Network sniffing este utilizarea unui instrument software, numit sniffer de rețea, care monitorizează sau detectează în timp real datele care circulă prin conexiunile de rețea de computere. Acest instrument software este fie un program software autonom, fie un dispozitiv hardware cu software-ul sau firmware-ul corespunzător.
Ce este un sniffer de rețea?
Sniffer-ii de rețea fac copii instantanee ale datelor care circulă printr-o rețea fără a le redirecționa sau modifica. Unele sniffer funcționează numai cu pachete TCP/IP, dar instrumentele mai sofisticate funcționează cu multe alte protocoale de rețea și la niveluri inferioare, inclusiv cadre Ethernet.
Ani în urmă, sniffer-urile erau instrumente folosite exclusiv de inginerii profesioniști de rețea. În zilele noastre, totuși, cu software-ul disponibil gratuit pe web, aceștia sunt populari și în rândul hackerilor de pe internet și al oamenilor care sunt curioși în legătură cu crearea de rețele.
Snifferele de rețea sunt uneori denumite sonde de rețea, sniffer-uri wireless, sniffer Ethernet, sniffer-uri de pachete, analizoare de pachete sau pur și simplu sniffer-uri.
Cum sunt utilizate analizoarele de pachete
Există o gamă largă de aplicații pentru sniffer-uri de pachete. Majoritatea sniffer-urilor de pachete pot fi folosite necorespunzător de către o persoană și din motive legitime de către alta.
Un program care captează parole, de exemplu, ar putea fi folosit de un hacker, dar același instrument ar putea fi folosit de un administrator de rețea pentru a găsi statistici de rețea, cum ar fi lățimea de bandă disponibilă.
Network sniffing este, de asemenea, folosit pentru a testa firewall sau filtre web și pentru a depana relațiile client/server.
Cum funcționează Network Sniffing
Un sniffer de pachete conectat la orice rețea interceptează toate datele care circulă prin acea rețea.
Pe o rețea locală (LAN), computerele comunică de obicei direct cu alte computere sau dispozitive din rețea. Orice lucru conectat la acea rețea este expus întregului trafic. Calculatoarele sunt programate să ignore tot traficul de rețea care nu este destinat acestuia.
Software-ul de detectare a rețelei se deschide pentru întregul trafic prin deschiderea plăcii de interfață de rețea (NIC) a computerului pentru a asculta traficul respectiv. Software-ul citește acele date și efectuează analize sau extragerea acestora.
Odată ce primește date de rețea, software-ul efectuează următoarele acțiuni asupra acestuia:
- Conținutul sau pachetele individuale (secțiuni de date din rețea) sunt înregistrate.
- Unele software înregistrează doar secțiunea antet a pachetelor de date pentru a economisi spațiu.
- Datele de rețea capturate sunt decodificate și formatate astfel încât utilizatorul să poată vizualiza informațiile.
- Sniffer-urile de pachete analizează erorile de comunicare în rețea, depanează conexiunile la rețea și reconstruiesc fluxuri de date întregi destinate altor computere.
- Unele software de sniffing de rețea preia informații sensibile, cum ar fi parole, numere PIN și informații private.
Cum să contracarați atacurile prin sniffer de rețea
Dacă sunteți îngrijorat de software-ul de sniffing de rețea care spionează traficul de rețea care vine de la computerul dvs., există modalități de a vă proteja.
Există motive etice pentru care cineva ar putea avea nevoie să folosească un software de sniffer, cum ar fi atunci când un administrator de rețea monitorizează fluxul de trafic în rețea.
Când administratorii de rețea sunt îngrijorați de utilizarea nefastă a acestor instrumente în rețeaua lor, ei folosesc scanări anti-sniff pentru a se proteja de atacurile sniffer. Aceasta înseamnă că rețelele corporative sunt de obicei sigure.
Cu toate acestea, este ușor să obțineți și să utilizați software-ul sniffer din motive rău intenționate, ceea ce face ca utilizarea sa nelegitimă împotriva internetului dvs. de acasă să fie un motiv de îngrijorare. Ar fi foarte ușor pentru cineva să conecteze un astfel de software chiar și la o rețea de computere corporative.
Dacă doriți să vă protejați de cineva care vă spionează traficul de internet, utilizați un VPN care criptează traficul de internet. Puteți afla totul despre VPN-uri și furnizorii de VPN pe care îi puteți folosi pentru a vă proteja.
Instrumente de detectare a rețelei
Wireshark (cunoscut anterior ca Ethereal) este recunoscut pe scară largă drept cel mai popular sniffer de rețea din lume. Este o aplicație gratuită, open source, care afișează date de trafic cu coduri de culori pentru a indica ce protocol a fost folosit pentru a le transmite.
Pe rețelele Ethernet, interfața sa de utilizator afișează cadre individuale într-o listă numerotată și evidențiază prin culori separate, indiferent dacă sunt trimise prin TCP, UDP sau alte protocoale.
Wireshark grupează și fluxurile de mesaje trimise înainte și înapoi între o sursă și destinație (care sunt amestecate în timp cu traficul din alte conversații).
Wireshark acceptă capturi de trafic printr-o interfață cu buton de pornire/oprire. Instrumentul conține, de asemenea, opțiuni de filtrare care limitează datele afișate și incluse în capturi. Aceasta este o caracteristică critică, deoarece majoritatea traficului de rețea conține mesaje de control de rutină care nu sunt de interes.
De-a lungul anilor au fost dezvoltate multe aplicații software de sondare diferite. Iată doar câteva exemple:
- tcpdump (un instrument de linie de comandă pentru Linux și alte sisteme de operare bazate pe Unix)
- CloudShark
- Cain și Abel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Free Network Analyzer
- NetworkMiner
- Instrumente IP
Unele dintre aceste instrumente de sniffer de rețea sunt gratuite, în timp ce celel alte costă sau au o probă gratuită. De asemenea, unele dintre aceste programe nu mai sunt întreținute sau actualizate, dar sunt încă disponibile pentru descărcare.
Probleme cu Network Sniffers
Uneltele Sniffer oferă o modalitate excelentă de a afla cum funcționează protocoalele de rețea. Cu toate acestea, oferă și acces ușor la unele informații private, cum ar fi parolele de rețea. Consultați proprietarii pentru a obține permisiunea înainte de a utiliza un sniffer în rețeaua lor.
Sondele de rețea interceptează doar date din rețelele la care este atașat computerul gazdă. La unele conexiuni, sniffer-urile captează doar traficul adresat acelei interfețe de rețea. În orice caz, cel mai important lucru de reținut este că oricine dorește să folosească un sniffer de rețea pentru a spiona traficul va avea dificultăți în a face acest lucru dacă acel trafic este criptat.
Întrebări frecvente
Cum îți poți da seama dacă cineva îți adulmecă rețeaua?
Poate fi dificil să detectezi sniffer-urile, deoarece acestea rămân adesea pasive prin simpla colectare a datelor. Dar dacă un sniffer este instalat pe un computer, traficul suplimentar vă poate alerta cu privire la prezența unui sniffer. Luați în considerare utilizarea unui program software care detectează sniffer, cum ar fi Anti-Sniff, Sniff Detection, ARP Watch sau Snort.
Ce fel de date și informații pot fi găsite folosind un sniffer de pachete?
Un sniffer de pachete este un instrument legitim de inginer de rețea sau o caracteristică antivirus, dar poate fi și un instrument de hacker, care apare ca un atașament rău intenționat de e-mail. Sniffer-urile de pachete rău intenționate pot înregistra parole și informații de conectare, plus monitorizează vizitele și activitatea unui utilizator pe site-ul web. O companie poate folosi un sniffer de pachete legitim pentru a scana traficul de intrare pentru malware sau pentru a urmări utilizarea rețelei angajaților.