сниффер (sniffer) Wireshark   Шалом, дорогие читатели моих постов. Сегодня я хочу рассказать вам о том, что такое сниффер вообще и сниффер (sniffer) Wireshark в частности (скажу сразу, чтобы вы не гадали – это программа такая, очень функциональная и удобная, и если вы интересуетесь информационной безопасностью в силу профессии или хобби у вас такое, то знать о ней крайне необходимо).

Сниффер – что это такое

   Прежде чем переходить к обзору софта, нужно сначала понять и разобраться – а что же есть за штука такая – сниффер (по-английски пишется sniffer).

   Итак, сниффер (переводится как нюхач) – анализатор трафика, идущего через сеть, то есть говоря по-простому – это программа или программно-аппаратный гибрид, которые способны перехватывать и в дальнейшем анализировать данные, идущие по сети к другим узлам. При этом перехватывать информацию сниффер может только из своего сегмента сети посредством сетевой карты.

   Почему же возможен сам факт перехвата и анализа чужих данных, спросите вы? Да просто все дело в том, что внутри этого самого сегмента данные от одного узла рассылаются сразу всем компьютерам, подключенным к этому сегменту, и уж только потом устройство, для которого передаваемые данные предназначены, начинает их принимать и анализировать.

  Но если в сети вместо обычных хабов-концентраторов установлены коммутаторы, и они грамотно сконфигурированы, то прослушивание становится весьма проблематичным, а зачастую и почти безнадежным делом.

   А зачем кому-то может понадобиться чужой сетевой трафик? Тут все дело в том, что часто, если не соблюдены современные жесткие стандарты информационной безопасности, трафик передается в открытом (нешифрованном виде). А трафик – это не только тексты, видео или музыка, но еще и логины и пароли к самым разнообразным ресурсам, данные работы с электронными кошельками, секретные или просто служебные либо конфиденциальные (не предназначенные для других глаз данные), да много чего еще можно передавать через сеть.

   Так что если на одной машине, входящей в подсеть, поставить программу-сниффер, то рано или поздно все пароли, логины и прочие вкусняшки станут достоянием того, кто этим самым сниффером управляет.

Вот так-то, подумайте над данным вопросом…

Как перехватить чужой трафик, и зачем он может понадобиться

Перехват трафика осуществляется с использованием снифферов несколькими способами:

  • прослушивание сетевого интерфейса (это весьма эффективно, если в сети не используются коммутаторы-свитчи, а только дешевые хабы-концентраторы). В этом случае возникает случай, описанный выще – каждое сетевое устройство при передаче данных рассылает их всем устройствам, входящим в данную локальную сеть.

  • перехват возможен, если подключить сниффер в разрыв канала. Думаю, с данным пунктом все понятно – если принудительно включить сниффер в канал, то естественно, через него будет идти сетевой трафик.

  • еще один способ перехвата чужого сетевого трафика – его ответвление и дублирование. Причем ответвление может быть как программным, так и аппаратным.

  • перехват можно организовать путем атаки либо на канальном, либо на сетевом уровне. При этом трафик жертвы (ламера) перенаправляется на сниффер, а потом только идет к тому, к кому положено.

Софтина Wireshark

   Теперь, думаю, настала пора поговорить о самом продвинутом и удобном на текущий момент софте для сниффинга. Это сниффер (sniffer) Wireshark. Раньше данный проект назывался Ethereal, но потом у разработчиков начались судебные проблемы из-за торговых марок и прочего и проект был переименован в Wireshark. Под этим названием он и известен сегодня.

Какие же преимущества перед аналогами имеются у этой софтины?

  1. В ней реализован графический пользовательский интерфейс.

  2. Просто огромное количество возможностей осуществления фильтрации и сортировки информации по требующимся пользователю параметрам.

  3. Возможность просмотра всего проходящего через сеть трафика в режиме real-time (то есть реального времени). При этом работающая со сниффером сетевая карта переходит в режим promiscuous mode (по-русски будет звучать как неразборчивый режим).

  4. Программа бесплатна для конечного пользователя и распространяется под лицензией GNU GPL (как и Linux).

  5. Программа портирована под огромное большинство операционных систем: , Unix, Linux, BSD-системы, Solaris, Mac OS X и даже под русифицированную Windows. Но если вы настоящий системный администратор (или как вариант – хакер), то работать нужно под UNIX-системой, вы со мной согласны? Все остальное (особенно глючная Винда и Билл Гейтс – это от лукавого).

  6. В программе заложено отличное «знание» сетевых протоколов, и она способна разобрать любой сетевой пакет по составляющим, отображая соответствующие значения полей для любого уровня.

  7. Кроме этого – есть возможность анализа данных, полученных другими снифферами, что существенно расширяет возможности применения софтины.

   Так что, как мы видим в итоге – сниффер Wireshark – очень удобный и продвинутый инструмент, и использоваться может не только злоумышленниками, но и системными администраторами в своей повседневной работе для анализа потенциальных уязвимостей в локальной сети предприятия.

   На этом, пожалуй, я данную статью, посвященную снифферам, закончу, разрешите откланяться. Посещайте мой блог почаще, материалы на нем и впредь будут публиковаться не менее интересные и актуальные.