Máy phân tích gói mạng. Wireshark (thiết bị chặn gói mạng)

Nhiều người sử dụng mạng máy tính nhìn chung không quen thuộc với khái niệm “kẻ đánh hơi”. Hãy thử định nghĩa sniffer là gì, bằng ngôn ngữ đơn giản của người dùng chưa được đào tạo. Nhưng trước tiên, bạn vẫn phải đi sâu vào định nghĩa trước của thuật ngữ này.

Sniffer: sniffer là gì theo quan điểm của ngôn ngữ tiếng Anh và công nghệ máy tính?

Trên thực tế, không khó để xác định bản chất của tổ hợp phần mềm hoặc phần cứng-phần mềm như vậy nếu bạn chỉ dịch thuật ngữ này.

Tên này xuất phát từ từ tiếng Anh đánh hơi (sniff). Do đó ý nghĩa của thuật ngữ tiếng Nga "đánh hơi". Theo hiểu biết của chúng ta, sniffer là gì? Một “kẻ đánh hơi” có khả năng giám sát việc sử dụng lưu lượng mạng, hay đơn giản hơn là một gián điệp có thể can thiệp vào hoạt động của mạng cục bộ hoặc mạng dựa trên Internet, trích xuất thông tin anh ta cần dựa trên quyền truy cập thông qua giao thức truyền dữ liệu TCP/IP.

Máy phân tích lưu lượng truy cập: nó hoạt động như thế nào?

Hãy đặt chỗ ngay: một sniffer, có thể là một thành phần phần mềm hoặc phần mềm chia sẻ, có khả năng phân tích và chặn lưu lượng truy cập (dữ liệu được truyền và nhận) chỉ thông qua card mạng (Ethernet). Điều gì xảy ra?

Giao diện mạng không phải lúc nào cũng được bảo vệ bởi tường lửa (lại là phần mềm hoặc phần cứng) và do đó việc chặn dữ liệu được truyền hoặc nhận chỉ trở thành vấn đề công nghệ.

Trong mạng, thông tin được truyền qua các phân đoạn. Trong một phân đoạn, các gói dữ liệu sẽ được gửi đến tất cả các thiết bị được kết nối với mạng. Thông tin được phân đoạn được chuyển tiếp đến bộ định tuyến (bộ định tuyến), sau đó đến bộ chuyển mạch (bộ chuyển mạch) và bộ tập trung (hub). Việc gửi thông tin được thực hiện bằng cách chia nhỏ các gói để người dùng cuối nhận được tất cả các phần của gói được kết nối với nhau từ các tuyến hoàn toàn khác nhau. Do đó, việc “nghe” tất cả các tuyến tiềm năng từ người đăng ký này đến người đăng ký khác hoặc sự tương tác của tài nguyên Internet với người dùng không chỉ có thể cung cấp quyền truy cập vào thông tin không được mã hóa mà còn truy cập vào một số khóa bí mật cũng có thể được gửi trong quá trình tương tác như vậy. . Và ở đây giao diện mạng hóa ra hoàn toàn không được bảo vệ do có bên thứ ba can thiệp.

Mục đích tốt và mục đích xấu?

Máy đánh hơi có thể được sử dụng cho cả mục đích tốt và xấu. Chưa kể đến tác động tiêu cực, điều đáng chú ý là các hệ thống phần mềm và phần cứng như vậy thường được sử dụng bởi các quản trị viên hệ thống, những người đang cố gắng theo dõi hành động của người dùng không chỉ trên mạng mà còn cả hành vi của họ trên Internet về các tài nguyên đã truy cập, kích hoạt tải xuống máy tính hoặc gửi từ chúng.

Phương pháp mà bộ phân tích mạng hoạt động khá đơn giản. Trình thám thính phát hiện lưu lượng đi và đến của máy. Chúng tôi không nói về IP nội bộ hoặc bên ngoài. Tiêu chí quan trọng nhất được gọi là địa chỉ MAC, duy nhất cho mọi thiết bị được kết nối với web toàn cầu. Nó được sử dụng để xác định từng máy trên mạng.

Các loại máy đánh hơi

Nhưng theo loại, chúng có thể được chia thành nhiều loại chính:

• phần cứng;
• phần mềm;
• phần cứng và phần mềm;
• applet trực tuyến.

Phát hiện hành vi về sự hiện diện của sniffer trên mạng

Bạn có thể phát hiện cùng một trình thám thính Wi-Fi bằng cách tải trên mạng. Nếu rõ ràng rằng việc truyền dữ liệu hoặc kết nối không ở mức mà nhà cung cấp (hoặc bộ định tuyến cho phép) nêu ra, bạn nên chú ý đến điều này ngay lập tức.

Mặt khác, nhà cung cấp cũng có thể chạy phần mềm sniffer để giám sát lưu lượng truy cập mà người dùng không hề hay biết. Tuy nhiên, theo quy định, người dùng thậm chí không biết về nó. Nhưng tổ chức cung cấp dịch vụ liên lạc và kết nối Internet do đó đảm bảo cho người dùng sự an toàn hoàn toàn về mặt ngăn chặn lũ lụt, tự cài đặt ứng dụng khách của nhiều loại Trojan, gián điệp, v.v. Nhưng những công cụ như vậy khá là phần mềm và không có nhiều tác động đến mạng hoặc thiết bị đầu cuối của người dùng.

Những nguồn thông tin trên mạng

Nhưng công cụ phân tích lưu lượng truy cập trực tuyến có thể đặc biệt nguy hiểm. Một hệ thống hack máy tính nguyên thủy được xây dựng dựa trên việc sử dụng các công cụ đánh hơi. Công nghệ ở dạng đơn giản nhất có nghĩa là kẻ tấn công ban đầu đăng ký trên một tài nguyên nhất định, sau đó tải hình ảnh lên trang web. Sau khi xác nhận tải xuống, một liên kết đến trình đánh hơi trực tuyến sẽ được đưa ra, liên kết này sẽ được gửi đến nạn nhân tiềm năng, chẳng hạn như dưới dạng email hoặc cùng một tin nhắn SMS có nội dung như “Bạn đã nhận được lời chúc mừng từ những người như vậy”. -Vì thế. Để mở ảnh (bưu thiếp), hãy nhấp vào liên kết.”

Người dùng ngây thơ nhấp vào siêu liên kết được chỉ định, do đó tính năng nhận dạng được kích hoạt và địa chỉ IP bên ngoài được chuyển cho kẻ tấn công. Nếu anh ta có ứng dụng thích hợp, anh ta không chỉ có thể xem tất cả dữ liệu được lưu trữ trên máy tính mà còn có thể dễ dàng thay đổi cài đặt hệ thống từ bên ngoài, điều mà người dùng cục bộ thậm chí sẽ không nhận ra, nhầm lẫn sự thay đổi đó với ảnh hưởng của virus. Nhưng máy quét sẽ không hiển thị mối đe dọa nào khi kiểm tra.

Làm thế nào để bảo vệ bạn khỏi bị chặn dữ liệu?

Cho dù đó là thiết bị đánh hơi WiFi hay bất kỳ thiết bị phân tích nào khác, vẫn có những hệ thống bảo vệ chống lại việc quét lưu lượng truy cập trái phép. Chỉ có một điều kiện: chúng chỉ cần được cài đặt nếu bạn hoàn toàn tin tưởng vào khả năng “nghe lén”.

Những công cụ phần mềm như vậy thường được gọi là “công cụ chống dò tìm”. Nhưng nếu bạn nghĩ về điều đó, đây cũng chính là những trình thám thính phân tích lưu lượng truy cập nhưng chặn các chương trình khác đang cố gắng nhận

Do đó, câu hỏi chính đáng được đặt ra: liệu có đáng để cài đặt phần mềm như vậy không? Có lẽ việc bị tin tặc tấn công sẽ gây ra nhiều tác hại hơn, hay chính nó sẽ chặn những gì lẽ ra sẽ hoạt động?

Trong trường hợp đơn giản nhất với hệ thống Windows, tốt hơn là sử dụng tường lửa tích hợp sẵn để bảo vệ. Đôi khi có thể xảy ra xung đột với phần mềm chống vi-rút đã cài đặt, nhưng điều này thường chỉ áp dụng cho các gói miễn phí. Phiên bản mua chuyên nghiệp hoặc kích hoạt hàng tháng không có những thiếu sót như vậy.

Thay vì lời bạt

Đó là tất cả về khái niệm "đánh hơi". Tôi nghĩ nhiều người đã hiểu máy đánh hơi là gì. Cuối cùng, câu hỏi vẫn là: người dùng bình thường sẽ sử dụng những thứ như vậy một cách chính xác như thế nào? Mặt khác, ở những người dùng trẻ tuổi, đôi khi bạn có thể nhận thấy xu hướng côn đồ máy tính. Họ cho rằng việc hack máy tính của người khác giống như một cuộc thi thú vị hoặc sự khẳng định bản thân. Thật không may, không ai trong số họ nghĩ đến hậu quả, nhưng rất dễ dàng xác định kẻ tấn công bằng cách sử dụng cùng một trình đánh hơi trực tuyến bằng IP bên ngoài của anh ta, chẳng hạn như trên trang web WhoIs. Đúng, vị trí của nhà cung cấp sẽ được chỉ định là vị trí, tuy nhiên, quốc gia và thành phố sẽ được xác định chính xác. Chà, đó chỉ là vấn đề nhỏ nhặt: hoặc là cuộc gọi đến nhà cung cấp để chặn thiết bị đầu cuối nơi thực hiện truy cập trái phép hoặc một vụ án hình sự. Hãy rút ra kết luận của riêng bạn.

Nếu một chương trình được cài đặt để xác định vị trí của thiết bị đầu cuối mà từ đó nỗ lực truy cập được thực hiện thì tình huống thậm chí còn đơn giản hơn. Nhưng hậu quả có thể rất thảm khốc, vì không phải tất cả người dùng đều sử dụng các công cụ ẩn danh hoặc máy chủ proxy ảo đó và thậm chí còn không biết gì về Internet. Sẽ rất đáng để học hỏi...

người đánh hơi Sniffers là các chương trình có thể chặn và sau đó phân tích lưu lượng mạng. Trình dò ​​tìm rất hữu ích trong trường hợp bạn cần chặn mật khẩu hoặc tiến hành chẩn đoán mạng. Chương trình có thể được cài đặt trên một thiết bị mà bạn có quyền truy cập và trong một thời gian ngắn sẽ nhận được tất cả dữ liệu được truyền từ mạng con.

Trình đánh hơi hoạt động như thế nào

Bạn có thể chặn lưu lượng truy cập thông qua trình thám thính theo những cách sau:

• Bằng cách lắng nghe ở chế độ bình thường của giao diện mạng, phương pháp này chỉ có hiệu quả khi sử dụng hub chứ không phải switch trong một trường nhất định.
• Nếu bạn kết nối thiết bị đánh hơi với nơi kênh bị ngắt, bạn có thể chặn lưu lượng truy cập.
• Bộ điều hợp hoặc chương trình thay đổi đường dẫn lưu lượng và gửi một bản sao đến trình thám thính.
• Bức xạ điện từ đi lạc được phân tích và lưu lượng truy cập được khôi phục để nghe.
• Lớp liên kết và mạng bị tấn công, chuyển hướng lưu lượng truy cập đến trình thám thính để lấy dữ liệu, sau đó lưu lượng truy cập được chuyển hướng dọc theo tuyến đường trước đó.

Lưu lượng truy cập bị chặn bởi trình thám thính sẽ được phân tích, cho phép chúng tôi xác định:

Các trình thám thính thông thường phân tích lưu lượng truy cập rất đơn giản, sử dụng các công cụ tự động sẵn có nhất và chỉ có thể phân tích khối lượng rất nhỏ.

Ví dụ về những người đánh hơi nổi tiếng nhất:

• WinSniffer 1.3 là trình thám thính tốt nhất, có nhiều chế độ tùy chỉnh khác nhau và có khả năng bắt mật khẩu cho nhiều dịch vụ khác nhau;
• CommViev 5.0 nắm bắt và phân tích lưu lượng truy cập Internet cũng như mạng cục bộ. Thu thập dữ liệu thông tin liên quan đến modem và card mạng và giải mã nó. Điều này giúp có thể xem danh sách đầy đủ các kết nối trên mạng và thông tin thống kê về IP. Thông tin bị chặn sẽ được lưu trong một tệp riêng để phân tích tiếp theo, ngoài ra, hệ thống lọc tiện lợi cho phép bạn bỏ qua các gói không cần thiết và chỉ để lại những gói mà kẻ tấn công cần;
• ZxSniffer 4.3 là một sniffer cỡ nhỏ với dung lượng 333 kb, nó phù hợp với mọi phương tiện lưu trữ hiện đại và có thể được sử dụng bởi;
• SpyNet là một phần mềm sniffer khá nổi tiếng và phổ biến. Chức năng chính bao gồm chặn lưu lượng truy cập và giải mã các gói dữ liệu;
• IRIS có khả năng lọc rộng rãi. Có khả năng bắt các gói với các hạn chế được chỉ định.

Phân loại máy đánh hơi

Người đánh hơi được chia theo phương pháp sử dụng thành hợp pháp và bất hợp pháp. Đồng thời, khái niệm về trình đánh hơi được áp dụng cụ thể liên quan đến việc sử dụng bất hợp pháp, trong khi những khái niệm hợp pháp được gọi là “Trình phân tích lưu lượng truy cập”.

Để nhận được thông tin đầy đủ về trạng thái của mạng và hiểu nhân viên đang làm gì tại nơi làm việc của họ, họ sử dụng công cụ đánh hơi hợp pháp (máy phân tích lưu lượng truy cập). Không thể đánh giá quá cao sự trợ giúp của những kẻ đánh hơi khi cần phải “lắng nghe” các cổng chương trình mà qua đó chúng có thể gửi thông tin bí mật cho chủ nhân của chúng. Đối với các lập trình viên, chúng giúp gỡ lỗi và tương tác với các chương trình. Bằng cách sử dụng công cụ phân tích lưu lượng truy cập, bạn có thể nhanh chóng phát hiện hành vi truy cập trái phép vào dữ liệu hoặc một cuộc tấn công DoS.

Việc sử dụng bất hợp pháp liên quan đến việc theo dõi người dùng mạng; kẻ tấn công sẽ có thể lấy được thông tin về những trang web mà người dùng sử dụng, gửi dữ liệu và tìm hiểu về các chương trình được sử dụng để liên lạc. Mục đích chính của việc “lắng nghe” lưu lượng truy cập là lấy thông tin đăng nhập và mật khẩu được truyền ở dạng không được mã hóa.

Máy phân tích lưu lượng truy cập khác nhau ở các khả năng sau:

• Hỗ trợ các giao thức lớp liên kết cũng như giao diện vật lý.
• Chất lượng giải mã giao thức.
• Giao diện người dùng.
• Cung cấp quyền truy cập vào số liệu thống kê, xem lưu lượng truy cập trong thời gian thực, v.v.

Nguồn đe dọa

Trình đánh hơi có thể hoạt động trên:

• Bộ định tuyến – tất cả lưu lượng truy cập đi qua thiết bị đều có thể được phân tích.
• Ở nút cuối của mạng, tất cả dữ liệu được truyền qua mạng đều có sẵn cho tất cả các card mạng, nhưng ở chế độ hoạt động tiêu chuẩn, các card mạng không dành cho dữ liệu đó đơn giản là không nhận thấy điều đó. Đồng thời, nếu chuyển card mạng sang chế độ promiscuous, bạn sẽ có thể nhận được toàn bộ dữ liệu được truyền trên mạng. Và tất nhiên, sniffers cho phép bạn chuyển sang chế độ này.

Phân tích rủi ro

Bất kỳ tổ chức nào cũng có thể có nguy cơ bị đánh hơi. Đồng thời, có một số tùy chọn về cách bảo vệ tổ chức khỏi rò rỉ dữ liệu. Đầu tiên, bạn cần sử dụng mã hóa. Thứ hai, bạn có thể sử dụng thuốc chống hít.

Antisniffer là một công cụ phần mềm hoặc phần cứng hoạt động trên mạng và cho phép bạn tìm những kẻ đánh hơi.

Chỉ sử dụng mã hóa khi truyền dữ liệu sẽ không thể che giấu được sự thật về việc truyền tải. Do đó, bạn có thể sử dụng mã hóa kết hợp với trình chống đánh hơi.

Trình thám thính là tên gọi khác của bộ phân tích lưu lượng - đó là một chương trình hoặc thiết bị phần cứng khác có chức năng chặn và sau đó phân tích lưu lượng mạng. Hiện tại, các chương trình này hoàn toàn có cơ sở pháp lý nên được sử dụng rộng rãi trên Internet, nhưng chúng có thể được sử dụng cho cả mục đích tốt và có hại.

Lịch sử nguồn gốc của chúng bắt nguồn từ những năm 90, khi tin tặc sử dụng phần mềm như vậy có thể dễ dàng lấy được thông tin đăng nhập và mật khẩu của người dùng, những thông tin này vào thời điểm đó được mã hóa rất yếu.

Từ sniffer xuất phát từ tiếng Anh. đánh hơi - đánh hơi, nguyên tắc hoạt động là chương trình này đăng ký và phân tích các chương trình được cài đặt trên máy truyền các gói thông tin. Để thao tác đọc thông tin có hiệu quả, nó phải được đặt gần PC chính.

Lập trình viên sử dụng ứng dụng này để phân tích lưu lượng truy cập, các mục tiêu khác được tin tặc trên mạng theo đuổi; chúng truy tìm mật khẩu hoặc thông tin khác mà chúng cần.

Các loại máy phân tích lưu lượng

Các trình thu thập có nhiều loại khác nhau; chúng có thể là các applet trực tuyến hoặc các ứng dụng được cài đặt trực tiếp trên máy tính, lần lượt được chia thành phần cứng và phần mềm-phần cứng.

Thông thường chúng được sử dụng để chặn mật khẩu, trong trường hợp này ứng dụng có quyền truy cập vào mã thông tin được mã hóa. Điều này có thể mang lại sự bất tiện lớn cho người dùng, vì thường có trường hợp một số chương trình hoặc trang web được đặt cùng một mật khẩu, điều này cuối cùng dẫn đến mất quyền truy cập vào các tài nguyên cần thiết.

Có một kiểu đánh hơi được sử dụng để chặn ảnh chụp nhanh của RAM, vì rất khó để đọc thông tin liên tục mà không sử dụng hết sức mạnh của bộ xử lý. Phát hiện gián điệp có thể bằng cách giám sát tải tập tin tối đa của PC trong quá trình hoạt động.

Một loại chương trình khác hoạt động với kênh truyền dữ liệu lớn và loài gây hại có thể tạo ra tới 10 giao thức megabyte mỗi ngày.

Làm thế nào nó hoạt động

Máy phân tích chỉ hoạt động với các giao thức TCP/IP; các chương trình như vậy yêu cầu kết nối có dây, ví dụ: bộ định tuyến phân phối Internet. Việc truyền dữ liệu được thực hiện bằng cách sử dụng các gói riêng biệt, khi đạt được mục tiêu cuối cùng, các gói này lại trở thành một tổng thể duy nhất. Chúng cũng có khả năng chặn các gói ở bất kỳ giai đoạn truyền nào và lấy thông tin có giá trị dưới dạng mật khẩu không được bảo vệ cùng với nó. Trong mọi trường hợp, với sự trợ giúp của các chương trình giải mã, bạn có thể lấy được khóa ngay cả với mật khẩu được bảo vệ.

Cách dễ nhất để sử dụng trình đánh hơi WiFi là ở các mạng có khả năng bảo vệ yếu - trong quán cà phê, nơi công cộng, v.v.

Các nhà cung cấp sử dụng các chương trình này có thể theo dõi truy cập trái phép tới các địa chỉ hệ thống bên ngoài.

Làm thế nào để bảo vệ bạn khỏi những kẻ đánh hơi

Để hiểu rằng ai đó đã xâm nhập vào mạng cục bộ, trước hết bạn nên chú ý đến tốc độ tải gói, nếu nó thấp hơn đáng kể so với quy định, điều này sẽ cảnh báo bạn. Bạn có thể theo dõi hiệu suất máy tính của mình bằng Trình quản lý tác vụ. Bạn có thể sử dụng các tiện ích đặc biệt, nhưng chúng thường xung đột với tường lửa của Windows, vì vậy tốt hơn hết bạn nên tắt nó trong một thời gian.

Đối với quản trị viên hệ thống, việc kiểm tra và tìm kiếm các bộ phân tích lưu lượng trên mạng cục bộ là một công việc cần thiết. Để phát hiện các ứng dụng độc hại, bạn có thể sử dụng các phần mềm chống vi-rút mạng nổi tiếng, chẳng hạn như Doctor Web hoặc Kaspersky Anti-Virus, cho phép bạn phát hiện các loài gây hại cả trên máy chủ từ xa và trực tiếp trong mạng cục bộ.

Ngoài các ứng dụng đặc biệt được cài đặt đơn giản trên máy tính, bạn có thể sử dụng mật khẩu phức tạp hơn và các hệ thống mật mã. Hệ thống mật mã làm việc trực tiếp với thông tin, mã hóa nó bằng chữ ký điện tử.

Tổng quan về ứng dụng và các tính năng chính

CommView

CommView giải mã các gói thông tin được truyền đi và hiển thị số liệu thống kê của các giao thức được sử dụng dưới dạng sơ đồ. Trình thám thính lưu lượng truy cập cho phép bạn phân tích các gói IP và những gói cần thiết. Đánh hơi cho Windows hoạt động với các giao thức đã biết: HTTP, HTTPS, DHCP, DDNH, DIAG, POP3, TCP, WAP, v.v. CommView hoạt động với modem Ethernet, wi-fi và các loại khác. Các gói được ghi lại thông qua kết nối được thiết lập bằng cách sử dụng “ Hiện hànhIP- kết nối", nơi bạn có thể tạo bí danh địa chỉ.

Chuyển hướng " Gói» hiển thị thông tin về chúng và chúng có thể được sao chép vào bảng nhớ tạm.

« ĐĂNG NHẬP-các tập tin» cho phép bạn xem các gói ở định dạng NFC.

Chuyển hướng " Quy tắc" Tại đây bạn có thể đặt điều kiện để chặn gói. Các phần của tab này: Địa chỉ IP, địa chỉ MAC, Cổng, Quy trình, Công thức và các tham số riêng lẻ.

« Cảnh báo": cung cấp tính năng thiết lập thông báo trên mạng cục bộ, hoạt động bằng nút "Thêm". Tại đây bạn có thể đặt điều kiện và loại sự kiện:

• "Gói mỗi giây" - khi vượt quá mức tải mạng.
• “Byte trên giây” - khi vượt quá tần số truyền dữ liệu.
• “Địa chỉ không xác định”, tức là phát hiện các kết nối trái phép.

Chuyển hướng " Xem»—số liệu thống kê về lưu lượng truy cập được phản ánh ở đây.

CommView tương thích với Windows 98, 2000, XP, 2003. Cần có bộ chuyển đổi Ethernet để sử dụng ứng dụng.

Ưu điểm: giao diện thân thiện với người dùng bằng tiếng Nga, hỗ trợ các loại bộ điều hợp mạng phổ biến, số liệu thống kê được trực quan hóa. Nhược điểm duy nhất là giá cao.

mạng gián điệp

Spynet thực hiện chức năng giải mã các gói tin và chặn chúng. Với sự trợ giúp của nó, bạn có thể tạo lại các trang mà người dùng đã truy cập. Gồm 2 chương trình CaptureNet và PipeNet. Thật thuận tiện khi sử dụng trên mạng cục bộ. CaptureNet quét các gói dữ liệu, chương trình thứ hai sẽ giám sát quá trình.

Giao diện khá đơn giản:

• Cái nút Biến đổi Lọc– thiết lập bộ lọc.
• Cái nút Lớp 2,3 – cài đặt giao thức Flame – IP; Lớp 3 – TCP.
• Cái nút Mẫu Kết hợp tìm kiếm các gói có tham số được chỉ định.
• Cái nút IP— Địa chỉ cho phép bạn quét các địa chỉ IP cần thiết để truyền thông tin quan tâm. (Các phương án 1-2, 2-1, 2=1). Trong trường hợp sau, tất cả lưu lượng truy cập.
• Cái nút Cổng, tức là lựa chọn các cổng.

Để chặn dữ liệu, bạn phải chạy chương trình Capture Start, tức là quá trình chặn dữ liệu sẽ bắt đầu. Tệp có thông tin đã lưu chỉ được sao chép sau lệnh Dừng, tức là chấm dứt hành động chụp.

Ưu điểm của Spynet là khả năng giải mã các trang web mà người dùng đã truy cập. Chương trình cũng có thể được tải xuống miễn phí, mặc dù khá khó tìm. Những nhược điểm bao gồm một số tính năng nhỏ trong Windows. Hoạt động trong Windows XP, Vista.

NHƯNG ngửi thấy

BUTTSniffer phân tích trực tiếp các gói mạng. Nguyên tắc hoạt động là chặn dữ liệu được truyền đi, cũng như khả năng tự động lưu dữ liệu đó trên phương tiện, rất thuận tiện. Chương trình này được phát động thông qua dòng lệnh. Ngoài ra còn có các tùy chọn bộ lọc. Chương trình bao gồm BUTTSniff.exe và BUTTSniff. dll.

Nhược điểm đáng kể của BUTTSniffer bao gồm hoạt động không ổn định, thường xuyên bị treo, thậm chí bị treo hệ điều hành (màn hình xanh chết chóc).

Ngoài các chương trình sniffer này, còn có nhiều chương trình khác cũng nổi tiếng không kém: WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorter, Ne Phân tích.

Ngoài ra còn có các trình đánh hơi trực tuyến, ngoài việc lấy địa chỉ IP của nạn nhân, chúng còn thay đổi trực tiếp địa chỉ IP của kẻ tấn công. Những thứ kia. Trước tiên, hacker đăng ký theo địa chỉ IP và gửi đến máy tính nạn nhân một hình ảnh cần tải xuống hoặc một email chỉ cần mở. Sau đó, hacker nhận được tất cả dữ liệu cần thiết.

Cần nhớ lại rằng việc can thiệp vào dữ liệu máy tính của người khác là một hành vi phạm tội.

Một kẻ đánh hơi không phải lúc nào cũng độc hại. Trên thực tế, loại phần mềm này thường được sử dụng để phân tích lưu lượng mạng nhằm phát hiện và loại bỏ các điểm bất thường, đảm bảo hoạt động trơn tru. Tuy nhiên, sniffer có thể được sử dụng với mục đích xấu. Trình đánh hơi sẽ phân tích mọi thứ đi qua chúng, bao gồm cả mật khẩu và thông tin đăng nhập không được mã hóa, do đó, tin tặc có quyền truy cập vào trình đánh hơi có thể lấy được thông tin cá nhân của người dùng. Ngoài ra, sniffer có thể được cài đặt trên bất kỳ máy tính nào được kết nối với mạng cục bộ mà không cần phải cài đặt nó trên chính thiết bị đó - nói cách khác, nó không thể bị phát hiện trong toàn bộ thời gian kết nối.

Những người đánh hơi đến từ đâu?

Tin tặc sử dụng trình thám thính để đánh cắp dữ liệu có giá trị bằng cách giám sát hoạt động mạng và thu thập thông tin cá nhân về người dùng. Thông thường, những kẻ tấn công quan tâm nhất đến mật khẩu và thông tin đăng nhập của người dùng để có quyền truy cập vào tài khoản ngân hàng trực tuyến và cửa hàng trực tuyến. Thông thường, tin tặc cài đặt thiết bị đánh hơi ở những nơi phân phối kết nối Wi-Fi không an toàn, chẳng hạn như trong quán cà phê, khách sạn và sân bay. Những kẻ đánh hơi có thể giả dạng một thiết bị được kết nối mạng trong một cuộc tấn công được gọi là giả mạo để đánh cắp dữ liệu có giá trị.

Làm thế nào để nhận biết một người đánh hơi?

Những trình đánh hơi trái phép gần như cực kỳ khó nhận ra vì chúng có thể được cài đặt ở hầu hết mọi nơi, gây ra mối đe dọa rất nghiêm trọng đối với an ninh mạng. Người dùng thông thường thường không có cơ hội nhận ra rằng kẻ đánh hơi đang theo dõi lưu lượng truy cập mạng của họ. Về mặt lý thuyết, bạn có thể cài đặt trình thám thính của riêng mình để giám sát tất cả lưu lượng DNS xem có sự hiện diện của các trình thám thính khác hay không, nhưng đối với người dùng bình thường, việc cài đặt phần mềm chống rình mò hoặc giải pháp chống vi-rút bao gồm tính năng bảo vệ hoạt động mạng để ngăn chặn sẽ dễ dàng hơn nhiều. bất kỳ sự xâm nhập trái phép nào hoặc ẩn các hoạt động mạng của bạn.

Làm thế nào để loại bỏ một sniffer

Bạn có thể sử dụng phần mềm chống vi-rút hiệu quả cao để phát hiện và xóa tất cả các loại phần mềm độc hại được cài đặt trên máy tính của mình nhằm mục đích đánh hơi. Tuy nhiên, để loại bỏ hoàn toàn sniffer khỏi máy tính, bạn phải xóa hoàn toàn tất cả các thư mục và tập tin liên quan đến nó. Bạn cũng nên sử dụng phần mềm chống vi-rút có trình quét mạng, chương trình này sẽ kiểm tra kỹ lưỡng các lỗ hổng trong mạng cục bộ và hướng dẫn các hành động tiếp theo nếu chúng được tìm thấy.

Làm thế nào để tránh trở thành nạn nhân của kẻ đánh hơi

• Mã hóa tất cả thông tin bạn gửi và nhận
• Quét mạng cục bộ của bạn để tìm lỗ hổng
• Chỉ sử dụng các mạng Wi-Fi an toàn và đã được xác minh

Đánh chặn-NG là gì

Hãy xem bản chất của ARP bằng một ví dụ đơn giản. Máy tính A (địa chỉ IP 10.0.0.1) và Máy tính B (địa chỉ IP 10.22.22.2) được kết nối bằng mạng Ethernet. Máy tính A muốn gửi gói dữ liệu đến máy tính B thì nó biết địa chỉ IP của máy tính B. Tuy nhiên, mạng Ethernet mà chúng kết nối không hoạt động với địa chỉ IP. Do đó, để truyền qua Ethernet, máy tính A cần biết địa chỉ của máy tính B trên mạng Ethernet (địa chỉ MAC theo thuật ngữ Ethernet). Giao thức ARP được sử dụng cho nhiệm vụ này. Sử dụng giao thức này, máy tính A gửi yêu cầu quảng bá tới tất cả các máy tính trong cùng một miền quảng bá. Bản chất của yêu cầu: “máy tính có địa chỉ IP 10.22.22.2, cung cấp địa chỉ MAC của bạn cho máy tính có địa chỉ MAC (ví dụ: a0:ea:d1:11:f1:01).” Mạng Ethernet gửi yêu cầu này đến tất cả các thiết bị trên cùng một phân đoạn Ethernet, bao gồm cả máy tính B. Máy tính B phản hồi yêu cầu của máy tính A và báo cáo địa chỉ MAC của nó (ví dụ: 00:ea:d1:11:f1:11). nhận được địa chỉ MAC của máy tính B, máy tính A có thể truyền bất kỳ dữ liệu nào tới nó qua mạng Ethernet.

Để tránh phải sử dụng giao thức ARP trước mỗi lần gửi dữ liệu, địa chỉ MAC nhận được và địa chỉ IP tương ứng của chúng sẽ được ghi lại trong bảng trong một thời gian. Nếu bạn cần gửi dữ liệu đến cùng một IP thì không cần phải thăm dò ý kiến ​​​​các thiết bị mỗi lần để tìm kiếm MAC mong muốn.

Như chúng ta vừa thấy, ARP bao gồm yêu cầu và phản hồi. Địa chỉ MAC từ phản hồi được ghi vào bảng MAC/IP. Khi nhận được phản hồi, nó sẽ không được kiểm tra tính xác thực theo bất kỳ cách nào. Hơn nữa, nó thậm chí còn không kiểm tra xem yêu cầu có được thực hiện hay không. Những thứ kia. bạn có thể gửi ngay phản hồi ARP tới các thiết bị mục tiêu (ngay cả khi không có yêu cầu), với dữ liệu giả mạo và dữ liệu này sẽ xuất hiện trong bảng MAC/IP và sẽ được sử dụng để truyền dữ liệu. Đây là bản chất của cuộc tấn công giả mạo ARP, đôi khi được gọi là ARP khắc, ngộ độc bộ đệm ARP.

Mô tả cuộc tấn công giả mạo ARP

Hai máy tính (nút) M và N trên mạng cục bộ Ethernet trao đổi tin nhắn. Kẻ tấn công X, nằm trên cùng một mạng, muốn chặn tin nhắn giữa các nút này. Trước khi tấn công giả mạo ARP được áp dụng trên giao diện mạng của máy chủ M, bảng ARP chứa địa chỉ IP và MAC của máy chủ N. Ngoài ra trên giao diện mạng của máy chủ N, bảng ARP chứa địa chỉ IP và MAC của máy chủ M .

Trong một cuộc tấn công giả mạo ARP, nút X (kẻ tấn công) gửi hai phản hồi ARP (không có yêu cầu) - đến nút M và nút N. Phản hồi ARP tới nút M chứa địa chỉ IP của N và địa chỉ MAC của X. Phản hồi ARP tới nút N chứa địa chỉ IP M và địa chỉ MAC X.

Vì máy tính M và N hỗ trợ ARP tự phát, sau khi nhận được phản hồi ARP, chúng thay đổi bảng ARP của mình và bây giờ bảng ARP M chứa địa chỉ MAC X được liên kết với địa chỉ IP N và bảng ARP N chứa địa chỉ MAC X, được liên kết với địa chỉ IP M.

Như vậy, cuộc tấn công giả mạo ARP đã hoàn tất và bây giờ tất cả các gói (khung) giữa M và N đều đi qua X. Ví dụ: nếu M muốn gửi một gói đến máy tính N thì M sẽ tìm trong bảng ARP của nó, tìm một mục với địa chỉ IP của máy chủ N, chọn địa chỉ MAC từ đó (và đã có địa chỉ MAC của nút X) và truyền gói tin. Gói đến giao diện X, được phân tích và sau đó được chuyển tiếp đến nút N.