pacchetti sniffati, c'è un modo per mettere insieme il file?

Catturare i pacchetti produce già un file di output (un file di acquisizione, in realtà) che include il contenuto dei pacchetti, informazioni sui tempi, intestazioni, ecc. Se vuoi separare questi pacchetti in singoli flussi, un programma come wireshark può fare la ricerca e il filtro appropriati per te. Può anche decodificare il traffico SSL / TLS se si dispone della chiave del certificato.

Se tutto ciò che si vuole fare è separare il contenuto dei singoli flussi TCP, un programma chiamato tcpflow lo farò per te. Nota che così facendo scarti un sacco di dati utili, inclusi tempi, intestazioni, ecc. Ma può essere molto utile se hai un sacco di traffico che ti piacerebbe fare. E a proposito del traffico inceppato, dai un'occhiata a ngrep per cercare i contenuti del traffico in tempo reale.

E questo a malapena graffia la superficie di intercettazione della rete, analisi, modifiche e strumenti correlati.

Se lo sniffer ha tutti i pacchetti che hai inviato, può ricostruire tutti i dati (file, mail, qualunque cosa) che hai inviato, per il semplice motivo che ha tutto ciò che il destinatario previsto ha. Se lo sniffer ha solo alcuni pacchetti, allora può ancora ricostruire parte del tuo traffico - i file con buchi, per così dire. Ad esempio, se ha solo alcuni dei pacchetti ricevuti da un server HTTP, ha pezzi del file, sa in quale ordine metterli e ha un'idea approssimativa di quanto gli sia mancato, perché ogni pacchetto TCP contiene un numero di sequenza incrementato di 1 per ogni pacchetto successivo, e i pacchetti TCP hanno dimensioni diverse ma spesso non con molta varianza.

Se la connessione è crittografata (ad esempio perché utilizza SSL), lo sniffer vede solo il testo cifrato. Quindi sa con chi stai comunicando e quanti dati stai scambiando (eccetto per protocolli rari che mantengono riservato il target dei pacchetti dagli intercettatori, ma questo rende difficile il routing così non viene fatto spesso).

Se si utilizza la crittografia su una rete wireless, quindi un intercettatore che non ha accesso alla rete (cioè non ha la password wifi o qualsiasi altra autenticazione è necessaria) potrebbe comunque sapere quanto traffico si sta scambiando ma non con chi. Quindi c'è un certo vantaggio nell'uso della crittografia wifi, anche se si sta criptando comunque a livello di applicazione. Un altro vantaggio della crittografia wifi è che non perde dati non crittografati come le richieste DNS, che possono rivelare più informazioni sulla tua rete di quante tu possa desiderare a un intercettatore di ottenere senza sforzo. Un altro vantaggio della crittografia wifi è che qualcuno potrebbe voler indirizzare il traffico dalla tua rete, sia per sanguinare la tua larghezza di banda o per commettere azioni illegali che potrebbero essere ricondotte a te. Un terzo vantaggio è che se hai lasciato accidentalmente alcune applicazioni non protette sulla rete locale, la crittografia wifi proteggerà l'applicazione da un utente malintenzionato esterno senza accesso fisico per collegare il proprio dispositivo.

In sintesi, la crittografia wifi offre una protezione significativa contro le minacce esterne. Nota che ho scritto "working encryption encryption" sopra: WEP è notoriamente rotto (richiede solo pochi minuti per craccare), < a href="http://en.wikipedia.org/wiki/WPA2#WPA2"> WPA2 va bene contro gli attaccanti esterni. WEP e WPA (2) dovrebbero anche fornire protezione contro gli addetti ai lavori, ma questo aspetto è rotto: in WPA2-PSK, la variante più comune (con una singola chiave segreta condivisa), qualsiasi partecipante può effettivamente intercettare e spoofare altri partecipanti (vedere Qualsiasi vantaggio per proteggere il WiFi con un PSK, oltre a tenere fuori e altre domande di wpa2 non autorizzate

Se un utente malintenzionato annusa il traffico può mettere insieme tutto ciò che era in quei pacchetti. Ad esempio, prova a eseguire Wireshark sulla tua rete mentre trasferisci un file tra due computer.

La traccia del pacchetto ti consentirà di ricostruire l'intero file. Molto facilmente!

Anche se prendi solo il 50% dei pacchetti, questo ti fornirà comunque molte informazioni.

Quindi sì - questo dovrebbe preoccuparti, è facilmente possibile, ed è per questo che viene usata la crittografia!

c'è un modo semplice per farlo?

Dipende, quali protocolli sei interessato a sniffare? HTTP, SMTP ecc.

Con l'ID Bro è possibile specificare i tipi di mime che si desidera decodificare dal traffico HTTP e dal traffico ftp. Quindi scaricherà questi file sul disco, per altri protocolli può registrare il contenuto del file ma sarà mescolato con il protocollo del livello dell'applicazione, questo potrebbe non essere un grosso problema per te.

Questo post del blog contiene la maggior parte delle informazioni che stai cercando sans.edu