Fiecare membru al echipei ][ are propriile preferințe în ceea ce privește software-ul și utilitățile pentru
test de stilou. În urma consultării, am aflat că alegerea variază atât de mult încât este posibil
creați un adevărat set de programe dovedite. Asta este
hotărât. Pentru a nu face un amestec, am împărțit întreaga listă în subiecte - și în
De data aceasta, vom atinge utilitățile pentru adulmecarea și manipularea pachetelor. Folosește-l pe
sănătate.

Wireshark

Netcat

Dacă vorbim despre interceptarea datelor, atunci Network Miner va fi scos din aer
(sau dintr-un dump pre-preparat în format PCAP) fișiere, certificate,
imagini și alte medii, precum și parole și alte informații pentru autorizare.
O caracteristică utilă este să căutați acele date care conțin cuvinte cheie
(de exemplu, autentificarea utilizatorului).

Scapy

Site:
www.secdev.org/projects/scapy

Un must-have pentru orice hacker, este un instrument puternic pentru
manipularea interactivă a pachetelor. Primiți și decodați cele mai multe pachete
diferite protocoale, răspunde la cerere, injectează modificată și
un pachet creat de tine - totul este ușor! Cu ajutorul lui, puteți realiza un întreg
o serie de sarcini clasice, cum ar fi scanarea, tracuritatea, atacurile și detectarea
infrastructura retelei. Într-o sticlă primim un înlocuitor pentru astfel de utilități populare,
cum ar fi: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f etc. La care
era și timpul Scapy vă permite să îndepliniți orice sarcină, chiar și cea mai specifică
o sarcină care nu poate fi realizată niciodată de un alt dezvoltator deja creat
mijloace. În loc să scrieți un întreg munte de linii în C pentru, de exemplu,
generarea unui pachet greșit și fuzzing-ul unui daemon este suficient
introduceți câteva rânduri de cod folosind Scapy! Programul nu are
interfață grafică, iar interactivitatea se realizează prin intermediul interpretului
Piton. Odată ce ați înțeles, nu vă va costa nimic să creați incorect
pachete, injectează cadrele 802.11 necesare, combină abordări diferite în atacuri
(să zicem, otrăvirea cache-ului ARP și saltul VLAN), etc. Dezvoltatorii înșiși insistă
pentru a se asigura că capacitățile lui Scapy sunt utilizate în alte proiecte. Conectându-l
ca modul, este ușor să creați un utilitar pentru diferite tipuri de cercetare în zonă,
căutarea vulnerabilităților, injecție Wi-Fi, execuție automată a anumitor
sarcini, etc.

pachet

Site:
Platformă: *nix, există un port pentru Windows

O dezvoltare interesantă care permite, pe de o parte, să genereze oricare
pachet Ethernet și, pe de altă parte, trimite secvențe de pachete cu scopul
verificări ale lățimii de bandă. Spre deosebire de alte instrumente similare, pachet
are o interfață grafică, permițându-vă să creați pachete cât mai simplu posibil
formă. Mai departe mai mult. Crearea și trimiterea sunt deosebit de elaborate
secvențe de pachete. Puteți seta întârzieri între trimitere,
trimite pachete la viteza maximă pentru a testa debitul
secțiunea rețelei (da, aici se vor depune) și, ceea ce este și mai interesant -
modificarea dinamică a parametrilor în pachete (de exemplu, adresa IP sau MAC).

Necesitatea analizei traficului de rețea poate apărea din mai multe motive. Monitorizarea securității computerului, depanarea rețelei locale, monitorizarea traficului de ieșire pentru a optimiza funcționarea unei conexiuni la Internet partajate - toate aceste sarcini sunt adesea pe agenda administratorilor de sistem și a utilizatorilor obișnuiți. Pentru a le rezolva, există multe utilități numite sniffer, ambele specializate, care vizează rezolvarea unei zone înguste de sarcini, și „recoltatoare” multifuncționale, care oferă utilizatorului o gamă largă de instrumente. Acest articol îl prezintă pe unul dintre reprezentanții acestui din urmă grup și anume utilitarul CommView produs de companie. Programul vă permite să vedeți clar imaginea completă a traficului care trece printr-un computer sau un segment de rețea locală; un sistem de alarmă personalizabil vă permite să avertizați despre prezența pachetelor suspecte în trafic, apariția nodurilor cu adrese anormale în rețea sau o creștere a încărcării rețelei.

CommView oferă capacitatea de a menține statistici pentru toate conexiunile IP, de a decoda pachetele IP la un nivel scăzut și de a le analiza. Sistemul de filtrare încorporat bazat pe mai mulți parametri vă permite să configurați urmărirea exclusiv pentru pachetele necesare, ceea ce face analiza acestora mai eficientă. Programul poate recunoaște pachete din peste șapte duzini dintre cele mai comune protocoale (inclusiv DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP etc.) și salvați-le în fișiere pentru analize ulterioare. O varietate de alte instrumente, cum ar fi identificarea producătorului adaptorului de rețea după adresa MAC, reconstrucția HTML și capturarea de pachete la distanță folosind utilitarul opțional CommView Remote Agent, pot fi, de asemenea, utile în anumite cazuri.

Lucrul cu programul

Mai întâi trebuie să selectați interfața de rețea pe care va fi monitorizat traficul.

CommView acceptă aproape orice tip de adaptor Ethernet - 10, 100 și 1000 Mbit/s, precum și modemuri analogice, xDSL, Wi-Fi etc. Analizând traficul adaptorului Ethernet, CommView poate intercepta nu numai intrarea și ieșirea, ci și tranzitul pachete adresate oricărui computer din segmentul rețelei locale. Este de remarcat faptul că, dacă sarcina este de a monitoriza tot traficul pe un segment de rețea locală, atunci este necesar ca computerele din acesta să fie conectate printr-un hub, și nu printr-un comutator. Unele modele moderne de switch au o funcție de oglindire a portului, care le permite să fie configurate și pentru monitorizarea rețelei folosind CommView. Puteți citi mai multe despre asta. După ce ați selectat conexiunea dorită, puteți începe să capturați pachete. Butoanele de pornire și oprire a capturii sunt situate lângă linia de selecție a interfeței. Pentru a lucra cu un controler de acces la distanță, VPN și PPPoE, trebuie să instalați driverul corespunzător atunci când instalați programul.

Fereastra principală a programului este împărțită în mai multe file responsabile pentru una sau alta zonă de lucru. Primul dintre ei, „Conexiuni IP curente”, afișează informații detaliate despre conexiunile IP active ale computerului. Aici puteți vedea adresa IP locală și de la distanță, numărul de pachete transmise și primite, direcția de transmisie, numărul de sesiuni IP stabilite, porturile, numele gazdei (dacă funcția de recunoaștere DNS nu este dezactivată în setările programului), și numele procesului care primește sau transmite pachetul pentru aceste sesiuni. Cele mai recente informații nu sunt disponibile pentru pachetele de tranzit sau pe computerele care rulează Windows 9x/ME.

Fila Conexiuni IP curente

Dacă faceți clic dreapta pe orice conexiune, se va deschide un meniu contextual unde puteți găsi instrumente care ușurează analiza conexiunilor. Aici puteți vedea cantitatea de date transferate în cadrul conexiunii, o listă completă de porturi utilizate, informații detaliate despre procesul care primește sau transmite pachete pentru această sesiune. CommView vă permite să creați alias-uri pentru adrese MAC și IP. De exemplu, prin specificarea alias-urilor în loc de adrese digitale greoaie ale mașinilor dintr-o rețea locală, puteți obține nume de computer ușor de citit și memorat și, astfel, puteți facilita analiza conexiunii.

Pentru a crea un alias pentru o adresă IP, trebuie să selectați „Creați un alias” și „utilizare IP local” sau „utilizare IP la distanță” în meniul contextual. În fereastra care apare, câmpul pentru adresa IP va fi deja completat și tot ce rămâne este să introduceți un nume potrivit. Dacă o nouă intrare de nume IP este creată făcând clic dreapta pe un pachet, câmpul de nume este completat automat cu numele de gazdă (dacă este disponibil) și poate fi editat. Același lucru este valabil și pentru lucrul cu aliasuri MAC.

Din același meniu, selectând SmartWhois, puteți trimite adresa IP sursă sau destinație selectată către SmartWhois, o aplicație autonomă de la Tamosoft care colectează informații despre orice adresă IP sau nume de gazdă, cum ar fi numele rețelei, domeniu, țară, stat sau provincie , oraș și îl oferă utilizatorului.

A doua filă, "Pachete", afișează toate pachetele interceptate pe interfața de rețea selectată și informații detaliate despre acestea.

Tab. Pachete

Fereastra este împărțită în trei zone. Primul dintre ele afișează o listă cu toate pachetele interceptate. Dacă selectați unul dintre pachete făcând clic pe el cu cursorul mouse-ului, ferestrele rămase vor afișa informații despre acesta. Aceasta afișează numărul pachetului, protocolul, adresele Mac și IP ale gazdei de trimitere și de primire, porturile utilizate și ora la care a apărut pachetul.

Zona din mijloc afișează conținutul pachetului - în hexazecimal sau text. În acest din urmă caz, caracterele care nu se imprimă sunt înlocuite cu puncte. Dacă mai multe pachete sunt selectate simultan în zona de sus, fereastra din mijloc va afișa numărul total de pachete selectate, dimensiunea totală a acestora, precum și intervalul de timp dintre primul și ultimul pachet.

Fereastra de jos afișează informații detaliate decodificate despre pachetul selectat.

Făcând clic pe unul dintre cele trei butoane din partea dreaptă jos a ferestrei, puteți alege locația ferestrei de decodare: în partea de jos, sau aliniată la stânga sau la dreapta. Celelalte două butoane vă permit să mergeți automat la ultimul pachet primit și să salvați pachetul selectat în zona vizibilă a listei.

Meniul contextual vă permite să copiați MAC, adrese IP și pachete întregi în clipboard, să atribuiți aliasuri, să aplicați un filtru rapid pentru a selecta pachetele necesare și, de asemenea, să utilizați instrumentele de reconstrucție a sesiunii TCP și generator de pachete.

Instrumentul TCP Session Reconstruction vă permite să vizualizați procesul de schimb între două gazde prin TCP. Pentru a face conținutul sesiunii mai ușor de înțeles, trebuie să selectați „logica de afișare” corespunzătoare. Această funcție este cea mai utilă pentru recuperarea informațiilor text, cum ar fi HTML sau ASCII.

Datele rezultate pot fi exportate ca fișier text, RTF sau binar.

Fila Fișiere jurnal. Aici puteți configura setările pentru salvarea pachetelor capturate într-un fișier. CommView salvează fișierele jurnal în format NCF nativ; Pentru a le vizualiza, se folosește un utilitar încorporat, care poate fi lansat din meniul „Fișier”.

Este posibil să activați salvarea automată a pachetelor interceptate pe măsură ce sosesc, înregistrarea sesiunilor HTTP în formatele TXT și HTML, salvarea, ștergerea, îmbinarea și împărțirea fișierelor jurnal. Un lucru de reținut este că un pachet nu este salvat imediat la sosire, așa că dacă vizualizați fișierul jurnal în timp real, cel mai probabil nu va afișa cele mai recente pachete. Pentru ca programul să trimită imediat tamponul într-un fișier, trebuie să faceți clic pe butonul „Terminare capturare”.

În fila "Reguli" puteți seta condiții pentru interceptarea sau ignorarea pachetelor.

Pentru a facilita selectarea și analiza pachetelor necesare, puteți utiliza reguli de filtrare. Acest lucru va ajuta, de asemenea, la reducerea semnificativă a cantității de resurse de sistem utilizate de CommView.

Pentru a activa o regulă, trebuie să selectați secțiunea corespunzătoare din partea stângă a ferestrei. Sunt disponibile un total de șapte tipuri de reguli: simple - „Protocoale și direcție”, „adrese Mac”, „adrese IP”, „Porturi”, „Text”, „steaguri TCP”, „Proces”, precum și universal regula „Formula” „ Pentru fiecare dintre regulile simple, este posibil să selectați parametri individuali, cum ar fi alegerea unei direcții sau a unui protocol. Regula universală a formulei este un mecanism puternic și flexibil pentru crearea de filtre folosind logica booleană. O referință detaliată despre sintaxa sa poate fi găsită.

Tab "Avertizări" vă va ajuta să configurați setările pentru notificări despre diverse evenimente care au loc în segmentul de rețea studiat.

Fila Alerte vă permite să creați, să editați, să ștergeți reguli de alertă și să vizualizați evenimentele curente care se potrivesc cu aceste reguli

Pentru a seta o regulă de avertizare, trebuie să faceți clic pe butonul „Adăugați...” și în fereastra care se deschide, selectați condițiile necesare care vor declanșa o notificare, precum și metoda de notificare a utilizatorului despre aceasta.

CommView vă permite să definiți următoarele tipuri de evenimente de monitorizat:

• „Detectați un pachet” care se potrivește cu formula specificată. Sintaxa formulei este descrisă în detaliu în manualul de utilizare;
• „Octeți pe secundă”. Această alertă se va declanșa atunci când nivelul de încărcare a rețelei specificat este depășit;
• „Pachete pe secundă”. Declanșat atunci când nivelul specificat al frecvenței de transmisie a pachetelor este depășit;
• „Emisiuni pe secundă”. La fel, doar pentru pachetele de difuzare;
• „Multicasts per second” - același lucru pentru pachetele multicast.
• „Adresă MAC necunoscută”. Această alertă poate fi utilizată pentru a detecta echipamente noi sau neautorizate care se conectează la rețea, definind mai întâi o listă de adrese cunoscute folosind opțiunea Configurare;
• Avertismentul „Adresă IP necunoscută” va fi declanșat atunci când sunt interceptate pachete cu adrese IP necunoscute ale expeditorului sau destinatarului. Dacă prespecificați o listă de adrese cunoscute, această alertă poate fi utilizată pentru a detecta conexiuni neautorizate prin firewall-ul companiei.

CommView are un instrument puternic pentru vizualizarea statisticilor traficului studiat. Pentru a deschide fereastra de statistici, trebuie să selectați elementul cu același nume din meniul „Vizualizare”.

Fereastra de statistici în modul „General”.

În această fereastră puteți vizualiza statisticile de trafic în rețea: aici puteți vedea numărul de pachete pe secundă, octeți pe secundă, distribuția Ethernet, protocoale IP și subprotocoale. Diagramele pot fi copiate în clipboard, ceea ce vă va ajuta atunci când trebuie să compilați rapoarte.

Disponibilitate, cost, cerințe de sistem

Versiunea actuală a programului este CommView 5.1. De pe site-ul web Tamosoft puteți, care va funcționa timp de 30 de zile.

Dezvoltatorul oferă clienților două opțiuni de licență:

• Licența de acasă (licență de acasă), în valoare de 2.000 de ruble, oferă dreptul de a utiliza programul acasă pe o bază necomercială, în timp ce numărul de gazde disponibile pentru monitorizare în rețeaua dvs. de domiciliu este limitat la cinci. Acest tip de licență nu vă permite să lucrați de la distanță folosind Remote Agent.
• Licența de întreprindere (corporativă, cost - 10.000 de ruble) oferă dreptul de utilizare comercială și necomercială a programului de către o persoană care utilizează personal programul pe una sau mai multe mașini. Programul poate fi instalat și pe o singură stație de lucru și utilizat de mai multe persoane, dar nu simultan.

Aplicația rulează pe sistemele de operare Windows 98/Me/NT/2000/XP/2003. Pentru a funcționa, aveți nevoie de un adaptor de rețea Ethernet, Wireless Ethernet, Token Ring cu suport pentru standardul NDIS 3.0 sau un controler standard de acces la distanță.

Pro:

• interfață localizată;
• sistem de ajutor excelent;
• suport pentru diferite tipuri de adaptoare de rețea;
• instrumente avansate pentru analiza pachetelor și identificarea protocoalelor;
• vizualizarea statisticilor;
• sistem de avertizare funcțional.

Minusuri:

• cost prea mare;
• lipsa presetărilor pentru regulile de interceptare și avertizare;
• nu este un mecanism foarte convenabil pentru selectarea unui pachet în fila „Pachete”.

Concluzie

Datorită funcționalității sale excelente și interfeței ușor de utilizat, CommView poate deveni un instrument indispensabil pentru administratorii de rețele locale, furnizorii de servicii de internet și utilizatorii casnici. Am fost mulțumit de abordarea atentă a dezvoltatorului cu privire la localizarea pachetului în limba rusă: atât interfața, cât și manualul de referință au fost realizate la un nivel foarte înalt. Imaginea este oarecum tulburată de costul ridicat al programului, dar o versiune de încercare de treizeci de zile va ajuta un potențial cumpărător să decidă oportunitatea achiziționării acestui utilitar.

Wireshark este un analizor de rețea puternic care poate fi folosit pentru a analiza traficul care trece prin interfața de rețea a computerului. Este posibil să aveți nevoie de el pentru a detecta și rezolva probleme de rețea, pentru a vă depana aplicațiile web, programele de rețea sau site-urile. Wireshark vă permite să vizualizați complet conținutul unui pachet la toate nivelurile, astfel încât să puteți înțelege mai bine cum funcționează rețeaua la un nivel scăzut.

Toate pachetele sunt capturate în timp real și furnizate într-un format ușor de citit. Programul acceptă un sistem de filtrare foarte puternic, evidențierea culorilor și alte caracteristici care vă vor ajuta să găsiți pachetele potrivite. În acest tutorial, vom analiza cum să folosiți Wireshark pentru a analiza traficul. Recent, dezvoltatorii au început să lucreze la a doua ramură a programului Wireshark 2.0, i s-au adus multe modificări și îmbunătățiri, în special pentru interfață. Acesta este ceea ce vom folosi în acest articol.

Înainte de a trece la analizarea modalităților de a analiza traficul, trebuie să luați în considerare ce funcții acceptă programul mai detaliat, cu ce protocoale poate funcționa și ce poate face. Iată principalele caracteristici ale programului:

• Capturați pachete în timp real de pe interfețe cu fir sau orice alt tip de rețea, precum și citiți dintr-un fișier;
• Sunt acceptate următoarele interfețe de captură: Ethernet, IEEE 802.11, PPP și interfețe virtuale locale;
• Pachetele pot fi filtrate pe baza multor parametri folosind filtre;
• Toate protocoalele cunoscute sunt evidențiate în listă în culori diferite, de exemplu TCP, HTTP, FTP, DNS, ICMP și așa mai departe;
• Suport pentru captarea traficului de apeluri VoIP;
• Decriptarea traficului HTTPS este acceptată dacă este disponibil un certificat;
• Decriptarea traficului WEP și WPA al rețelelor wireless cu o cheie și strângere de mână;
• Afișarea statisticilor de încărcare a rețelei;
• Vizualizați conținutul pachetului pentru toate straturile de rețea;
• Afișează ora trimiterii și primirii pachetelor.

Programul are multe alte caracteristici, dar acestea au fost principalele care v-ar putea interesa.

Cum se utilizează Wireshark

Presupun că aveți deja programul instalat, dar dacă nu, îl puteți instala din depozitele oficiale. Pentru a face acest lucru, tastați comanda în Ubuntu:

sudo apt install wireshark

După instalare, puteți găsi programul în meniul principal al distribuției. Trebuie să rulați Wireshark cu drepturi de superutilizator, deoarece altfel nu va putea analiza pachetele de rețea. Acest lucru se poate face din meniul principal sau prin terminal folosind comanda pentru KDE:

Și pentru Gnome/Unity:

Fereastra principală a programului este împărțită în trei părți: prima coloană conține o listă de interfețe de rețea disponibile pentru analiză, a doua - opțiuni pentru deschiderea fișierelor și a treia - ajutor.

Analiza traficului în rețea

Pentru a începe analiza, selectați o interfață de rețea, de exemplu eth0, și faceți clic pe butonul Start.

După aceasta, se va deschide următoarea fereastră, deja cu un flux de pachete care trec prin interfață. Această fereastră este, de asemenea, împărțită în mai multe părți:

• Top parte- acestea sunt meniuri si panouri cu diverse butoane;
• Lista pachetelor- apoi se afiseaza fluxul de pachete de retea pe care le veti analiza;
• Conținutul pachetului- chiar mai jos se afla continutul coletului selectat, acesta este impartit pe categorii in functie de nivelul de transport;
• Performanță reală- în partea de jos conținutul pachetului este afișat în formă reală, precum și în formă HEX.

Puteți face clic pe orice pachet pentru a-i analiza conținutul:

Aici vedem un pachet de solicitare DNS pentru a obține adresa IP a site-ului, în cererea în sine se trimite domeniul, iar în pachetul de răspuns primim întrebarea noastră precum și răspunsul.

Pentru o vizualizare mai convenabilă, puteți deschide pachetul într-o fereastră nouă făcând dublu clic pe intrare:

Filtre Wireshark

Parcurgerea manuală a pachetelor pentru a le găsi pe cele de care aveți nevoie este foarte incomod, mai ales cu un fir activ. Prin urmare, pentru această sarcină este mai bine să folosiți filtre. Există o linie specială sub meniu pentru introducerea filtrelor. Puteți da clic Expresie pentru a deschide designerul de filtre, dar există o mulțime de ele, așa că ne vom uita la cele mai de bază:

• ip.dst- adresa IP țintă;
• ip.src- adresa IP a expeditorului;
• ip.addr- IP-ul expeditorului sau destinatarului;
• ip.proto- protocol;
• tcp.dstport- portul de destinație;
• tcp.srcport- portul expeditorului;
• ip.ttl- filtru TTL, determină distanța de rețea;
• http.request_uri- adresa site-ului solicitată.

Pentru a specifica relația dintre un câmp și o valoare dintr-un filtru, puteți utiliza următorii operatori:

• == - egal;
• != - nu este egal;
• < - Mai puțin;
• > - Mai mult;
• <= - mai mic sau egal;
• >= - mai mult sau egal;
• chibrituri- expresie uzuala;
• conţine- contine.

Pentru a combina mai multe expresii puteți folosi:

• && - ambele expresii trebuie să fie adevărate pentru pachet;
• || - una dintre expresii poate fi adevărată.

Acum să aruncăm o privire mai atentă la mai multe filtre folosind exemple și să încercăm să înțelegem toate semnele relațiilor.

Mai întâi, să filtram toate pachetele trimise la 194.67.215.. Introduceți un șir în câmpul de filtrare și faceți clic pe aplica. Pentru comoditate, filtrele Wireshark pot fi salvate folosind butonul Salvați:

ip.dst == 194.67.215.125

Și pentru a primi nu numai pachetele trimise, ci și cele primite ca răspuns de la acest nod, puteți combina două condiții:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

De asemenea, putem selecta fișiere mari transferate:

http.content_length > 5000

Prin filtrarea tipului de conținut, putem selecta toate imaginile care au fost încărcate; Să analizăm traficul Wireshark, pachete care conțin cuvântul imagine:

http.content_type conține imaginea

Pentru a șterge filtrul, puteți apăsa butonul clar. Se întâmplă să nu cunoașteți întotdeauna toate informațiile necesare pentru filtrare, ci să doriți doar să explorați rețeaua. Puteți adăuga orice câmp al unui pachet ca coloană și puteți vizualiza conținutul acestuia în fereastra generală pentru fiecare pachet.

De exemplu, vreau să afișez TTL (timpul de viață) al unui pachet sub formă de coloană. Pentru a face acest lucru, deschideți informațiile pachetului, găsiți acest câmp în secțiunea IP. Apoi apelați meniul contextual și selectați opțiunea Aplicați ca coloană:

În același mod, puteți crea un filtru bazat pe orice câmp dorit. Selectați-l și deschideți meniul contextual, apoi faceți clic Aplicați ca filtru sau Pregătiți ca filtru, apoi selectați Selectat pentru a afișa numai valorile selectate sau Nu a fost ales pentru a le elimina:

Câmpul specificat și valoarea acestuia vor fi aplicate sau, în al doilea caz, inserate în câmpul de filtru:

În acest fel, puteți adăuga un câmp din orice pachet sau coloană la filtru. Există și această opțiune în meniul contextual. Pentru a filtra protocoalele, puteți utiliza condiții mai simple. De exemplu, să analizăm traficul Wireshark pentru protocoalele HTTP și DNS:

O altă caracteristică interesantă a programului este utilizarea Wireshark pentru a urmări o anumită sesiune între computerul utilizatorului și server. Pentru a face acest lucru, deschideți meniul contextual pentru pachet și selectați Urmați fluxul TCP.

Se va deschide apoi o fereastră în care veți găsi toate datele transferate între server și client:

Diagnosticarea problemelor Wireshark

S-ar putea să vă întrebați cum să utilizați Wireshark 2.0 pentru a detecta problemele din rețea. Pentru a face acest lucru, există un buton rotund în colțul din stânga jos al ferestrei când faceți clic pe el, se deschide o fereastră Expet Tools. În el, Wireshark colectează toate mesajele de eroare și problemele de rețea:

Fereastra este împărțită în file precum Erori, Avertismente, Notificări, Chat-uri. Programul poate filtra și găsi multe probleme de rețea, iar aici le puteți vedea foarte repede. Aici sunt acceptate și filtrele Wireshark.

Analiza traficului Wireshark

Puteți înțelege foarte ușor ce au descărcat utilizatorii și ce fișiere au vizualizat dacă conexiunea nu a fost criptată. Programul face o treabă foarte bună în extragerea conținutului.

Pentru a face acest lucru, mai întâi trebuie să opriți capturarea traficului folosind pătratul roșu de pe panou. Apoi deschide meniul Fişier -> Exportați obiecte -> HTTP:

Original: 8 cele mai bune sniffer de pachete și analizoare de rețea
Autor: Jon Watson
Data publicării: 22 noiembrie 2017
Traducere: A. Krivoshey
Data transferului: decembrie 2017

Packet sniffing este un termen colocvial care se referă la arta de a analiza traficul de rețea. Contrar credinței populare, lucruri precum e-mailurile și paginile web nu călătoresc pe internet dintr-o singură bucată. Acestea sunt împărțite în mii de pachete de date mici și astfel trimise prin Internet. În acest articol, ne vom uita la cele mai bune analizoare de rețea și sniffer de pachete gratuite.

Există multe utilitare care colectează trafic de rețea, iar cele mai multe dintre ele folosesc pcap (pe sisteme asemănătoare Unix) sau libcap (pe Windows) ca bază. Un alt tip de utilitate ajută la analiza acestor date, deoarece chiar și o cantitate mică de trafic poate genera mii de pachete greu de navigat. Aproape toate aceste utilități diferă puțin unele de altele în colectarea datelor, principalele diferențe fiind în modul în care analizează datele.

Analiza traficului de rețea necesită înțelegerea modului în care funcționează rețeaua. Nu există nicio unealtă care să poată înlocui în mod magic cunoștințele unui analist despre fundamentele rețelei, cum ar fi „strângerea de mână în trei direcții” TCP care este folosită pentru a iniția o conexiune între două dispozitive. De asemenea, analiștii trebuie să înțeleagă tipurile de trafic de rețea dintr-o rețea care funcționează normal, cum ar fi ARP și DHCP. Aceste cunoștințe sunt importante deoarece instrumentele de analiză vă vor arăta pur și simplu ceea ce le cereți să facă. Depinde de tine să decizi ce să ceri. Dacă nu știți cum arată de obicei rețeaua dvs., poate fi dificil să știți că ați găsit ceea ce aveți nevoie în masa de pachete pe care le-ați colectat.

Cele mai bune sniffer de pachete și analizoare de rețea

Unelte industriale

Să începem de sus și apoi să ne coborâm la elementele de bază. Dacă aveți de-a face cu o rețea la nivel de întreprindere, veți avea nevoie de o armă mare. În timp ce aproape totul folosește tcpdump la bază (mai multe despre asta mai târziu), instrumentele de nivel enterprise pot rezolva anumite probleme complexe, cum ar fi corelarea traficului de pe mai multe servere, furnizarea de interogări inteligente pentru a identifica probleme, alerte despre excepții și crearea de grafice bune, care este ceea ce cer mereu șefii.

Instrumentele la nivel de întreprindere sunt de obicei orientate spre fluxul de trafic de rețea, mai degrabă decât spre evaluarea conținutului pachetelor. Prin aceasta vreau să spun că obiectivul principal al majorității administratorilor de sistem din întreprindere este să se asigure că rețeaua nu are blocaje de performanță. Când apar astfel de blocaje, scopul este de obicei de a determina dacă problema este cauzată de rețea sau de o aplicație din rețea. Pe de altă parte, aceste instrumente pot gestiona de obicei atât de mult trafic încât pot ajuta la prezicerea când un segment de rețea va fi complet încărcat, un punct critic în gestionarea lățimii de bandă a rețelei.

Acesta este un set foarte mare de instrumente de management IT. În acest articol, utilitarul Deep Packet Inspection and Analysis, care este componenta sa, este mai potrivit. Colectarea traficului de rețea este destul de simplă. Cu instrumente precum WireShark, nici analiza de bază nu este o problemă. Dar situația nu este întotdeauna complet clară. Într-o rețea foarte aglomerată, poate fi dificil să determinați chiar și lucruri foarte simple, cum ar fi:

Ce aplicație din rețea generează acest trafic?
- dacă o aplicație este cunoscută (să zicem un browser web), unde își petrec utilizatorii cea mai mare parte a timpului?
- care conexiuni sunt cele mai lungi și supraîncărcează rețeaua?

Majoritatea dispozitivelor din rețea folosesc metadatele fiecărui pachet pentru a se asigura că pachetul ajunge acolo unde trebuie. Conținutul pachetului este necunoscut dispozitivului din rețea. Un alt lucru este inspecția profundă a pachetelor; aceasta înseamnă că conținutul real al pachetului este verificat. În acest fel, pot fi descoperite informații critice de rețea care nu pot fi culese din metadate. Instrumente precum cele oferite de SolarWinds pot oferi date mai semnificative decât doar fluxul de trafic.

Alte tehnologii pentru gestionarea rețelelor cu consum mare de date includ NetFlow și sFlow. Fiecare are propriile sale puncte forte și puncte slabe,

Puteți afla mai multe despre NetFlow și sFlow.

Analiza rețelei în general este un subiect avansat care se bazează atât pe cunoștințele dobândite, cât și pe experiența practică de lucru. Puteți antrena o persoană să aibă cunoștințe detaliate despre pachetele de rețea, dar dacă persoana respectivă nu cunoaște rețeaua în sine și are experiență în identificarea anomaliilor, nu se va descurca prea bine. Instrumentele descrise în acest articol ar trebui să fie folosite de administratori de rețea experimentați, care știu ce vor, dar nu sunt siguri care este cel mai bun utilitar. Ele pot fi, de asemenea, folosite de administratori de sistem mai puțin experimentați pentru a câștiga experiență de zi cu zi în rețea.

Bazele

Instrumentul principal pentru colectarea traficului de rețea este

Este o aplicație open source care se instalează pe aproape toate sistemele de operare asemănătoare Unix. Tcpdump este un utilitar excelent de colectare a datelor care are un limbaj de filtrare foarte sofisticat. Este important să știți cum să filtrați datele atunci când le colectați pentru a ajunge la un set normal de date pentru analiză. Captarea tuturor datelor de pe un dispozitiv de rețea, chiar și într-o rețea moderat ocupată, poate genera prea multe date care sunt foarte greu de analizat.

În unele cazuri rare, va fi suficient să imprimați datele capturate tcpdump direct pe ecran pentru a găsi ceea ce aveți nevoie. De exemplu, în timp ce scriam acest articol, am colectat trafic și am observat că aparatul meu trimitea trafic la o adresă IP pe care nu o cunoșteam. Se pare că aparatul meu trimitea date la adresa IP Google 172.217.11.142. Deoarece nu aveam niciun produs Google și Gmail nu era deschis, nu știam de ce se întâmplă acest lucru. Mi-am verificat sistemul și am găsit următoarele:

[ ~ ]$ ps -ef | utilizator grep google 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Se pare că, chiar și atunci când Chrome nu rulează, acesta rămâne rulând ca serviciu. Nu aș fi observat asta fără analiza pachetelor. Am mai capturat câteva pachete de date, dar de data aceasta i-am dat tcpdump sarcina de a scrie datele într-un fișier, pe care l-am deschis apoi în Wireshark (mai multe despre asta mai târziu). Acestea sunt intrările:

Tcpdump este un instrument preferat al administratorilor de sistem, deoarece este un utilitar de linie de comandă. Rularea tcpdump nu necesită o interfață grafică. Pentru serverele de producție, interfața grafică este destul de dăunătoare, deoarece consumă resurse de sistem, așa că sunt de preferat programele de linie de comandă. La fel ca multe utilitare moderne, tcpdump are un limbaj foarte bogat și complex, care necesită ceva timp pentru a fi stăpânit. Câteva comenzi de bază implică selectarea unei interfețe de rețea pentru a colecta date și scrierea acestor date într-un fișier, astfel încât să poată fi exportate pentru analiză în altă parte. Comutatoarele -i și -w sunt folosite pentru aceasta.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: ascultare pe eth0, tip link EN10MB (Ethernet), dimensiune captură 262144 octeți ^C51 pachete capturate

Această comandă creează un fișier cu datele capturate:

Fișier tcpdump_packets tcpdump_packets: fișier de captură tcpdump (little-endian) - versiunea 2.4 (Ethernet, lungime de captură 262144)

Standardul pentru astfel de fișiere este formatul pcap. Nu este text, deci poate fi analizat doar folosind programe care înțeleg acest format.

3.Windump

Cele mai utile utilități open source ajung să fie clonate în alte sisteme de operare. Când se întâmplă acest lucru, se spune că aplicația a fost migrată. Windump este un port al tcpdump și se comportă într-un mod foarte similar.

Cea mai semnificativă diferență dintre Windump și tcpdump este că Windump are nevoie de biblioteca Winpcap instalată înainte de a rula Windump. Chiar dacă Windump și Winpcap sunt furnizate de același întreținător, acestea trebuie descărcate separat.

Winpcap este o bibliotecă care trebuie preinstalată. Dar Windump este un fișier exe care nu trebuie instalat, așa că îl puteți rula. Acesta este ceva de reținut dacă utilizați o rețea Windows. Nu trebuie să instalați Windump pe fiecare mașină, deoarece îl puteți copia doar după cum este necesar, dar veți avea nevoie de Winpcap pentru a suporta Windup.

Ca și în cazul tcpdump, Windump poate afișa date de rețea pentru analiză, le poate filtra în același mod și, de asemenea, poate scrie datele într-un fișier pcap pentru analiză ulterioară.

4. Wireshark

Wireshark este următorul instrument cel mai faimos din cutia de instrumente a unui administrator de sistem. Nu numai că vă permite să capturați date, ci oferă și câteva instrumente avansate de analiză. În plus, Wireshark este open source și a fost portat pe aproape toate sistemele de operare server existente. Numit Etheral, Wireshark rulează acum peste tot, inclusiv ca aplicație autonomă, portabilă.

Dacă analizezi traficul pe un server cu o interfață grafică, Wireshark poate face totul pentru tine. Poate colecta date și apoi le poate analiza pe toate chiar acolo. Cu toate acestea, GUI-urile sunt rare pe servere, așa că puteți colecta date de rețea de la distanță și apoi puteți examina fișierul pcap rezultat în Wireshark pe computer.

Când lansați pentru prima dată Wireshark, puteți fie să încărcați un fișier pcap existent, fie să executați o captură de trafic. În acest din urmă caz, puteți seta suplimentar filtre pentru a reduce cantitatea de date colectate. Dacă nu specificați un filtru, Wireshark va colecta pur și simplu toate datele de rețea din interfața selectată.

Una dintre cele mai utile caracteristici ale Wireshark este capacitatea de a urmări un flux. Cel mai bine este să te gândești la un fir ca la un lanț. În captura de ecran de mai jos putem vedea o mulțime de date capturate, dar ceea ce m-a interesat cel mai mult a fost adresa IP a Google. Pot să dau clic dreapta și să urmăresc fluxul TCP pentru a vedea întregul lanț.

Dacă traficul a fost capturat pe alt computer, puteți importa fișierul PCAP utilizând dialogul Fișier Wireshark -> Deschidere. Aceleași filtre și instrumente sunt disponibile pentru fișierele importate ca și pentru datele de rețea capturate.

5.rechin

Tshark este o legătură foarte utilă între tcpdump și Wireshark. Tcpdump este superior la colectarea datelor și poate extrage chirurgical doar datele de care aveți nevoie, cu toate acestea capacitățile sale de analiză a datelor sunt foarte limitate. Wireshark este excelent atât la captură, cât și la analiză, dar are o interfață de utilizator grea și nu poate fi folosit pe servere fără GUI. Încercați tshark, funcționează pe linia de comandă.

Tshark folosește aceleași reguli de filtrare ca și Wireshark, ceea ce nu ar trebui să fie surprinzător, deoarece sunt în esență același produs. Comanda de mai jos îi spune doar lui tshark să capteze adresa IP de destinație, precum și alte câmpuri de interes din porțiunea HTTP a pachetului.

# tshark -i eth0 -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css 172.20.20.0.1;1540 (Xilla/1542; rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; 2010) Firefox /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png 172.20.20.0.1;1520 Linux (Mozilla/1; x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101/favicon.ico / Firefox

Dacă doriți să scrieți traficul într-un fișier, utilizați opțiunea -W pentru a face acest lucru, apoi comutatorul -r (citește) pentru a-l citi.

Prima captură:

# tshark -i eth0 -w tshark_packets Captură pe „eth0” 102 ^C

Citiți-l aici sau mutați-l în alt loc pentru analiză.

# tshark -r tshark_packets -Y http.request -T câmpuri -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010011 Firefox /57.0 /contact 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /reservations/ 172.20.0.122 Mozilla/5.0; / 57,0 / reservations/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js.2.2.1.2.2 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_6; 570 Firefox) / 570. res/images/title.png

Acesta este un instrument foarte interesant, care se încadrează mai mult în categoria instrumentelor de analiză criminalistică de rețea decât doar sniffer. Domeniul criminalisticii se ocupă de obicei cu investigații și culegerea de dovezi, iar Network Miner face această treabă foarte bine. Așa cum wireshark poate urmări un flux TCP pentru a reconstrui un întreg lanț de transmisie de pachete, Network Miner poate urmări un flux pentru a recupera fișierele care au fost transferate printr-o rețea.

Network Miner poate fi plasat strategic în rețea pentru a putea observa și colecta traficul care vă interesează în timp real. Nu va genera propriul trafic în rețea, așa că va funcționa pe furiș.

Network Miner poate funcționa și offline. Puteți utiliza tcpdump pentru a colecta pachete la un punct de interes din rețea și apoi importa fișierele PCAP în Network Miner. Apoi, puteți încerca să recuperați orice fișiere sau certificate găsite în fișierul înregistrat.

Network Miner este creat pentru Windows, dar cu Mono poate fi rulat pe orice sistem de operare care acceptă platforma Mono, cum ar fi Linux și MacOS.

Există o versiune gratuită, entry-level, dar cu un set decent de funcții. Dacă aveți nevoie de funcții suplimentare, cum ar fi localizarea geografică și scripturi personalizate, va trebui să achiziționați o licență profesională.

7. Lăutar (HTTP)

Din punct de vedere tehnic, nu este un utilitar de captare a pachetelor de rețea, dar este atât de incredibil de util încât se înscrie în această listă. Spre deosebire de celelalte instrumente enumerate aici, care sunt concepute pentru a capta traficul de rețea din orice sursă, Fiddler este mai mult un instrument de depanare. Captează traficul HTTP. În timp ce multe browsere au deja această capacitate în instrumentele lor de dezvoltare, Fiddler nu se limitează la traficul browserului. Fiddler poate captura orice trafic HTTP pe un computer, inclusiv aplicații non-web.

Multe aplicații desktop folosesc HTTP pentru a se conecta la serviciile web și, în afară de Fiddler, singura modalitate de a capta un astfel de trafic pentru analiză este utilizarea unor instrumente precum tcpdump sau Wireshark. Cu toate acestea, ele funcționează la nivel de pachet, așa că analiza necesită reconstrucția acestor pachete în fluxuri HTTP. Poate fi multă muncă să faci cercetări simple și aici intervine Fiddler. Fiddler vă va ajuta să detectați module cookie, certificate și alte date utile trimise de aplicații.

Fiddler este gratuit și, la fel ca Network Miner, poate fi rulat în Mono pe aproape orice sistem de operare.

8. Capsa

Analizorul de rețea Capsa are mai multe ediții, fiecare cu capacități diferite. La primul nivel, Capsa este gratuit și, în esență, vă permite să capturați pachete și să efectuați analize grafice de bază asupra acestora. Tabloul de bord este unic și poate ajuta un administrator de sistem fără experiență să identifice rapid problemele de rețea. Nivelul gratuit este pentru persoanele care doresc să învețe mai multe despre pachete și să-și dezvolte abilitățile de analiză.

Versiunea gratuită vă permite să monitorizați peste 300 de protocoale, este potrivită pentru monitorizarea e-mailului, precum și pentru stocarea conținutului de e-mail și, de asemenea, acceptă declanșatoare care pot fi utilizate pentru a declanșa alerte atunci când apar anumite situații. În acest sens, Capsa poate fi folosit ca instrument de sprijin într-o oarecare măsură.

Capsa este disponibil numai pentru Windows 2008/Vista/7/8 și 10.

Concluzie

Este ușor de înțeles cum un administrator de sistem poate crea o infrastructură de monitorizare a rețelei folosind instrumentele pe care le-am descris. Tcpdump sau Windump pot fi instalate pe toate serverele. Un planificator, cum ar fi cron sau planificatorul Windows, pornește o sesiune de colectare a pachetelor la momentul potrivit și scrie datele colectate într-un fișier pcap. Administratorul de sistem poate apoi transfera aceste pachete pe mașina centrală și le poate analiza folosind wireshark. Dacă rețeaua este prea mare pentru acest lucru, instrumente de nivel enterprise, cum ar fi SolarWinds, sunt disponibile pentru a transforma toate pachetele de rețea într-un set de date gestionabil.

Citiți alte articole despre interceptarea și analiza traficului de rețea :

• Dan Nanni, Utilitare de linie de comandă pentru monitorizarea traficului de rețea pe Linux
• Paul Cobbaut, Administrarea sistemului Linux. Interceptarea traficului de rețea
• Paul Ferrill, 5 instrumente pentru monitorizarea rețelei pe Linux
• Pankaj Tanwar, Captură de pachete folosind biblioteca libpcap
• Riccardo Capecchi, Utilizarea filtrelor în Wireshark
• Nathan Willis, Analiza rețelei cu Wireshark
• Prashant Phatak,

Analizatoarele de pachete de rețea sau snifferele au fost dezvoltate inițial ca un mijloc de rezolvare a problemelor de rețea. Ei sunt capabili să intercepteze, să interpreteze și să stocheze pachetele transmise prin rețea pentru analiza ulterioară. Pe de o parte, acest lucru permite administratorilor de sistem și inginerilor de asistență tehnică să observe modul în care datele sunt transferate în rețea, să diagnosticheze și să remedieze problemele care apar. În acest sens, sniffer-urile de pachete sunt un instrument puternic pentru diagnosticarea problemelor de rețea. Pe de altă parte, la fel ca multe alte instrumente puternice care au fost inițial destinate administrării, de-a lungul timpului, sniffer-urile au început să fie folosite în scopuri complet diferite. Într-adevăr, un sniffer în mâinile unui atacator este un instrument destul de periculos și poate fi folosit pentru a obține parole și alte informații confidențiale. Totuși, nu trebuie să credeți că sniffer-urile sunt un fel de instrument magic prin care orice hacker poate vizualiza cu ușurință informațiile confidențiale transmise prin rețea. Și înainte de a dovedi că pericolul reprezentat de sniffer nu este atât de mare pe cât este adesea prezentat, să luăm în considerare mai detaliat principiile funcționării lor.

Principiile de funcționare ale snifferelor de pachete

În continuare, în acest articol, vom lua în considerare doar snifferele software concepute pentru rețele Ethernet. Un sniffer este un program care operează la nivelul adaptorului de rețea NIC (Network Interface Card) (stratul de legătură) și interceptează în secret tot traficul. Deoarece sniffer-urile operează la nivelul de legătură de date al modelului OSI, nu trebuie să respecte regulile protocoalelor de nivel superior. Snifferele ocolesc mecanismele de filtrare (adrese, porturi etc.) pe care driverele Ethernet și stiva TCP/IP le folosesc pentru a interpreta datele. Sniffer-urile de pachete captează din fir tot ce trece prin el. Sniffer-ii pot stoca cadre în format binar și ulterior le pot decripta pentru a dezvălui informații de nivel superior ascunse în interior (Figura 1).

Pentru ca snifferul să captureze toate pachetele care trec prin adaptorul de rețea, driverul adaptorului de rețea trebuie să accepte modul promiscuu. În acest mod de funcționare al adaptorului de rețea, sniffer-ul este capabil să intercepteze toate pachetele. Acest mod de funcționare al adaptorului de rețea este activat automat atunci când sniffer-ul este lansat sau este setat manual de setările sniffer-ului corespunzătoare.

Tot traficul interceptat este transmis unui decodor de pachete, care identifică și împarte pachetele în nivelurile ierarhice adecvate. În funcție de capacitățile unui anumit sniffer, informațiile de pachet furnizate pot fi ulterior analizate și filtrate.

Limitări ale utilizării sniffer-urilor

Sniffer-urile reprezentau cel mai mare pericol în acele zile când informația era transmisă prin rețea în text clar (fără criptare), iar rețelele locale erau construite pe baza concentratoarelor (hubs). Cu toate acestea, acele zile au dispărut pentru totdeauna, iar în zilele noastre folosirea snifferelor pentru a obține acces la informații confidențiale nu este deloc o sarcină ușoară.

Cert este că atunci când se construiesc rețele locale bazate pe hub-uri, există un anumit mediu comun de transmisie a datelor (cablu de rețea) și toate nodurile rețelei fac schimb de pachete, concurând pentru accesul la acest mediu (Fig. 2) și un pachet trimis de o singură rețea. nodul este transmis către toate porturile hub-ului și acest pachet este ascultat de toate celelalte noduri din rețea, dar îl primește doar nodul căruia este adresat. Mai mult, dacă pe unul dintre nodurile rețelei este instalat un sniffer de pachete, atunci acesta poate intercepta toate pachetele de rețea aferente unui anumit segment de rețea (rețeaua formată de hub).

Switch-urile sunt dispozitive mai inteligente decât hub-urile de difuzare și izolează traficul de rețea. Switch-ul cunoaște adresele dispozitivelor conectate la fiecare port și transmite pachete doar între porturile necesare. Acest lucru vă permite să descărcați alte porturi fără a fi nevoie să redirecționați fiecare pachet către acestea, așa cum o face un hub. Astfel, un pachet trimis de un anumit nod de rețea este transmis numai către portul de comutare la care este conectat destinatarul pachetului, iar toate celelalte noduri de rețea nu sunt capabile să detecteze acest pachet (Fig. 3).

Prin urmare, dacă rețeaua este construită pe baza unui comutator, atunci un sniffer instalat pe unul dintre computerele din rețea este capabil să intercepteze numai acele pachete care sunt schimbate între acest computer și alte noduri de rețea. Drept urmare, pentru a putea intercepta pachetele pe care computerul sau serverul de interes pentru atacator le schimbă cu alte noduri de rețea, este necesar să instalați un sniffer pe acest computer (server), care de fapt nu este atât de simplu. Cu toate acestea, ar trebui să rețineți că unele sniffer-uri de pachete sunt lansate din linia de comandă și este posibil să nu aibă o interfață grafică. Astfel de sniffer, în principiu, pot fi instalate și lansate de la distanță și neobservate de utilizator.

În plus, ar trebui să rețineți că, în timp ce comutatoarele izolează traficul de rețea, toate comutatoarele gestionate au funcționalitate de redirecționare a portului sau oglindire a portului. Adică, portul de comutare poate fi configurat în așa fel încât toate pachetele care sosesc pe alte porturi de comutare să fie duplicate pe el. Dacă în acest caz un computer cu un sniffer de pachete este conectat la un astfel de port, atunci acesta poate intercepta toate pachetele schimbate între computere dintr-un anumit segment de rețea. Cu toate acestea, de regulă, capacitatea de a configura comutatorul este disponibilă numai administratorului de rețea. Acest lucru, desigur, nu înseamnă că nu poate fi un atacator, dar un administrator de rețea are multe alte modalități de a controla toți utilizatorii rețelei locale și este puțin probabil să te monitorizeze într-un mod atât de sofisticat.

Un alt motiv pentru care sniffer-urile nu mai sunt la fel de periculoase cum erau cândva este că cele mai multe date sensibile sunt acum transmise criptat. Serviciile deschise, necriptate, dispar rapid de pe Internet. De exemplu, atunci când vizitați site-uri web, protocolul SSL (Secure Sockets Layer) este din ce în ce mai utilizat; SFTP (Secure FTP) este folosit în loc de FTP deschis, iar rețelele private virtuale (VPN) sunt din ce în ce mai folosite pentru alte servicii care nu folosesc criptarea în mod implicit.

Deci, cei preocupați de potențialul de utilizare rău intenționată a sniffer-urilor de pachete ar trebui să țină cont de următoarele. În primul rând, pentru a reprezenta o amenințare serioasă pentru rețeaua dvs., snifferele trebuie să fie localizate în rețea însăși. În al doilea rând, standardele de criptare actuale fac extrem de dificilă interceptarea informațiilor sensibile. Prin urmare, în prezent, sniffer-urile de pachete își pierd treptat relevanța ca instrumente pentru hackeri, dar în același timp rămân un instrument eficient și puternic pentru diagnosticarea rețelelor. Mai mult, snifferele pot fi folosite cu succes nu numai pentru diagnosticarea și localizarea problemelor de rețea, ci și pentru auditarea securității rețelei. În special, utilizarea analizoarelor de pachete vă permite să detectați traficul neautorizat, să detectați și să identificați software-ul neautorizat, să identificați protocoalele neutilizate pentru a le elimina din rețea, să generați trafic pentru testarea de penetrare (test de penetrare) în scopul verificării sistemului de securitate, să lucrați cu sisteme de detectare a intruziunilor (Intrusion Detection System (IDS).

Prezentare generală a sniffer-urilor de pachete software

Toate snifferele software pot fi împărțite în două categorii: sniffer-uri care acceptă lansarea din linia de comandă și sniffer-uri care au o interfață grafică. Cu toate acestea, observăm că există sniffer-uri care combină ambele aceste capacități. În plus, snifferele diferă între ele prin protocoalele pe care le suportă, profunzimea analizei pachetelor interceptate, capacitatea de a configura filtre și posibilitatea de compatibilitate cu alte programe.

De obicei, fereastra oricărui sniffer cu o interfață grafică este formată din trei zone. Prima dintre ele afișează datele rezumate ale pachetelor interceptate. De obicei, această zonă afișează un minim de câmpuri și anume: timpul de interceptare a pachetului; Adresele IP ale expeditorului și destinatarului pachetului; Adresele MAC ale expeditorului și destinatarului pachetului, adresele portului sursă și destinație; tip de protocol (nivel de rețea, transport sau aplicație); câteva informații rezumative despre datele interceptate. A doua zonă afișează informații statistice despre pachetul individual selectat, iar în cele din urmă a treia zonă afișează pachetul sub formă de caractere hexazecimale sau ASCII.

Aproape toate snifferele de pachete vă permit să analizați pachetele decodificate (de aceea sniffer-urile de pachete sunt numite și analizoare de pachete sau analizoare de protocol). Sniffer-ul distribuie pachetele interceptate pe straturi și protocoale. Unele sniffer-uri de pachete sunt capabile să recunoască protocolul și să afișeze informațiile capturate. Acest tip de informații sunt de obicei afișate în a doua zonă a ferestrei sniffer. De exemplu, orice sniffer poate recunoaște protocolul TCP, iar sniffer-ii avansati pot determina ce aplicație a generat acest trafic. Majoritatea analizoarelor de protocoale recunosc peste 500 de protocoale diferite și le pot descrie și decodifica după nume. Cu cât un sniffer poate decoda și afișa mai multe informații pe ecran, cu atât mai puține vor trebui să fie decodate manual.

O problemă pe care o pot întâlni snifferii de pachete este incapacitatea de a identifica corect un protocol folosind un alt port decât portul implicit. De exemplu, pentru a îmbunătăți securitatea, unele aplicații binecunoscute pot fi configurate să utilizeze alte porturi decât porturile implicite. Deci, în locul portului tradițional 80, rezervat serverului web, acest server poate fi reconfigurat forțat la portul 8088 sau oricare altul. Unele analizoare de pachete în această situație nu sunt capabile să determine corect protocolul și să afișeze doar informații despre protocolul de nivel inferior (TCP sau UDP).

Există software sniffer care vin cu module analitice software ca pluginuri sau module încorporate care vă permit să creați rapoarte cu informații analitice utile despre traficul interceptat.

O altă caracteristică caracteristică a majorității software-ului de analiză de pachete este capacitatea de a configura filtre înainte și după capturarea traficului. Filtrele selectează anumite pachete din traficul general în funcție de un criteriu dat, ceea ce vă permite să scăpați de informațiile inutile atunci când analizați traficul.