Sniffery pakietów lub analizatory protokołów to narzędzia używane przez techników sieciowych do diagnozowania problemów związanych z siecią. Hakerzy używają snifferów pakietów do mniej szlachetnych celów, takich jak szpiegowanie ruchu sieciowego i zbieranie haseł.
Sniffery pakietów występują w kilku formach. Niektóre sniffery pakietów używane przez techników sieciowych to rozwiązania sprzętowe jednofunkcyjne. W przeciwieństwie do tego, inne sniffery pakietów to aplikacje, które działają na standardowych komputerach konsumenckich, wykorzystując sprzęt sieciowy dostarczony na urządzeniu hosta do wykonywania zadań przechwytywania i wstrzykiwania pakietów.
Jak działają sniffery pakietów
Sniffery pakietów działają poprzez przechwytywanie i rejestrowanie ruchu sieciowego za pośrednictwem interfejsu sieci przewodowej lub bezprzewodowej na komputerze-hoście.
W sieci przewodowej informacje, które można przechwycić, zależą od struktury sieci. Sniffer pakietów może być w stanie zobaczyć ruch w całej sieci lub tylko w określonym segmencie; zależy to od konfiguracji przełączników sieciowych. W sieciach bezprzewodowych sniffery pakietów zwykle przechwytują jeden kanał na raz, chyba że komputer hosta ma wiele interfejsów bezprzewodowych, które umożliwiają przechwytywanie wielokanałowe.
Chociaż większość używanych obecnie snifferów pakietów to oprogramowanie, sprzętowe sniffery nadal odgrywają rolę w rozwiązywaniu problemów z siecią. Sprzętowe sniffery pakietów podłączane są bezpośrednio do sieci i przechowują lub przesyłają zebrane informacje.
Po przechwyceniu nieprzetworzonych danych pakietowych oprogramowanie do podsłuchiwania pakietów analizuje je i przedstawia w czytelnej formie, aby osoba korzystająca z oprogramowania mogła je zrozumieć. Osoba analizująca dane może wyświetlić szczegóły interakcji między dwoma lub większą liczbą węzłów w sieci.
Technicy sieci wykorzystują te informacje, aby określić, gdzie leży usterka, na przykład określić, które urządzenie nie odpowiedziało na żądanie sieciowe.
Hakerzy używają snifferów do podsłuchiwania niezaszyfrowanych danych w pakietach, aby zobaczyć, jakie informacje są wymieniane między dwiema stronami. Mogą również przechwytywać informacje, takie jak hasła i tokeny uwierzytelniające, jeśli są przesyłane w postaci jawnej. Hakerzy są również znani z przechwytywania pakietów w celu późniejszego odtworzenia w atakach typu „powtórka”, „man-in-the-middle” i „wstrzykiwanie pakietów”, na które są podatne niektóre systemy.
Dolna linia
Podobnie jak większość ludzi, inżynierowie sieciowi i hakerzy uwielbiają darmowe rzeczy, dlatego często wybierają narzędzia typu open source i darmowe aplikacje sniffer. Jedną z popularnych ofert open source jest Wireshark, wcześniej znany jako Ethereal. Użyj go do sniffowania pakietów w terenie, zapisywania ich w pliku CAP i późniejszej analizy.
Chroń sieć i jej dane przed hakerami za pomocą snifferów
Jeśli jesteś technikiem sieciowym lub administratorem i chcesz sprawdzić, czy ktoś w Twojej sieci używa narzędzia sniffer, wypróbuj narzędzie o nazwie Antisniff. Wykrywa, czy interfejs sieciowy w Twojej sieci został przełączony w tryb bezładny. Nie śmiej się; to jest jego rzeczywista nazwa i jest to wymagany tryb dla zadań przechwytywania pakietów.
Innym sposobem ochrony ruchu sieciowego przed podsłuchiwaniem jest szyfrowanie, takie jak Secure Sockets Layer (SSL) lub Transport Layer Security (TLS). Szyfrowanie nie uniemożliwi snifferom pakietów zobaczenia informacji o źródle i miejscu docelowym, ale może zaszyfrować ładunek pakietu danych tak, że wszystko, co widzi sniffer, to bełkot.
Każda próba modyfikacji lub wstrzyknięcia danych do pakietów kończy się niepowodzeniem, ponieważ ingerencja w zaszyfrowane dane powoduje błędy, które są widoczne, gdy zaszyfrowane informacje są odszyfrowywane na drugim końcu.
Sniffery są świetnymi narzędziami do diagnozowania problemów z siecią, w których występują chwasty. Mimo to są również przydatne do celów hakerskich. Specjaliści ds. bezpieczeństwa powinni zapoznać się z tymi narzędziami, aby zobaczyć, w jaki sposób haker może ich użyć w swojej sieci.
Rodzaje zbieraczy pakietów informacyjnych
Chociaż sniffery pakietów są narzędziami handlu dla inżynierów sieci, są również powszechne w niektórych renomowanych programach antywirusowych i jako złośliwe oprogramowanie w nikczemnych załącznikach do wiadomości e-mail.
Sniffery pakietów mogą zbierać prawie każdy rodzaj danych. Mogą rejestrować hasła i dane logowania, a także witryny odwiedzane przez użytkownika komputera i to, co użytkownik przeglądał podczas korzystania z witryny. Mogą być wykorzystywane przez firmy do śledzenia wykorzystania sieci przez pracowników i skanowania ruchu przychodzącego w poszukiwaniu złośliwego kodu. W niektórych przypadkach sniffer pakietów może rejestrować cały ruch w sieci.
Sniffery pakietów są cenne, ponieważ ograniczają złośliwe oprogramowanie i są przydatne do rozwiązywania problemów z siecią, ale powinny być używane z solidnym oprogramowaniem zabezpieczającym, aby zapobiec ich niewłaściwemu użyciu.