Sniffer - co to je a proč je to potřeba. Sniffer analyzátoru síťového provozu. Co je to sniffer: popis
Mnoho správců sítě se často setkává s problémy, které lze vyřešit analýzou síťového provozu. A zde se setkáváme s pojmem jako je analyzátor dopravy. tak co to je?
Analyzátory a kolektory NetFlow jsou nástroje, které vám pomohou monitorovat a analyzovat data o síťovém provozu. Analyzátory síťových procesů vám umožňují přesně identifikovat zařízení, která snižují propustnost kanálu. Vědí, jak najít problémové oblasti ve vašem systému a zlepšit celkovou efektivitu sítě.
termín " NetFlow“ označuje protokol Cisco určený ke shromažďování informací o IP provozu a monitorování síťového provozu. NetFlow byl přijat jako standardní protokol pro streamovací technologie.
Software NetFlow shromažďuje a analyzuje toková data generovaná routery a prezentuje je v uživatelsky přívětivém formátu.
Několik dalších prodejců síťových zařízení má své vlastní protokoly pro monitorování a sběr dat. Například Juniper, další vysoce uznávaný prodejce síťových zařízení, nazývá svůj protokol „ J-Flow". HP a Fortinet používají termín „ s-Flow". Přestože se protokoly nazývají odlišně, všechny fungují podobným způsobem. V tomto článku se podíváme na 10 bezplatných analyzátorů síťového provozu a kolektorů NetFlow pro Windows.
SolarWinds NetFlow Traffic Analyzer v reálném čase
Bezplatný NetFlow Traffic Analyzer je jedním z nejpopulárnějších nástrojů dostupných ke stažení zdarma. Poskytuje vám možnost třídit, označovat a zobrazovat data různými způsoby. To vám umožní pohodlně vizualizovat a analyzovat síťový provoz. Nástroj je skvělý pro sledování síťového provozu podle typu a časového období. Stejně jako spouštění testů ke zjištění, kolik provozu spotřebují různé aplikace.
Tento bezplatný nástroj je omezen na jedno monitorovací rozhraní NetFlow a ukládá pouze 60 minut dat. Tento Netflow analyzátor je mocný nástroj, který se vyplatí používat.
Colasoft Capsa zdarma
Tento bezplatný analyzátor provozu LAN identifikuje a monitoruje více než 300 síťových protokolů a umožňuje vám vytvářet vlastní zprávy. Zahrnuje monitorování e-mailů a sekvenční grafy TCP synchronizace, to vše je shromážděno v jednom přizpůsobitelném panelu.
Mezi další funkce patří analýza zabezpečení sítě. Například sledování DoS/DDoS útoků, aktivity červů a detekce ARP útoků. Stejně jako dekódování paketů a zobrazování informací, statistická data o každém hostiteli v síti, řízení výměny paketů a rekonstrukce toku. Capsa Free podporuje všechny 32bitové a 64bitové verze Windows XP.
Minimální systémové požadavky pro instalaci: 2 GB RAM a 2,8 GHz procesor. Musíte mít také ethernetové připojení k internetu ( kompatibilní s NDIS 3 nebo vyšší), Fast Ethernet nebo Gigabit s ovladačem pro smíšený režim. Umožňuje pasivně zachytit všechny pakety přenášené přes ethernetový kabel.
Rozzlobený IP skener
Jedná se o open source analyzátor provozu Windows, který se rychle a snadno používá. Nevyžaduje instalaci a lze jej použít v systémech Linux, Windows a Mac OSX. Tento nástroj funguje tak, že jednoduše pingne na každou IP adresu a dokáže určit MAC adresy, skenovat porty, poskytnout informace NetBIOS, určit oprávněného uživatele v systémech Windows, objevit webové servery a mnoho dalšího. Jeho možnosti jsou rozšířeny pomocí Java pluginů. Skenovaná data lze ukládat do souborů CSV, TXT, XML.
ManageEngine NetFlow Analyzer Professional
Plně funkční verze softwaru NetFlow od ManageEngines. Jedná se o výkonný software s kompletní sadou funkcí pro analýzu a sběr dat: monitorování propustnosti kanálu v reálném čase a upozornění při dosažení prahových hodnot, což vám umožňuje rychle spravovat procesy. Kromě toho poskytuje souhrnná data o využití zdrojů, sledování aplikací a protokolů a mnoho dalšího.
Bezplatná verze linuxového analyzátoru provozu umožňuje neomezené používání produktu po dobu 30 dnů, poté můžete sledovat pouze dvě rozhraní. Systémové požadavky na NetFlow Analyzer ManageEngine závisí na průtoku. Doporučené požadavky na minimální průtok 0 až 3000 vláken za sekundu jsou dvoujádrový procesor 2,4 GHz, 2 GB RAM a 250 GB volného místa na pevném disku. S rostoucí rychlostí toku, který má být monitorován, rostou i požadavky.
Vole
Tato aplikace je populární síťový monitor vyvinutý společností MikroTik. Automaticky prohledá všechna zařízení a znovu vytvoří mapu sítě. Dude monitoruje servery běžící na různých zařízeních a v případě problémů vás upozorní. Mezi další funkce patří automatické zjišťování a zobrazování nových zařízení, možnost vytvářet vlastní mapy, přístup k nástrojům pro vzdálenou správu zařízení a další. Běží na Windows, Linux Wine a MacOS Darwine.
JDSU Network Analyzer Fast Ethernet
Tento program pro analýzu provozu vám umožňuje rychle shromažďovat a zobrazovat síťová data. Nástroj poskytuje možnost zobrazit registrované uživatele, určit úroveň využití šířky pásma sítě jednotlivými zařízeními a rychle najít a opravit chyby. A také zachycovat data v reálném čase a analyzovat je.
Aplikace podporuje vytváření vysoce detailních grafů a tabulek, které správcům umožňují sledovat dopravní anomálie, filtrovat data pro prosévání velkých objemů dat a mnoho dalšího. Tento nástroj pro začínající profesionály i zkušené administrátory vám umožní převzít úplnou kontrolu nad vaší sítí.
Plixer Scrutinizer
Tento analyzátor síťového provozu umožňuje shromažďovat a komplexně analyzovat síťový provoz a rychle najít a opravit chyby. Pomocí Scrutinizeru můžete svá data třídit různými způsoby, včetně časového intervalu, hostitele, aplikace, protokolu a dalších. Bezplatná verze umožňuje ovládat neomezený počet rozhraní a ukládat data po dobu 24 hodin aktivity.
Wireshark
Wireshark je výkonný síťový analyzátor, který lze spustit na platformách Linux, Windows, MacOS X, Solaris a dalších. Wireshark vám umožňuje prohlížet zachycená data pomocí GUI nebo používat nástroje TShark v režimu TTY. Mezi jeho funkce patří sběr a analýza VoIP provozu, zobrazení Ethernetu v reálném čase, IEEE 802.11, Bluetooth, USB, data Frame Relay, XML, PostScript, výstup dat CSV, podpora dešifrování a další.
Systémové požadavky: Windows XP a vyšší, jakýkoli moderní 64/32bitový procesor, 400 Mb RAM a 300 Mb volného místa na disku. Wireshark NetFlow Analyzer je výkonný nástroj, který může výrazně zjednodušit práci každého správce sítě.
Paessler PRTG
Tento analyzátor provozu poskytuje uživatelům mnoho užitečných funkcí: podporu pro monitorování LAN, WAN, VPN, aplikací, virtuálního serveru, QoS a prostředí. Podporováno je také monitorování na více místech. PRTG využívá SNMP, WMI, NetFlow, SFlow, JFlow a analýzu paketů, stejně jako monitorování uptime/downtime a podporu IPv6.
Bezplatná verze vám umožňuje používat neomezený počet senzorů po dobu 30 dnů, poté můžete zdarma používat pouze 100 senzorů.
nProbe
Je to plně vybavená open source aplikace pro sledování a analýzu NetFlow.
nProbe podporuje IPv4 a IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, obsahuje funkce pro analýzu provozu VoIP, vzorkování toků a paketů, generování logů, aktivitu MySQL/Oracle a DNS a mnoho dalšího. Aplikace je zdarma, pokud si stáhnete a zkompilujete analyzátor provozu na Linuxu nebo Windows. Instalační spustitelný soubor omezuje velikost zachycení na 2000 paketů. nProbe je zcela zdarma pro vzdělávací instituce, ale i neziskové a vědecké organizace. Tento nástroj bude fungovat na 64bitových verzích operačních systémů Linux a Windows.
PŘEHLED PROGRAMŮ ANALÝZY SÍŤOVÉHO DOPRAVY A MONITOROVÁNÍ
A.I. KOSTROMITSKÝ, Ph.D. tech. vědy, V.S. VRTAT
Zavedení
Monitorování provozu je zásadní pro efektivní správu sítě. Je zdrojem informací o fungování firemních aplikací, se kterými se počítá při alokaci finančních prostředků, plánování výpočetního výkonu, identifikaci a lokalizaci poruch a řešení bezpečnostních problémů.
V nepříliš vzdálené minulosti bylo sledování dopravy poměrně jednoduchým úkolem. Počítače byly zpravidla propojeny na základě sběrnicové topologie, tj. měly sdílené přenosové médium. To umožnilo připojit k síti jediné zařízení, pomocí kterého bylo možné sledovat veškerý provoz. Požadavky na zvýšenou kapacitu sítě a rozvoj technologií přepínání paketů, které způsobily pokles ceny přepínačů a směrovačů, však vedly k rychlému přechodu od sdílených médií k vysoce segmentovaným topologiím. Celkový provoz již nelze vidět z jednoho bodu. Chcete-li získat úplný obrázek, musíte sledovat každý port. Použití připojení typu point-to-point činí připojování zařízení nepohodlným a vyžadovalo by příliš mnoho zařízení k naslouchání všem portům, což se stává neúměrně nákladným úkolem. Samotné přepínače a směrovače mají navíc složité architektury a rychlost zpracování a přenosu paketů se stává důležitým faktorem při určování výkonu sítě.
Jedním z aktuálních vědeckých úkolů je analýza (a další prognózování) sobě podobné dopravní struktury v moderních multiservisních sítích. K vyřešení tohoto problému je nutné shromažďovat a následně analyzovat různé statistiky (rychlost, objemy přenášených dat atd.) ve stávajících sítích. Sběr takových statistik v té či oné podobě je možný pomocí různých softwarových nástrojů. Existuje však soubor dalších parametrů a nastavení, které se při používání různých nástrojů v praxi ukazují jako velmi důležité.
Různí výzkumníci používají různé programy ke sledování síťového provozu. Například v roce výzkumníci použili program pro analýzu síťového provozu (sniffer) Ethreal (Wireshark).
Recenze zahrnovala bezplatné verze programů, které jsou dostupné na , , .
1. Přehled programů pro sledování síťového provozu
Prohlédli jsme si asi deset programů pro analýzu provozu (snifferů) a více než desítku programů pro sledování síťového provozu, z nichž jsme vybrali podle nás čtyři nejzajímavější a nabízíme vám přehled jejich hlavních schopností.
1) BMEextrém(obr. 1).
To je nový název známého programu Bandwidth Monitor. Dříve byl program distribuován zdarma, nyní má tři verze a zdarma je pouze ta základní. Tato verze kromě samotného sledování provozu neposkytuje žádné jiné funkce, takže ji lze jen stěží považovat za konkurenci jiných programů. Ve výchozím nastavení BMExtreme monitoruje jak internetový provoz, tak provoz v místní síti, ale monitorování v síti LAN lze v případě potřeby zakázat.
Rýže. 1
2) BWMeter(obr. 2).
Tento program nemá jedno, ale dvě okna pro sledování provozu: jedno zobrazuje aktivitu na internetu a druhé v místní síti.
Rýže. 2
Program má flexibilní nastavení pro sledování provozu. S jeho pomocí můžete určit, zda potřebujete sledovat příjem a přenos dat na internetu pouze z tohoto počítače nebo ze všech počítačů připojených k místní síti, nastavit rozsah IP adres, portů a protokolů, pro které bude sledování, resp. nebude provedena. Kromě toho můžete zakázat sledování provozu v určitých hodinách nebo dnech. Správci systému jistě ocení možnost distribuce provozu mezi počítači v lokální síti. Pro každý počítač tak můžete nastavit maximální rychlost pro příjem a přenos dat a také jedním kliknutím zakázat síťovou aktivitu.
Navzdory své velmi miniaturní velikosti má program obrovskou škálu možností, z nichž některé lze reprezentovat takto:
Monitorování všech síťových rozhraní a veškerého síťového provozu.
Výkonný filtrační systém, který umožňuje odhadnout objem jakékoli části provozu – až po konkrétní místo v určeném směru nebo provoz z každého stroje v místní síti v určitou denní dobu.
Neomezený počet přizpůsobitelných grafů aktivity síťového připojení na základě vybraných filtrů.
Řízení (omezení, pozastavení) provozu na kterémkoli z filtrů.
Pohodlný statistický systém (od hodiny do roku) s funkcí exportu.
Schopnost zobrazit statistiky vzdálených počítačů pomocí BWMeter.
Flexibilní systém upozornění a upozornění při dosažení určité události.
Maximální možnosti přizpůsobení, vč. vzhled.
Možnost provozovat jako službu.
3) Bandwidth Monitor Pro(obr. 3).
Jeho vývojáři věnovali velkou pozornost nastavení okna sledování provozu. Za prvé, můžete určit, jaké informace bude program neustále zobrazovat na obrazovce. Může se jednat o množství přijatých a přenesených dat (jak jednotlivě, tak celkem) za dnešek a za jakékoli zadané časové období, průměrnou, aktuální a maximální rychlost připojení. Pokud máte nainstalovaných více síťových adaptérů, můžete sledovat statistiky pro každý z nich samostatně. Zároveň lze v okně sledování zobrazit také potřebné informace pro každou síťovou kartu.
Rýže. 3
Samostatně stojí za zmínku systém upozornění, který je zde velmi úspěšně implementován. Můžete nastavit chování programu při splnění zadaných podmínek, což může být přenos určitého množství dat za zadanou dobu, dosažení maximální rychlosti stahování, změna rychlosti připojení atd. Pokud pracuje více uživatelů na počítač a potřebujete sledovat celkový provoz, lze program spustit jako službu. V tomto případě bude Bandwidth Monitor Pro shromažďovat statistiky všech uživatelů, kteří se přihlásí do systému pod svými přihlašovacími údaji.
4) DUTraffic(obr. 4).
DUTraffic se od všech revizních programů odlišuje svým bezplatným statusem.
Rýže. 4
Stejně jako jeho komerční protějšky může DUTraffic provádět různé akce, pokud jsou splněny určité podmínky. Může například přehrát zvukový soubor, zobrazit zprávu nebo odpojit internetové připojení, když je průměrná nebo aktuální rychlost stahování nižší než zadaná hodnota, když doba trvání internetové relace překročí zadaný počet hodin, když bylo přeneseno množství dat. Kromě toho lze různé akce provádět cyklicky, například pokaždé, když program detekuje přenos daného množství informací. Statistiky v DUTraffic jsou vedeny samostatně pro každého uživatele a pro každé internetové připojení. Program zobrazuje jak obecné statistiky za zvolené časové období, tak informace o rychlosti, množství přenesených a přijatých dat a finančních nákladech na každou relaci.
5) Monitorovací systém kaktusů(obr. 5).
Cacti je webová aplikace s otevřeným zdrojovým kódem (není k dispozici žádný instalační soubor). Cacti shromažďuje statistická data za určité časové intervaly a umožňuje je zobrazit graficky. Systém umožňuje vytvářet grafy pomocí RRDtool. Pro zobrazení statistik zatížení procesoru, alokace RAM, počtu běžících procesů a využití příchozího/odchozího provozu se používají většinou standardní šablony.
Rozhraní pro zobrazení statistik shromážděných ze síťových zařízení je prezentováno ve formě stromu, jehož strukturu určuje uživatel. Zpravidla jsou grafy seskupeny podle určitých kritérií a stejný graf může být přítomen v různých větvích stromu (například provoz přes síťové rozhraní serveru - v tom, který je věnován celkovému obrazu o internetovém provozu společnosti, a ve větvi s parametry daného zařízení) . Je zde možnost zobrazit předkompilovanou sadu grafů a je zde režim náhledu. Každý z grafů lze zobrazit samostatně a bude zobrazen za poslední den, týden, měsíc a rok. Je možné nezávisle zvolit časové období, pro které bude rozvrh generován, a to buď zadáním parametrů kalendáře, nebo pouhým výběrem určité oblasti na něm pomocí myši.
Tabulka 1
|
Nastavení/Programy |
BMEextrém |
BWMeter |
Bandwidth Monitor Pro |
DUTraffic |
Kaktusy |
|
Velikost instalačního souboru |
473 kB |
1,91 MB |
1,05 MB |
1,4 MB |
|
|
Jazyk rozhraní |
ruština |
ruština |
angličtina |
ruština |
angličtina |
|
Graf rychlosti |
|||||
|
Graf návštěvnosti |
|||||
|
Export/Import (formát exportního souboru) |
–/– |
(*. csv) |
–/– |
–/– |
(*.xls) |
|
Min -časový krok mezi datovými sestavami |
5 min. |
1 sec. |
1 min. |
1 sec. |
1 sec. |
|
Možnost změny min |
|||||
2. Recenze programů pro analýzu síťového provozu (sniffery)
Analyzátor provozu neboli sniffer je analyzátor síťového provozu, program nebo hardwarové a softwarové zařízení určené k zachycení a následné analýze nebo pouze analýze síťového provozu určeného pro jiné uzly.
Analýza provozu procházejícího snifferem vám umožňuje:
Zachyťte veškerý nešifrovaný (a někdy i šifrovaný) uživatelský provoz za účelem získání hesel a dalších informací.
Vyhledejte chybu sítě nebo chybu konfigurace síťového agenta (správci systému k tomuto účelu často používají sniffery).
Vzhledem k tomu, že v „klasickém“ snifferu se analýza provozu provádí ručně, pouze pomocí nejjednodušších automatizačních nástrojů (analýza protokolů, obnova TCP streamu), je vhodná pro analýzu pouze malých objemů.
1) Wireshark(dříve Ethereal).
Program pro analýzu provozu pro počítačové sítě Ethernet a některé další. Má grafické uživatelské rozhraní. Wireshark je aplikace, která „zná“ strukturu široké škály síťových protokolů, a proto vám umožňuje analyzovat síťový paket a zobrazit význam každého pole protokolu na jakékoli úrovni. Vzhledem k tomu, že pcap se používá k zachycení paketů, je možné zachytit data pouze ze sítí, které jsou podporovány touto knihovnou. Wireshark však dokáže zpracovat různé formáty vstupních dat, takže můžete otevírat datové soubory zachycené jinými programy a rozšířit tak možnosti zachytávání.
2) DuhovkaSíťProvozAnalyzátor.
Kromě standardních funkcí shromažďování, filtrování a vyhledávání balíčků a také generování reportů nabízí program unikátní možnosti pro rekonstrukci dat. Iris The Network Traffic Analyzer pomáhá podrobně reprodukovat uživatelské relace s různými webovými zdroji a dokonce vám umožňuje simulovat odesílání hesel pro přístup k zabezpečeným webovým serverům pomocí cookies. Jedinečná technologie rekonstrukce dat implementovaná v modulu dekódování převádí stovky shromážděných binárních síťových paketů na známé e-maily, webové stránky, zprávy ICQ atd. eEye Iris umožňuje prohlížet nešifrované zprávy z webové pošty a programů pro rychlé zasílání zpráv, čímž rozšiřuje možnosti stávajících nástroje pro monitorování a audit.
Analyzátor paketů eEye Iris vám umožňuje zachytit různé podrobnosti o útoku, jako je datum a čas, IP adresy a názvy DNS počítačů hackera a oběti a použité porty.
3) EthernetInternetprovozStatistický.
Statistika internetového provozu Ethernet zobrazuje množství přijatých a přijatých dat (v bajtech - celkem a za poslední relaci) a také rychlost připojení. Pro přehlednost se nasbíraná data zobrazují v reálném čase na grafu. Funguje bez instalace, rozhraní je ruské a anglické.
Nástroj pro sledování stupně síťové aktivity - zobrazuje množství přijatých a přijatých dat, uchovává statistiky za relaci, den, týden a měsíc.
4) CommTraffic.
Jedná se o síťový nástroj pro shromažďování, zpracování a zobrazování statistik internetového provozu přes modem (dial-up) nebo vyhrazené připojení. Při monitorování segmentu místní sítě zobrazuje CommTraffic internetový provoz pro každý počítač v segmentu.
CommTraffic obsahuje snadno přizpůsobitelné, uživatelsky přívětivé rozhraní, které zobrazuje statistiky výkonu sítě ve formě grafů a čísel.
Tabulka 2
|
Nastavení/Programy |
Wireshark |
Iris Analyzátor síťového provozu |
Ethernet Statistika internetového provozu |
CommTraffic |
|
Velikost instalačního souboru |
17,4 MB |
5,04 MB |
651 kB |
7,2 MB |
|
Jazyk rozhraní |
angličtina |
ruština |
angličtina/ruština |
ruština |
|
Graf rychlosti |
||||
|
Graf návštěvnosti |
||||
|
Export/Import (formát exportního souboru) |
+/– (*.txt, *.px, *.csv, *.psml, *.pdml, *.c) |
–/– |
–/– |
–/– |
|
Spusťte monitorování na vyžádání |
||||
|
Min -časový krok mezi datovými sestavami |
0,001 sec. |
1 sec. |
1 sec. |
1 sec. |
|
Možnost změny min - krok mezi datovými reporty |
Závěr
Celkově můžeme říci, že většina domácích uživatelů bude spokojena s možnostmi, které Bandwidth Monitor Pro poskytuje. Pokud mluvíme o nejfunkčnějším programu pro sledování síťového provozu, je to samozřejmě BWMeter.
Mezi recenzovanými programy pro analýzu síťového provozu bych rád vyzdvihl Wireshark, který má více funkcí.
Monitorovací systém Cacti maximálně splňuje zvýšené požadavky, které jsou kladeny v případě provádění výzkumu síťového provozu pro vědecké účely. V budoucnu plánují autoři článku použít tento konkrétní systém pro sběr a předběžnou analýzu provozu v podnikové multiservisní síti Katedry komunikačních sítí Charkovské národní univerzity radioelektroniky.
Reference
Platov V.V., Petrov V.V. Studium sebepodobné struktury teletraffic v bezdrátové síti // Radiotechnické notebooky. M.: OKB MPEI. 2004. č. 3. s. 58-62.
Petrov V.V. Teletraffic struktura a algoritmus pro zajištění kvality služby pod vlivem efektu sebepodobnosti. Disertační práce pro vědeckou hodnost kandidáta technických věd, 5.12.13, Moskva, 2004, 199 s.
Každý člen týmu ][ má své vlastní preference týkající se softwaru a utilit pro
test perem. Po konzultaci jsme zjistili, že výběr se liší natolik, že je to možné
vytvořit opravdovou gentlemanskou sadu osvědčených programů. To je vše
rozhodl. Abychom z toho nebyli žvásty, rozdělili jsme celý seznam do témat – a do
Tentokrát se dotkneme nástrojů pro čichání a manipulaci s pakety. Použijte jej
zdraví.
Wireshark
Netcat
Pokud mluvíme o odposlechu dat, pak Network Miner bude stažena ze vzduchu
(nebo z předem připraveného výpisu ve formátu PCAP) soubory, certifikáty,
obrázky a další média, stejně jako hesla a další informace pro autorizaci.
Užitečnou funkcí je vyhledávání těch dat, která obsahují klíčová slova
(například přihlášení uživatele).
Scapy
webové stránky:
www.secdev.org/projects/scapy
Povinná výbava každého hackera, je to mocný nástroj
interaktivní manipulace s pakety. Přijímat a dekódovat pakety většiny
různé protokoly, reagovat na požadavek, vložit upravené a
balíček vytvořený sami - vše je snadné! S jeho pomocí můžete provést celek
řadu klasických úkolů jako skenování, tracorute, útoky a detekce
síťové infrastruktury. V jedné láhvi získáme náhradu za tak oblíbené nástroje,
jako: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f atd. Při tom
už je na čase Scapy umožňuje provádět jakýkoli úkol, i ten nejkonkrétnější
úkol, který nikdy nemůže provést jiný již vytvořený vývojář
prostředek. Místo psaní celé hory řádků v C např.
stačí vygenerovat špatný paket a fuzzovat nějakého démona
hodit pár řádků kódu pomocí Scapy! Program nemá
grafické rozhraní a interaktivity je dosaženo prostřednictvím tlumočníka
Krajta. Jakmile to pochopíte, nebude vás nic stát vytvoření nesprávného
pakety, vložit potřebné rámce 802.11, kombinovat různé přístupy v útocích
(řekněme otrava mezipaměti ARP a přeskakování VLAN) atd. Sami vývojáři na tom trvají
aby bylo zajištěno, že schopnosti Scapy budou využívány v jiných projektech. Připojování
jako modul je snadné vytvořit nástroj pro různé typy místního výzkumu,
vyhledávání zranitelností, injekce Wi-Fi, automatické spouštění specifických
úkoly atd.
balíček
webové stránky:
Platforma: *nix, existuje port pro Windows
Zajímavý vývoj, který umožňuje na jedné straně generovat jakékoli
ethernetový paket, a na druhé straně posílat sekvence paketů s účelem
kontroly šířky pásma. Na rozdíl od jiných podobných nástrojů, balíček
má grafické rozhraní, které vám umožňuje vytvářet balíčky tím nejjednodušším způsobem
formulář. Dále - více. Vytvoření a odeslání
sekvence paketů. Můžete nastavit zpoždění mezi odesláním,
posílat pakety maximální rychlostí pro testování propustnosti
části sítě (ano, to je místo, kde se budou podávat) a co je ještě zajímavější -
dynamicky měnit parametry v paketech (například IP nebo MAC adresu).
Mnoho uživatelů počítačových sítí obecně nezná pojem „sniffer“. Zkusme definovat, co je to sniffer, jednoduchým jazykem netrénovaného uživatele. Nejprve se ale ještě musíte ponořit do předdefinice samotného pojmu.
Sniffer: co je to sniffer z pohledu anglického jazyka a výpočetní techniky?
Ve skutečnosti není vůbec těžké určit podstatu takového softwarového nebo hardwarově-softwarového komplexu, pokud tento termín jednoduše přeložíte.
Tento název pochází z anglického slova sniff (sniff). Odtud pochází význam ruského výrazu „čichač“. Co je to sniffer v našem chápání? „Sniffer“ schopný monitorovat používání síťového provozu, nebo jednodušeji řečeno, špión, který může zasahovat do provozu místních nebo internetových sítí a získávat informace, které potřebuje, na základě přístupu přes protokoly přenosu dat TCP/IP. .
Dopravní analyzátor: jak to funguje?
Udělejme rezervaci hned: sniffer, ať už se jedná o softwarovou nebo sharewarovou komponentu, je schopen analyzovat a zachycovat provoz (vysílaná a přijímaná data) výhradně prostřednictvím síťových karet (Ethernet). co se stane?
Síťové rozhraní není vždy chráněno firewallem (opět softwarovým nebo hardwarovým), a proto se zachycení přenášených či přijímaných dat stává pouze technologickou záležitostí.
V rámci sítě jsou informace přenášeny napříč segmenty. V rámci jednoho segmentu mají být datové pakety odesílány absolutně všem zařízením připojeným k síti. Segmentované informace jsou předávány směrovačům (routerům) a poté přepínačům (přepínačům) a koncentrátorům (hubům). Odesílání informací se provádí rozdělením paketů tak, aby koncový uživatel obdržel všechny části balíčku spojené dohromady ze zcela odlišných cest. „Poslouchání“ všech potenciálních cest od jednoho předplatitele k druhému nebo interakce internetového zdroje s uživatelem tedy může poskytnout nejen přístup k nešifrovaným informacím, ale také k některým tajným klíčům, které mohou být také zaslány v takovém procesu interakce. . A zde se ukazuje, že síťové rozhraní je zcela nechráněné, protože do něj zasahuje třetí strana.
Dobré úmysly a zlé úmysly?
Sniffery lze použít pro dobré i špatné. Nemluvě o negativním dopadu, stojí za zmínku, že takové softwarové a hardwarové systémy jsou poměrně často využívány systémovými administrátory, kteří se snaží sledovat akce uživatelů nejen na síti, ale také jejich chování na internetu z hlediska navštívených zdrojů, aktivované stahování do počítačů nebo odesílání z nich .
Metoda, kterou síťový analyzátor funguje, je poměrně jednoduchá. Čichač detekuje odchozí a příchozí provoz stroje. Nemluvíme o interní nebo externí IP. Nejdůležitějším kritériem je tzv. MAC adresa, jedinečná pro jakékoli zařízení připojené ke globálnímu webu. Používá se k identifikaci každého stroje v síti.
Typy čichačů
Ale podle typu je lze rozdělit do několika hlavních:
- železářské zboží;
- software;
- hardware a software;
- online applety.
Behaviorální detekce přítomnosti snifferu v síti
Stejný WiFi sniffer poznáte podle zatížení sítě. Pokud je zřejmé, že datový přenos nebo připojení není na úrovni udávané poskytovatelem (nebo router umožňuje), měli byste tomu okamžitě věnovat pozornost.
Na druhou stranu může poskytovatel spustit i softwarový sniffer pro sledování provozu bez vědomí uživatele. Ale uživatel o tom zpravidla ani neví. Ale organizace poskytující služby komunikace a připojení k internetu tak uživateli zaručuje úplnou bezpečnost z hlediska zachycení záplav, samoinstalace klientů různých trojských koní, špionů atd. Takové nástroje jsou však spíše softwarové a nemají velký dopad na síť nebo uživatelské terminály.
Online zdroje
Ale online analyzátor provozu může být obzvláště nebezpečný. Primitivní počítačový hackerský systém je postaven na použití snifferů. Technologie ve své nejjednodušší podobě se scvrkává na skutečnost, že útočník se nejprve zaregistruje na určitém zdroji a poté na stránku nahraje obrázek. Po potvrzení stažení je vydán odkaz na online sniffer, který je potenciální oběti zaslán např. ve formě emailu nebo stejné SMS zprávy s textem jako „Dostali jste gratulaci od so-a -tak. Chcete-li otevřít obrázek (pohlednici), klikněte na odkaz.“
Naivní uživatelé kliknou na zadaný hypertextový odkaz, v důsledku čehož se aktivuje rozpoznání a externí IP adresa se předá útočníkovi. Pokud má příslušnou aplikaci, bude moci nejen prohlížet všechna data uložená v počítači, ale také snadno zvenčí měnit nastavení systému, což si místní uživatel ani neuvědomí, přičemž takovou změnu bude považovat za vliv viru. Ale skener při kontrole neukáže žádné hrozby.
Jak se chránit před zachycením dat?
Ať už se jedná o WiFi sniffer nebo jakýkoli jiný analyzátor, stále existují systémy na ochranu před neoprávněným skenováním provozu. Existuje pouze jedna podmínka: musí být instalovány pouze tehdy, pokud jste si zcela jisti „odposlechem“.
Takové softwarové nástroje se nejčastěji nazývají „antisniffers“. Ale pokud se nad tím zamyslíte, jedná se o tytéž čichací programy, které analyzují provoz, ale blokují jiné programy, které se snaží přijímat
Z toho plyne legitimní otázka: vyplatí se instalovat takový software? Možná jeho hackování hackery způsobí ještě větší škody, nebo samo zablokuje to, co by mělo fungovat?
V nejjednodušším případě se systémy Windows je lepší použít jako ochranu vestavěný firewall. Někdy může dojít ke konfliktům s nainstalovaným antivirem, ale to se často týká pouze bezplatných balíčků. Profesionální zakoupené nebo měsíčně aktivované verze takové nedostatky nemají.
Místo doslovu
To je vše o konceptu „sniffer“. Myslím, že mnoho lidí již přišlo na to, co je sniffer. Nakonec zůstává otázka: jak správně bude běžný uživatel takové věci používat? Jinak mezi mladými uživateli lze občas zaznamenat sklon k počítačovému chuligánství. Myslí si, že hacknutí cizího počítače je něco jako zajímavá soutěž nebo sebepotvrzení. Bohužel nikdo z nich ani nepřemýšlí o důsledcích, ale identifikovat útočníka pomocí stejného online snifferu je velmi snadné podle jeho externí IP například na webu WhoIs. Lokalita však bude lokalitou poskytovatele, nicméně země a město budou určeny přesně. Pak je to otázka maličkostí: buď výzva poskytovateli, aby zablokoval terminál, ze kterého byl neoprávněný přístup, nebo trestní řízení. Udělejte si vlastní závěry.
Pokud je nainstalován program, který určuje umístění terminálu, ze kterého se provádí pokus o přístup, je situace ještě jednodušší. Důsledky však mohou být katastrofální, protože ne všichni uživatelé používají tyto anonymizátory nebo virtuální proxy servery a nemají ani ponětí o internetu. Stálo by za to se naučit...
tcpdump
Hlavním nástrojem pro téměř všechny kolekce síťového provozu je tcpdump. Je to open source aplikace, která se instaluje na téměř všechny operační systémy podobné Unixu. Tcpdump je vynikající nástroj pro sběr dat a přichází s velmi výkonným filtrovacím jádrem. Je důležité vědět, jak filtrovat data během shromažďování, abyste získali spravovatelný kus dat pro analýzu. Zachycení všech dat ze síťového zařízení, dokonce i na středně vytížené síti, může vytvořit příliš mnoho dat pro jednoduchou analýzu.
V některých vzácných případech může tcpdump vytisknout výstup přímo na vaši obrazovku, což může stačit k nalezení toho, co hledáte. Například při psaní článku byl zachycen určitý provoz a bylo zjištěno, že stroj odesílá provoz na neznámou IP adresu. Ukázalo se, že stroj odesílal data na IP adresu Google 172.217.11.142. Protože nebyly spuštěny žádné produkty Google, vyvstala otázka, proč se tak děje.
Kontrola systému ukázala následující:
[ ~ ]$ ps -ef | grep googleZanechte svůj komentář!
