Trafikanalysator

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 4 maj 2022; verifiering kräver 1 redigering .

Trafikanalysator , eller sniffer (från engelska till sniff - sniff ) - ett program eller en enhet för att avlyssna och analysera nätverkstrafik (din egen och/eller någon annans).

Hur det fungerar

En sniffer kan bara analysera vad som passerar genom dess nätverkskort . Inom ett segment av Ethernet-nätverket skickas alla paket till alla maskiner, på grund av detta är det möjligt att fånga upp någon annans information. Användningen av switchar (switch, switch-hub) och deras kompetenta konfiguration är redan ett skydd mot avlyssning. Information överförs mellan segmenten genom omkopplare. Paketväxling är en form av överföring där data, uppdelad i separata paket, kan skickas från en källa till en destination via olika vägar. Så om någon i ett annat segment skickar några paket inuti det, kommer switchen inte att skicka denna data till ditt segment.

Trafikavlyssning kan utföras:

den vanliga "lyssningen" på nätverksgränssnittet (metoden är effektiv när den används i segmentet hubbar (hubbar) istället för switchar (switchar) , annars är metoden ineffektiv, eftersom endast enskilda ramar kommer till sniffern);
koppla en sniffer till en kanalbrytning;
förgrena (mjukvara eller hårdvara) trafik och skicka dess kopia till sniffern ( Network tap );
genom analys av falsk elektromagnetisk strålning och återställande av den sålunda avlyssnade trafiken;
genom en attack på kanal (2) ( MAC-spoofing ) eller nätverks (3) nivå ( IP-spoofing ), vilket leder till omdirigering av offrets trafik eller all trafik av segmentet till sniffern, med efterföljande återkomst av trafik till rätt adress.

Applikation

I början av 1990-talet användes det flitigt av hackare för att fånga användarinloggningar och lösenord, som i ett antal nätverksprotokoll överförs i tydlig eller svagt krypterad form. Den breda distributionen av hubbar gjorde det möjligt att fånga upp trafik utan större ansträngning i stora nätverkssegment med liten eller ingen risk att bli upptäckt.

Sniffer används för både destruktiva och goda syften. Analys av trafiken som passerar genom sniffern låter dig:

Upptäck parasitisk , viral och loopad trafik, vars närvaro ökar belastningen på nätverksutrustning och kommunikationskanaler (sniffers är ineffektiva här; som regel använder de för dessa ändamål insamling av olika statistik från servrar och aktiv nätverksutrustning och dess efterföljande analys).
Upptäck skadlig och obehörig programvara på nätverket , till exempel nätverksskannrar, flooders, trojaner, peer-to-peer-nätverksklienter och andra (detta görs vanligtvis med hjälp av specialiserade sniffers - nätverksaktivitetsmonitorer).
Fånga upp all okrypterad (och ibland krypterad) användartrafik för att få lösenord och annan information.
Hitta ett nätverksfel eller nätverksagentkonfigurationsfel (sniffer används ofta för detta ändamål av systemadministratörer )

Eftersom den "klassiska" sniffern analyserar trafik manuellt, med endast de enklaste automationsverktygen (analys av protokoll, återställning av en TCP-ström), är den lämplig för att analysera endast små volymer av den.

Opposition

Du kan mildra hotet om paketsniffning genom att använda verktyg som:

Kryptografi
Antisniffer
Switchad infrastruktur

Se även

Anteckningar

Trafikanalysatorer
0x4553 - Interceptor aircrack-ng Fifflare GOSS IPDump2 iris Kismet LanGrabber Nätverk Allmänt NSA Observatör Packetizer pcap pTraffer snifffit tcpdump Ultra nätverk WinDump Wireshark WOSS Xplico