Сеткавай аналізатар трафіку сниффер. Што такое сниффер: апісанне

Шматлікім карыстачам камп'ютэрных сетак, увогуле-то, незнаёма такое паняцце як «сниффер». Што такое сниффер, паспрабуем і вызначыць, кажучы простай мовай непадрыхтаванага карыстальніка. Але для пачатку ўсё роўна прыйдзецца паглыбіцца ў прадвызначэнне самога тэрміна.

Сниффер: што такое sniffer з пункту гледжання англійскай мовы і камп'ютэрнай тэхнікі?

На самай справе вызначыць сутнасць такога праграмнага або праграмна-апаратнага комплексу зусім нескладана, калі проста перавесці тэрмін.

Гэта назва паходзіць ад ангельскага слова sniff (нюхаць). Адсюль і значэнне рускамоўнага тэрміна «сниффер». Што такое sniffer ў нашым разуменні? «Нюхач», здольны адсочваць выкарыстанне сеткавага трафіку, а, прасцей кажучы, шпіён, які можа ўмешвацца ў працу лакальных або інтэрнэт-арыентаваных сетак, здабываючы патрэбную яму інфармацыю на аснове доступу праз пратаколы перадачы дадзеных TCP / IP.

Аналізатар трафіку: як гэта працуе?

Абмовімся адразу: сниффер, калі б ён быў праграмным ці ўмоўна-праграмным кампанентам, здольны аналізаваць і перахопліваць трафік (перадаюцца і прымаюцца дадзеныя) выключна праз сеткавыя карты (Ethernet). Што атрымліваецца?

Сеткавай інтэрфейс не заўсёды аказваецца абароненым файрволла (зноў жа - праграмным або «жалезным»), а таму перахоп перадаюцца або якія прымаюцца дадзеных становіцца ўсяго толькі справай тэхнікі.

Унутры сеткі інфармацыя перадаецца па сегментах. Унутры аднаго сегмента мяркуецца рассыланне пакетаў дадзеных абсалютна ўсім прыладам, падлучаным да сеткі. Сегментарна інфармацыя пераадрасуецца на маршрутызатары (роутеры), а затым на камутатары (світч) і канцэнтратары (хабы). Адпраўка інфармацыі вырабляецца шляхам разбіцця пакетаў, так што канчатковы карыстальнік атрымлівае усе часткі злучанага разам пакета зусім з розных маршрутаў. Такім чынам «праслухоўванне» ўсіх патэнцыйна магчымых маршрутаў ад аднаго абанента да іншага або ўзаемадзеянне інтэрнэт-рэсурсу з карыстальнікам можа даць не толькі доступ да незашыфраваным інфармацыі, але і да некаторых сакрэтных ключоў, якія таксама могуць перасылацца ў такім працэсе ўзаемадзеяння. І тут сеткавай інтэрфейс аказваецца зусім неабароненым, бо адбываецца ўмяшальніцтва трэцяй асобы.

Добрыя намеры і зламысна мэты?

Снифферы можна выкарыстоўваць і на шкоду, і ў добрым. Не кажучы пра негатыўны ўплыў, варта адзначыць, што такія праграмна-апаратныя комплексы досыць часта выкарыстоўваюцца сістэмнымі адміністратарамі, якія спрабуюць адсачыць дзеянні карыстальнікаў не толькі ў сетцы, але і іх паводзіны ў інтэрнэце ў плане наведвальных рэсурсаў, актываваных загрузак на кампутары або адпраўкі з іх .

Методыка, па якой працуе сеткавай аналізатар, досыць простая. Сниффер вызначае выходны і ўваходны трафік машыны. Пры гэтым гаворка не ідзе пра ўнутраны або знешнім IP. Самым галоўным крытэрыем з'яўляецца так званы MAC-address, унікальны для любой прылады, падлучанага да глабальнай павуціне. Менавіта па ім адбываецца ідэнтыфікацыя кожнай машыны ў сеткі.

віды снифферов

Але і па відах іх можна падзяліць на некалькі асноўных:

• апаратныя;
• праграмныя;
• апаратна-праграмныя;
• онлайн-аплеты.

Паводніцкае вызначэнне прысутнасці сниффера ў сетцы

Выявіць той жа сниффер WiFi можна па нагрузцы на сетку. Калі відаць, што перадача дадзеных або злучэнне знаходзіцца не на тым узроўні, які заяўляецца правайдэрам (або дазваляе роутер), варта звярнуць на гэта ўвагу адразу.

З іншага боку, правайдэр таксама можа запусціць праграмны сниффер для адсочвання трафіку без ведама карыстальніка. Але, як правіла, юзэр пра гэта нават не здагадваецца. Затое арганізацыя, якая прадстаўляе паслугі сувязі і падключэння да Інтэрнэту, такім чынам гарантуе карыстачу поўную бяспеку ў плане перахопу флуда, самаўстанаўліваючайся кліентаў разнастайных пірынгавых сетак, траянаў, шпіёнаў і г.д. Але такія сродкі з'яўляюцца хутчэй праграмнымі і асаблівага ўплыву на сетку або прыстасаваныя тэрміналы не аказваюць.

Онлайн-рэсурсы

А вось асабліва небяспечным можа быць аналізатар трафіку онлайн-тыпу. На выкарыстанні снифферов пабудавана прымітыўная сістэма ўзлому кампутараў. Тэхналогія ў яе самым найпростым варыянце зводзіцца да таго, што першапачаткова узломшчык рэгіструецца на пэўным рэсурсе, затым загружае на сайт карцінку. Пасля пацверджання загрузкі выдаецца спасылка на онлайн-сниффер, якая перасылаецца патэнцыйнай ахвяры, напрыклад, у выглядзе электроннага ліста ці таго ж SMS-паведамленні з тэкстам накшталт «Вам прыйшло віншаванне ад таго-то. Каб адкрыць фота (паштоўку), націсніце на спасылку ».

Наіўныя карыстальнікі клікаюць па паказанай спасылцы, у выніку чаго актывуецца апазнаванне і перадача вонкавага IP-адрасы зламысніку. Пры наяўнасці адпаведнага прыкладання ён зможа не толькі прагледзець усе дадзеныя, якія захоўваюцца на кампутары, але і з лёгкасцю памяняць налады сістэмы звонку, пра што лакальны карыстальнік нават не здагадаецца, прыняўшы такое змяненне за ўздзеянне віруса. Ды вось толькі сканер пры праверцы выдасць нуль пагроз.

Як абараніцца ад перахопу дадзеных?

Няхай гэта будзе сниффер WiFi або любы іншы аналізатар, сістэмы абароны ад несанкцыянаванага сканавання трафіку ўсё ж ёсць. Ўмова адно: іх трэба ўсталёўваць толькі пры ўмове поўнай упэўненасці ў «праслухоўцы».

Такія праграмныя сродкі часцей за ўсё называюць «антиснифферами». Але калі задумацца, гэта тыя ж самыя снифферы, што аналізуюць трафік, але блакавальныя іншыя праграмы, якія спрабуюць атрымаць несанкцыянаваны доступ.

Адсюль законнае пытанне: а ці варта і ўсталёўваць такое ПА? Быць можа, яго ўзлом з боку хакераў нанясе яшчэ большую шкоду, або яно само заблакуе тое, што павінна працаваць?

У самым простым выпадку з Windows-сістэмамі ў якасці абароны лепш выкарыстаць убудаваны брэндмаўэр (файрволл). Часам могуць назірацца канфлікты з усталяваным антывірусам, але гэта часцей тычыцца толькі бясплатных пакетаў. Прафесійныя пакупныя або штомесяц што актывуецца версіі такіх недахопаў пазбаўленыя.

замест пасляслоўя

Вось і ўсё, што тычыцца паняцця "сниффер». Што такое sniffer, думаецца, ужо многія зразумелі. Напрыканцы пытанне застаецца ў іншым: наколькі правільна такія рэчы будзе выкарыстоўваць радавы карыстальнік? А то ж сярод юных юзэраў часам можна заўважыць схільнасць да кампутарнага хуліганства. Яны думаюць, што ўзламаць чужой «комп» - гэта нешта накшталт цікавага спаборніцтвы або самасцвярджэння. На жаль, ніхто з іх нават не задумваецца пра наступствы, а бо вызначыць зламысніка, які выкарыстоўвае той жа онлайн-сниффер, вельмі проста па яго вонкавым IP, напрыклад, на сайце WhoIs. У якасці месцазнаходжання, праўда, будзе паказаная лакацыя правайдэра, тым не менш, краіна і горад вызначацца дакладна. Ну а потым справа за малым: альбо званок правайдэра з мэтай блакавання тэрмінала, з якога вырабляўся несанкцыянаваны доступ, альбо падсуднасць справа. Высновы рабіце самі.

Пры ўсталяванай праграме вызначэння дыслакацыі тэрмінала, з якога ідзе спроба доступу, справа ідзе і таго прасцей. Але вось наступствы могуць апынуцца катастрафічнымі, бо далёка не ўсе юзэры выкарыстоўваюць тыя хе ананімайзэры або віртуальныя проксі-серверы і нават не маюць паняцця, як схаваць свой IP ў Інтэрнэце. А варта было б павучыцца ...