Проект "народный сниффер"

[Йоха]

Возникла у меня идея сделать снифер с открытым кодом и разместить проект на гитхабе
Собственно сам снифер у меня есть, хочу поинтересоваться у общественности относительно самого факта существования паблик снифера, нужно это делать или нет.

Жду коментариев

[Lordronn]

Тут есть за и против.

ЗА:
1.Как и любой другой проэкт он будет весьма полезен для людей, которым интересен механизм работы с сетью\памятью клиента. Это зависит от поколения сниффера
2. Информацию с оффициального сервера будет легче достать, т.к будет много людей способных ее получить. Возможно даже какой-нибудь человек сделает ФТП сервер, в котором будет складировать сниффы.
ПРОТИВ:
Если честно, то ничего не лезет в голову.
1.Могут пронюхать близзы, и примут меры. Но это опасно только для инжекторных снифферов.

Некоторые снифферы есть в паблике, например

http://sharesource.org/project/sniffitzt/


В против хотел также написать о большом кол-во "одминов", которые будут сниффать себе для перадки офф. Но вспомнил о необходимости парсера, который мало кто сможет написать и переводить его с версии на версию.

Лично от себя: мне было бы интересно посмотреть на процесс разработки сниффера, да и получить такой не плохо. Своя программа для обработки у меня есть. Для комплекта не хватает сниффера

[KiriX]

Не так давно обсуждался этот вопрос, изобретали даже унифицированный формат снифов...
Вот только никто не желал свой снифер делать публичным. Так что ответ однозначный - да, нужен.

[tempura]

эмм... А кто-нибудь анализировал причины, по которым снифферы не выпускают в паблик? Вроде бы (кажется был разговор) потому, что "если к разработчикам попадает такой код, они быстро закрывают возможность пользоваться подобными снифферами"? Опять же (выше упоминалось) нам незачем давать возможность тысячам вовжоперов или (ну например) тринекоров "вылажете снифир" начать долбить Близзофф, после чего лавочку прикроют не только со стуком, но и с грохотом.

Я могу что-то путать, но молю - наставьте меня на путь истинный.

Закрытый код, закрытый формат - для разработчиков. А в паблике такие страшные (не побюсь этого слова) инструменты не то чтобы не нужны, а просто опасны.

Потому я бы предложил Йоха написать, но все-таки не публиковать сниффер, а использовать его в узком кругу разработчиков.




Offtop
Когда мне понадобилось в офисе систему слежения за аськой поднять - я нашел сниффер, и действительно запалил одного манагера, который сливал налево заказы. Сниффер (неважно какой) - это оружие. И в неумелых руках принесет больше разрушений, чем пользы.

[srv38]

Будет полезен только в качестве примера для обучения, а так думаю близы его быстро прикроют.

[Йоха]

Снифер в виде прокси-сервера, в память вова лазит только 1 раз за ключом и палится (наверно) только сканированием процессов.
Для сервера и клиента вов он абсолютно прозрачен
Для его работы нужен еще какой-нибудь проксификатор, но это как раз не проблема, их полно на любой вкус и цвет.
Насчет прикроют хз, искать в памяти процесс по сигнатуре... глупо. В следующей ревизии снифера имидж изменится, да или тупо с другими ключами собрал экзешник или в дебаг/релиз версии ...
Закрыть полностью возможность работы вов через любой проксификатор - мне кажется это маловероятным.

Насчет лично меня не переживайте, для себя я использую свой первый снифер, тоже прокси, но написан он с применением немного другой технологии. С другой стороны это все фигня, в любом снифе фигурирует инфа о гуиде персонажа с аккаунта которого записывался сниф, даже если затереть инфо логине.

Меня интересуют глобальные причины против паблик снифера которые могут негативно сказать на проекте мангос и сообщества ру-мангос. Не хочется оказать медвежью услугу -)

[LordJZ]

Я думаю «народный» аналог PacketViewer-а от TOM_RUS или zPktViewer-а, с поддержкой последних форматов сниффов (у меня сейчас самые распространенные — три) был бы гораздо полезнее, чем народный-же сниффер.

Добавлено через 4 минуты

Цитата:

Сообщение от Йоха

Снифер в виде прокси-сервера, в память вова лазит только 1 раз за ключом и палится (наверно) только сканированием процессов.
Для сервера и клиента вов он абсолютно прозрачен
Для его работы нужен еще какой-нибудь проксификатор, но это как раз не проблема, их полно на любой вкус и цвет.
Насчет прикроют хз, искать в памяти процесс по сигнатуре... глупо. В следующей ревизии снифера имидж изменится, да или тупо с другими ключами собрал экзешник или в дебаг/релиз версии ...
Закрыть полностью возможность работы вов через любой проксификатор - мне кажется это маловероятным.

Насчет лично меня не переживайте, для себя я использую свой первый снифер, тоже прокси, но написан он с применением немного другой технологии. С другой стороны это все фигня, в любом снифе фигурирует инфа о гуиде персонажа с аккаунта которого записывался сниф, даже если затереть инфо логине.

Меня интересуют глобальные причины против паблик снифера которые могут негативно сказать на проекте мангос и сообщества ру-мангос. Не хочется оказать медвежью услугу -)

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Lordronn]

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Цитата:

у меня сейчас самые распространенные — три

1.raw
2.pkt
3 - ?????

[LordJZ]

PKT, IZI (тут рядом где-то тема была), MaNGOS World Log

P.S.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Йоха]

Цитата:

Сообщение от LordJZ

PKT, IZI (тут рядом где-то тема была), MaNGOS World Log

P.S.*** скрытый текст ***

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[Lordronn]

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[LordJZ]

Цитата:

Сообщение от Lordronn

*** скрытый текст ***

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 100 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[virusav]

Сейчас снифферы есть у отдельных знающих людей.
Скорее всего они будут использовать сниффер для сбора инфы с офа.

При доступе к открытому снифферу найдутся деятели, которые будут сниффать пиратки в виду отсутствия доступа на оф и писать в баг-репортах, что у них есть сниффы с офа.
В этом случае достоверность информации будет труднее проверить.

[Lordronn]

В данном случае может быть несколько значений слова публичный:

1.Будет приватный репозиторий, в котором будет идти разработка сниффера. К репозиторию будут допущены проверенные люди, такие как: администрация проэкта, модераторы, основатели проэкта. Такое решение было бы очень хорошим ввиду того, что некоторые проверенные личности на форуме увлекаются правкой\реализацией квестов, спеллов, инстансов, БГ. Благодара этому у них будет доступ к снифферу, с помощью которого они смогут получить необходимую информацию.

2. Сниффер будет полностью публичный. Ссылки будут не под хайдом. репозиторий будет не приватный. Сокрытия ссылоку не будет. В таком случае любой желающий сможет получить доступ к снифферу, а следовательно и к информации. У этой медали есть 2 стороны:
1.Человек может быть достаточно умный, но пока малоизвестный, не успевший себя зарекомендовать кодер. Тогда да, действительно, ему сниффер понадобится. он принесет благо проэкту
2. Человек обычный школьник, который завладел сниффером и теперь думает, что он приносит неоценимую пользу тоская сомнительные сниффы. Пользы проэкта будет, но не всегда и не в больших количествах. Т.к это все же сомнительный снифф. Не факт даже, что он будет именно с оффициального сервера.

[KiriX]

Ситуацию нужно решать так:
1) Будет ли реально вред проекту от публичного снифера?
if true break;
else
2) Будет школота со сниферами (если научится им пользоваться )
3) Снифер получат люди, которые могу его действительно по назначению использовать и помочь кому-то, себе, проекту в частности.
И дальше надо определить, что важнее получить: 2) отсутствие школоты со снифером или 3) реальный шанс собрать больше инфы?
По мне так движение вперёд всегда лучше "консервирования". К тому же админам никто не запретит самим определять, доверять ли пользователю, предоставившему сниф или нет.
Моё мнение - инфы тогда можно получить больше, а контроль никуда не денется, ведь наличие снифа не предполагает автоматические коммиты школоты по данным снифам в оф репозитории мангоса или базы.

да какая разница кто будет снифать? Я не спец, но в "стандартном" формате pkt, имхо, вполне хватит места под данные о версии снифера и адресам коннекта клиента...думаю этого достаточно, что бы отсеивать полезную информацию. Подделывать снифы конечно можно, но по задумке отсеивается же "школота"

[rsa]

я вообще не понимаю вашу возню с засекречиванием снифферов. на любом промежуточном роутере (а их даже у среднего школьника дома уже может быть не один) весь поток без проблем и совершенно легально снимается простым tcpdump. да, его надо расшифровывать - вот это уже другой вопрос, где ключи брать и тому подобное, но при чем тут сниффер непонятно.

[RomanRom2]

имеется ввиду не "снифер" сам по себе, а некий софт, "умеющий добывать вов трафик". а это разумеется снифер как таковой, но еще и ключи и фильтр пакетов. поэтому когда говорят "снифер" - имеют ввиду софт, "умеющий...". просто сниферов, ессно, и так валом завались, начиная от ethereal заканчивая всякими сорцами на дельфях и вижуал бейсике.

в свое время я предпринимал попытку открытости сниферов и снифов, многие из вас наверное помнят. на сайте лежали все наши сниферы, всех поколений. а так же созданные ими снифы. эффект был нулевой. ни положительного, ни отрицательного. вполне вероятно это можно принять как аргумент к "плюсам".

плюсы конечно очевидны, их перечислять можно бесконечно. "обучение программированию", "как устроено и как работает", и прочие подобные "бла-бла-бла" я лично считаю завуалированными желаниями поиметь такой софт, не больше ни меньше. уж простите. все те, кто реально хочет обучаться и хочет узнать как устроено - просто делают.

исторически так сложилось, что создание снифера являлось экзаменационным заданием для кандидатов в команду WoWCore на самом деле требований ессно никто таких не выставлял, просто так получилось. лично мое мнение, человек способный создать вов-снифер реально может работать в этой теме и реально оказывается полезным коммунити (не важно в какой команде). остальные в той или иной степени не обладают достаточной квалификацией. с оговорками конечно, но добрую половину из них смело можно называть, как вы говорите - "вовжоперами". уж простите опять - это лично мои наблюдения.

опять же исторически сложилось, что "всем кому нужно" - этот снифер не представляет проблемы и он есть. я имею ввиду всех разработчиков, которые реально занимаются разработкой, а не менеджментом.

отсюда у меня вырисовывается вывод: народный снифер - для вовжоперов. ни больше ни меньше. у всех разработчиков уже есть снифер, снифы добывать не проблема. даже если у кого то и нет, значит есть где взять в конце концов (я знаю массу людей и отношусь к ним почтенным уважением, которые не способны на снифер, но в то же время являются отличными разработчиками, в каких то других областях).

я допускаю возможность сделать open-снифер, но без открытых исходников. такой вариант вполне может существовать.

главным минусом в open-снифере является открытость его архитектуры. очень маловероятно что близы займуться этим и будут прикрывать возможность его использования. особенно если это будет нести массовый характер. я глубоко убежден (не только я, к сожалению, есть еще уважаемые люди), что проблемы с опкодами и т.п. в катаклизме мы имеет благодаря нашим с томом сандбоксам. вспомните, как это было... ситуация может повториться и со сниферами.

в частности я обеспокоен открыванию кода получения ключа из памяти. найдут блин и зафиксят. жалко будет. и хоть обснифайся - если ключа нет, то смысл нулевой.

кстати кстати, чо вспомнил: изменения в сетевом шифровании были как раз во времена популяризации прокси снифера, который ключ по трафику собирал.

в общем, я скорее против, чем за. а что касается закрытого репозитория - готов поделиться всеми своими поколениями только не знаю, какую практическую пользу оно принесет вам, оно ведь на дельфи всё.

[alien]

Я вобще вот чего не понимаю. Есть же как таковой нормальный снифф трафика вова Wireshark+tiawps и эти две программы опенсорс. Да пользоваться менее удобно но возможно.

[zhenya]

заголовки пакетов шифруются. какой профит wireshark?

[Konctantin]

wireshark - сохраняет raw трафик, а tiawps его расшифровывает.

[RomanRom2]

за wireshark бан хотите получить? он официально запрещен для запуска на компе во время игры.

[alien]

Цитата:

за wireshark бан хотите получить?

Хмм... я много раз запускал его. Но на 3.3.5 и все ок было. ХЗ.

[srv38]

Цитата:

Сообщение от RomanRom2

за wireshark бан хотите получить? он официально запрещен для запуска на компе во время игры.

А за проксификаторы баны не дают?, допустим запустил локально socks сервер с помощью widecap пускаю трафик через него.

[rsa]

Цитата:

Сообщение от RomanRom2

за wireshark бан хотите получить? он официально запрещен для запуска на компе во время игры.

запускайте вов в виртуалке. или покажите мне хоть один мемскан который сможет из виртуалки разглядеть процесс на хосте...

[zergtmn]

raw сниффер на libpcap пишется за 30 минут от силы... зачем юзать wireshark, который может детектироваться варденом?

[RomanRom2]

Цитата:

Сообщение от srv38

А за проксификаторы баны не дают?, допустим запустил локально socks сервер с помощью widecap пускаю трафик через него.

пока не дают. но близзы их УМЕЮТ палить и палят. информация достоверная от новосибирских коллег. они там играют через проксификаторы по каким то "быстрым" туннелям, ибо через их местных провайдеров большой пинг.

близзы пишут письма, мол чо за хня, а те отвечают мол, а чо делать... по другому не получается. и близзы пока терпят. но имейте ввиду, они умеют это детектить.

Цитата:

Сообщение от zergtmn

raw сниффер на libpcap пишется за 30 минут от силы... зачем юзать wireshark, который может детектироваться варденом?

я думаю нет разницы какая именно прога использует libpcap, я думаю они палят сам libpcap, а не wireshark. про wireshark конкретно просто известно, что он запрещен как законченный продукт.

конечно так же располагаю информацией, что некоторые актуальные на сегодняшний день сниферы используют libpcap. что могу сказать - хз... я еще раз настаиваю на том, что если это начнет носить массовый характер, то терпение близзов закончится.

Цитата:

Сообщение от rsa

запускайте вов в виртуалке. или покажите мне хоть один мемскан который сможет из виртуалки разглядеть процесс на хосте...

тоже тема, да. только мне казалось что вов в виртуалке как то не очень живет. ошибаюсь? (не проверял)
... или быть может использовать виртуалку как шлюз и там снифать.

[rsa]

Цитата:

Сообщение от RomanRom2

тоже тема, да. только мне казалось что вов в виртуалке как то не очень живет. ошибаюсь? (не проверял)
... или быть может использовать виртуалку как шлюз и там снифать.

во времена 2.4.3 практиковал качание группы из 4-х твинков сразу на одном экране с помощью клавиатурного скрипта. просто 4 запущенных клиента тормозили безбожно (процессор-то был одноядерный), 4 клиента каждый в виртуалке - работали вполне шустро. в катаклизме изменилось то что какаято опция нужна в конфиге чтобы не тормозило

[Йоха]

В общем как я понял вывод такой:
У всех команд или одиночек которые активно что-то делают есть свой снифер.
Обнародование исходников вызывает опасения что близы начнут защищаться и придется заново ислледовать екзешник в поиске ключа и т.д.
Ну и как следствие паблик сниффер не только не нужен, но и вреден.

Я собственно в свободное время не работе развлекаюсь написанием снифера с использованием разных технологий. Вот уже есть два рабочих варианта.
Есть идея еще насчет третьего и четвертого варианта...