Мрежовото подслушване е използването на софтуерен инструмент, наречен мрежов снифър, който следи или подслушва данните, преминаващи през компютърни мрежови връзки в реално време. Този софтуерен инструмент е или самостоятелна софтуерна програма, или хардуерно устройство със съответния софтуер или фърмуер.
Какво е мрежов снифър?
Мрежовите снифери правят моментни копия на данните, преминаващи през мрежа, без да ги пренасочват или променят. Някои снифери работят само с TCP/IP пакети, но по-сложните инструменти работят с много други мрежови протоколи и на по-ниски нива, включително Ethernet рамки.
Преди години сниферите бяха инструменти, използвани изключително от професионални мрежови инженери. В днешно време обаче, когато софтуерът е достъпен безплатно в мрежата, те са популярни и сред интернет хакерите и хората, които са любопитни относно работата в мрежа.
Мрежовите снифери понякога се наричат мрежови сонди, безжични снифери, Ethernet снифери, пакетни снифери, анализатори на пакети или просто снифери.
Как се използват анализаторите на пакети
Има широк набор от приложения за снифери на пакети. Повечето снифери на пакети могат да бъдат използвани неподходящо от един човек и по законни причини от друг.
Програма, която улавя пароли, например, може да бъде използвана от хакер, но същият инструмент може да се използва от мрежов администратор за намиране на мрежови статистики като налична честотна лента.
Мрежовото подслушване се използва и за тестване на защитна стена или уеб филтри и за отстраняване на неизправности в отношенията клиент/сървър.
Как работи мрежовото подслушване
Пакетен снифър, свързан към която и да е мрежа, прихваща всички данни, протичащи през тази мрежа.
В локална мрежа (LAN) компютрите обикновено комуникират директно с други компютри или устройства в мрежата. Всичко, свързано с тази мрежа, е изложено на целия този трафик. Компютрите са програмирани да игнорират целия мрежов трафик, който не е предназначен за тях.
Софтуерът за подслушване на мрежата се отваря за целия трафик, като отваря мрежовата интерфейсна карта (NIC) на компютъра, за да слуша този трафик. Софтуерът чете тези данни и извършва анализ или извличане на данни върху тях.
След като получи мрежови данни, софтуерът извършва следните действия върху тях:
- Съдържанието или отделни пакети (секции от мрежови данни) се записват.
- Някои софтуери записват само заглавната част на пакетите с данни, за да спестят място.
- Захванатите мрежови данни се декодират и форматират, така че потребителят да може да види информацията.
- Пакетни снифъри анализират грешки в мрежовата комуникация, отстраняват проблеми с мрежовите връзки и реконструират цели потоци от данни, предназначени за други компютри.
- Някои софтуери за подслушване на мрежата извличат чувствителна информация като пароли, ПИН номера и лична информация.
Как да осуетим мрежови снифер атаки
Ако се притеснявате, че софтуерът за подслушване на мрежата шпионира мрежовия трафик, идващ от вашия компютър, има начини да се защитите.
Има етични причини, поради които някой може да се наложи да използва снифър софтуер, като например когато мрежов администратор наблюдава потока на мрежовия трафик.
Когато мрежовите администратори са загрижени за нечестното използване на тези инструменти в тяхната мрежа, те използват анти-сниф сканиране, за да се предпазят от снифър атаки. Това означава, че корпоративните мрежи обикновено са безопасни.
Въпреки това е лесно да се получи и използва снифър софтуер по злонамерени причини, което прави нелегитимното му използване срещу вашия домашен интернет причина за безпокойство. Би било много лесно някой да свърже такъв софтуер дори към корпоративна компютърна мрежа.
Ако искате да се предпазите от някой, който шпионира вашия интернет трафик, използвайте VPN, който криптира вашия интернет трафик. Можете да научите всичко за VPN и доставчиците на VPN, които можете да използвате, за да се защитите.
Инструменти за мрежов снифър
Wireshark (известен преди като Ethereal) е широко признат като най-популярният мрежов снифър в света. Това е безплатно приложение с отворен код, което показва данни за трафика с цветно кодиране, за да покаже кой протокол е използван за предаването им.
В Ethernet мрежи неговият потребителски интерфейс показва отделни кадри в номериран списък и подчертава с отделни цветове, независимо дали са изпратени чрез TCP, UDP или други протоколи.
Wireshark също така групира потоци от съобщения, изпратени напред и назад между източник и дестинация (които се смесват с течение на времето с трафик от други разговори).
Wireshark поддържа улавяне на трафика чрез интерфейс на бутона за стартиране/стоп. Инструментът също така съдържа опции за филтриране, които ограничават какви данни се показват и включват в заснеманията. Това е критична функция, тъй като по-голямата част от мрежовия трафик съдържа рутинни контролни съобщения, които не представляват интерес.
Много различни софтуерни приложения за сондиране са разработени през годините. Ето само няколко примера:
- tcpdump (инструмент за команден ред за Linux и други базирани на Unix операционни системи)
- CloudShark
- Каин и Авел
- Анализатор на съобщения на Microsoft
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Безплатен мрежов анализатор
- NetworkMiner
- IP инструменти
Някои от тези инструменти за снифър на мрежата са безплатни, докато другите струват или имат безплатен пробен период. Освен това някои от тези програми вече не се поддържат или актуализират, но все още са достъпни за изтегляне.
Проблеми с мрежови снифери
Инструментите на Sniffer предлагат чудесен начин да научите как работят мрежовите протоколи. Те обаче също така осигуряват лесен достъп до частна лична информация, като например мрежови пароли. Консултирайте се със собствениците, за да получите разрешение, преди да използвате снифър в тяхната мрежа.
Мрежовите сонди прихващат данни само от мрежи, към които е свързан техният хост компютър. При някои връзки сниферите улавят само трафика, адресиран към този конкретен мрежов интерфейс. Във всеки случай, най-важното нещо, което трябва да запомните е, че всеки, който иска да използва мрежов снифър, за да шпионира трафика, ще има трудности да го направи, ако този трафик е криптиран.
ЧЗВ
Как можете да разберете дали някой надушва вашата мрежа?
Може да е трудно да се открият снифери, защото те често остават пасивни, като просто събират данни. Но ако на компютъра е инсталиран снифър, допълнителният трафик може да ви предупреди за присъствието на снифър. Обмислете използването на софтуерна програма, която открива снифери, като Anti-Sniff, Sniff Detection, ARP Watch или Snort.
Какви данни и информация могат да бъдат намерени с помощта на снифър за пакети?
Пакетният снифър е легитимен инструмент за мрежов инженер или антивирусна функция, но може да бъде и инструмент на хакер, показващ се като злонамерен прикачен имейл. Снифърите за злонамерени пакети могат да записват пароли и информация за вход, както и да наблюдават посещенията и активността на уебсайта на потребителя. Бизнесът може да използва легитимен снифър за пакети, за да сканира входящия трафик за зловреден софтуер или да следи използването на мрежата от служители.