В качестве примера приведем образец перехваченного веб трафика, то есть трафика при доступе пользователя к веб сайту. Перехват осуществлен программой «tcpdump», которая относится к классу сниферов и входит в состав любой операционной системы (кроме Windows). Параметры команды таковы: «on» означает приводить IP адреса в цифровой нотации, то есть не переводить их в доменные имена; «-i fxp0» указывает интерфейс, с которого снимать трафик; «-v» включает режим более подробного вывода сведений о пакетах; «-xX» означает приводить также символьное представление всех байтов пакета; «-s 1024» указывает, сколько байтов из каждого пакета показывать; параметр «tcp and port 80» определяет фильтр, то есть критерии, по которым пакеты включаются или не включаются в выдачу, в данном случае мы перехватываем пакеты протокола TCP, относящиеся к порту 80, то есть к веб трафику.
Здесь и далее содержимое трафика приводится в одном из вариантов общепринятого формата «hex dump». Бинарное содержимое каждого пакета показано в шестнадцатеричной системе счисления по 16 байт в строке. Слева указан порядковый номер первого байта строки, справа – представление тех же байтов в виде ASCII символов.
Здесь и далее содержимое трафика приводится в одном из вариантов общепринятого формата «hex dump». Бинарное содержимое каждого пакета показано в шестнадцатеричной системе счисления по 16 байт в строке. Слева указан порядковый номер первого байта строки, справа – представление тех же байтов в виде ASCII символов.
Из анализа этого трафика эксперт может сделать следующие выводы:
● Наблюдаемый компьютер использовал IP адрес 10.0.0.31.
● Пользователь использовал браузер «Firefox» версии 2.0 (см. строку «0x00d0» четвертого пакета) английской версии, но с поддержкой русского языка (см. строку «0x0150» четвертого пакета).
● Пользователь использовал ОС «FreeBSD» для процессора типа Intel (см. строку «0x00a0» четвёртого пакета).
● Пользователь в 12 часов 7 минут обращался к веб сайту «allip.starttelecom.ru» и просматривал содержимое веб страницы «/cgi-bin/allip_view.pl».
● На указанную веб страницу пользователь перешел по ссылке со страницы «allip.starttelecom.ru/cgi-bin/allip_view.pl?stype=ip&req=*» (см. поле «Referer» в строке «0x01f0» четвертого пакета).
● При доступе к указанному веб сайту использовался логин «user» и пароль «777a» (см. четвертый пакет, строка «0x0250», параметр «Authorization: Basic» и далее логин и пароль в кодировке base64).
Такая экспертиза перехваченного трафика в ряде случаев может заменить экспертизу компьютера пользователя и сервера, к которому он обращался. А если и не заменить совсем, то дополнить, значительно усилив доказательную базу.
● Наблюдаемый компьютер использовал IP адрес 10.0.0.31.
● Пользователь использовал браузер «Firefox» версии 2.0 (см. строку «0x00d0» четвертого пакета) английской версии, но с поддержкой русского языка (см. строку «0x0150» четвертого пакета).
● Пользователь использовал ОС «FreeBSD» для процессора типа Intel (см. строку «0x00a0» четвёртого пакета).
● Пользователь в 12 часов 7 минут обращался к веб сайту «allip.starttelecom.ru» и просматривал содержимое веб страницы «/cgi-bin/allip_view.pl».
● На указанную веб страницу пользователь перешел по ссылке со страницы «allip.starttelecom.ru/cgi-bin/allip_view.pl?stype=ip&req=*» (см. поле «Referer» в строке «0x01f0» четвертого пакета).
● При доступе к указанному веб сайту использовался логин «user» и пароль «777a» (см. четвертый пакет, строка «0x0250», параметр «Authorization: Basic» и далее логин и пароль в кодировке base64).
Такая экспертиза перехваченного трафика в ряде случаев может заменить экспертизу компьютера пользователя и сервера, к которому он обращался. А если и не заменить совсем, то дополнить, значительно усилив доказательную базу.