Снифферы и сниффинг
По «месторасположению» снифферы могут работать:
-
на маршрутизаторе (шлюзе);
-
на конечном узле сети.
На маршрутизаторе сниффер может перехватывать трафик проходящий через интерфейсы этого шлюза. Например, из локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, можно отслеживать трафик его пользователей
На конечном узле сети, применительно к Ethernet, имеются два основных варианта прослушивания. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе «слышит» весть трафик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой MAC-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме сниффер может перехватывать и анализировать только свой трафик. Для перехвата пакетов всех станций сегмента требуется перевести сетевую карту в режим под названием promiscuous mode, чтобы она продолжала читать не предназначенные ей пакеты.
Практически все реализации снифферов позволяют переход карты в promiscuous mode, но использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в этот режим делает прослушивание не предназначенного станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуффинга. Суть в следующем: коммутатор создает так называемый «broadcast domain», и хост, с установленным сниффером, при помощи подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом трафик соседей свернет в сторону хоста-шпиона.
В остальном же многочисленные реализации снифферов разных производителей отличаются друг от друга главным образом функциональными возможностями:
-
поддерживаемые физические интерфейсы и протоколы канального уровня;
-
качество декодирования и количество «узнаваемых» протоколов;
-
пользовательский интерфейс и удобство отображения.
Сниффинг нашел свое легальное и нелегальное применения. Что характерно, слово «сниффер» чаще применяется в нелегальной сфере, а «сетевой анализатор» – в легальной.
Легальное применение:
-
troubleshooting (обнаружение проблем и узких мест сети);
-
отладка собственного ПО;
-
обучение;
-
протоколирование сетевого трафика.
Нелегальное применение:
-
подслушивание;
-
перехват имен пользователей и паролей, проходящих по сети в незашифрованном (plain text) виде (это касается паролей к telnet, POP, IMAP, NNTP, IRC, к веб-приложениям, не использующим шифрование, SNMP v1 community-strings и т.д.).
Далее рассмотрим, как можно применить WinDump () для решения задачи обнаружения вторжения в сеть.
WinDump – один из снифферов для ОС Windows, аналог сниффера под *NIX системы – TCPDump. Он выполняет те же самые функции и имеет такой же синтаксис, что и TCPDump, но имеет пару дополнительных опций командной строки.