Analiza mrežnih paketa. Analizatori mrežnog saobraćaja: pregled plaćenih i besplatnih rješenja. CommView ključne karakteristike

Original: 8 najboljih njuškača paketa i mrežnih analizatora
Autor: Jon Watson
Datum objave: 22. novembar 2017
Prevod: A. Krivoshey
Datum transfera: decembar 2017

Sniffing paketa je kolokvijalni izraz koji se odnosi na umjetnost analize mrežnog prometa. Suprotno popularnom mišljenju, stvari poput e-pošte i web stranica ne putuju internetom u jednom komadu. Oni su razbijeni na hiljade malih paketa podataka i na taj način poslani preko interneta. U ovom članku ćemo pogledati najbolje besplatne mrežne analizatore i njuškare paketa.

Postoji mnogo uslužnih programa koji prikupljaju mrežni promet, a većina njih koristi pcap (na sistemima sličnim Unixu) ili libcap (na Windowsima) kao svoju jezgru. Drugi tip uslužnog programa pomaže u analizi ovih podataka, jer čak i mala količina saobraćaja može generirati hiljade paketa kojima je teško navigirati. Gotovo svi ovi uslužni programi se malo razlikuju jedni od drugih u prikupljanju podataka, a glavne razlike su u načinu na koji analiziraju podatke.

Analiza mrežnog prometa zahtijeva razumijevanje kako mreža funkcionira. Ne postoji alat koji bi magično mogao zamijeniti znanje analitičara o osnovama mreže, kao što je TCP "trosmjerno rukovanje" koje se koristi za iniciranje veze između dva uređaja. Analitičari takođe moraju imati izvesno razumevanje o tipovima mrežnog saobraćaja na mreži koja normalno funkcioniše, kao što su ARP i DHCP. Ovo znanje je važno jer će vam analitički alati jednostavno pokazati šta od njih tražite. Na vama je da odlučite šta ćete tražiti. Ako ne znate kako vaša mreža obično izgleda, može biti teško znati da ste pronašli ono što vam treba u masi paketa koje ste prikupili.

Najbolji njuškari paketa i mrežni analizatori

Industrijski alati

Počnimo od vrha, a zatim se spustimo do osnova. Ako imate posla sa mrežom na nivou preduzeća, trebaće vam veliki pištolj. Iako skoro sve koristi tcpdump u svojoj srži (više o tome kasnije), alati za preduzeća mogu riješiti određene složene probleme, kao što je korelacija prometa s više servera, pružanje inteligentnih upita za identifikaciju problema, upozoravanje na iznimke i kreiranje dobrih grafikona, koji je ono što šefovi uvek zahtevaju.

Alati na nivou preduzeća su obično usmereni na strujanje mrežnog saobraćaja, a ne na procenu sadržaja paketa. Pod ovim mislim da je glavni fokus većine sistemskih administratora u preduzeću da osiguraju da mreža nema uskih grla u performansama. Kada se pojave takva uska grla, cilj je obično utvrditi da li je problem uzrokovan mrežom ili aplikacijom na mreži. S druge strane, ovi alati obično mogu podnijeti toliki promet da mogu pomoći u predviđanju kada će mrežni segment biti potpuno učitan, što je kritična tačka u upravljanju propusnošću mreže.

Ovo je veoma veliki skup alata za IT upravljanje. U ovom članku, pomoćni program za duboku inspekciju i analizu paketa, koji je njegova komponenta, je prikladniji. Prikupljanje mrežnog saobraćaja je prilično jednostavno. Sa alatima kao što je WireShark, osnovna analiza takođe nije problem. Ali situacija nije uvijek potpuno jasna. Na veoma prometnoj mreži može biti teško odrediti čak i vrlo jednostavne stvari, kao što su:

Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo web pretraživač), gdje njeni korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?

Većina mrežnih uređaja koristi metapodatke svakog paketa kako bi osigurali da paket ide tamo gdje treba. Sadržaj paketa je nepoznat mrežnom uređaju. Druga stvar je duboka inspekcija paketa; to znači da se provjerava stvarni sadržaj paketa. Na ovaj način se mogu otkriti kritične mrežne informacije koje se ne mogu prikupiti iz metapodataka. Alati poput onih koje pruža SolarWinds mogu pružiti značajnije podatke od pukog protoka saobraćaja.

Ostale tehnologije za upravljanje mrežama koje zahtijevaju veliku količinu podataka uključuju NetFlow i sFlow. Svaki ima svoje vrline i mane,

Možete saznati više o NetFlow i sFlow.

Analiza mreže općenito je napredna tema koja se temelji kako na stečenom znanju tako i na praktičnom radnom iskustvu. Možete obučiti osobu da ima detaljno znanje o mrežnim paketima, ali osim ako ta osoba nema znanje o samoj mreži i iskustvo u identifikaciji anomalija, neće dobro proći. Alati opisani u ovom članku trebali bi koristiti iskusni mrežni administratori koji znaju što žele, ali nisu sigurni koji je uslužni program najbolji. Mogu ih koristiti i manje iskusni sistemski administratori kako bi stekli svakodnevno iskustvo umrežavanja.

Osnove

Glavni alat za prikupljanje mrežnog saobraćaja je

To je aplikacija otvorenog koda koja se instalira na gotovo sve operativne sisteme slične Unixu. Tcpdump je odličan uslužni program za prikupljanje podataka koji ima vrlo sofisticiran jezik za filtriranje. Važno je znati kako filtrirati podatke kada ih prikupljate kako biste na kraju dobili normalan skup podataka za analizu. Snimanje svih podataka sa mrežnog uređaja, čak i na umjereno zauzetoj mreži, može generirati previše podataka koje je vrlo teško analizirati.

U nekim retkim slučajevima biće dovoljno da odštampate tcpdump snimljene podatke direktno na ekran da pronađete ono što vam je potrebno. Na primjer, dok sam pisao ovaj članak, prikupio sam promet i primijetio da moja mašina šalje promet na IP adresu koju nisam znao. Ispostavilo se da je moja mašina slala podatke na Google IP adresu 172.217.11.142. Pošto nisam imao Google proizvode i Gmail nije bio otvoren, nisam znao zašto se to dešava. Provjerio sam svoj sistem i našao sljedeće:

[ ~ ]$ ps -ef | grep google korisnik 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Ispostavilo se da čak i kada Chrome ne radi, ostaje da radi kao usluga. Ne bih ovo primijetio bez analize paketa. Snimio sam još nekoliko paketa podataka, ali ovog puta sam dao tcpdump zadatak da zapiše podatke u datoteku, koju sam zatim otvorio u Wiresharku (više o tome kasnije). Ovo su unosi:

Tcpdump je omiljeni alat sistemskih administratora jer je uslužni program komandne linije. Za pokretanje tcpdump nije potreban GUI. Za proizvodne servere, grafički interfejs je prilično štetan, jer troši sistemske resurse, pa su programi komandne linije poželjniji. Kao i mnogi moderni uslužni programi, tcpdump ima veoma bogat i složen jezik za koji je potrebno neko vreme da se savlada. Nekoliko vrlo osnovnih naredbi uključuje odabir mrežnog sučelja za prikupljanje podataka i zapisivanje tih podataka u datoteku kako bi se mogli izvesti za analizu negdje drugdje. Za to se koriste prekidači -i i -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^C51 paketi uhvaćeni

Ova komanda kreira datoteku sa snimljenim podacima:

Datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)

Standard za takve datoteke je pcap format. To nije tekst, pa se može analizirati samo pomoću programa koji razumiju ovaj format.

3.Windump

Većina korisnih programa otvorenog koda na kraju se kloniraju u druge operativne sisteme. Kada se to dogodi, kaže se da je aplikacija migrirana. Windump je port za tcpdump i ponaša se na vrlo sličan način.

Najznačajnija razlika između Windump-a i tcpdump-a je u tome što je Windump-u potrebna Winpcap biblioteka instalirana prije nego što se Windump pokrene. Iako Windump i Winpcap obezbjeđuje isti održavatelj, moraju se zasebno preuzeti.

Winpcap je biblioteka koja mora biti unaprijed instalirana. Ali Windump je exe datoteka koju ne treba instalirati, tako da je možete jednostavno pokrenuti. Ovo je nešto što treba imati na umu ako koristite Windows mrežu. Ne morate instalirati Windump na svaku mašinu jer možete samo da ga kopirate po potrebi, ali će vam trebati Winpcap da podržava Windup.

Kao i kod tcpdump-a, Windump može prikazati mrežne podatke za analizu, filtrirati ih na isti način, a također zapisati podatke u pcap datoteku za kasniju analizu.

4. Wireshark

Wireshark je sljedeći najpoznatiji alat u okviru alata sistem administratora. Ne samo da vam omogućava da snimite podatke, već pruža i neke napredne alate za analizu. Osim toga, Wireshark je otvorenog koda i portiran je na skoro sve postojeće serverske operativne sisteme. Pod nazivom Etheral, Wireshark sada radi svuda, uključujući i kao samostalna, prenosiva aplikacija.

Ako analizirate promet na serveru s GUI, Wireshark može učiniti sve umjesto vas. Može prikupljati podatke i onda sve to analizirati tamo. Međutim, GUI su rijetki na serverima, tako da možete prikupljati mrežne podatke na daljinu, a zatim ispitati rezultirajuću pcap datoteku u Wiresharku na vašem računalu.

Kada prvi put pokrenete Wireshark, možete ili učitati postojeću pcap datoteku ili pokrenuti snimanje prometa. U potonjem slučaju, možete dodatno postaviti filtere kako biste smanjili količinu prikupljenih podataka. Ako ne navedete filter, Wireshark će jednostavno prikupiti sve mrežne podatke iz odabranog interfejsa.

Jedna od najkorisnijih karakteristika Wiresharka je mogućnost praćenja streama. Najbolje je zamisliti konac kao lanac. Na slici ispod možemo vidjeti dosta snimljenih podataka, ali mene je najviše zanimala Google-ova IP adresa. Mogu kliknuti desnim tasterom miša i pratiti TCP tok da vidim cijeli lanac.

Ako je promet uhvaćen na drugom računaru, možete uvesti PCAP datoteku koristeći Wireshark File -> Open dijalog. Za uvezene datoteke dostupni su isti filteri i alati kao i za snimljene mrežne podatke.

5.tshark

Tshark je vrlo korisna veza između tcpdump-a i Wiresharka. Tcpdump je superioran u prikupljanju podataka i može hirurški izvući samo podatke koji su vam potrebni, međutim njegove mogućnosti analize podataka su vrlo ograničene. Wireshark je odličan i za snimanje i za analizu, ali ima težak korisnički interfejs i ne može se koristiti na serverima bez GUI. Probajte tshark, radi na komandnoj liniji.

Tshark koristi ista pravila filtriranja kao i Wireshark, što ne bi trebalo biti iznenađujuće jer su u suštini isti proizvod. Naredba u nastavku samo govori tsharku da uhvati odredišnu IP adresu, kao i neka druga polja od interesa iz HTTP dijela paketa.

# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/201001 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.20.css 172.20.6 Linux; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; X11; Linux 1) Gerv: 0 Firefox x86_574; 0 /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.0 Linux (Xilla 1 Moz.1); x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.

Ako želite da zapišete promet u datoteku, koristite opciju -W da to učinite, a zatim prekidač -r (čitanje) da biste je pročitali.

Prvo snimanje:

# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^C

Pročitajte je ovdje ili premjestite na drugo mjesto radi analize.

# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010 /57.0 /kontakt 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /rezervacije/ 172.20.0.122 Mozilla/5.0;1 Firefox/5.0 (X161) 57.0 / reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/js.2.6-pack .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0). res/images/title.png

Ovo je vrlo zanimljiv alat koji više spada u kategoriju alata za mrežnu forenzičku analizu, a ne samo u njuške. Polje forenzike obično se bavi istragama i prikupljanjem dokaza, a Network Miner ovaj posao radi sasvim dobro. Baš kao što wireshark može pratiti TCP tok kako bi rekonstruirao cijeli lanac prijenosa paketa, Network Miner može pratiti stream kako bi povratio datoteke koje su prenesene preko mreže.

Network Miner se može strateški postaviti na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima u realnom vremenu. Neće generirati vlastiti promet na mreži, pa će raditi tajno.

Network Miner može raditi i van mreže. Možete koristiti tcpdump za prikupljanje paketa na mrežnoj tački od interesa, a zatim uvesti PCAP datoteke u Network Miner. Zatim možete pokušati oporaviti sve datoteke ili certifikate pronađene u snimljenoj datoteci.

Network Miner je napravljen za Windows, ali uz Mono može se pokrenuti na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.

Postoji besplatna verzija, početni nivo, ali sa pristojnim skupom funkcija. Ako su vam potrebne dodatne funkcije kao što su geolokacija i prilagođene skripte, morat ćete kupiti profesionalnu licencu.

7. Fiddler (HTTP)

Tehnički nije uslužni program za hvatanje mrežnih paketa, ali je toliko nevjerovatno koristan da se svrstava na ovu listu. Za razliku od ostalih ovdje navedenih alata, koji su dizajnirani da hvataju mrežni promet iz bilo kojeg izvora, Fiddler je više alat za otklanjanje grešaka. Snima HTTP promet. Iako mnogi pretraživači već imaju ovu mogućnost u svojim programskim alatima, Fiddler nije ograničen na promet pretraživača. Fiddler može uhvatiti bilo koji HTTP promet na računaru, uključujući ne-web aplikacije.

Mnoge desktop aplikacije koriste HTTP za povezivanje s web uslugama, a osim Fiddlera, jedini način da se takav promet uhvati za analizu je korištenje alata kao što su tcpdump ili Wireshark. Međutim, oni rade na nivou paketa, tako da analiza zahtijeva rekonstrukciju ovih paketa u HTTP tokove. Jednostavno istraživanje može biti puno posla i tu dolazi Fiddler. Fiddler će vam pomoći da otkrijete kolačiće, certifikate i druge korisne podatke koje šalju aplikacije.

Fiddler je besplatan i, kao i Network Miner, može se pokrenuti u mono na skoro svakom operativnom sistemu.

8. Capsa

Capsa mrežni analizator ima nekoliko izdanja, od kojih svako ima različite mogućnosti. Na prvom nivou, Capsa je besplatna i u suštini vam omogućava da jednostavno uhvatite pakete i izvršite osnovnu grafičku analizu na njima. Kontrolna tabla je jedinstvena i može pomoći neiskusnom administratoru sistema da brzo identifikuje probleme sa mrežom. Besplatni nivo je za ljude koji žele da nauče više o paketima i izgrade svoje veštine analize.

Besplatna verzija omogućava praćenje preko 300 protokola, pogodna je za praćenje e-pošte kao i za pohranjivanje sadržaja e-pošte, a podržava i okidače koji se mogu koristiti za pokretanje upozorenja kada se dogode određene situacije. U tom smislu, Capsa se u određenoj mjeri može koristiti kao alat za podršku.

Capsa je dostupna samo za Windows 2008/Vista/7/8 i 10.

Zaključak

Lako je razumjeti kako administrator sistema može kreirati infrastrukturu za praćenje mreže koristeći alate koje smo opisali. Tcpdump ili Windump se mogu instalirati na svim serverima. Planer, kao što je cron ili Windows planer, započinje sesiju prikupljanja paketa u pravo vrijeme i upisuje prikupljene podatke u pcap datoteku. Administrator sistema zatim može prenijeti ove pakete na centralnu mašinu i analizirati ih koristeći wireshark. Ako je mreža prevelika za ovo, dostupni su alati poslovne klase, kao što je SolarWinds, koji pretvaraju sve mrežne pakete u skup podataka kojim se može upravljati.

Pročitajte druge članke o presretanju i analizi mrežnog prometa :

Dan Nanni, Uslužni programi komandne linije za nadgledanje mrežnog saobraćaja na Linuxu
Paul Cobbaut, Linux System Administration. Presretanje mrežnog saobraćaja
Paul Ferrill, 5 alata za praćenje mreže na Linuxu
Pankaj Tanwar, Hvatanje paketa pomoću biblioteke libpcap
Riccardo Capecchi, Korištenje filtera u Wiresharku
Nathan Willis, Analiza mreže s Wiresharkom
Prashant Phatak,

Najbolji njuškari paketa i mrežni analizatori

Industrijski alati

Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo web pretraživač), gdje njeni korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?

Ostale tehnologije za upravljanje mrežama koje zahtijevaju veliku količinu podataka uključuju NetFlow i sFlow. Svaki ima svoje vrline i mane,

Možete saznati više o NetFlow i sFlow.

Osnove

Glavni alat za prikupljanje mrežnog saobraćaja je

[ ~ ]$ ps -ef | grep google korisnik 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^C51 paketi uhvaćeni

Ova komanda kreira datoteku sa snimljenim podacima:

datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)

Standard za takve datoteke je pcap format. To nije tekst, pa se može analizirati samo pomoću programa koji razumiju ovaj format.

3.Windump

Kao i kod tcpdump-a, Windump može prikazati mrežne podatke za analizu, filtrirati ih na isti način, a također zapisati podatke u pcap datoteku za kasniju analizu.

4. Wireshark

5.tshark

Ako želite da zapišete promet u datoteku, koristite opciju -W da to učinite, a zatim prekidač -r (čitanje) da biste je pročitali.

Prvo snimanje:

# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^C

Pročitajte je ovdje ili premjestite na drugo mjesto radi analize.

Network Miner se može strateški postaviti na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima u realnom vremenu. Neće generirati vlastiti promet na mreži, pa će raditi tajno.

Network Miner je napravljen za Windows, ali uz Mono može se pokrenuti na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.

7. Fiddler (HTTP)

Fiddler je besplatan i, kao i Network Miner, može se pokrenuti u mono na skoro svakom operativnom sistemu.

8. Capsa

Capsa je dostupna samo za Windows 2008/Vista/7/8 i 10.

Zaključak

Analizatori mrežnih paketa, ili njuškari, prvobitno su razvijeni kao sredstvo za rješavanje mrežnih problema. Oni su u stanju presresti, interpretirati i pohraniti pakete koji se prenose preko mreže za naknadnu analizu. S jedne strane, ovo omogućava administratorima sistema i inženjerima tehničke podrške da posmatraju kako se podaci prenose preko mreže, dijagnosticiraju i poprave probleme koji se pojave. U tom smislu, njuškanje paketa je moćan alat za dijagnosticiranje mrežnih problema. S druge strane, kao i mnogi drugi moćni alati koji su prvobitno bili namijenjeni administraciji, s vremenom su se njuškali počeli koristiti u potpuno druge svrhe. Zaista, njuškalo u rukama napadača je prilično opasan alat i može se koristiti za dobivanje lozinki i drugih povjerljivih informacija. Međutim, ne biste trebali misliti da su njuškari neka vrsta magičnog alata putem kojeg svaki haker može lako vidjeti povjerljive informacije koje se prenose preko mreže. I prije nego dokažemo da opasnost od njuškala nije tako velika kao što se često predstavlja, razmotrimo detaljnije principe njihovog funkcioniranja.

Principi rada paketnih sniffera

Dalje u ovom članku ćemo razmotriti samo softverske sniffere dizajnirane za Ethernet mreže. Sniffer je program koji radi na nivou mrežnog adaptera (sloj veze) NIC (Network Interface Card) i tajno presreće sav promet. Budući da njuškari rade na sloju veze podataka OSI modela, ne moraju se ponašati po pravilima protokola višeg sloja. Sniffers zaobilaze mehanizme filtriranja (adrese, portove, itd.) koje Ethernet drajveri i TCP/IP stek koriste za tumačenje podataka. Snifferi paketa hvataju iz žice sve što prolazi kroz nju. Njuškači mogu pohraniti okvire u binarnom formatu i kasnije ih dešifrirati kako bi otkrili informacije višeg nivoa skrivene unutra (slika 1).

Da bi njuškalo uhvatilo sve pakete koji prolaze kroz mrežni adapter, drajver mrežnog adaptera mora podržavati promiskuitetni način rada. U ovom načinu rada mrežnog adaptera njuškalo može presresti sve pakete. Ovaj način rada mrežnog adaptera se automatski aktivira kada se njuškalo pokrene ili se ručno postavlja odgovarajućim postavkama njuškala.

Sav presretnuti saobraćaj prosleđuje se dekoderu paketa, koji identifikuje i deli pakete na odgovarajuće hijerarhijske nivoe. Ovisno o mogućnostima određenog sniffera, dostavljene informacije o paketu mogu se dalje analizirati i filtrirati.

Ograničenja upotrebe njuškala

Snifferi su predstavljali najveću opasnost u ono vrijeme kada su se informacije prenosile preko mreže u čistom tekstu (bez enkripcije), a lokalne mreže su se gradile na bazi koncentratora (hubova). Međutim, ti dani su zauvijek prošli, a danas korištenje njuškala za pristup povjerljivim informacijama nije nimalo lak zadatak.

Činjenica je da pri izgradnji lokalnih mreža zasnovanih na čvorištima postoji određeni zajednički medij za prenos podataka (mrežni kabl) i svi čvorovi mreže razmjenjuju pakete, koji se takmiče za pristup ovom mediju (slika 2), i paket koji šalje jedna mreža. čvor se prenosi na sve portove čvorišta i ovaj paket slušaju svi ostali čvorovi u mreži, ali ga prima samo čvor na koji je upućen. Štaviše, ako je njuškalo paketa instalirano na jednom od mrežnih čvorova, tada može presresti sve mrežne pakete koji se odnose na dati segment mreže (mreža koju formira čvorište).

Prekidači su inteligentniji uređaji od čvorišta za emitiranje i izoliraju mrežni promet. Prekidač zna adrese uređaja povezanih na svaki port i prenosi pakete samo između potrebnih portova. Ovo vam omogućava da rasteretite druge portove bez potrebe da im prosljeđujete svaki paket, kao što to čini čvorište. Dakle, paket koji je poslao određeni mrežni čvor prenosi se samo na port komutatora na koji je primalac paketa povezan, a svi ostali mrežni čvorovi nisu u mogućnosti da otkriju ovaj paket (slika 3).

Stoga, ako je mreža izgrađena na bazi prekidača, tada je njuškalo instalirano na jednom od mrežnih računara sposobno presresti samo one pakete koji se razmjenjuju između ovog računala i drugih mrežnih čvorova. Kao rezultat toga, da bi mogli presresti pakete koje računar ili server od interesa za napadača razmenjuje sa drugim mrežnim čvorovima, potrebno je instalirati sniffer na tom konkretnom računaru (serveru), što zapravo i nije tako jednostavno. Međutim, treba imati na umu da se neki njuškari paketa pokreću iz komandne linije i možda nemaju grafičko sučelje. Takvi njuškari se u principu mogu instalirati i pokrenuti na daljinu i neprimijećeni od strane korisnika.

Osim toga, također biste trebali imati na umu da dok svičevi izoliraju mrežni promet, svi upravljani prekidači imaju funkciju prosljeđivanja portova ili zrcaljenja porta. Odnosno, port komutatora se može konfigurisati na takav način da se svi paketi koji pristižu na druge portove komutatora dupliraju na njemu. Ako je u ovom slučaju računar sa njuškarom paketa povezan na takav port, onda on može presresti sve pakete koji se razmenjuju između računara na datom segmentu mreže. Međutim, u pravilu je mogućnost konfiguracije prekidača dostupna samo administratoru mreže. To, naravno, ne znači da on ne može biti napadač, ali mrežni administrator ima mnogo drugih načina da kontrolira sve korisnike lokalne mreže, te je malo vjerovatno da će vas tako sofisticirano nadzirati.

Drugi razlog zašto njuškari više nisu opasni kao što su nekada bili je taj što se većina osjetljivih podataka sada prenosi šifrirano. Otvorene, nešifrovane usluge brzo nestaju sa interneta. Na primjer, kada posjećujete web stranice, SSL (Secure Sockets Layer) protokol se sve više koristi; SFTP (Secure FTP) se koristi umjesto otvorenog FTP-a, a virtuelne privatne mreže (VPN-ovi) se sve više koriste za druge usluge koje standardno ne koriste šifriranje.

Dakle, oni koji su zabrinuti zbog mogućnosti zlonamjerne upotrebe njuškanja paketa trebaju imati na umu sljedeće. Prvo, da bi predstavljali ozbiljnu prijetnju vašoj mreži, njuškari moraju biti locirani unutar same mreže. Drugo, današnji standardi šifriranja čine izuzetno teškim presretanje osjetljivih informacija. Stoga, u ovom trenutku, njuškari paketa postepeno gube na važnosti kao hakerski alati, ali u isto vrijeme ostaju efikasan i moćan alat za dijagnosticiranje mreža. Štaviše, njuškari se mogu uspješno koristiti ne samo za dijagnosticiranje i lokalizaciju mrežnih problema, već i za reviziju mrežne sigurnosti. Konkretno, korištenje analizatora paketa omogućava vam da otkrijete neovlašteni promet, otkrijete i identifikujete neovlašteni softver, identifikujete neiskorištene protokole da ih uklonite iz mreže, generišete promet za testiranje penetracije (penetracijski test) kako biste provjerili sigurnosni sistem, rad sa Sistemi za otkrivanje upada (Intrusion Detection System (IDS).

Pregled softverskih paketnih sniffera

Svi softverski njuškari mogu se podijeliti u dvije kategorije: njuškači koji podržavaju pokretanje iz komandne linije i njuškači koji imaju grafičko sučelje. Međutim, primjećujemo da postoje njuškari koji kombiniraju obje ove mogućnosti. Osim toga, snifferi se međusobno razlikuju po protokolima koje podržavaju, dubini analize presretnutih paketa, mogućnosti konfigurisanja filtera i mogućnosti kompatibilnosti sa drugim programima.

Tipično, prozor bilo kojeg sniffera sa grafičkim sučeljem sastoji se od tri područja. Prvi od njih prikazuje zbirne podatke presretnutih paketa. Tipično, ovo područje prikazuje minimum polja, i to: vrijeme presretanja paketa; IP adrese pošiljaoca i primaoca paketa; MAC adrese pošiljaoca i primaoca paketa, adrese izvornog i odredišnog porta; tip protokola (mrežni, transportni ili aplikacijski sloj); neke sažete informacije o presretnutim podacima. Drugo područje prikazuje statističke informacije o pojedinačnom odabranom paketu, a na kraju treće područje prikazuje paket u heksadecimalnom ili ASCII obliku znakova.

Gotovo svi njuškari paketa omogućavaju vam analizu dekodiranih paketa (zbog čega se njuškači paketa nazivaju i analizatori paketa ili analizatori protokola). Sniffer distribuira presretnute pakete po slojevima i protokolima. Neki njuškari paketa mogu prepoznati protokol i prikazati uhvaćene informacije. Ova vrsta informacija se obično prikazuje u drugom dijelu prozora za njuškanje. Na primjer, bilo koji sniffer može prepoznati TCP protokol, a napredni njuškari mogu odrediti koja je aplikacija generirala ovaj promet. Većina analizatora protokola prepoznaje preko 500 različitih protokola i može ih opisati i dekodirati imenom. Što više informacija njuškalo može dekodirati i prikazati na ekranu, manje će se morati ručno dekodirati.

Jedan od problema s kojim se njuškari paketa mogu susresti je nemogućnost da se ispravno identifikuje protokol koristeći port koji nije podrazumevani port. Na primjer, radi poboljšanja sigurnosti, neke dobro poznate aplikacije mogu se konfigurirati da koriste portove koji nisu zadani. Dakle, umjesto tradicionalnog porta 80, rezerviranog za web server, ovaj server se može nasilno rekonfigurirati na port 8088 ili bilo koji drugi. Neki analizatori paketa u ovoj situaciji nisu u mogućnosti da ispravno odrede protokol i prikazuju samo informacije o protokolu nižeg nivoa (TCP ili UDP).

Postoje softverski snifferi koji dolaze sa softverskim analitičkim modulima prikačenim kao dodaci ili ugrađeni moduli koji vam omogućavaju da kreirate izvještaje s korisnim analitičkim informacijama o presretnutom prometu.

Još jedna karakteristična karakteristika većine softvera za analizu paketa je mogućnost konfigurisanja filtera prije i nakon hvatanja saobraćaja. Filteri odabiru određene pakete iz općeg prometa prema datom kriteriju, što vam omogućava da se riješite nepotrebnih informacija prilikom analize prometa.

Potreba za analizom mrežnog saobraćaja može se pojaviti iz nekoliko razloga. Nadgledanje sigurnosti računara, otklanjanje grešaka u lokalnoj mreži, praćenje odlaznog saobraćaja radi optimizacije rada zajedničke internet veze - svi ovi zadaci su često na dnevnom redu sistemskih administratora i običnih korisnika. Za njihovo rješavanje postoje mnogi uslužni programi koji se nazivaju sniffers, kako specijalizirani, usmjereni na rješavanje uskog područja zadataka, tako i višenamjenski "harvesteri", koji korisniku pružaju širok izbor alata. Ovaj članak predstavlja jednog od predstavnika ove druge grupe, odnosno uslužni program CommView koji proizvodi kompanija. Program vam omogućava da jasno vidite punu sliku prometa koji prolazi kroz računar ili segment lokalne mreže; prilagodljivi alarmni sistem omogućava vam da upozorite na prisustvo sumnjivih paketa u saobraćaju, pojavu čvorova sa abnormalnim adresama u mreži ili povećanje opterećenja mreže.

CommView pruža mogućnost održavanja statistike o svim IP konekcijama, dekodiranja IP paketa na niži nivo i njihove analize. Ugrađeni sistem filtera zasnovan na nekoliko parametara omogućava vam da konfigurišete praćenje isključivo za potrebne pakete, što njihovu analizu čini efikasnijom. Program može prepoznati pakete iz više od sedam desetina najčešćih protokola (uključujući DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, itd.), a takođe ih sačuvati u fajlovima za naknadnu analizu. Različiti drugi alati, kao što je identifikacija proizvođača mrežnog adaptera prema MAC adresi, rekonstrukcija HTML-a i daljinsko hvatanje paketa pomoću opcionog uslužnog programa CommView Remote Agent, također mogu biti korisni u određenim slučajevima.

Rad sa programom

Prvo morate odabrati mrežni interfejs na kojem će se pratiti promet.

CommView podržava gotovo sve vrste Ethernet adaptera - 10, 100 i 1000 Mbit/s, kao i analogne modeme, xDSL, Wi-Fi, itd. Analizirajući promet Ethernet adaptera, CommView može presresti ne samo dolazni i odlazni, već i tranzitni paketi adresirani na bilo koji računar u segmentu lokalne mreže. Vrijedi napomenuti da ako je zadatak pratiti sav promet na segmentu lokalne mreže, onda je potrebno da se računala u njemu povezuju preko čvorišta, a ne preko prekidača. Neki moderni modeli prekidača imaju funkciju preslikavanja portova, što im omogućava da se konfigurišu i za nadgledanje mreže pomoću CommView-a. Možete pročitati više o tome. Nakon odabira željene veze, možete početi sa hvatanjem paketa. Dugmad za početak i zaustavljanje snimanja nalaze se blizu linije za odabir interfejsa. Da biste radili sa daljinskim kontrolerom pristupa, VPN-om i PPPoE, morate instalirati odgovarajući drajver prilikom instaliranja programa.

Glavni prozor programa podijeljen je na nekoliko kartica odgovornih za jedno ili drugo područje rada. Prvi od njih, "Trenutne IP veze", prikazuje detaljne informacije o aktivnim IP vezama računara. Ovdje možete vidjeti lokalnu i udaljenu IP adresu, broj odaslanih i primljenih paketa, smjer prijenosa, broj uspostavljenih IP sesija, portove, ime hosta (ako funkcija DNS prepoznavanja nije onemogućena u postavkama programa), i naziv procesa koji prima ili prenosi paket za ovu sesiju. Najnovije informacije nisu dostupne za tranzitne pakete ili na računarima koji koriste Windows 9x/ME.

Trenutne IP veze Tab

Ako desnom tipkom miša kliknete bilo koju vezu, otvorit će se kontekstni meni u kojem možete pronaći alate koji olakšavaju analizu veza. Ovdje možete vidjeti količinu podataka prenesenih unutar veze, kompletnu listu korištenih portova, detaljne informacije o procesu koji prima ili prenosi pakete za ovu sesiju. CommView vam omogućava da kreirate pseudonime za MAC i IP adrese. Na primjer, specificiranjem pseudonima umjesto glomaznih digitalnih adresa strojeva na lokalnoj mreži, možete dobiti lako čitljiva i pamtljiva imena računala i na taj način olakšati analizu veze.

Da biste kreirali pseudonim za IP adresu, potrebno je da izaberete „Kreiraj pseudonim“ i „koristeći lokalnu IP adresu“ ili „koristeći udaljenu IP adresu“ u kontekstualnom meniju. U prozoru koji se pojavi, polje IP adrese će već biti popunjeno, a preostaje samo da unesete odgovarajuće ime. Ako se novi unos IP imena kreira desnim klikom na paket, polje imena se automatski popunjava imenom hosta (ako je dostupno) i može se uređivati. Isto važi i za rad sa MAC pseudonimima.

Iz istog menija, odabirom SmartWhois, možete poslati odabranu izvornu ili odredišnu IP adresu u SmartWhois, samostalnu aplikaciju iz Tamosofta koja prikuplja informacije o bilo kojoj IP adresi ili nazivu hosta, kao što su naziv mreže, domena, država, država ili pokrajina , grad i pruža ga korisniku.

Druga kartica, "Paketi", prikazuje sve presretnute pakete na odabranom mrežnom sučelju i detaljne informacije o njima.

Paketi Tab

Prozor je podijeljen na tri dijela. Prvi od njih prikazuje listu svih presretnutih paketa. Ako odaberete jedan od paketa klikom na njega pokazivačem miša, preostali prozori će prikazati informacije o njemu. Ovo prikazuje broj paketa, protokol, Mac i IP adrese hosta koji šalje i prima, korištene portove i vrijeme kada se paket pojavio.

Srednji dio prikazuje sadržaj paketa - heksadecimalno ili tekstualno. U drugom slučaju, znakovi koji se ne štampaju zamjenjuju se tačkama. Ako je više paketa odabrano istovremeno u gornjem dijelu, srednji prozor će pokazati ukupan broj odabranih paketa, njihovu ukupnu veličinu, kao i vremenski interval između prvog i posljednjeg paketa.

Donji prozor prikazuje dekodirane detaljne informacije o odabranom paketu.

Klikom na jedan od tri gumba u donjem desnom dijelu prozora, možete odabrati lokaciju prozora za dekodiranje: na dnu, ili poravnati lijevo ili desno. Druga dva dugmeta vam omogućavaju da automatski pređete na poslednji primljeni paket i sačuvate izabrani paket u vidljivom delu liste.

Kontekstni meni vam omogućava da kopirate MAC, IP adrese i čitave pakete u međuspremnik, dodelite pseudonime, primenite brzi filter za odabir potrebnih paketa, a takođe koristite alate za rekonstrukciju TCP sesije i generator paketa.

Alat za rekonstrukciju TCP sesije vam omogućava da vidite proces razmjene između dva hosta putem TCP-a. Da biste sadržaj sesije učinili razumljivijim, morate odabrati odgovarajuću „logiku prikaza“. Ova funkcija je najkorisnija za oporavak tekstualnih informacija kao što su HTML ili ASCII.

Rezultirajući podaci se mogu izvesti kao tekstualni, RTF ili binarni fajl.

Kartica Datoteke evidencije. Ovdje možete konfigurirati postavke za spremanje uhvaćenih paketa u datoteku. CommView čuva datoteke evidencije u izvornom NCF formatu; Da biste ih pregledali, koristi se ugrađeni uslužni program koji se može pokrenuti iz menija „Datoteka“.

Moguće je omogućiti automatsko spremanje presretnutih paketa kako stignu, evidentiranje HTTP sesija u TXT i HTML formatima, spremanje, brisanje, spajanje i razdvajanje log fajlova. Jedna stvar koju treba zapamtiti je da se paket ne pohranjuje odmah po dolasku, tako da ako pregledate log datoteku u realnom vremenu, najvjerovatnije neće prikazati najnovije pakete. Da bi program odmah poslao međuspremnik u datoteku, potrebno je da kliknete na dugme "Završi snimanje".

U kartici "pravila" možete postaviti uslove za presretanje ili ignorisanje paketa.

Da biste olakšali odabir i analizu potrebnih paketa, možete koristiti pravila filtriranja. Ovo će takođe pomoći da se značajno smanji količina sistemskih resursa koje koristi CommView.

Da biste omogućili pravilo, morate odabrati odgovarajući odjeljak na lijevoj strani prozora. Dostupno je ukupno sedam vrsta pravila: jednostavna - “Protokoli i smjer”, “Mac adrese”, “IP adrese”, “Portovi”, “Tekst”, “TCP zastavice”, “Proces”, kao i univerzalna pravilo "Formula" " Za svako od jednostavnih pravila moguće je odabrati pojedinačne parametre, kao što je odabir smjera ili protokola. Univerzalno pravilo formule je moćan i fleksibilan mehanizam za kreiranje filtera koristeći Booleovu logiku. Detaljnu referencu o njegovoj sintaksi možete pronaći.

Tab "Upozorenja" pomoći će vam da konfigurirate postavke za obavještenja o raznim događajima koji se dešavaju u segmentu mreže koji se proučava.

Kartica Upozorenja vam omogućava da kreirate, uredite, izbrišete pravila upozorenja i pregledate trenutne događaje koji odgovaraju ovim pravilima

Da biste postavili pravilo upozorenja, potrebno je kliknuti na dugme „Dodaj...“ i u prozoru koji se otvori odabrati potrebne uslove koji će pokrenuti obavještenje, kao i način obavještavanja korisnika o tome.

CommView vam omogućava da definirate sljedeće vrste događaja za praćenje:

"Otkrij paket" koji odgovara navedenoj formuli. Sintaksa formule je detaljno opisana u korisničkom priručniku;
"Bytes per second." Ovo upozorenje će se aktivirati kada se premaši navedeni nivo opterećenja mreže;
"Paketi u sekundi." Aktivira se kada se premaši specificirani nivo frekvencije paketnog prijenosa;
"Emisije u sekundi." Isto, samo za pakete emitovanja;
"Multicast per second" - isto za multicast pakete.
"Nepoznata MAC adresa." Ovo upozorenje se može koristiti za otkrivanje nove ili neovlašćene opreme koja se povezuje na mrežu tako što ćete prvo definisati listu poznatih adresa koristeći opciju Setup;
Upozorenje “Nepoznata IP adresa” će se pokrenuti kada se presretnu paketi sa nepoznatim IP adresama pošiljaoca ili primaoca. Ako unaprijed navedete listu poznatih adresa, ovo upozorenje se može koristiti za otkrivanje neovlaštenih veza preko vašeg korporativnog zaštitnog zida.

CommView ima moćan alat za vizualizaciju statistike saobraćaja koji se proučava. Da biste otvorili prozor statistike, potrebno je da izaberete stavku istog imena iz menija „Pregled“.

Prozor statistike u “General” modu

U ovom prozoru možete vidjeti statistiku mrežnog prometa: ovdje možete vidjeti broj paketa u sekundi, bajtova u sekundi, distribuciju Etherneta, IP protokole i podprotokole. Grafikoni se mogu kopirati u međuspremnik, što će vam pomoći kada trebate sastaviti izvještaje.

Dostupnost, cijena, sistemski zahtjevi

Trenutna verzija programa je CommView 5.1. Sa Tamosoft web stranice možete, koja će funkcionirati 30 dana.

Programer nudi korisnicima dvije opcije licence:

Home License (kućna licenca), vrijedna 2.000 rubalja, daje pravo korištenja programa kod kuće na nekomercijalnoj osnovi, dok je broj hostova dostupnih za praćenje na vašoj kućnoj mreži ograničen na pet. Ova vrsta licence vam ne dozvoljava daljinski rad koristeći Remote Agent.
Enterprise License (korporativna, cijena - 10.000 rubalja) daje pravo na komercijalnu i nekomercijalnu upotrebu programa od strane jedne osobe koja lično koristi program na jednom ili više mašina. Program se takođe može instalirati na jednu radnu stanicu i koristiti od strane više ljudi, ali ne istovremeno.

Aplikacija radi na Windows 98/Me/NT/2000/XP/2003 operativnim sistemima. Za rad vam je potreban Ethernet mrežni adapter, bežični Ethernet, Token Ring sa podrškom za NDIS 3.0 standard ili standardni kontroler za daljinski pristup.

Pros:

lokalizovani interfejs;
odličan sistem pomoći;
podrška za različite vrste mrežnih adaptera;
napredni alati za analizu paketa i identifikaciju protokola;
vizualizacija statistike;
funkcionalni sistem upozorenja.

minusi:

previsoka cijena;
nedostatak unapred podešenih pravila za presretanje i upozorenja;
nije baš zgodan mehanizam za odabir paketa na kartici "Paketi".

Zaključak

Zahvaljujući odličnoj funkcionalnosti i korisničkom interfejsu, CommView može postati nezamjenjiv alat za lokalne mrežne administratore, internet provajdere i kućne korisnike. Bio sam zadovoljan pažljivim pristupom programera ruskoj lokalizaciji paketa: i interfejs i referentni priručnik su napravljeni na veoma visokom nivou. Slika je donekle zamagljena visokim troškovima programa, ali probna verzija od trideset dana pomoći će potencijalnom kupcu da odluči o preporučljivosti kupovine ovog uslužnog programa.

Mnogi korisnici računarskih mreža generalno nisu upoznati s konceptom „njuškala“. Pokušajmo jednostavnim jezikom neobučenog korisnika definirati šta je njuškalo. Ali prvo, ipak morate proniknuti u preddefiniciju samog pojma.

Sniffer: šta je njuškalo sa stanovišta engleskog jezika i kompjuterske tehnologije?

Zapravo, uopće nije teško odrediti suštinu takvog softverskog ili hardversko-softverskog kompleksa ako jednostavno prevedete pojam.

Ovo ime dolazi od engleske riječi sniff (njušiti). Otuda i značenje ruskog izraza "njuškalo". Šta je njuškalo u našem razumijevanju? „Njuškalo“ sposobno da nadgleda korišćenje mrežnog saobraćaja, ili, jednostavnije, špijun koji može da ometa rad lokalnih ili internetskih mreža, izvlačeći potrebne informacije na osnovu pristupa putem TCP/IP protokola za prenos podataka.

Analizator saobraćaja: kako radi?

Rezervirajmo odmah: njuškalo, bilo da se radi o softverskoj ili shareware komponenti, može analizirati i presresti promet (prenesene i primljene podatke) isključivo putem mrežnih kartica (Ethernet). Šta se dešava?

Mrežni interfejs nije uvek zaštićen zaštitnim zidom (opet, softverom ili hardverom), pa stoga presretanje prenetih ili primljenih podataka postaje samo stvar tehnologije.

Unutar mreže, informacije se prenose kroz segmente. U okviru jednog segmenta, paketi podataka bi trebalo da se šalju na apsolutno sve uređaje koji su povezani na mrežu. Segmentirane informacije prosljeđuju se ruterima (ruterima), a zatim prekidačima (prekidačima) i koncentratorima (hubovima). Slanje informacija vrši se dijeljenjem paketa tako da krajnji korisnik prima sve dijelove paketa povezane zajedno sa potpuno različitih ruta. Dakle, "slušanje" svih potencijalnih ruta od jednog pretplatnika do drugog ili interakcija internetskog resursa s korisnikom može pružiti ne samo pristup nešifriranim informacijama, već i nekim tajnim ključevima, koji se također mogu poslati u takvom procesu interakcije. . I ovdje se ispostavlja da je mrežni interfejs potpuno nezaštićen, jer interveniše treća strana.

Dobre namjere i zlonamjerne svrhe?

Njuškalice se mogu koristiti i za dobro i za loše. Da ne spominjemo negativan utjecaj, vrijedno je napomenuti da takve softverske i hardverske sisteme prilično često koriste sistemski administratori koji pokušavaju pratiti radnje korisnika ne samo na mreži, već i njihovo ponašanje na Internetu u smislu posjećenih resursa, aktivirana preuzimanja na računare ili slanje sa njih.

Metoda po kojoj radi mrežni analizator je prilično jednostavna. Sniffer detektuje odlazni i dolazni saobraćaj mašine. Ne govorimo o internom ili eksternom IP-u. Najvažniji kriterijum je takozvana MAC adresa, jedinstvena za svaki uređaj povezan na globalnu mrežu. Koristi se za identifikaciju svake mašine na mreži.

Vrste njuškala

Ali po vrsti se mogu podijeliti u nekoliko glavnih:

hardver;
softver;
hardver i softver;
online applets.

Detekcija ponašanja sniffera na mreži

Možete otkriti isti WiFi sniffer prema opterećenju mreže. Ako je jasno da prijenos podataka ili konekcija nije na nivou koji navodi provajder (ili ruter dozvoljava), na to odmah obratite pažnju.

S druge strane, provajder također može pokrenuti softverski sniffer za praćenje prometa bez znanja korisnika. Ali, po pravilu, korisnik ni ne zna za to. Ali organizacija koja pruža usluge komunikacije i internet veze na taj način garantuje korisniku potpunu sigurnost u smislu presretanja poplava, samoinstalirajućih klijenata raznih trojanaca, špijuna itd. Ali takvi alati su prije softverski i nemaju mnogo utjecaja na mrežu ili korisničke terminale.

Online resursi

Ali onlajn analizator saobraćaja može biti posebno opasan. Primitivni kompjuterski sistem hakovanja izgrađen je na upotrebi njuškala. Tehnologija se u svom najjednostavnijem obliku svodi na činjenicu da se napadač u početku registruje na određenom resursu, a zatim postavlja sliku na stranicu. Nakon potvrde preuzimanja, izdaje se link do internetskog njuškala, koji se šalje potencijalnoj žrtvi, na primjer, u obliku e-pošte ili iste SMS poruke s tekstom poput „Primili ste čestitku od so-i -tako. Da biste otvorili sliku (razglednicu), kliknite na link.”

Naivni korisnici kliknu na navedenu hipervezu, zbog čega se aktivira prepoznavanje i eksterna IP adresa se prenosi na napadača. Ako ima odgovarajuću aplikaciju, moći će ne samo da vidi sve podatke pohranjene na računaru, već i da sa vanjske strane lako mijenja postavke sistema, što lokalni korisnik neće ni shvatiti, pogrešno smatrajući takvu promjenu uticaj virusa. Ali skener će pokazati nula prijetnji prilikom provjere.

Kako se zaštititi od presretanja podataka?

Bilo da je u pitanju WiFi njuškalo ili bilo koji drugi analizator, još uvijek postoje sistemi za zaštitu od neovlaštenog skeniranja prometa. Postoji samo jedan uslov: potrebno ih je instalirati samo ako ste potpuno sigurni u „prisluškivanje“.

Takvi softverski alati se najčešće nazivaju „antisniffers“. Ali ako razmislite o tome, ovo su isti njuškari koji analiziraju promet, ali blokiraju druge programe koji pokušavaju primiti

Otuda i legitimno pitanje: isplati li se instalirati takav softver? Možda će njegovo hakiranje od strane hakera uzrokovati još više štete ili će sam blokirati ono što bi trebalo funkcionirati?

U najjednostavnijem slučaju sa Windows sistemima, bolje je koristiti ugrađeni zaštitni zid kao zaštitu. Ponekad može doći do sukoba s instaliranim antivirusom, ali to se često odnosi samo na besplatne pakete. Profesionalno kupljene ili mjesečno aktivirane verzije nemaju takve nedostatke.

Umjesto pogovora

To je sve o konceptu “njuškalo”. Mislim da su mnogi ljudi već shvatili šta je njuškalo. Konačno, ostaje pitanje: koliko će ispravno prosječan korisnik koristiti takve stvari? Inače, među mladim korisnicima ponekad se može primijetiti sklonost kompjuterskom huliganizmu. Smatraju da je hakovanje tuđeg računara nešto poput zanimljivog takmičenja ili samopotvrđivanja. Nažalost, niko od njih i ne razmišlja o posljedicama, ali vrlo je lako identificirati napadača koristeći isti internet sniffer po njegovoj vanjskoj IP adresi, na primjer, na web stranici WhoIs. Lokacija će, međutim, biti lokacija provajdera, međutim, država i grad će biti točno određeni. Pa, onda su u pitanju sitnice: ili poziv provajderu da blokira terminal s kojeg je napravljen neovlašteni pristup, ili krivični slučaj. Izvucite svoje zaključke.

Ako je instaliran program za određivanje lokacije terminala s kojeg se pokušava pristupiti, situacija je još jednostavnija. Ali posljedice mogu biti katastrofalne, jer ne koriste svi anonimizatori ili virtualne proxy servere, a nemaju ni pojma o internetu. Vrijedilo bi naučiti...