Cниффер трафика - это устройство или программное обеспечение, которое используется для мониторинга сетевого трафика. Сниффер также называют анализатор пакетов, анализатор протоколов или анализатор сети. Снифферы анализируют обмен пакетами данных между отдельными компьютерами в сети и между компьютерными сетями и интернетом. Пакеты данных предназначены для конкретных устройств (и содержат их IP-адреса), но использование пакетного сниффера в так называемом «неразборчивом» режиме (promiscuous mode) позволяет и IT-специалистам, и обычным пользователям, и злоумышленникам анализировать любые пакеты, независимо от их назначения.
Снифферы трафика можно настроить на работу в двух режимах. В режиме «unfiltered» они будут перехватывать все доступные пакеты и сохранять их на локальный жесткий диск для последующего анализа. В режиме «filtered» снифферы будут перехватывать только те пакеты, которые содержат конкретные фрагменты данных.
Снифферы пакетов используют как в проводных, так и в беспроводных сетях. Эффективность работы снифферов зависит от того, как много им позволяют увидеть сетевые протоколы безопасности. В проводных сетях снифферы могут иметь доступ к пакетам данных всех подключенных устройств или могут быть ограничены наличием сетевых коммутаторов. В беспроводных сетях большинство снифферов могут сканировать одновременно только один канал, но использование нескольких беспроводных интерфейсов позволяет расширить их возможности.
Применение и факторы риска
С помощью сниффера можно перехватить практически любые данные: адреса веб-сайтов, которые посещает пользователь, и конкретную информацию, которую он просматривает; адреса получателей и содержание электронных писем; сведения обо всех загружаемых файлах. Анализаторы протоколов часто используются организациями для контроля за действиями сотрудников в сети, а также входят в пакеты многих популярных антивирусных программ. Внешние снифферы сканируют входящий сетевой трафик на наличие конкретных элементов вредоносного кода, что позволяет предотвратить заражение компьютерными вирусами и ограничить распространение вредоносного ПО.
Однако стоит упомянуть, что такие анализаторы могут использоваться и с целью нанесения вреда. Если кого-то из сотрудников удалось убедить открыть вредоносное email-вложение или загрузить зараженный файл с веб-сайта, пакетный сниффер может быть несанкционированно установлен в корпоративную сеть. Оказавшись внутри сети, сниффер может перехватывать все передаваемые данные и отправлять их на командный сервер для последующего анализа. В результате хакеры могут попытаться внедрить в сеть свои пакеты или осуществить атаку man-in-the-middle («человек посередине»), а также прочитать любые данные, которые не были зашифрованы перед отправкой.
Правильное использование пакетных снифферов позволяет очистить сетевой трафик и ограничить распространение вредоносного ПО. Однако чтобы предотвратить использование пакетных снифферов в преступных целях, необходимо установить интеллектуальное защитное решение.
Другие полезные статьи, связанные со снифферами
Рекомендуемые продукты:
