Сниффер — это специальное приложение (компьютерная программа), которое захватывает и анализирует входные и/или выходные пакеты, проходящие по определенной сети связи между устройствами.
Это программное обеспечение может «обнюхивать» трафик, проходящий через сеть, и перехватывать из него данные. Он предназначен для анализа пакетов данных, которые для него не предназначены, что может быть очень полезно в некоторых случаях, но и очень опасно в некоторых других.
Существуют платные и бесплатные версии этого программного обеспечения для разных платформ.
Некоторые из более простых решений очень легко реализовать с помощью командной строки и отображения перехваченных данных на экране, в то время как более сложные проекты имеют графический интерфейс, отображающий статистику трафика в виде графиков, отслеживающий несколько сеансов и предлагающий различные варианты конфигурации.
Сетевые снифферы также могут использоваться в качестве «движков» для другого программного обеспечения, такого как IDS (системы обнаружения вторжений), где они обычно обнаруживают пакеты, соответствующие заранее определенным правилам, используемым для идентификации трафика как вредоносного или подозрительного.
Сниффер также может использоваться сетевыми администраторами для определенных измерений трафика, чтобы анализировать и сообщать об источнике данных, получателе, сервере обработки, типе передаваемых пакетов данных и т. д.
Данные, собранные сниффером, могут оказаться более ценными, чем кажется: при правильном использовании они позволяют пользователю получить очень подробную информацию. Таким образом, хотя это не обязательно вызывает беспокойство, его использование может в конечном итоге зависеть от способа доступа к пакетам данных.
Это означает, что сетевой адаптер переводится в состояние, известное как «неразборчивый режим», в котором он не отбрасывает пакеты, адресованные другим MAC-адресам, а сохраняет и считывает их. После этого устройство сможет видеть все данные, передаваемые через его сегмент сети.
Затем программное обеспечение постоянно считывает всю информацию, поступающую в устройство через сетевую карту. Данные перемещаются по сети в виде пакетов или пакетов битов, отформатированных с использованием определенных протоколов, поэтому сниффер может фильтровать уровни инкапсуляции и декодировать информацию об исходном и целевом компьютерах, номере целевого порта, полезной нагрузке и других деталях, которыми обмениваются два устройства.
Сниффер не пытается заразить систему другими угрозами, он не может вызвать каких-либо проблем с производительностью или стабильностью. Однако это может легко привести к проблемам, связанным с конфиденциальностью.
Приложения этого типа не потребляют много системных ресурсов и не имеют графического интерфейса, что затрудняет их обнаружение. Поскольку снифферы не являются вирусами, они не могут распространяться сами по себе и должны кем-то «контролироваться».
Сниффер может быть установлен вручную системным администратором или любым пользователем, имеющим достаточные права для установки программного обеспечения. В любом случае это шпионское ПО устанавливается без ведома и согласия затронутого пользователя.
Этот метод известен как «пассивная атака», поскольку он не мешает работе сети.
Одна из задач, которую может выполнять сниффер, — отслеживать все, что происходит в локальной сети компании, предоставляя администраторам максимально возможный контроль, чтобы ничто не могло ускользнуть от них. Это также позволяет им проводить аудит всей сети, проверять входящий и исходящий трафик и на основе этого отслеживать его поведение.
Еще один способ использования сниффера с этической точки зрения - это хакерский взлом, когда этический хакер выявляет уязвимости в сети компании, чтобы предотвратить их использование. Это помогает избежать любого типа шпионажа, атак киберпреступников и повысить безопасность.
Идентификация пакетов, циркулирующих по сети под их управлением, позволяет команде ИБ быть в курсе всего, что происходит, и знать, как действовать в каждом конкретном случае.
С другой стороны, снифферы также довольно часто используются в злонамеренных целях для перехвата информации в сети, например, для кражи плохо зашифрованных паролей.
Для решения этой проблемы постоянно разрабатываются и совершенствуются системы безопасности, методы шифрования становятся все более совершенными и их трудно взломать, что затрудняет вмешательство злонамеренных третьих лиц.
В старых сетях со звездообразной топологией сниффер можно установить на любом хосте, поскольку центральный концентратор пересылает все, что он получает, на все хосты, тогда как в современных сетях, где данные пересылаются только на целевой хост, должен быть расположен сниффер. на центральном концентраторе для захвата всех кадров данных.
Для топологий «кольцо», «двойное кольцо» и «шина» анализатор можно установить на любом хосте, поскольку все они используют общую среду передачи.
В древовидных сетях корневой узел имеет доступ к большинству кадров, хотя при использовании более совершенных коммутаторов кадры могут передаваться напрямую между узлами более низкого уровня, не проходя через корневой узел.
Использование коммутаторов и маршрутизаторов помогает повысить безопасность сети за счет ограничения использования снифферов, поскольку кадры направляются только соответствующим получателям.
Одним из наиболее эффективных методов защиты от снифферов является шифрование данных. В этом случае прочитать данные сможет только тот, кто знает ключ, используемый для шифрования. Этот метод используется на большинстве веб-страниц, требующих данных или паролей, поскольку это конфиденциальная информация, которую никто другой не должен знать.
Вы также можете защитить себя, используя сниффер, который позволяет определить, какие данные покидают устройство и куда они направляются. Сниффер может обнаружить другой сниффер, получить его IP-адрес и MAC-адрес и заблокировать его в будущем. Кроме того, существуют антишпионские и анти-перехватывающие программы, которые могут обнаруживать перехватывающие атаки в сети и блокировать их.
Два других важных метода обеспечения безопасности, которые следует учитывать при защите от перехватчиков, — это сегментация сети и шифрование.
Снифферы обычно способны перехватывать данные только внутри сегмента сети. Это означает, что чем более сегментирована сеть, тем меньше информации они могут перехватить. Коммутаторы и маршрутизаторы могут помочь вам в этом.
Другое решение — шифрование сеанса. Данные просто шифруются и становятся непонятными, поэтому вам не нужно беспокоиться о том, что они будут перехвачены. Вы всегда должны просматривать зашифрованные веб-сайты (https) и отправлять важные файлы в зашифрованном виде.
Гораздо более эффективной и технически сложной мерой является использование VPN (виртуальной частной сети), которая шифрует весь трафик и позволяет вам получить конфиденциальный доступ к веб-сайтам, сервисам и приложениям. Широкое использование этой стратегии может затруднить, а может быть, даже сделать невозможным успешное использование снифферов злоумышленниками.
Защита от снифферов не утратила своей актуальности: поскольку методы их обнаружения становятся все более изощренными, почти мгновенно появляются новые типы снифферов, пытающиеся их перехитрить. Однако, чтобы точно понимать, каких результатов можно ожидать от ваших инструментов, любой администратор безопасности должен быть знаком со всеми инструментами, которые могут помочь обнаружить снифферы в его сетях, а также с любыми методами обхода, которые может использовать злоумышленник.
В подавляющем большинстве случаев хорошей стратегией безопасности остается реализация программы регулярных проверок сетевой инфраструктуры для обнаружения снифферов, деактивации беспорядочных сетевых карт и запуска сигналов тревоги.
(c) https://protelion.com/resources/blog/what-is-a-sniffer/
Это программное обеспечение может «обнюхивать» трафик, проходящий через сеть, и перехватывать из него данные. Он предназначен для анализа пакетов данных, которые для него не предназначены, что может быть очень полезно в некоторых случаях, но и очень опасно в некоторых других.
Существуют платные и бесплатные версии этого программного обеспечения для разных платформ.
Некоторые из более простых решений очень легко реализовать с помощью командной строки и отображения перехваченных данных на экране, в то время как более сложные проекты имеют графический интерфейс, отображающий статистику трафика в виде графиков, отслеживающий несколько сеансов и предлагающий различные варианты конфигурации.
Сетевые снифферы также могут использоваться в качестве «движков» для другого программного обеспечения, такого как IDS (системы обнаружения вторжений), где они обычно обнаруживают пакеты, соответствующие заранее определенным правилам, используемым для идентификации трафика как вредоносного или подозрительного.
Сниффер также может использоваться сетевыми администраторами для определенных измерений трафика, чтобы анализировать и сообщать об источнике данных, получателе, сервере обработки, типе передаваемых пакетов данных и т. д.
Данные, собранные сниффером, могут оказаться более ценными, чем кажется: при правильном использовании они позволяют пользователю получить очень подробную информацию. Таким образом, хотя это не обязательно вызывает беспокойство, его использование может в конечном итоге зависеть от способа доступа к пакетам данных.
Операция
Приложение-сниффер перенастраивает сетевую карту (NIC) устройства (обычно ПК или ноутбука), чтобы оно перестало игнорировать и прослушивало весь трафик, адресованный другим компьютерам.Это означает, что сетевой адаптер переводится в состояние, известное как «неразборчивый режим», в котором он не отбрасывает пакеты, адресованные другим MAC-адресам, а сохраняет и считывает их. После этого устройство сможет видеть все данные, передаваемые через его сегмент сети.
Затем программное обеспечение постоянно считывает всю информацию, поступающую в устройство через сетевую карту. Данные перемещаются по сети в виде пакетов или пакетов битов, отформатированных с использованием определенных протоколов, поэтому сниффер может фильтровать уровни инкапсуляции и декодировать информацию об исходном и целевом компьютерах, номере целевого порта, полезной нагрузке и других деталях, которыми обмениваются два устройства.
Сниффер не пытается заразить систему другими угрозами, он не может вызвать каких-либо проблем с производительностью или стабильностью. Однако это может легко привести к проблемам, связанным с конфиденциальностью.
Приложения этого типа не потребляют много системных ресурсов и не имеют графического интерфейса, что затрудняет их обнаружение. Поскольку снифферы не являются вирусами, они не могут распространяться сами по себе и должны кем-то «контролироваться».
Сниффер может быть установлен вручную системным администратором или любым пользователем, имеющим достаточные права для установки программного обеспечения. В любом случае это шпионское ПО устанавливается без ведома и согласия затронутого пользователя.
Этот метод известен как «пассивная атака», поскольку он не мешает работе сети.
Зачем использовать сниффер?
Снифферы имеют плохую репутацию из-за того, что хакеры широко используют их для доступа к данным со злыми намерениями. Однако киберпреступники – не единственные, кто может извлечь выгоду из этой технологии. Есть люди (в основном сетевые администраторы), работающие в компаниях или действующие в личном качестве, которые используют снифферы в своей работе совершенно законным и этичным образом.Одна из задач, которую может выполнять сниффер, — отслеживать все, что происходит в локальной сети компании, предоставляя администраторам максимально возможный контроль, чтобы ничто не могло ускользнуть от них. Это также позволяет им проводить аудит всей сети, проверять входящий и исходящий трафик и на основе этого отслеживать его поведение.
Еще один способ использования сниффера с этической точки зрения - это хакерский взлом, когда этический хакер выявляет уязвимости в сети компании, чтобы предотвратить их использование. Это помогает избежать любого типа шпионажа, атак киберпреступников и повысить безопасность.
Идентификация пакетов, циркулирующих по сети под их управлением, позволяет команде ИБ быть в курсе всего, что происходит, и знать, как действовать в каждом конкретном случае.
С другой стороны, снифферы также довольно часто используются в злонамеренных целях для перехвата информации в сети, например, для кражи плохо зашифрованных паролей.
Для решения этой проблемы постоянно разрабатываются и совершенствуются системы безопасности, методы шифрования становятся все более совершенными и их трудно взломать, что затрудняет вмешательство злонамеренных третьих лиц.
Популярные снифферы
Снифферы — довольно редкие приложения, имеющие одинаковые базовые возможности. Следующие примеры иллюстрируют типичные особенности наиболее популярных снифферов:- Wireshark (ранее Ethereal): используется для анализа и устранения неполадок в сетях во время разработки программного обеспечения и протоколов, а также, в некоторых случаях, в качестве учебного пособия в образовательных целях. Он предлагает графический интерфейс, фильтры и встроенные инструменты редактирования пакетов, поддерживает широкий спектр различных протоколов и подходит практически для любой сети и операционной системы.
- Ettercap: перехватчик/регистратор для коммутируемых локальных сетей. Он поддерживает активные и пассивные адреса различных протоколов, даже зашифрованных, таких как SSH и HTTPS. Это также позволяет вводить и фильтровать данные в установленном соединении.
- BUTTSniffer: программа, используемая исключительно во вредоносных целях. Он поддерживает множество сетевых протоколов, фильтрует захваченные данные и сохраняет их в файл. Он функционирует как отдельное приложение или как плагин для других приложений.
- Kismet: анализатор пакетов и система обнаружения вторжений для беспроводных сетей 802.11 (WiFi). Он работает с любой беспроводной картой, поддерживающей необработанный мониторинг, и может отслеживать трафик 802.11b, 802.11a и 802.11g.
- TCPDUMP: утилита командной строки, которая анализирует сетевой трафик. Это позволяет пользователю захватывать и просматривать пакеты, передаваемые и получаемые в сети, к которой подключен компьютер, в режиме реального времени.
Топология сети и снифферы
Количество кадров, которые может перехватить сниффер, зависит от топологии сети, способа ее установки и среды передачи.В старых сетях со звездообразной топологией сниффер можно установить на любом хосте, поскольку центральный концентратор пересылает все, что он получает, на все хосты, тогда как в современных сетях, где данные пересылаются только на целевой хост, должен быть расположен сниффер. на центральном концентраторе для захвата всех кадров данных.
Для топологий «кольцо», «двойное кольцо» и «шина» анализатор можно установить на любом хосте, поскольку все они используют общую среду передачи.
В древовидных сетях корневой узел имеет доступ к большинству кадров, хотя при использовании более совершенных коммутаторов кадры могут передаваться напрямую между узлами более низкого уровня, не проходя через корневой узел.
Использование коммутаторов и маршрутизаторов помогает повысить безопасность сети за счет ограничения использования снифферов, поскольку кадры направляются только соответствующим получателям.
Защита от снифферов
Будучи пассивными злоумышленниками, снифферы практически не оставляют следов помех, и их трудно обнаружить. Один из способов их идентификации — проверить, находится ли какой-либо сетевой адаптер в беспорядочном режиме.Одним из наиболее эффективных методов защиты от снифферов является шифрование данных. В этом случае прочитать данные сможет только тот, кто знает ключ, используемый для шифрования. Этот метод используется на большинстве веб-страниц, требующих данных или паролей, поскольку это конфиденциальная информация, которую никто другой не должен знать.
Вы также можете защитить себя, используя сниффер, который позволяет определить, какие данные покидают устройство и куда они направляются. Сниффер может обнаружить другой сниффер, получить его IP-адрес и MAC-адрес и заблокировать его в будущем. Кроме того, существуют антишпионские и анти-перехватывающие программы, которые могут обнаруживать перехватывающие атаки в сети и блокировать их.
Два других важных метода обеспечения безопасности, которые следует учитывать при защите от перехватчиков, — это сегментация сети и шифрование.
Снифферы обычно способны перехватывать данные только внутри сегмента сети. Это означает, что чем более сегментирована сеть, тем меньше информации они могут перехватить. Коммутаторы и маршрутизаторы могут помочь вам в этом.
Другое решение — шифрование сеанса. Данные просто шифруются и становятся непонятными, поэтому вам не нужно беспокоиться о том, что они будут перехвачены. Вы всегда должны просматривать зашифрованные веб-сайты (https) и отправлять важные файлы в зашифрованном виде.
Гораздо более эффективной и технически сложной мерой является использование VPN (виртуальной частной сети), которая шифрует весь трафик и позволяет вам получить конфиденциальный доступ к веб-сайтам, сервисам и приложениям. Широкое использование этой стратегии может затруднить, а может быть, даже сделать невозможным успешное использование снифферов злоумышленниками.
Защита от снифферов не утратила своей актуальности: поскольку методы их обнаружения становятся все более изощренными, почти мгновенно появляются новые типы снифферов, пытающиеся их перехитрить. Однако, чтобы точно понимать, каких результатов можно ожидать от ваших инструментов, любой администратор безопасности должен быть знаком со всеми инструментами, которые могут помочь обнаружить снифферы в его сетях, а также с любыми методами обхода, которые может использовать злоумышленник.
В подавляющем большинстве случаев хорошей стратегией безопасности остается реализация программы регулярных проверок сетевой инфраструктуры для обнаружения снифферов, деактивации беспорядочных сетевых карт и запуска сигналов тревоги.
(c) https://protelion.com/resources/blog/what-is-a-sniffer/
