Dopravní analyzátor
Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od
verze recenzované 4. května 2022; ověření vyžaduje
1 úpravu .
Traffic analyzer nebo sniffer (z angličtiny sniff - sniff ) - program nebo zařízení pro zachycování a analýzu síťového provozu (vašeho a / nebo někoho jiného).
Jak to funguje
Sniffer může analyzovat pouze to, co prochází jeho síťovou kartou . V rámci jednoho segmentu sítě Ethernet jsou všechny pakety odesílány všem strojům, díky tomu je možné zachytit informace někoho jiného. Použití přepínačů (switch, switch-hub) a jejich kompetentní konfigurace je již ochranou proti odposlechu. Informace jsou přenášeny mezi segmenty pomocí přepínačů. Přepínání paketů je forma přenosu, ve kterém lze data, rozdělená do samostatných paketů, odesílat ze zdroje do cíle různými cestami. Pokud tedy někdo v jiném segmentu pošle nějaké pakety uvnitř něj, přepínač tato data do vašeho segmentu nepošle.
Dopravní odposlech lze provést:
- obvyklé „naslouchání“ síťovému rozhraní (metoda je účinná při použití v segmentu rozbočovačů (hubů) místo přepínačů (switchů) , jinak je metoda neúčinná, protože do snifferu se dostávají pouze jednotlivé rámce);
- připojení čichacího zařízení k přerušení kanálu;
- větvení (softwarového nebo hardwarového) provozu a odeslání jeho kopie do snifferu ( Network tap );
- prostřednictvím analýzy rušivého elektromagnetického záření a obnovení takto poslouchané dopravy;
- prostřednictvím útoku na úroveň kanálu (2) ( MAC-spoofing ) nebo sítě (3) ( IP-spoofing ), což vede k přesměrování provozu oběti nebo veškerého provozu segmentu na sniffer s následným návratem provoz na správnou adresu.
Aplikace
Na počátku 90. let jej hojně využívali hackeři k zachycení uživatelských přihlašovacích údajů a hesel, která jsou v řadě síťových protokolů přenášena v čisté nebo slabě šifrované podobě. Široká distribuce hubů umožnila zachytit provoz bez velkého úsilí ve velkých segmentech sítě s malým nebo žádným rizikem detekce.
Sniffery se používají jak pro destruktivní, tak pro dobré účely. Analýza provozu procházejícího snifferem vám umožňuje:
- Detekuje parazitní , virový a smyčkový provoz, jehož přítomnost zvyšuje zátěž síťových zařízení a komunikačních kanálů (sniffery jsou zde neúčinné, zpravidla pro tyto účely využívají sběr různých statistik servery a aktivními síťovými zařízeními a jejich následné analýza).
- Detekce škodlivého a neoprávněného softwaru v síti , například síťové skenery, záplavy, trojské koně, klienti sítě peer-to-peer a další (toto se obvykle provádí pomocí specializovaných snifferů - monitorů síťové aktivity).
- Zachyťte veškerý nešifrovaný (a někdy i šifrovaný) uživatelský provoz za účelem získání hesel a dalších informací.
- Vyhledejte chybu sítě nebo chybu konfigurace síťového agenta ( správci systému k tomuto účelu často používají sniffery )
Vzhledem k tomu, že „klasický“ sniffer analyzuje provoz ručně, pouze pomocí nejjednodušších automatizačních nástrojů (analýza protokolů, obnova TCP streamu), je vhodný pro analýzu pouze jeho malých objemů.
Opozice
Hrozbu sniffování paketů můžete zmírnit pomocí nástrojů, jako jsou:
Viz také
Poznámky