Hlavní navigace

Snort ako ho ešte nepoznáte

Jozef Novikmec 29. 3. 2002

Takže toto je tretí diel (pravdepodobne aj posledný :-() nášho seriálu o Snort-e. Používatelia, ktorí si svedomite pripravovali domáce úlohy (teda čítali manuálové stránky k programu snort :-)), sa už určite dočítali, že Snort dokáže pracovať aj ako sieťový sniffer (čmuchal, slídil - teraz som si pomohol výrazmi zo slovníka našich západných susedov :-)). Takže hor sa do štúdia sniffovania. Určite sa vám to raz zíde :-).

Kedže články na tomto serveri číta aj naša linuxová a hackerská mlad :-), začneme opäť trochou teórie. Čo to sieťový sniffer je? Sieťový sniffer je obvykle program (ak sa však snifovaniu venujeme profesionálne – vysvetlím neskór :-) – tak ho často tvorí aj nejaký hardware), ktorý slúži k tomu, aby sme videli, čo všetko k nám cez sieťové rozhranie lezie a čo nás zasa opúšťa. Pri tejto definícii som sa dopustil malej nepresnosti. Pri vhodných podmienkach totiž nemusíme sledovať iba to čo priamo súvisí s nami, ale pekne krásne móžeme sledovať aj to, čo by sa nás týkať nemalo (média so zdieľaným prístupom, napr. Ethernet, router, ktorý patrí nám a cez ktorý prechádza celkom zaujímavá prevádzka a podobne).
„A načo je to dobré?“, pýtate sa (ako keby som vás počul :-)). Poznáte ten vtip o počítačiarovi, ktorý slúžil vlasti na základnej vojenskej službe (takto sa to myslím volá na Slovensku:-)) a pri ostrých streľbách človek sledujúci jeho terč hlási, že ani raz z troch striel netrafil? On strčí ukazovák do hlavne pušky, stlačí spúšť, je počuť výstrel, ktorý mu samozrejme odtrhne ten prst, a on vraví:
„Hľadajte problém u seba, pretože odo mňa to ide v poriadku.“ (ešte že ja som sa zatiaľ podobných zábavok nezúčastnil :-))

Ak prejdeme od teórie k praxi, ten odtrhnutý prst nám v sieťovom prostredí plne a bezbolestne nahradí sieťový sniffer.

Ak by sme sa chceli sniffovaniu venovať profesionálne, to znamená, že pracujeme napr. ako správca siete, ktorej backbone tvoria vysokorýchlostné linky (rádovo stovky megabitov alebo gigabitov za sekundu), v takom prípade si už nevystačíme s bežnými softwarovými prostriedkami na sniffovanie, ale na rad prídu špecializované karty s rýchlymi signálovými procesormi, ktore urobia väčšiu časť práce za hlavný procesor systému.
A kedže som už spomínal našu hackerskú (možno raz crackerskú :-() mlaď, tak na takej sieti za vhodných podmienok, ku ktorým môžeme počítať prístup na zdieľané médium, prevádzka rozhrania v promiskuitnom režime (zachytáva a predáva na spracovanie všetko čo na sieti objaví a stihne zobrať), používanie nešifrovaných protokolov a podobne, móžeme objaviť množstvo zaujímavých informácií ako sú heslá a podobne :-).

Tak, tak, používanie nezabezpečených protokolov rulez.

[môj povzdych :-)]

Ale som sa rozkecal na úvod, že. Možno už mnohí zabudli o čom sme vlastne chceli pôvodne rozprávať, mnohí už zatvorili okno prehliadača s týmto článkom, ale verím, že našlo sa zopár jednotlivcov, ktorí sa aj trochu pobavili a s chuťou si prečítajú aj zvyšok článku.
Takže čo sme to chceli vedieť? Aha, že či to od nás odchádza správne (a neprísť pri tom o dôležitý prst, ktorý v prípade správneho prstokladu obhospodaruje klávesy označené písmenami f t v a možno že aj r (ja osobne správny prstoklad neovládam:-))).
Predstavme si situáciu, že sa snažíte sprevádzkovať Virtuálnu Privátnu Sieť (VPN) medzi dvomi miestami a na prvý pohľad to nevyzerá veľmi ružovo (príklad skutočne z praxe :-)). Protokol (mimochodom IPsec) používa k zabezpečeniu prevádzky UDP traffic z lokálneho portu 500 na vzdialený port 500 a tunel nie a nie sa zodvihnúť. Pozeráte do logov, ale nič zjavné sa tam neobjavuje a vtedy príde na rad otázkä: „Ide to odo mňa v poriadku ?“ Spustíte sieťový sniffer a na terminále sa objaví niečo takéto:

03/17-18:53:00.717211 0:10:A4:F4:61:34 -> 0:10:A4:F4:61:37 type:0x800 len:0xDA
100.0.0.1:500 -> 62.128.195.2:500 UDP TTL:64 TOS:0x0 ID:104 IpLen:20 DgmLen:204
Len: 184
58 A8 73 35 6D 8B D1 F5 00 00 00 00 00 00 00 00  X.s5m...........
01 10 02 00 00 00 00 00 00 00 00 B0 00 00 00 94  ................
00 00 00 01 00 00 00 01 00 00 00 88 00 01 00 04  ................
03 00 00 20 00 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 02  ................
03 00 00 20 01 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 02  ................
03 00 00 20 02 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 05  ................
00 00 00 20 03 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 05  ................

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/17-18:53:40.717058 0:10:A4:F4:61:34 -> 0:10:A4:F4:61:37 type:0x800 len:0xDA
100.0.0.1:500 -> 62.128.195.2:500 UDP TTL:64 TOS:0x0 ID:105 IpLen:20 DgmLen:204
Len: 184
58 A8 73 35 6D 8B D1 F5 00 00 00 00 00 00 00 00  X.s5m...........
01 10 02 00 00 00 00 00 00 00 00 B0 00 00 00 94  ................
00 00 00 01 00 00 00 01 00 00 00 88 00 01 00 04  ................
03 00 00 20 00 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 02  ................
03 00 00 20 01 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 02  ................
03 00 00 20 02 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 05  ................
00 00 00 20 03 01 00 00 80 0B 00 01 80 0C 0E 10  ... ............
80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 05  ................

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

A pozrime sa! Od nás to ide správne, ale druhá strana neodpovedá na naše výzvy. Zodvihnete telefón poviete, že aj napriek tomu, že vám nechýba ani jeden prst :-), si dovolíte povedať, že od vás to ide správne. Druha strana zareaguje, poopraví konfiguráciu a máme tu šifrovaný tunel, vytvorený k obojstrannej spokojnosti (len tak na margo, ak by bol záujem môžem sa nabúduce na tomto serveri zmieniť aj o vytváraní tých VPN).
A ako sa k výpisu, ktorý nám potvrdí, že od nás to ide v poriadku (v tom horšom prípade, že u nás to v poriadku vóbec nie je :-)), dostaneme? S použitím snortu asi takto:

[root@linux]#snort -dev -i eth0

podľa man snort a nejakých skúseností to znamená asi toto:
Pracujem ako root, pretože asi budem chcieť prepnúť sieťové rozhranie do promiskuitného režimu, spúšťam snort s parametrom -d – tak mu poviem, že by som rád videl aj dáta, ktoré idú až k aplikácii, teda dáta aplikačnej vrstvy, -e znamená zobraz hlavičky Ethernetových rámcov, a -v mu povie aby bol trochu ukecaný a vypisoval toľko, koľko vie. Ak snifujeme vysokorýchlostné médiá, (aj taký 100 Mbit Ethernet je už celkom rýchly) a nemáme dostatočne výkonný stroj na spracovanie týchto paketov, môže sa nám stať, že pakety budú dropnuté a my ich vo výpise neuvidíme. Preto práve používajú profesionáli ten špeciálny hardware:-).
No a parametrom -i eth0 mu povieme, že si želáme aby prevádzku zachytával na rozhraní eth0.
Ak sme na žijúcej sieti, určite nás zarazí množstvo paketov a skrolujúce obrazovky s ich výpismi, skúsme si preto ten výpis obmedziť iba na pakety, ktoré by nás mohli zaujímať.

Ak by nás zaujímala http session, ktorú vyvolal alebo na ňu odpovedá počítač 192.168.1.1, použili by sme niečo takéto:

[root@linux]#snort -dev -i eth0 host 192.168.1.1 and port 80

Za predpokladu, že web server okupuje štandardný port 80, mohli by sme obdržať nasledujúci výpis:

Log directory = /var/log/snort

Initializing Network Interface eth0

        --== Initializing Snort ==--
Checking PID path...
PATH_VARRUN is set to /var/run/ on this operating system
PID stat checked out ok, PID set to /var/run/
Writing PID file to "/var/run/"
Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

-*> Snort! <*-
Version 1.8.3 (Build 88)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)


03/24-22:16:58.425542 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x4A
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:197 IpLen:20 DgmLen:60 DF
******S* Seq: 0x16E6AF19  Ack: 0x0  Win: 0x7D78  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 76541 0 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:16:58.426311 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x4E
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:60 DF
***A**S* Seq: 0x94DC8CF5  Ack: 0x16E6AF1A  Win: 0x16A0  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 378698 76541 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:16:58.426401 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x42
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:198 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x16E6AF1A  Ack: 0x94DC8CF6  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 76541 378698

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:05.284875 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x52
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:199 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0x16E6AF1A  Ack: 0x94DC8CF6  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 77227 378698
47 45 54 20 2F 20 48 54 54 50 2F 31 2E 30 0D 0A  GET / HTTP/1.0..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:05.285581 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x46
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:19388 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x94DC8CF6  Ack: 0x16E6AF2A  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 379384 77227

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.255084 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x44
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:200 IpLen:20 DgmLen:54 DF
***AP*** Seq: 0x16E6AF2A  Ack: 0x94DC8CF6  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 77324 379384
0D 0A                                            ..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.255709 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x46
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:19389 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x94DC8CF6  Ack: 0x16E6AF2C  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 379481 77324

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.256431 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x1BF
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:19390 IpLen:20 DgmLen:429 DF
***AP*** Seq: 0x94DC8CF6  Ack: 0x16E6AF2C  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 379481 77324
48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D  HTTP/1.1 200 OK.
0A 44 61 74 65 3A 20 54 75 65 2C 20 31 38 20 44  .Date: Tue, 18 D
65 63 20 32 30 30 31 20 31 37 3A 33 32 3A 33 30  ec 2001 17:32:30
20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70   GMT..Server: Ap
61 63 68 65 2F 31 2E 33 2E 32 30 20 28 55 6E 69  ache/1.3.20 (Uni
78 29 20 44 65 62 69 61 6E 2F 47 4E 55 0D 0A 4C  x) Debian/GNU..L
61 73 74 2D 4D 6F 64 69 66 69 65 64 3A 20 54 75  ast-Modified: Tu
65 2C 20 31 38 20 44 65 63 20 32 30 30 31 20 31  e, 18 Dec 2001 1
37 3A 32 34 3A 32 34 20 47 4D 54 0D 0A 45 54 61  7:24:24 GMT..ETa
67 3A 20 22 63 65 61 63 2D 37 39 2D 33 63 31 66  g: "ceac-79-3c1f
37 62 63 38 22 0D 0A 41 63 63 65 70 74 2D 52 61  7bc8"..Accept-Ra
6E 67 65 73 3A 20 62 79 74 65 73 0D 0A 43 6F 6E  nges: bytes..Con
74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 31 32 31  tent-Length: 121
0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C  ..Connection: cl
6F 73 65 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70  ose..Content-Typ
65 3A 20 74 65 78 74 2F 68 74 6D 6C 0D 0A 0D 0A  e: text/html....
3C 48 54 4D 4C 3E 0A 3C 48 45 41 44 3E 0A 3C 54  <HTML>.<HEAD>.<T
49 54 4C 45 3E 50 6F 6B 75 73 6E 61 20 73 74 72  ITLE>Pokusna str
61 6E 6B 61 3C 2F 54 49 54 4C 45 3E 0A 3C 2F 48  anka</TITLE>.</H
45 41 44 3E 0A 3C 42 4F 44 59 3E 0A 54 6F 74 6F  EAD>.<BODY>.Toto
20 6A 65 20 70 6F 6B 75 73 6E 61 20 73 74 72 61   je pokusna stra
6E 6B 61 20 73 65 72 76 65 72 61 20 31 39 32 2E  nka servera 192.
31 36 38 2E 31 2E 31 2E 0A 3C 2F 42 4F 44 59 3E  168.1.1..</BODY>
0A 3C 2F 48 54 4D 4C 3E 0A                       .</HTML>.

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.256526 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x42
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:201 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x16E6AF2C  Ack: 0x94DC8E6F  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 77324 379481

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.256478 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x46
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:19391 IpLen:20 DgmLen:52 DF
***A***F Seq: 0x94DC8E6F  Ack: 0x16E6AF2C  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 379481 77324

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.256593 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x42
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:202 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x16E6AF2C  Ack: 0x94DC8E70  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 77324 379481

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.263574 0:10:A4:F4:61:34 -> 0:C0:DF:AA:27:C3 type:0x800 len:0x42
192.168.1.2:1035 -> 192.168.1.1:80 TCP TTL:64 TOS:0x10 ID:203 IpLen:20 DgmLen:52 DF
***A***F Seq: 0x16E6AF2C  Ack: 0x94DC8E70  Win: 0x7D78  TcpLen: 32
TCP Options (3) => NOP NOP TS: 77325 379481

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/24-22:17:06.264157 0:C0:DF:AA:27:C3 -> 0:10:A4:F4:61:34 type:0x800 len:0x46
192.168.1.1:80 -> 192.168.1.2:1035 TCP TTL:64 TOS:0x0 ID:19392 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x94DC8E70  Ack: 0x16E6AF2D  Win: 0x16A0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 379482 77325

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

===============================================================================
Snort analyzed 13 out of 13 packets, dropping 0(0.000%) packets

Breakdown by protocol:                Action Stats:
    TCP: 13         (100.000%)         ALERTS: 0
    UDP: 0          (0.000%)          LOGGED: 0
   ICMP: 0          (0.000%)          PASSED: 0
    ARP: 0          (0.000%)
   IPv6: 0          (0.000%)
    IPX: 0          (0.000%)
  OTHER: 0          (0.000%)
DISCARD: 0          (0.000%)
===============================================================================
Fragmentation Stats:
Fragmented IP Packets: 0          (0.000%)
    Fragment Trackers: 0
   Rebuilt IP Packets: 0
   Frag elements used: 0
Discarded(incomplete): 0
   Discarded(timeout): 0
  Frag2 memory faults: 0
===============================================================================
TCP Stream Reassembly Stats:
        TCP Packets Used: 0          (0.000%)
         Stream Trackers: 0
          Stream flushes: 0
           Segments used: 0
   Stream4 Memory Faults: 0
===============================================================================
Snort received signal 2, exiting

Snort nám v prvých riadkoch ponúka čas kedy bol daný rámec zachytený. Nasleduje hlavička rámca linkovej vrstvy, potom hlavička paketu vrstvy sieťovej, hlavička segmetu vrstvy transportnej a potom vytúžený payload paketu s informáciami, ktoré sme od http servera žiadali (áno, áno, toto je v reále zmiešané dokopy vrstvy ISO/OSI modelu, enkapsulácia jednotlivých vrstiev a tak ďalej a tak ďalej). Pekné, však? Snort nám dokonca ponúkne payload aj v hexadecimálnom tvare.
Iba tak v krátkosti:

Na začiatku vidíme ako klient pošle serveru výzvu na spojenie. Je to rámec kde v hlavičke 4 vrstvy vidieť, že je nastavený bit SYN. Server odpovedá rámcom s nastavenými bitmi SYN a ACK. Klient dokončí 3-way handshake rámcom s nastaveným ACK a potom následuje samotná otázka k serveru: GET / HTTP/1.0. V tomto rámci sú nastavené bity ACK a PSH. ACK je acknowledge a PSH znamená, že paket nesie aplikačné dáta a payload má byť preto predaný na spracovanie ďalším vrstvám. Server odpovie rámcom s nastaveným ACK, a klient pošle ešte jeden rámec, ktorý obsahuje prázdny riadok, štandardná to súčasť otázky GET pri HTTP protokole.
Následne server pošle žiadané dáta klientovi (to je ten veľký rámec, v ktorom v aplikačnej časti môžeme vidieť medzi inými aj HTML dokument, ktorý bol práve pre tento účel vytvorený), tento potvrdí prijatie paketu a keďže protokol HTTP je vo verzii 1.0 bezstavový, začne server s uzatváraním spojenia (to sú tie rámce kde v hlavičke 4. vrstvy je uvedený bit F ako FIN), klient sa taktiež rozhodol, že už obdržal všetky dáta, ktoré požadoval a tak tiež uzatvorí spojenie.
V prípade, že by to bola zachytená telnet session, najlepšie jej začiatok, niekde tam by bolo to heslo zasielané v plaintext tvare. Smutné, však:-(. Ale veď my všetci už dávno používame iba ssh takže sa nemusíme ničoho obávať:-).

Milyj, zlatyj.
No vidíš, ješte pár výslechů a budeš mluvit docela obstojně česky.

[Kolja]

Výstup, ktorý dostaneme, nám snort na konci zachytávania paketov obohatí krátkymi štatistikami o počte paketov a ich percentuálnom zastúpené v rodine protokolov TCP/IP.

Samozrejme, na plné pochopenie výpisu budeme musieť naštudovať aj trošku z teórie TCP/IP (ak snifujeme prevádzku tohoto protokolu), ale určite sa nám to vyplatí v podobe včasného odhaľovania problémov v sieti.

Tieto informácie môžeme ukladať do súboru, čo nám potom umožní v kľude prevádzku analyzovať.

Na záver

Mladých hackerof, ktoré očakávali návod ako zistiť na sieti heslo Jožka Mrkvičku, som asi hlboko sklamal, ale nezúfajte. Hľadanie hesiel vo výpise snortu je trošku obtiažnejšie, ale dá sa, ale ak veľmi chcete tak: „Hey man, watch dsniff!“ :-)

Našli jste v článku chybu?

5. 4. 2002 18:58

green (neregistrovaný)

Prial by som si serial o VPN. Mohol by mat aspon 5 dielov, uvod, install, konfig + realna prevadzka, moznosti nasadenia a tak...
Vdaka


2. 4. 2002 11:08

i4o (neregistrovaný)

By sa to malo volat, snort ako ho nepoznate, ak ho vobec nepoznate. Ak ho trochu poznate, uz sa nic nove nedozviete. Ak Ste nebodaj citali dokumentaciu dodanu so Snortom, nestracajte cas ;-).
Este k P:
push flag
The push flag tells the receiving end of the tcp connection to "push" all buffered data to the receiving application. It basically says "done for now".

Generally, an interactive application protocol must set the PUSH flag at least in the last SEND call in each command or response…




Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře