2. Запустить программу Cg_oob.exe
3. В поле IP/Mashine Name вписать IP-адрес узла/объекта атаки (например, адрес преподавателя)
4. Запустить SnifferPro
5. В меню Capture выбрать пункт Define Filter
6. Нажать кнопку Profiles
7. Нажать New
8. В поле New Profile Name ввести имя, например, Nuke
9. Нажать ОК, затем Done В списке слева должно появиться указанное вами название, например, Nuke
10. Нажать Reset и открыть закладку Address
11. Задать фильтр по адресам, указав ваш адрес и адрес объекта атаки
12. Нажать ОК
13. Запустить перехват трафика Capture > Start
14. Перейти в программу Cg_oob.exe и нажать кнопку Kill
15. Перейти в программу SnifferPro и остановить процесс перехвата Capture > Stop and Display
16. В списке перехваченных пакетов найти характерный для атаки WinNuke пакет с параметрами (URG=1, PUSH=1, ACK=1, Destination Port=139). В верхней части окна в списке этот пакет имеет краткое описание: NETB: Data, 3 Bytes
17. Выделить найденный пакет
18. В меню Capture выбрать пункт Define Filter
19. В списке слева выбрать название фильтра (Nuke)
20. Открыть закладку Data Pattern
21. Нажать кнопку Add Pattern
22. В нижнем окне (где отображается содержимое пакета) найти поле TCP: Destination Port и выбрать его (пометить галочкой)
23. Нажать кнопку Set Data, затем OK
24. В окне Define Filter выделить верхнюю строку (она начинается с AND) и снова нажать Add Pattern
25. Найти поле TCP Flags и выбрать его (пометить галочкой)
26. Нажать кнопку Set Data, затем OK
27. Проверить созданный фильтр и нажать ОК. Теперь можно переходить к настройке триггера
28. В меню Capture выбрать пункт Trigger Setup
29. В области Stop Trigger нажать кнопку Define
30. Нажать New
31. Указать имя триггера, например, TR1, нажать ОК
32. Отметить галочкой пункт Event Filter
33. В списке (ниже) выбрать Nuke (название созданного фильтра в предыдущей части)
34. Нажать ОК
35. Поле Enable у надписи Stop Trigger пометить галочкой (активизировать)
36. Нажать ОК. Теперь можно проверить работу триггера
37. В меню Capture выбрать пункт Define Filter
38. Выбрать в списке слева (Settings For) пункт Default
39. Нажать Reset (это делается для того, чтобы сбросить все ранее созданные параметры фильтрации)
40. Нажать ОК
41. В меню Capture выбрать пункт Start
42. Выполнить команду Ping <адрес объекта атаки> Это делается для того, чтобы проверить правильность срабатывания триггера
43. Перейти в программу Cg_oob.exe, вновь указать адрес объекта атаки и нажать кнопку Kill
44. Перейти в программу SnifferPro и В меню Capture выбрать пункт Stop and Display
45. Просмотрев пакеты, убедиться, что остановка сбора трафика произошла в момент прохождения пакета с заданными параметрами (пакет с кратким описанием NETB: Data, 3 Bytes будет последним в списке)
Обнаружение снифферов
Как было указано выше, обнаружить сниффер можно по различным признакам. Например, следующая часть работы иллюстрирует как можно обнаружить сетевой анализатор Network Monitor.
1. Запустить командную строку
2. Выполнить команду nbtstat -а <адрес> в отношении узла, где нет работающего сетевого анализатора Network Monitor (например, это может быть узел вашего соседа)
3. Запустить ещё один экземпляр командной строки
4. Выполнить команду nbtstat -а <адрес> в отношении узла преподавателя, где должен быть запущен Network Monitor
5. Сравнить результаты. Найти имя, регистрируемое программой Network Monitor
(например, ISS-WS06ù ù ù ù ù ù ù<BF> UNIQUE Registered)
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.