Сниффинг

Сниффинг – процесс перехвата чужого трафика и его анализа. Может использоваться злоумышленниками как средство поиска паролей и уязвимостей. Для этого используют специализированное ПО – снифферы.

Принцип работы

Сниффинг возможен только через сетевую карту, к которой привязано ПО для перехвата и анализа трафика.

Внутри одного сегмента сети пакеты транслируются всем подключенным к ней устройствам. В результате снифферы могут перехватывать чужой трафик и анализировать его в этом сегменте.

Сниффинг возможен в следующих ситуациях:

  1. Классическое прослушивание, которое эффективно работает только при использовании обычных концентраторов вместо коммутаторов. В противном случае приложение будет получать только отдельные фреймы.
  2. Программное обеспечение интегрируется в разрыв канала связи. В этом случае весь трафик, который передается по данному пути, будет перехватываться.
  3. Создание параллельного пути передачи информации программными или аппаратными средствами.
  4. Использование побочных ЭМИ, которые создаются в каналах передачи, для восстановления трафика и его дальнейшей расшифровки.
  5. Создание атаки на канальный или сетевой уровень, которая перенаправляет трафик на сниффер. В дальнейшем трафик транслируется в адрес получателя.

Область применения

В начале 90-х годов сниффинг активно использовался злоумышленниками для перехвата учетных записей пользователей. Это было связано с тем, что в тот период времени логины и пароли передавались либо в открытом виде, либо в слабо защищенном.

Вторым важным фактором было использование в основном хабов при построении сети, а не коммутаторов.

На сегодняшний день сниффинг востребован не только у злоумышленников. Подразделения в ИТ-компаниях используют анализатор трафика для следующих целей:

  • Поиск паразитного или закольцованного трафика. Он существенно увеличивает нагрузку на сетевую инфраструктуру компании.
  • Поиск зловредного либо несанкционированного программного обеспечения из классов «троянский конь», сетевой сканер, клиенты пиринговой сети и др.
  • Поиск и локализация ошибок в сетевой инфраструктуре организации.
Пентестер
Одноранговая сеть