Urlsnarf ist in der Lage aus Datenströmen, die beispielsweise durch WLAN-Sniffing erfasst werden, die eingegebenen URLs zu untersuchen. Dabei werden aufgerufene URL und Browser in ein Logfile ausgegeben, falls keine Datei angegeben wird, so speichert das Tool alle Ausgaben nicht ab, sondern gibt diese auf der Console aus. Hier ist, als Beispiel, ein simpler Aufruf dargestellt. Wird kein Netzwerkinterface angegeben, so nimmt urlsnarf eines an, das wäre das erste Interface des Systems. Aufgerufen wurde in unserem Beispiel der Textbrowser lynx. Anschließend wurde Google aufgerufen.
neurodump@antilight:~# urlsnarf
urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
antilight.starnet.423 - - [29/Jul/2011:13:53:03 +0200] "GET http://changelogs.ubuntu.com/meta-release HTTP/1.1" - - "-" "Python-urllib/2.7"
antilight.starnet.423 - - [29/Jul/2011:13:53:10 +0200] "GET http://lynx.isc.org/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
antilight.starnet.423 - - [29/Jul/2011:13:53:24 +0200] "GET http://google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
antilight.starnet.423 - - [29/Jul/2011:13:53:27 +0200] "GET http://www.google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
^C
neurodump@antilight:~#
Unter Ubuntu lässt sich urlsnarf leicht installieren. Details stehen in der Manpage. Nützlich ist urlsnarf zum Prüfen, was wer auf dem Netzwerk so tut. Die meisten Aufrufe sind meist typischen Surfen, also HTTP. Werden Parameter mit der URL übertragen, so lässt sich das hier ebenfalls betrachten. Diese Daten können wiederum mit sed, awk und grep entsprechend so geformt werden, dass der Benutzer einen Trigger auf bestimmte URLs legen könnte, um schließlich eine Meldung per Mail zu senden, sollte etwas bemerkt werden. Wozu könnte das Nütze sein?
Stelle man sich ein größeres Netzwerk vor. Viele Maschinen lassen sich per Webinterface administrieren. Das wird nur nicht jeden Tag gemacht. Zum Beispiel der DSL Router, einige Switche und was nicht alles, lässt sich leicht über HTTP konfigurieren. Finden Zugriffe, sei es ein Versuch oder ein Erfolg, auf diese Geräte zu Zeiten statt, wo kein Wartungsfenster bestand oder man simpel nicht daheim gewesen ist, so liegt doch der Gedanke nahe, dass etwas nicht stimmt. Mit diesem Tool bringt man etwas Licht ins Dunkel, weil wer alles so auf dem LAN herumgeistert, dass weiß man selbst meistens nicht.