Лекция моя полезна абсолютно всем и профам, и обычным юзерам (пользователям Интернета).

Начну я с того, как избежать попадания на ваш компьютер трояна и всякой нечисти.

1. Вы всегда должны проверять электронную почту не через браузер, а специальной программой. Но не всё так просто. Вы должны выключить HTML теги и все скрипты в программе, чтобы при наличии зловредного скрипта в письме, он просто не включился.
2. Вы должны обязательно держать у себя антивирус на компе! Насчёт антивируса хочу сказать, что одни из лучших это: «Антивирус Касперского» и «NOD32». Многие говорят, что NOD32 лучший антивирус, но лучше всего иметь на компьютере, по моему мнению, и NOD32, и Антивирус Касперского. Почему я доверяю Касперскому, да потому, что он один из лучших кодеров, но ещё главной причиной является то, что много чего из его работ я знаю, и даже самые простые скрипты написанные им уже доказывает, что он один из лучших программистов. Биографию Касперского я расскажу в другой раз, если что обращайтесь.
3. Только не падайте в обморок, да я не сошёл с ума, сей час я вам предоставлю программу, которая защитит вас! Новая версия программы Outpost Firewall
Pro 4.0.1007.7323.591 должна быть у всех, кто не хочет погубить свой комп (e-mail, ICQ, сайт и т.п.)! Это не просто фаервол или брандмауэр. Это программа, которая проследит весь ваш трафик, будет следить за каждым подключением к вашему компьютеру и уж, если настырные граждане (хакеры) будут не раз подключаться, то программа банит их на время. (БАН – запрет по IP адресу). Мне лично в программе понравилось защитный модуль IDS, который защищает почти от всех современных атак и опасных соединений.
4. Ещё одна заповедь, никогда не открывайте ссылку, если не знаете, кто именно вам её отправил! Если вы спросите: «Почему?», то я вас провозглашу главным ламером нэта! Если такие уж имеются, то слушайте. Когда вы посещаете ресурс, в котором нужно вводить логин и пароль, то всё это к вашему удивлению сохраняется в куки. И если хакер написал скрипт для взятия вашего куки, то считайте, что вас конкретно лоханули! Объясняю простым языком, хакер забирает ваши пароли и логины.

Так, пока мы не перешли к снифферам и ещё остаёмся в области программ, посоветую ещё одну программу специально для web-cоздателей, да простят Мефистофеля хакеры.

SecureCentral ScanFi 4 – программа предназначена специально от хакеров! Она поможет защитить WEB-ресурс и ваш комп! Отслеживает любое нападение на сайт!!! Такого ещё мир не видел!
И хочу вам сказать, что до выхода этой проги в свет, я думал, что такой техникой обладают только секретные службы (техникой, которая реально работает).

А ниже уже буду цитировать про снифферы с одного полезного ресурса, потому что всё это писать мне в лом, так что простите меня читатели, но ниже это уже не я писал, но я согласен с автором этого текста полностью.

Слово sniffer (дословно с английского это можно перевести как "нюхач" или "вынюхиватель") в самом общем смысле суть некое прослушивающее устройство, внедренное в сеть для перехвата передаваемых по ней данных. Можно предположить, что снифферы что-то разнюхивают. Так оно и есть, сниффер – это программа, которая перехватывает сетевые пакеты. Так вот, сниффер, установленный на промежуточном компьютере, через который будут проходить пакеты - способен захватывать их, пока они еще не достигли цели. У разных снифферов процесс захвата информации реализован по разному.
(ваш комп) -> (соседний комп) -> (комп со сниффером) -> (удаленный комп)
Стандартный пакет попутешествует из "вашего компа" через сеть. Он пройдет через каждый компьютер в сети, начиная с "соседнего компа", через "комп со сниффером" и заканчивая "удаленным компом". Каждая машина должна игнорировать пакет, если он не предназначен для ее IP адреса. Тем не менее, машина со сниффером позволяет принимать ЛЮБОЙ пакет, который через нее проходит.
В некоторой литературе и документации, а также в электронных словарях типа Lingvo, термин sniffer (network sniffer) отождествляется с такими понятиями, как "анализатор сетевого трафика", "анализатор пакетов", "анализатор протоколов", "сетевой анализатор". Однако позволю себе немного не согласиться с таким подходом.
Все-таки логичней было бы утверждать, что сниффинг - это совокупность мер по перехвату траффика. В рамках же конкретного продукта может быть реализована функция по захвату пакетов (packet capturing). На этом этапе мы получаем некий сырой (mashine readable) дамп данных, обычно разделенный на куски по границам кадров (пакетов). И уж что мы с ним собираемся делать - наши проблемы. Но обычно, раз уж мы зачем-то запустили работать сниффер - нам интересно получить некий результат в "human readable" формате, т.е. формате понятном для человека, для чего используется декодирование пакетов (decoding) или анализ протоколов, для преобразования информации в более удобочитаемый вид, нежели машинный код.
Виды снифферов и сниффинга.

По "месторасположению" (если уместно применение данного термина) сниффер может работать:

На маршрутизаторе (шлюзе) – при таком раскладе вы можете перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из вашей локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, мы можем отслеживать трафик его пользователей.

На оконечном узле сети – применительно к Ethernet мы будем иметь два основных возможных варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе "слышит" весть траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой МАС-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме вы можете перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuous mode, чтобы она "бесстыдно" продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode.
Примечание: использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в promiscuous mode делает прослушивание не предназначенного вашей станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так называемый "broadcast domain", и хост с установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом, трафик соседей насильственно завернется в сторону "шпиона".

В остальном же снифферы могут отличаются друг от друга главным образом функциональными возможностями, как то:

• поддерживаемые физические интерфейсы и протоколы канального уровня;
• качество декодирования и количество известных протоколов;
• пользовательский интерфейс и удобство отображения;
• дополнительные возможности: статистика, просмотр в реальном времени, генерирование или модификация пакетов и другое...

При выборе сниффера (как, впрочем, и любого другого софта) есть смысл руководствоваться следующими соображениями: из того, что существует под вашу ОС выбираем либо то, что точно соответствует вашим задачам (имеет смысл в том случае, если вы планируете либо разовое мероприятие, либо постоянное выполнение одной и той же операции) либо максимально навороченное решение, в случае, если вы чувствуете, что сниффер будет вам полезен, но еще не знаете в какой ситуации). А ситуации бывают разные...

Зачем нужен сниффер ?

Традиционно идея сниффинга жила как бы в двух ипостасях: легальное и нелегальное применение. Что характерно, слово "сниффер" чаще применяется в нелегальной сфере, а "сетевой анализатор" - в легальной. Начнем, пожалуй, с легального применения:

• Troubleshooting (обнаружение проблем и узких мест сети). В расширенном режиме, когда сниффер работает в некоммутируемом сегменте или на шлюзе, мы можем получить практически полную картину событий, происходящих в нашей сети: интенсивность трафика по времени, по рабочим станциям, по протоколам, количество ошибок разных типов. Кроме того, в обоих режимах, мы можем "разгребать" более специфические проблемы, когда, скажем, у конкретной станции ни в какую не получается организовать некое взаимодействие по сети, и это при том, что внешне сеть выглядит вполне работоспособной. Особенно полезен сниффер в случаях, когда сетевое ПО плохо документировано или использует свои закрытые (недокументированные), зачастую подозрительные технологии (протоколы). Например: ICQ, Europe Online. Под подозрительными технологиями ПО следует понимать ситуации, когда вы предполагаете наличие в программе закладки или иной недокументированной функциональности. Например, ходили слухи, что клиентская часть знаменитого cDc Back Orifice также является троянской лошадкой и посылает некие сведения хозяевам - авторам ПО. Установка BO Client "на прослушивание" показала, что слухи не соответствуют действительности.
Не менее полезен сниффер для отладки вашего собственного ПО. Никогда не забуду момент, когда прокси – сервер не желал устанавливать соединение, если GET-запрос оканчивался на \n\n вместо требуемого \r\n\r\n. Только исследование пакетов, отправляемых "законопослушным" браузером и сравнение их с пакетами, отправляемыми моим "выскочкой"-скриптом, указало мне на досадную ошибку. Очень и очень часто в повседневной админской практике мне приходится сталкиваться и с анализом на уровне TCP/UDP.

• Обучение. Можно довести себя до полуобморочного состояния, зазубривая форматы заголовков пакетов различных протоколов и методы взаимодействия (скажем, 3-way TCP handshake, DNS, прикладные методы плана traceroute), но эти знания будут мертвыми, пока вы не попытаетесь "потрогать это руками" - написав однажды программу либо... заглянув в сниффер! Попробуйте после прочтения документации на неизвестный или плохо понятный вам протокол, смоделировать взаимодействие, перехватить пакеты и проанализировать их - уверяю вас, все станет чрезвычайно понятно и более того, это знание более реально и надолго отложится в голове. В случае же с закрытыми технологиями, сниффер может оказаться чуть ли не единственным средством для их изучения.

• Протоколирование сетевого трафика. Можно много дискутировать на тему правомерности и этичности протоколирования администратором трафика пользователей для дальнейшего просмотра, но факт остается фактом - многие организации включают в политику безопасности эту технологию. Мое личное мнение - хозяин барин, то бишь если компания обеспечивает своих сотрудников оборудованием, подключением к локальным и глобальным сетям, она вправе требовать надлежащего использования этих ресурсов. Вторая важная причина для протоколирования трафика - обнаружение попыток несанкционированного доступа и других зловредностей - DoS-атак например. Имея такие логи администратор с 100-процентной точностью может знать, что происходит в его сетевых владениях.

Теперь поговорим о нелегальной стороне сниффинга:

• Ну, во-первых, это банальное подслушивание. Грамотно установив сниффер вы можете шпионить за ближними своими и удаленными - врагами, приятелями, супругами. Вас могут заинтересовать такие вопросы: для чего человек использует сеть, какие веб – ресурсы он посещает, какие данные передает, с кем и о чем общается?

• Более меркантильное подслушивание. Однако значительная часть "хакерского" сообщества не разменивает свои таланты на слежку за неверными супругами и прочую бытовуху. Чаще всего злоумышленника интересует некий материал, с помощью которого можно продвинуться в нелегком деле по взламыванию чужих систем и сетей. Как вы могли догадаться, речь идет, главным образом, о перехвате имен пользователей и паролей, проходящих по сети в незашифрованном (plain text) виде, т.е. в виде простого текста. В частности, это касается паролей к telnet, POP, IMAP, NNTP, IRC, к веб – приложениям, не использующим шифрование и т.п.

Мефистофель опять с вами.
Надеюсь, я вам рассказал всё что требовалось, если что задавайте вопросы, буду рад ответить вам!