Kas yra Packet Sniffer?

Packet Sniffer arba Protocol Analyzer yra įrankiai, naudojami tinklo sistemos klaidoms ir susijusioms problemoms diagnozuoti ir aptikti. Įsilaužėliai naudoja Packet Sniffer, kad galėtų pasiklausyti nešifruotų duomenų ir peržiūrėti informaciją, kuria keičiasi abi šalys.

Sužinokite apie „Packet Sniffer“.

• 1. Kas yra Packet Sniffer?
• 2. Kaip veikia Packet Sniffers?
• 3. Programinė įranga ir įrankiai, naudojami naudojant paketų uostymą
  • Solarwinds Bandwidth Analyzer 2-Pack
  • Tcpdump.org
  • Kismetwireless.net
  • EtherApe
  • „SteelCentral“ paketų analizatorius
  • „SolarWinds“ paketų analizės rinkinys
• 4. Kaip apsaugoti tinklo sistemą ir tinklo duomenis nuo įsilaužėlių naudojant Sniffer?

1. Kas yra Packet Sniffer?

Packet Sniffer arba Protocol Analyzer yra įrankiai, naudojami tinklo sistemos klaidoms ir susijusioms problemoms diagnozuoti ir aptikti. Įsilaužėliai naudoja paketų snifferius tokiais tikslais kaip slaptas tinklo srauto stebėjimas ir vartotojo slaptažodžio informacijos rinkimas.

Kai kuriuos Packet Sniffers technikų naudoja specializuotiems tikslams, susijusiems su aparatine įranga, o kiti Paketų Sniffers yra programinės įrangos, veikiančios standartiniuose vartotojų kompiuteriuose, naudojant specialiai sukurtą tinklo aparatinę įrangą. Pateiktos serveriuose, kad būtų galima perimti paketus ir įvesti duomenis.

2. Kaip veikia Packet Sniffers?

Packet Sniffer veikia blokuodamas tinklo srautą, kurį galite matyti per laidinį arba belaidį tinklą, kurį Packet Sniffer programinė įranga pasiekia serveryje.

Naudojant laidinius tinklus tinklo srauto blokavimas priklauso nuo tinklo struktūros. „Packet Sniffer“ gali peržiūrėti visą tinklo srautą arba tik segmentą, atsižvelgiant į tai, kaip sukonfigūruotas tinklo jungiklis (jungiklis), vieta....

Belaidžiuose tinkluose „Packet Sniffer“ vienu metu gali blokuoti tik vieną kanalą, nebent jūsų kompiuteryje yra kelios belaidžio ryšio sąsajos, leidžiančios blokuoti kelis kanalus.

Kai neapdorotų duomenų paketas bus perimtas, Packet Sniffer programinė įranga analizuos ir parodys pranešimą vartotojui.

Duomenų analitikai gali įsigilinti į „pokalbį“, kuris vyksta tarp dviejų ar daugiau tinklo mazgų.

Technikai gali naudoti šią informaciją norėdami nustatyti klaidas, pvz., nustatyti, kurie įrenginiai neatitinka tinklo reikalavimų.

Įsilaužėliai gali naudoti „Sniffer“, kad galėtų pasiklausyti nešifruotų duomenų ir peržiūrėti informaciją, kuria keičiasi abi šalys. Be to, jie gali rinkti informaciją, pvz., slaptažodžius ir slaptažodžių patvirtinimus. Piratai taip pat gali perimti duomenų paketus (Capture paketus) ir atakuoti paketus jūsų sistemoje.

3. Programinė įranga ir įrankiai, naudojami naudojant paketų uostymą

Kiekvienas IT administratorius turi nuolat palaikyti tinklo našumą, nes tai yra vienas svarbiausių organizacijos išteklių. Administratoriai negali leisti, kad tinklas sugestų net kelioms minutėms, nes tai gali sukelti didelių nuostolių įmonei.

Tuo pačiu metu valdyti neapibrėžto dydžio tinklą nėra lengva. Štai kodėl tokie įrankiai kaip paketų uostikliai visada padeda greitai nustatyti ir išspręsti problemas. Pagrindinė paketų sniferio užduotis yra patikrinti, ar tinkle tinkamai siunčiami, priimami ir perduodami duomenų paketai. Bandymo metu paketų snifferis taip pat gali diagnozuoti įvairias su tinklu susijusias problemas.

Visi paketų tikrinimo įrankiai ir programinė įranga analizuos kiekvieno per jį praeinančio paketo antraštę ir naudingąją apkrovą. Tada paketai bus klasifikuojami ir analizuojami.

Kadangi paketų uostymas plačiai naudojamas kaip veiksminga tinklo trikčių šalinimo forma, dabar galima apsvarstyti daugybę variantų.

Tiek tinklo inžinieriai, tiek įsilaužėliai mėgsta nemokamus įrankius, todėl atvirojo kodo ir nemokamos „Sniffer“ programinės įrangos programos yra pasirinkimo ir naudojimo įrankiai.

Vienas iš populiariausių atvirojo kodo yra: Wireshark (anksčiau žinomas kaip Ethereal ).

Čia galite peržiūrėti instrukcijas, kaip naudoti „Wireshark“ duomenų paketams tinklo sistemoje analizuoti.

Be to, galite remtis šiomis parinktimis:

Solarwinds Bandwidth Analyzer 2-Pack

„Solarwinds Bandwidth Analyzer“ įrankis yra tikrai „du viename“ įrankis: gausite „Solarwinds Bandwidth Analyzer“ (tinklo našumo monitorių), kuris tvarko visų dydžių tinklų klaidas, pasiekiamumą ir našumo stebėjimą, o „Netflow Traffic Analyzer“ naudoja srautą. technologija, skirta tinklo pralaidumo našumui ir srauto modeliams analizuoti. Abi šios programos yra integruotos į „Solarwinds Bandwidth Analyzer“.

Tinklo našumo monitorius rodo tinklo įrenginių reakcijos laiką, pasiekiamumą ir našumą, taip pat aptinka, diagnozuoja ir išsprendžia našumo problemas naudodamas prietaisų skydelius, įspėjimus ir ataskaitas. Įrankis taip pat grafiškai rodo tinklo našumo statistiką realiuoju laiku per dinaminius tinklo žemėlapius.

Pridedamas „Netflow Analyzer“ įrankis identifikuoja vartotojus, programas ir protokolus, kurie naudoja pralaidumą, paryškina jų IP adresus ir kas minutę rodo srauto duomenis. Taip pat analizuojami Cisco NetFlow, Juniper J-Flow, IPFIX, sFlow, Huawei NetStream ir kiti srauto duomenys.

Tcpdump.org

TCPDump yra populiarus paketų sniffer, kuris veikia komandinėje eilutėje. Šis įrankis rodo TCP/IP paketus, perduodamus internetu, todėl žinosite, kiek paketų buvo perduota ir gauta, ir pagal šią informaciją galėsite nustatyti tinkle kylančias problemas.

Iki Ethereal (kuris vis dar naudojamas šiandien) TCPDump buvo defacto standartas paketų uostymui. Jame nėra aptakios „Wireshark“ vartotojo sąsajos ir integruotos programų srautų dekodavimo logikos, tačiau daugelis tinklo administratorių vis tiek gali pasirinkti. Tai patikrintas standartas ir naudojamas nuo devintojo dešimtmečio pabaigos. Jis gali užfiksuoti ir įrašyti paketus su labai mažais sistemos ištekliais (todėl jį mėgsta daugelis). TCPDump iš pradžių buvo sukurta UNIX sistemoms ir paprastai įdiegiama pagal numatytuosius nustatymus.

Kai kurios svarbios TCPDump funkcijos:

• Išveda informaciją, kuri aprašo paketus tinklo sąsajose, naudodama logines išraiškas, kad būtų galima greitai skaityti ir suprasti.
• Suteikia galimybę įrašyti paketą į failą, kad būtų galima vėliau analizuoti arba skaityti iš išsaugoto failo.
• Sugeneruokite išsamią ataskaitą užfiksavę paketus. Šioje ataskaitoje pateikiama tokia informacija kaip gautų ir apdorotų paketų skaičius, filtro gauti paketai, branduolio atmesti paketai, aprašymas ir laiko žyma.
• Suteikia galimybę eksportuoti paketų buferį į išvesties failą.
• Įvairios „TCPDump“ parinktys leidžia pritaikyti išvestį pagal jūsų poreikius.
• Puikiai veikia daugelyje Unix tipo operacinių sistemų, tokių kaip Linux, Solaris, BSD, Android ir AIX.
• TCPdump gali būti naudojamas specialiai perimti ir rodyti konkretaus vartotojo ar kompiuterio ryšius.
• Tinkluose su dideliu srautu vartotojai turi galimybę nustatyti įrankio užfiksuojamų paketų skaičiaus apribojimą. Ši funkcija leidžia lengviau skaityti išvestį.
• Yra parinkčių atsisakyti arba pridėti privilegijų atskiriems vartotojams, norintiems paleisti TCPDump.

TCPDump yra atvirojo kodo įrankis, kuriuo galima naudotis nemokamai.

Atsisiųskite TCPDump .

Kismetwireless.net

„Kismet“ yra belaidžio tinklo detektorius, šnipinėjimo ir įsibrovimo aptikimo sistema, veikianti daugiausia „WiFi“. Be to, „Kismet“ taip pat gali būti išplėstas į kitų tipų tinklus naudojant papildinį.

Per pastarąjį dešimtmetį belaidžiai tinklai buvo nepaprastai svarbi daugumos verslo tinklų dalis. Dabar žmonės naudoja belaidžius tinklus nešiojamiesiems kompiuteriams, mobiliesiems telefonams ir planšetiniams kompiuteriams. Didėjant šių įrenginių svarbai biure, belaidžių tinklų vaidmuo išryškėja. Paketų uostymas belaidžiuose tinkluose turi tam tikrų sunkumų naudojant palaikomus adapterius, todėl Kismetas šviečia. „Kismet“ sukurtas belaidžiam paketų uostymui ir palaiko bet kokį belaidžio tinklo adapterį, kuris naudoja neapdorotą stebėjimo režimą. Be 802.11 stebėjimo, jis palaiko papildinį dekodavimui.

Kai kurios išskirtinės Kismet savybės:

• Palaiko 802.11 uostymo funkciją
• Teikia PCAP registravimą, suderinamą su kitais paketų uostymo įrankiais, tokiais kaip „Wireshark“ ir „TCPDump“.
• Vadovaujasi kliento/serverio architektūros modeliu.
• Turi kištuko struktūrą, todėl galite išplėsti pagrindinių funkcijų funkcionalumą.
• Suteikia galimybę per intuityvią sąsają eksportuoti paketus į daugelį kitų įrankių. Šią paketų eksportavimo funkciją galima atlikti realiuoju laiku.
• Teikia kitų tinklo protokolų, pvz. , 802.11a, 802.11b, 802.11g ir 802.11n, palaikymą .

Kismet galima nemokamai.

Atsisiųskite Kismetą .

EtherApe

Kaip ir „Wireshark“, „EtherApe“ yra nemokama atvirojo kodo programinė įranga, skirta tinklo paketams tikrinti. Užuot rodydamas daug informacijos teksto formatu, „EtherApe“ siekia vizualiai pavaizduoti užfiksuotus paketus, taip pat daugybę jungčių ir duomenų srautų. EtherApe palaiko tinklo paketų peržiūrą realiuoju laiku, bet taip pat gali patikrinti standartinius esamų paketų formatus. Tai suteikia administratoriams dar vieną naudingą tinklo problemų šalinimo įrankį.

Nuoroda: http://etherape.sourceforge.net/

„SteelCentral“ paketų analizatorius

„SteelCentral Packet Analyzer“ yra tinklo paketų uostytojas iš bendrovės „Riverbed“.

Šiame įrankyje yra daugybė galingų funkcijų, palengvinančių IT administratorių gyvenimą:

• Galite lengvai izoliuoti srautą vilkdami ir numesdami, o į sąsajos elementus galite įsigilinti į kelis lygius.
• Pateikiamas su gausia analitinių perspektyvų kolekcija.
• Galite sukonfigūruoti paleidiklius ir pavojaus signalus, kad aptiktumėte neįprastą elgesį.
• Nuskaitykite milijonus paketų, kad galėtumėte numatyti ir analizuoti.
• Leidžia vienu metu sujungti ir analizuoti kelis sekimo failus, kad būtų aiškesnis tinklo veikimo vaizdas.
• Tiksliai nustatykite tinklo problemas įvairiais atvejais.
• Palaiko šimtus vaizdų ir grafikų, skirtų tinklo srautui analizuoti.
• Diagramas galima pritaikyti arba importuoti / eksportuoti keliais formatais.
• Tinkintos ataskaitos apima pokalbius visais lygmenimis, IP fragmentacijos analizę, DHCP adreso priskyrimą , pagrindinius TCP pokalbių variklius ir unicast, multicast ir transliavimo srauto informaciją.
• Turi intuityvią grafinę vartotojo sąsają.
• Pilna integracija su WireShark.

Parinktis:

SteelCentral Packet Analyzer yra trijų versijų: SteelCentral Packet Analyzer Pro, SteelCentral Packet Analyzer ir SteelCentral Packet Analyzer Personal. Šių trijų versijų skirtumai yra šie:

„SolarWinds“ paketų analizės rinkinys

„SolarWinds Packet Analysis Bundle“ analizuoja tinklą, kad greitai nustatytų problemas. Tai itin tobulas įrankis, teikiantis daug duomenų pagal tinklo ryšius ir galintis padėti tiksliai, greitai ir efektyviai išspręsti šias problemas.

Štai keletas dalykų, kuriuos „SolarWinds Packet Analysis Bundle“ gali padaryti įmonėms:

• Nustatykite, ar yra tinklo ar programos problemų, tada raskite sprendimą, kaip išspręsti problemą.
• Nustatykite srauto ir duomenų kiekio šuolius, nes tai gali sukelti galimas saugumo pažeidimas.
• Nuolat nuskaito daugiau nei 1 200 jūsų tinkle esančių programų, kad galėtumėte geriau suprasti tinklo srautą.
• Suteikia greitą tinklo srauto vaizdą bet kuriuo metu.
• Pateikiami pažangūs ataskaitų teikimo įrankiai, padedantys geriau suprasti srautą.
• Suteikia įžvalgų apie eismo modelius.
• Stebėkite įvairias metrikas, pvz., atsako laiką, duomenų kiekį, operacijas ir kt.
• Klasifikuokite srautą į skirtingas kategorijas pagal srauto tipą, apimtį ir rizikos lygį. Toks klasifikavimas palengvina analizės procesą.

„SolarWinds Packet Analysis Bundle“ yra visapusio tinklo našumo stebėjimo rinkinio dalis .

Atsisiųskite NEMOKAMĄ 30 dienų „SolarWinds Packet Analysis Bundle“ bandomąją versiją .

Tai tik keletas vartotojams prieinamų paketų snifferių. Vis dar yra daug kitų variantų. Vertinant paketų snifferius, svarbu suprasti konkrečius atvejus, kuriuos bandote išspręsti. Beveik visose situacijose dauguma nemokamų įrankių veikia taip pat gerai arba net geriau nei bet kuri mokama programinė įranga. Išbandykite naują programinę įrangą ir galbūt rasite savo mėgstamą įrankį!

4. Kaip apsaugoti tinklo sistemą ir tinklo duomenis nuo įsilaužėlių naudojant Sniffer?

Jei technikas, administratorius arba norite sužinoti, ar kas nors jūsų tinkle naudoja „Sniffer“ įrankį, galite patikrinti naudodami įrankį „Antisniff“ .

Antisniff gali aptikti, ar tinklo sąsaja jūsų tinkle įjungta į Promiscuous režimą.

Kitas būdas apsaugoti tinklo srautą nuo „Sniffer“ yra naudoti šifravimą, pvz., Secure Sockets Layer (SSL) arba Transport Layer Security (TLS). Šifravimas netrukdo „Packet Sniffer“ gauti šaltinio ir paskirties informacijos, tačiau šifravimas neleidžia paketo naudingajam kroviniui matyti visų neteisingai užkoduotų snifferių.

Net jei bandysite koreguoti ar sudėti duomenis į duomenų paketus, tai greičiausiai nepavyks, nes maišymasis su užšifruotais duomenimis sukels klaidų, o tai akivaizdu, kai informacija yra užšifruota. iššifruojama kitame gale.

Sniffers yra puikus įrankis diagnozuoti tinklo problemas. Tačiau snifferiai taip pat yra naudingi įrankiai įsilaužėliams.

Svarbu, kad saugos specialistai susipažintų su šiuo įrankiu, yra tai, kaip įsilaužėlis panaudos šį įrankį prieš savo tinklą.

Galite kreiptis į:

• Tinklo adresų vertimo (NAT) technika
• Sužinokite, kaip veikia NAT (tinklo adresų vertimas) (1 dalis)
• Sužinokite apie NAT konfigūraciją (2 dalis)

Sėkmės!