Сеткавай аналізатар трафіку сниффер. Што такое сниффер: апісанне

Шматлікім карыстальнікам камп'ютэрных сетак, у агульным-то, не знаёма такое паняцце як «сниффер». Што такое сниффер, і паспрабуем вызначыць, кажучы простай мовай непадрыхтаванага карыстальніка. Але для пачатку ўсе роўна прыйдзецца паглыбіцца ў наканаванне самога тэрміна.

Сниффер: што такое sniffer з пункту гледжання англійскай мовы і кампутарнай тэхнікі?

На самай справе вызначыць сутнасць такога праграмнага або праграмна-апаратнага комплексу зусім нескладана, калі проста перавесці тэрмін.

Гэта назва паходзіць ад ангельскага слова sniff (нюхаць). Адсюль і значэнне рускамоўнага тэрміна «сниффер». Што такое sniffer у нашым разуменні? «Нюхач», здольны адсочваць выкарыстанне сеткавага трафіку, а, прасцей кажучы, шпіён, які можа ўмешвацца ў працу лакальных або інтэрнэт-арыентаваных сетак, здабываючы патрэбную яму інфармацыю на аснове доступу праз пратаколы перадачы дадзеных TCP/IP.

Аналізатар трафіку: як гэта працуе?

Абмовімся адразу: сниффер, будзь ён праграмным ці ўмоўна-праграмным кампанентам, здольны аналізаваць і перахопліваць трафік (якія перадаюцца і прымаюцца дадзеныя) выключна праз сеткавыя карты (Ethernet). Што атрымліваецца?

Сеткавы інтэрфейс не заўсёды аказваецца абароненым файрволлом (зноў жа – праграмным ці «жалезным»), а таму перахоп перадаюцца або прымаюцца дадзеных становіцца ўсяго толькі справай тэхнікі.

Унутры сеткі інфармацыя перадаецца па сегментах. Ўнутры аднаго сегмента мяркуецца рассылка пакетаў дадзеных абсалютна ўсіх прылад, падлучаным да сеткі. Сегментарная інфармацыя пераадрасуецца на маршрутызатары (роутеры), а затым на камутатары (світч) і канцэнтратары (хабы). Адпраўка інфармацыі вырабляецца шляхам разбіцця пакетаў, так што канчатковы карыстальнік атрымлівае ўсе часткі злучанага разам пакета зусім з розных маршрутаў. Такім чынам «праслухоўванне» усіх патэнцыйна магчымых маршрутаў ад аднаго абанента да іншага або ўзаемадзеянне інтэрнэт-рэсурсу з карыстальнікам можа даць не толькі доступ да незашифрованной інфармацыі, але і да некаторых сакрэтных ключоў, якія таксама могуць перасылацца ў такім працэсе ўзаемадзеяння. І тут сеткавы інтэрфейс аказваецца цалкам неабароненым, бо адбываецца ўмяшанне трэцяга асобы.

Больш:

Lenovo v580c: падрабязны агляд

Сёння мы вырашылі напісаць пра ноўтбуку Lenovo v580c. Агляд будзе падрабязным, так як гэты партатыўны ПК серыі IdeaPad мае высокую папулярнасць, але не многія ведаюць, чым жа прыцягвае гэта прылада пакупнікоў. Мадэль з'яўляецца хуткай і змяшчае ў саб...

Брандмаўэр - што гэта? Стандартны абаронца ПК

Брандмаўэр – што гэта такое? Карысная функцыя ў аперацыйнай сістэме або малаэфектыўныя сродак абароны? Перш чым адказаць на гэтае пытанне, нам трэба высветліць, што робіць кампутар і як правільна яго наладзіць.Агульныя звесткіДля паспяховай пра...

"Аблівіян": праходжанне гульні. Кіраўніцтва і парады па праходжанні гульні "Аблівіян"

The Elder Scrolls IV: Oblivion — ролевая гульня ад кампаніі Bethesda Games Studios. Адразу ж пасля рэлізу у 2006 годзе яна стала вельмі папулярнай. Сюжэт заснаваны на супрацьстаянні галоўнага героя і культу Прынца Разбурэння, які плануе адкрыць...

Добрыя намеры і зламыснае мэты?

Снифферы можна выкарыстоўваць і на шкоду, і карысць. Не кажучы аб негатыўным уплыве, варта адзначыць, што такія праграмна-апаратныя комплексы досыць часта выкарыстоўваюцца сістэмнымі адміністратарамі, якія спрабуюць адсачыць дзеянні карыстальнікаў не толькі ў сетцы, але і іх паводзіны ў інтэрнэце ў плане наведвальных рэсурсаў, актываваных загрузак на кампутары або адпраўкі з іх.

Методыка, па якой працуе сеткавай аналізатар, досыць простая. Сниффер вызначае выходны і ўваходны трафік машыны. Пры гэтым гаворка не ідзе аб ўнутраным або знешнім IP. Самым галоўным крытэрыем з'яўляецца так званы MAC-адрас, унікальны для любога прылады, падлучанага да глабальнай павуціне. Менавіта па ім адбываецца ідэнтыфікацыя кожнай машыны ў сеткі.

Віды снифферов

Але і па відах іх можна падзяліць на некалькі основных:

• аппаратные;
• программные;
• аппаратно-программные;
• онлайн-апплеты.

Паводніцкае вызначэнне прысутнасці сниффера у сеткі

Выявіць той жа сниффер WiFi можна па нагрузцы на сетку. Калі відаць, што перадача дадзеных або злучэнне знаходзіцца не на тым узроўні, які заяўляецца правайдэрам (або дазваляе роутер), варта звярнуць на гэта ўвагу адразу.

З іншага боку, правайдэр таксама можа запусціць праграмны сниффер для адсочвання трафіку без ведама карыстальніка. Але, як правіла, юзэр аб гэтым нават не здагадваецца. Затое арганізацыя, якая прадстаўляе паслугі сувязі і падключэння да Інтэрнэту, такім чынам гарантуе карыстачу поўную бяспеку ў плане перахопу паводка, самаўстанаўліваючайся кліентаў разнастайных пірынгавых сетак, траянаў, шпіёнаў і г. д. Але такія сродкі з'яўляюцца хутчэй праграмнымі і асаблівага ўплыву на сетку або прыстасаваныя тэрміналы не аказваюць.

Онлайн-рэсурсы

А вось асабліва небяспечным можа быць аналізатар трафіку онлайн-тыпу. На выкарыстанні снифферов пабудавана прымітыўная сістэма ўзлому кампутараў. Тэхналогія ў яе самым найпростым варыянце зводзіцца да таго, што першапачаткова узломшчык рэгіструецца на пэўным рэсурсе, затым загружае на сайт карцінку. Пасля пацверджання загрузкі выдаецца спасылка на онлайн-сниффер, якая перасылаецца патэнцыйнай ахвяры, напрыклад, у выглядзе электроннага ліста або таго ж SMS-паведамленні з тэкстам накшталт «Вам прыйшло віншаванне ад таго-то. Каб адкрыць карцінку (паштоўку), націсніце на спасылку».

Наіўныя карыстальнікі клікаюць па паказанай спасылцы, у выніку чаго актывуецца апазнаванне і перадача вонкавага IP-адрасы зламысніку. Пры наяўнасці адпаведнага прыкладання ён зможа не толькі праглядзець усе дадзеныя, якія захоўваюцца на кампутары, але і з лёгкасцю памяняць налады сістэмы звонку, аб чым лакальны карыстальнікнават не здагадаецца, прыняўшы такое змяненне за ўздзеянне віруса. Ды вось толькі сканер пры праверцы выдасць нуль пагроз.

Як абараніцца ад перахопу дадзеных?

Будзь то сниффер WiFi або любы іншы аналізатар, сістэмы абароны ад несанкцыянаванага сканавання трафіку ўсё ж ёсць. Ўмова адно: іх трэба ўсталёўваць толькі пры ўмове поўнай упэўненасці ў «праслухоўцы».

Такія праграмныя сродкі часцей за ўсё называюць «антиснифферами». Але калі задумацца, гэта тыя ж самыя снифферы, якія аналізуюць трафік, але блакавальныя іншыя праграмы, якія спрабуюць атрымаць несанкцыянаваны доступ.

Адсюль законнае пытанне: а ці варта і ўсталёўваць такое ПА? Быць можа, яго ўзлом з боку хакераў нанясе яшчэ большы шкоду, ці яно само заблакуе тое, што павінна працаваць?

У самым простым выпадку з Windows-сістэмамі ў якасці абароны лепш выкарыстоўваць убудаваны брэндмауэр (файрволл). Часам могуць назірацца канфлікты з устаноўленым антывірусам, але гэта часцей тычыцца толькі бясплатных пакетаў. Прафесійныя пакупныя або штомесяц актывуецца версіі такіх недахопаў пазбаўленыя.

Замест пасляслоўя

Вось і ўсё, што тычыцца паняцця «сниффер». Што такое sniffer, думаецца, ужо многія зразумелі. Напрыканцы застаецца пытанне ў іншым: наколькі правільна такія рэчы будзе выкарыстоўваць радавы карыстальнік? А то бо сярод юных юзэраў часам можна заўважыць схільнасць да кампутарнаму хуліганства. Яны-то думаюць, што ўзламаць чужы «комп» - гэта што-то накшталт цікавага спаборніцтвы або самасцвярджэння. Да жаль, ніхто з іх нават не задумваецца пра наступствы, а бо вызначыць зламысніка, які выкарыстоўвае той жа онлайн-сниффер, вельмі проста па яго вонкавым IP, напрыклад, на сайце WhoIs. У якасці месцазнаходжання, праўда, будзе паказаная лакацыя правайдэра, тым не менш, краіна і горад вызначацца дакладна. Ну а потым справа за малым: альбо званок правайдэра з мэтай блакавання тэрмінала, з якога вырабляўся несанкцыянаваны доступ, альбо падсудная справа. Высновы рабіце самі.

Пры ўсталяванай праграме вызначэння дыслакацыі тэрмінала, з якога ідзе спроба доступу, справа ідзе і таго прасцей. Але вось наступствы могуць быць катастрафічнымі, бо далёка не ўсе карыстальнікі выкарыстоўваюць тыя хе ананімайзеры або віртуальныя проксі-серверы і нават не маюць паняцця, як схаваць свой IP у Інтэрнэце. А варта было б павучыцца…