности, данный тип ПО часто используется для анализа сетевого трафика в целях обнаружения и устранения отклонений и обеспечения бесперебойной работы. Однако сниффер может быть использован с недобрым умыслом. Снифферы анализируют все, что через них проходит, включая незашифрованные пароли и учетные данные, поэтому хакеры, имеющие доступ к снифферу, могут завладеть личной информацией пользователей. Кроме того, сниффер может быть установлен на любом компьютере, подключенном к локальной сети, без необходимости его обязательной установки на самом устройстве - иными словами, его невозможно обнаружить на протяжении всего времени подключения.

Откуда появляются снифферы?

Хакеры используют снифферы для кражи ценных данных путем отслеживания сетевой активности и сбора персональной информации о пользователях. Как правило, злоумышленники наиболее заинтересованы в паролях и учетных данных пользователей, чтобы с их применением получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов. Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к сети устройство в рамках так называемой спуфинг атаки с целью похищения ценных данных.

Как распознать сниффер?

Несанкционированные снифферы крайне сложно распознать виртуально, так как они могут быть установлены практически где угодно, представляя собой весьма серьезную угрозу сетевой безопасности. Обычные пользователи часто не имеют ни малейшего шанса распознать отслеживание своего сетевого трафика сниффером. Теоретически возможно установить собственный сниффер, который бы отслеживал весь трафик DNS на наличие иных снифферов, однако для рядового пользователя гораздо проще установить анти-сниффинговое ПО или антивирусное решение, включающее защиту сетевой активности, чтобы пресечь любое несанкционированное вторжение или скрыть свои сетевые действия.

Как отстранить сниффер

Вы можете воспользоваться высокоэффективным антивирусом для обнаружения и отстранения всех типов вредоносного ПО, установленного на ваш компьютер для сниффинга. Однако для полного удаления сниффера с компьютера необходимо удалить абсолютно все папки и файлы, имеющие к нему отношение. Так же настоятельно рекомендуется использовать антивирус со сканером сети, который тщательно проверит локальную сеть на наличие уязвимостей и проинструктирует относительно дальнейших действий в случае их обнаружения.

Как не стать жертвой сниффера
  • Зашифруйте всю отправляемую и принимаемую вами информацию
  • Сканируйте свою локальную сеть на наличие уязвимостей
  • Используйте только проверенные и защищенные сети Wi-Fi
Обезопасьтесь от снифферов

Первое, что пользователь может сделать, чтобы защититься от снифферов - воспользоваться качественным антивирусом, как бесплатный антивирус Avast, который способен досконально просканировать всю сеть на наличие проблем с безопасностью. Дополнительным и высокоэффективным способом защиты информации от сниффинга является шифрование всех отправляемых и принимаемых данных онлайн, включая письма эл. почты. Avast SecureLine позволяет надежно зашифровать весь обмен данными и совершать действия онлайн в условиях 100% анонимности.

Любое слежение онлайн основано на применении технологий снифферов (анализаторов сетевых пакетов). Что же такое сниффер?

Сниффер – это компьютерная программа или часть компьютерной техники, которая может перехватывать и анализировать трафик проходящий через цифровую сеть или ее часть. Анализатор захватывает все потоки (перехватывает и протоколирует интернет трафик) и, при необходимости, производит декодирование данных, последовательно сохраняя передаваемую информацию пользователей.


Нюансы применения онлайн слежения через снифферы.

На широковещательном канале компьютерной сети пользователя LAN (Local Area Network), в зависимости от структуры сети (коммутатора switch или концентратора hub), снифферы перехватывают трафик либо всей, либо части сети исходящий с одного ноутбука, компьютера. Однако, применяя различные методы (например, ARP spoofing) можно добиться интернет-трафика и других компьютерных систем, подключенных в сеть.

Снифферы часто используются и для мониторинга компьютерных сетей. Выполняя постоянное, непрерывное наблюдение, анализаторы сетевых пакетов выявляют медленные, неисправные системы и передают (на почту, телефон или сервер) полученную информацию о сбоях администратору.

Использование сетевых отводов (Network tap), в некоторых случаях, является более надежным способом слежения онлайн за интернет-трафиком чем мониторинг портов. При этом, вероятность обнаружения неисправных пакетов (потоков) увеличивается, что положительно сказывается при высокой сетевой нагрузке.
Помимо этого, снифферы хорошо отслеживают и беспроводные одно- и многоканальные локальные сети (так называемые Wireless LAN) при использовании нескольких адаптеров.

На LAN сетях сниффер может эффективно перехватывать трафик как односторонний (передача пакета информации по единственному адресу), так и многоадресный. При этом, сетевой адаптер должен иметь promiscuous mode (режим «неразборчивый»).

На беспроводных же сетях, даже когда адаптер находится в «неразборчивом» режиме, пакеты данных, перенаправляющиеся не с настроенной (основной) системы, будут автоматически проигнорированы. Чтобы отслеживать данные информационные пакеты, адаптер должен находится в ином режиме – мониторинга.


Последовательность перехвата информационных пакетов.

1. Перехват заголовков или всего содержимого.

Снифферы могут перехватывать или все содержимое пакетов данных, или всего лишь их заголовки. Второй вариант позволяет уменьшить общие требования к хранению информации, а также избежать юридических проблем, связанных с несанкционированным изъятием личной информации пользователей. При этом, история передаваемых заголовков пакетов может иметь достаточный объем информации, для выявления необходимой информации или диагностики неисправностей.


2. Декодирование пакетов.

Перехваченная информация декодируется из цифрового (нечитабельного вида) в удобный для восприятия, чтения тип. Система снифферов позволяет администраторам анализатора протоколов легко просматривать информацию, которая пересылалась или получалась пользователем.

Анализаторы различаются по:

  • способности отображения данных (создание временных диаграмм, реконструирование UDP, TCP протоколов данных и пр.);
  • типу применения (для обнаружения ошибок, первопричин либо для слежения онлайн за пользователями).

Некоторые снифферы могут генерировать трафик и действовать в качестве исходного устройства. Например, применятся в качестве тестеров протоколов. Такие системы тест-снифферов позволяют генерировать правильный трафик необходимый для функционального тестирования. Помимо этого, снифферы могут целенаправленно вводить ошибки для проверки способностей тестируемого устройства.


Аппаратные снифферы.


Анализаторы трафика могут быть и аппаратного типа, в виде зонда или дискового массива (более распространенный тип). Данные устройства осуществляют запись информационных пакетов или их частей на дисковый массив. Это позволяет воссоздать любую информацию полученную или переданную пользователем в просторы интернета либо своевременно выявить неисправность интернет-трафика.


Методы применения.

Анализаторы сетевых пакетов применяются для:

  • анализа имеющихся проблем в сети;
  • обнаружения сетевых попыток вторжения;
  • определения злоупотребления трафика пользователями (внутри системы так и снаружи нее);
  • документирования нормативных требований (возможного периметра входа в систему, конечных точек распространения трафика);
  • получения информации о возможностях сетевого вторжения;
  • изолирования эксплуатируемых систем;
  • мониторинга загрузки каналов глобальной сети;
  • использования для отслеживания состояния сети (в том числе деятельность пользователей как в системе, так и за ее пределами);
  • мониторинга перемещаемых данных;
  • отслеживания WAN и безопасности конечных точек состояния;
  • сбора сетевой статистики;
  • фильтрации подозрительного контента, идущего от сетевого трафика;
  • создания первичного источника данных для отслеживания состояния и управления сети;
  • слежения онлайн в качестве шпиона, собирающего конфиденциальную информацию пользователей;
  • отладки серверной, клиентской связи;
  • проверки эффективности внутреннего контроля (контроля доступа, брандмауэров, фильтров спама и пр.).

Снифферы применяются и в правоохранительных органах для отслеживания деятельности подозреваемых злоумышленников. Заметим, что все поставщики услуг интернета, и провайдеры в США и странах Европы соблюдают законы и правила о прослушивании (CALEA).


Популярные снифферы.

Наиболее функциональные системные анализаторы для слежения онлайн:


Шпионская программа NeoSpy, основная деятельность которой слежение онлайн за действиями пользователей включает помимо универсального программного кода сниффера, коды кейлоггеров (клавиатурных шпионов) и иных систем скрытого слежения.

В этой статье мы рассмотрим создание простого сниффера под ОС Windows.
Кому интересно, добро пожаловать под кат.

Введение

Цель: написать программу, которая будет захватывать сетевой трафик (Ethernet, WiFi), передающийся по протоколу IP.
Средства: Visual Studio 2005 или выше.
Подход, который здесь описан, не принадлежит лично автору и успешно применяется во многих коммерческих, а также категорически бесплатных программах (привет, GPL).
Сей труд предназначен прежде всего для новичков в сетевом программровании, которые, однако, имеют хотя бы базовые знания в области сокетов вообще, и windows-сокетов в частности. Здесь я часто буду писать общеизвестные вещи, потому что предметная область специфическая, если что-то пропустить - в голове будет каша.

Надеюсь, Вам будет интересно.

Теория (читать не обязательно, но желательно)

В данный момент подавляющее большинство современных информационных сетей базируются на фундаменте стека протоколов TCP/IP. Стек протоколов TCP/IP (англ. Transmission Control Protocol/Internet Protocol) - собирательное название для сетевых протоколов разных уровней, используемых в сетях. В настоящей статье нас будет интересовать в основном протокол IP - маршрутизируемый сетевой протокол, используемый для негарантированной доставки данных, разделяемых на так называемые пакеты (более верный термин – дейтаграмма) от одного узла сети к другому.
Особый интерес для нас представляют IP-пакеты, предназначенные для передачи информации. Это достаточно высокий уровень сетевой OSI-модели данных, когда можно обстрагироваться от устройства и среды передачи данных, оперируя лишь логическим представлением.
Совершенно логичным является то обстоятельство, что рано или поздно должны были появится инструменты для перехвата, контроля, учета и анализа сетевого трафика. Такие средства обычно называется анализаторами трафика, пакетными анализаторыми или снифферами (от англ. to sniff - нюхать). Это - сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Практика (разговор по существу)

На данный момент создано достаточно много программного обеспечения для прослушивания трафика. Наиболее известный из них: Wireshark . Естественно, пожинать его лавры цель не стоит - нас интересует задача перехвата трафика методом обычного «прослушивания» сетевого интерфейса. Важно понимать, что мы не собираемся заниматься взломом и перехватывать чужой трафик. Нужно всего лишь просматривать и анализировать трафик, который проходит через наш хост.

Для чего это может понадобиться:

  1. Смотреть текущий поток трафика через сетевое соеднинение (входящий/исходящий/всего).
  2. Перенаправлять трафик для последующего анализа на другой хост.
  3. Теоретически, можно попытаться применить его для взлома WiFi-сети (мы ведь не собираемся этим заниматься?).
В отличие от Wireshark, который базируется на библиотеке libpcap/WinPcap, наш анализатор не будет использовать этот драйвер. Чего уж там, у нас вообще не будет драйвера, и свой NDIS(о ужас!) мы писать не собираемся. Про это можно прочитать в этом топике . Он будет просто пассивным наблюдателем, использующим только библиотеку WinSock. Использование драйвера в данном случае избыточно.

Как так? Очень просто.
Ключевым шагом в превращении простого сетевого приложения в сетевой анализатор является переключение сетевого интерфейса в режим прослушивания (promiscuous mode), что и позволит ему получать пакеты, адресованные другим интерфейсам в сети. Этот режим заставляют сетевую плату принимать все кадры, вне зависимости от того, кому они адресованы в сети.

Начиная с Windows 2000 (NT 5.0) создать программу для прослушивания сегмента сети стало очень просто, т.к. ее сетевой драйвер позволяет перевести сокет в режим приёма всех пакетов.

Включение неразборчивого режима
long flag = 1; SOCKET socket; #define SIO_RCVALL 0x98000001 ioctlsocket(socket, SIO_RCVALL, &RS_Flag);
Наша программа оперирует IP-пакетами, и использует библиотеку Windows Sockets версии 2.2 и «сырые» сокеты (raw sockets). Для того чтобы получить прямой доступ к IP-пакету, сокет нужно создавать следующим образом:
Создание сырого сокета
s = socket(AF_INET, SOCK_RAW, IPPROTO_IP);
Здесь вместо константы SOCK_STREAM (протокол TCP) или SOCK_DGRAM (протокол UDP), мы используем значение SOCK_RAW . Вообще говоря, работа с raw sockets интересна не только с точки зрения захвата трафика. Фактически, мы получаем полный контроль за формированием пакета. Вернее, формируем его вручную, что позволяет, например, послать специфический ICMP-пакет…

Идем дальше. Известно, что IP-пакет состоит из заголовка, служебной информации и, собственно, данных. Советую заглянуть сюда , чтобы освежит знания. Опишем в виде структуры IP-заголовок (спасибо отличной статье на RSDN ):

Описание структуры IP-пакета
typedef struct _IPHeader { unsigned char ver_len; // версия и длина заголовка unsigned char tos; // тип сервиса unsigned short length; // длина всего пакета unsigned short id; // Id unsigned short flgs_offset; // флаги и смещение unsigned char ttl; // время жизни unsigned char protocol; // протокол unsigned short xsum; // контрольная сумма unsigned long src; // IP-адрес отправителя unsigned long dest; // IP-адрес назначения unsigned short *params; // параметры (до 320 бит) unsigned char *data; // данные (до 65535 октетов) }IPHeader;
Главная функция алгоритма прослушивания будет выглядеть следующим образом:
Функция захвата одного пакета
IPHeader* RS_Sniff() { IPHeader *hdr; int count = 0; count = recv(RS_SSocket, (char*)&RS_Buffer, sizeof(RS_Buffer), 0); if (count >= sizeof(IPHeader)) { hdr = (LPIPHeader)malloc(MAX_PACKET_SIZE); memcpy(hdr, RS_Buffer, MAX_PACKET_SIZE); RS_UpdateNetStat(count, hdr); return hdr; } else return 0; }
Здесь все просто: получаем порцию данных с помощью стандартной функции socket-функции recv , а затем копируем их в структуру типа IPHeader .
И, наконец, запускаем бесконечный цикл захвата пакетов:
Захватым все пакеты, которые попадут на наш сетевой интерфейс
while (true) { IPHeader* hdr = RS_Sniff(); // обработка IP-пакета if (hdr) { // печатаем заголовок в консоли } }
Немного оффтопика
Здесь и далее у некоторых важных функций и переменных автор сделал префкис RS_ (от Raw Sockets). Проект делал 3-4 года назад, и была шальная мысль написать полноценную библиотеку для работы с сырыми сокетами. Как это часто бывает, после получения сколь-нибудь значимых(для автора) результатов, энтузиазм угас, и дальше учебного примера дело не полшло.

В принципе, можно пойти дальше, и описать заголовки всех последующих протоколов, находящихся выше. Для этого необходимо анализировать поле protocol в структуре IPHeader . Посмотрите на пример кода (да, там должен быть switch, чёрт возьми!), где происходит раскрашивание заголовка в зависимости от того, какой протокол имеет пакет, инкапсулированный в IP:

/* * Выделение пакета цветом */ void ColorPacket(const IPHeader *h, const u_long haddr, const u_long whost = 0) { if (h->xsum) SetConsoleTextColor(0x17); // если пакет не пустой else SetConsoleTextColor(0x07); // пустой пакет if (haddr == h->src) { SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_RED | FOREGROUND_INTENSITY); // "родной" пакет на отдачу } else if (haddr == h->dest) { SetConsoleTextColor(BACKGROUND_BLUE | /*BACKGROUND_INTENSITY |*/ FOREGROUND_GREEN | FOREGROUND_INTENSITY); // "родной" пакет на прием } if (h->protocol == PROT_ICMP || h->protocol == PROT_IGMP) { SetConsoleTextColor(0x70); // ICMP-пакет } else if(h->protocol == PROT_IP || h->protocol == 115) { SetConsoleTextColor(0x4F); // IP-in-IP-пакет, L2TP } else if(h->protocol == 53 || h->protocol == 56) { SetConsoleTextColor(0x4C); // TLS, IP with Encryption } if(whost == h->dest || whost == h->src) { SetConsoleTextColor(0x0A); } }

Однако это существенно выходит за рамки этой статьи. Для нашего учебного примера вполне достаточно будет посмотреть ip-адреса хостов, с которых и на которые идет трафик, и посчитать его количество в единицу времени(готовая программа в архиве в конце статьи).

Для того, чтобы отобразить данные IP-заголовка, необходимо реализовать функцию преобразования заголовка (но не данных) дейтаграммы в строку. В качестве примера реализации, можно предложить такой вариант:

Преобразование IP-заголовка в строку
inline char* iph2str(IPHeader *iph) { const int BUF_SIZE = 1024; char *r = (char*)malloc(BUF_SIZE); memset((void*)r, 0, BUF_SIZE); sprintf(r, "ver=%d hlen=%d tos=%d len=%d id=%d flags=0x%X offset=%d ttl=%dms prot=%d crc=0x%X src=%s dest=%s", BYTE_H(iph->ver_len), BYTE_L(iph->ver_len)*4, iph->tos, ntohs(iph->length), ntohs(iph->id), IP_FLAGS(ntohs(iph->flgs_offset)), IP_OFFSET(ntohs(iph->flgs_offset)), iph->ttl, iph->protocol, ntohs(iph->xsum), nethost2str(iph->src), nethost2str(iph->dest)); return r; }
На основании приведенных выше базовых сведений, получается вот такая небольшая программа (жуткое название ss, сокр. от англ. simple sniffer), реализующая локальное прослушивание IP-трафика. Интерфейс ее приведен ниже на рисунке.

Исходный и бинарный код предоставляю как есть, таким как он был несколько лет назад. Сейчас мне на него страшно смотреть, и все же, он вполне читабельный (конечно же, нельзя быть таким самоуверенным). Для компиляции будет достаточно даже Visual Studio Express 2005.

Что у нас получилось в итоге:

  • Сниффер работает в режиме пользователя, однако требует привилегии администратора.
  • Пакеты не фильтруются, отображаясь как есть (можно добавить настраиваемые фильтры - предлагаю подробно рассмотреть эту тему в следующей статье, если интересно).
  • WiFi-трафик тоже захватывается(все зависит от конкретной модели чипа, у Вас может и не работать, как у меня несколько лет назад), хотя есть AirPcap, которая чудесно это умеет делать, но стоит денег.
  • Весь поток дейтаграмм логируется в файл (см. архив, приложенный в конце статьи).
  • Программа работает в качестве сервера на порту 2000. Можно подключиться с помощью утилиты telnet к хосту и произвести мониторинг потоков трафика. Количество подключений ограничено двадцатью (код не мой, нашел на просторах сети и применял для экспериментов; удалять не стал - жалко)
Спасибо за внимание, проздравляю хабровчан и хабровчанок и всех-всех-всех с наступающим Рождеством!