Мережевий аналізатор трафіку сниффер. Що таке сниффер: опис
Багатьом користувачам комп`ютерних мереж, в общем-то, незнайоме таке поняття як «сниффер». Що таке сниффер, спробуємо і визначити, кажучи простою мовою непідготовленого користувача. Але для початку все одно доведеться заглибитися в приречення самого терміна.
Сніффер: що таке sniffer з точки зору англійської мови та комп`ютерної техніки?
Насправді визначити сутність такого програмного або програмно-апаратного комплексу зовсім нескладно, якщо просто перевести термін.
Ця назва походить від англійського слова sniff (нюхати). Звідси і значення російськомовного терміна «сниффер». Що таке sniffer в нашому розумінні? «Нюхач», здатний здійснювати контроль за використанням мережевого трафіку, а, простіше кажучи, шпигун, який може втручатися в роботу локальних або інтернет-орієнтованих мереж, витягуючи потрібну йому інформацію на основі доступу через протоколи передачі даних TCP / IP.
Відео: Hardware ethernet sniffing. Перехоплення трафіку з ethernet кабелю!
Аналізатор трафіку: як це працює?
Обмовимося відразу: сниффер, будь він програмним або умовно-програмним компонентом, здатний аналізувати і перехоплювати трафік (передані і прийняті дані) виключно через мережеві карти (Ethernet). Що виходить?
Мережевий інтерфейс не завжди виявляється захищеним файрволлом (знову ж таки - програмним або «залізним»), а тому перехоплення переданих або отриманих даних стає всього лише справою техніки.
Усередині мережі інформація передається по сегментам. Всередині одного сегмента передбачається розсилка пакетів даних абсолютно всіх пристроїв, підключеним до мережі. Сегментарна інформація переадресовується на маршрутизатори (роутери), а потім на комутатори (світчі) і концентратори (хаби). Відправка інформації проводиться шляхом розбиття пакетів, так що кінцевий користувач отримує всі частини сполученого разом пакета абсолютно з різних маршрутів. Таким чином «прослуховування» всіх потенційно можливих маршрутів від одного абонента до іншого або взаємодія інтернет-ресурсу з користувачем може дати не тільки доступ до незашифрованому інформації, але і до деяких секретних ключів, які теж можуть пересилатися в такому процесі взаємодії. І тут мережевий інтерфейс виявляється абсолютно незахищеним, бо відбувається втручання третьої особи.
Благі наміри і зловмисні цілі?
Сніффери можна використовувати і на шкоду, і на благо. Не кажучи про негативний вплив, варто відзначити, що такі програмно-апаратні комплекси досить часто використовуються системними адміністраторами, які намагаються відстежити дії користувачів не тільки в мережі, але і їх поведінка в інтернеті в плані відвідуваних ресурсів, активованих завантажень на комп`ютери або відправки з них .
Методика, за якою працює мережевий аналізатор, досить проста. Сніффер визначає вихідний і вхідний трафік машини. При цьому мова не йде про внутрішньому або зовнішньому IP. Найголовнішим критерієм є так званий MAC-address, унікальний для будь-якого пристрою, підключеного до глобальної павутини. Саме по ньому відбувається ідентифікація кожної машини в мережі.
види сніфферов
Але і за видами їх можна розділити на кілька основних:
- апаратні;
- програмні;
- апаратно-програмні;
- онлайн-аплети.
Поведінковий визначення присутності сніффер в мережі
Виявити той же сниффер WiFi можна по навантаженню на мережу. Якщо видно, що передача даних або з`єднання знаходиться не на тому рівні, який заявляється провайдером (або дозволяє роутер), слід звернути на це увагу відразу.
З іншого боку, провайдер теж може запустити програмний сниффер для відстеження трафіку без відома користувача. Але, як правило, користувач про це навіть не здогадується. Зате організація, що надає послуги зв`язку і підключення до Інтернету, таким чином гарантує користувачеві повну безпеку в плані перехоплення флуду, самовстановлюються клієнтів різнорідних пірінгових мереж, троянів, шпигунів і т.д. Але такі кошти є скоріше програмними і особливого впливу на мережу або призначені для користувача термінали не роблять.
Онлайн-ресурси
А ось особливо небезпечним може бути аналізатор трафіку онлайн-типу. На використанні сніфферов побудована примітивна система злому комп`ютерів. Технологія в її найпростішому варіанті зводиться до того, що спочатку зломщик реєструється на певному ресурсі, потім завантажує на сайт картинку. Після підтвердження завантаження видається посилання на онлайн-сниффер, яка пересилається потенційній жертві, наприклад, у вигляді електронного листа або того ж SMS-повідомлення з текстом на кшталт «Вам прийшло привітання від того-то. Щоб відкрити картинку (листівку), натисніть на лінк ».
Наївні користувачі клацають по зазначеній гіперпосиланням, в результаті чого активується упізнання і передача зовнішнього IP-адреси зловмисникові. При наявності відповідної програми він зможе не тільки переглянути всі дані, що зберігаються на комп`ютері, але і з легкістю поміняти настройки системи ззовні, про що локальний користувач навіть не здогадається, прийнявши таку зміну за вплив вірусу. Та ось тільки сканер при перевірці видасть нуль загроз.
Як захиститися від перехоплення даних?
Будь то сниффер WiFi або будь-який інший аналізатор, системи захисту від несанкціонованого сканування трафіку все ж є. Умова одна: їх потрібно встановлювати тільки за умови повної впевненості в «прослушку».
Такі програмні засоби найчастіше називають «антісніфферамі». Але якщо задуматися, це ті ж самі сніффери, що аналізують трафік, але блокують інші програми, які намагаються отримати несанкціонований доступ.
Відео: Аналіз HTTP і HTTPS трафіку
Звідси законне питання: а чи варто і встановлювати таке ПО? Бути може, його злом з боку хакерів завдасть ще більшої шкоди, або вона сама заблокує то, що має працювати?
У найпростішому випадку з Windows-системами в якості захисту краще використовувати вбудований брендмауер (фаєрвол). Іноді можуть спостерігатися конфлікти з встановленим антивірусом, але це частіше стосується тільки безкоштовних пакетів. Професійні покупні або щомісяця активуються версії таких недоліків позбавлені.
замість післямови
Ось і все, що стосується поняття «сниффер». Що таке sniffer, думається, вже багато зрозуміли. Наостанок питання залишається в іншому: наскільки правильно такі речі буде використовувати пересічний користувач? А то ж серед юних користувачів іноді можна помітити схильність до комп`ютерного хуліганства. Вони-то думають, що зламати чужий «комп» - це щось на зразок цікавого змагання або самоствердження. На жаль, ніхто з них навіть не замислюється про наслідки, але ж визначити зловмисника, котрий використовує той же онлайн-сниффер, дуже просто за його зовнішнім IP, наприклад, на сайті WhoIs. Якщо для розташування, правда, буде вказана локація провайдера, тим не менш, країна і місто визначаться точно. Ну а потім справа за малим: або дзвінок провайдеру з метою блокування терміналу, з якого проводився несанкціонований доступ, або підсудна справа. Висновки робіть самі.
При встановленій програмі визначення дислокації терміналу, з якого йде спроба доступу, справа йде і того простіше. Але ось наслідки можуть виявитися катастрофічними, адже далеко не всі користувачі використовують ті хе анонімайзери або віртуальні проксі-сервери і навіть не мають поняття, як приховати свій IP в інтернеті. А варто було б повчитися…