Многие пользователи компьютерных систем слышали о таком понятии, как «сниффер». Что это такое, правда, в полной мере представляют себе далеко не все. Кроме того, сегодня можно выделить весьма ограниченный круг людей, которые знают, как и где используются такие программы и «железное» оборудование.
Сниффер: что это?
Начнем с самого определения термина. Чтобы вникнуть в суть вопроса, следует для начала просто перевести слово «сниффер». Что это такое? В дословном переводе английского понятия sniffer означает «нюхач».
Если говорить проще, это программа или оборудование, способные на основе анализа трафика в виде пакетов передаваемых или принимаемых данных в сети извлекать необходимую информацию, будь то внешние сетевые IP-адреса, зашифрованные пароли или конфиденциальные данные. Сами же снифферы могут использоваться и во вред, и во благо.
Основные виды снифферов
Что касается основных разновидностей снифферов, это не обязательно может быть программное обеспечение, устанавливаемое на компьютерный терминал, или выполненное в виде онлайн-апплета.
HackRF One — Обзор лучшего SDR: Возможности | Что это? | Как пользоваться? | UnderMind
Нередко можно встретить снифферы и в виде «железного» оборудования или компонентов, сочетающих в себе и программные, и физические признаки.
Исходя из этого, в основную классификацию снифферов включают следующие типы:
- программные;
- аппаратные;
- программно-аппаратные;
- онлайн-компоненты.
При основной классификации можно выделить еще и разделение по направлению анализа. Например, чаще всего встречается такая разновидность, как сниффер паролей, основной задачей которого является извлечение из пакетов данных открытых или зашифрованных кодов доступа к какой-либо информации. Существуют снифферы, предполагающие исключительно вычисление IP-адресов конкретного терминала с целью доступа к пользовательскому компьютеру и хранящейся в нем информации.
Как это работает?
Технология перехвата сетевого траффика применима исключительно к сетям на основе протоколов TCP/IP и реализуемому соединению посредством сетевых карт Ethernet. Беспроводные сети тоже могут подвергаться анализу, все равно ведь изначально в такой системе присутствует проводное подключение (к маршрутизатору, к раздающему ноутбуку или стационарному ПК).
Передача данных в сети осуществляется не цельным блоком, а с помощью его разделения на стандартные пакеты и сегменты, которые при получении принимающей стороной объединяются в единое целое. Программа-сниффер способна отслеживать все возможные каналы передачи каждого сегмента, и в момент передачи (переадресации) незащищенных пакетов на подключенные к сети устройства (маршрутизаторы, хабы, свитчи, компьютеры или мобильные девайсы) производится извлечение нужных данных, которые могут содержать те же пароли. Таким образом, взлом пароля становится обычным делом техники, тем более, если он не зашифрован.
Но даже при использовании современных технологий шифрования пароля он может передаваться вместе с соответствующим ключом. Если это ключ открытого типа, получить пароль проще простого. Если и ключ зашифрован, злоумышленник запросто может применить какую-нибудь программу-дешифратор, что в конечном итоге тоже приведет к взлому данных.
Что такое сниффер (sniffer) в тестировании
Где используется сниффер сети?
Область использования снифферов весьма своеобразна. Не нужно думать, что какой-нибудь удобный сниффер на русском языке является исключительно средством хакеров, пытающихся произвести несанкционированное вмешательство в сетевой трафик с целью получения какой-то важной информации.
С равным успехом снифферы могут использоваться и провайдерами, которые на основе их данных производят анализ трафика своих пользователей, усиливая безопасность компьютерных систем. Хотя такое оборудование и приложения называют антиснифферами, на самом деле это самые обычные снифферы, как бы работающие в обратном направлении.
Естественно, пользователей о таких действиях со стороны провайдера никто не уведомляет, да и особого смысла в этом нет. Рядовой юзер вряд ли самостоятельно сможет принять какие-то контрмеры. А для провайдера зачастую анализ траффика очень важен, поскольку может предотвратить попытки вмешательства в работу сетей извне, ведь анализируя доступ к передаваемым пакетам, можно отследить несанкционированный доступ к ним хотя бы на основе тех же внешних IP-адресов устройств, пытающихся перехватить передаваемые сегменты. Но это самый простой пример, поскольку вся технология намного сложнее.
Определение присутствия сниффера
Пока оставим в стороне такое понятие, как «сниффер». Что это такое, уже немного понятно, теперь посмотрим, по каким признакам можно определить «прослушку» сниффером самостоятельно.
Если с компьютерной системой все в порядке и сетевое или интернет-подключение работает без сбоев, первым признаком вмешательства извне является снижение скорости передачи пакетов, по сравнению с той, что заявлена провайдером. В Windows-системах стандартными средствами определить скорость рядовой пользователь вряд ли сможет даже при вызове меню состояния сети кликом на значке подключения. Здесь указывается только количество отправленных и принятых пакетов.
Точно так же быстродействия в «Диспетчере задач» отображают нужную информацию в полной мере, к тому же снижение скорости может быть связано и с ограничениями самого ресурса, на который осуществляется доступ. Лучше всего использовать специальные утилиты-анализаторы, которые, кстати сказать, и работают по принципу сниффера. Единственное, на что нужно обратить внимание, это только на то, что программы этого типа после установки могут вызывать ошибки, появляющиеся вследствие конфликтов с файрволлами (встроенным брэндмауэром Windows или сторонними программами и оборудованием «железного» типа). Поэтому на момент проведения анализа защитные экраны желательно полностью отключить.
Заключение
Вот, собственно, и все, что касается такого понятия, как «сниффер». Что это такое с точки зрения инструмента взлома или защиты, в принципе, должно быть понятно. Остается добавить пару слов об онлайн-апплетах. Они как раз по большей части используются злоумышленниками для получения IP-адреса жертвы и доступа к конфиденциальной информации.
Кроме того, что такой онлайн-сниффер выполняет свою непосредственную функцию, IP-адрес злоумышленника тоже изменяется. В этом отношении такие апплеты чем-то напоминают анонимные прокси-серверы, скрывающие реальный пользовательский IP. По понятным соображениям данные о таких интернет-ресурсах не приводятся, поскольку вмешательство в работу чужих компьютеров при помощи этих, вроде бы и официально размещенных, программ является противозаконным и уголовно наказуемым.
Данная статья создана исключительно для ознакомления и не призывает к действиям!
Источник: dzen.ru
Сетевой анализатор трафика сниффер. Что такое сниффер: описание
ВНИМАНИЕ! Данная статья написана только в ознакомительных целях для специалистов в области IT безопасности. Перехват трафика был на примере собственных устройств в личной локальной сети. Перехват и использование личных данных может караться законом, поэтому мы не призываем использовать данную статью во вред окружающих. Мир во всем мире, помогаем друг другу!
Всем привет! В статье мы поговорим про WiFi сниффер. Вообще данный тип программ предназначен исключительно для перехвата трафика в локальной сети. Далее без разницы как именно жертва подключена к маршрутизатору, по кабелю или по Wi-Fi. Хочу показать перехват трафика на примере интересной программы «Intercepter-NG».
Почему я выбрал именно её? Дело в том, что это sniffer приложение написана специально для Windows имеет достаточно приветливый интерфейс и проста в использовании. Да и Linux есть не у всех.
Определение
Сниффер – это анализатор трафика. В свою очередь, трафик – это вся информация, которая проходит через компьютерные сети.
Этот анализатор смотрит, какая информация передается. Для этого ее необходимо перехватить. Фактически, это незаконная вещь, ведь таким образом люди часто получают доступ к чужим данным.
Это можно сравнить с ограблением поезда – классический сюжет большинства вестернов.
Вы передаете какую-то информацию другому пользователю. Ее везет «поезд», то есть сетевой канал.
Придурки из банды кровавого Джо перехватывают состав и грабят его до нитки. В нашем случае информация идет дальше, то есть злоумышленники не крадут ее в прямом смысле этого слова.
Но, допустим, что эта информация представляет собой пароли, личные записи, фотографии и тому подобное.
Злоумышленники могут просто переписать и сфотографировать все это. Таким образом они получат доступ к секретным данным, которые вы хотели бы скрыть.
Да, у вас будет вся эта информация, она к вам дойдет.
Но вы будете знать, что все то же самое знают и совершенно посторонние люди. А ведь в XXI веке больше всего ценится именно информация!
Рис. 1. Ограбление поезда
В нашем случае используется именно такой принцип. Определенные люди останавливают трафик, считывают с него данные и отсылают их дальше.
Правда, в случае со снифферами все не всегда так страшно. Они используются не только для того, чтобы получать несанкционированный доступ к данным, а еще и для анализа самого трафика. Это важная часть работ сисадминов и просто админов различных сервисов и ресурсов. О применении стоит поговорить более подробно. Но перед этим мы затронем то, как работают эти самые снифферы.
Онлайн-ресурсы
А вот особо опасным может быть анализатор трафика онлайн-типа. На использовании снифферов построена примитивная система взлома компьютеров. Технология в ее самом простейшем варианте сводится к тому, что изначально взломщик регистрируется на определенном ресурсе, затем загружает на сайт картинку. После подтверждения загрузки выдается ссылка на онлайн-сниффер, которая пересылается потенциальной жертве, например, в виде электронного письма или того же SMS-сообщения с текстом вроде «Вам пришло поздравление от того-то. Чтобы открыть картинку (открытку), нажмите на ссылку».
Наивные пользователи кликают по указанной гиперссылке, в результате чего активируется опознавание и передача внешнего IP-адреса злоумышленнику. При наличии соответствующего приложения он сможет не только просмотреть все данные, хранимые на компьютере, но и с легкостью поменять настройки системы извне, о чем локальный пользователь даже не догадается, приняв такое изменение за воздействие вируса. Да вот только сканер при проверке выдаст ноль угроз.
Принцип работы
На практике снифферы могут являть собой портативные устройства, которые в буквальном смысле ставятся на кабель и считывают с него данные, а также программы.
В некоторых случаях это просто набор инструкций, то есть кодов, которые необходимо вводить в определенной последовательности и в определенной среде программирования.
Если более детально, что перехват трафика такими устройствами может считываться одним из следующих способов:
1Путем установки концентраторов вместо коммутаторов. В принципе, прослушивание сетевого интерфейса можно выполнять и другими способами, но все они малоэффективны.
2Подключением буквального сниффера в место разрыва канала. Это именно то, о чем шла речь выше – разрезается кабель и ставится небольшое устройство, которое и считывает все, что движется по каналу.
3Установкой ответвления от трафика. Это ответвление направляется на какое-то другое устройство, возможно, расшифровывается и направляется пользователю.
4Атакой, целью которой является полное перенаправление трафика в сниффер. Конечно же, после попадания информации на считывающее устройство, она опять отправляется конечному пользователю, которому изначально и предназначалась. Хакерство в чистом виде!
5Путем анализа электромагнитных излучений, которые возникают из-за движения трафика. Это самый сложный и редко используемый метод.
Вот примерная схема работы второго способа.
Правда, здесь показано, что считывающее устройство просто подключается к кабелю.
На самом же деле сделать это таким образом практически нереально.
Приходится делать разрыв. В этом, кстати, одна из самых больших сложностей установки анализаторов трафика.
Дело в том, что конечный пользователь все равно заметит, что в каком-то месте имеет место разрыв канала.
Рис. 2. Схема работы
Сам принцип работы обычного сниффера основывается на том, что в рамках одного сегмента Ethernet пакеты рассылаются всем подключенным машинам. Достаточно глупый, но пока безальтернативный метод! А между сегментами данные передаются при помощи коммутаторов. Вот здесь и появляется возможность перехвата информации одним из вышеперечисленных способов.
Собственно, это и называется кибератаками и хаккерством!
Кстати, если грамотно установить эти самые коммутаторы, то можно полностью защитить сегмент от всевозможных кибератак.
Существуют и другие методы защиты, о которых мы еще поговорим в самом конце.
Полезная информация:
Обратите внимание на программу Wireshark. Она используется для анализа сетевого трафика и разбора пакетов данных, для которого используется библиотека pcap. Это значительно сужает количество доступных для разбора пакетов, так как разбирать можно лишь те пакеты, которые поддерживаются данной библиотекой.
Поведенческое определение присутствия сниффера в сети
Обнаружить тот же сниффер WiFi можно по нагрузке на сеть. Если видно, что передача данных или соединение находится не на том уровне, какой заявляется провайдером (или позволяет роутер), следует обратить на это внимание сразу.
С другой стороны, провайдер тоже может запустить программный сниффер для отслеживания трафика без ведома пользователя. Но, как правило, юзер об этом даже не догадывается. Зато организация, предоставляющая услуги связи и подключения к Интернету, таким образом гарантирует пользователю полную безопасность в плане перехвата флуда, самоустанавливающихся клиентов разнородных пиринговых сетей, троянов, шпионов и т.д. Но такие средства являются скорее программными и особого влияния на сеть или пользовательские терминалы не оказывают.
Применение
Разумеется, в первую очередь, данное понятие имеет то применение, о котором шла речь выше, то есть хаккерские атаки и незаконное получение пользовательских данных.
Но кроме этого, снифферы используют и в других сферах, а конкретно, в работе системных администраторов.
В частности, такие приспособления или программы помогают выполнить такие задачи:
- Обнаружение ненормального трафика. Он может быть паразитным, вирусным или просто закольцованным. Все это вредит обычному прохождению информации через канал. Самое меньшее, что могут сделать такие явления, так это загрузить и, соответственно, замедлить трафик, что уже не очень хорошо.
- Выявление несанкционированного программного обеспечения, в том числе и вирусного. Интересно, что и сами снифферы в какой-то мере являются таким ПО. В любом случае они являются отличным средством выявления и избавления от троянов, фледуров, других сканеров и тому подобных вещей.
- Локализация или, другими словами, выявление места неисправности. Таким же образом выявляются и ошибки конфигурации.
Рис. 3. Такие приспособления помогают чинить компьютерные сети
Как видим, рассматриваемые нами приспособления или программы способны очень сильно облегчить работу системных администраторов и других людей, которые пользуются сетями. А это все мы.
Теперь переходим к самому интересному – обзору программ-снифферов.
Выше мы разобрались, что они могут быть выполнены в виде физических приспособлений, но в большинстве случаев используются специальные программные коды.
Их изучением и займемся.
Как защититься от перехвата данных?
Будь то сниффер WiFi или любой другой анализатор, системы защиты от несанкционированного сканирования трафика все же есть. Условие одно: их нужно устанавливать только при условии полной уверенности в «прослушке».
Такие программные средства чаще всего называют «антиснифферами». Но если задуматься, это те же самые снифферы, анализирующие трафик, но блокирующие другие программы, пытающиеся получить несанкционированный доступ.
Отсюда законный вопрос: а стоит и устанавливать такое ПО? Быть может, его взлом со стороны хакеров нанесет еще больший вред, или оно само заблокирует то, что должно работать?
В самом простом случае с Windows-системами в качестве защиты лучше использовать встроенный брэндмауэр (файрволл). Иногда могут наблюдаться конфликты с установленным антивирусом, но это чаще касается только бесплатных пакетов. Профессиональные покупные или ежемесячно активируемые версии таких недостатков лишены.
Программы-сниферы
Вот список наиболее популярных таких программ:
CommView. Программа платная, как и все остальных в нашем списке. Одна минимальная лицензия стоит 300 долларов. Зато функционал у ПО богатейший. Первое, что стоит отметить, так это возможность самостоятельной установки правил отслеживания чужого трафика.
К примеру, можно сделать так, чтобы ICMP или TCP (это протоколы) полностью игнорировались. Примечательно также, что программа позволяет просматривать детали и лог всех пересылаемых пакетов. Существует обычная версия и версия для Wi-Fi.
SpyNet. Это, фактически, троян, от которых мы все так устали. Но он может использоваться и в благородных целях, о которых мы говорили выше. Программа выполняет перехват и расшифровку пакетов, которые есть в трафике. Есть множество необычных функций.
К примеру, можно воссоздавать страницы в интернете, на которых побывала «жертва». Примечательно, что это ПО бесплатное, но найти его достаточно непросто.
BUTTSniffer. Это сниффер в чистом виде, который помогает анализировать сетевые пакеты, а не перехватывать чужие пароли и историю браузера. По крайней мере, так думал ее автор. На самом же деле его творение используется сами понимаете для чего. Это обычная пакетная программа, которая работает через командную строку.
Для начала использования загружаются и запускаются два файла. «Захваченные» пакеты сохраняются на жестком диске, что очень удобно.
Существует множество других программ-снифферов. К примеру, известны fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и многие другие. Выбирайте любую! Но, справедливости ради стоит отметить, что лучшая – CommView.
Итак, мы разобрали, что такое снифферы, как они работают и какие бывают.
Теперь перейдем с места хакера или сисадмина на место обычного юзера.
Сетевой анализатор трафика сниффер. Что такое сниффер: описание
Многим пользователям компьютерных сетей, в общем-то, незнакомо такое понятие как «сниффер». Что такое сниффер, попытаемся и определить, говоря простым языком неподготовленного пользователя. Но для начала все равно придется углубиться в предопределение самого термина.
Сниффер: что такое sniffer с точки зрения английского языка и компьютерной техники?
На самом деле определить сущность такого программного или программно-аппаратного комплекса вовсе несложно, если просто перевести термин.
Это название происходит от английского слова sniff (нюхать). Отсюда и значение русскоязычного термина «сниффер». Что такое sniffer в нашем понимании? «Нюхач», способный отслеживать использование сетевого трафика, а, проще говоря, шпион, который может вмешиваться в работу локальных или интернет-ориентированных сетей, извлекая нужную ему информацию на основе доступа через протоколы передачи данных TCP/IP.
Анализатор трафика: как это работает?
Оговоримся сразу: сниффер, будь он программным или условно-программным компонентом, способен анализировать и перехватывать трафик (передаваемые и принимаемые данные) исключительно через сетевые карты (Ethernet). Что получается?
Сетевой интерфейс не всегда оказывается защищенным файрволлом (опять же – программным или «железным»), а потому перехват передаваемых или принимаемых данных становится всего лишь делом техники.
Внутри сети информация передается по сегментам. Внутри одного сегмента предполагается рассылка пакетов данных абсолютно всем устройствам, подключенным к сети. Сегментарная информация переадресуется на маршрутизаторы (роутеры), а затем на коммутаторы (свитчи) и концентраторы (хабы).
Отправка информации производится путем разбиения пакетов, так что конечный пользователь получает все части соединенного вместе пакета совершенно из разных маршрутов. Таким образом «прослушивание» всех потенциально возможных маршрутов от одного абонента к другому или взаимодействие интернет-ресурса с пользователем может дать не только доступ к незашифрованной информации, но и к некоторым секретным ключам, которые тоже могут пересылаться в таком процессе взаимодействия. И тут сетевой интерфейс оказывается совершенно незащищенным, ибо происходит вмешательство третьего лица.
Благие намерения и злоумышленные цели?
Снифферы можно использовать и во вред, и во благо. Не говоря о негативном влиянии, стоит отметить, что такие программно-аппаратные комплексы достаточно часто используются системными администраторами, которые пытаются отследить действия пользователей не только в сети, но и их поведение в интернете в плане посещаемых ресурсов, активированных загрузок на компьютеры или отправки с них.
Методика, по которой работает сетевой анализатор, достаточно проста. Сниффер определяет исходящий и входящий траффик машины. При этом речь не идет о внутреннем или внешнем IP. Самым главным критерием является так называемый MAC-address, уникальный для любого устройства, подключенного к глобальной паутине. Именно по нему происходит идентификация каждой машины в сети.
Виды снифферов
Но и по видам их можно разделить на несколько основных:
- аппаратные;
- программные;
- аппаратно-программные;
- онлайн-апплеты.
Поведенческое определение присутствия сниффера в сети
Обнаружить тот же сниффер WiFi можно по нагрузке на сеть. Если видно, что передача данных или соединение находится не на том уровне, какой заявляется провайдером (или позволяет роутер), следует обратить на это внимание сразу.
С другой стороны, провайдер тоже может запустить программный сниффер для отслеживания трафика без ведома пользователя. Но, как правило, юзер об этом даже не догадывается. Зато организация, предоставляющая услуги связи и подключения к Интернету, таким образом гарантирует пользователю полную безопасность в плане перехвата флуда, самоустанавливающихся клиентов разнородных пиринговых сетей, троянов, шпионов и т.д. Но такие средства являются скорее программными и особого влияния на сеть или пользовательские терминалы не оказывают.
Онлайн-ресурсы
А вот особо опасным может быть анализатор трафика онлайн-типа. На использовании снифферов построена примитивная система взлома компьютеров. Технология в ее самом простейшем варианте сводится к тому, что изначально взломщик регистрируется на определенном ресурсе, затем загружает на сайт картинку. После подтверждения загрузки выдается ссылка на онлайн-сниффер, которая пересылается потенциальной жертве, например, в виде электронного письма или того же SMS-сообщения с текстом вроде «Вам пришло поздравление от того-то. Чтобы открыть картинку (открытку), нажмите на ссылку».
Наивные пользователи кликают по указанной гиперссылке, в результате чего активируется опознавание и передача внешнего IP-адреса злоумышленнику. При наличии соответствующего приложения он сможет не только просмотреть все данные, хранимые на компьютере, но и с легкостью поменять настройки системы извне, о чем локальный пользователь даже не догадается, приняв такое изменение за воздействие вируса. Да вот только сканер при проверке выдаст ноль угроз.
Как защититься от перехвата данных?
Будь то сниффер WiFi или любой другой анализатор, системы защиты от несанкционированного сканирования трафика все же есть. Условие одно: их нужно устанавливать только при условии полной уверенности в «прослушке».
Такие программные средства чаще всего называют «антиснифферами». Но если задуматься, это те же самые снифферы, анализирующие трафик, но блокирующие другие программы, пытающиеся получить несанкционированный доступ.
Отсюда законный вопрос: а стоит и устанавливать такое ПО? Быть может, его взлом со стороны хакеров нанесет еще больший вред, или оно само заблокирует то, что должно работать?
В самом простом случае с Windows-системами в качестве защиты лучше использовать встроенный брэндмауэр (файрволл). Иногда могут наблюдаться конфликты с установленным антивирусом, но это чаще касается только бесплатных пакетов. Профессиональные покупные или ежемесячно активируемые версии таких недостатков лишены.
Вместо послесловия
Вот и все, что касается понятия «сниффер». Что такое sniffer, думается, уже многие сообразили. Напоследок вопрос остается в другом: насколько правильно такие вещи будет использовать рядовой пользователь? А то ведь среди юных юзеров иногда можно заметить склонность к компьютерному хулиганству.
Они-то думают, что взломать чужой «комп» — это что-то вроде интересного соревнования или самоутверждения. К сожалению, никто из них даже не задумывается о последствиях, а ведь определить злоумышленника, использующего тот же онлайн-сниффер, очень просто по его внешнему IP, например, на сайте WhoIs. В качестве местоположения, правда, будет указана локация провайдера, тем не менее, страна и город определятся точно. Ну а потом дело за малым: либо звонок провайдеру с целью блокировки терминала, с которого производился несанкционированный доступ, либо подсудное дело. Выводы делайте сами.
При установленной программе определения дислокации терминала, с которого идет попытка доступа, дело обстоит и того проще. Но вот последствия могут оказаться катастрофическими, ведь далеко не все юзеры используют те хе анонимайзеры или виртуальные прокси-серверы и даже не имеют понятия, как скрыть свой IP в Интернете. А стоило бы поучиться…
Источник: fb.ru