Наблюдение за сетью — это использование программного инструмента, называемого анализатором сети , который отслеживает или отслеживает данные, передаваемые по сетевым соединениям в режиме реального времени. Этот программный инструмент является либо автономной программой, либо аппаратным устройством с соответствующим программным обеспечением или встроенным программным обеспечением.
Что такое сетевой сниффер?
Сетевые анализаторы снимают копии данных, передаваемых по сети, без перенаправления или изменения. Некоторые анализаторы работают только с пакетами TCP / IP , но более сложные инструменты работают со многими другими сетевыми протоколами и на более низких уровнях, включая кадры Ethernet .
Несколько лет назад анализаторы были инструментами, которые использовались исключительно профессиональными сетевыми инженерами. В настоящее время, однако, с программным обеспечением, доступным бесплатно в сети, они также популярны среди интернет-хакеров и людей, которые интересуются сетью.
Сетевые анализаторы иногда называют сетевыми датчиками, беспроводными анализаторами, анализаторами Ethernet, анализаторами пакетов, анализаторами пакетов или просто отслеживаниями.
Как используются анализаторы пакетов
Существует широкий спектр приложений для анализаторов пакетов. Большинство перехватчиков пакетов могут использоваться ненадлежащим образом одним человеком, а по законным причинам — другим.
Например, программа, которая захватывает пароли, может использоваться хакером, но тот же инструмент может использоваться сетевым администратором для поиска сетевой статистики, например доступной полосы пропускания .
Наблюдение за сетью также используется для тестирования брандмауэра или веб-фильтров, а также для устранения неполадок в отношениях клиент / сервер.
Как работает сетевой сниффинг
Анализатор пакетов, подключенный к любой сети, перехватывает все данные, передаваемые по этой сети.
В локальной сети (LAN) компьютеры обычно обмениваются данными напрямую с другими компьютерами или устройствами в сети. Все, что связано с этой сетью, подвергается воздействию всего этого трафика. Компьютеры запрограммированы на игнорирование всего сетевого трафика, не предназначенного для этого.
Программное обеспечение для прослушивания сети открывает доступ ко всему трафику, открывая сетевую карту компьютера (NIC) для прослушивания этого трафика. Программное обеспечение считывает эти данные и выполняет анализ или извлечение данных на нем.
После получения сетевых данных программное обеспечение выполняет над ним следующие действия:
-
Содержимое или отдельные пакеты (разделы сетевых данных) записываются.
-
Некоторое программное обеспечение записывает только раздел заголовка пакетов данных для экономии места.
-
Захваченные данные сети декодируются и форматируются, чтобы пользователь мог просматривать информацию.
-
Анализаторы пакетов анализируют ошибки в сетевом взаимодействии, устраняют неполадки сетевых подключений и восстанавливают целые потоки данных, предназначенные для других компьютеров.
-
Некоторое программное обеспечение для поиска в сети извлекает конфиденциальную информацию, такую как пароли, PIN-коды и личную информацию.
Как предотвратить атаки сетевых снифферов
Если вы обеспокоены тем, что программное обеспечение для слежения за сетью следит за сетевым трафиком, исходящим от вашего компьютера, есть способы защитить себя.
Существуют этические причины, по которым кому-то может понадобиться использовать программное обеспечение для анализа, например, когда сетевой администратор отслеживает поток сетевого трафика.
Когда сетевые администраторы обеспокоены злонамеренным использованием этих инструментов в своей сети, они используют анти-снифф-сканирование для защиты от атак сниффера. Это означает, что корпоративные сети обычно безопасны.
Тем не менее, по злонамеренным причинам легко получить и использовать программное обеспечение сниффера, что делает его незаконное использование в домашнем интернете поводом для беспокойства. Для кого-то было бы очень легко подключить такое программное обеспечение даже к корпоративной компьютерной сети.
Если вы хотите защитить себя от того, кто шпионит за вашим интернет-трафиком, используйте VPN, которая шифрует ваш интернет-трафик. Вы можете узнать все о VPN и провайдерах VPN, которых вы можете использовать, чтобы защитить себя.
Инструменты сетевого анализатора
Wireshark (ранее известный как Ethereal) широко известен как самый популярный в мире анализатор сети. Это бесплатное приложение с открытым исходным кодом, которое отображает данные трафика с цветовой кодировкой, чтобы указать, какой протокол использовался для его передачи.
В сетях Ethernet его пользовательский интерфейс отображает отдельные кадры в нумерованном списке и выделяется отдельными цветами независимо от того, отправляются ли они по TCP, UDP или другим протоколам.
Wireshark также группирует потоки сообщений, отправляемые туда и обратно между источником и пунктом назначения (которые со временем перемешиваются с трафиком из других разговоров).
Wireshark поддерживает захват трафика через интерфейс кнопок пуска / остановки. Инструмент также содержит параметры фильтрации, которые ограничивают данные, отображаемые и включаемые в записи. Это критическая функция, поскольку большая часть сетевого трафика содержит обычные управляющие сообщения, которые не представляют интереса.
За эти годы было разработано много различных приложений для зондирования. Вот несколько примеров:
-
tcpdump (инструмент командной строки для Linux и других операционных систем на основе Unix)
Некоторые из этих инструментов сетевого анализатора являются бесплатными, в то время как другие стоят или имеют бесплатную пробную версию. Кроме того, некоторые из этих программ больше не поддерживаются и не обновляются, но все еще доступны для скачивания.
Проблемы с сетевыми снифферами
Инструменты Sniffer предлагают отличный способ узнать, как работают сетевые протоколы. Тем не менее, они также обеспечивают легкий доступ к некоторой частной информации, такой как сетевые пароли. Проверьте с владельцами, чтобы получить разрешение, прежде чем использовать анализатор в их сети.
Сетевые зонды только перехватывают данные из сетей, к которым подключен их хост-компьютер. На некоторых соединениях снифферы захватывают только трафик, адресованный этому конкретному сетевому интерфейсу. В любом случае, самое важное, что нужно помнить, это то, что любому, кто хочет использовать сетевой анализатор для слежения за трафиком, будет трудно сделать это, если этот трафик зашифрован .