Analiza omrežnih paketov. Analizatorji omrežnega prometa: pregled plačljivih in brezplačnih rešitev. Ključne značilnosti CommView

Original: 8 najboljših paketnih vohalcev in omrežnih analizatorjev
Avtor: Jon Watson
Datum objave: 22. november 2017
Prevod: A. Krivoshey
Datum prevoda: december 2017

Sniffing paketov je pogovorni izraz, ki se nanaša na umetnost analiziranja omrežnega prometa. V nasprotju s splošnim prepričanjem stvari, kot so e-pošta in spletne strani, ne potujejo po internetu v enem kosu. Razčlenjeni so na tisoče majhnih podatkovnih paketov in se na ta način pošljejo po internetu. V tem članku si bomo ogledali najboljše brezplačne omrežne analizatorje in vohače paketov.

Obstaja veliko pripomočkov, ki zbirajo omrežni promet in večina jih uporablja pcap (v sistemih, podobnih Unixu) ali libcap (v sistemu Windows) kot jedro. Druga vrsta pripomočkov pomaga analizirati te podatke, saj lahko že majhna količina prometa ustvari na tisoče paketov, po katerih je težko krmariti. Skoraj vsi ti pripomočki se med seboj malo razlikujejo pri zbiranju podatkov, glavne razlike so v tem, kako analizirajo podatke.

Analiza omrežnega prometa zahteva razumevanje delovanja omrežja. Ni orodja, ki bi čarobno nadomestilo analitikovo poznavanje osnov mreženja, kot je 3-smerno rokovanje TCP, ki se uporablja za vzpostavitev povezave med dvema napravama. Analitiki morajo imeti tudi nekaj razumevanja o vrstah omrežnega prometa v dobro delujočem omrežju, kot sta ARP in DHCP. To znanje je pomembno, ker vam bodo analitična orodja preprosto pokazala, kaj od njih zahtevate. Od vas je odvisno, kaj boste prosili. Če ne veste, kako običajno izgleda vaše omrežje, je lahko težko vedeti, da ste v množici paketov, ki ste jih zbrali, našli tisto, kar potrebujete.

Najboljši snifferji paketov in omrežni analizatorji

Industrijska orodja

Začnimo na vrhu in se spustimo do osnov. Če se ukvarjate z mreženjem na ravni podjetja, potrebujete veliko pištolo. Čeprav se skoraj vse v svojem jedru zanaša na tcpdump (več o tem kasneje), se orodja na ravni podjetja lahko spopadejo z nekaterimi zapletenimi vprašanji, kot je povezovanje prometa z več strežnikov, zagotavljanje pametnih poizvedb za prepoznavanje težav, opozarjanje na izjeme in ustvarjanje dobrih grafov, ki bodo vedno vodili povpraševanje....

Orodja za podjetja so na splošno usmerjena v pretakanje omrežnega prometa in ne na ocenjevanje paketne vsebine. S tem mislim, da je glavna skrb večine sistemskih administratorjev v podjetju zagotoviti, da omrežje nima ozkih grl pri zmogljivosti. Ko pride do takšnih ozkih grl, je običajno cilj ugotoviti, ali težavo povzroča omrežje ali aplikacija v omrežju. Po drugi strani pa lahko ta orodja običajno obvladajo toliko prometa, da lahko pomagajo napovedati, kdaj bo segment omrežja v celoti naložen, kar je kritična točka pri upravljanju pasovne širine.

Gre za zelo velik nabor orodij za upravljanje IT. V tem članku je bolj primeren pripomoček Deep Packet Inspection and Analysis, ki je njegov sestavni del. Zbiranje omrežnega prometa je precej preprosto. Z orodji, kot je WireShark, tudi osnovna analiza ni problem. Toda situacija ni vedno povsem jasna. V zelo obremenjenem omrežju je lahko težko definirati celo zelo preproste stvari, kot so:

Katera aplikacija v omrežju ustvarja ta promet?
- če je aplikacija znana (recimo spletni brskalnik), kje njeni uporabniki preživijo večino časa?
- katere povezave so najdaljše in preobremenijo omrežje?

Večina omrežnih naprav uporablja metapodatke vsakega paketa, da zagotovi, da gre paket, kamor mora iti. Vsebina paketa omrežni napravi ni znana. Globok pregled paketov je druga stvar; to pomeni, da se preverja dejanska vsebina paketa. Na ta način lahko odkrijete kritične informacije o omrežju, ki jih ni mogoče zbrati iz metapodatkov. Orodja, kot so tista, ki jih ponuja SolarWinds, lahko zagotovijo pomembnejše podatke kot le prometni tok.

Druge tehnologije za upravljanje podatkovno intenzivnih omrežij vključujejo NetFlow in sFlow. Vsak ima svoje prednosti in slabosti,

Več o NetFlow in sFlow si lahko preberete.

Analiza omrežij na splošno je vrhunska tema, ki gradi tako na pridobljenem znanju kot na podlagi praktičnih izkušenj. Možno je usposobiti osebo s podrobnim poznavanjem omrežnih paketov, a če ta oseba nima znanja o samem omrežju in nima izkušenj z odkrivanjem anomalij, mu ne bo šlo dobro. Orodja, opisana v tem članku, bi morali uporabljati izkušeni omrežni skrbniki, ki vedo, kaj želijo, vendar niso prepričani, kateri pripomoček je najboljši. Uporabljajo jih lahko tudi manj izkušeni sistemski skrbniki, da pridobijo vsakodnevne omrežne izkušnje.

Osnove

Glavno orodje za zbiranje omrežnega prometa je

Je odprtokodna aplikacija, ki se namesti na skoraj vse Unixu podobne operacijske sisteme. Tcpdump je odličen pripomoček za zbiranje podatkov, ki ima zelo izpopolnjen jezik za filtriranje. Pomembno je vedeti, kako filtrirati podatke, ko jih zbirate, da na koncu dobite običajen nabor podatkov za analizo. Zajem vseh podatkov iz omrežne naprave, tudi v zmerno obremenjenem omrežju, lahko ustvari preveč podatkov, ki jih bo zelo težko analizirati.

V nekaterih redkih primerih bo dovolj, da zajete podatke tcpdump natisnete neposredno na zaslon, da najdete tisto, kar potrebujete. Med pisanjem tega članka sem na primer zbral promet in opazil, da moja naprava pošilja promet na naslov IP, ki ga ne poznam. Izkazalo se je, da je moj stroj pošiljal podatke na Googlov IP naslov 172.217.11.142. Ker nisem imel nobenih Googlovih izdelkov in nisem imel odprtega Gmaila, nisem vedel, zakaj se to dogaja. Preveril sem svoj sistem in ugotovil naslednje:

[~] $ ps -ef | uporabnik grep google 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = storitev

Izkazalo se je, da tudi ko Chrome ne deluje, ostane deluje kot storitev. Brez analize paketov tega ne bi opazil. Prestregel sem še nekaj podatkovnih paketov, vendar sem tokrat dal tcpdump nalogo, da podatke zapiše v datoteko, ki sem jo nato odprl v Wiresharku (več o tem kasneje). Ti vnosi so:

Tcpdump je priljubljeno orodje sistemskih administratorjev, ker je pripomoček ukazne vrstice. Za zagon tcpdump ni potreben grafični vmesnik. Za produkcijske strežnike je grafični vmesnik precej škodljiv, saj porablja sistemske vire, zato so prednostni programi ukazne vrstice. Kot mnogi sodobni pripomočki ima tcpdump zelo bogat in zapleten jezik, ki ga obvlada nekaj časa. Nekaj najosnovnejših ukazov vključuje izbiro omrežnega vmesnika za zbiranje podatkov in zapisovanje teh podatkov v datoteko, tako da jih je mogoče izvoziti za analizo drugam. Za to se uporabljata stikali -i in -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: poslušanje na eth0, vrsta povezave EN10MB (Ethernet), velikost zajema 262144 bajtov ^ zajeti paketi C51

Ta ukaz ustvari datoteko z zajetimi podatki:

Datoteka tcpdump_packets tcpdump_packets: datoteka za zajemanje tcpdump (little-endian) - različica 2.4 (Ethernet, dolžina zajema 262144)

Standard za te datoteke je format pcap. Ni besedilo, zato ga lahko razčlenijo samo programi, ki razumejo to obliko.

3. Windump

Večina uporabnih odprtokodnih pripomočkov se na koncu klonira v druge operacijske sisteme. Ko se to zgodi, naj bi bila aplikacija preseljena. Windump je vrata tcpdump in se obnaša na zelo podoben način.

Najpomembnejša razlika med Windump in tcpdump je v tem, da mora Windump pred zagonom Windump namestiti knjižnico Winpcap. Čeprav Windump in Winpcap zagotavlja isti vzdrževalec, ju je treba prenesti ločeno.

Winpcap je knjižnica, ki mora biti vnaprej nameščena. Toda Windump je datoteka exe, ki je ni treba namestiti, zato jo lahko preprosto zaženete. To morate upoštevati, če uporabljate omrežje Windows. Windump vam ni treba namestiti na vsak računalnik, saj ga lahko preprosto kopirate po potrebi, vendar boste potrebovali Winpcap za podporo Windup.

Kot pri tcpdump, lahko Windump prikaže omrežne podatke za analizo, filtrira na enak način in zapiše podatke v datoteko pcap za kasnejšo analizo.

4. Wireshark

Wireshark je naslednje najbolj znano orodje v zbirki sistemskih administratorjev. Omogoča vam ne samo zajemanje podatkov, ampak ponuja tudi nekaj naprednih orodij za analizo. Poleg tega je Wireshark odprtokoden in prenesen na skoraj vse obstoječe strežniške operacijske sisteme. Wireshark, imenovan Etheral, zdaj deluje povsod, tudi kot samostojna prenosna aplikacija.

Če analizirate promet na strežniku GUI, lahko Wireshark naredi vse namesto vas. Lahko zbira podatke in jih nato analizira tukaj. Vendar pa je GUI na strežnikih redek, zato lahko na daljavo zbirate omrežne podatke in nato pregledate nastalo datoteko pcap v Wiresharku na vašem računalniku.

Ob prvem zagonu vam Wireshark omogoča, da naložite obstoječo datoteko pcap ali začnete zajemati promet. V slednjem primeru lahko dodatno nastavite filtre za zmanjšanje količine zbranih podatkov. Če ne določite filtra, bo Wireshark preprosto zbral vse omrežne podatke iz izbranega vmesnika.

Ena izmed najbolj uporabnih funkcij Wiresharka je zmožnost spremljanja toka. Najbolje je, da si o toku predstavljamo verigo. Na spodnjem posnetku zaslona lahko vidimo veliko zajetih podatkov, najbolj pa me je zanimal Googlov IP naslov. Lahko kliknem z desno tipko miške in sledim toku TCP, da vidim celotno verigo.

Če je bil promet zajet na drugem računalniku, lahko uvozite datoteko PCAP v pogovornem oknu Wireshark File -> Open. Za uvožene datoteke so na voljo enaki filtri in orodja kot za zajete omrežne podatke.

5. morski pes

Tshark je zelo uporabna povezava med tcpdump in Wiresharkom. Tcpdump je odličen pri zbiranju podatkov in lahko kirurško izvleče le podatke, ki jih potrebujete, vendar so njegove zmogljivosti analize podatkov zelo omejene. Wireshark odlično opravlja delo tako pri zajemanju kot razčlenjevanju, vendar ima težak uporabniški vmesnik in ga ni mogoče uporabljati na strežnikih brez GUI. Poskusite s tsharkom, deluje v ukazni vrstici.

Tshark uporablja enaka pravila filtriranja kot Wireshark, kar ne bi smelo biti presenetljivo, saj gre v bistvu za isti izdelek. Spodnji ukaz pove tsharku samo, da iz HTTP dela paketa prevzame ciljni naslov IP in nekatera druga zanimiva polja.

# tshark -i eth0 -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko1 Firefox / 2010 /57.0 /images/title.png 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css / phoenix.css 1 Mozilla 17.06_20. rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla / 5.0 (X11; 1 Linux 0 1 Gerv 0 1 Geck 0 1 Geck 0 172.20.0.122) /57.0 /images/styles/index.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png 1 Moz Linux 172.12 (Moz Linux 172.15; x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 2010001.

Če želite zapisati promet v datoteko, uporabite možnost -W, ki ji sledi stikalo -r (beri), da jo preberete.

Najprej zajemi:

# tshark -i eth0 -w tshark_packets Zajem na "eth0" 102 ^ C

Preberite ga tukaj ali ga prenesite na drugo mesto za analizo.

# tshark -r tshark_packets -Y http.request -T polja -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Firefox00 / 57.0 /57.0 / stik 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / rezervacije / 172.20.0.122 Mozilla / 5.0 Gerv0 1; 5.0 Gerv0 Linux 57.0 /reservations/styles/styles.css 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/.jquery_lightbox/jquery.6.pack/jquery/jquery js 172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css 172.20.0.122 (X16 0.122 Mozilla / 16 5.0; 5.0 Gecko) Firefox / 57.0 /res/images/title.png

To je zelo zanimivo orodje, ki spada v kategorijo orodij za omrežno forenzično analizo in ne le za vohanje. Področje forenzike se na splošno ukvarja s preiskavami in zbiranjem dokazov, Network Miner pa to delo odlično opravi. Tako kot lahko wireshark sledi toku TCP za obnovitev celotne verige paketov, lahko Network Miner sledi toku TCP za obnovitev datotek, ki so bile prenesene po omrežju.

Network Miner je mogoče strateško umestiti v omrežje, da lahko v realnem času opazuje in zbira promet, ki vas zanima. Ne bo ustvaril lastnega prometa v omrežju, zato bo deloval prikrito.

Network Miner lahko deluje tudi brez povezave. Uporabite lahko tcpdump za zbiranje paketov na točki v omrežju, ki vas zanima, in nato uvozite datoteke PCAP v Network Miner. Nato lahko poskusite obnoviti vse datoteke ali potrdila, ki jih najdete v posneti datoteki.

Network Miner je narejen za Windows, vendar z Mono lahko deluje v katerem koli operacijskem sistemu, ki podpira platformo Mono, kot sta Linux in MacOS.

Obstaja brezplačna različica, začetna, vendar s spodobnim naborom funkcij. Če potrebujete dodatne funkcije, kot sta geolokacija in skriptiranje po meri, boste morali kupiti profesionalno licenco.

7. Fiddler (HTTP)

Tehnično ni pripomoček za zajemanje omrežnih paketov, vendar je tako neverjetno uporaben, da se je uvrstil na ta seznam. Za razliko od drugih tukaj navedenih orodij, ki so zasnovana za zajemanje omrežnega prometa iz katerega koli vira, je Fiddler bolj orodje za odpravljanje napak. Zajame promet HTTP. Čeprav mnogi brskalniki že imajo to zmožnost v svojih razvijalskih orodjih, Fiddler ni omejen na promet brskalnika. Fiddler lahko zajame kateri koli promet HTTP na vašem računalniku, vključno z nespletnimi aplikacijami.

Številne namizne aplikacije uporabljajo HTTP za povezovanje s spletnimi storitvami, poleg Fiddlerja pa je edini način za zajemanje tega prometa za analizo z uporabo orodij, kot sta tcpdump ali Wireshark. Vendar pa delujejo na ravni paketov, zato je za analizo potrebno te pakete preoblikovati v tokove HTTP. Za preproste raziskave je lahko potrebno veliko dela in tu pride Fiddler. Fiddler lahko pomaga odkriti piškotke, potrdila in druge uporabne podatke, ki jih pošiljajo aplikacije.

Fiddler je brezplačen in, tako kot Network Miner, ga je mogoče zagnati v mono v skoraj katerem koli operacijskem sistemu.

8. Capsa

Capsa Network Analyzer je na voljo v več izdajah, od katerih ima vsaka drugačne zmogljivosti. Na prvi ravni je Capsa brezplačna in vam v bistvu omogoča, da samo zgrabite pakete in naredite nekaj osnovne grafične analize. Nadzorna plošča je edinstvena in lahko neizkušenemu sistemskemu administratorju pomaga hitro prepoznati težave z omrežjem. Brezplačna raven je za ljudi, ki želijo izvedeti več o paketih in nadgraditi svoje analitične sposobnosti.

Brezplačna različica vam omogoča nadzor nad 300 protokoli, primerna je za spremljanje e-pošte kot tudi za shranjevanje e-poštne vsebine, podpira tudi sprožilce, ki jih lahko uporabite za sprožitev opozoril ob določenih situacijah. V zvezi s tem se lahko Capsa do neke mere uporablja kot podporno orodje.

Capsa je na voljo samo za Windows 2008 / Vista / 7/8 in 10.

Zaključek

Ni težko razumeti, kako lahko sistemski skrbnik uporabi orodja, ki smo jih opisali, za ustvarjanje infrastrukture za spremljanje omrežja. Tcpdump ali Windump je mogoče namestiti na vse strežnike. Razporejevalnik, kot je cron ali načrtovalnik Windows, začne sejo zbiranja paketov ob pravem času in zbrane podatke zapiše v datoteko pcap. Skrbnik sistema lahko nato te pakete prenese na centralni računalnik in jih analizira z uporabo wiresharka. Če je omrežje preveliko za to, so na voljo orodja za podjetja, kot je SolarWinds, ki vse omrežne pakete pretvorijo v obvladljiv nabor podatkov.

Preberite druge članke o prestrezanju in analizi omrežnega prometa :

Dan Nanni, pripomočki ukazne vrstice za spremljanje omrežnega prometa v Linuxu
Paul Cobbaut, sistemska administracija Linux. Prestrezanje omrežnega prometa
Paul Ferrill, 5 orodij za spremljanje omrežja Linux
Pankaj Tanwar, zajemanje paketov s knjižnico libpcap
Riccardo Capecchi, Uporaba filtrov v Wiresharku
Nathan Willis, Analiza omrežja z Wiresharkom
Prashant Phatak,

Najboljši snifferji paketov in omrežni analizatorji

Industrijska orodja

Druge tehnologije za upravljanje podatkovno intenzivnih omrežij vključujejo NetFlow in sFlow. Vsak ima svoje prednosti in slabosti,

Več o NetFlow in sFlow si lahko preberete.

Osnove

Glavno orodje za zbiranje omrežnega prometa je

[~] $ ps -ef | uporabnik grep google 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = storitev

# tcpdump -i eth0 -w tcpdump_packets tcpdump: poslušanje na eth0, vrsta povezave EN10MB (Ethernet), velikost zajema 262144 bajtov ^ zajeti paketi C51

Ta ukaz ustvari datoteko z zajetimi podatki:

datoteka tcpdump_packets tcpdump_packets: datoteka za zajemanje tcpdump (little-endian) - različica 2.4 (Ethernet, dolžina zajema 262144)

Standard za te datoteke je format pcap. Ni besedilo, zato ga lahko razčlenijo samo programi, ki razumejo to obliko.

3. Windump

Kot pri tcpdump, lahko Windump prikaže omrežne podatke za analizo, filtrira na enak način in zapiše podatke v datoteko pcap za kasnejšo analizo.

4. Wireshark

5. morski pes

Če želite zapisati promet v datoteko, uporabite možnost -W, ki ji sledi stikalo -r (beri), da jo preberete.

Najprej zajemi:

# tshark -i eth0 -w tshark_packets Zajem na "eth0" 102 ^ C

Preberite ga tukaj ali ga prenesite na drugo mesto za analizo.

Network Miner je mogoče strateško umestiti v omrežje, da lahko v realnem času opazuje in zbira promet, ki vas zanima. Ne bo ustvaril lastnega prometa v omrežju, zato bo deloval prikrito.

Network Miner je narejen za Windows, vendar z Mono lahko deluje v katerem koli operacijskem sistemu, ki podpira platformo Mono, kot sta Linux in MacOS.

Obstaja brezplačna različica, začetna, vendar s spodobnim naborom funkcij. Če potrebujete dodatne funkcije, kot sta geolokacija in skriptiranje po meri, boste morali kupiti profesionalno licenco.

7. Fiddler (HTTP)

Fiddler je brezplačen in, tako kot Network Miner, ga je mogoče zagnati v mono v skoraj katerem koli operacijskem sistemu.

8. Capsa

Capsa je na voljo samo za Windows 2008 / Vista / 7/8 in 10.

Zaključek

Snifferji omrežnih paketov ali snifferji so bili prvotno razviti kot sredstvo za reševanje omrežnih težav. Znajo prestreči, interpretirati in shraniti pakete, ki se prenašajo po omrežju, za kasnejšo analizo. Po eni strani omogoča sistemskim skrbnikom in inženirjem tehnične podpore, da opazujejo, kako se podatki prenašajo po omrežju, diagnosticirajo in odpravijo težave, ki se pojavijo. V tem smislu so snifferji paketov močno orodje za diagnosticiranje težav z omrežjem. Po drugi strani pa so tako kot mnoga druga zmogljiva orodja, ki so bila prvotno namenjena administraciji, sčasoma tudi vohače začeli uporabljati za povsem druge namene. Dejansko je vohač v rokah napadalca precej nevarno orodje in se lahko uporablja za krajo gesel in drugih zaupnih informacij. Vendar ne mislite, da so vohači nekakšno čarobno orodje, s katerim lahko vsak heker zlahka vidi zaupne informacije, ki se prenašajo po omrežju. In preden dokažemo, da nevarnost, ki jo predstavljajo vohači, ni tako velika, kot se pogosto predstavlja, poglejmo podrobneje načela njihovega delovanja.

Kako delujejo snifferji paketov

Nadalje bomo v okviru tega članka obravnavali samo programske snifferje, zasnovane za omrežja Ethernet. Sniffer je program, ki deluje na ravni omrežne kartice (NIC) (povezovalni sloj) in prikrito prestreže ves promet. Ker vohači delujejo na ravni podatkovne povezave modela OSI, ne bi smeli igrati po pravilih protokolov višje plasti. Vohači zaobidejo mehanizme filtriranja (naslove, vrata itd.), ki jih gonilniki Ethernet in sklad TCP/IP uporabljajo za interpretacijo podatkov. Vohalniki paketov zajamejo vse, kar pride zraven iz žice. Snifferji lahko shranijo okvirje v binarni obliki in jih kasneje dešifrirajo, da razkrijejo informacije višje ravni, skrite v notranjosti (slika 1).

Da bi lahko vohalnik prestregel vse pakete, ki gredo skozi omrežno kartico, mora gonilnik omrežne kartice podpirati promiskuitetni način. V tem načinu delovanja omrežnega adapterja lahko vohalec prestreže vse pakete. Ta način delovanja omrežnega adapterja se samodejno aktivira, ko se vohljalnik zažene, ali pa ga ročno nastavimo z ustreznimi nastavitvami vohača.

Ves prestreženi promet se pošlje dekoderju paketov, ki identificira in razdeli pakete na ustrezne ravni hierarhije. Odvisno od zmožnosti določenega vohača se lahko posredovane informacije o paketih kasneje analizirajo in filtrirajo.

Omejitve uporabe vohalcev

Snifferji so predstavljali največjo nevarnost v tistih časih, ko so se informacije po omrežju prenašale v jasnem (brez šifriranja), lokalna omrežja pa so bila zgrajena na podlagi koncentratorjev (vozlišč). Vendar so ti dnevi nepreklicno minili in zdaj uporaba vohalcev za dostop do zaupnih informacij ni lahka naloga.

Dejstvo je, da pri gradnji lokalnih omrežij, ki temeljijo na vozliščih, obstaja določen skupni medij za prenos podatkov (omrežni kabel) in vsa omrežna vozlišča si izmenjujejo pakete, ki tekmujejo za dostop do tega medija (slika 2), in paket, ki ga pošlje eno omrežje. vozlišče se prenaša na vsa vrata vozlišča in ta paket poslušajo vsi drugi gostitelji v omrežju, vendar je sprejet samo gostitelj, na katerega je naslovljen. Poleg tega, če je na enem od omrežnih vozlišč nameščen paketni sniffer, lahko prestreže vse omrežne pakete, povezane s tem segmentom omrežja (omrežje, ki ga tvori vozlišče).

Stikala so bolj inteligentne naprave kot oddajna vozlišča in izolirajo omrežni promet. Stikalo pozna naslove naprav, priključenih na posamezna vrata, in prenaša samo pakete med pravimi vrati. To vam omogoča, da razbremenite druga vrata, ne da bi jim posredovali vsak paket, kot to počne vozlišče. Tako se paket, ki ga pošlje določeno omrežno vozlišče, prenese samo v stikalna vrata, na katera je povezan prejemnik paketa, vsa ostala omrežna vozlišča pa tega paketa ne morejo zaznati (slika 3).

Torej, če je omrežje zgrajeno na podlagi stikala, potem lahko vohalnik, nameščen na enem od omrežnih računalnikov, prestreže samo tiste pakete, ki se izmenjujejo med tem računalnikom in drugimi omrežnimi vozlišči. Posledično, da bi lahko prestregli pakete, ki jih računalnik ali strežnik, ki ga zanima napadalec, izmenja s preostalimi omrežnimi vozlišči, je treba na ta računalnik (strežnik) namestiti sniffer, kar pravzaprav ni tako. preprosta. Vendar je treba upoštevati, da se nekateri paketni vohači izvajajo iz ukazne vrstice in morda nimajo grafičnega vmesnika. Takšne vohače je načeloma mogoče namestiti in zagnati na daljavo in uporabniku nevidno.

Poleg tega morate upoštevati, da čeprav stikala izolirajo omrežni promet, imajo vsa upravljana stikala funkcijo posredovanja vrat ali zrcaljenja. To pomeni, da je mogoče vrata stikala konfigurirati tako, da se vsi paketi, ki prihajajo v druga vrata stikala, podvojijo nanj. Če je v tem primeru na takšna vrata povezan računalnik s paketnim vohljačem, potem lahko prestreže vse pakete, ki se izmenjujejo med računalniki v tem segmentu omrežja. Običajno pa lahko stikalo konfigurira le skrbnik omrežja. To seveda ne pomeni, da ne more biti vsiljivec, vendar ima skrbnik omrežja še veliko drugih načinov za nadzor nad vsemi uporabniki lokalnega omrežja in je malo verjetno, da bo za vami vohunil na tako sofisticiran način.

Drugi razlog, zakaj vohači niso več tako nevarni, kot so bili včasih, je ta, da so najpomembnejši podatki zdaj šifrirani. Odprte, nešifrirane storitve hitro izginjajo z interneta. Na primer, pri obisku spletnih mest se vse pogosteje uporablja protokol SSL (Secure Sockets Layer); Namesto odprtega FTP se uporablja SFTP (Secure FTP), navidezna zasebna omrežja (VPN) pa se vse pogosteje uporabljajo za druge storitve, ki privzeto ne uporabljajo šifriranja.

Torej, tisti, ki so zaskrbljeni zaradi možnosti zlonamerne uporabe paketnih vohalcev, morajo imeti v mislih naslednje. Prvič, da predstavljajo resno grožnjo vašemu omrežju, morajo biti vohači nameščeni v samem omrežju. Drugič, današnji standardi šifriranja zelo otežujejo prestrezanje zaupnih informacij. Zato trenutno snifferji paketov postopoma izgubljajo pomen kot orodja za hekerje, a hkrati ostajajo učinkovito in zmogljivo orodje za diagnosticiranje omrežij. Poleg tega je vohače mogoče uspešno uporabiti ne le za diagnosticiranje in lokalizacijo omrežnih težav, temveč tudi za revizijo varnosti omrežja. Zlasti uporaba analizatorjev paketov omogoča odkrivanje nepooblaščenega prometa, odkrivanje in prepoznavanje nepooblaščene programske opreme, prepoznavanje neuporabljenih protokolov, da jih odstranite iz omrežja, ustvarjanje prometa za teste penetracije za preverjanje varnostnega sistema, delo s sistemi za odkrivanje vdorov (Intrusion Detection sistem, IDS).

Pregled paketnih vohalcev programske opreme

Vse vohače programske opreme lahko v grobem razdelimo v dve kategoriji: vohače, ki podpirajo zagon iz ukazne vrstice, in vohače, ki imajo grafični vmesnik. Hkrati ugotavljamo, da obstajajo vohači, ki združujejo obe zmožnosti. Poleg tega se snifferji med seboj razlikujejo po protokolih, ki jih podpirajo, po globini analize prestreženih paketov, po zmožnosti konfiguriranja filtrov, pa tudi po možnosti združljivosti z drugimi programi.

Običajno je okno katerega koli vohača z grafičnim vmesnikom sestavljeno iz treh področij. Prvi prikaže povzetek zajetih paketov. Običajno je v tem območju prikazano najmanj polj, in sicer: čas zajemanja paketov; IP naslova pošiljatelja in prejemnika paketa; Izvorni in ciljni naslovi MAC paketov, naslovi izvornih in ciljnih vrat; vrsta protokola (omrežni, transportni ali aplikacijski sloj); nekaj povzetkov o prestreženih podatkih. V drugem območju so prikazani statistični podatki o posameznem izbranem paketu, na koncu pa je v tretjem delu paket predstavljen v šestnajstiški ali ASCII obliki.

Skoraj vsi snifferji paketov vam omogočajo analizo dekodiranih paketov (zato se paketni vohljači imenujejo tudi analizatorji paketov ali analizatorji protokolov). Sniffer porazdeli zajete pakete po slojih in protokolih. Nekateri snifferji paketov so sposobni prepoznati protokol in prikazati prestrežene informacije. Ta vrsta informacij je običajno prikazana v drugem območju okna vohača. Na primer, vsak sniffer je sposoben prepoznati protokol TCP, napredni snifferji pa lahko določijo, katera aplikacija ustvarja ta promet. Večina analizatorjev protokolov prepozna več kot 500 različnih protokolov in jih lahko opiše in dekodira po imenu. Več informacij kot je sposoben vohač dekodirati in predstaviti na zaslonu, manj bo moral ročno dekodirati.

Ena od težav, s katerimi se lahko soočajo analizatorji paketov, je nezmožnost pravilne identifikacije protokola z uporabo vrat, ki niso privzeta. Za izboljšanje varnosti se lahko na primer nekatere znane aplikacije konfigurirajo za uporabo vrat, ki niso privzeta. Torej, namesto tradicionalnih vrat 80, rezerviranih za spletni strežnik, se lahko ta strežnik prisilno konfigurira na vrata 8088 ali na katero koli drugo. Nekateri analizatorji paketov v takšni situaciji ne morejo pravilno določiti protokola in prikazati le informacij o protokolu nižje plasti (TCP ali UDP).

Obstajajo programski snifferji, ki so opremljeni s programskimi analitičnimi moduli kot vtičniki ali vgrajenimi moduli, ki vam omogočajo ustvarjanje poročil s koristnimi analitičnimi informacijami o prestreženem prometu.

Druga značilnost večine programske opreme za vohanje paketov je zmožnost konfiguriranja filtrov pred in po zajemu prometa. Filtri izberejo določene pakete iz splošnega prometa po določenem kriteriju, kar vam omogoča, da se znebite nepotrebnih informacij pri analizi prometa.

Potreba po analizi omrežnega prometa se lahko pojavi iz več razlogov. Nadzor računalniške varnosti, odpravljanje napak v lokalnem omrežju, nadzor odhodnega prometa za optimizacijo delovanja skupne internetne povezave – vse te naloge so pogosto na dnevnem redu sistemskih skrbnikov in navadnih uporabnikov. Za njihovo reševanje obstaja veliko pripomočkov, imenovanih sniffers, tako specializiranih, ki so namenjeni reševanju ozkega nabora nalog, kot večnamenskih "kombin", ki uporabniku ponujajo širok izbor orodij. Eden od predstavnikov slednje skupine, in sicer pripomoček CommView iz podjetja, je predstavljen v tem članku. Program vam omogoča vizualni ogled celotne slike prometa, ki poteka skozi računalnik ali segment lokalnega omrežja; Nastavljiv alarmni sistem vam omogoča, da opozorite na prisotnost sumljivih paketov v prometu, pojav vozlišč z nenormalnimi naslovi v omrežju ali povečano obremenitev omrežja.

CommView omogoča vodenje statistike o vseh IP povezavah, dekodiranje IP paketov na nizko raven in njihovo analizo. Vgrajeni sistem filtrov po več parametrih vam omogoča, da konfigurirate sledenje samo za potrebne pakete, zaradi česar je njihova analiza učinkovitejša. Program lahko prepozna pakete več kot sedem ducatov najpogostejših protokolov (vključno z DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP, itd.), ter jih shranite v datoteke za kasnejšo analizo. V določenih primerih so lahko v pomoč tudi številna druga orodja, kot je prepoznavanje proizvajalca omrežnega vmesnika po naslovu MAC, rekonstrukcija HTML in oddaljeni zajem paketov z izbirnim pripomočkom CommView Remote Agent.

Delo s programom

Najprej morate izbrati omrežni vmesnik, na katerem bo spremljan promet.

CommView podpira skoraj vse vrste ethernetnih adapterjev - 10, 100 in 1000 Mbps, pa tudi analogne modeme, xDSL, Wi-Fi itd. Z analizo prometa ethernetnega adapterja lahko CommView prestreže ne le dohodne in odhodne, ampak tudi tranzitni paketi so naslovili kateri koli računalnik v segmentu lokalnega omrežja. Omeniti velja, da če je naloga spremljati ves promet na segmentu lokalnega omrežja, je potrebno, da so računalniki v njem povezani prek zvezdišča in ne prek stikala. Nekateri sodobni modeli stikal imajo zrcaljenje vrat, kar jim omogoča tudi konfiguracijo za spremljanje omrežja s pomočjo CommView. Več o tem si lahko preberete. Ko izberete želeno povezavo, lahko začnete zajemati pakete. Gumbi za začetek in zaustavitev zajemanja se nahajajo v bližini izbirne vrstice vmesnika. Za delo s krmilnikom oddaljenega dostopa, VPN in PPPoE med namestitvijo programa morate namestiti ustrezen gonilnik.

Glavno okno programa je razdeljeno na več zavihkov, ki so odgovorni za eno ali drugo področje dela. Prvi, "Trenutne IP povezave", prikaže podrobne informacije o trenutnih IP povezavah računalnika. Tukaj si lahko ogledate lokalne in oddaljene IP naslove, število poslanih in prejetih paketov, smer prenosa, število vzpostavljenih IP sej, vrata, ime gostitelja (če funkcija prepoznavanja DNS v nastavitvah programa ni onemogočena) in ime procesa, ki sprejme ali odda paket te seje. Slednje informacije niso na voljo za tranzitne pakete, niti za računalnike z operacijskim sistemom Windows 9x / ME.

Zavihek Trenutne IP povezave

Če z desno tipko miške kliknete povezavo, se odpre kontekstni meni, v katerem najdete orodja, ki olajšajo analizo povezav. Tukaj si lahko ogledate količino prenesenih podatkov znotraj povezave, popoln seznam uporabljenih vrat, podrobne informacije o procesu, ki sprejema ali prenaša pakete te seje. CommView vam omogoča ustvarjanje vzdevkov za naslove MAC in IP. Na primer, če nastavite vzdevke namesto okornih digitalnih naslovov strojev v lokalnem omrežju, lahko dobite lahko berljiva in nepozabna imena računalnikov in tako olajšate analizo povezav.

Če želite ustvariti vzdevek za naslov IP, v kontekstnem meniju zaporedoma izberite elementa "Ustvari vzdevek" in "z uporabo lokalnega IP-ja" ali "z uporabo oddaljenega IP-ja". V oknu, ki se prikaže, bo polje IP naslov že izpolnjeno, ostalo je le, da vnesete ustrezno ime. Če se z desnim klikom na paket ustvari nov vnos imena IP, se polje za ime samodejno izpolni z imenom gostitelja (če je na voljo) in ga je mogoče urejati. Delo z vzdevki MAC je enako.

V istem meniju z izbiro SmartWhois lahko pošljete izbrani izvorni ali ciljni IP naslov v SmartWhois, samostojno aplikacijo Tamosoft, ki zbira podatke o katerem koli naslovu IP ali imenu gostitelja, kot so ime omrežja, domena, država, država ali provinca. , mesto in ga zagotovi uporabniku.

Drugi zavihek, "Paketi", prikaže vse pakete, zajete na izbranem omrežnem vmesniku, in podrobne informacije o njih.

Kartica Paketi

Okno je razdeljeno na tri področja. Prvi prikaže seznam vseh zajetih paketov. Če izberete enega od paketov v njem, tako da kliknete nanj z miškinim kazalcem, bodo ostala okna prikazala informacije o njem. Prikazuje številko paketa, protokol, Mac in IP naslove gostitelja pošiljatelja in prejemnika, uporabljena vrata in čas videza paketa.

V srednjem območju je prikazana vsebina paketa – v šestnajstiški ali besedilni obliki. V slednjem primeru so znaki, ki jih ni mogoče natisniti, zamenjani s pikami. Če je v zgornjem območju izbranih več paketov hkrati, bo v srednjem oknu prikazano skupno število izbranih paketov, njihova skupna velikost ter časovni interval med prvim in zadnjim paketom.

V spodnjem oknu so prikazane dekodirane podrobne informacije o izbranem paketu.

S klikom na enega od treh gumbov v spodnjem desnem delu okna lahko izberete položaj okna za dekodiranje: v spodnjem delu ali poravnate levo ali desno. Druga dva gumba vam omogočata, da samodejno skočite na zadnji prejeti paket in shranite izbrani paket v vidno območje seznama.

Kontekstni meni vam omogoča, da kopirate MAC, IP naslove in celotne pakete v odložišče, dodelite vzdevke, uporabite hitri filter za izbiro zahtevanih paketov ter uporabite tudi orodja za rekonstrukcijo seje TCP in generator paketov.

Orodje za rekonstrukcijo seje TCP vam omogoča ogled procesa komunikacije med dvema gostiteljema prek TCP. Da bo vsebina seje videti bolj razumljiva, morate izbrati ustrezno "logiko prikaza". Ta funkcija je najbolj uporabna za obnovitev besedilnih informacij, kot sta HTML ali ASCII.

Dobljene podatke je mogoče izvoziti kot besedilno, RTF ali binarno datoteko.

Zavihek Dnevniške datoteke... Tukaj lahko konfigurirate nastavitve za shranjevanje zajetih paketov v datoteko. CommView shrani datoteke dnevnika v lastnem formatu NCF; za njihov ogled se uporablja vgrajeni pripomoček, ki ga lahko zaženete iz menija »Datoteka«.

Možno je omogočiti samodejno shranjevanje prestreženih paketov, ko prispejo, beleženje sej HTTP v formatih TXT in HTML, shranjevanje, brisanje, spajanje in deljenje dnevniških datotek. Upoštevajte, da se paket ne shrani takoj ob prihodu, zato če si ogledate datoteko dnevnika v realnem času, verjetno ne bo vsebovala najnovejših paketov. Da bi program takoj poslal medpomnilnik v datoteko, morate klikniti gumb »Končaj zajemanje«.

V zavihku "Pravila" nastavite lahko pogoje za prestrezanje ali ignoriranje paketov.

Za lažjo izbiro in analizo zahtevanih paketov lahko uporabite pravila filtriranja. Pomagal bo tudi znatno zmanjšati količino sistemskih virov, ki jih uporablja CommView.

Če želite omogočiti katero koli pravilo, morate izbrati ustrezen razdelek na levi strani okna. Na voljo je sedem vrst pravil: preprosta - "Protokoli in smer", "naslovi Mac", "naslovi IP", "vrata", "besedilo", "zastave TCP", "proces", kot tudi univerzalno pravilo " Formule". Za vsako od preprostih pravil lahko izberete posamezne parametre, kot je izbira smeri ali protokola. Splošno pravilo formule je močan in prilagodljiv mehanizem za ustvarjanje filtrov z uporabo Booleove logike. Najdete lahko podrobno referenco o njegovi sintaksi.

Tab "opozorila" vam bo pomagal konfigurirati nastavitve za obvestila o različnih dogodkih, ki se dogajajo v proučevanem segmentu omrežja.

Zavihek Opozorila vam omogoča ustvarjanje, spreminjanje, brisanje opozorilnih pravil in ogled trenutnih dogodkov, ki se ujemajo s temi pravili

Če želite nastaviti opozorilno pravilo, s klikom na gumb "Dodaj ..." v oknu, ki se odpre, izberite potrebne pogoje, ob pojavu katerih se bo obvestilo sprožilo, ter način obveščanja uporabnika o tem.

CommView vam omogoča, da definirate naslednje vrste spremljanih dogodkov:

"Iskanje paketa", ki se ujema z določeno formulo. Sintaksa formule je podrobno opisana v uporabniškem priročniku;
Bajtov na sekundo. To opozorilo se bo sprožilo, ko bo presežena določena obremenitev omrežja;
Paketi na sekundo. Sproži se, ko je presežena določena raven hitrosti paketnega prenosa;
Oddajanja na sekundo. Enako, samo za oddajne pakete;
Večoddajanje na sekundo je enako za multicast pakete.
Neznan naslov MAC. To opozorilo lahko uporabite za odkrivanje povezav nove ali nepooblaščene opreme v omrežje tako, da vnaprej nastavite seznam znanih naslovov z možnostjo "Konfiguriraj";
opozorilo "Neznan IP naslov" se bo sprožilo pri prestrezanju paketov z neznanim izvornim ali ciljnim naslovom IP. Če vnaprej določite seznam znanih naslovov, lahko to opozorilo uporabite za odkrivanje nepooblaščenih povezav prek požarnega zidu vašega podjetja.

CommView ima zmogljivo orodje za vizualizacijo statistike prometa. Če želite odpreti okno s statistiko, morate v meniju »Pogled« izbrati istoimenski element.

Okno s statistiko v načinu "Splošno".

V tem oknu si lahko ogledate statistiko omrežnega prometa: tukaj lahko vidite število paketov na sekundo, bajtov na sekundo, porazdelitev Etherneta, IP in podprotokolov. Diagrame lahko kopirate v odložišče, kar vam bo pomagalo, če boste morali ustvariti poročila.

Razpoložljivost, stroški, sistemske zahteve

Trenutna različica programa je CommView 5.1. S spletne strani Tamosoft je možno, ki bo delovala 30 dni.

Razvijalec kupcem ponuja dve možnosti licence:

Domača licenca (domača licenca), vredna 2000 rubljev, daje pravico do uporabe programa doma na nekomercialni osnovi, medtem ko je število gostiteljev, ki so na voljo za spremljanje v vašem domačem omrežju, omejeno na pet. Pod to vrsto licence ni dovoljeno delati na daljavo z uporabo oddaljenega agenta.
Podjetniška licenca (za podjetja, cena - 10.000 rubljev) zagotavlja pravico do komercialne in nekomercialne uporabe programa eni osebi, ki osebno uporablja program na enem ali več računalnikih. Program je mogoče namestiti tudi na eno delovno postajo in ga uporablja več oseb, vendar ne hkrati.

Aplikacija deluje v operacijskih sistemih Windows 98 / Me / NT / 2000 / XP / 2003. Za delo potrebujete omrežni adapter Ethernet, brezžični Ethernet, Token Ring s podporo za standard NDIS 3.0 ali standardni krmilnik za oddaljeni dostop.

Prednosti:

lokaliziran vmesnik;
odličen sistem pomoči;
podpora za različne vrste omrežnih adapterjev;
napredna orodja za analizo paketov in zaznavanje protokolov;
vizualizacija statistike;
funkcionalni opozorilni sistem.

minusi:

previsoki stroški;
pomanjkanje prednastavitev za pravila in opozorila za prestrezanje;
ni zelo priročen mehanizem za izbiro paketa na zavihku "Paketi".

Zaključek

Zaradi odlične funkcionalnosti in uporabniku prijaznega vmesnika je CommView nepogrešljivo orodje za skrbnike LAN, ponudnike internetnih storitev in domače uporabnike. Zadovoljen sem bil s temeljitim pristopom razvijalca k ruski lokalizaciji paketa: tako vmesnik kot referenčni priročnik sta narejena na zelo visoki ravni. Slika je nekoliko zatemnjena zaradi visokih stroškov programa, toda tridesetdnevna preizkusna različica bo potencialnemu kupcu pomagala pri odločitvi o smotrnosti nakupa tega pripomočka.

Mnogi uporabniki računalniških omrežij na splošno ne poznajo pojma "vohač". Poskusili bomo definirati, kaj je sniffer, preprosto povedano za nepripravljenega uporabnika. Toda najprej se morate vseeno poglobiti v vnaprejšnjo določitev samega izraza.

Sniffer: kaj je sniffer v smislu angleščine in računalniške tehnologije?

Pravzaprav sploh ni težko določiti bistva takšnega programskega ali strojno-programskega kompleksa, če samo prevedete izraz.

To ime izvira iz angleške besede sniff (vohati). Od tod tudi pomen izraza v ruskem jeziku "vohač". Kaj je vohalec v našem razumevanju? "Vohač", ki je sposoben spremljati uporabo omrežnega prometa, ali, z drugimi besedami, vohun, ki lahko moti delovanje lokalnih ali internetno usmerjenih omrežij in pridobi informacije, ki jih potrebuje na podlagi dostopa prek prenosa podatkov TCP/IP. protokoli.

Analizator prometa: kako deluje?

Takoj se rezervirajmo: sniffer, pa naj bo to programska ali pogojno-programska komponenta, je sposoben analizirati in prestrezati promet (prenesene in prejete podatke) izključno prek omrežnih kartic (Ethernet). Kar se zgodi?

Omrežni vmesnik se ne izkaže vedno kot zaščiten s požarnim zidom (spet programsko ali strojno), zato postane prestrezanje poslanih ali prejetih podatkov zgolj stvar tehnologije.

Znotraj omrežja se informacije prenašajo v segmentih. Znotraj enega segmenta naj bi se podatkovni paketi pošiljali absolutno vsem napravam, ki so povezane v omrežje. Informacije o segmentih se posredujejo usmerjevalnikom (usmerjevalnikom), nato pa stikalom (stikalom) in vozliščem (vozlišča). Informacije se pošiljajo z delitvijo paketov, tako da končni uporabnik prejme vse dele paketa s popolnoma različnih poti. Tako lahko "poslušanje" vseh potencialno možnih poti od enega naročnika do drugega ali interakcija internetnega vira z uporabnikom zagotovi ne le dostop do nešifriranih informacij, ampak tudi do nekaterih skrivnih ključev, ki jih je mogoče tudi poslati v takšni interakciji. proces. In tu se izkaže, da je omrežni vmesnik popolnoma nezaščiten, ker posreduje tretja oseba.

Dobri nameni in zlonamerni cilji?

Vohala se lahko uporabljajo za škodo in dobro. Da ne omenjam negativnega vpliva, je treba omeniti, da takšne sisteme strojne in programske opreme pogosto uporabljajo sistemski skrbniki, ki poskušajo spremljati dejanja uporabnikov ne le v omrežju, temveč tudi njihovo vedenje v internetu v smislu obiskanih virov, aktiviranih prenosov. na računalnike ali pošiljanje z njih....

Tehnika, ki jo uporablja omrežni analizator, je precej preprosta. Vohalnik določa odhodni in dohodni promet avtomobila. To ni notranji ali zunanji IP. Najpomembnejši kriterij je tako imenovani MAC-naslov, ki je edinstven za vsako napravo, povezano z globalnim spletom. Na njem je identificiran vsak stroj v omrežju.

Vrste vohalcev

Toda po vrsti jih lahko razdelimo na več glavnih:

strojna oprema;
programska oprema;
strojna in programska oprema;
spletni programčki.

Vedenjsko zaznavanje prisotnosti vohača v omrežju

Enak WiFi vohljač lahko zaznate glede na obremenitev omrežja. Če vidite, da prenos podatkov ali povezava ni na nivoju, ki ga je deklariral ponudnik (ali usmerjevalnik dovoljuje), bodite na to pozorni takoj.

Po drugi strani pa lahko ponudnik internetnih storitev zažene tudi programsko opremo za spremljanje prometa brez vednosti uporabnika. Toda praviloma uporabnik za to niti ne ve. Po drugi strani pa organizacija, ki zagotavlja komunikacijske storitve in internetne povezave, tako uporabniku zagotavlja popolno varnost v smislu prestrezanja poplav, samonamestitvenih odjemalcev heterogenih trojanskih programov, vohunske programske opreme itd. Toda takšna orodja so precej programska in nimajo posebnega učinka na omrežje ali uporabniške terminale.

Spletni viri

Spletni analizator prometa je lahko še posebej nevaren. Primitiven računalniški hekerski sistem je zgrajen na uporabi vohalcev. Tehnologija v svoji najpreprostejši obliki se spušča v dejstvo, da se napadalec najprej registrira na določenem viru, nato pa naloži sliko na spletno mesto. Po potrditvi prenosa se izda povezava do spletnega vohača, ki se pošlje potencialni žrtvi, na primer v obliki e-pošte ali istega SMS-sporočila z besedilom, kot je "Od nekoga ste prejeli čestitko . Če želite odpreti sliko (razglednico), kliknite na povezavo."

Naivni uporabniki kliknejo na določeno hiperpovezavo, zaradi česar se aktivira identifikacija in prenos zunanjega naslova IP napadalcu. Če obstaja ustrezna aplikacija, si bo lahko ogledal ne le vse podatke, ki so shranjeni v računalniku, ampak tudi enostavno spreminjal sistemske nastavitve od zunaj, o čemer lokalni uporabnik ne bo niti uganil, saj takšno spremembo vzame za učinek virusa. Toda samo skener bo med skeniranjem oddal nič groženj.

Kako se zaščititi pred prestrezanjem podatkov?

Ne glede na to, ali gre za WiFi vohalnik ali kateri koli drug analizator, še vedno obstajajo sistemi za zaščito pred nepooblaščenim skeniranjem prometa. Obstaja samo en pogoj: namestiti jih je treba le pod pogojem popolnega zaupanja v "prisluškovanje".

Takšna programska orodja se najpogosteje imenujejo "anti-sniffers". Če pa pomislite, so to isti snifferji, ki analizirajo promet, vendar blokirajo druge programe, ki jih poskušajo pridobiti

Od tod legitimno vprašanje: ali je vredno namestiti takšno programsko opremo? Morda bo hekersko vdiranje naredilo še več škode ali pa bo sam blokiral, kar bi moralo delovati?

V najpreprostejšem primeru pri sistemih Windows je bolje uporabiti vgrajen požarni zid (požarni zid) kot zaščito. Včasih lahko pride do konfliktov z nameščenim protivirusnim programom, pogosteje pa to velja le za brezplačne pakete. Profesionalno kupljene ali mesečno aktivirane različice nimajo takšnih pomanjkljivosti.

Namesto pogovora

To je vse, kar je v pojmu "vohač". Zdi se, da so mnogi že ugotovili, kaj je vohač. Nazadnje ostaja vprašanje drugačno: kako pravilno bo takšne stvari uporabljal navaden uporabnik? In takrat lahko med mladimi uporabniki včasih opazite nagnjenost k računalniškemu huliganstvu. Menijo, da je vdiranje v "računalnik" nekoga drugega nekaj takega kot zanimivo tekmovanje ali samopotrditev. Žal nihče od njih niti ne razmišlja o posledicah, napadalca pa je zelo enostavno prepoznati z istim spletnim vohačem po njegovem zunanjem IP-ju, na primer na spletnem mestu WhoIs. Kot lokacija pa bo navedena lokacija ponudnika, država in mesto pa bosta natančno določena. No, potem je zadeva majhna: bodisi klic ponudniku, da bi blokiral terminal, s katerega je bil opravljen nepooblaščen dostop, bodisi sodna zadeva. Naredite svoje zaključke.

Z nameščenim programom za določanje lokacije terminala, s katerega se izvaja poskus dostopa, je situacija še enostavnejša. Toda posledice so lahko katastrofalne, saj vsi uporabniki ne uporabljajo teh anonimizatorjev ali virtualnih proxy strežnikov in nimajo pojma o internetu. In bi se bilo vredno naučiti ...