Liikenneanalysaattori

Liikenneanalysaattori tai sniffer ( englanniksi  sniff - sniff ) - ohjelma tai laite verkkoliikenteen (omasi ja/tai jonkun muun) sieppaamiseen ja analysointiin.

Kuinka se toimii

Nuuskija voi analysoida vain sen verkkokortin läpi kulkevaa sisältöä . Ethernet-verkon yhden segmentin sisällä kaikki paketit lähetetään kaikille koneille, minkä ansiosta on mahdollista siepata jonkun muun tietoja. Kytkimien (kytkin, kytkin-hub) käyttö ja niiden asianmukainen konfigurointi on jo suoja salakuuntelua vastaan. Tietoa siirretään segmenttien välillä kytkimien kautta. Pakettikytkentä on tiedonsiirtomuoto, jossa erillisiin paketteihin jaettua dataa voidaan lähettää lähteestä kohteeseen eri reittejä pitkin. Joten jos joku toisessa segmentissä lähettää paketteja sen sisällä, kytkin ei lähetä näitä tietoja segmenttiisi.

Liikenteen kuuntelu voidaan suorittaa:

• tavallinen verkkoliitännän "kuuntelu" (menetelmä on tehokas, kun sitä käytetään keskitinten segmentissä (keskittimien) kytkimien (kytkimien ) sijasta , muuten menetelmä on tehoton, koska vain yksittäiset kehykset pääsevät haistajalle);
• nuuskijan yhdistäminen kanavakatkkoon;
• haaroittaa (ohjelmisto tai laitteisto) liikennettä ja lähettää sen kopion haistajalle ( Verkkonapautus );
• harhaanjohtavan sähkömagneettisen säteilyn analysoinnin ja näin kuunneltavan liikenteen palauttamisen kautta;
• hyökkäyksen kautta kanavan (2) ( MAC-huijaus ) tai verkon (3) tasolle ( IP-huijaus ), mikä johtaa uhrin tai segmentin kaiken liikenteen ohjaamiseen haistajalle, minkä jälkeen liikennettä oikeaan osoitteeseen.

Sovellus

1990-luvun alussa hakkerit käyttivät sitä laajalti käyttäjien kirjautumistunnusten ja salasanojen kaappaamiseen, jotka useissa verkkoprotokollissa välitetään selkeässä tai heikosti salatussa muodossa. Keskittimien laaja jakautuminen mahdollisti liikenteen sieppaamisen ilman suuria vaivaa suurilla verkkosegmenteillä ilman, että havaitsemisriski oli vähäinen tai ei ollenkaan.

Nuuskimia käytetään sekä tuhoaviin että hyviin tarkoituksiin. Nuuskijan läpi kulkevan liikenteen analysointi mahdollistaa:

• Tunnista lois- , virus- ja silmukkaliikenne, jonka läsnäolo lisää verkkolaitteiden ja viestintäkanavien kuormitusta (haistimet ovat tehottomia; pääsääntöisesti he käyttävät näihin tarkoituksiin palvelinten ja aktiivisten verkkolaitteiden keräämiä erilaisia ​​tilastotietoja ja sen myöhempiä tietoja analyysi).
• Tunnista verkosta haitalliset ja luvattomat ohjelmistot , kuten verkkoskannerit, tulva-ohjelmat, troijalaiset, vertaisverkkoasiakkaat ja muut (tämä tehdään yleensä käyttämällä erikoistuneita haistajia - verkkotoiminnan valvontalaitteita).
• Sieppaa kaikki salaamaton (ja joskus salattu) käyttäjäliikenne saadakseen salasanoja ja muita tietoja.
• Etsi verkkovika tai verkkoagentin määritysvirhe ( järjestelmänvalvojat käyttävät usein haistajia tähän tarkoitukseen )

Koska "klassinen" haistaja analysoi liikennettä manuaalisesti, käyttäen vain yksinkertaisimpia automaatiotyökaluja (protokollan analyysi, TCP-virran palautus), se soveltuu vain pienten määrien analysointiin sitä.

Opposition

Voit vähentää pakettien haistamisen uhkaa käyttämällä työkaluja, kuten:

• Kryptografia
• Haistamisenestoaineet
• Kytketty infrastruktuuri

Katso myös

• Selaimen analyysi
• Wardriving
• Vastauskoodi
• Liikenteen mallinnus
• Satelliittikalastus
• verkkonapauta

Muistiinpanot