Analiza mrežnih paketa. Analizatori mrežnog saobraćaja: pregled plaćenih i besplatnih rješenja. Ključne karakteristike CommView-a

Original: 8 najboljih njuškanja paketa i mrežnih analizatora
Autor: Jon Watson
Datum objave: 22. novembar 2017
Prijevod: A. Krivoshey
Datum prevoda: decembar 2017

Njuškanje paketa je kolokvijalni izraz koji se odnosi na umjetnost analize mrežnog prometa. Suprotno popularnom mišljenju, stvari poput e-pošte i web stranica ne putuju internetom u jednom komadu. Oni su raščlanjeni na hiljade malih paketa podataka i na ovaj način se šalju putem interneta. U ovom članku ćemo pogledati najbolje besplatne mrežne analizatore i njuškare paketa.

Postoji mnogo uslužnih programa koji prikupljaju mrežni promet, a većina njih koristi pcap (na sistemima sličnim Unixu) ili libcap (na Windowsima) kao jezgro. Druga vrsta uslužnih programa pomaže u analizi ovih podataka, jer čak i mala količina saobraćaja može generirati hiljade paketa kojima je teško navigirati. Gotovo svi ovi uslužni programi se malo razlikuju jedni od drugih u prikupljanju podataka, glavne razlike su u načinu na koji analiziraju podatke.

Analiza mrežnog saobraćaja zahtijeva razumijevanje kako mreža funkcionira. Ne postoji alat koji magično zamjenjuje znanje analitičara o osnovama umrežavanja, kao što je TCP 3-way handshake, koji se koristi za iniciranje veze između dva uređaja. Analitičari također moraju imati izvjesno razumijevanje o tipovima mrežnog prometa na mreži koja dobro funkcionira, kao što su ARP i DHCP. Ovo znanje je važno jer će vam analitički alati jednostavno pokazati šta od njih tražite. Na vama je šta ćete tražiti. Ako ne znate kako vaša mreža obično izgleda, može biti teško znati da ste pronašli ono što vam treba u masi paketa koje ste prikupili.

Najbolji njuškari paketa i mrežni analizatori

Industrijski alati

Počnimo od vrha i spustimo se do osnova. Ako se bavite umrežavanjem na nivou preduzeća, potreban vam je veliki pištolj. Iako se gotovo sve oslanja na tcpdump u svojoj srži (više o tome kasnije), alati na nivou preduzeća mogu se pozabaviti određenim lukavim problemima kao što je korelacija prometa sa više servera, pružanje pametnih upita za identifikaciju problema, upozoravanje izuzetaka i generiranje dobrih grafikona koji uvijek upravljaju potražnja....

Poslovni alati su općenito usmjereni na strujanje mrežnog saobraćaja, a ne na procjenu sadržaja paketa. Pod ovim mislim da je glavna briga većine sistemskih administratora u preduzeću da osiguraju da mreža nema uskih grla u performansama. Kada dođe do takvih uskih grla, cilj je obično utvrditi da li je problem uzrokovan mrežom ili aplikacijom na mreži. S druge strane, ovi alati obično mogu podnijeti toliki promet da mogu pomoći u predviđanju kada će segment mreže biti potpuno učitan, što je kritična tačka u upravljanju propusnim opsegom.

To je veoma veliki skup alata za IT upravljanje. U ovom članku je prikladniji uslužni program Deep Packet Inspection and Analysis, koji je njegov sastavni dio. Prikupljanje mrežnog saobraćaja je prilično jednostavno. Sa alatima kao što je WireShark, ni osnovna analiza nije problem. Ali situacija nije uvijek potpuno jasna. Na veoma prometnoj mreži može biti teško definirati čak i vrlo jednostavne stvari kao što su:

Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo web pretraživač) gdje njeni korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?

Većina mrežnih uređaja koristi metapodatke svakog paketa kako bi osigurali da paket ide tamo gdje treba. Sadržaj paketa je nepoznat mrežnom uređaju. Duboka inspekcija paketa je druga stvar; to znači da se provjerava stvarni sadržaj paketa. Na ovaj način možete otkriti kritične informacije o mreži koje se ne mogu prikupiti iz metapodataka. Alati poput onih koje pruža SolarWinds mogu pružiti značajnije podatke od pukog protoka saobraćaja.

Ostale tehnologije za upravljanje mrežama koje zahtijevaju veliku količinu podataka uključuju NetFlow i sFlow. Svaki ima svoje vrline i mane,

Možete pročitati više o NetFlow i sFlow.

Mrežna analiza općenito je vrhunska tema koja se gradi kako na stečenom znanju tako i na osnovu praktičnog iskustva. Moguće je obučiti osobu sa detaljnim poznavanjem mrežnih paketa, ali ako ta osoba nema znanje o samoj mreži, i nema iskustva u otkrivanju anomalija, neće dobro proći. Alati opisani u ovom članku trebali bi koristiti iskusni mrežni administratori koji znaju što žele, ali nisu sigurni koji je uslužni program najbolji. Mogu ih koristiti i manje iskusni sistemski administratori kako bi stekli svakodnevno iskustvo umrežavanja.

Osnove

Glavni alat za prikupljanje mrežnog saobraćaja je

To je aplikacija otvorenog koda koja se instalira na gotovo sve operativne sisteme slične Unixu. Tcpdump je odličan uslužni program za prikupljanje podataka koji ima vrlo sofisticiran jezik za filtriranje. Važno je znati kako filtrirati podatke kada ih prikupljate da biste dobili normalan skup podataka za analizu. Snimanje svih podataka sa mrežnog uređaja, čak i na umjereno zauzetoj mreži, može generirati previše podataka koje će biti vrlo teško analizirati.

U nekim retkim slučajevima biće dovoljno da odštampate snimljene tcpdump podatke direktno na ekran da pronađete ono što vam je potrebno. Na primjer, dok sam pisao ovaj članak, prikupio sam promet i primijetio da moja mašina šalje promet na IP adresu koju ne znam. Ispostavilo se da je moja mašina slala podatke na google IP adresu 172.217.11.142. Pošto nisam imao Google proizvode, a nisam imao otvoren Gmail, nisam znao zašto se to dešava. Provjerio sam svoj sistem i našao sljedeće:

[~] $ ps -ef | grep google korisnik 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = usluga

Ispostavilo se da čak i kada Chrome ne radi, on ostaje da radi kao usluga. Ne bih ovo primijetio bez analize paketa. Presreo sam još nekoliko paketa podataka, ali ovaj put sam dao tcpdump zadatak da zapiše podatke u datoteku, koju sam zatim otvorio u Wiresharku (više o tome kasnije). Ovi unosi su:

Tcpdump je omiljeni alat sysadmina jer je uslužni program komandne linije. Za pokretanje tcpdump nije potreban grafički interfejs. Za proizvodne servere, grafički interfejs je prilično štetan jer troši sistemske resurse, stoga se preferiraju programi komandne linije. Kao i mnogi moderni uslužni programi, tcpdump ima veoma bogat i složen jezik za koji je potrebno neko vreme da se savlada. Nekoliko najosnovnijih naredbi uključuje odabir mrežnog sučelja za prikupljanje podataka i pisanje tih podataka u datoteku kako bi se mogli izvesti za analizu negdje drugdje. Za to se koriste prekidači -i i -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^ C51 paketi uhvaćeni

Ova naredba kreira datoteku sa snimljenim podacima:

Datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)

Standard za ove datoteke je pcap format. To nije tekst, tako da ga mogu analizirati samo programi koji razumiju ovaj format.

3. Windump

Većina korisnih uslužnih programa otvorenog koda završi se kloniranjem u druge operativne sisteme. Kada se to dogodi, kaže se da je aplikacija migrirana. Windump je port za tcpdump i ponaša se na vrlo sličan način.

Najznačajnija razlika između Windump-a i tcpdump-a je u tome što je Windump-u potrebna instalirana Winpcap biblioteka prije pokretanja Windump-a. Iako Windump i Winpcap obezbjeđuje isti održavatelj, potrebno ih je zasebno preuzeti.

Winpcap je biblioteka koja mora biti unaprijed instalirana. Ali Windump je exe datoteka koju ne treba instalirati, tako da je možete jednostavno pokrenuti. Ovo morate imati na umu ako koristite Windows mrežu. Ne morate instalirati Windump na svaku mašinu jer ga možete jednostavno kopirati po potrebi, ali će vam trebati Winpcap da podržava Windup.

Kao i kod tcpdump, Windump može prikazati mrežne podatke za analizu, filtrirati na isti način i pisati podatke u pcap datoteku za kasniju analizu.

4. Wireshark

Wireshark je sljedeći najpoznatiji alat u sysadmin paketu. Ne samo da vam omogućava da snimite podatke, već pruža i neke napredne alate za analizu. Pored toga, Wireshark je otvorenog koda i portiran na skoro sve postojeće serverske operativne sisteme. Pod nazivom Etheral, Wireshark sada radi svuda, uključujući i kao samostalna prenosiva aplikacija.

Ako analizirate promet na GUI serveru, Wireshark može učiniti sve umjesto vas. On može prikupiti podatke i onda sve to analizirati ovdje. Međutim, GUI je rijedak na serverima, tako da možete prikupljati mrežne podatke na daljinu, a zatim ispitati rezultujuću pcap datoteku u Wiresharku na svom računaru.

Prilikom prvog pokretanja, Wireshark vam omogućava da učitate postojeću pcap datoteku ili počnete hvatati promet. U potonjem slučaju, možete dodatno postaviti filtere kako biste smanjili količinu prikupljenih podataka. Ako ne navedete filter, Wireshark će jednostavno prikupiti sve mrežne podatke iz odabranog interfejsa.

Jedna od najkorisnijih karakteristika Wiresharka je mogućnost praćenja streama. Najbolje je razmišljati o toku kao o lancu. Na snimku ekrana ispod možemo vidjeti dosta snimljenih podataka, ali mene je najviše zanimala Google-ova IP adresa. Mogu kliknuti desnim tasterom miša i pratiti TCP tok da vidim cijeli lanac.

Ako je promet uhvaćen na drugom računaru, možete uvesti PCAP datoteku koristeći Wireshark File -> Otvori dijalog. Za uvezene datoteke dostupni su isti filteri i alati kao i za snimljene mrežne podatke.

5.tshark

Tshark je vrlo korisna veza između tcpdump-a i Wiresharka. Tcpdump se ističe u prikupljanju podataka i može hirurški izvući samo podatke koji su vam potrebni, međutim njegove mogućnosti analize podataka su vrlo ograničene. Wireshark radi odličan posao i za snimanje i za raščlanjivanje, ali ima težak korisnički interfejs i ne može se koristiti na serverima bez GUI. Probajte tshark, radi na komandnoj liniji.

Tshark koristi ista pravila filtriranja kao i Wireshark, što ne bi trebalo biti iznenađujuće jer su u suštini isti proizvod. Naredba u nastavku govori tsharku samo da preuzme odredišnu IP adresu kao i neka druga polja od interesa iz HTTP dijela paketa.

# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko1 Firefox / 2010 /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css. rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X11; 0 Linuxo 10 Gerv_0) /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 1 Moz Linux / Moz Linux 172.12 x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 2010001.

Ako želite da upišete promet u datoteku, koristite opciju -W praćenu prekidačem -r (čitaj) da biste je pročitali.

Prvo snimite:

# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^ C

Pročitajte je ovdje ili prenesite na drugo mjesto radi analize.

# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Firefox00 / 57.0 /57.0 / kontakt 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervacije / 172.20.0.122 Mozilla / 5.0 1; 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/jquery_lightbox/jquery.6. js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css / 172.20.0.122 Mozilla / 16 _16 5.0; Firefox / 57.0 /res/images/title.png

Ovo je vrlo zanimljiv alat koji spada u kategoriju alata za mrežnu forenzičku analizu, a ne samo u njuškare. Oblast forenzike uglavnom se bavi istragama i prikupljanjem dokaza, a Network Miner ovaj posao radi sasvim dobro. Baš kao što wireshark može pratiti TCP tok kako bi oporavio cijeli lanac paketa, Network Miner može pratiti TCP tok kako bi oporavio datoteke koje su prebačene preko mreže.

Network Miner se može strateški postaviti na mrežu kako bi mogao promatrati i prikupljati promet koji vas zanima u realnom vremenu. Neće generirati vlastiti promet na mreži, tako da će raditi prikriveno.

Network Miner može raditi i van mreže. Možete koristiti tcpdump da prikupite pakete na određenoj tački na mreži od interesa, a zatim uvezete PCAP datoteke u Network Miner. Zatim možete pokušati oporaviti sve datoteke ili certifikate pronađene u snimljenoj datoteci.

Network Miner je napravljen za Windows, ali uz Mono može raditi na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.

Postoji besplatna verzija, početni nivo, ali sa pristojnim skupom funkcija. Ako su vam potrebne dodatne funkcije kao što su geolokacija i prilagođeno skriptiranje, morat ćete kupiti profesionalnu licencu.

7. Fiddler (HTTP)

Tehnički nije uslužni program za hvatanje mrežnih paketa, ali je toliko nevjerovatno koristan da se našao na ovoj listi. Za razliku od ostalih ovdje navedenih alata, koji su dizajnirani da hvataju mrežni promet iz bilo kojeg izvora, Fiddler je više alat za otklanjanje grešaka. Snima HTTP promet. Iako mnogi pretraživači već imaju ovu mogućnost u svojim programskim alatima, Fiddler nije ograničen na promet pretraživača. Fiddler može uhvatiti bilo koji HTTP promet na vašem računalu, uključujući ne-web aplikacije.

Mnoge desktop aplikacije koriste HTTP za povezivanje sa web servisima, a osim Fiddlera, jedini način da se ovaj promet uhvati za analizu je korištenje alata kao što su tcpdump ili Wireshark. Međutim, oni rade na nivou paketa, tako da je za analizu potrebno obrnuti inženjering ovih paketa u HTTP tokove. Za jednostavno istraživanje može biti potrebno puno posla i tu dolazi Fiddler. Fiddler može pomoći u otkrivanju kolačića, certifikata i drugih korisnih podataka koje šalju aplikacije.

Fiddler je besplatan i, baš kao i Network Miner, može se pokrenuti u mono na skoro svakom operativnom sistemu.

8. Capsa

Capsa Network Analyzer je dostupan u nekoliko izdanja, od kojih svako ima različite mogućnosti. Na prvom nivou, Capsa je besplatna i u suštini vam omogućava da samo zgrabite pakete i uradite osnovnu grafičku analizu. Kontrolna tabla je jedinstvena i može pomoći neiskusnom administratoru sistema da brzo identifikuje probleme sa mrežom. Besplatan nivo je za ljude koji žele da nauče više o paketima i da unaprede svoje veštine analize.

Besplatna verzija vam omogućava da kontrolišete preko 300 protokola, pogodna je za praćenje e-pošte kao i za čuvanje sadržaja e-pošte, takođe podržava trigere koji se mogu koristiti za aktiviranje upozorenja kada se dogode određene situacije. U tom smislu, Capsa se u određenoj mjeri može koristiti kao alat za podršku.

Capsa je dostupna samo za Windows 2008 / Vista / 7/8 i 10.

Zaključak

Nije teško vidjeti kako administrator sistema može koristiti alate koje smo opisali za kreiranje infrastrukture za nadzor mreže. Tcpdump ili Windump se mogu instalirati na svim serverima. Planer, kao što je cron ili Windows planer, započinje sesiju prikupljanja paketa u pravo vrijeme i upisuje prikupljene podatke u pcap datoteku. Sistem administrator tada može prenijeti ove pakete na centralnu mašinu i analizirati ih koristeći wireshark. Ako je mreža prevelika za ovo, dostupni su alati za preduzeća kao što je SolarWinds koji pretvaraju sve mrežne pakete u skup podataka kojim se može upravljati.

Pročitajte druge članke o presretanju i analizi mrežnog prometa :

Dan Nanni, Uslužni programi komandne linije za nadgledanje mrežnog saobraćaja na Linuxu
Paul Cobbaut, administracija Linux sistema. Presretanje mrežnog saobraćaja
Paul Ferrill, 5 Linux alata za praćenje mreže
Pankaj Tanwar, Hvatanje paketa s bibliotekom libpcap
Riccardo Capecchi, Korištenje filtera u Wiresharku
Nathan Willis, Analiza mreže s Wiresharkom
Prashant Phatak,

Najbolji njuškari paketa i mrežni analizatori

Industrijski alati

Koja aplikacija na mreži generira ovaj promet?
- ako je aplikacija poznata (recimo web pretraživač) gdje njeni korisnici provode većinu vremena?
- koje veze su najduže i preopterećuju mrežu?

Ostale tehnologije za upravljanje mrežama koje zahtijevaju veliku količinu podataka uključuju NetFlow i sFlow. Svaki ima svoje vrline i mane,

Možete pročitati više o NetFlow i sFlow.

Osnove

Glavni alat za prikupljanje mrežnog saobraćaja je

[~] $ ps -ef | grep google korisnik 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = usluga

# tcpdump -i eth0 -w tcpdump_packets tcpdump: slušanje na eth0, tip veze EN10MB (Ethernet), veličina snimanja 262144 bajta ^ C51 paketi uhvaćeni

Ova naredba kreira datoteku sa snimljenim podacima:

datoteka tcpdump_packets tcpdump_packets: tcpdump datoteka za snimanje (little-endian) - verzija 2.4 (Ethernet, dužina snimanja 262144)

Standard za ove datoteke je pcap format. To nije tekst, tako da ga mogu analizirati samo programi koji razumiju ovaj format.

3. Windump

Kao i kod tcpdump, Windump može prikazati mrežne podatke za analizu, filtrirati na isti način i pisati podatke u pcap datoteku za kasniju analizu.

4. Wireshark

5.tshark

Ako želite da upišete promet u datoteku, koristite opciju -W praćenu prekidačem -r (čitaj) da biste je pročitali.

Prvo snimite:

# tshark -i eth0 -w tshark_packets Hvatanje na "eth0" 102 ^ C

Pročitajte je ovdje ili prenesite na drugo mjesto radi analize.

Network Miner je napravljen za Windows, ali uz Mono može raditi na bilo kojem OS-u koji podržava Mono platformu, kao što su Linux i MacOS.

7. Fiddler (HTTP)

Fiddler je besplatan i, baš kao i Network Miner, može se pokrenuti u mono na skoro svakom operativnom sistemu.

8. Capsa

Capsa je dostupna samo za Windows 2008 / Vista / 7/8 i 10.

Zaključak

Sniffers mrežnih paketa, ili sniffers, prvobitno su razvijeni kao sredstvo za rješavanje mrežnih problema. Oni znaju presresti, protumačiti i sačuvati pakete koji se prenose preko mreže za kasniju analizu. S jedne strane, omogućava administratorima sistema i inženjerima tehničke podrške da posmatraju kako se podaci prenose preko mreže, dijagnosticiraju i poprave probleme koji se pojave. U tom smislu, njuškanje paketa je moćan alat za dijagnosticiranje mrežnih problema. S druge strane, kao i mnogi drugi moćni alati koji su prvobitno bili namijenjeni administraciji, s vremenom su se snifferi počeli koristiti u potpuno druge svrhe. Zaista, njuškalo u rukama napadača je prilično opasan alat i može se koristiti za krađu lozinki i drugih povjerljivih informacija. Međutim, nemojte misliti da su njuškari neka vrsta magičnog alata putem kojeg svaki haker može lako vidjeti povjerljive informacije koje se prenose preko mreže. I prije nego dokažemo da opasnost od njuškala nije tako velika kao što se često predstavlja, razmotrimo detaljnije principe njihovog funkcioniranja.

Kako rade njuškari paketa

Nadalje, u okviru ovog članka, razmotrit ćemo samo softverske sniffere dizajnirane za Ethernet mreže. Sniffer je program koji radi na sloju mrežne kartice (NIC) (sloj veze) i kradomice presreće sav promet. Pošto njuškari rade na sloju veze podataka OSI modela, ne bi trebali igrati po pravilima protokola višeg sloja. Sniffers zaobilaze mehanizme filtriranja (adrese, portove, itd.) koje Ethernet drajveri i TCP/IP stek koriste za tumačenje podataka. Sniferi paketa hvataju sve što dolazi uz njega iz žice. Njuškači mogu sačuvati okvire u binarnom obliku i kasnije ih dešifrirati kako bi otkrili informacije višeg nivoa skrivene unutra (slika 1).

Da bi sniffer mogao presresti sve pakete koji prolaze kroz mrežni adapter, upravljački program mrežnog adaptera mora podržavati promiskuitetni način rada. U ovom načinu rada mrežnog adaptera njuškalo može presresti sve pakete. Ovaj način rada mrežnog adaptera se automatski aktivira kada se njuškalo pokrene ili se ručno postavlja odgovarajućim postavkama njuškala.

Sav presretnuti saobraćaj se šalje dekoderu paketa, koji identifikuje i deli pakete na odgovarajuće nivoe hijerarhije. Ovisno o mogućnostima određenog sniffera, dostavljene informacije o paketima mogu se kasnije analizirati i filtrirati.

Ograničenja upotrebe njuškala

Snifferi su predstavljali najveću opasnost u ono doba kada su se informacije prenosile preko mreže u čistom (bez enkripcije), a lokalne mreže su građene na bazi koncentratora (hubova). Međutim, ovi dani su nepovratno prošli, a sada upotreba njuškala za pristup povjerljivim informacijama nije lak zadatak.

Činjenica je da pri izgradnji lokalnih mreža baziranih na čvorištima postoji određeni zajednički medij za prenos podataka (mrežni kabl) i svi čvorovi mreže razmjenjuju pakete, koji se takmiče za pristup ovom mediju (slika 2), i paket koji šalje jedna mreža. čvor se prenosi na sve portove čvorišta i ovaj paket slušaju svi ostali hostovi na mreži, ali prihvata se samo host kojem je upućen. Štaviše, ako je njuškalo paketa instalirano na jednom od mrežnih čvorova, tada može presresti sve mrežne pakete koji se odnose na ovaj mrežni segment (mreža koju formira čvorište).

Prekidači su inteligentniji uređaji od čvorišta za emitiranje i izoliraju mrežni promet. Prekidač zna adrese uređaja povezanih na svaki port i samo prenosi pakete između ispravnih portova. Ovo vam omogućava da rasteretite druge portove bez prosljeđivanja svakog paketa na njih, kao što to čini čvorište. Dakle, paket koji je poslao određeni mrežni čvor prenosi se samo na port komutatora na koji je primalac paketa povezan, a svi ostali mrežni čvorovi nisu u mogućnosti da otkriju ovaj paket (slika 3).

Stoga, ako je mreža izgrađena na bazi komutatora, tada njuškalo instalirano na jednom od mrežnih računara može presresti samo one pakete koji se razmenjuju između ovog računara i drugih mrežnih čvorova. Kao rezultat toga, da bi mogli presresti pakete koje računar ili server od interesa za napadača razmenjuje sa ostalim mrežnim čvorovima, potrebno je na ovom računaru (serveru) instalirati sniffer, što zapravo nije tako. jednostavno. Međutim, treba imati na umu da se neki batch snifferi pokreću iz komandne linije i možda nemaju grafičko sučelje. Takvi njuškari se u principu mogu instalirati i pokrenuti na daljinu i nevidljivo za korisnika.

Osim toga, također biste trebali imati na umu da iako svičevi izoliraju mrežni promet, svi upravljani prekidači imaju funkciju prosljeđivanja portova ili zrcaljenja. Odnosno, port komutatora se može konfigurisati na takav način da se svi paketi koji dolaze na druge portove komutatora dupliraju na njega. Ako je u ovom slučaju računar sa njuškarom paketa povezan na takav port, onda on može presresti sve pakete koji se razmenjuju između računara u ovom segmentu mreže. Međutim, obično samo mrežni administrator može konfigurirati prekidač. To, naravno, ne znači da on ne može biti uljez, ali mrežni administrator ima mnogo drugih načina da kontrolira sve korisnike lokalne mreže i teško da će vas špijunirati na tako sofisticiran način.

Drugi razlog zašto njuškari više nisu opasni kao što su bili je taj što su najvažniji podaci sada šifrirani. Otvorene, nešifrovane usluge brzo nestaju sa interneta. Na primjer, kada posjećujete web stranice, SSL (Secure Sockets Layer) protokol se sve više koristi; SFTP (Secure FTP) se koristi umjesto otvorenog FTP-a, a virtuelne privatne mreže (VPN-ovi) se sve više koriste za druge usluge koje standardno ne koriste šifriranje.

Dakle, oni koji su zabrinuti zbog mogućnosti zlonamjerne upotrebe njuškanja paketa trebaju imati na umu sljedeće. Prvo, da bi predstavljali ozbiljnu prijetnju vašoj mreži, njuškari moraju biti smješteni unutar same mreže. Drugo, današnji standardi šifriranja čine izuzetno teškim presretanje povjerljivih informacija. Stoga, u ovom trenutku, njuškari paketa postepeno gube na važnosti kao alati za hakere, ali u isto vrijeme ostaju djelotvoran i moćan alat za dijagnosticiranje mreža. Štaviše, njuškari se mogu uspješno koristiti ne samo za dijagnosticiranje i lokalizaciju mrežnih problema, već i za reviziju mrežne sigurnosti. Konkretno, upotreba analizatora paketa omogućava otkrivanje neovlaštenog prometa, otkrivanje i identifikaciju neovlaštenog softvera, identifikaciju neiskorištenih protokola za njihovo uklanjanje iz mreže, generiranje prometa za testove penetracije radi provjere sigurnosnog sistema, rad sa sistemima za otkrivanje upada ( Intrusion Detection Sistem, IDS).

Pregled softverskih paketnih sniffera

Svi softverski njuškači mogu se grubo podijeliti u dvije kategorije: njuškači koji podržavaju pokretanje iz komandne linije i njuškači koji imaju grafičko sučelje. Istovremeno, napominjemo da postoje njuškari koji kombinuju obje ove mogućnosti. Osim toga, snifferi se razlikuju jedni od drugih po protokolima koje podržavaju, po dubini analize presretnutih paketa, po mogućnosti konfigurisanja filtera, kao i po mogućnosti kompatibilnosti sa drugim programima.

Obično se prozor bilo kojeg sniffera sa grafičkim sučeljem sastoji od tri područja. Prvi prikazuje sažetak uhvaćenih paketa. Tipično, ovo područje prikazuje minimum polja, i to: vrijeme hvatanja paketa; IP adrese pošiljaoca i primaoca paketa; Izvorne i odredišne MAC adrese paketa, adrese izvornog i odredišnog porta; tip protokola (mrežni, transportni ili aplikacijski sloj); neke sažete informacije o presretnutim podacima. Drugo područje prikazuje statističke informacije o pojedinačnom odabranom paketu, a na kraju, u trećem dijelu, paket je predstavljen u heksadecimalnom ili ASCII obliku znakova.

Gotovo svi njuškari paketa omogućavaju vam analizu dekodiranih paketa (zbog čega se njuškači paketa nazivaju i analizatori paketa ili analizatori protokola). Sniffer distribuira uhvaćene pakete po sloju i protokolu. Neki njuškari paketa mogu prepoznati protokol i prikazati presretnute informacije. Ova vrsta informacija se obično prikazuje u drugom dijelu prozora za njuškanje. Na primjer, bilo koji sniffer je sposoban prepoznati TCP protokol, a napredni snifferi mogu odrediti koja aplikacija generiše ovaj promet. Većina analizatora protokola prepoznaje preko 500 različitih protokola i može ih opisati i dekodirati imenom. Što više informacija njuškalo može da dekodira i prikaže na ekranu, to će manje morati da dekodira ručno.

Jedan od problema sa kojima se mogu suočiti analizatori paketa je nemogućnost da se ispravno identifikuje protokol koristeći port koji nije podrazumevani port. Na primjer, radi poboljšanja sigurnosti, neke dobro poznate aplikacije mogu biti konfigurirane da koriste portove koji nisu zadani. Dakle, umjesto tradicionalnog porta 80, rezerviranog za web server, ovaj server se može prisilno rekonfigurirati na port 8088 ili na bilo koji drugi. Neki analizatori paketa u takvoj situaciji nisu u mogućnosti da ispravno odrede protokol i prikažu samo informacije o protokolu nižeg sloja (TCP ili UDP).

Postoje softverski snifferi koji dolaze sa softverskim analitičkim modulima kao dodaci ili ugrađeni moduli koji vam omogućavaju da kreirate izvještaje s korisnim analitičkim informacijama o presretnutom prometu.

Još jedna karakteristika većine softvera za njuškanje paketa je mogućnost konfigurisanja filtera prije i nakon hvatanja prometa. Filteri odabiru određene pakete iz općeg prometa prema datom kriteriju, što vam omogućava da se riješite nepotrebnih informacija prilikom analize prometa.

Potreba za analizom mrežnog saobraćaja može se pojaviti iz nekoliko razloga. Kontrola kompjuterske sigurnosti, otklanjanje grešaka u lokalnoj mreži, kontrola odlaznog saobraćaja radi optimizacije rada zajedničke internet konekcije - svi ovi zadaci su često na dnevnom redu sistemskih administratora i običnih korisnika. Za njihovo rješavanje postoje brojni uslužni programi, koji se nazivaju sniffers, kako specijalizirani, usmjereni na rješavanje uskog spektra zadataka, tako i višenamjenski "kombajni" koji korisniku pružaju širok izbor alata. Jedan od predstavnika ove druge grupe, odnosno uslužni program CommView iz kompanije, predstavljen je u ovom članku. Program vam omogućava da vizuelno vidite kompletnu sliku saobraćaja koji prolazi kroz računar ili segment lokalne mreže; Konfigurabilni alarmni sistem omogućava vam da upozorite na prisustvo sumnjivih paketa u saobraćaju, pojavu čvorova sa nenormalnim adresama u mreži ili povećanje opterećenja mreže.

CommView pruža mogućnost čuvanja statistike o svim IP konekcijama, dekodiranja IP paketa na niži nivo i njihove analize. Ugrađeni sistem filtera po nekoliko parametara omogućava vam da konfigurišete praćenje samo za potrebne pakete, što njihovu analizu čini efikasnijom. Program može prepoznati pakete više od sedam desetina najčešćih protokola (uključujući DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, itd.), kao i da ih sačuvate u fajlovima za kasniju analizu. Mnogi drugi alati, kao što je identifikacija proizvođača mrežnog adaptera prema MAC adresi, HTML rekonstrukcija i daljinsko hvatanje paketa pomoću opcionog CommView Remote Agent uslužnog programa, također mogu biti od pomoći u određenim slučajevima.

Rad sa programom

Prvo morate odabrati mrežni interfejs na kojem će se pratiti promet.

CommView podržava skoro sve vrste Ethernet adaptera - 10, 100 i 1000 Mbps, kao i analogne modeme, xDSL, Wi-Fi, itd. Analizom saobraćaja Ethernet adaptera, CommView može presresti ne samo dolazne i odlazne, već i tranzitni paketi adresirali su bilo koji od računara u segmentu lokalne mreže. Vrijedi napomenuti da ako je zadatak pratiti sav promet na segmentu lokalne mreže, onda je potrebno da se računala u njemu povezuju preko čvorišta, a ne preko prekidača. Neki moderni modeli prekidača imaju zrcaljenje portova, što im omogućava da se konfigurišu i za nadgledanje mreže koristeći CommView. Možete pročitati više o tome. Nakon što odaberete željenu vezu, možete početi sa snimanjem paketa. Tasteri za pokretanje i zaustavljanje snimanja nalaze se u blizini linije za odabir interfejsa. Da biste radili sa kontrolerom daljinskog pristupa, VPN-om i PPPoE tokom instalacije programa, morate instalirati odgovarajući drajver.

Glavni prozor programa podijeljen je na nekoliko kartica koje su odgovorne za jedno ili drugo područje rada. Prvi, "Trenutne IP veze", prikazuje detaljne informacije o trenutnim IP konekcijama računara. Ovdje možete vidjeti lokalne i udaljene IP adrese, broj odaslanih i primljenih paketa, smjer prijenosa, broj uspostavljenih IP sesija, portove, ime hosta (ako funkcija DNS prepoznavanja nije onemogućena u postavkama programa) , i naziv procesa koji prima ili prenosi paket ove sesije. Potonje informacije nisu dostupne za tranzitne pakete, niti na računarima koji koriste Windows 9x / ME.

Kartica Trenutne IP veze

Ako desnom tipkom miša kliknete vezu, otvara se kontekstni meni u kojem možete pronaći alate koji olakšavaju analizu veza. Ovdje možete vidjeti količinu podataka prenesenih unutar veze, kompletnu listu korištenih portova, detaljne informacije o procesu koji prima ili prenosi pakete ove sesije. CommView vam omogućava da kreirate pseudonime za MAC i IP adrese. Na primjer, postavljanjem pseudonima umjesto glomaznih digitalnih adresa mašina na lokalnoj mreži, možete dobiti lako čitljiva i pamtljiva imena računala i na taj način olakšati analizu veza.

Da biste kreirali pseudonim za IP adresu, u kontekstnom meniju u nizu izaberite stavke "Kreiraj pseudonim" i "koristeći lokalni IP" ili "koristeći udaljenu IP adresu". U prozoru koji se pojavi, polje IP adrese će već biti popunjeno, a preostaje samo da unesete odgovarajuće ime. Ako se novi unos IP imena kreira desnim klikom na paket, polje imena se automatski popunjava imenom hosta (ako je dostupno) i može se uređivati. Rad sa MAC aliasima je isti.

Iz istog menija, odabirom SmartWhois, možete poslati odabranu izvornu ili odredišnu IP adresu u SmartWhois, samostalnu Tamosoft aplikaciju koja prikuplja informacije o bilo kojoj IP adresi ili nazivu hosta, kao što su naziv mreže, domena, država, država ili pokrajina , grad i pruža ga korisniku.

Druga kartica, "Paketi", prikazuje sve pakete snimljene na odabranom mrežnom interfejsu i detaljne informacije o njima.

Kartica Paketi

Prozor je podijeljen na tri dijela. Prvi prikazuje listu svih uhvaćenih paketa. Ako odaberete jedan od paketa u njemu tako što ćete kliknuti na njega pokazivačem miša, ostatak prozora će prikazati informacije o njemu. Prikazuje broj paketa, protokol, Mac i IP adrese hosta koji šalje i prima, korištene portove i vrijeme pojavljivanja paketa.

Srednji dio prikazuje sadržaj paketa - heksadecimalno ili tekstualno. U potonjem slučaju, znakovi koji se ne mogu ispisati zamjenjuju se tačkama. Ako je nekoliko paketa istovremeno odabrano u gornjem dijelu, tada će srednji prozor pokazati ukupan broj odabranih paketa, njihovu ukupnu veličinu, kao i vremenski interval između prvog i posljednjeg paketa.

Donji prozor prikazuje dekodirane detaljne informacije o odabranom paketu.

Klikom na jedan od tri gumba u donjem desnom dijelu prozora, možete odabrati poziciju prozora za dekodiranje: u donjem dijelu, ili poravnati lijevo ili desno. Druga dva dugmeta vam omogućavaju da automatski skočite na poslednji primljeni paket i sačuvate izabrani paket u vidljivom delu liste.

Kontekstni meni vam omogućava da kopirate MAC, IP adrese i čitave pakete u međuspremnik, dodelite pseudonime, primenite brzi filter za odabir potrebnih paketa, a takođe koristite alate za rekonstrukciju TCP sesije i generator paketa.

Alat za rekonstrukciju TCP sesije omogućava vam da vidite proces komunikacije između dva hosta preko TCP-a. Da bi sadržaj sesije izgledao razumljivije, potrebno je odabrati odgovarajuću "logiku prikaza". Ova funkcija je najkorisnija za oporavak tekstualnih informacija kao što su HTML ili ASCII.

Rezultirajući podaci se mogu izvesti kao tekstualni, RTF ili binarni fajl.

Kartica Datoteke evidencije... Ovdje možete konfigurirati postavke za spremanje uhvaćenih paketa u datoteku. CommView čuva datoteke dnevnika u svom NCF formatu; da biste ih pregledali, koristi se ugrađeni uslužni program koji se može pokrenuti iz menija "Datoteka".

Moguće je omogućiti automatsko čuvanje presretnutih paketa kako stignu, evidentiranje HTTP sesija u TXT i HTML formatima, spremanje, brisanje, spajanje i razdvajanje log fajlova. Imajte na umu da se paket ne pohranjuje odmah po dolasku, tako da ako pregledate datoteku dnevnika u realnom vremenu, vjerovatno neće sadržavati najnovije pakete. Da bi program odmah poslao bafer u datoteku, potrebno je da kliknete na dugme „Završi snimanje“.

U kartici "pravila" možete postaviti uslove za presretanje ili ignorisanje paketa.

Da biste olakšali odabir i analizu potrebnih paketa, možete koristiti pravila filtriranja. Takođe će pomoći da se značajno smanji količina sistemskih resursa koje koristi CommView.

Da biste omogućili bilo koje pravilo, morate odabrati odgovarajući odjeljak na lijevoj strani prozora. Dostupno je sedam vrsta pravila: jednostavna - "Protokoli i smjer", "Mac adrese", "IP adrese", "Portovi", "Tekst", "TCP zastavice", "Proces", kao i univerzalno pravilo " Formule". Za svako od jednostavnih pravila možete odabrati pojedinačne parametre, kao što je izbor smjera ili protokola. Generičko pravilo formule je moćan i fleksibilan mehanizam za kreiranje filtera koristeći Booleovu logiku. Detaljnu referencu o njegovoj sintaksi možete pronaći.

Tab "Upozorenja" pomoći će vam da konfigurirate postavke za obavještenja o različitim događajima koji se dešavaju u proučavanom segmentu mreže.

Kartica Upozorenja vam omogućava da kreirate, izmenite, izbrišete pravila upozorenja i pregledate trenutne događaje koji odgovaraju tim pravilima

Da biste postavili pravilo upozorenja, klikom na dugme "Dodaj..." u prozoru koji se otvori izaberite potrebne uslove po čijoj pojavi će se obaveštenje pokrenuti, kao i način obaveštavanja korisnika o ovom.

CommView vam omogućava da definirate sljedeće vrste praćenih događaja:

"Pronalaženje paketa" koji odgovara navedenoj formuli. Sintaksa formule je detaljno opisana u korisničkom priručniku;
Bajtova u sekundi. Ovo upozorenje će se aktivirati kada se premaši navedeno opterećenje mreže;
Paketi u sekundi. Aktivira se kada se premaši specificirani nivo brzine prenosa paketa;
Emisije u sekundi. Isto, samo za pakete emitovanja;
Multicast u sekundi je isti za multicast pakete.
Nepoznata MAC adresa. Ovo upozorenje se može koristiti za otkrivanje povezivanja nove ili neovlaštene opreme na mrežu tako što ćete unaprijed postaviti listu poznatih adresa koristeći opciju "Konfiguriraj";
upozorenje "Nepoznata IP adresa" će se pokrenuti prilikom presretanja paketa sa nepoznatim izvornim ili odredišnim IP adresama. Ako unaprijed definirate listu poznatih adresa, možete koristiti ovo upozorenje da otkrijete neovlaštene veze putem vašeg korporativnog zaštitnog zida.

CommView ima moćan alat za vizualizaciju statistike prometa. Da biste otvorili prozor sa statistikom, potrebno je da izaberete stavku istog imena iz menija "Pregled".

Prozor statistike u "General" modu

U ovom prozoru možete vidjeti statistiku mrežnog prometa: ovdje možete vidjeti broj paketa u sekundi, bajtova u sekundi, distribuciju Etherneta, IP-a i podprotokola. Dijagrami se mogu kopirati u međuspremnik, što će vam pomoći ako trebate kreirati izvještaje.

Dostupnost, cijena, sistemski zahtjevi

Trenutna verzija programa je CommView 5.1. Sa Tamosoft web stranice moguće je, koja će biti operativna 30 dana.

Programer nudi kupcima dvije opcije licence:

Home License (kućna licenca), vrijedna 2000 rubalja, daje pravo korištenja programa kod kuće na nekomercijalnoj osnovi, dok je broj hostova dostupnih za praćenje na vašoj kućnoj mreži ograničen na pet. Pod ovom vrstom licence nije dozvoljen rad na daljinu koristeći Remote Agent.
Enterprise License (korporativna, cijena - 10.000 rubalja) daje pravo na komercijalnu i nekomercijalnu upotrebu programa od strane jedne osobe koja lično koristi program na jednoj ili više mašina. Program se također može instalirati na jednu radnu stanicu i koristiti od strane više ljudi, ali ne istovremeno.

Aplikacija radi u Windows 98 / Me / NT / 2000 / XP / 2003 operativnim sistemima. Da biste radili, potreban vam je mrežni adapter Ethernet, bežični Ethernet, Token Ring sa podrškom za NDIS 3.0 standard ili standardni kontroler za daljinski pristup.

Pros:

lokalizirano sučelje;
odličan sistem pomoći;
podrška za različite vrste mrežnih adaptera;
napredna analiza paketa i alati za otkrivanje protokola;
vizualizacija statistike;
funkcionalni sistem upozorenja.

minusi:

previsoka cijena;
nedostatak unapred podešenih pravila i upozorenja za presretanje;
nije baš zgodan mehanizam za odabir paketa na kartici "Paketi".

Zaključak

Njegova odlična funkcionalnost i korisničko sučelje čine CommView nezamjenjivim alatom za LAN administratore, ISP-ove i kućne korisnike. Bio sam zadovoljan temeljnim pristupom programera ruskoj lokalizaciji paketa: i interfejs i referentni priručnik su napravljeni na veoma visokom nivou. Slika je donekle zamračena zbog visoke cijene programa, ali tridesetodnevna probna verzija pomoći će potencijalnom kupcu da odluči o preporučljivosti kupovine ovog uslužnog programa.

Mnogi korisnici kompjuterskih mreža, općenito, nisu upoznati s konceptom kao što je "njuškalo". Pokušaćemo da definišemo šta je njuškalo, jednostavnim rečima nespremnog korisnika. Ali prvo, ipak morate proniknuti u predodređenje samog pojma.

Sniffer: šta je njuškalo u smislu engleskog i kompjuterske tehnologije?

Zapravo, uopće nije teško odrediti suštinu takvog softverskog ili hardversko-softverskog kompleksa, ako samo prevedete pojam.

Ovo ime dolazi od engleske riječi sniff (njušiti). Otuda i značenje pojma na ruskom jeziku "njuškalo". Šta je njuškalo u našem razumijevanju? „Njuškalo“ sposobno da nadgleda korišćenje mrežnog saobraćaja, ili, drugim rečima, špijun koji može da ometa rad lokalnih ili internet orijentisanih mreža, izvlačeći informacije koje su mu potrebne na osnovu pristupa putem TCP/IP prenosa podataka protokoli.

Analizator saobraćaja: kako radi?

Odmah da rezervišemo: njuškalo, bilo da se radi o softverskoj ili uslovno-softverskoj komponenti, sposobno je da analizira i presreće saobraćaj (prenesene i primljene podatke) isključivo preko mrežnih kartica (Ethernet). Šta se dešava?

Mrežno sučelje ne ispada uvijek zaštićeno firewall-om (opet, softverom ili hardverom), pa stoga presretanje prenesenih ili primljenih podataka postaje samo stvar tehnologije.

Unutar mreže informacije se prenose u segmentima. U okviru jednog segmenta, paketi podataka bi trebalo da se šalju na apsolutno sve uređaje koji su povezani na mrežu. Informacije o segmentima prosleđuju se ruterima (ruterima), a zatim prekidačima (prekidačima) i čvorištima (hubovima). Informacije se šalju dijeljenjem paketa tako da krajnji korisnik prima sve dijelove paketa sa potpuno različitih ruta. Dakle, "slušanje" svih potencijalno mogućih ruta od jednog do drugog pretplatnika ili interakcija internetskog resursa s korisnikom može omogućiti ne samo pristup nešifriranim informacijama, već i nekim tajnim ključevima, koji se također mogu poslati u takvoj interakciji. proces. I ovdje se ispostavlja da je mrežni interfejs potpuno nezaštićen, jer interveniše treća strana.

Dobre namjere i zlonamjerni ciljevi?

Njuškalice se mogu koristiti za štetu i dobro. Da ne spominjemo negativan utjecaj, vrijedi napomenuti da takve hardverske i softverske sisteme često koriste administratori sistema koji pokušavaju pratiti radnje korisnika ne samo na mreži, već i njihovo ponašanje na Internetu u smislu posjećenih resursa, aktiviranih preuzimanja na kompjutere ili slanje sa njih....

Tehnika koju koristi mrežni analizator je prilično jednostavna. Sniffer određuje odlazni i dolazni promet automobila. Ovo nije interna ili eksterna IP adresa. Najvažniji kriterijum je takozvana MAC adresa, koja je jedinstvena za svaki uređaj povezan na globalnu mrežu. Na njemu se identifikuje svaka mašina na mreži.

Vrste njuškala

Ali po vrsti se mogu podijeliti u nekoliko glavnih:

hardver;
softver;
hardver i softver;
online applets.

Detekcija ponašanja prisustva njuškala u mreži

Možete otkriti isti WiFi njuškalo po opterećenju mreže. Ako vidite da prijenos podataka ili veza nije na nivou koji je deklarirao provajder (ili ruter dozvoljava), obratite pažnju na to odmah.

S druge strane, ISP također može pokrenuti softverski sniffer za praćenje prometa bez znanja korisnika. Ali, po pravilu, korisnik ni ne zna za to. S druge strane, organizacija koja pruža komunikacijske usluge i internet veze na taj način garantuje korisniku potpunu sigurnost u smislu presretanja poplava, samoinstalirajućih klijenata heterogenih trojanaca, špijunskog softvera itd. Ali takvi alati su prije softverski i nemaju poseban učinak na mrežu ili korisničke terminale.

Online resursi

Online analizator saobraćaja može biti posebno opasan. Primitivni kompjuterski sistem hakovanja izgrađen je na upotrebi njuškala. Tehnologija se u svom najjednostavnijem obliku svodi na činjenicu da se kreker u početku registruje na određenom resursu, a zatim postavlja sliku na stranicu. Nakon potvrde preuzimanja, izdaje se link do internetskog njuškala, koji se šalje potencijalnoj žrtvi, na primjer, u obliku e-maila ili iste SMS-poruke s tekstom poput „Primili ste čestitku od nekoga . Da otvorite sliku (razglednicu), kliknite na link."

Naivni korisnici kliknu na navedenu hipervezu, zbog čega se aktivira identifikacija i prijenos vanjske IP adrese napadaču. Ako postoji odgovarajuća aplikacija, on ne samo da će moći da vidi sve podatke pohranjene na računaru, već će i lako promijeniti postavke sistema izvana, što lokalni korisnik neće ni pretpostaviti, uzimajući takvu promjenu za efekt virusa. Da, samo skener će dati nula prijetnji tokom skeniranja.

Kako se zaštititi od presretanja podataka?

Bilo da je u pitanju WiFi njuškalo ili bilo koji drugi analizator, još uvijek postoje sistemi za zaštitu od neovlaštenog skeniranja prometa. Postoji samo jedan uslov: potrebno ih je instalirati samo pod uslovom potpunog povjerenja u "prisluškivanje".

Takvi softverski alati se najčešće nazivaju "anti-sniffers". Ali ako razmislite o tome, ovo su isti njuškari koji analiziraju promet, ali blokiraju druge programe koji pokušavaju doći

Otuda i legitimno pitanje: isplati li se instalirati takav softver? Možda će hakiranje od strane hakera učiniti još više štete, ili će sam blokirati ono što bi trebalo funkcionirati?

U najjednostavnijem slučaju sa Windows sistemima, bolje je koristiti ugrađeni zaštitni zid (firewall) kao zaštitu. Ponekad može doći do sukoba s instaliranim antivirusom, ali češće se to odnosi samo na besplatne pakete. Profesionalne kupljene ili mjesečno aktivirane verzije nemaju takve nedostatke.

Umjesto pogovora

To je sve što postoji u pojmu "njuškalo". Čini se da su mnogi već shvatili šta je njuškalo. Konačno, pitanje ostaje drugačije: koliko će takve stvari ispravno koristiti običan korisnik? I tada se zapravo među mladim korisnicima ponekad može primijetiti sklonost kompjuterskom huliganizmu. Smatraju da je hakovanje tuđeg "kompjutera" nešto poput zanimljivog takmičenja ili samopotvrđivanja. Nažalost, niko od njih i ne razmišlja o posljedicama, a vrlo je lako identificirati napadača koristeći isti internet sniffer po njegovoj vanjskoj IP adresi, na primjer, na web stranici WhoIs. Međutim, kao lokacija će biti naznačena lokacija provajdera, ali će država i grad biti tačno određeni. Pa, onda je stvar mala: ili poziv provajderu kako bi se blokirao terminal s kojeg je neovlašten pristup napravljen, ili sudski spor. Izvucite svoje zaključke.

Sa instaliranim programom za određivanje lokacije terminala sa kojeg se pokušava pristupiti situacija je još jednostavnija. Ali posljedice mogu biti katastrofalne, jer ne koriste svi korisnici te anonimizatore ili virtuelne proxy servere i nemaju pojma o internetu. I vrijedilo bi naučiti...