A hálózati szippantás egy szoftvereszköz, az úgynevezett hálózati szippantó használata, amely valós időben figyeli vagy szimatolja a számítógépes hálózati kapcsolatokon keresztül áramló adatokat. Ez a szoftvereszköz vagy egy önálló szoftverprogram, vagy egy hardvereszköz a megfelelő szoftverrel vagy firmware-rel.
Mi az a hálózati szippantó?
A hálózati szimatolók pillanatfelvételeket készítenek a hálózaton keresztül áramló adatokról anélkül, hogy átirányítanák vagy megváltoztatnák azokat. Egyes snifferek csak TCP/IP-csomagokkal működnek, de a kifinomultabb eszközök sok más hálózati protokollal és alacsonyabb szinteken is működnek, beleértve az Ethernet-kereteket is.
Évekkel ezelőtt a szippantó eszközöket kizárólag professzionális hálózati mérnökök használták. Manapság azonban az interneten ingyenesen elérhető szoftverekkel az internetes hackerek és a hálózatépítésre kíváncsi emberek körében is népszerűek.
A hálózati szippantókra néha hálózati szondáknak, vezeték nélküli szippantóknak, Ethernet-szippantóknak, csomagszippelőknek, csomagelemzőknek vagy egyszerűen snoopsnak is nevezik.
A csomagelemzők használata
Az alkalmazások széles skálája létezik a csomagszimulálókhoz. A legtöbb csomagszimulálót az egyik személy nem megfelelő módon, a másik pedig jogos okokból használhatja.
Egy olyan programot, amely például jelszavakat rögzít, használhat egy hacker, de ugyanezt az eszközt a hálózati rendszergazda is használhatja hálózati statisztikák, például elérhető sávszélesség megkeresésére.
A hálózati szippantást a tűzfal vagy webszűrők tesztelésére, valamint a kliens/szerver kapcsolatok hibaelhárítására is használják.
Hogyan működik a hálózati szippantás
A bármely hálózathoz csatlakoztatott csomagszimulátor elfog minden, a hálózaton keresztül áramló adatot.
A helyi hálózaton (LAN) a számítógépek általában közvetlenül kommunikálnak a hálózat többi számítógépével vagy eszközével. Bármi, ami ehhez a hálózathoz kapcsolódik, ki van téve ennek a forgalomnak. A számítógépek úgy vannak beprogramozva, hogy figyelmen kívül hagyjanak minden, nem erre szánt hálózati forgalmat.
A hálózatszippelő szoftver megnyitja az összes forgalom előtt a számítógép hálózati interfészkártyáját (NIC) a forgalom figyelésére. A szoftver beolvassa ezeket az adatokat, és elemzést vagy adatkinyerést végez rajta.
Ha megkapta a hálózati adatokat, a szoftver a következő műveleteket hajtja végre rajta:
- A tartalom vagy az egyes csomagok (hálózati adatrészek) rögzítésre kerülnek.
- Egyes szoftverek helytakarékosság céljából csak az adatcsomagok fejléc részét rögzítik.
- A rögzített hálózati adatok dekódolása és formázása úgy történik, hogy a felhasználó megtekinthesse az információkat.
- A csomagszimulátorok elemzik a hálózati kommunikáció hibáit, elhárítják a hálózati kapcsolatokat, és rekonstruálják a más számítógépeknek szánt teljes adatfolyamokat.
- Egyes hálózati szippantó szoftverek olyan érzékeny információkat kérnek le, mint a jelszavak, PIN-kódok és személyes adatok.
Hogyan akadályozzuk meg a hálózati szippantó támadásokat
Ha aggódik a számítógépéről érkező hálózati forgalom után kémkedő hálózati szippantó szoftverek miatt, van mód arra, hogy megvédje magát.
Etikai okok miatt lehet, hogy valakinek szippantó szoftvert kell használnia, például amikor egy hálózati rendszergazda figyeli a hálózati forgalom áramlását.
Amikor a hálózati rendszergazdák aggódnak amiatt, hogy ezeket az eszközöket rosszindulatúan használják hálózatukon, szippantásgátló vizsgálatokat alkalmaznak, hogy megvédjék magukat a szippantó támadásoktól. Ez azt jelenti, hogy a vállalati hálózatok általában biztonságosak.
A szippantó szoftver rosszindulatú okokból könnyen beszerezhető és használható, ami aggodalomra ad okot az otthoni internet elleni illegális felhasználása. Valaki nagyon könnyen csatlakoztathat ilyen szoftvereket akár egy vállalati számítógépes hálózathoz is.
Ha meg akarja védeni magát attól, hogy valaki kémkedjen az Ön internetes forgalmára, használjon olyan VPN-t, amely titkosítja internetes forgalmát. Mindent megtudhat a VPN-ekről és a VPN-szolgáltatókról, amelyek segítségével megvédheti magát.
Network Sniffer Tools
A Wireshark (korábbi nevén Ethereal) széles körben elismert a világ legnépszerűbb hálózati szippantója. Ez egy ingyenes, nyílt forráskódú alkalmazás, amely színkóddal jeleníti meg a forgalmi adatokat, hogy jelezze, melyik protokollt használták a továbbításhoz.
Ethernet hálózatokon a felhasználói felület az egyes kereteket számozott listában jeleníti meg, és külön színekkel emeli ki, függetlenül attól, hogy TCP-n, UDP-n vagy más protokollon keresztül küldték-e őket.
A Wireshark a forrás és a cél között oda-vissza küldött üzenetfolyamokat is csoportosítja (amelyek idővel keverednek más beszélgetésekből származó forgalommal).
A Wireshark támogatja a forgalom rögzítését a start/stop nyomógombos felületen keresztül. Az eszköz olyan szűrési beállításokat is tartalmaz, amelyek korlátozzák, hogy milyen adatok jelenjenek meg és szerepeljenek a rögzítésekben. Ez kritikus funkció, mivel a legtöbb hálózati forgalom rutin vezérlő üzeneteket tartalmaz, amelyek nem érdekesek.
Sok különböző vizsgáló szoftveralkalmazást fejlesztettek ki az évek során. Íme néhány példa:
- tcpdump (parancssori eszköz Linuxhoz és más Unix-alapú operációs rendszerekhez)
- CloudShark
- Káin és Ábel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Ingyenes hálózati elemző
- NetworkMiner
- IP-eszközök
E hálózati szippantó eszközök némelyike ingyenes, míg a többi költséges vagy ingyenes próbaverzióval rendelkezik. Ezen kívül néhány ilyen program már nincs karbantartva vagy frissítve, de továbbra is letölthetők.
Hálózati szippantókkal kapcsolatos problémák
Sniffer eszközök nagyszerű lehetőséget kínálnak a hálózati protokollok működésének megismerésére. Ugyanakkor egyszerű hozzáférést biztosítanak bizonyos személyes adatokhoz, például a hálózati jelszavakhoz. Kérjen engedélyt a tulajdonosoktól, mielőtt szippantót használna a hálózatukon.
A hálózati szondák csak azokról a hálózatokról gyűjtik le az adatokat, amelyekhez gazdaszámítógépük kapcsolódik. Egyes kapcsolatokon a szippantó csak az adott hálózati interfésznek címzett forgalmat rögzíti. Mindenesetre a legfontosabb dolog, amit meg kell jegyeznünk, hogy bárki, aki hálózati szippantót szeretne használni a forgalom kémkedésére, nehezen fogja megtenni ezt, ha a forgalom titkosított.
GYIK
Honnan lehet megállapítani, hogy valaki szippantja a hálózatát?
Nehéz lehet észlelni a szippantókat, mert gyakran csak adatgyűjtéssel passzívak maradnak. De ha egy szippantó van telepítve a számítógépen, a fokozott forgalom figyelmeztetheti a szippantó jelenlétére. Fontolja meg olyan szoftverek használatát, amelyek észlelik a szippantó személyeket, például az Anti-Sniff, a Sniff Detection, az ARP Watch vagy a Snort.
Milyen adatok és információk találhatók meg a csomagszimuláló segítségével?
A csomagszimuláló egy legitim hálózati mérnöki eszköz vagy víruskereső funkció, de lehet hackereszköz is, amely rosszindulatú e-mail mellékletként jelenik meg. A rosszindulatú csomagszimulálók jelszavakat és bejelentkezési információkat rögzíthetnek, valamint figyelhetik a felhasználó webhelylátogatását és tevékenységét. A vállalkozások törvényes csomagszimuláló segítségével ellenőrizhetik a bejövő forgalmat rosszindulatú programok után, vagy nyomon követhetik az alkalmazottak hálózathasználatát.