Analiza pachetelor de rețea. Analizoare de trafic de rețea: revizuirea soluțiilor plătite și gratuite. Caracteristici cheie CommView

Original: 8 cele mai bune sniffer de pachete și analizoare de rețea
Autor: Jon Watson
Data publicării: 22 noiembrie 2017
Traducere: A. Krivoshey
Data transferului: decembrie 2017

Packet sniffing este un termen colocvial care se referă la arta de a analiza traficul de rețea. Contrar credinței populare, lucruri precum e-mailurile și paginile web nu călătoresc pe internet dintr-o singură bucată. Acestea sunt împărțite în mii de pachete de date mici și astfel trimise prin Internet. În acest articol, ne vom uita la cele mai bune analizoare de rețea și sniffer de pachete gratuite.

Există multe utilitare care colectează trafic de rețea, iar cele mai multe dintre ele folosesc pcap (pe sisteme asemănătoare Unix) sau libcap (pe Windows) ca bază. Un alt tip de utilitate ajută la analiza acestor date, deoarece chiar și o cantitate mică de trafic poate genera mii de pachete greu de navigat. Aproape toate aceste utilități diferă puțin unele de altele în colectarea datelor, principalele diferențe fiind în modul în care analizează datele.

Analiza traficului de rețea necesită înțelegerea modului în care funcționează rețeaua. Nu există nicio unealtă care să poată înlocui în mod magic cunoștințele unui analist despre fundamentele rețelei, cum ar fi „strângerea de mână în trei direcții” TCP care este folosită pentru a iniția o conexiune între două dispozitive. De asemenea, analiștii trebuie să înțeleagă tipurile de trafic de rețea dintr-o rețea care funcționează normal, cum ar fi ARP și DHCP. Aceste cunoștințe sunt importante deoarece instrumentele de analiză vă vor arăta pur și simplu ceea ce le cereți să facă. Depinde de tine să decizi ce să ceri. Dacă nu știți cum arată de obicei rețeaua dvs., poate fi dificil să știți că ați găsit ceea ce aveți nevoie în masa de pachete pe care le-ați colectat.

Cele mai bune sniffer de pachete și analizoare de rețea

Unelte industriale

Să începem de la vârf și apoi să ne coborâm la elementele de bază. Dacă aveți de-a face cu o rețea la nivel de întreprindere, veți avea nevoie de o armă mare. În timp ce aproape totul folosește tcpdump la bază (mai multe despre asta mai târziu), instrumentele de nivel enterprise pot rezolva anumite probleme complexe, cum ar fi corelarea traficului de pe mai multe servere, furnizarea de interogări inteligente pentru a identifica probleme, alerte despre excepții și crearea de grafice bune, care este ceea ce cer mereu șefii.

Instrumentele la nivel de întreprindere sunt de obicei orientate spre fluxul de trafic de rețea, mai degrabă decât spre evaluarea conținutului pachetelor. Prin aceasta vreau să spun că obiectivul principal al majorității administratorilor de sistem din întreprindere este să se asigure că rețeaua nu are blocaje de performanță. Când apar astfel de blocaje, scopul este de obicei de a determina dacă problema este cauzată de rețea sau de o aplicație din rețea. Pe de altă parte, aceste instrumente pot gestiona de obicei atât de mult trafic încât pot ajuta la prezicerea când un segment de rețea va fi complet încărcat, un punct critic în gestionarea lățimii de bandă a rețelei.

Acesta este un set foarte mare de instrumente de management IT. În acest articol, utilitarul Deep Packet Inspection and Analysis, care este componenta sa, este mai potrivit. Colectarea traficului de rețea este destul de simplă. Cu instrumente precum WireShark, nici analiza de bază nu este o problemă. Dar situația nu este întotdeauna complet clară. Într-o rețea foarte aglomerată, poate fi dificil să determinați chiar și lucruri foarte simple, cum ar fi:

Ce aplicație din rețea generează acest trafic?
- dacă o aplicație este cunoscută (să zicem un browser web), unde își petrec utilizatorii cea mai mare parte a timpului?
- care conexiuni sunt cele mai lungi și supraîncărcă rețeaua?

Majoritatea dispozitivelor din rețea folosesc metadatele fiecărui pachet pentru a se asigura că pachetul ajunge acolo unde trebuie. Conținutul pachetului este necunoscut dispozitivului de rețea. Un alt lucru este inspecția profundă a pachetelor; aceasta înseamnă că conținutul real al pachetului este verificat. În acest fel, puteți descoperi informații critice de rețea care nu pot fi culese din metadate. Instrumente precum cele oferite de SolarWinds pot oferi date mai semnificative decât doar fluxul de trafic.

Alte tehnologii pentru gestionarea rețelelor cu consum mare de date includ NetFlow și sFlow. Fiecare are propriile sale puncte forte și puncte slabe,

Puteți afla mai multe despre NetFlow și sFlow.

Analiza rețelei în general este un subiect avansat care se bazează atât pe cunoștințele dobândite, cât și pe experiența practică de lucru. Puteți antrena o persoană să aibă cunoștințe detaliate despre pachetele de rețea, dar dacă persoana respectivă nu cunoaște rețeaua în sine și are experiență în identificarea anomaliilor, nu se va descurca prea bine. Instrumentele descrise în acest articol ar trebui să fie folosite de administratori de rețea experimentați, care știu ce vor, dar nu sunt siguri care este cel mai bun utilitar. Ele pot fi, de asemenea, folosite de administratori de sistem mai puțin experimentați pentru a câștiga experiență de zi cu zi în rețea.

Bazele

Instrumentul principal pentru colectarea traficului de rețea este

Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un utilitar excelent de colectare a datelor care are un limbaj de filtrare foarte sofisticat. Este important să știți cum să filtrați datele atunci când le colectați pentru a ajunge la un set normal de date pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate genera prea multe date care sunt foarte greu de analizat.

În unele cazuri rare, va fi suficient să imprimați datele capturate tcpdump direct pe ecran pentru a găsi ceea ce aveți nevoie. De exemplu, în timp ce scriam acest articol, am colectat trafic și am observat că aparatul meu trimitea trafic la o adresă IP pe care nu o cunoșteam. Se pare că aparatul meu trimitea date la adresa IP Google 172.217.11.142. Deoarece nu aveam niciun produs Google și Gmail nu era deschis, nu știam de ce se întâmpla asta. Mi-am verificat sistemul și am găsit următoarele:

[ ~ ]$ ps -ef | utilizator grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Se dovedește că, chiar și atunci când Chrome nu rulează, acesta rămâne să ruleze ca serviciu. Nu aș fi observat acest lucru fără analiza pachetelor. Am mai capturat câteva pachete de date, dar de data aceasta i-am dat tcpdump sarcina de a scrie datele într-un fișier, pe care l-am deschis apoi în Wireshark (mai multe despre asta mai târziu). Acestea sunt intrările:

Tcpdump este un instrument preferat al administratorilor de sistem, deoarece este un utilitar de linie de comandă. Rularea tcpdump nu necesită o interfață grafică. Pentru serverele de producție, interfața grafică este destul de dăunătoare, deoarece consumă resurse de sistem, așa că sunt de preferat programele de linie de comandă. La fel ca multe utilitare moderne, tcpdump are un limbaj foarte bogat și complex, care necesită ceva timp pentru a fi stăpânit. Câteva comenzi de bază implică selectarea unei interfețe de rețea pentru a colecta date și scrierea acestor date într-un fișier, astfel încât să poată fi exportate pentru analiză în altă parte. Comutatoarele -i și -w sunt folosite pentru aceasta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: ascultare pe eth0, tip link EN10MB (Ethernet), dimensiune captură 262144 octeți ^C51 pachete capturate

Această comandă creează un fișier cu datele capturate:

Fișier tcpdump_packets tcpdump_packets: fișier de captură tcpdump (little-endian) - versiunea 2.4 (Ethernet, lungime de captură 262144)

Standardul pentru astfel de fișiere este formatul pcap. Nu este text, deci poate fi analizat doar folosind programe care înțeleg acest format.

3.Windump

Cele mai utile utilități open source ajung să fie clonate în alte sisteme de operare. Când se întâmplă acest lucru, se spune că aplicația a fost migrată. Windump este un port al tcpdump și se comportă într-un mod foarte similar.

Cea mai semnificativă diferență dintre Windump și tcpdump este că Windump are nevoie de biblioteca Winpcap instalată înainte de a rula Windump. Chiar dacă Windump și Winpcap sunt furnizate de același întreținător, acestea trebuie descărcate separat.

Winpcap este o bibliotecă care trebuie preinstalată. Dar Windump este un fișier exe care nu trebuie instalat, așa că îl puteți rula. Acesta este ceva de reținut dacă utilizați o rețea Windows. Nu trebuie să instalați Windump pe fiecare mașină, deoarece îl puteți copia doar după cum este necesar, dar veți avea nevoie de Winpcap pentru a suporta Windup.

Ca și în cazul tcpdump, Windump poate afișa date de rețea pentru analiză, poate filtra în același mod și, de asemenea, poate scrie datele într-un fișier pcap pentru analize ulterioare.

4. Wireshark

Wireshark este următorul instrument cel mai faimos din cutia de instrumente a unui administrator de sistem. Nu numai că vă permite să capturați date, ci oferă și câteva instrumente avansate de analiză. În plus, Wireshark este open source și a fost portat pe aproape toate sistemele de operare server existente. Numit Etheral, Wireshark rulează acum peste tot, inclusiv ca aplicație autonomă, portabilă.

Dacă analizezi traficul pe un server cu o interfață grafică, Wireshark poate face totul pentru tine. Poate colecta date și apoi le poate analiza pe toate chiar acolo. Cu toate acestea, GUI-urile sunt rare pe servere, așa că puteți colecta date de rețea de la distanță și apoi puteți examina fișierul pcap rezultat în Wireshark pe computer.

Când lansați pentru prima dată Wireshark, puteți fie să încărcați un fișier pcap existent, fie să executați o captură de trafic. În acest din urmă caz, puteți seta suplimentar filtre pentru a reduce cantitatea de date colectate. Dacă nu specificați un filtru, Wireshark va colecta pur și simplu toate datele de rețea din interfața selectată.

Una dintre cele mai utile caracteristici ale Wireshark este capacitatea de a urmări un flux. Cel mai bine este să vă gândiți la un fir ca la un lanț. În captura de ecran de mai jos putem vedea o mulțime de date capturate, dar ceea ce m-a interesat cel mai mult a fost adresa IP a Google. Pot să dau clic dreapta și să urmăresc fluxul TCP pentru a vedea întregul lanț.

Dacă traficul a fost capturat pe alt computer, puteți importa fișierul PCAP utilizând dialogul Wireshark File -> Open. Aceleași filtre și instrumente sunt disponibile pentru fișierele importate ca și pentru datele de rețea capturate.

5.rechin

Tshark este o legătură foarte utilă între tcpdump și Wireshark. Tcpdump este superior la colectarea datelor și poate extrage chirurgical doar datele de care aveți nevoie, cu toate acestea capacitățile sale de analiză a datelor sunt foarte limitate. Wireshark este excelent atât la captură, cât și la analiză, dar are o interfață de utilizator grea și nu poate fi folosit pe servere fără GUI. Încercați tshark, funcționează pe linia de comandă.

Tshark folosește aceleași reguli de filtrare ca și Wireshark, ceea ce nu ar trebui să fie surprinzător, deoarece sunt în esență același produs. Comanda de mai jos îi spune doar lui tshark să capteze adresa IP de destinație, precum și alte câmpuri de interes din porțiunea HTTP a pachetului.

# tshark -i eth0 -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.20.0.1;1540 (Xilla/1542; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; 2010) Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.20.0.1;1520 Linux (Mozilla/1; x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101/favicon.ico / Firefox

Dacă doriți să scrieți trafic într-un fișier, utilizați opțiunea -W pentru a face acest lucru, apoi comutatorul -r (citește) pentru a-l citi.

Prima captură:

# tshark -i eth0 -w tshark_packets Captură pe „eth0” 102 ^C

Citiți-l aici sau mutați-l în alt loc pentru analiză.

# tshark -r tshark_packets -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010011 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0; / 57,0 / reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.2.2.1.2.2 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_6; 570 Firefox) / 570. res/images/title.png

Acesta este un instrument foarte interesant, care se încadrează mai mult în categoria instrumentelor de analiză criminalistică de rețea decât doar sniffer. Domeniul criminalisticii se ocupă de obicei cu investigații și culegerea de dovezi, iar Network Miner face această treabă foarte bine. Așa cum wireshark poate urmări un flux TCP pentru a reconstrui un întreg lanț de transmisie de pachete, Network Miner poate urmări un flux pentru a recupera fișierele care au fost transferate printr-o rețea.

Network Miner poate fi plasat strategic în rețea pentru a putea observa și colecta traficul care vă interesează în timp real. Nu va genera propriul trafic în rețea, așa că va funcționa pe ascuns.

Network Miner poate funcționa și offline. Puteți utiliza tcpdump pentru a colecta pachete la un punct de interes din rețea și apoi importa fișierele PCAP în Network Miner. Apoi, puteți încerca să recuperați orice fișiere sau certificate găsite în fișierul înregistrat.

Network Miner este creat pentru Windows, dar cu Mono poate fi rulat pe orice sistem de operare care acceptă platforma Mono, cum ar fi Linux și MacOS.

Există o versiune gratuită, entry-level, dar cu un set decent de funcții. Dacă aveți nevoie de funcții suplimentare, cum ar fi localizarea geografică și scripturi personalizate, va trebui să achiziționați o licență profesională.

7. Lăutar (HTTP)

Din punct de vedere tehnic, nu este un utilitar de captare a pachetelor de rețea, dar este atât de incredibil de util încât se înscrie în această listă. Spre deosebire de celelalte instrumente enumerate aici, care sunt concepute pentru a capta traficul de rețea din orice sursă, Fiddler este mai mult un instrument de depanare. Captează traficul HTTP. În timp ce multe browsere au deja această capacitate în instrumentele lor de dezvoltare, Fiddler nu se limitează la traficul browserului. Fiddler poate captura orice trafic HTTP pe un computer, inclusiv aplicații non-web.

Multe aplicații desktop folosesc HTTP pentru a se conecta la serviciile web și, în afară de Fiddler, singura modalitate de a capta un astfel de trafic pentru analiză este utilizarea unor instrumente precum tcpdump sau Wireshark. Cu toate acestea, ele funcționează la nivel de pachet, așa că analiza necesită reconstrucția acestor pachete în fluxuri HTTP. Poate fi multă muncă să faci cercetări simple și aici intervine Fiddler. Fiddler vă va ajuta să detectați module cookie, certificate și alte date utile trimise de aplicații.

Fiddler este gratuit și, la fel ca Network Miner, poate fi rulat în Mono pe aproape orice sistem de operare.

8. Capsa

Analizorul de rețea Capsa are mai multe ediții, fiecare cu capacități diferite. La primul nivel, Capsa este gratuit și, în esență, vă permite să capturați pachete și să efectuați analize grafice de bază asupra acestora. Tabloul de bord este unic și poate ajuta un administrator de sistem fără experiență să identifice rapid problemele de rețea. Nivelul gratuit este pentru persoanele care doresc să învețe mai multe despre pachete și să-și dezvolte abilitățile de analiză.

Versiunea gratuită vă permite să monitorizați peste 300 de protocoale, este potrivită pentru monitorizarea e-mailului, precum și pentru stocarea conținutului de e-mail și, de asemenea, acceptă declanșatoare care pot fi utilizate pentru a declanșa alerte atunci când apar anumite situații. În acest sens, Capsa poate fi folosit ca instrument de suport într-o oarecare măsură.

Capsa este disponibil numai pentru Windows 2008/Vista/7/8 și 10.

Concluzie

Este ușor de înțeles cum, folosind instrumentele pe care le-am descris, un administrator de sistem poate crea o infrastructură de monitorizare a rețelei. Tcpdump sau Windump pot fi instalate pe toate serverele. Un planificator, cum ar fi cron sau planificatorul Windows, pornește o sesiune de colectare a pachetelor la momentul potrivit și scrie datele colectate într-un fișier pcap. Administratorul de sistem poate apoi transfera aceste pachete pe mașina centrală și le poate analiza folosind wireshark. Dacă rețeaua este prea mare pentru acest lucru, instrumente de nivel enterprise, cum ar fi SolarWinds, sunt disponibile pentru a transforma toate pachetele de rețea într-un set de date gestionabil.

Citiți alte articole despre interceptarea și analiza traficului de rețea :

Dan Nanni, Utilitare de linie de comandă pentru monitorizarea traficului de rețea pe Linux
Paul Cobbaut, Administrarea sistemului Linux. Interceptarea traficului de rețea
Paul Ferrill, 5 instrumente pentru monitorizarea rețelei pe Linux
Pankaj Tanwar, Captură de pachete folosind biblioteca libpcap
Riccardo Capecchi, Utilizarea filtrelor în Wireshark
Nathan Willis, Analiza rețelei cu Wireshark
Prashant Phatak,

Cele mai bune sniffer de pachete și analizoare de rețea

Unelte industriale

Alte tehnologii pentru gestionarea rețelelor cu consum mare de date includ NetFlow și sFlow. Fiecare are propriile sale puncte forte și puncte slabe,

Puteți afla mai multe despre NetFlow și sFlow.

Bazele

Instrumentul principal pentru colectarea traficului de rețea este

[ ~ ]$ ps -ef | utilizator grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

# tcpdump -i eth0 -w tcpdump_packets tcpdump: ascultare pe eth0, tip link EN10MB (Ethernet), dimensiune captură 262144 octeți ^C51 pachete capturate

Această comandă creează un fișier cu datele capturate:

fișier tcpdump_packets tcpdump_packets: fișier de captură tcpdump (little-endian) - versiunea 2.4 (Ethernet, lungime de captură 262144)

Standardul pentru astfel de fișiere este formatul pcap. Nu este text, deci poate fi analizat doar folosind programe care înțeleg acest format.

3.Windump

Ca și în cazul tcpdump, Windump poate afișa date de rețea pentru analiză, poate filtra în același mod și, de asemenea, poate scrie datele într-un fișier pcap pentru analize ulterioare.

4. Wireshark

5.rechin

Dacă doriți să scrieți trafic într-un fișier, utilizați opțiunea -W pentru a face acest lucru, apoi comutatorul -r (citește) pentru a-l citi.

Prima captură:

# tshark -i eth0 -w tshark_packets Captură pe „eth0” 102 ^C

Citiți-l aici sau mutați-l în alt loc pentru analiză.

Network Miner este creat pentru Windows, dar cu Mono poate fi rulat pe orice sistem de operare care acceptă platforma Mono, cum ar fi Linux și MacOS.

7. Lăutar (HTTP)

Fiddler este gratuit și, la fel ca Network Miner, poate fi rulat în Mono pe aproape orice sistem de operare.

8. Capsa

Capsa este disponibil numai pentru Windows 2008/Vista/7/8 și 10.

Concluzie

Analizatoarele de pachete de rețea sau snifferele au fost dezvoltate inițial ca un mijloc de rezolvare a problemelor de rețea. Ei sunt capabili să intercepteze, să interpreteze și să stocheze pachetele transmise prin rețea pentru analiza ulterioară. Pe de o parte, acest lucru permite administratorilor de sistem și inginerilor de asistență tehnică să observe modul în care datele sunt transferate în rețea, să diagnosticheze și să remedieze problemele care apar. În acest sens, sniffer-urile de pachete sunt un instrument puternic pentru diagnosticarea problemelor de rețea. Pe de altă parte, la fel ca multe alte instrumente puternice care au fost inițial destinate administrării, de-a lungul timpului, sniffer-urile au început să fie folosite în scopuri complet diferite. Într-adevăr, un sniffer în mâinile unui atacator este un instrument destul de periculos și poate fi folosit pentru a obține parole și alte informații confidențiale. Cu toate acestea, nu trebuie să vă gândiți că sniffer-urile sunt un fel de instrument magic prin care orice hacker poate vizualiza cu ușurință informațiile confidențiale transmise prin rețea. Și înainte de a dovedi că pericolul reprezentat de sniffer nu este atât de mare pe cât este adesea prezentat, să luăm în considerare mai detaliat principiile funcționării lor.

Principiile de funcționare ale snifferelor de pachete

În continuare, în acest articol, vom lua în considerare numai snifferele software concepute pentru rețele Ethernet. Un sniffer este un program care operează la nivelul NIC (Network Interface Card) (stratul de legătură) și interceptează în secret tot traficul. Deoarece sniffer-urile operează la nivelul de legătură de date al modelului OSI, nu trebuie să respecte regulile protocoalelor de nivel superior. Snifferele ocolesc mecanismele de filtrare (adrese, porturi etc.) pe care driverele Ethernet și stiva TCP/IP le folosesc pentru a interpreta datele. Sniffer-urile de pachete captează din fir tot ce trece prin el. Sniffer-ii pot stoca cadre în format binar și ulterior le pot decripta pentru a dezvălui informații de nivel superior ascunse în interior (Figura 1).

Pentru ca snifferul să captureze toate pachetele care trec prin adaptorul de rețea, driverul adaptorului de rețea trebuie să accepte modul promiscuu. În acest mod de funcționare al adaptorului de rețea, sniffer-ul este capabil să intercepteze toate pachetele. Acest mod de funcționare al adaptorului de rețea este activat automat atunci când sniffer-ul este lansat sau este setat manual de setările sniffer-ului corespunzătoare.

Tot traficul interceptat este transmis unui decodor de pachete, care identifică și împarte pachetele în nivelurile ierarhice adecvate. În funcție de capacitățile unui anumit sniffer, informațiile de pachet furnizate pot fi ulterior analizate și filtrate.

Limitări ale utilizării snifferelor

Sniffer-urile reprezentau cel mai mare pericol în acele zile când informația era transmisă prin rețea în text clar (fără criptare), iar rețelele locale erau construite pe baza concentratoarelor (hubs). Cu toate acestea, aceste zile au dispărut irevocabil, iar în zilele noastre folosirea sniffer-urilor pentru a obține acces la informații confidențiale nu este deloc o sarcină ușoară.

Cert este că atunci când se construiesc rețele locale bazate pe hub-uri, există un anumit mediu comun de transmisie a datelor (cablu de rețea) și toate nodurile rețelei fac schimb de pachete, concurând pentru accesul la acest mediu (Fig. 2) și un pachet trimis de o singură rețea. nodul este transmis la toate porturile hub-ului și acest pachet este ascultat de toate celelalte noduri din rețea, dar îl primește doar nodul căruia este adresat. Mai mult, dacă pe unul dintre nodurile rețelei este instalat un sniffer de pachete, atunci acesta poate intercepta toate pachetele de rețea aferente unui anumit segment de rețea (rețeaua formată de hub).

Switch-urile sunt dispozitive mai inteligente decât hub-urile de difuzare și izolează traficul de rețea. Switch-ul cunoaște adresele dispozitivelor conectate la fiecare port și transmite pachete doar între porturile necesare. Acest lucru vă permite să descărcați alte porturi fără a fi nevoie să redirecționați fiecare pachet către acestea, așa cum o face un hub. Astfel, un pachet trimis de un anumit nod de rețea este transmis numai către portul de comutare la care este conectat destinatarul pachetului, iar toate celelalte noduri de rețea nu sunt capabile să detecteze acest pachet (Fig. 3).

Prin urmare, dacă rețeaua este construită pe baza unui comutator, atunci un sniffer instalat pe unul dintre computerele din rețea este capabil să intercepteze numai acele pachete care sunt schimbate între acest computer și alte noduri de rețea. Drept urmare, pentru a putea intercepta pachetele pe care computerul sau serverul de interes pentru atacator le schimbă cu alte noduri de rețea, este necesar să instalați un sniffer pe acest computer (server), care de fapt nu este atât de simplu. Cu toate acestea, ar trebui să rețineți că unele sniffer de pachete sunt lansate din linia de comandă și este posibil să nu aibă o interfață grafică. Astfel de sniffer, în principiu, pot fi instalate și lansate de la distanță și neobservate de utilizator.

În plus, ar trebui să rețineți că, în timp ce comutatoarele izolează traficul de rețea, toate comutatoarele gestionate au funcționalitate de redirecționare a portului sau oglindire a portului. Adică, portul de comutare poate fi configurat în așa fel încât toate pachetele care sosesc pe alte porturi de comutare să fie duplicate pe el. Dacă în acest caz un computer cu un sniffer de pachete este conectat la un astfel de port, atunci acesta poate intercepta toate pachetele schimbate între computere dintr-un anumit segment de rețea. Cu toate acestea, de regulă, capacitatea de a configura comutatorul este disponibilă numai pentru administratorul de rețea. Acest lucru, desigur, nu înseamnă că nu poate fi un atacator, dar un administrator de rețea are multe alte modalități de a controla toți utilizatorii rețelei locale și este puțin probabil să te monitorizeze într-un mod atât de sofisticat.

Un alt motiv pentru care sniffer-urile nu mai sunt la fel de periculoase cum erau cândva este că cele mai multe date sensibile sunt acum transmise criptat. Serviciile deschise, necriptate, dispar rapid de pe Internet. De exemplu, atunci când vizitați site-uri web, protocolul SSL (Secure Sockets Layer) este din ce în ce mai utilizat; SFTP (Secure FTP) este folosit în loc de FTP deschis, iar rețelele private virtuale (VPN) sunt din ce în ce mai folosite pentru alte servicii care nu folosesc criptarea în mod implicit.

Deci, cei preocupați de potențialul de utilizare rău intenționată a sniffer-urilor de pachete ar trebui să țină cont de următoarele. În primul rând, pentru a reprezenta o amenințare serioasă pentru rețeaua dvs., snifferele trebuie să fie localizate în rețea însăși. În al doilea rând, standardele de criptare actuale fac extrem de dificilă interceptarea informațiilor sensibile. Prin urmare, în prezent, sniffer-urile de pachete își pierd treptat relevanța ca instrumente pentru hackeri, dar în același timp rămân un instrument eficient și puternic pentru diagnosticarea rețelelor. Mai mult, snifferele pot fi utilizate cu succes nu numai pentru diagnosticarea și localizarea problemelor de rețea, ci și pentru auditarea securității rețelei. În special, utilizarea analizoarelor de pachete vă permite să detectați traficul neautorizat, să detectați și să identificați software-ul neautorizat, să identificați protocoalele neutilizate pentru a le elimina din rețea, să generați trafic pentru testarea de penetrare (test de penetrare) în scopul verificării sistemului de securitate, să lucrați cu sisteme de detectare a intruziunilor (Intrusion Detection System (IDS).

Prezentare generală a sniffer-urilor de pachete software

Toate snifferele software pot fi împărțite în două categorii: sniffer-uri care acceptă lansarea din linia de comandă și sniffer-uri care au o interfață grafică. Cu toate acestea, observăm că există sniffer-uri care combină ambele aceste capacități. În plus, snifferele diferă între ele prin protocoalele pe care le suportă, profunzimea analizei pachetelor interceptate, capacitatea de a configura filtre și posibilitatea de compatibilitate cu alte programe.

De obicei, fereastra oricărui sniffer cu o interfață grafică este formată din trei zone. Prima dintre ele afișează datele rezumate ale pachetelor interceptate. De obicei, această zonă afișează un minim de câmpuri și anume: timpul de interceptare a pachetului; Adresele IP ale expeditorului și destinatarului pachetului; Adresele MAC ale expeditorului și destinatarului pachetului, adresele portului sursă și destinație; tip de protocol (nivel de rețea, transport sau aplicație); câteva informații rezumative despre datele interceptate. A doua zonă afișează informații statistice despre pachetul individual selectat, iar în cele din urmă a treia zonă afișează pachetul în formă de caractere hexazecimale sau ASCII.

Aproape toate snifferele de pachete vă permit să analizați pachetele decodificate (de aceea sniffer-urile de pachete sunt numite și analizoare de pachete sau analizoare de protocol). Sniffer-ul distribuie pachetele interceptate pe straturi și protocoale. Unele sniffer-uri de pachete sunt capabile să recunoască protocolul și să afișeze informațiile capturate. Acest tip de informații sunt de obicei afișate în a doua zonă a ferestrei sniffer. De exemplu, orice sniffer poate recunoaște protocolul TCP, iar sniffer-ii avansati pot determina ce aplicație a generat acest trafic. Majoritatea analizoarelor de protocoale recunosc peste 500 de protocoale diferite și le pot descrie și decodifica după nume. Cu cât un sniffer poate decoda și afișa mai multe informații pe ecran, cu atât mai puține vor trebui să fie decodate manual.

O problemă pe care o pot întâlni snifferii de pachete este incapacitatea de a identifica corect un protocol folosind un alt port decât portul implicit. De exemplu, pentru a îmbunătăți securitatea, unele aplicații binecunoscute pot fi configurate să utilizeze alte porturi decât porturile implicite. Deci, în locul portului tradițional 80, rezervat serverului web, acest server poate fi reconfigurat forțat la portul 8088 sau oricare altul. Unele analizoare de pachete în această situație nu sunt capabile să determine corect protocolul și să afișeze doar informații despre protocolul de nivel inferior (TCP sau UDP).

Există software sniffer care vin cu module analitice software atașate ca pluginuri sau module încorporate care vă permit să creați rapoarte cu informații analitice utile despre traficul interceptat.

O altă caracteristică caracteristică a majorității software-ului de analiză de pachete este capacitatea de a configura filtre înainte și după capturarea traficului. Filtrele selectează anumite pachete din traficul general în funcție de un criteriu dat, ceea ce vă permite să scăpați de informațiile inutile atunci când analizați traficul.

Necesitatea analizei traficului de rețea poate apărea din mai multe motive. Monitorizarea securității computerului, depanarea rețelei locale, monitorizarea traficului de ieșire pentru a optimiza funcționarea unei conexiuni la Internet partajate - toate aceste sarcini sunt adesea pe agenda administratorilor de sistem și a utilizatorilor obișnuiți. Pentru a le rezolva, există multe utilități numite sniffer, ambele specializate, care vizează rezolvarea unei zone înguste de sarcini, și „recoltatoare” multifuncționale, care oferă utilizatorului o gamă largă de instrumente. Acest articol îl prezintă pe unul dintre reprezentanții acestui din urmă grup și anume utilitarul CommView produs de companie. Programul vă permite să vedeți clar imaginea completă a traficului care trece printr-un computer sau un segment de rețea locală; un sistem de alarmă personalizabil vă permite să avertizați despre prezența pachetelor suspecte în trafic, apariția nodurilor cu adrese anormale în rețea sau o creștere a încărcării rețelei.

CommView oferă capacitatea de a menține statistici pentru toate conexiunile IP, de a decoda pachetele IP la un nivel scăzut și de a le analiza. Sistemul de filtrare încorporat bazat pe mai mulți parametri vă permite să configurați urmărirea exclusiv pentru pachetele necesare, ceea ce face analiza acestora mai eficientă. Programul poate recunoaște pachete din peste șapte duzini dintre cele mai comune protocoale (inclusiv DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP etc.) și salvați-le în fișiere pentru analize ulterioare. O varietate de alte instrumente, cum ar fi identificarea producătorului adaptorului de rețea după adresa MAC, reconstrucția HTML și capturarea de pachete la distanță folosind utilitarul opțional CommView Remote Agent, pot fi, de asemenea, utile în anumite cazuri.

Lucrul cu programul

În primul rând, trebuie să selectați interfața de rețea pe care va fi monitorizat traficul.

CommView acceptă aproape orice tip de adaptor Ethernet - 10, 100 și 1000 Mbit/s, precum și modemuri analogice, xDSL, Wi-Fi etc. Analizând traficul adaptorului Ethernet, CommView poate intercepta nu numai intrarea și ieșirea, ci și tranzitul pachete adresate oricărui computer din segmentul rețelei locale. Este de remarcat faptul că, dacă sarcina este de a monitoriza tot traficul pe un segment de rețea locală, atunci este necesar ca computerele din acesta să fie conectate printr-un hub, și nu printr-un comutator. Unele modele moderne de switch au o funcție de oglindire a portului, care le permite să fie configurate și pentru monitorizarea rețelei folosind CommView. Puteți citi mai multe despre asta. După ce ați selectat conexiunea dorită, puteți începe să capturați pachete. Butoanele de pornire și oprire a capturii sunt situate lângă linia de selecție a interfeței. Pentru a lucra cu un controler de acces la distanță, VPN și PPPoE, trebuie să instalați driverul corespunzător atunci când instalați programul.

Fereastra principală a programului este împărțită în mai multe file responsabile pentru una sau alta zonă de lucru. Primul dintre ei, „Conexiuni IP curente”, afișează informații detaliate despre conexiunile IP active ale computerului. Aici puteți vedea adresa IP locală și de la distanță, numărul de pachete transmise și primite, direcția de transmisie, numărul de sesiuni IP stabilite, porturile, numele gazdei (dacă funcția de recunoaștere DNS nu este dezactivată în setările programului), și numele procesului care primește sau transmite pachetul pentru aceste sesiuni. Cele mai recente informații nu sunt disponibile pentru pachetele de tranzit sau pe computerele care rulează Windows 9x/ME.

Fila Conexiuni IP curente

Dacă faceți clic dreapta pe orice conexiune, se va deschide un meniu contextual unde puteți găsi instrumente care ușurează analiza conexiunilor. Aici puteți vedea cantitatea de date transferate în cadrul conexiunii, o listă completă de porturi utilizate, informații detaliate despre procesul care primește sau transmite pachete pentru această sesiune. CommView vă permite să creați alias-uri pentru adrese MAC și IP. De exemplu, prin specificarea alias-urilor în loc de adrese digitale greoaie ale mașinilor dintr-o rețea locală, puteți obține nume de computer ușor de citit și memorat și, astfel, puteți facilita analiza conexiunii.

Pentru a crea un alias pentru o adresă IP, trebuie să selectați „Creați un alias” și „utilizare IP local” sau „utilizare IP la distanță” în meniul contextual. În fereastra care apare, câmpul pentru adresa IP va fi deja completat și tot ce rămâne este să introduceți un nume potrivit. Dacă o nouă intrare de nume IP este creată făcând clic dreapta pe un pachet, câmpul de nume este completat automat cu numele de gazdă (dacă este disponibil) și poate fi editat. Același lucru este valabil și pentru lucrul cu aliasuri MAC.

Din același meniu, selectând SmartWhois, puteți trimite adresa IP sursă sau destinație selectată către SmartWhois, o aplicație autonomă de la Tamosoft care colectează informații despre orice adresă IP sau nume de gazdă, cum ar fi numele rețelei, domeniu, țară, stat sau provincie , oraș și îl oferă utilizatorului.

A doua filă, "Pachete", afișează toate pachetele interceptate pe interfața de rețea selectată și informații detaliate despre acestea.

Tab. Pachete

Fereastra este împărțită în trei zone. Primul dintre ele afișează o listă cu toate pachetele interceptate. Dacă selectați unul dintre pachete făcând clic pe el cu cursorul mouse-ului, ferestrele rămase vor afișa informații despre acesta. Aceasta afișează numărul pachetului, protocolul, adresele Mac și IP ale gazdei de trimitere și de primire, porturile utilizate și ora la care a apărut pachetul.

Zona din mijloc afișează conținutul pachetului - în hexazecimal sau text. În acest din urmă caz, caracterele care nu se imprimă sunt înlocuite cu puncte. Dacă mai multe pachete sunt selectate simultan în zona de sus, fereastra din mijloc va afișa numărul total de pachete selectate, dimensiunea totală a acestora, precum și intervalul de timp dintre primul și ultimul pachet.

Fereastra de jos afișează informații detaliate decodificate despre pachetul selectat.

Făcând clic pe unul dintre cele trei butoane din partea dreaptă jos a ferestrei, puteți alege locația ferestrei de decodare: în partea de jos, sau aliniată la stânga sau la dreapta. Celelalte două butoane vă permit să mergeți automat la ultimul pachet primit și să salvați pachetul selectat în zona vizibilă a listei.

Meniul contextual vă permite să copiați MAC, adrese IP și pachete întregi în clipboard, să atribuiți aliasuri, să aplicați un filtru rapid pentru a selecta pachetele necesare și, de asemenea, să utilizați instrumentele „Reconstrucție sesiune TCP” și „Generator de pachete”.

Instrumentul TCP Session Reconstruction vă permite să vizualizați procesul de schimb între două gazde prin TCP. Pentru a face conținutul sesiunii mai ușor de înțeles, trebuie să selectați „logica de afișare” corespunzătoare. Această caracteristică este cea mai utilă pentru recuperarea informațiilor text, cum ar fi HTML sau ASCII.

Datele rezultate pot fi exportate ca fișier text, RTF sau binar.

Fila Fișiere jurnal. Aici puteți configura setările pentru salvarea pachetelor capturate într-un fișier. CommView salvează fișierele jurnal în format NCF nativ; Pentru a le vizualiza, se folosește un utilitar încorporat, care poate fi lansat din meniul „Fișier”.

Este posibil să activați salvarea automată a pachetelor interceptate pe măsură ce sosesc, înregistrarea sesiunilor HTTP în formatele TXT și HTML, salvarea, ștergerea, îmbinarea și împărțirea fișierelor jurnal. Un lucru de reținut este că un pachet nu este salvat imediat la sosire, așa că dacă vizualizați fișierul jurnal în timp real, cel mai probabil nu va afișa cele mai recente pachete. Pentru ca programul să trimită imediat tamponul într-un fișier, trebuie să faceți clic pe butonul „Finalizare capturare”.

În fila "Reguli" puteți seta condiții pentru interceptarea sau ignorarea pachetelor.

Pentru a facilita selectarea și analiza pachetelor necesare, puteți utiliza reguli de filtrare. Acest lucru va ajuta, de asemenea, la reducerea semnificativă a cantității de resurse de sistem utilizate de CommView.

Pentru a activa o regulă, trebuie să selectați secțiunea corespunzătoare din partea stângă a ferestrei. Sunt disponibile un total de șapte tipuri de reguli: simple - „Protocoale și direcție”, „adrese Mac”, „adrese IP”, „Porturi”, „Text”, „steaguri TCP”, „Proces”, precum și universal regula „Formula” „ Pentru fiecare dintre regulile simple, este posibil să selectați parametri individuali, cum ar fi alegerea unei direcții sau a unui protocol. Regula universală a formulei este un mecanism puternic și flexibil pentru crearea de filtre folosind logica booleană. O referință detaliată despre sintaxa sa poate fi găsită.

Tab "Avertismente" vă va ajuta să configurați setările pentru notificări despre diverse evenimente care au loc în segmentul de rețea studiat.

Fila Alerte vă permite să creați, să editați, să ștergeți reguli de alertă și să vizualizați evenimentele curente care se potrivesc cu aceste reguli

Pentru a seta o regulă de avertizare, trebuie să faceți clic pe butonul „Adăugați...” și în fereastra care se deschide, selectați condițiile necesare care vor declanșa o notificare, precum și metoda de notificare a utilizatorului despre aceasta.

CommView vă permite să definiți următoarele tipuri de evenimente de monitorizat:

„Detectați un pachet” care se potrivește cu formula specificată. Sintaxa formulei este descrisă în detaliu în manualul de utilizare;
„Octeți pe secundă”. Această alertă se va declanșa atunci când nivelul de încărcare a rețelei specificat este depășit;
„Pachete pe secundă”. Declanșat atunci când nivelul specificat al frecvenței de transmisie a pachetelor este depășit;
„Emisiuni pe secundă”. La fel, doar pentru pachetele de difuzare;
„Multicasts per second” - același lucru pentru pachetele multicast.
„Adresă MAC necunoscută”. Această alertă poate fi utilizată pentru a detecta echipamente noi sau neautorizate care se conectează la rețea, definind mai întâi o listă de adrese cunoscute folosind opțiunea Configurare;
Avertismentul „Adresă IP necunoscută” va fi declanșat atunci când sunt interceptate pachete cu adrese IP necunoscute ale expeditorului sau destinatarului. Dacă prespecificați o listă de adrese cunoscute, această alertă poate fi utilizată pentru a detecta conexiuni neautorizate prin firewall-ul companiei.

CommView are un instrument puternic pentru vizualizarea statisticilor traficului studiat. Pentru a deschide fereastra de statistici, trebuie să selectați elementul cu același nume din meniul „Vizualizare”.

Fereastra de statistici în modul „General”.

În această fereastră puteți vizualiza statisticile de trafic în rețea: aici puteți vedea numărul de pachete pe secundă, octeți pe secundă, distribuția Ethernet, protocoale IP și subprotocoale. Diagramele pot fi copiate în clipboard, ceea ce vă va ajuta atunci când trebuie să compilați rapoarte.

Disponibilitate, cost, cerințe de sistem

Versiunea actuală a programului este CommView 5.1. De pe site-ul Tamosoft puteți, care va funcționa timp de 30 de zile.

Dezvoltatorul oferă clienților două opțiuni de licență:

Licența de acasă (licență de acasă), în valoare de 2.000 de ruble, oferă dreptul de a utiliza programul acasă pe o bază necomercială, în timp ce numărul de gazde disponibile pentru monitorizare în rețeaua dvs. de domiciliu este limitat la cinci. Acest tip de licență nu vă permite să lucrați de la distanță folosind Remote Agent.
Licența de întreprindere (corporativă, cost - 10.000 de ruble) oferă dreptul de utilizare comercială și necomercială a programului de către o persoană care utilizează personal programul pe una sau mai multe mașini. Programul poate fi instalat și pe o singură stație de lucru și utilizat de mai multe persoane, dar nu simultan.

Aplicația rulează pe sistemele de operare Windows 98/Me/NT/2000/XP/2003. Pentru a funcționa, aveți nevoie de un adaptor de rețea Ethernet, Wireless Ethernet, Token Ring cu suport pentru standardul NDIS 3.0 sau un controler standard de acces la distanță.

Pro:

interfață localizată;
sistem de ajutor excelent;
suport pentru diferite tipuri de adaptoare de rețea;
instrumente avansate pentru analiza pachetelor și identificarea protocoalelor;
vizualizarea statisticilor;
sistem de avertizare funcțional.

Contra:

cost prea mare;
lipsa presetărilor pentru regulile de interceptare și avertizare;
nu este un mecanism foarte convenabil pentru selectarea unui pachet în fila „Pachete”.

Concluzie

Datorită funcționalității sale excelente și interfeței ușor de utilizat, CommView poate deveni un instrument indispensabil pentru administratorii de rețele locale, furnizorii de servicii de internet și utilizatorii casnici. Am fost mulțumit de abordarea atentă a dezvoltatorului cu privire la localizarea pachetului în limba rusă: atât interfața, cât și manualul de referință au fost realizate la un nivel foarte înalt. Imaginea este oarecum tulburată de costul ridicat al programului, dar o versiune de încercare de treizeci de zile va ajuta un potențial cumpărător să decidă oportunitatea achiziționării acestui utilitar.

Mulți utilizatori ai rețelei de calculatoare nu sunt, în general, familiarizați cu conceptul de „sniffer”. Să încercăm să definim ce este un sniffer, în limbajul simplu al unui utilizator neinstruit. Dar mai întâi, mai trebuie să vă aprofundați în predefinirea termenului în sine.

Sniffer: ce este un sniffer din punctul de vedere al limbii engleze și al tehnologiei informatice?

De fapt, nu este deloc dificil să determinați esența unui astfel de complex software sau hardware-software dacă traduceți pur și simplu termenul.

Acest nume provine din cuvântul englezesc sniff (sniff). De aici și sensul termenului rusesc „sniffer”. Ce este un sniffer în înțelegerea noastră? Un „sniffer” capabil să monitorizeze utilizarea traficului de rețea sau, mai simplu, un spion care poate interfera cu funcționarea rețelelor locale sau bazate pe Internet, extragând informațiile de care are nevoie pe baza accesului prin protocoale de transfer de date TCP/IP.

Analizor de trafic: cum funcționează?

Să facem imediat o rezervare: un sniffer, fie că este vorba despre o componentă software sau shareware, este capabil să analizeze și să intercepteze traficul (date transmise și primite) exclusiv prin intermediul plăcilor de rețea (Ethernet). Ce se întâmplă?

Interfața de rețea nu este întotdeauna protejată de un firewall (din nou, software sau hardware) și, prin urmare, interceptarea datelor transmise sau primite devine doar o chestiune de tehnologie.

În cadrul rețelei, informațiile sunt transmise pe segmente. Într-un singur segment, pachetele de date ar trebui să fie trimise la absolut toate dispozitivele conectate la rețea. Informațiile segmentate sunt transmise către routere (routere) și apoi către comutatoare (comutatoare) și concentratoare (hub-uri). Trimiterea informațiilor se face prin împărțirea pachetelor, astfel încât utilizatorul final să primească toate părțile pachetului conectate între ele de pe rute complet diferite. Astfel, „ascultarea” tuturor rutelor potențiale de la un abonat la altul sau interacțiunea unei resurse de internet cu un utilizator poate oferi nu numai acces la informații necriptate, ci și la unele chei secrete, care pot fi și trimise într-un astfel de proces de interacțiune . Și aici interfața de rețea se dovedește a fi complet neprotejată, deoarece intervine o terță parte.

Intenții bune și scopuri rău intenționate?

Snifferele pot fi folosite atât pentru bine, cât și pentru rău. Ca să nu mai vorbim de impactul negativ, merită remarcat faptul că astfel de sisteme software și hardware sunt destul de des folosite de administratorii de sistem care încearcă să urmărească acțiunile utilizatorilor nu numai în rețea, ci și comportamentul lor pe Internet în ceea ce privește resursele vizitate, descărcări activate pe computere sau trimitere de la acestea.

Metoda prin care funcționează analizatorul de rețea este destul de simplă. Sniffer-ul detectează traficul de ieșire și de intrare al mașinii. Nu vorbim de IP intern sau extern. Cel mai important criteriu este așa-numita adresă MAC, unică pentru orice dispozitiv conectat la internetul global. Este folosit pentru a identifica fiecare mașină din rețea.

Tipuri de sniffer

Dar după tip ele pot fi împărțite în mai multe principale:

hardware;
software;
hardware și software;
applet-uri online.

Detectarea comportamentală a prezenței unui sniffer în rețea

Puteți detecta același sniffer WiFi după încărcarea din rețea. Dacă este clar că transferul de date sau conexiunea nu este la nivelul declarat de furnizor (sau routerul permite), ar trebui să acordați atenție imediat la acest lucru.

Pe de altă parte, furnizorul poate rula și un software sniffer pentru a monitoriza traficul fără știrea utilizatorului. Dar, de regulă, utilizatorul nici măcar nu știe despre asta. Însă organizația care furnizează servicii de comunicație și conexiune la Internet garantează astfel utilizatorului securitate deplină în ceea ce privește interceptarea inundațiilor, autoinstalarea clienților diverși troieni, spioni etc. Dar astfel de instrumente sunt mai degrabă software și nu au un impact prea mare asupra rețelei sau terminalelor utilizatorilor.

Resurse online

Dar un analizor de trafic online poate fi deosebit de periculos. Un sistem primitiv de hacking computerizat este construit pe utilizarea sniffer-urilor. Tehnologia în cea mai simplă formă se reduce la faptul că inițial atacatorul se înregistrează pe o anumită resursă, apoi încarcă o poză pe site. După confirmarea descărcării, este emis un link către un sniffer online, care este trimis unei potențiale victime, de exemplu, sub forma unui e-mail sau a aceluiași mesaj SMS cu un text de genul „Ați primit o felicitare de la așa și -aşa. Pentru a deschide imaginea (cartea poștală), faceți clic pe link.”

Utilizatorii naivi fac clic pe hyperlinkul specificat, în urma căruia recunoașterea este activată și adresa IP externă este transferată atacatorului. Dacă are aplicația corespunzătoare, va putea nu numai să vizualizeze toate datele stocate pe computer, ci și să modifice cu ușurință setările sistemului din exterior, lucru de care utilizatorul local nici nu își va da seama, confundând o astfel de modificare cu influența unui virus. Dar scanerul va afișa zero amenințări atunci când verifică.

Cum să te protejezi de interceptarea datelor?

Fie că este vorba de un sniffer WiFi sau de orice alt analizor, există încă sisteme de protejare împotriva scanării neautorizate a traficului. Există o singură condiție: acestea trebuie instalate numai dacă sunteți complet încrezător în „interceptări”.

Astfel de instrumente software sunt cel mai adesea numite „antisniffer”. Dar dacă te gândești bine, acestea sunt aceleași sniffer-uri care analizează traficul, dar blochează alte programe care încearcă să primească

De aici întrebarea legitimă: merită să instalați un astfel de software? Poate că piratarea sa de către hackeri va cauza și mai mult rău sau va bloca ea însăși ceea ce ar trebui să funcționeze?

În cel mai simplu caz cu sistemele Windows, este mai bine să utilizați firewall-ul încorporat (firewall) ca protecție. Uneori pot exista conflicte cu antivirusul instalat, dar acest lucru se aplică adesea numai pachetelor gratuite. Versiunile achiziționate profesional sau activate lunar nu au astfel de neajunsuri.

În loc de postfață

Acesta este totul despre conceptul de „sniffer”. Cred că mulți și-au dat seama deja ce este un sniffer. În cele din urmă, întrebarea rămâne: cât de corect va folosi utilizatorul obișnuit astfel de lucruri? Altfel, printre utilizatorii tineri se poate observa uneori o tendință spre huliganism pe computer. Ei cred că piratarea computerului altcuiva este ceva ca o competiție interesantă sau auto-afirmare. Din păcate, niciunul dintre ei nici măcar nu se gândește la consecințe, dar este foarte ușor să identifici un atacator folosind același sniffer online după IP-ul său extern, de exemplu, pe site-ul WhoIs. Adevărat, locația furnizorului va fi indicată ca locație, cu toate acestea, țara și orașul vor fi determinate exact. Ei bine, atunci este o chestiune de lucruri mărunte: fie un apel către furnizor pentru a bloca terminalul din care s-a făcut acces neautorizat, fie un dosar penal. Trageți propriile concluzii.

Dacă este instalat un program pentru a determina locația terminalului din care se face o încercare de acces, situația este și mai simplă. Dar consecințele pot fi catastrofale, deoarece nu toți utilizatorii folosesc aceleași anonimizatoare sau servere proxy virtuale și nici măcar nu au habar despre Internet. Ar merita invatat...