Что такое пакетный сниффер?
Для мониторинга данных, передаваемых по сети, используются снифферы пакетов. Он используется как администраторами для диагностики или устранения неполадок, так и хакерами для кражи данных, передаваемых по сети. Другими словами, пакетный анализатор это программа, которая может видеть весь трафик, проходящий по сети туда-сюда. Очевидно, что размещение анализатора пакетов в среде имеет решающее значение. Еще один момент, на который следует обратить внимание, это то, что перехват пакетов применим как к проводным, так и к беспроводным сетям.
Во-первых, нам нужно понять, что анализатор пакетов может быть как пассивным, так и активным, и это полностью зависит от возможностей анализатора и среды (концентратор или коммутатор). Поскольку весь трафик на компьютере обрабатывается сетевым адаптером (Ethernet беспроводной), анализаторы работают, настраивая сетевой адаптер системы в случайном режиме.
Любые данные, которые передаются по сети в виде открытого текста, уязвимы для прослушивания. Представьте, что вы посещаете http-сайт, и сайт требует аутентификации. Имя пользователя и пароль по небезопасному http уязвимы для перехвата пакетов. Теперь это может иметь меньше смысла, поскольку большинство крупных веб-сайтов работают по протоколу https, но представьте то же самое, если конечный пользователь использует те же учетные данные для других сайтов, таких как LinkedIn, Twitter и т. д. Чтобы добавить больше к этой проблеме, представьте, если конечный пользователь отправляет кредит информация о карте по небезопасному протоколу. Это также требует безопасного хранения криптографических ключей, потому что если злоумышленнику удастся украсть закрытый ключ, он может быть непосредственно предоставлен перехватчику для расшифровки всей связи. Кроме того, использование слабых стандартов, таких как WEP, уязвимо для прослушивания.
>> Wireshark один из самых популярных инструментов, используемых сегодня (ранее известный как Ethereal) для анализа сетевого трафика. Он работает на той же концепции анализатора, что мы обсуждали выше, то есть он будет анализировать пакеты, предназначенные для NIC. Он обеспечивает схему раскраски для различения пакетов и может отслеживать полный поток для определенного протокола. По умолчанию TCP-трафик зеленый, DNS-трафик синий, UDP-трафик синий, TCP с проблемами черный. Он даже дает вам возможность указать закрытый ключ и позволяет расшифровывать зашифрованный трафик на лету. Также предусмотрены фильтры для детализации определенного ключевого слова, протокола среди потока пакетов.
>> Tcpdump - это очень распространенный анализатор пакетов, который используется в командной строке для большинства Unix-подобных ОС. Он использует libpcap для захвата пакетов. Он может читать сетевые пакеты и записывать выходные данные в стандартный вывод или в файл, по которому команда grep-like может использовать для фильтрации. В противном случае мы также можем применить класс фильтра на основе BPF для захвата только пакетов для протоколов, которые нас интересуют.
>> Kismet анализатор беспроводной сети с открытым исходным кодом, способный обнаруживать беспроводную сеть 802.11 a b g. Kismet пассивный анализатор, который помогает ему обнаруживать скрытые беспроводные сети, сохраняя при этом себя под прикрытием. Он работает с беспроводными картами, которые поддерживают режим мониторинга, и поскольку он работает в пассивном режиме, клиентский адаптер переводится в режим rfmon и не связан ни с какой беспроводной точкой доступа (AP), что означает, что клиент Kismet конечной точки не может поддерживать сеть контроль.
Это один из самых старых инструментов, но все еще очень полезный. Он способен перехватывать трафик в сегменте сети, захватывать пароли и помогает при перехвате протоколов. Он поддерживает такие функции, как отслеживание активных соединений, фильтрация контента и т. Д. Он поддерживает как активное, так и пассивное рассечение многих протоколов и включает в себя множество функций для анализа сети и хоста.
Это коллекция инструментов, написанных Dug Song. Некоторые из членов набора инструментов включают в себя:
>> Dsniff: это анализатор паролей, который обрабатывает такие протоколы, как FTP, HTTP, SMTP и т. Д. Он использует Berkley DB в качестве формата выходного файла
Другие участники включают filesnarf, macof, mailsnarf, sshow, tcpkill, tcpnice, urlsnarf и т. д.
>> Это Wi-Fi сниффер, и теперь он доступен только в коммерческой версии. Он доступен как для Windows, так и для OS X (бета-версия). Он сканирует беспроводные сети с помощью вашего Wi-Fi-адаптера, а также содержит много полезной информации о каждой сети, такой как их сильные стороны, показатели использования канала и т. Д. Он очень похож на работу как в Windows, так и в OS X.
Каин и Авель
>> Многим из вас может быть интересно, что Каин и Абель делают в этом списке, поскольку это популярный инструмент для взлома паролей, но мы должны понимать, что он наследует свойства инструмента для прослушивания для получения паролей. Он предназначен только для Windows. Фильтры BPF встроены в инструмент по умолчанию, хотя он в основном предназначен для прослушивания пароля и другой информации аутентификации из сети. Он поддерживает различные протоколы, такие как FTP, HTTP, IMAP и т. Д.
>> Caspa поставляется как в бесплатной, так и в коммерческой версии и предназначена только для ОС Windows. Он работает в 3 этапа, а именно: сбор данных, анализ данных и вывод данных. При захвате данных он захватывает пакет своим драйвером протокола NDIS и TDI. При анализе данных он анализирует пакеты, используя различные анализаторы, такие как HTTP-анализатор, Email Analyzer, FTP-анализатор, IM-анализатор и т. д.,
И выводит анализ в графический интерфейс. Его особенности:
Aircrack-ng
>> Это также набор инструментов, используемых для захвата беспроводного трафика, а затем взлома слабых ключей, таких как WEP, WPA, WPA2-PSK.
Следует следующая процедура:
