Paketų šnipinėjimas gali atrodyti kaip naujausias gatvės narkotikų pamišimas, tačiau tai toli gražu nėra. "Packet sniffers" arba "Protocol Analyzers" yra įrankiai, kuriuos dažniausiai naudoja tinklo specialistai, norėdami diagnozuoti su tinklu susijusias problemas. "Packet sniffers" taip pat gali būti naudojami įsilaužėlių veiklai mažiau kilniems tikslams, pavyzdžiui, šnipinėjant į tinklo naudotojų srautą ir renkant slaptažodžius.
Pažvelkime, kas yra paketų šnipas ir ką jis daro:
"Packet Sniffers" yra keletas skirtingų formų. Kai kurie tinklų technikų naudojami paketų šnipai yra vienintelis specialus aparatinės įrangos sprendimas, o kiti paketų šnipinėjimai yra programinės įrangos, naudojamos standartiniuose vartotojo klasės kompiuteriuose, naudojant pagrindinėje kompiuterio teikiamą tinklo aparatūrą paketų surinkimo ir įkėlimo užduotims atlikti.
Kaip veikia "Packet Sniffers"?
"Packet Sniffers" dirba perimdami ir užregistruodami tinklo srautą, kurį jie gali "matyti" per laidinę ar belaidę tinklo sąsają, kurią paketų šnipinėjimo programinė įranga turi prieigą prie pagrindinio kompiuterio.
Dangtejamuoju tinklu tai, kas gali būti užfiksuota, priklauso nuo tinklo struktūros. Paketų šnipintuvas gali matyti srautą visame tinkle arba tik tam tikruose segmentuose, priklausomai nuo to, kaip tinklo jungikliai yra sukonfigūruojami, pateikiami ir tt Bevieliuose tinkluose paketų šnipintuvai paprastai gali užfiksuoti tik vieną kanalą vienu metu, nebent pagrindiniame kompiuteryje yra kelios bevielės sąsajos, leidžiančios daugkanaliai fiksuoti.
Kai paketiniai duomenys yra užfiksuoti, paketų šnipinėjimo programinė įranga turi ją analizuoti ir pateikti žmonėms įskaitomai formai, kad asmuo, naudojantis paketų šnipinėjimo programinę įrangą, galėtų tai suprasti. Duomenis analizuojantis asmuo gali peržiūrėti informaciją apie "pokalbį", vykstantį tarp dviejų ar daugiau mazgų tinkle. Tinklo technikai gali naudoti šią informaciją, kad nustatytų, kur yra gedimas, pavyzdžiui, nustatant, kuris įrenginys nepavyko atsakyti į tinklo užklausą.
Įsilaužėliai gali pasinaudoti sniferiais, kad galėtumėte paslėpti nešifruotus paketų duomenis, kad sužinotumėte, kokia informacija yra keičiamasi tarp dviejų šalių. Jie taip pat gali užfiksuoti tokią informaciją kaip slaptažodžiai ir autentifikavimo žetonai (jei jie išsiųsti aiškiai). Įsilaužėliai taip pat gali užfiksuoti paketus, kurie vėliau gali būti atkuriami pakartotinai, "man-in-the-middle" ir paketų įpurškimo aukoms, kurias kai kurios sistemos gali būti pažeidžiamos.
Kokie programinės įrangos įrankiai dažnai naudojami paketų šnipinime?
Kaip ir visi kiti, tiek tinklo inžinieriai, tiek įsilaužėliai mėgsta laisvą medžiagą, todėl atvirojo kodo ir "freeware" šnipinėjimo programinės įrangos programos dažnai yra pasirinkimo įrankiai paketų šnipinėjimo užduotims. Vienas iš populiariausių atvirojo kodo programų yra Wireshark (anksčiau žinomas kaip Ethereal).
Kaip apsaugoti savo tinklą ir jo duomenis nuo įsilaužėlių, naudojančių "Sniffers"?
Jei esate tinklo technikas arba administratorius ir norite pamatyti, ar kas nors jūsų tinkle naudoja šnipinėjimo įrankį, patikrinkite įrankį, pavadintą Antisniff. "Antisniff" gali aptikti, ar tinkle esanti tinklo sąsaja buvo įdiegta "promiscuous mode" (ne juoktis, tai yra jo tikrasis vardas), o tai yra reikiamas paketų surinkimo užduočių režimas.
Kitas būdas apsaugoti tinklo srautą nuo sniffing yra naudoti šifravimą, pvz., " Secure Sockets Layer" (SSL) arba " Transport Layer Security" (TLS) . Šifravimas neužkerta kelio paketų šnipinėjams matyti informacijos šaltinio ir paskirties duomenis, bet ji užšifruoja duomenų paketo naudingąją apkrovą, kad visi šnipinėjimo įrenginiai matytų šifruotą šliužą. Bet koks bandymas keisti ar įšvirkšti duomenis į paketus tikriausiai nepasiseiks, nes užkoduoti duomenys gali sukelti klaidų, kurios būtų akivaizdžios, kai užšifruota informacija buvo iššifruojama kitame gale.
"Sniffers" yra puiki priemonė diagnozuoti netinkamas tinklo problemas. Deja, jie taip pat naudingi įsilaužimo tikslams. Saugumo specialistams svarbu susipažinti su šiais įrankiais, kad jie galėtų matyti, kaip įsilaužėlis gali juos naudoti savo tinkle.