Сниффер пароляў, сеткі. Сниффер - што гэта?

Многія карыстальнікі камп'ютэрных сістэм чулі пра такое паняцце, як «сниффер». Што гэта такое, праўда, у поўнай меры ўяўляюць сабе далёка не ўсё. Акрамя таго, сёння можна вылучыць вельмі абмежаванае кола людзей, якія ведаюць, як і дзе выкарыстоўваюцца такія праграмы і «жалезнае» абсталяванне. Паспрабуем разабрацца ў тым, што да чаго.

Сниффер: што гэта?

Пачнем з самага вызначэння тэрміну. Каб паглыбіцца ў сутнасць пытання, варта для пачатку проста перавесці слова «сниффер». Што гэта такое? У даслоўным перакладзе ангельскага паняцці sniffer азначае «Нюхач».

Калі казаць прасцей, гэта праграма або абсталяванне, здольныя на аснове аналізу трафіку ў выглядзе пакетаў перадаюцца або якія прымаюцца дадзеных у сеткі знаходзіць неабходную інфармацыю, няхай гэта будзе знешнія сеткавыя IP-адрасы, зашыфраваныя паролі або канфідэнцыйныя дадзеныя. Самі ж снифферы могуць выкарыстоўвацца і на шкоду, і ў добрым.

Асноўныя віды снифферов

Што тычыцца асноўных разнавіднасцяў снифферов, гэта не абавязкова можа быць праграмнае забеспячэнне, якое ўстанаўліваецца на кампутарны тэрмінал, або выкананае ў выглядзе анлайн-аплета.

Нярэдка можна сустрэць снифферы і ў выглядзе «жалезнага» абсталявання або кампанентаў, якія спалучаюць у сабе і праграмныя, і фізічныя прыкметы. Зыходзячы з гэтага, у асноўную класіфікацыю снифферов ўключаюць наступныя тыпы:

• праграмныя;
• апаратныя;
• праграмна-апаратныя;
• онлайн-кампаненты.

Пры асноўнай класіфікацыі можна вылучыць яшчэ і падзел па кірунку аналізу. Напрыклад, часцей за ўсё сустракаецца такая разнавіднасць, як сниффер пароляў, асноўнай задачай якога з'яўляецца выманне з пакетаў гэтых адкрытых або зашыфраваных кодаў доступу да якой-небудзь інфармацыі. Існуюць снифферы, якія прадугледжваюць выключна вылічэнне IP-адрасоў канкрэтнага тэрмінала з мэтай доступу да карыстацкага кампутара і якая захоўваецца ў ім інфармацыі.

Як гэта працуе?

Тэхналогія перахопу сеткавага трафіку дастасоўная выключна да сетак на аснове пратаколаў TCP / IP і які рэалізуецца злучэнню з дапамогай сеткавых карт Ethernet. Бесправадныя сеткі таксама могуць падвяргацца аналізу, усё роўна ж першапачаткова ў такой сістэме прысутнічае правадное падлучэнне (да маршрутызатара, да раздала ноўтбука або стацыянарнага ПК).

Перадача дадзеных у сеткі здзяйсняецца не суцэльным блокам, а з дапамогай яго падзелу на стандартныя пакеты і сегменты, якія пры атрыманні прымаючага бокам аб'ядноўваюцца ў адзінае цэлае. Праграма-сниффер здольная адсочваць усе магчымыя каналы перадачы кожнага сегмента, і ў момант перадачы (пераадрасацыі) неабароненых пакетаў на падлучаныя да сеткі прылады (маршрутызатары, хабы, світч, кампутары або мабільныя дэвайсы) вырабляецца выманне патрэбных дадзеных, якія могуць утрымліваць тыя ж паролі. Такім чынам, ўзлом пароля становіцца звычайнай справай тэхнікі, тым больш, калі ён не зашыфраваны.

Але нават пры выкарыстанні сучасных тэхналогій шыфравання пароля ён можа перадавацца разам з адпаведным ключом. Калі гэта ключ адкрытага тыпу, атрымаць пароль прасцей простага. Калі і ключ зашыфраваны, зламыснік папросту можа прымяніць якую-небудзь праграму-дэшыфратар, што ў канчатковым выніку таксама прывядзе да ўзлому дадзеных.

Дзе выкарыстоўваецца сниффер сеткі?

Вобласць выкарыстання снифферов вельмі своеасаблівая. Не трэба думаць, што які-небудзь зручны сниффер на рускай мове з'яўляецца выключна сродкам хакераў, якія спрабуюць вырабіць несанкцыянаванае ўмяшанне ў сеткавы трафік з мэтай атрымання нейкай важнай інфармацыі.

З роўным поспехам снифферы могуць выкарыстоўвацца і правайдэрамі, якія на аснове іх дадзеных вырабляюць аналіз трафіку сваіх карыстальнікаў, узмацняючы бяспеку камп'ютэрных сістэм. Хоць такое абсталяванне і дадатку называюць антиснифферами, на самай справе гэта самыя звычайныя снифферы, як бы якія працуюць у зваротным кірунку.

Натуральна, карыстальнікаў аб такіх дзеяннях з боку правайдэра ніхто не паведамляе, ды і асаблівага сэнсу ў гэтым няма. Радавы юзэр наўрад ці самастойна зможа прыняць нейкія контрмеры. А для правайдэра часцяком аналіз трафіку вельмі важны, паколькі можа прадухіліць спробы ўмяшання ў працу сетак звонку, бо аналізуючы доступ да перадатным пакетах, можна адсачыць несанкцыянаваны доступ да іх хаця б на аснове тых жа знешніх IP-адрасоў прылад, якія спрабуюць перахапіць перадаюцца сегменты. Але гэта самы просты прыклад, паколькі ўся тэхналогія нашмат складаней.

Вызначэнне прысутнасці сниффера

Пакуль пакінем у баку такое паняцце, як «сниффер». Што гэта такое, ужо крыху зразумела, цяпер паглядзім, па якіх прыкметах можна вызначыць «праслухоўванне» сниффером самастойна.

Калі з кампутарнай сістэмай усё ў парадку і сеткавае або інтэрнэт-падлучэнне працуе без збояў, першай прыкметай ўмяшання звонку з'яўляецца зніжэнне хуткасці перадачы пакетаў, у параўнанні з той, што заяўлена правайдэрам. У Windows-сістэмах стандартнымі сродкамі вызначыць хуткасць радавы карыстальнік наўрад ці зможа нават пры выкліку меню стану сеткі клікам на значку падключэння. Тут паказваецца толькі колькасць адпраўленых і прынятых пакетаў.

Сапраўды гэтак жа хуткадзейнасці ў «Дыспетчару задач» адлюстроўваюць патрэбную інфармацыю ў поўнай меры, да таго ж зніжэнне хуткасці можа быць звязана і з абмежаваннямі самога рэсурсу, на які ажыццяўляецца доступ. Лепш за ўсё выкарыстоўваць адмысловыя ўтыліты-аналізатары, якія, дарэчы сказаць, і працуюць па прынцыпе сниффера. Адзінае, на што трэба звярнуць увагу, гэта толькі на тое, што праграмы гэтага тыпу пасля ўстаноўкі могуць выклікаць памылкі, якія з'яўляюцца з прычыны канфліктаў з файрволла (убудаваным брэндмаўэр Windows або іншымі праграмамі і абсталяваннем «жалезнага» тыпу). Таму на момант правядзення аналізу ахоўныя экраны пажадана цалкам адключыць.

заключэнне

Вось, уласна, і ўсё, што тычыцца такога паняцця, як «сниффер». Што гэта такое з пункту гледжання інструмента ўзлому або абароны, у прынцыпе, павінна быць зразумела. Застаецца дадаць пару слоў пра анлайн-аплеты. Яны як раз па большай частцы выкарыстоўваюцца зламыснікамі для атрымання IP-адрасы ахвяры і доступу да канфідэнцыйнай інфармацыі. Акрамя таго, што такі онлайн-сниффер выконвае сваю непасрэдную функцыю, IP-адрас зламысніка таксама змяняецца. У гэтых адносінах такія аплеты чымсьці нагадваюць ананімныя проксі-сэрвэры, якія хаваюць рэальны карыстацкі IP. Па зразумелых меркаваннях дадзеныя пра такія інтэрнэт-рэсурсах не прыводзяцца, паколькі ўмяшанне ў працу чужых кампутараў пры дапамозе гэтых, быццам бы і афіцыйна размешчаных, праграм з'яўляецца супрацьзаконным і крымінальна каральным.