适用于Android的Intercepter-NG 2.5发布

是的，拦截器还活着！经过长时间的沉寂，我很高兴介绍一个新版本。

最初，任务是在新版本的Android上梳理界面，修复错误，引入一些创新并测试性能。

结果如何-被削减了。

所以。改进的应用程序外观和可用性。显示的信息由颜色分隔，文本由手势调整大小，您可以使用滑动在选项卡之间切换，并且还添加了振动响应。

路由规则和iptables在开始工作之前会自动保存，并在完成后恢复。

为了避免在启动时产生不必要的期望，将显示当前网络的前一次扫描结果。此外，启动时会进行快速的预扫描-消除了以前版本中所要求的重新扫描的需要。扫描过程已得到改进，添加了一种解析名称的新方法。添加了自动保存名称的功能。如果在扫描过程中无法确定设备的名称，将从缓存中获取该名称。

诊断按钮已添加到设置中。如果出现问题，显示的信息可以帮助寻找解决方案。特别是，将检查SELinux状态。在启动过程中，Intercepter会自动将setenforce设置为0，因此，如果诊断中包含Enforcing，则表示我们不会在此系统上将其关闭，并且您不应该等待正确的操作。例如，在三星的固件上会出现这种情况。通过安装第三方ROM（例如LineageOS）可以解决此问题。

新的Intercepter可在Android 4.4以上的所有架构上运行。主要测试是在Android 9和10上进行的，早期版本的工作应该没有任何差异。无需额外安装BusyBox和SuperSU。足够的Magisk或其他内置的根管理器。 Libpcap已更新至版本1.9.1。从Android 8.1开始，要获取网络的SSID（它显示在初始屏幕上），您必须提供对位置数据的访问权限。您不能提供它们，这不会影响程序的功能。

改进了SSLStrip代码，增加了HSTS欺骗。

现有的端口扫描程序已从Windows的原始版本转换为简化的X扫描。将对打开的端口进行SSL检查，然后显示服务标志（如果可用），并检查该端口是否属于HTTP协议。
如果是这样，则输出来自各种HTTP标头的信息。

如果打开了端口445，则尝试通过SMB请求读取OS版本。此外，将启动检查是否存在EternalBlue漏洞。

现在，我想谈一谈一项新功能，如果社区积极支持这一功能，该功能将变得非常重要。

通过执行常规的ARP扫描，我们获得了一对IP：MAC。通过MAC地址，我们可以确定网卡的制造商，通过ICMP请求，我们可以获取TTL值并确定操作系统的类型：Windows（128），Unix（64）或更罕见的操作系统-Cisco IOS（255） 。如果被测设备具有开放的TCP端口，那么我们可以获得TCP窗口大小，并且已经将Windows XP与Windows 7或Linux与FreeBSD分开。

根据此方案，操作系统是在Intercepter的早期版本中确定的。

为了扩大确定操作系统的可能性，我转向了被动指纹技术，多年来一直无视它。相对较新的基础最相关的应用是Satori。 Satori和p0f（另一个著名的工具）都以与上述完全相同的方式工作，只是除了两个标记值之外，还分析了许多其他IP和TCP标头字段以及TCP选项，它们的值和顺序。生成的指纹为以下形式的行：64240：128：1：52：M1460，N，W8，N，N，S：T。这是Windows 10的指纹，也与Windows 7有关。

仔细检查了整个指纹数据库的TCP协议后，很明显，使用它确实可以提高确定OS的准确性，但是最初的期望并未实现，因为许多打印适用于多种版本的操作系统，因此很难在众多选项中进行选择。

最初，这种指纹系统是作为确定操作系统的通用方法而创建的，适用于来自不同网络（包括全局网络）的流量，
其中诸如MAC地址之类的参数并不重要。但是Intercepter严格在以太网环境中工作，在该环境中，每个设备都可以直接访问并且具有唯一的MAC。

如果将MAC地址的前3个字节添加到TCP指纹中，我们将获得几乎唯一的记录，该记录使我们能够以高精度来确定操作系统而不是设备模型！至少，这适用于智能手机，平板电脑和其他办公网络设备，例如路由器，打印机等。这样，我们就大大增加了使用网络指纹的好处。唯一的困难是收集记录数据库...

该问题以多种方式解决：

1。

“拦截器”设置中已添加一个按钮，该按钮可为您的设备生成指纹，只需将其复制并通过邮件发送给我。

最主要的是确保禁用MAC地址的随机化，否则指纹将完全无用。

优点：不需要特殊手势。
缺点：它仅以root权限打印Android设备。

2。

X扫描。如果至少有一个开放的端口，则在扫描完成后，将显示正在调查的设备的指纹，该指纹会自动复制到剪贴板。如果您有机会找出操作系统版本和/或设备型号，请在指纹上签名并将其发送到电子邮件。

优点：在此模式下显示的其他信息可以帮助确定设备的型号并形成烙印，即使您不知道面前有什么。
缺点：覆盖率低，每次扫描只能打印一张。

3。

Intercepter-NG 1.0+。我通过在Smart Scan中添加指纹输出发布了一个小更新。对以前的版本1.0进行了各种更正和改进，包括将EternalBlue上的检查器添加到X-Scan，oui数据库已更新。记住要安装npcap。

优点：允许您一次获取网络上大量设备的指纹。
缺点：扫描了最常用端口的有限列表。

完整指纹的示例：CC2DE0; 14480：64：1：60：M1460，S，T，N，W5：ZAT = Linux 3.x; MikroTik RB750Gr3

最初，即使没有特定型号的常规计算机系统也需要指纹。有必要补充结合了不同版本的操作系统家族的所谓通用指纹。

该数据库不仅会在Intercepter中使用，还将对处理流量分析的任何其他项目（例如在计算机取证中使用的NetworkMiner）有用。通过TCP指纹进行被动OS检测的现有基础已经过时或条目数量不足。有nmap，它以一种或另一种方式更新，但是nmap与主动扫描有关，这是一个完全不同的故事...

拦截器提供了一种便捷而又快速的方式来收集指纹，而无需IT方面的深厚知识-开始扫描，复制指纹-对其签名然后发送。小菜一碟。

我给仪器，下一步该由您决定...

许多人对主要Windows版本的命运感兴趣。完整的更新肯定会发布，但是何时-仍然未知。

感谢AndraxBoy和其他w3bsit3-dns.com用户在测试方面的帮助。特别感谢Magomed Magomadov和Alexander Dmitrenko。

您可以将问题，愿望和打印件发送至intercepter.mail@gmail.com。对于指纹，必须指定“指纹”主题。

网站：sniff.su
镜像：github.com/intercepter-ng/mirror
邮件：intercepter.mail@gmail.com
Twitter：twitter.com/IntercepterNG
论坛：intercepterng.boards.net
博客：intercepter-ng.blogspot.ru