Kaj je Packet Sniffer?

Packet Sniffer ali Protocol Analyzer sta orodji, ki se uporabljata za diagnosticiranje in odkrivanje napak omrežnega sistema in s tem povezanih težav. Hekerji uporabljajo Packet Sniffer za prisluškovanje nešifriranim podatkom in pregledovanje informacij, izmenjanih med obema stranema.

Preberite več o Vohanju paketov

• 1. Kaj je Packet Sniffer?
• 2. Kako deluje Packet Sniffers?
• 3. Programska oprema in orodja, ki se uporabljajo pri vohanju paketov
  • Solarwinds Bandwidth Analyzer 2-Pack
  • Tcpdump.org
  • Kismetwireless.net
  • EtherApe
  • SteelCentral paketni analizator
  • Paketna analiza paketa SolarWinds
• 4. Kako zaščititi omrežni sistem in omrežne podatke pred hekerji z uporabo Snifferja?

1. Kaj je Packet Sniffer?

Packet Sniffer ali Protocol Analyzer sta orodji, ki se uporabljata za diagnosticiranje in odkrivanje napak omrežnega sistema in s tem povezanih težav. Hekerji uporabljajo paketne snifferje za namene, kot je tajno spremljanje omrežnega prometa in zbiranje informacij o uporabniških geslih.

Nekatere paketne vohače uporabljajo tehniki za specializirane namene, ki se ukvarjajo s strojno opremo, medtem ko so drugi paketni vohalci programske aplikacije, ki se izvajajo na standardnih potrošniških računalnikih in uporabljajo posebej zasnovano omrežno strojno opremo, ki je na voljo na strežnikih za prestrezanje paketov in vstavljanje podatkov.

2. Kako deluje Packet Sniffers?

Packet Sniffer deluje tako, da blokira omrežni promet, ki ga lahko vidite prek žičnega ali brezžičnega omrežja, do katerega programska oprema Packet Sniffer dostopa na strežniku.

Pri žičnih omrežjih je blokiranje omrežnega prometa odvisno od strukture omrežja. Vohanje paketov si lahko ogleda celoten omrežni promet ali samo del, odvisno od konfiguracije omrežnega stikala (stikala), lokacije....

Pri brezžičnih omrežjih lahko Packet Sniffer blokira samo en kanal naenkrat, razen če ima vaš računalnik več brezžičnih vmesnikov, ki omogočajo blokiranje več kanalov.

Ko je paket neobdelanih podatkov prestrežen, bo programska oprema Packet Sniffer analizirala in uporabniku prikazala sporočilo.

Podatkovni analitiki se lahko poglobijo v "pogovor", ki poteka med dvema ali več omrežnimi vozlišči.

Tehniki lahko te informacije uporabijo za prepoznavanje napak, na primer za ugotavljanje, katere naprave ne izpolnjujejo omrežnih zahtev.

Hekerji lahko uporabljajo Sniffer za prisluškovanje nešifriranim podatkom in ogled informacij, ki si jih izmenjujeta obe strani. Poleg tega lahko zbirajo informacije, kot so gesla in potrditve gesel. Hekerji lahko tudi prestrežejo podatkovne pakete (Capture packets) in napadejo pakete v vašem sistemu.

3. Programska oprema in orodja, ki se uporabljajo pri vohanju paketov

Vsak skrbnik IT mora nenehno vzdrževati zmogljivost omrežja, saj je to eden najpomembnejših virov za organizacijo. Administratorji ne smejo dovoliti izpada omrežja niti za le nekaj minut, saj lahko to podjetju povzroči velike izgube.

Hkrati pa upravljanje omrežja negotove velikosti ni lahko. Zato so orodja, kot je vohanje paketov, vedno v pomoč pri hitrem prepoznavanju in odpravljanju težav. Glavna naloga vohljača paketov je preveriti, ali se podatkovni paketi v omrežju pravilno pošiljajo, sprejemajo in prenašajo. Med testiranjem lahko sniffer paketov diagnosticira tudi različne težave, povezane z omrežjem.

Vsa orodja in programska oprema za vohljanje paketov bodo analizirali glavo in koristni tovor vsakega paketa, ki gre skozenj. Paketi bodo nato razvrščeni in analizirani.

Ker se vohanje paketov pogosto uporablja kot učinkovita oblika odpravljanja težav z omrežjem, je zdaj na voljo veliko možnosti, ki jih je treba upoštevati.

Omrežni inženirji in hekerji imajo radi brezplačna orodja, zato so odprtokodne in brezplačne programske aplikacije Sniffer orodji izbire in uporabe pri vohanju paketov.

Eden od priljubljenih odprtokodnih je: Wireshark (prej znan kot Ethereal ).

Tukaj si lahko ogledate navodila za uporabo Wiresharka za analizo podatkovnih paketov v omrežnem sistemu.

Poleg tega se lahko sklicujete na naslednje možnosti:

Solarwinds Bandwidth Analyzer 2-Pack

Orodje Solarwinds Bandwidth Analyzer je resnično orodje dva v enem: dobite Solarwinds Bandwidth Analyzer (Network Performance Monitor), ki obravnava obravnavo napak, razpoložljivost in spremljanje delovanja za omrežja vseh velikosti, prav tako pa Netflow Traffic Analyzer uporablja promet tehnologija za analizo zmogljivosti pasovne širine omrežja in vzorcev prometa. Obe aplikaciji sta integrirani v Solarwinds Bandwidth Analyzer.

Network Performance Monitor prikazuje odzivni čas, razpoložljivost in zmogljivost omrežnih naprav ter zaznava, diagnosticira in rešuje težave z zmogljivostjo prek nadzornih plošč, opozoril in poročil. Orodje tudi grafično prikazuje statistiko delovanja omrežja v realnem času prek dinamičnih omrežnih zemljevidov.

Vključeno orodje Netflow Analyzer prepozna uporabnike, aplikacije in protokole, ki porabljajo pasovno širino, poudari njihove naslove IP in prikaže podatke o prometu iz minute v minuto. Analizira tudi podatke o prometu Cisco NetFlow, Juniper J-Flow, IPFIX, sFlow, Huawei NetStream in druge.

Tcpdump.org

TCPDump je priljubljeno orodje za vohljanje paketov, ki se izvaja v ukazni vrstici. To orodje prikazuje pakete TCP/IP, ki se prenašajo po internetu, tako da boste vedeli, koliko paketov je bilo poslanih in prejetih, in na podlagi teh informacij boste lahko prepoznali morebitne težave, ki se pojavljajo v omrežju.

V času pred Etherealom (ki je v uporabi še danes) je bil TCPDump de facto standard za vohanje paketov. Nima Wiresharkovega elegantnega uporabniškega vmesnika in vgrajene logike za dekodiranje tokov aplikacij, vendar je še vedno izbira za številne omrežne skrbnike. To je preizkušen standard in se uporablja že od poznih 80. Lahko zajame in snema pakete z zelo malo sistemskih virov (zato ga mnogi obožujejo). TCPDump je bil prvotno zasnovan za sisteme UNIX in je običajno privzeto nameščen.

Nekatere pomembne funkcije TCPDump vključujejo:

• Oddaja informacije, ki opisujejo pakete na omrežnih vmesnikih z uporabo logičnih izrazov za hitro branje in razumevanje.
• Ponuja možnost pisanja paketa v datoteko za poznejšo analizo ali branje iz shranjene datoteke.
• Po zajemu paketov ustvarite izčrpno poročilo. To poročilo vsebuje informacije, kot so število prejetih in obdelanih paketov, paketi, ki jih je prejel filter, paketi, ki jih je jedro zavrglo, opis in časovni žig.
• Ponuja možnost izvoza medpomnilnika paketov v izhodno datoteko.
• Različne možnosti TCPDump vam omogočajo, da prilagodite izpis glede na vaše zahteve.
• Dobro deluje v večini operacijskih sistemov, podobnih Unixu, kot so Linux, Solaris, BSD, Android in AIX.
• TCPdump se lahko uporablja posebej za prestrezanje in prikaz komunikacije določenega uporabnika ali računalnika.
• V omrežjih z velikim prometom imajo uporabniki možnost nastaviti omejitev števila paketov, ki jih orodje zajame. Ta funkcija olajša branje izpisa.
• Obstajajo možnosti za opustitev ali dodajanje privilegijev za posamezne uporabnike, ki želijo zagnati TCPDump.

TCPDump je odprtokodno orodje, ki je brezplačno za uporabo.

Prenesite TCPDump .

Kismetwireless.net

Kismet je detektor brezžičnega omrežja, sniffer in sistem za zaznavanje vdorov, ki deluje predvsem na WiFi. Poleg tega je Kismet mogoče razširiti tudi na druge vrste omrežij prek vtičnika.

V zadnjem desetletju so bila brezžična omrežja izjemno pomemben del večine poslovnih omrežij. Zdaj ljudje uporabljajo brezžična omrežja za prenosnike, mobilne telefone in tablice. Ker se pomen teh naprav v pisarni povečuje, postaja vloga brezžičnih omrežij vse bolj očitna. Vohanje paketov v brezžičnih omrežjih ima nekaj težav s podprtimi adapterji in tu blesti Kismet. Kismet je zasnovan za brezžično vohanje paketov in podpira kateri koli brezžični omrežni adapter, ki uporablja neobdelani način spremljanja. Poleg nadzora 802.11 ima podporo za vtičnike za dekodiranje.

Nekatere izjemne lastnosti Kismeta vključujejo:

• Podpira funkcijo vohanja 802.11
• Zagotavlja beleženje PCAP, združljivo z drugimi orodji za vohanje paketov, kot sta Wireshark in TCPDump.
• Sledi modelu arhitekture odjemalec/strežnik.
• Ima strukturo vtičnika, tako da lahko razširite funkcionalnost osnovnih funkcij.
• Ponuja možnost izvoza paketov v številna druga orodja prek intuitivnega vmesnika. To funkcijo izvoza paketov je mogoče izvesti v realnem času.
• Zagotavlja podporo za druge omrežne protokole, kot so 802.11a, 802.11b, 802.11g in 802.11n .

Kismet je na voljo brezplačno.

Prenesite Kismet .

EtherApe

Tako kot Wireshark je tudi EtherApe odprtokodna brezplačna programska oprema, namenjena pregledovanju omrežnih paketov. Namesto da bi prikazal veliko informacij v besedilni obliki, želi EtherApe vizualno predstaviti zajete pakete, pa tudi vrsto povezav in podatkovnih tokov. EtherApe podpira pregledovanje omrežnih paketov v realnem času, lahko pa tudi pregleda standardne formate obstoječih paketov. To daje skrbnikom še eno uporabno orodje za odpravljanje težav z omrežjem.

Referenčna povezava: http://etherape.sourceforge.net/

SteelCentral paketni analizator

SteelCentral Packet Analyzer je vohljanje omrežnih paketov podjetja Riverbed.

To orodje ima vrsto zmogljivih funkcij, ki skrbnikom IT olajšajo življenje:

• Promet lahko preprosto izolirate s funkcijo povleci in spusti ter poglobite več ravni v elemente vmesnika.
• Prihaja z bogato zbirko analitičnih perspektiv.
• Konfigurirate lahko sprožilce in alarme za zaznavanje nenavadnega vedenja.
• Preglejte milijone paketov za predvidevanje in analizo.
• Omogoča združevanje in analizo več datotek sledenja hkrati za jasnejši pogled na vedenje omrežja.
• Natančno prepoznajte težave v omrežju v različnih scenarijih.
• Podpira na stotine pogledov in grafov za analizo omrežnega prometa.
• Grafikone je mogoče prilagoditi ali uvoziti/izvoziti v več oblikah.
• Poročila po meri vključujejo pogovore na vseh ravneh, analizo razdrobljenosti IP, dodelitev naslovov DHCP , vodilne mehanizme za pogovore TCP ter podrobnosti o prometu za unicast, multicast in broadcast.
• Ima intuitiven grafični uporabniški vmesnik.
• Popolna integracija z WireShark.

možnost:

SteelCentral Packet Analyzer je na voljo v treh različicah: SteelCentral packet Analyzer Pro, SteelCentral Packet Analyzer in SteelCentral packet Analyzer Personal. Razlike med temi tremi različicami so:

Paketna analiza paketa SolarWinds

SolarWinds Packet Analysis Bundle analizira omrežje za hitro prepoznavanje težav. To je izjemno popolno orodje, ki zagotavlja veliko podatkov na podlagi omrežnih povezav in lahko pomaga natančno, hitro in učinkovito reševati te težave.

Tukaj je nekaj stvari, ki jih SolarWinds Packet Analysis Bundle lahko naredi za podjetja:

• Ugotovite, ali obstaja težava z omrežjem ali aplikacijo, nato poiščite ustrezno rešitev za odpravo težave.
• Prepoznajte skokove v prometu in količini podatkov, saj je to lahko posledica morebitne kršitve varnosti.
• Nenehno pregleduje več kot 1200 aplikacij v vašem omrežju, tako da lahko bolje razumete svoj omrežni promet.
• Omogoča hiter pregled omrežnega prometa v vsakem trenutku.
• Prihaja z naprednimi orodji za poročanje, ki vam pomagajo bolje razumeti svoj promet.
• Zagotavlja vpogled v prometne vzorce.
• Sledite različnim meritvam, kot so odzivni čas, količina podatkov, transakcije itd.
• Razvrstite promet v različne kategorije glede na vrsto prometa, obseg in stopnjo tveganja. Takšna klasifikacija olajša postopek analize.

SolarWinds Packet Analysis Bundle je del celovite zbirke za spremljanje delovanja omrežja .

Prenesite BREZPLAČNO 30-dnevno preskusno različico SolarWinds Packet Analysis Bundle .

To je le nekaj vohalcev paketov, ki so na voljo uporabnikom. Obstaja še veliko drugih možnosti. Ko ocenjujete vohače paketov, je pomembno razumeti posebne primere, ki jih poskušate rešiti. V skoraj vseh situacijah večina brezplačnih orodij deluje enako ali celo bolje kot katera koli plačljiva programska oprema. Preizkusite novo programsko opremo in morda boste našli svoje najljubše orodje!

4. Kako zaščititi omrežni sistem in omrežne podatke pred hekerji z uporabo Snifferja?

Če želite tehnik, skrbnik ali vi preveriti, ali kdo uporablja orodje Sniffer v vašem omrežju, lahko za preverjanje uporabite orodje, imenovano Antisniff .

Antisniff lahko zazna, ali je omrežni vmesnik v vašem omrežju prestavljen v promiskuitetni način.

Drug način za zaščito omrežnega prometa pred Snifferjem je uporaba šifriranja, kot sta Secure Sockets Layer (SSL) ali Transport Layer Security (TLS). Šifriranje ne prepreči vohanju paketov informacij o izvoru in ciljnih informacijah, vendar šifriranje prepreči, da bi koristni tovor paketa videl vse vohače, ki so nepravilno kodirani.

Tudi če poskušate prilagoditi ali vstaviti podatke v podatkovne pakete, verjetno ne bo uspelo, ker bo zapletanje s šifriranimi podatki povzročilo napake, kar je očitno, ko so informacije šifrirane na drugem koncu.

Snifferji so odlična orodja za diagnosticiranje omrežnih težav. Vendar pa so snifferji uporabna orodja tudi za hekerje.

Za varnostne strokovnjake je pomembno, da se seznanijo s tem orodjem, da vidijo, kako bi heker uporabil to orodje proti njihovemu omrežju.

Lahko se sklicujete na:

• Tehnika prevajanja omrežnih naslovov (NAT).
• Naučite se, kako deluje NAT (Network Address Translation) (1. del)
• Več o konfiguraciji NAT (2. del)

Vso srečo!