York - Gratis je netwerkverkeer besnuffelen

Door: Ignace de Groot | 08 maart 2014 09:03

Apps & Software

Is je netwerk actief terwijl je zelf niet aan het mailen of surfen bent? Maakt een tool als het Windows Taakbeheer je niet veel wijzer? Dan is het tijd voor een geavanceerde aanpak: een analyse van de datapakketjes die door je netwerkadapter(s) gaan. De tool York is precies zo'n 'netwerksniffer'.

Om datapakketjes te kunnen opvissen uit je netwerkadapter maakt York op de achtergrond gebruik van het populaire hulpprogramma WinPcap. Dat zorgt ervoor dat je netwerkadapter actief is in een zogenoemde promiscue modus, wat inhoudt dat WinPcap ook data bedoeld voor een andere systeem/netwerkadapter kan opvangen. Veel hangt echter ook af van de gebruikte netwerkapparatuur.

Zodra je in het instellingenvenster van York hebt aangegeven welke netwerkadapter de tool moet monitoren, kun je aan de slag. Standaard worden pakketjes van het TCP-protocol opgevangen, maar je kunt ook andere protocoltypes selecteren, zoals UDP, ICMP en Netbios. Je bepaalt ook zelf of York daarbij herkende IP-adressen en poortnummers moet omzetten (name resolution).

Ook plaatjes worden netjes opgevangen (en desgewenst ingezet als screensaver).

Pakketanalyse

Om het bij je analyse wat makkelijker te maken, deelt York de pakketjes automatisch in bestanden in voor websessies, wachtwoorden en afbeeldingen. De pakketjes met wachtwoorden kun je overigens ook in een apart tekstbestand laten opslaan, hoewel je binnen deze data zelf nog wel naar eventuele wachtwoorden zult moeten speuren. Leuk (maar van twijfelachtig nut) is de mogelijkheid om opgevangen afbeeldingen (zoals tijdens surfsessies) automatisch in een bijhorende screensaver te gieten.

Het is eveneens mogelijk een aangepast geluid te laten horen zodra een nieuw wachtwoord of bestand werd opgevangen of een nieuwe connectie werd gedetecteerd. York laat je tevens een tijdslimiet instellen, waarna de sniffer er automatisch mee ophoudt.

York bevat heel wat (ook geavanceerde) opties.

Gevorderde opties

Zie je het bos door de bomen niet meer, dan kun je een filter instellen zodat alleen specifieke data wordt opgevangen. Overigens is het ook mogelijk de opgevangen datapakketjes in een 'pcap trace'-bestand te laten opslaan. Dat kan eventueel nuttig zijn mocht je die aan een meer potente packet analyser als (het eveneens gratis) Wireshark ter analyse willen aanbieden. Tot slot, mocht je toevallig een MySQL-database hebben draaien: ook die kun je inzetten om de logbestanden te bewaren.

Het mag duidelijk zijn: York is een tool die vooral toch in meer gevorderde handen tot zijn recht zal komen. Écht gevorderden dan weer zullen wellicht geneigd zijn naar Wireshark te grijpen.