Снифферы пакетов или анализаторы протоколов - это инструменты, используемые сетевыми специалистами для диагностики проблем, связанных с сетью. Хакеры используют анализаторы пакетов для менее благородных целей, таких как слежка за сетевым трафиком пользователей и сбор паролей.
Снифферы пакетов бывают нескольких видов. Некоторые анализаторы пакетов, используемые сетевыми специалистами, представляют собой узкоспециализированные аппаратные решения. Напротив, другие анализаторы пакетов представляют собой программные приложения, которые работают на стандартных компьютерах потребительского уровня, используя сетевое оборудование, предоставленное на хост-устройстве, для выполнения задач захвата и внедрения пакетов.
Как работают анализаторы пакетов
Снифферы пакетов перехватывают и регистрируют сетевой трафик через проводной или беспроводной сетевой интерфейс на главном компьютере.
В проводной сети информация, которую можно получить, зависит от структуры сети. Сниффер пакетов может видеть трафик во всей сети или только в определенном сегменте; это зависит от того, как настроены сетевые коммутаторы. В беспроводных сетях анализаторы пакетов обычно захватывают один канал за раз, если только главный компьютер не имеет нескольких беспроводных интерфейсов, позволяющих осуществлять многоканальный захват.
Хотя большинство анализаторов пакетов, используемых в наши дни, являются программными, аппаратные анализаторы пакетов по-прежнему играют роль в устранении неполадок в сети. Аппаратные анализаторы пакетов подключаются непосредственно к сети и сохраняют или пересылают собранную информацию.
После захвата необработанных пакетных данных программное обеспечение для анализа пакетов анализирует их и представляет в удобочитаемой форме, чтобы человек, использующий программное обеспечение, мог их понять. Человек, анализирующий данные, может просматривать детали взаимодействия между двумя или более узлами в сети.
Сетевые специалисты используют эту информацию, чтобы определить причину неисправности, например, определить, какое устройство не ответило на сетевой запрос.
Хакеры используют снифферы для прослушивания незашифрованных данных в пакетах, чтобы увидеть, какой информацией обмениваются две стороны. Они также могут собирать такую информацию, как пароли и токены аутентификации, если они отправляются в открытом виде. Также известно, что хакеры захватывают пакеты для последующего воспроизведения при повторном воспроизведении, атаках типа «человек посередине» и атаках с внедрением пакетов, которым уязвимы некоторые системы.
Итог
Как и большинство людей, сетевые инженеры и хакеры любят бесплатные вещи, поэтому приложения с открытым исходным кодом и бесплатные программы-снифферы часто являются их предпочтительными инструментами. Одним из популярных предложений с открытым исходным кодом является Wireshark, ранее известный как Ethereal. Используйте его, чтобы перехватывать ваши пакеты в полевых условиях, сохранять их в файл CAP и анализировать позже.
Защитите сеть и ее данные от хакеров с помощью снифферов
Если вы являетесь сетевым специалистом или администратором и хотите узнать, использует ли кто-нибудь в вашей сети инструмент для прослушивания, попробуйте инструмент под названием Antisniff. Он определяет, был ли сетевой интерфейс в вашей сети переведен в неразборчивый режим. Не смейтесь; это его фактическое имя, и это необходимый режим для задач захвата пакетов.
Еще один способ защитить сетевой трафик от прослушивания - это шифрование, такое как Secure Sockets Layer (SSL) или Transport Layer Security (TLS). Шифрование не помешает анализаторам пакетов увидеть информацию об источнике и получателе, но может зашифровать полезную нагрузку пакета данных, так что все, что увидит анализатор, будет тарабарщиной.
Любая попытка изменить или внедрить данные в пакеты терпит неудачу, потому что вмешательство в зашифрованные данные приводит к ошибкам, которые очевидны, когда зашифрованная информация расшифровывается на другом конце.
Снифферы - отличные инструменты для диагностики скрытых сетевых проблем. Тем не менее, они также полезны для хакерских целей. Специалистам по безопасности важно ознакомиться с этими инструментами, чтобы понять, как хакер может использовать их в своей сети.
Типы информации, которую собирают анализаторы пакетов
Несмотря на то, что анализаторы пакетов являются инструментами торговли для сетевых инженеров, они также широко распространены в некоторых уважаемых антивирусных программах и в качестве вредоносных программ в гнусных вложениях электронной почты.
Снифферы пакетов могут собирать данные практически любого типа. Они могут записывать пароли и информацию для входа, а также веб-сайты, которые посещал пользователь компьютера, и то, что пользователь просматривал на сайте. Они могут использоваться компаниями для отслеживания использования сети сотрудниками и сканирования входящего трафика на наличие вредоносного кода. В некоторых случаях анализатор пакетов может записывать весь сетевой трафик.
Снифферы пакетов ценны тем, что они ограничивают вредоносное ПО и полезны для устранения неполадок в сети, но их следует использовать с надежным программным обеспечением безопасности, чтобы предотвратить их неправильное использование.
