Аналізатор трафіку
Аналіза́тор тра́фіку, або сні́фер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку призначеного для інших вузлів.
Принцип роботи
Перехоплення трафіку може здійснюватися:
- звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми);
- підключенням сніфера в розрив каналу;
- відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер;
- через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
- через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.
Застосування
На початку 1990-х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів, які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді. Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.
Сніфери застосовуються як в благих, так і в деструктивних цілях. Аналіз трафіку, що пройшов через сніфер, дозволяє:
- Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз).
- Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності).
- Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації.
- Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)
Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із застосуванням лише простих засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.
Приклади аналізаторів трафіку
- Wireshark
- tcpdump
- CommView
- pcap — бібліотека
- Iris
- WinDump
- Sniffit — найперший сніфер, що набув широкої популярності. Тестувався на GNU/Linux, SunOS, Solaris, FreeBSD, IRIX. В 1990-х був синонімом слова sniffer.
- Ultra Network
- Sniffer Архівовано 5 вересня 2021 у Wayback Machine.
- Analyzer
- Packetyzer
- Network General — Sniffer Technologies
- IPDump2, a portable packet sniffer
- Ferret — універсальний сніфер, заточений під Wi-Fi .
- LanGrabber — сніфер, що видобуває файли з мережного трафіку Архівовано 24 липня 2008 у Wayback Machine.
- Observer
- Xplico Open source Internet Traffic Decoder (NFAT)
- Zeek
Див. також
- Вардрайвинг
- Код відповіді
- Моделювання трафіку
- Network tap
Посилання
- Protocol Analyzers, каталог посилань Open Directory Project (англ.)
- How-to Packet Sniff. (англ.)
- The Making of a Professional cTrace Packet Analyzer. (You must fill a «Download request form» to access this document) (англ.)
- Packet Sniffing FAQ by Robert Graham. (англ.)
- A Quick Intro to Sniffers. (англ.)
- Multi-Tap Network Packet Capture. (англ.)
- Microsoft Message Analyzer. (англ.)