Снифферы и сниффинг

По «месторасположению» снифферы могут работать:

• на маршрутизаторе (шлюзе);

• на конечном узле сети.

На маршрутизаторе сниффер может перехватывать трафик проходящий через интерфейсы этого шлюза. Например, из локальной сети в другую сеть и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера Интернет, можно отслеживать трафик его пользователей

На конечном узле сети, применительно к Ethernet, имеются два основных варианта прослушивания. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе «слышит» весть трафик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой MAC-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме сниффер может перехватывать и анализировать только свой трафик. Для перехвата пакетов всех станций сегмента требуется перевести сетевую карту в режим под названием promiscuous mode, чтобы она продолжала читать не предназначенные ей пакеты.

Практически все реализации снифферов позволяют переход карты в promiscuous mode, но использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в этот режим делает прослушивание не предназначенного станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуффинга. Суть в следующем: коммутатор создает так называемый «broadcast domain», и хост, с установленным сниффером, при помощи подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом трафик соседей свернет в сторону хоста-шпиона.

В остальном же многочисленные реализации снифферов разных производителей отличаются друг от друга главным образом функциональными возможностями:

• поддерживаемые физические интерфейсы и протоколы канального уровня;

• качество декодирования и количество «узнаваемых» протоколов;

• пользовательский интерфейс и удобство отображения.

Сниффинг нашел свое легальное и нелегальное применения. Что характерно, слово «сниффер» чаще применяется в нелегальной сфере, а «сетевой анализатор» – в легальной.

Легальное применение:

• troubleshooting (обнаружение проблем и узких мест сети);

• отладка собственного ПО;

• обучение;

• протоколирование сетевого трафика.

Нелегальное применение:

• подслушивание;

• перехват имен пользователей и паролей, проходящих по сети в незашифрованном (plain text) виде (это касается паролей к telnet, POP, IMAP, NNTP, IRC, к веб-приложениям, не использующим шифрование, SNMP v1 community-strings и т.д.).

Далее рассмотрим, как можно применить WinDump () для решения задачи обнаружения вторжения в сеть.

WinDump – один из снифферов для ОС Windows, аналог сниффера под *NIX системы – TCPDump. Он выполняет те же самые функции и имеет такой же синтаксис, что и TCPDump, но имеет пару дополнительных опций командной строки.