Forgalomelemző

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2022. május 4-én felülvizsgált verziótól ; az ellenőrzéshez 1 szerkesztés szükséges .

Forgalomelemző , vagy szippantó ( angol nyelvről sniff - sniff ) - a hálózati (saját és/vagy valaki más) forgalmának elfogására és elemzésére szolgáló program vagy eszköz.

Hogyan működik

A szippantó csak azt tudja elemezni, hogy mi megy át a hálózati kártyáján . Az Ethernet hálózat egy szegmensén belül az összes csomag minden gépre elküldésre kerül, így valaki más információit el lehet fogni. A kapcsolók (kapcsoló, switch-hub) használata és hozzáértő konfigurációja már védelem a lehallgatás ellen. Az információ átvitele a szegmensek között kapcsolókon keresztül történik. A csomagváltás az átvitel olyan formája, amelyben az adatok külön csomagokra bontva különböző útvonalakon küldhetők el a forrásból a célállomásra. Tehát ha valaki egy másik szegmensben küld csomagokat benne, akkor a kapcsoló nem küldi el ezeket az adatokat az Ön szegmensének.

A forgalom elfogása végrehajtható:

a hálózati interfész szokásos „meghallgatása” (a módszer akkor hatékony, ha a hubok (hubok) szegmensében használják kapcsolók (kapcsolók ) helyett , egyébként a módszer hatástalan, mivel csak az egyes keretek jutnak el a szippantóhoz);
szippantó csatlakoztatása csatornatöréshez;
a (szoftver vagy hardver) forgalom elágazása és másolatának elküldése a szippantónak ( Network tap );
a hamis elektromágneses sugárzás elemzésével és az így hallgatott forgalom helyreállításával;
csatorna (2) ( MAC-spoofing ) vagy hálózati (3) szintű ( IP-spoofing ) elleni támadáson keresztül , amely az áldozat forgalmának vagy a szegmens teljes forgalmának a szippantóhoz való átirányításához vezet, majd a forgalmat a megfelelő címre.

Alkalmazás

Az 1990-es évek elején a hackerek széles körben használták felhasználói bejelentkezési adatok és jelszavak rögzítésére, amelyeket számos hálózati protokoll tiszta vagy gyengén titkosított formában továbbít. A hubok széles körű elosztása lehetővé tette a forgalom különösebb erőfeszítés nélkül rögzítését nagy hálózati szegmensekben, az észlelés kockázata nélkül, vagy csekély kockázattal.

A szippantókat pusztító és jó célokra egyaránt használják. A szippantón áthaladó forgalom elemzése lehetővé teszi a következőket:

Parazita , vírusos és hurkolt forgalom észlelése , amelyek jelenléte megnöveli a hálózati berendezések és a kommunikációs csatornák terhelését (a szippantó itt nem hatékony; általában erre a célra a szerverek és az aktív hálózati berendezések által végzett különféle statisztikák gyűjtését, majd az azt követő adatokat használják fel. elemzés).
Érzékelje a rosszindulatú és jogosulatlan szoftvereket a hálózaton , például hálózati szkennereket, elárasztókat, trójaiakat, peer-to-peer hálózati klienseket és másokat (ez általában speciális szippantókkal – hálózati tevékenységfigyelők) történik.
Bármilyen titkosítatlan (és néha titkosított) felhasználói forgalom elfogása jelszavak és egyéb információk beszerzése érdekében.
Hálózati hiba vagy hálózati ügynök konfigurációs hibájának megkeresése (a rendszergazdák gyakran használnak szippantót erre a célra )

Mivel a „klasszikus” szippantó manuálisan elemzi a forgalmat, csak a legegyszerűbb automatizálási eszközökkel (protokoll elemzés, TCP folyam helyreállítása), ezért csak kis mennyiségek elemzésére alkalmas.

Ellenzék

Csökkentheti a csomagszippelés veszélyét az alábbi eszközök használatával:

Kriptográfia
Szippantásgátlók
Kapcsolt infrastruktúra

Lásd még

Jegyzetek

Forgalomelemzők
0x4553 - Elfogó aircrack-ng Hegedűs GOSS IPDump2 írisz Sors Lan Grabber Hálózat Általános NSA Megfigyelő Csomagoló pcap pTraffer szippantás tcpdump Ultra hálózat WinDump Wireshark WOSS Xplico