Сніффер пакетів – що це таке, як користуватися аналізатором трафіку Wi-Fi і локальної мережі, Sniffer для Windows, що таке сниффинг

Сніффер по-іншому називають аналізатор трафіку — це програма або інше апаратне пристрій, який перехоплює, а потім аналізує мережевий трафік. В даний час ці програми мають цілком законне обґрунтування, тому широко використовуються в мережі, але вони можуть застосовуватися як на благо, так і на шкоду.

Історія їх виникнення сягає до 90-м рокам, коли хакери могли використовуючи подібний софт без праці захопити власний логін і пароль, які на той момент були дуже слабо зашифрованими.

Слово sniffer походить від англ. to sniff – нюхати, принцип дії у тому, що ця програма реєструє і аналізує програми, які встановлені на машинах, передають інформаційні пакети. Для ефективності операції з зчитування інформації він повинен знаходитися поблизу від головного ПК.

Програмісти використовують дане додаток для аналізу трафіку, інші цілі переслідують хакери в мережі, вони як раз і вистежують паролі або іншу необхідну їм інформацію.

Види аналізаторів трафіку

Сніфери розрізняються за типами, це можуть бути онлайн-аплети або додатки, які встановлюються безпосередньо на комп’ютер, які в свою чергу поділяються на апаратні і програмно-апаратні.

Найчастіше вони використовуються для перехоплення паролів, при цьому додаток отримує доступ до кодів зашифрованої інформації. Це може принести величезні незручності користувачам, оскільки нерідко бувають випадки, коли кількох програм або сайтів встановлюються однакові паролі, що, в кінцевому рахунку, веде до втрати доступу до необхідних ресурсів.

Існує тип сниффинга, який використовується для перехоплення знімка оперативної пам’яті, оскільки складно зчитувати інформацію постійно, і при цьому не використовувати потужність процесора. Виявити шпигуна можна шляхом відстеження максимальної файлової завантаження ПК під час роботи.

Ще один тип програм працює з великим каналом передачі даних, при цьому шкідник може кожен день генерувати до 10 мегабайтовых протоколів.

Що таке CAM-модуль для прийому телебачення і як його використовувати

Як це працює

Аналізатори працюють тільки з протоколами TCP/IP, таких програм потрібно дротове підключення, наприклад, маршрутизатори, роздають інтернет. Передача даних здійснюється за допомогою окремих пакетів, які при досягненні кінцевої мети знову стають єдиним цілим. Вони так само здатні перехопити пакети на будь-якому етапі передачі і отримати разом з ним цінну інформацію у вигляді незахищених паролів. У будь-якому випадку, з допомогою програм дешифраторів можливо отримати ключ навіть до захищеного паролем.

Простіше всього використовувати WiFi сніфери в мережах зі слабким захистом – в кафе, громадських місцях і т. п.

Провайдери за допомогою цих програм можуть відстежити несанкціонований доступ до зовнішніх системним адресами.

Як захиститися від сніффер

Щоб зрозуміти, що в локальну мережу хтось проник, в першу чергу варто звернути увагу на швидкість завантаження пакетів, якщо вона значно нижче заявленої, це повинно насторожити. Швидкодія комп’ютера можна відстежити за допомогою Диспетчера завдань. Можна використовувати спеціальні утиліти, але вони найчастіше конфліктують з брандмауером windows, тому його краще на якийсь час відключити.

Для системних адміністраторів перевірка та пошук аналізаторів трафіку в локальній мережі — це необхідний захід. Для виявлення шкідливих програм можна використовувати відомі мережеві антивіруси, такі як Доктор Веб або Касперський Антивірус, які дозволяють виявити шкідників як на віддалених хостах, так і безпосередньо всередині локальної мережі.

Крім спеціальних програм, які просто встановлюють на комп’ютер, можна використовувати більш складні паролі і криптографічні системи. Криптографічні системи працюють безпосередньо з інформацією, шифруючи її за допомогою електронного підпису.

Огляд програм і основні можливості

CommView

CommView декодує пакети переданої інформації, видає статистику використовуваних протоколів, у вигляді діаграм. Сніффер трафіку дозволяє аналізувати IP-пакети, причому ті, які необхідні. Сніффер для Windows працює з відомими протоколамиHTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP та ін. CommView працює з модемами Ethernet, wi-fi та іншими. Захоплення пакетів відбувається через встановлене з’єднання, за допомогою вкладки «Поточні IP-з’єднання», де можна створювати псевдоніми адрес.

Як розрахувати щільність пікселів на дюйм і що таке PPI

Вкладка «Пакети» відображає інформацію про них, при цьому їх можна скопіювати в буфер обміну.

«LOG-файли» дозволяє переглядати пакети у форматі NFC.

Вкладка «Правила». Тут можна задати умови перехоплення пакетів. Розділи даної вкладки: IP-адреса, MAC-адреси, Порти, Процес, Формули та Індивідуальні параметри.

«Попередження»: передбачає налаштування повідомлень в локальній мережі, функціонує з допомогою кнопки «Додати». Тут можна задати умови, тип подій:

  • «Пакети в секунду» — при перевищенні рівня завантаження мережі.
  • «Байт в секунду» — при перевищенні частоти передачі даних.
  • «Невідомий адреса», тобто виявлення несанкціонованих підключень.

Вкладка «Вид» — тут відображається статистика трафіку.

CommView сумісна з Windows 98, 2000, XP, 2003. Для роботи з додатком необхідний адаптер Ethernet.

Переваги: зручний інтерфейс російською мовою, підтримує найпоширеніші типи мережевих адаптерів, статистика візуалізована. До мінусів можна віднести хіба що високу ціну.

Spynet

Spynet виконує функції декодування пакетів, їх перехоплення. З його допомогою можна відтворити сторінки, на яких побував користувач. Складається з 2-х програм CaptureNet і PipeNet. Її зручно використовувати в локальній мережі. CaptureNet сканує пакети даних, друга програма контролює процес.

Інтерфейс досить простий:

  • Кнопка Modify Filter – налаштування фільтрів.
  • Кнопка Layer 2,3 – встановлює протоколи Flame – IP; Layer 3 – TCP.
  • Кнопка Pattern Matching здійснює пошук пакетів з заданими параметрами.
  • Кнопка IPAdresses дозволяє сканувати необхідні IP-адреси, передають необхідну інформацію. (Варіанти 1-2, 2-1, 2=1). В останньому випадку весь трафік.
  • Кнопка Ports, тобто вибір портів.

Для перехоплення даних необхідно запустити програму Capture Start (пуск), тобто запускається процес по перехоплення даних. Файл із збереженою інформацією копіюється тільки після команди Stop, тобто припинення дій по захопленню.

Прошиваємо роутер Dlink DIR 320

Перевагою Spynet є можливість декодування web сторінок, які відвідував користувач. Так само програму можна завантажити безкоштовно, хоча і досить важко знайти. До недоліків можна віднести малий набір можливостей у Windows. Працює в Windows XP, Vista.

BUTTSniffer

BUTTSniffer аналізує безпосередньо мережеві пакети. Принцип роботи — це перехоплення переданих даних, а так само можливість їх автоматичного збереження на носії, що дуже зручно. Запуск цієї програми відбувається через командний рядок. Є так само параметри фільтрів. Програма складається з BUTTSniff.exe і BUTTSniff. dll.

До значних мінусів BUTTSniffer відносяться нестабільна робота, нерідкі часті збої аж до зносу ОС (синього екрану смерті).

Крім цих програм-сніффер, існує безліч інших, не менш відомих: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Analyzer.

Також існують онлайн-сніфери (online sniffer), які крім отримання IP-адреси жертви змінюють IP-адреса безпосередньо зловмисника. Тобто зломщик спочатку реєструється під яким-або IP-адресою, посилає на комп’ютер жертви картинку, яку необхідно завантажити або електронного листа, який потрібно просто відкрити. Після цього хакер отримує всі необхідні дані.

Варто нагадати, що втручання до даних чужого комп’ютера є кримінально караним діянням.