Sniffer(Sniffers) er programmer som er i stand til å fange opp og deretter analysere nettverkstrafikk. Sniffere er nyttige når du trenger å fange opp passord eller utføre nettverksdiagnostikk. Programmet kan installeres på én enhet som det er tilgang til og innen kort tid motta all overført data fra subnettet.
Hvordan sniffere fungerer
Du kan fange opp trafikk gjennom en sniffer på følgende måter:
- Ved å lytte i normal modus for nettverksgrensesnittet, har denne metoden effekt kun når huber brukes i et spesifikt felt, og ikke brytere.
- Hvis du kobler til en sniffer på stedet der kanalen er ødelagt, kan du avskjære trafikken.
- En adapter eller et program endrer trafikkbanen og sender en kopi til snifferen.
- Falsk elektromagnetisk stråling for å analysere og gjenopprette trafikken for å lytte.
- Angrip kanalen og nettverkslaget, som vil omdirigere trafikk til snifferen for å motta data, hvoretter trafikken dirigeres langs forrige rute.
Trafikken fanget opp av snifferen analyseres for å avsløre:
Vanlige sniffere analyserer trafikk veldig enkelt ved å bruke de mest automatiserte verktøyene som er tilgjengelige, og kan bare analysere svært små volumer.
Eksempler på de mest kjente sniffere:
- WinSniffer 1.3 - den beste snifferen, har mange forskjellige konfigurerbare moduser, er i stand til å fange opp passord til forskjellige tjenester;
- CommViev 5.0 fanger opp og analyserer Internett-trafikk, så vel som det lokale nettverket. Samler informasjonsdata knyttet til modemet og nettverkskortet, og utsetter dem for dekoding. Dette gjør det mulig å se en komplett liste over tilkoblinger på nettverket, IP-statistikk. Den avlyttede informasjonen lagres i en egen fil for påfølgende analyse, i tillegg lar et praktisk filtreringssystem deg ignorere unødvendige pakker og etterlater bare de som er nødvendig av angriperen;
- ZxSniffer 4.3 er en liten sniffer med et volum på 333 kb, den passer på ethvert moderne lagringsmedium og kan brukes av;
- SpyNet er en velkjent og populær sniffer. Hovedfunksjonaliteten inkluderer avlytting av trafikk og dekoding av datapakker;
- IRIS- har omfattende filtreringsmuligheter. Kunne fange pakker med spesifiserte grenser.
Sniffers klassifisering
Sniffere deles etter bruksmåten i lovlig og ulovlig. Samtidig brukes selve begrepet sniffere nettopp i forhold til ulovlig bruk, og lovlige kalles «Traffic Analyzer».
For å motta fullstendig informasjon om tilstanden til nettverket og forstå hva ansatte gjør på arbeidsplassene sine, bruker de lovlige sniffere (trafikkanalysatorer). Hjelpen til sniffere kan ikke overbetones når det er nødvendig å "lytte" til portene til programmer som de kan sende konfidensiell informasjon til sine mestere gjennom. For programmerere hjelper de med å feilsøke og samhandle programmer. Ved å bruke trafikkanalysatorer kan du i tide oppdage uautorisert tilgang til data eller DoS-angrep.
Ulovlig bruk betyr å spionere på nettverksbrukere, en angriper vil kunne få informasjon om hvilke nettsteder brukeren bruker, sender data, lærer om programmene som brukes til kommunikasjon. Hovedformålet med å "lytte" til trafikk er å motta pålogginger og passord overført i ukryptert form.
Trafikkanalysatorer er forskjellige i følgende funksjoner:
- Støtte for datalinkprotokoller så vel som fysiske grensesnitt.
- Kvaliteten på protokolldekoding.
- Brukergrensesnitt.
- Gi tilgang til statistikk, trafikkvisning i sanntid, etc.
Kilde til trussel
Sniffere kan jobbe med:
- Ruter - all trafikk som passerer gjennom enheten kan analyseres.
- Ved terminalnoden til nettverket - alle data som overføres over nettverket er tilgjengelige for alle nettverkskort, men i standard driftsmodus legger nettverkskort som dataene ikke er ment for, dem ganske enkelt ikke. Samtidig, hvis du bytter nettverkskortet til promiskuøs modus, vil du kunne motta all data som overføres i nettverket. Og selvfølgelig lar sniffere deg bytte til denne modusen.
Risikoanalyse
Enhver organisasjon kan risikere å snuse. Samtidig er det flere alternativer for hvordan man kan beskytte organisasjonen mot datalekkasjer. Først må du bruke kryptering. For det andre kan du bruke anti-sniffere.
Antisniffer er et programvare- eller maskinvareverktøy som kjører på et nettverk og lar deg finne sniffere.
Ved å bruke kun kryptering ved overføring av data, vil det ikke være mulig å skjule overføringen. Derfor kan du bruke kryptering sammen med anti-sniffer.
For spørsmål knyttet til programmet, kan du kontakte den tekniske støttetjenestenE-post [e-postbeskyttet]
WhatsApp +19299995773 (kun chat, ingen anrop)
(Sju dager i uken fra 09:00 til 21:00 Moskva-tid)
Funksjoner ved bruk av sniffere
All online sporing er basert på bruk av sniffer-teknologier (nettverkspakkeanalysatorer). Hva er en sniffer?
En sniffer er et dataprogram eller en del av maskinvare som kan fange opp og analysere trafikk som går gjennom et digitalt nettverk eller deler av det. Analysatoren fanger opp alle strømmer (fanger opp og logger Internett-trafikk) og, om nødvendig, dekoder dataene, og lagrer sekvensielt den overførte brukerinformasjonen.
Nyansene ved å bruke online sporing via sniffere.
På kringkastingskanalen til brukerens datanettverk LAN (Local Area Network), avhengig av strukturen til nettverket (switchbryter eller hub-hub), avskjærer sniffere trafikk enten fra hele eller deler av nettverket som går fra én bærbar eller datamaskin. Ved å bruke ulike metoder (for eksempel ARP-spoofing) er det imidlertid mulig å oppnå Internett-trafikk og andre datasystemer koblet til nettverket.
Sniffer brukes ofte til å overvåke datanettverk. Ved å utføre konstant, kontinuerlig overvåking, identifiserer nettverkspakkeanalysatorer trege, feilfungerende systemer og overfører (via e-post, telefon eller server) den mottatte informasjonen om feilene til administratoren.
Bruken av nettverkstap (Network tap) er i noen tilfeller en mer pålitelig måte å overvåke Internett-trafikk på enn portovervåking. Samtidig øker sannsynligheten for å oppdage defekte pakker (strømmer), noe som har en positiv effekt ved høy nettverksbelastning.
I tillegg er sniffere flinke til å spore trådløse enkelt- og flerkanals lokale nettverk (det såkalte trådløse LAN) ved bruk av flere adaptere.
På LAN-nettverk kan snifferen effektivt fange opp både enveistrafikk (overføring av en pakke med informasjon til en enkelt adresse) og multicast. I dette tilfellet må nettverksadapteren være i promiskuøs modus.
På trådløse nettverk, selv når adapteren er i "promiskuøs" modus, vil datapakker som ikke videresendes fra det konfigurerte (hoved)systemet automatisk bli ignorert. For å overvåke disse informasjonspakkene, må adapteren være i en annen modus – overvåking.
Sekvens for avskjæring av informasjonspakker.
1. Avlytting av overskrifter eller alt innhold.
Sniffere kan fange opp enten hele innholdet i datapakker, eller bare overskriftene deres. Det andre alternativet lar deg redusere de generelle kravene for lagring av informasjon, samt unngå juridiske problemer knyttet til uautorisert fjerning av personlig informasjon om brukere. Samtidig kan historien til de overførte pakkehodene ha en tilstrekkelig mengde informasjon til å identifisere nødvendig informasjon eller diagnostisere funksjonsfeil.
Den avlyttede informasjonen dekodes fra digital (uleselig) til en lettlest, lesbar type. Sniffersystemet lar administratorer av protokollanalysatorer enkelt se informasjon som ble sendt eller mottatt av brukeren.
Analysatorer er forskjellige i:
- datavisningsmuligheter(oppretting av tidsdiagrammer, rekonstruksjon av UDP, TCP-dataprotokoller, etc.);
- type søknad(for å oppdage feil, rotårsaker eller spore brukere online).
Noen sniffere kan generere trafikk og fungere som en kildeenhet. For eksempel kan de brukes som protokolltestere. Disse sniffertestsystemene genererer riktig trafikk som kreves for funksjonstesting. I tillegg kan sniffere målrettet injisere feil for å teste egenskapene til enheten som testes.
Maskinvaresniffer.
Trafikkanalysatorer kan være av maskinvaretype, i form av en sonde eller en diskarray (den mer vanlige typen). Disse enhetene registrerer informasjonspakker eller deres deler på en diskarray. Dette lar deg gjenskape all informasjon som mottas eller overføres av brukeren til Internett, eller å identifisere feilen i Internett-trafikken i tide.
Påføringsmetoder.
Nettverkspakkeanalysatorer brukes til:
- analyse av eksisterende problemer i nettverket;
- oppdage forsøk på nettverksinntrenging;
- oppdage trafikkmisbruk av brukere (inne i systemet og utenfor det);
- dokumentere regulatoriske krav (mulig påloggingsomkrets, endepunkter for trafikkdistribusjon);
- innhente informasjon om mulighetene for nettverksinntrenging;
- isolering av opererte systemer;
- overvåking av lasting av WAN-kanaler;
- bruk for å spore nettverkets tilstand (inkludert aktivitetene til brukere både i systemet og utenfor det);
- overvåking av data som flyttes;
- WAN-sporing og endepunktsikkerhetsstatus;
- samle nettverksstatistikk;
- filtrering av mistenkelig innhold fra nettverkstrafikk;
- opprette en primær datakilde for å overvåke helsen og administrasjonen av nettverket;
- sporing på nettet som en spion som samler inn konfidensiell informasjon om brukere;
- feilsøking server, klient kommunikasjon;
- kontrollere effektiviteten til interne kontroller (tilgangskontroll, brannmurer, spamfiltre osv.).
Sniffere brukes også i rettshåndhevelse for å spore aktivitetene til mistenkte inntrengere. Vær oppmerksom på at alle ISPer og ISPer i USA og Europa overholder avlyttingslover og -forskrifter (CALEA).
Populære sniffere.
De mest funksjonelle systemanalysatorene for online sporing:
Spyware NeoSpy, hvor hovedaktiviteten online sporing av brukerhandlinger inkluderer, i tillegg til den universelle snifferkoden, keylogger-koder (keyloggere) og andre skjulte sporingssystemer.
Lager! 10% rabatt for like VKontakte!
Klikk "Liker" og få 10 % rabatt på hvilken som helst versjon av NeoSpy for PC.
2) Klikk på "Liker"-knappen og "Fortell venner" nederst på hovedsiden;
3) Gå til kjøpssiden, velg en versjon og klikk på "Kjøp";
4) Skriv inn VKontakte-ID-en din i feltet "Rabattkupong", for eksempel er ID-en din 1234567, i dette tilfellet må du skrive inn "id1234567" uten anførselstegn i feltet.
Det er nødvendig å angi side-ID, ikke en kort tekstadresse.
For å se ID-en din, gå til din
Mange brukere av datasystemer har sikkert hørt om "snifferen", selv om ikke alle helt forstår hva dette konseptet betyr. Også i dag er det mulig å skille ut en ganske begrenset krets av brukere som vet hvordan og hvor slike programmer og "hardware"-komponenter brukes. La oss prøve å finne ut hva som er hva.
Hva er en sniffer?
Først av alt, vurder definisjonen av dette begrepet. For å forstå essensen av dette problemet, må du først oversette ordet "sniffer". Bokstavelig oversatt betyr sniffer "sniffer" på engelsk. Forenklet sett er dette et program eller utstyr som, basert på analyse av trafikk i form av overførte og mottatte data, trekker ut all nødvendig informasjon, for eksempel krypterte passord, eksterne nettverks IP-adresser, eller konfidensiell informasjon. seg selv kan brukes til skade, og til det gode.
Sniffer: grunnleggende typer
Hvis vi snakker om hovedtypene sniffere, kan dette ikke nødvendigvis være programvare som er installert på en dataterminal eller laget i form av en nettbasert applet. Ganske ofte i dag kan du finne sniffere laget i form av "jern" utstyr eller dets komponenter, som kombinerer fysiske og programvarefunksjoner. Hovedklassifiseringen av sniffere inkluderer følgende typer:
- programvare;
- maskinvare;
- programvare og maskinvare;
- elektroniske komponenter.
Også med hovedklassifiseringen kan en skille i retning av analyse. Oftest er det for eksempel en slik variasjon som en passordsniffer. Hovedoppgaven til dette verktøyet er å trekke ut åpne eller krypterte tilgangskoder eller annen informasjon fra informasjonspakker. Det er også sniffere som innebærer å beregne IP-adressene til en spesifikk dataterminal for å få tilgang til brukerens datamaskin og informasjon som er lagret på den.
Hvordan virker det? Teknologien for å avskjære nettverkstrafikk kan bare brukes på nettverk bygget på grunnlag av TCP / IP-protokoller, så vel som på forbindelsen realisert ved hjelp av Ethernet-nettverkskort. Trådløse nettverk kan også analyseres. I et slikt system er det i utgangspunktet fortsatt en kablet tilkobling (til den distribuerende stasjonære PC-en eller bærbare datamaskinen, ruteren). I nettverket utføres dataoverføring ikke i en enkelt blokk, men ved å dele den inn i standardsegmenter og pakker, som, når de mottas av mottakersiden, kombineres til en helhet. Sniffere kan spore de forskjellige overføringskanalene til hvert segment. I øyeblikket for overføring av ubeskyttede pakker til tilkoblede enheter, for eksempel svitsjer, huber, rutere, datamaskiner eller mobile enheter, hentes nødvendig informasjon, som kan inneholde passord. Å knekke et passord blir et spørsmål om teknikk, spesielt hvis det ikke er riktig kryptert. Selv med moderne passordkrypteringsteknologi kan det overføres sammen med den tilsvarende nøkkelen. Hvis denne nøkkelen er offentlig, vil det være veldig enkelt å få passordet. Hvis nøkkelen er kryptert, kan en angriper bruke et slags dekrypteringsprogram. Til syvende og sist vil dette fortsatt føre til et datainnbrudd.
Hvor kan en nettverkssniffer brukes? Bruksområde
Omfanget av bruk av sniffere er ganske særegent. Ikke tro at en praktisk sniffer på russisk bare er et verktøy for hackere som prøver å utføre uautorisert forstyrrelse av nettverkstrafikk for å få viktig informasjon. Sniffere kan også brukes av leverandører som, basert på deres data, analyserer trafikken til brukerne sine, og dermed øker sikkerheten til datasystemene. Slikt utstyr og applikasjoner kalles anti-sniffere, men i realiteten er de vanlige sniffere som jobber i motsatt retning. Selvfølgelig varsler ingen brukere om slike handlinger fra leverandøren. Dessuten gir det ikke mye mening. Det er usannsynlig at en vanlig bruker selvstendig vil være i stand til å ta noen effektive tiltak. For en leverandør er trafikkanalyse ofte et svært viktig poeng, da det kan forhindre forsøk utenfra på å forstyrre driften av nettverk. Ved å analysere tilgangen til de overførte pakkene, er det mulig å spore uautorisert tilgang til dem selv basert på eksterne IP-adresser som prøver å avskjære de overførte segmentene. Dette er det enkleste eksemplet. Generelt ser teknologien mye mer komplisert ut.
Hvordan oppdage tilstedeværelsen av en sniffer?
La oss legge bort en slik ting som "sniffer" for nå. Det er allerede litt klart hva det er. La oss nå se hvilke tegn du kan bruke for uavhengig å bestemme "avlytting" av en sniffer. Hvis alt i det hele tatt er i orden med datasystemet og internettforbindelsen og nettverksutstyret fungerer uten avbrudd, så er det første tegnet på forstyrrelser fra utsiden en reduksjon i dataoverføringshastigheten sammenlignet med den som er deklarert av leverandøren. I operativsystemer i Windows-familien er det usannsynlig at en vanlig bruker kan bestemme hastigheten ved hjelp av standardverktøy, selv når han ringer opp statusmenyen ved å klikke på tilkoblingsikonet. Bare antall mottatte og sendte pakker er angitt her. Nedgangen i hastighet kan skyldes begrensningene til selve ressursen som er tilgjengelig. Det ville være best å bruke spesielle analyseverktøy. Det skal bemerkes at de jobber etter prinsippet om en sniffer. Det eneste poenget å være oppmerksom på er at programmer av denne typen etter installasjon kan forårsake feil som oppstår som følge av konflikter med brannmurer (tredjepartsprogrammer eller den innebygde Windows-brannmuren). Av denne grunn, på tidspunktet for analysen, er det tilrådelig å deaktivere beskyttelsesskjermene fullstendig.
Konklusjon
Vi gjennomgikk kort hovedproblemstillingene som er knyttet til et slikt konsept som "sniffer". Nå skal det i prinsippet være klart hva det er fra synspunktet til et beskyttelses- eller hackingverktøy. Det er bare noen få ord å legge til om nettbaserte appleter. De kan brukes for det meste av nettkriminelle for å få tak i offerets IP-adresse og få tilgang til konfidensiell informasjon. En slik online sniffer utfører også sin direkte funksjon; angriperens IP-adresse endres også. Disse appletene minner litt om anonyme proxy-servere som skjuler brukerens virkelige IP-adresse. Av åpenbare grunner blir ikke data på slike Internett-ressurser gitt, så innblanding i arbeidet til andres datasystemer ved hjelp av disse tilsynelatende offisielt publiserte programvareproduktene er en straffbar handling og ulovlig.
Hva er Intercepter-NG
La oss se på essensen av ARP-funksjon med et enkelt eksempel. Datamaskin A (IP-adresse 10.0.0.1) og datamaskin B (IP-adresse 10.22.22.2) er koblet sammen med et Ethernet-nettverk. Datamaskin A ønsker å sende en datapakke til datamaskin B, og kjenner IP-adressen til datamaskin B. Ethernet-nettverket de er koblet til fungerer imidlertid ikke med IP-adresser. Derfor må datamaskin A kjenne adressen til datamaskin B på Ethernet-nettverket (MAC-adresse i Ethernet-termer) for å kunne overføre over Ethernet. For denne oppgaven brukes ARP-protokollen. Denne protokollen bruker datamaskin A til å sende en kringkastingsforespørsel til alle datamaskiner i samme kringkastingsdomene. Essensen av forespørselen: "datamaskin med IP-adresse 10.22.22.2, fortell MAC-adressen din til datamaskinen med MAC-adresse (f.eks. a0: ea: d1: 11: f1: 01)". Ethernet-nettverket leverer denne forespørselen til alle enheter på samme Ethernet-segment, inkludert datamaskin B. Datamaskin B svarer på forespørselen til datamaskin A og rapporterer MAC-adressen sin (f.eks. 00: ea: d1: 11: f1: 11) Nå, Etter å ha mottatt MAC-adressen til datamaskin B, kan datamaskin A overføre alle data til den via Ethernet-nettverket.
For å unngå behovet for å bruke ARP-protokollen før hver sending av data, registreres de mottatte MAC-adressene og de tilsvarende IP-adressene i tabellen i noen tid. Hvis du trenger å sende data til samme IP, er det ikke nødvendig å polle enhetene hver gang på jakt etter ønsket MAC.
Som vi nettopp så, inkluderer ARP en forespørsel og et svar. MAC-adressen fra svaret skrives inn i MAC/IP-tabellen. Ved mottak av et svar er det ikke verifisert på noen måte for autentisitet. Dessuten kontrolleres det ikke engang om forespørselen ble fremsatt. De. du kan umiddelbart sende et ARP-svar til målenheter (selv uten en forespørsel), med forfalskede data, og disse dataene vil bli inkludert i MAC / IP-tabellen og de vil bli brukt til dataoverføring. Dette er essensen av ARP-spoofing-angrepet, som noen ganger kalles ARP-forgiftning, ARP-cache-forgiftning.
Beskrivelse av ARP-spoofing-angrep
To datamaskiner (noder) M og N i det lokale Ethernet-nettverket utveksler meldinger. Angriper X på samme nettverk ønsker å fange opp meldinger mellom disse nodene. Før ARP-spoofing brukes på nettverksgrensesnittet til node M, inneholder ARP-tabellen IP- og MAC-adressen til node N. På nettverksgrensesnittet til node N inneholder ARP-tabellen også IP- og MAC-adressen til node M.
Under et ARP-spoofing-angrep sender vert X (angriperen) to ARP-svar (uten forespørsel) - til vert M og til vert N. ARP-svar til vert M inneholder IP-adressen N og MAC-adressen til X. ARP-en svar til vert N inneholder IP-adressen M og MAC-adressen X.
Siden datamaskinene M og N støtter spontan ARP, endrer de ARP-tabellene sine etter å ha mottatt et ARP-svar, og nå inneholder ARP-tabellen M MAC-adressen X assosiert med IP-adresse N, og ARP-tabellen N inneholder MAC-adressen X bundet til M.
Dermed er ARP-spoofing-angrepet fullført, og nå går alle pakker (rammer) mellom M og N gjennom X. For eksempel, hvis M ønsker å sende en pakke til N, så ser M på ARP-tabellen sin, finner en oppføring med IP-adressen til verten N, velger MAC-adressen derfra (og det er allerede MAC-adressen til node X) og sender pakken. Pakken kommer til X-grensesnittet, analyseres av det og videresendes deretter til N-noden.
