Sniffer

Подскажите пожалуйста про варианты реализации технологий перехвата TCP трафика на Windows 2000/XP/Vista 32x/64x.
Буду благодарен если поможете исходниками.

Спасибо.

С уважением,

 

А требуется слушать весь трафик что прибегает на сетевую карту, или только тот который предназначается именно вашей машине и исходящий?

 

Не совсем корректно сформулировал вопрос.
Интересует входящий/исходящий трафик 7 уровня модели ISO/OSI, уровня приложений.

 

Ну тогда можно такие варианты сделать:
1. Перехват юзермодных сетевых функций (например винсоцковых). См. статьи Ms-Rem'а на этом сайте (для хакеров)
2. В драйвере фильтр TDI (не для хакеров)
3. В драйвере NDIS-фильтр (не для хакеров)
4. В драйвере перехватывать кернел-модные функции (для хакеров)

 

А какой проще в реализации и надёжней?

 

Трудно судить. Если работал с драйверами то самый простой наверно фильтр-драйвер на tdi. Если работал с NDIS драйверами то самый простой NDIS-фильтр, в интернете много исходников NDIS-фильтров все они аналогичны.

Ну а если с драйверами не работал вообще, то наверно быстрее всего будет разобраться с вариантом 1.

 

С брандмауэрами и антивирусами проблемы обнаружения или блокировки в каких случаях сложнее решать?

 

AbdulAziz
http://www.everfall.com/paste/id.php?chov8wcbomid
привет элю передай.

бугога .)))

 

Это не то, см. пост номер 3

Что рассмешило-то? Есть ядерные функции того же ндиса например.

 

Вот это не знаю, т.к. никогда не писал пакостных программ, но думаю что уж точно с юзермодными перехватами или легально прописанными фильтрами и ндис-фильтрами каши тут не сваришь.

 

Спасибо за http://www.everfall.com/paste/id.php?chov8wcbomid

пример запустил, попробуем доработать.

 

Так не покажет вам этот пример исходящего трафика

 

Novi4ek
запусти, дурачок)
всё работает как бигбен)

бугога относилось к слову "хакеры" ¦))

 

Novi4ek, показывает как исходящий и входящий.

 

Боже. Был о тебе лучшего мнения.

А у меня не показывает (Вот тут скрин диалога бровсера с сервером: i010.radikal.ru/0805/3d/4bc405f10bc3.jpg. Из лога похоже, что это не диалог, а монолог). Тоже самое с пингом. Вообщем-то этого и следовало ожидать. Вообще странно что у кого-то это работает.

 

какой кошмар! после того как почищу зубы, пойду вскрою себе вены в обязательном порядке.

я незнаю как вы компилите. у нас всё норм пашет.
давайте чтоли характеристики системы

 

Вообще у меня в сети три компьютера на одном из них не показывает исходящие на другом вообще ничего не показывает (третий пока не включал). Схему их подключения рассказывать лень: вообщем ясно что способ как минимум не универсальный.
М.б. у вас сети на концентраторах и отосланные кадры возвращаются на сетевую карту и поэтому в промиск моде она их воспринимает?

А если модем - то это по-вашему тоже должно работать? Вообщем мне неясно с какой балды такая схема должна железно ловить исходящий трафик. Неясно и не ловит у меня.

Да успокойся уже

UPD: на третем компе показывает и входящий и исходящий... Наверно другие просто не знают что такое promisc. В любом случае этот метод не универсальный.

 

А какой метод универсальный ?

 

TDI, NDIS - эти технологии одинаково реализованы в XP и Vista ?

 

К слову сказать, в висте для перехвата траффика MS реализовали новый набор API - Windows Filtering Platform. Подробнее, если кому интересно, здесь:
http://www.microsoft.com/whdc/device/network/WFP.mspx
http://msdn.microsoft.com/en-us/library/bb427363.aspx