Как создать сниффер

Фаервол для сайта

Фаервол для сайта (Web Application Firewall) разворачивается на вашем сайте автоматически, автоматически подключается к антивирусной сети Вирусдай и защищает ваши сайты от злоумышленников, вредоносных программ, грабинга контента, XSS/SQL инъекций, загрузки вредоносных файлов, подозрительной активности и попадания в черные списки.

Волшебство за 1 секунду!
Начать использовать фаервол легко. Просто переключите кноку фаервола в режим «Включено». Запуск произойдет автоматически.

Фаервол устанавливается и работает полностью автоматически, его использование повышает уровень защиты вашего ресурса. Решение разворачивается на вашем сайте и работает как щит. Фаервол обрабатывает каждый запрос к файлам CMS вашего сайта до того, как они попадут в систему управления содержимым. Блокировка запросов производится автоматически на основании комплексного анализа опасности действия. Фаервол постоянно подключен к нашим серверам и алгоритмы фильтрации им запросов постоянно улучшаются. Для корректной работы решения необходимо соединение с серверами сервиса. Если при установке происходит ошибка Вирусдай сообщит вам об этом.

Вирусдай Фаервол может быть установлен на следующие системы управления (CMS):
Joomla, WordPress, DLE, Drupal 6.x/7.x/8.x, ModX Evolution/Revolution, 1C Bitrix, Yii framework 2.x, OpenCart, CS.cart, NetCat, PrestaShop, HostCms, UMI.CMS, Amiro.CMS, Magento, CMS Made Simple, XenForo forum, CodeIgniter, PhpBB, Webasyst, Stressweb, DiafanCMS, Vtiger CRM, Koobi CMS, Simpla, VipBox(Engio), InstantCMS.

Круговая диаграмма.
Фаервол контролирует трафик к вашему сайту. Круговая диаграмма показывает разницу между числом заблокированных и пропущенных запросов. Посетители, чей запрос или действие были отклонены, увидят эран блокировки и рекомендации, которым нужно следовать.

Подробная статистика.
Операционный график показывает статистику отраженных и пропущенных запросов за последние 30 дней. Красная линия обозначает заблокированные запросы (реальный поток заблокированных действий). Зеленая — пропущенные запросы.

Блокированные угрозы по типам.
Распределение угроз по их основным типам за последние 30 дней поможет вам наглядно увидеть картину преимущественной направленности атак на ваш ресурс и вредоносной активности. Диаграмма может содержать также обнаруженные, но не заблокированные подозрительные действия.

Подробные отчеты о заблокированных IP
Кликните на отчет по любому дню из списка.

Посмотрите на число блокированных запросов с каждого IP адреса. Оцените все заблокрованные запросы с каждого IP и их параметры в подробностях отчета. Вы можете добавить в белый список или в черный список фаервола люобй IP адрес, просто кликнув на нужую иконку с ихображением щита.

Добавление IP в белый список

Фаервол дополнен автоматическим антивирусом для быстрого и точного устранения угроз на вашем сайте. Узнайте об антивирусе для сайтов Вирусдай, его возможностях и эффективности.

Антивирус для сайтов

LSP-Fix
Repairs Winsock 2 settings, caused by buggy or improperly-removed Internet software, that result in loss of Internet access

LSP-Fix is a free Windows utility to repair a loss of Internet access associated with certain types of software.

This type of software, known as a Layered Service Provider or LSP, typically handles low-level Internet-related tasks, and data is passed through a chain of these programs on its way to and from the Internet. However, due to bugs in the LSP software or deletion of the software, this chain can get broken, causing the Internet connection to become inaccessible.

Unfortunately, problematic LSP software, including malware/spyware, is sometimes quietly installed by unrelated products such as file-sharing programs, sneaking onto a system unannounced. In fact, in many cases, the user does not know of its existence until something goes wrong, and he/she can no longer access Web sites. Historically, New.net* (NEWDOTNET) and WebHancer* (often bundled with file-sharing utilities, DVD player software, and other free downloads) have been the worst offenders, but the problem can be caused by any improperly-written Layered Service Provider software, or the deletion of any LSP program’s files. LSP-Fix repairs the LSP chain by removing the entries left behind when LSP software is removed by hand (or when errors in the software itself break the LSP chain), and removing any gaps in the chain.

LSP-Fix is not a malware removal utility and does not target specific products. LSP-Fix does not delete any files.

Downloads: (All downloads will fit easily on a floppy disk.)

  • LSP-Fix (.zip) v1.1 — includes the program, documentation and source code.

If you are using the program on a machine that cannot open .zip files, or are downloading for a friend whom you’re not sure can read .zip files, download the uncompressed files below instead. It will take a bit longer, but this way the program can be used as-is (e.g. from a floppy disk).

LSPFix.exe
lspfix.txt

New in this version:

  • LSP chains entirely verified on program start, and status (errors / no errors) now displayed on the program main window.
  • If Winsock2 registry keys are inaccessible, LSP-Fix now warns the user to log in as Administrator and retry, rather than reporting the key as missing.
  • Released under the GNU General Public License.

Please refer to the Readme for a complete list of changes.

Screen Shot

Third Party Winsock Repair Tools

Following is a list of additional LSP/Winsock repair utilities written by others. These are provided for convenience, and are not written or tech-supported by cexx.org. Please direct support inquiries at the original authors! Thanks.

http://www.bu.edu/pcsc/internetaccess/winsock2fix.html — Winsock repair utility designed for Windows 98, 98SE, and ME.
http://www.iup.edu/house/resnet/WinsockXPFix.exe — Winsock repair utility designed for Windows XP.

http://digital-solutions.co.uk/lavasoft/whndnfix.zip — Winsock repair utility for Windows 95/98/98SE/ME.


*All trademarks are the property of their respective owners.

Решил вот написать свой HTTP сниффер. Не то, чтобы существующие решения, всякие там FireBug, Wireshark, tcpdump и urlsnarf, плохо работали. Просто какие-то они не совсем удобные или не всегда делают то, что мне действительно нужно.

Ну как «решил написать» — как обычно пишутся программы на Perl. Я взял модули Net::Pcap и Sniffer::HTTP, набросал графический интерфейс в wxFormBuilder и связал сии компоненты с помощью пары сотен строк кода. В результате получилась такая программа:

Так сниффер, который я условно назвал HttpSniff, выглядит в Xubuntu (CLI версия также предусмотрена). Слева отображается запрос, справа — ответ сервера, внизу представлен лог всех HTTP запросов. Если запросов посылается много, лишние можно скрыть с помощью фильтров:

На данном скриншоте программа запущена уже под Windows, что как бы намекает на ее кроссплатформенность. Обратите внимание, что проверка, соответствует ли хост правилу фильтрации, производится следующим образом:

$host.=’$’;
formy$hp(@{$hp_list}){
  $host_match=($hp->{host}eq’*’)||(index($host,$hp->{host})==0);
  # …
}

В итоге строке «1.2.3.» соответсвуют все хосты в подсети 1.2.3/24, а строке «1.2.3.4» — как адрес 1.2.3.4, так и 1.2.3.49. Если требуется указать точный адрес, его следует ввести с долларом на конце, например «1.2.3.4$». Костыль, наверное, но пока программа работает так.

Для запуска сниффера вам потребуются библиотека wxWidgets, установку которой я уже как-то описывал, а также несколько модулей, названия которых вы можете посмотреть в начале скрипта. Если не ошибаюсь, все модули, кроме Net::Pcap, без проблем устанавливаются с помощью утилиты cpan.

Под FreeBSD модуль Net::Pcap устанавливается так:

pkg_add -r p5-Net-Pcap

Под Debian/Ubuntu:

sudoapt-get install libnet-pcap-perl

Под Windows придется установить WinPcap. Из дистрибутивов Perl я бы рекомендовал CitrusPerl, поскольку с ним в комплекте идет wxPerl.

Модуль Net::Pcap под Windows ставится так:

ppm install http://www.bribes.org/perl/ppm/Net-Pcap.ppd

Если же вам не хочется ставить кучу лишнего софта ради какого-то там сниффера, можете скачать сборку HttpSniff под Windows, которая не требует ничего, кроме WinPcap. О том, как делать такие сборки, я в свое время уже рассказывал.

Следует обратить внимание на несколько «особенностей» в работе HttpSniff. Во-первых, HTTPS запросы он не перехватывает — это вам не FireBug. Зато он умеет отслеживать запросы, посылаемые Flash, чем могут похвастаться не все браузеры. Во-вторых, я замечал, что при большом объеме трафика (скажем, при включенных торрентах) сниффер может «терять» часть запросов. Я так и не смог понять, как решить эту проблему.

Наконец, сниффер основан на модуле Sniffer::HTTP, который на данный момент, вообще-то говоря, еще сыроват. Во время работы он не только сыпет всякие варнинги, но и порой бросает такие исключения:

Can’t call method "scheme" on an undefined value at … line 251

По этой причине мне пришлось обернуть вызов метода handle_eth_packet в eval. Других косяков я пока не замечал и в целом сниффер работает вполне сносно.

Код сниффера, который был актуален на момент публикации этой заметки, вы можете скачать отсюда. Если же вас интересует самая свежая версия скрипта, можете скачать ее из репозитория на BitBucket. Там же вы можете послать пулл реквест или создать тикет в багтрекере.

Если вам понравилась эта заметка, вас может заинтересовать статья Анализ сетевого трафика с помощью Net::Pcap в блоге Владимира Леттиева, а также видеозапись доклада Douglas E. Miles Writing GUI Applications with wxPerl and XRC и презентация к нему.

Мне будет очень приятно, если вы попробуете сниффер, а затем сообщите в комментариях, работает ли он вообще и что вам понравилось или не понравилось в нем. Если при чтении заметки у вас возникли какие-то вопросы, я, как обычно, с радостью на них отвечу.

Дополнение: Также вас может заинтересовать заметка Перехват сетевого трафика при помощи библиотеки libpcap.

Метки: GUI, Perl, Кроссплатформенность, Отладка, Сети.

Корпоративный сниффер – программа для перехвата, контроля и анализа трафика Компании

Сфера применения нашего сниффера:

Сниффер pTraffer используется для обеспечения информационной безопасности

  • анализа информационных потоков в Компании (движение документов, общение сотрудников между собой, с клиентами и т.п.)
  • непосредственного досмотра сообщений электронной почты, контроль почты (в том числе mail.ru и т.п.), файлов вкладываемых в электронную почту
  • поисковых запросов, сообщений на форумы, вконтакте и т.п.

Также сниффер может быть использован для создания собственной доступной системы контроля информационной безопасности. Например, для протоколирования работы сотрудников или выявления вирусов.


Формат сохранения данных сниффером максимально открыт — это означает что Вы можете сами расширять его функционал, а именно:

  • создавать отчёты для различных задач
  • дополнять текущие отчёты новыми возможностями
  • создавать свои запросы к базе данных истории переписки, например для поиска информации по неточным параметрам и т.п.

Сниффер также может локализовать расширенный доступ сотрудника и выявить злоупотребления в сфере использования ресурсов Компании. Данный функционал позволяет системным администраторам использовать контроль трафика в своей работе.


Способы установки и работы анализатора трафика

Перехват и контроль трафика, для передачи в наш сниффер, может осуществлять различными способами:

  • анализатор может быть установлен на сетевой шлюз;
  • возможно копирование (зеркалирование) сетевого трафика на ПК с установленным сниффером (с различных ОС и оборудования);

Мы рекомендуем обратится к нашему техническому специалисту за бесплатной консультацией по установке. Вы сможете установить и опробовать на одних и тех же данных, как наш продукт, так и продукты других разработчиков.


Способ работы с системой

Существует всего два подхода к информационной безопасности

  • «всё закрыть» и контролировать попытки обойти систему защиты
  • «открыть то, что можно контролировать», а остальное закрыть

В любом случае всё зависит от ситуации, но мы рекомендуем второй Вариант т.к. это очевидно увеличивает КПД работы сотрудников – когда они могут свободно общаться через их любимые сервисы, а с помощью нашего сниффера Вы спокойно и не нарушая их работу документируете и контролируете передаваемые ими данные.

В случае первого варианта без централизованного сниффера также не обойтись – с его помощью можно контролировать попытки обхода (в том числе успешные) системы контроля. Например, подключения SSL либо другие методы туннелирования (RDP, Teamviewer, LogMeIn.com и т.п.)


Как можно обнаружить Ваш сниффер и контроль трафика

Если коротко – то никак.

Мы, в отличии от других систем, не устанавливаем и не будем устанавливать на пользовательские ПК никаких агентов, скриптов или же программ. Всё ради чего их устанавливают (а это контроль установленного и используемого ПО, копируемых на флэш-носитель файлов и контроль печати документов) – всё это можно сделать без использования агентов и демаскировки системы защиты.

Все эти решения, как и неограниченная по количеству подконтрольных ПК версия сниффера (анализатора), входят в комплект бесплатных консультационных услуг при заключении договора на корпоративное обслуживание, естественно это позволяет не только замаскировать систему, но и серьезно сэкономить.


Что делать теперь.

Теперь Вам необходимо запросить демо-версию и скачать сниффер, при этом рекомендуем указать

  • количество ПК в сети
  • желаемый функционал системы (не из того что указано на сайта в функционале сниффера, а то как именно Вы видите функции которые система контроля информационной безопасности должна выполнять. Поделимся опытом)
  • оставить свои координаты для связи (рекомендуем ICQ, скайп или же на крайний случай электронную почту)

Добавить комментарий

Закрыть меню