Sniffowanie sieci to użycie narzędzia programowego, zwanego snifferem sieciowym, który monitoruje lub podsłuchuje dane przesyłane przez łącza sieci komputerowej w czasie rzeczywistym. To narzędzie programowe jest samodzielnym programem lub urządzeniem sprzętowym z odpowiednim oprogramowaniem lub oprogramowaniem układowym.
Co to jest sniffer sieciowy?
Sniffery sieciowe wykonują kopie migawkowe danych przepływających przez sieć bez przekierowywania ich lub modyfikowania. Niektóre sniffery działają tylko z pakietami TCP/IP, ale bardziej wyrafinowane narzędzia działają z wieloma innymi protokołami sieciowymi i na niższych poziomach, w tym z ramkami Ethernet.
Lata temu sniffery były narzędziami używanymi wyłącznie przez profesjonalnych inżynierów sieciowych. Obecnie jednak, dzięki oprogramowaniu dostępnemu za darmo w sieci, są one również popularne wśród hakerów internetowych i osób zainteresowanych sieciami.
Sniffery sieciowe są czasami określane jako sondy sieciowe, bezprzewodowe sniffery, sniffery Ethernet, sniffery pakietów, analizatory pakietów lub po prostu snoopy.
Jak używane są analizatory pakietów
Istnieje szeroki zakres zastosowań snifferów pakietów. Większość snifferów pakietów może być używana niewłaściwie przez jedną osobę, a z uzasadnionych powodów przez inną.
Program przechwytujący hasła, na przykład, może być używany przez hakera, ale to samo narzędzie może być używane przez administratora sieci do wyszukiwania statystyk sieci, takich jak dostępna przepustowość.
Podsłuchiwanie sieci jest również używane do testowania zapory sieciowej lub filtrów sieciowych oraz do rozwiązywania problemów z relacjami klient/serwer.
Jak działa podsłuchiwanie sieci
Sniffer pakietów podłączony do dowolnej sieci przechwytuje wszystkie dane przepływające przez tę sieć.
W sieci lokalnej (LAN) komputery zazwyczaj komunikują się bezpośrednio z innymi komputerami lub urządzeniami w sieci. Wszystko, co jest połączone z tą siecią, jest narażone na cały ten ruch. Komputery są zaprogramowane tak, aby ignorowały cały ruch sieciowy, który nie jest do tego przeznaczony.
Oprogramowanie do podsłuchiwania sieci otwiera się na cały ruch, otwierając kartę sieciową komputera (NIC), aby nasłuchiwać tego ruchu. Oprogramowanie odczytuje te dane i wykonuje na nich analizę lub ekstrakcję danych.
Po odebraniu danych sieciowych oprogramowanie wykonuje na nim następujące czynności:
- Zawartość lub pojedyncze pakiety (sekcje danych sieciowych) są rejestrowane.
- Niektóre programy rejestrują tylko sekcję nagłówka pakietów danych, aby zaoszczędzić miejsce.
- Przechwycone dane sieciowe są dekodowane i formatowane, aby użytkownik mógł przeglądać informacje.
- Sniffery pakietów analizują błędy w komunikacji sieciowej, rozwiązują problemy z połączeniami sieciowymi i rekonstruują całe strumienie danych przeznaczone dla innych komputerów.
- Niektóre oprogramowanie do podsłuchiwania sieci pobiera poufne informacje, takie jak hasła, numery PIN i informacje prywatne.
Jak udaremnić ataki sieciowe
Jeśli obawiasz się, że oprogramowanie do podsłuchiwania sieci szpieguje ruch sieciowy pochodzący z Twojego komputera, istnieją sposoby, aby się zabezpieczyć.
Istnieją etyczne powody, dla których ktoś może potrzebować korzystania z oprogramowania sniffer, na przykład gdy administrator sieci monitoruje przepływ ruchu w sieci.
Gdy administratorzy sieci obawiają się nikczemnego użycia tych narzędzi w swojej sieci, używają skanowania anty-sniff, aby chronić się przed atakami sniffer. Oznacza to, że sieci firmowe są zwykle bezpieczne.
Jednakże łatwo jest uzyskać i używać oprogramowania sniffer ze złośliwych powodów, co sprawia, że jego nielegalne użycie przeciwko domowemu internetowi jest powodem do niepokoju. Bardzo łatwo byłoby komuś podłączyć takie oprogramowanie nawet do firmowej sieci komputerowej.
Jeśli chcesz chronić się przed kimś, kto szpieguje Twój ruch internetowy, użyj sieci VPN, która szyfruje Twój ruch internetowy. Możesz dowiedzieć się wszystkiego o VPN i dostawcach VPN, których możesz użyć, aby się chronić.
Narzędzia do wykrywania sieci
Wireshark (wcześniej znany jako Ethereal) jest powszechnie uznawany za najpopularniejszy na świecie sniffer sieciowy. Jest to bezpłatna aplikacja typu open source, która wyświetla dane o ruchu z kodowaniem kolorami, aby wskazać, który protokół został użyty do ich transmisji.
W sieciach Ethernet interfejs użytkownika wyświetla pojedyncze ramki na liście numerowanej i wyróżnia się oddzielnymi kolorami, niezależnie od tego, czy są wysyłane przez protokół TCP, UDP, czy inny.
Wireshark grupuje również strumienie wiadomości przesyłane tam iz powrotem między źródłem a miejscem docelowym (które są z czasem przemieszane z ruchem z innych rozmów).
Wireshark obsługuje przechwytywanie ruchu przez interfejs przycisku start/stop. Narzędzie zawiera również opcje filtrowania, które ograniczają, jakie dane są wyświetlane i uwzględniane w przechwytywaniu. To krytyczna funkcja, ponieważ większość ruchu sieciowego zawiera rutynowe komunikaty kontrolne, które nie są przedmiotem zainteresowania.
Przez lata opracowano wiele różnych aplikacji pomiarowych. Oto tylko kilka przykładów:
- tcpdump (narzędzie wiersza poleceń dla systemu Linux i innych systemów operacyjnych opartych na systemie Unix)
- CloudShark
- Kain i Abel
- Analizator wiadomości Microsoft
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Bezpłatny analizator sieci
- Górnik sieci
- Narzędzia IP
Niektóre z tych narzędzi do wykrywania sieci są bezpłatne, podczas gdy inne kosztują lub mają bezpłatną wersję próbną. Ponadto niektóre z tych programów nie są już utrzymywane ani aktualizowane, ale nadal są dostępne do pobrania.
Problemy z snifferami sieci
Narzędzia Sniffer to świetny sposób na poznanie działania protokołów sieciowych. Zapewniają jednak również łatwy dostęp do niektórych prywatnych informacji, takich jak hasła sieciowe. Skontaktuj się z właścicielami, aby uzyskać pozwolenie przed użyciem sniffera w ich sieci.
Sondy sieciowe przechwytują tylko dane z sieci, do których podłączony jest ich komputer. W przypadku niektórych połączeń sniffery przechwytują tylko ruch adresowany do tego konkretnego interfejsu sieciowego. W każdym razie najważniejszą rzeczą do zapamiętania jest to, że każdy, kto chce użyć sniffera sieciowego do szpiegowania ruchu, będzie miał trudności z tym, jeśli ten ruch jest szyfrowany.
FAQ
Jak rozpoznać, że ktoś podsłuchuje Twoją sieć?
Wykrycie snifferów może być trudne, ponieważ często pozostają bierni, po prostu zbierając dane. Ale jeśli sniffer jest zainstalowany na komputerze, dodatkowy ruch może cię ostrzec o jego obecności. Rozważ użycie oprogramowania wykrywającego sniffery, takiego jak Anti-Sniff, Sniff Detection, ARP Watch lub Snort.
Jakie dane i informacje można znaleźć za pomocą sniffera pakietów?
Sniffer pakietów to legalne narzędzie inżyniera sieci lub funkcja antywirusowa, ale może też być narzędziem hakera, które pokazuje się jako złośliwy załącznik do wiadomości e-mail. Złośliwe sniffery pakietów mogą rejestrować hasła i dane logowania, a także monitorować odwiedziny i aktywność użytkowników w witrynie. Firma może użyć legalnego sniffera pakietów do skanowania ruchu przychodzącego w poszukiwaniu złośliwego oprogramowania lub śledzenia wykorzystania sieci przez pracowników.