Тут сидел я как-то в Ирке с Морфеем, а он и говорит, как, мол, снифер юзать? А мне как раз уходить надо было, ну и я и ляпнул - статью, мол, напишу на эту тему. Вот держите теперь.

Ну вначале конечно пару слов о том, что это за чудо - снифер, и как оно работает. Когда ушлые ребята из США разрабатывали протокол TCP/IP, они почему-то забыли про шифрование передаваемой информации (наивные :) ) В общем, пароли по протоколам вроде telnet, FTP, HTTP, POP3 и проч. передаются в открытом виде :). Прикол номер два. В локальной сети информация передается ВСЕМ машинам в локалке, а принимает только та, которой нужно.

Вот на всем этом и основаны снифферы - программы, которые "вынюхивают" нужные пакеты в сети и отдают их тебе. Их существует множество, и под Юникс, и под Маздай.

Поскольку Маздай гораздо более популярен ;), будем юзать Iris - снифер для Виндов. Скачать это чудо программерской мысли можно с сайта http://www.eeye.com/, а кряк к нему - со знаменитого http://www.astalavista.box.sk/.

Итак, скачали, запустили, ввели серийный номер, начинаем работу.

В начале появится меню настройки. Выходим из него, настроим потом.

Итак, мы имеем перед собой окно софтины. Не будем отвлекаться на рассмотрение пунктов меню, окошек и прочей дребедени, мы ставили софтину не чтобы играться, а чтобы пароли выпалить. Вот и начнем.

Жмем Filters - Edit Filter (или Ctrl+E).

Настраиваем вот как: Hardware filter - не трогаем Layer 2,3 - отмечаем IP и TCP Words - Если нужно выцепить пакеты с ключевыми словами, укажите их здесь. Разберетесь сами, не ламеры все-таки :) MAC address - кто-нибудь из вас знает наизусть MAC-адреса сетевых плат? Я тоже нет. Пропускаем :) IP address - вот оно самое интересное! Указываем айпи адреса компутеров, между которыми снифаем пакеты. Приведу парочку примеров:
Жертва - 10.0.0.35
Сервак - 10.0.0.1
В фильтре пишем:
   10.0.0.35 <-> 10.0.0.1
   (связь жертвы с серваком)
Или так
   10.0.0.35 <->
   (для всех связей жертвы)
Или вот так:
   10.0.0.1 <->
   (все обращения к серверу)
Поэкспериментируйте...
Ports - вот это настройте обязательно! Если, например, жертва будет слушать музыку с сетевого диска, то разгрестись в куче пакетов вам будет крайне непросто :) Поэтому даблкликаем в списке портов на нужные Вам.

Жмем ОК. Наконец-то мы настроили фильтр!
На всякий случай сохраните его - Filters - Save Filter

Теперь начинается самая интересная часть работы.
Жмем Capture - Start (или Ctrl+A)
В окошке шустро побегут (или не побегут :) ) выловленные пакеты. Если хотите, можете их смотреть прямо так, только толку от этого мало. Авторы Iris'a привинтили к своему детищу функцию Decode Packets, которая позволяет декодировать полученную информацию.

Декодируем! Жмем Decode - Decode Buffer или на кнопку с кубиками на верхней панельке.

Теперь если в боковой панели выбрать пункт Decode, то мы сможем подробно посмотреть информацию из пакетов в читабельном виде.

Вот там-то и ищите логины, пароли и все такое.

И смотрите не попадитесь! Удачного вам снифания!

= techniX =