Sniffer med GUI

Så vidt jeg forstår, så søger du en sniffer du kan styre med noget SSL fra en Windows klient. Er det korrekt?

Der er mange af den slags værktøjer, og de kan meget forskellige ting. De er alle rimeligt langhårede uden GUI. Bruger mest selv Zenmap (nmap med GUI), Ettercap, tcpdump og Etherape, men der er mange andre som fx Wireshark.

Metasploit (web baseret på bl.a. nmap) til info om sikkerheds brister. Siden sequreISP kører headless, så er web baseret GUI ofte nødvendigt fra en klient, hvis du ønsker et nemmere interface.

Jeg kan henvise til nogle sites med info.

https://ettercap.github.io/ettercap/index.html

http://sectools.org/tag/sniffers/

http://nmap.org/nsedoc/scripts/sniffer-detect.html

Der henvises bl.f. til password snifferen Cain and Abel og Brutus til Windows. Hvad ellers du gør, installer ikke disse programmer ;-)

Fordi det er et stort emne, og fordi nogle af disse værktøjer er et tveægget sværd, så kan du installere en distro, fx virtuelt, specialiseret med sådanne værktøjer for at finde det/de værktøjer der passer bedst til dine foremål:

http://www.backbox.org/

#0:

kender i nogle


Hedder wireshark stadigvæk wireshark?

Wireshark kan læse tcpdump filer, du kan starte en x applikation via netværk ie hvis du har en klient med Xserver mobiXterm er meget brugt på windows, men kender den ikke har reflectionX instaleret på den windows box men chef tvinger mig til at bruge ;-)

snort er et ids ie den lave en masse on the fly filtrering og forsøger at fange ting automatisk det kræver at du faktisk ved hvad du leder efter.

#0:
kender i nogle


Hedder wireshark stadigvæk wireshark?

Wireshark kan læse tcpdump filer, du kan starte en x applikation via netværk ie hvis du har en klient med Xserver mobiXterm er meget brugt på windows, men kender den ikke har reflectionX instaleret på den windows box men chef tvinger mig til at bruge ;-)

snort er et ids ie den lave en masse on the fly filtrering og forsøger at fange ting automatisk det kræver at du faktisk ved hvad du leder efter.

#0:

Wireshark kan indlæse dumps fra tcpdump. Dvs. du behøver ikke nogen GUI på klienten, du kan bare analyse outputttet på din lokale maskine med GUI og det hele.

Edit: #3 siger egentligt det samme på en lidt anden måde.

#4: Wireshark kan indlæse dumps fra tcpdump

Ja den hedder tshark.

https://www.wireshark.org/docs/wsug_html_chunked/AppToolstshark.html

https://www.wireshark.org/docs/man-pages/tshark.html

#3: Hedder wireshark stadigvæk wireshark?

Ja. Førhen hed den Ethereal. Sidenhen fra 2006, Wireshark. Sidste version er 1.12 fra 2014.

https://www.wireshark.org/

#5: Ja den hedder tshark

Det kan den alm. wireshark nu også!

#6: Det kan den alm. wireshark nu også!

Og ikke kun tcpdumps logs, de feste analyzere kan læse logs fra de fleste sniffere. Eller det kunne den for et par år siden da jeg sidste gang løb ind i et problem der krævede at jeg så i netværkslogs.

Hvis du vil have et Gui til at logge live så er XForward løsningen. fordi X11 bytter lidt om på server og klient rolle i forhold til hvad man forventer, ie den system hvor applikationen kører på er klient til det system hvor grafikdriver og display kører på. Mellem Unix systemer slår du XForward til med ssh -X og starter gui programmet fra komando linien, mens du på windows skal installere et kompatibilitets lag(MobiXterm, ReflectionX cygwin etc. ) Men XForward er latency føsomt så du skal helst værre på samme LAN som klienten.

#6: Det kan den alm. wireshark nu også!

Ja fordi Wireshark bruger sin egen tshark som backend, der er ligesom tcpdump. Når man installere Wireshark følger tshark med.

Wireshark inkluderer en tcpdump-like console version navngivet tshark.

Det er lidt som Zenmap der bruger nmap som Security Scanner.

Som #7 nævner, så kan snifferne ofte læse hinandens logs, og for nu at få lidt mere med, så er her download links til Wireshark til Windows og Mac:

https://www.wireshark.org/download.html

Måske har Windump interesse IHT tcpdump med flere nævnte?

http://www.winpcap.org/windump/

Har set på jeres forslag, men kom til at tænke på, hvis jeg nu installere et analytisk program som eks ntopng hvor web interfacet lytter på port 3000 så sker der vel ikke noget med de sider der ligger på eksvis 80. 443 og 8080 ? er lidt i tvivl for der findes jo snart et utal af webservere snart til linux, og må indrømme at mister jeg kontrollen over vores sequreISP´s webinterface er jeg godt nok på herrens mark

#9: mister jeg kontrollen over vores sequreISP´s webinterface er jeg godt nok på herrens mark

Det ved jeg squ' ikke. Hvis jeg var dig, ville jeg installere ntopng plus ntopng's moduler, på en maskine for sig selv.

Det er muligvis også en god ting, at du sikrer dig at maskinens hardware, er fuldt kompatibel med ntopng.

Frogmaster, jeg syntes ikke at have kunne finde en server / client version af ntopng hvorfor jeg ikke kan se den fungere på en anden maskine end gatewayen...

#11

Nu kender jeg ikke ntopng, men jeg vil tro, at den med installerede moduler, kan sættes op til at sniffe hele LAN. Der skal formentlig installeres en dæmon på ISP maskinen?

http://www.ntop.org/support/documentation/ntop-misusage-notes/

Jeg vil tro, at ntopng kan sættes op til monitering af routeren fra en anden maskine.

Har du læst ntopng's usermanual:

https://svn.ntop.org/svn/ntop/trunk/ntopng/doc/UserGuide.pdf

... og øvrig info fra deres site, inklusiv deres video tutoritals:

http://www.ntop.org/support/documentation/

https://www.youtube.com/channel/UCUYWuYlYKD5Yq5qBz0AIXJw

Ellers har de både Community Support og Commercial Support.