-->

domingo, 23 de dezembro de 2007

URL snooper

Categoria(s): , ,
Packet sniffers não são novidade para mim. Eu testei um pela primeira vez há anos na fábrica e fiquei surpreso ao constatar que do meu PC podia ver que sites meus colegas de trabalho estavam visitando e até mesmo o que eles estavam escrevendo nos browsers, sem ter instalado nada nas máquinas deles.

Nota: isso só é possível em "modo promíscuo" e se você estiver conectado aos outros computadores por hub (switches tem segurança natural contra isso).

Mas tirando as atividades relacionadas com segurança (que não são minha área) e um certo "voyeurismo cibernético", até mesmo porque packet sniffers são normalmente complexos e mostram informação até demais, eu não vi muita utilidade para packet sniffers no meu dia-a-dia.

Até ontem.

Seguindo a dica dada por Pix em um post anterior, testei o URL snooper e fiquei dependente. O programa é um packet sniffer especializado, baseado na conhecida biblioteca Winpcap, que analisa todo o tráfego na sua placa de rede e apenas exibe os URLs. O objetivo primário do programa é exibir URLs relacionados com streaming (vídeo e áudio), mas você pode configurar para exibir todas.

Nota: apesar de no Brasil ser generalizado referir-se a URLs (Uniform Resource Locators) no feminino ("a URL", "uma URL"), eu considero isso tão errado quanto dizer "na BIOS" ou "a BIOS". Por isso vou me referir a URLs como algo do gênero masculino.

Com a ajuda de URL snooper você pode, entre outras coisas:
  • Salvar animações swf;
  • Ter uma razoável idéia do que está por trás de uma repentina e inesperada atividade de internet e com isso pode ser possível descobrir que aba do IE/Firefox insiste em fazer refresh do conteúdo ou localizar um spyware (cuidado: nem toda atividade de vírus/spyware pode ser vista por esse programa);
  • Salvar trailers da Apple;
  • Salvar vídeos do Youtube;
  • Se instalado no seu gateway ICS, lhe dá uma razoável idéia do que os seus usuários estão fazendo (mas nesse caso não pode dizer que usuário).
Para coisas mais populares ou facilmente discerníveis (quando o site ou a extensão são conhecidos) existem programas (ou complementos do Firefox) especializados. A utilidade de URLsnooper está onde esses programas falham.

Exemplo:

O meu programa preferido de monitoramento do uso de banda, o Bandwidth Monitor, (03/2008 : meu preferido agora é o NetMeter) acusa acessos regulares e periódicos à internet mesmo sem eu estar fazendo nada:



E URL snooper mostra que são feitos pelo Gmail:



O acesso a "usenet.1a.to" foi uma tentativa de conexão do Dreamule.

O que faz falta:
  • A possibilidade de mandar automaticamente URLs de domínios específicos, que são seguros mas ficam entulhando a listagem, para uma lista separada, de baixa importância. Por exemplo: "http://mail.google.com";
  • Poder escolher ignorar imagens e outras coisas que entulham o log;
  • Hora do acesso;
  • Salvar logs automaticamente após n entradas ou n horas;

Eu ainda não consegui flagrar o que o Gmail anda baixando. Parece até que ele sabe que agora está sendo vigiado...

[26/12] Cada packet capturado é salvo na sub-pasta workingdir. De vez em quando você vai precisar dar um "clear results" para apagar o conteúdo dessa pasta, ou a operação vai ficar progressivamente mais lenta, com milhares de arquivos nela. Com 6000 arquivos na pasta, meu Explorer deve ter levado uns 30 segundos só para exibir o conteúdo.

[26/12] URL snooper, por si só, é portável. Você pode simplesmente mover a pasta onde ele está instalado que todas as configurações vão junto. O problema é que o Winpcap precisa estar instalado na outra máquina.
Escrito por Jefferson ás 20:16

7 comentários:

  1. Marcio Neves Machado24/12/07 01:28

    O Gmail é baseado no Ajax, um dos frontends para a WEB 2.0. E, por isso, ele realiza um "pooling" para saber se há novas mensagens no servidor, assim como verificar o status dos usuários no GTalk ou no Gmail deles, e exibir a lista dos conectados no painel adequado à esquerda. Além disso, ele também busca por novas notícias para exibir no painel de notícias no topo da lista de mensagens. Logo, não me preocuparia muito com ele, a menos que ele use uma banda alta e permanente. Mas picos são normais.

    ResponderExcluir
  2. Jefferson24/12/07 02:05

    Kenshin,

    Eu sei disso. Ele também verifica os contatos do Google Talk para chat. Não estou preocupado com os acessos regulares ao Gmail e usei isso apenas para exemplo. Você leu este post?

    ResponderExcluir
  3. Jefferson24/12/07 02:06

    Vou colocar um link em "o que o Gmail anda baixando" para que fique mais claro do que eu estou falando.

    ResponderExcluir
  4. Anônimo24/12/07 14:05

    Hehehe, gostei da parte que diz que "ele sabe que agora está sendo vigiado". Fico feliz por ter gostado do URL Snooper. O conheci há um ano e meio acredito, por uma necessidade que estava tendo para descobrir como baixar clipes de vídeo do AOL Vídeo dentro do Winampe posteriormente, como vc: fiquei dependente :D
    Abraços

    ResponderExcluir
  5. Marcio Neves Machado24/12/07 14:19

    Bom, de qualquer forma, gostei da dica desse URLSnooper. Estava outro dia mesmo me perguntando se haveria algum programa para isso, para capturar justamente urls de vídeos online :D
    Valeu aí pela dica :)

    ResponderExcluir
  6. deadcow25/12/07 16:00

    switches tem segurança natural contra isso

    Depende da proteção na rede, uma simples tecnica de ARP poisoning, burla isso facilmente.

    ResponderExcluir
  7. Jefferson25/12/07 16:30

    Sim, tem razão.

    Por sorte, ARP poisoning/spoofing é um pouco mais fácil de detectar que o simples Packet Sniffing.

    É claro que a maioria dos administradores de pequenas redes nem sabe o que é isso, quanto mais estar preparado para detectar. Eu estou tentando aprender pelo menos o básico e já tenho o port para Windows do Arpwatch instalado no meu gateway ICS para testes.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.

Assinar: Postar comentários (Atom)