Cả quản trị viên và tin tặc có thể nắm bắt lưu lượng truy cập mạng
Một sniffer mạng cũng giống như âm thanh; một công cụ phần mềm giám sát hoặc xem xét dữ liệu chảy qua các liên kết mạng máy tính trong thời gian thực. Nó có thể là một chương trình phần mềm độc lập hoặc một thiết bị phần cứng với phần mềm hoặc phần mềm thích hợp.
Các trình thám thính mạng có thể chụp các bản sao của dữ liệu mà không cần chuyển hướng hoặc thay đổi nó. Một số sniffers chỉ làm việc với các gói TCP / IP , nhưng các công cụ phức tạp hơn có thể làm việc với nhiều giao thức mạng khác và ở các mức thấp hơn, bao gồm cả các khung Ethernet .
Nhiều năm trước, sniffers là công cụ được sử dụng độc quyền bởi các kỹ sư mạng chuyên nghiệp. Ngày nay, tuy nhiên, với các ứng dụng phần mềm có sẵn miễn phí trên web, chúng cũng phổ biến với các tin tặc Internet và mọi người chỉ tò mò về mạng.
Lưu ý: Các trình thám thính mạng đôi khi được gọi là đầu dò mạng, trình thám thính không dây, trình thu thập dữ liệu qua Ethernet, trình thám thính gói, trình phân tích gói hoặc chỉ đơn giản là lặp lại.
Máy phân tích gói được sử dụng cho
Có rất nhiều ứng dụng cho trình thám thính gói nhưng hầu hết các công cụ dò tìm dữ liệu không phân biệt giữa một lý do bất chính và một lý do vô hại, bình thường. Nói cách khác, hầu hết các gói sniffers có thể được sử dụng không thích hợp bởi một người và vì lý do chính đáng của người khác.
Một chương trình có thể nắm bắt mật khẩu, ví dụ, có thể được sử dụng bởi một hacker nhưng cùng một công cụ có thể được sử dụng bởi một quản trị viên mạng để tìm số liệu thống kê mạng như băng thông có sẵn.
Trình thám thính cũng có thể hữu ích để thử nghiệm tường lửa hoặc bộ lọc web hoặc khắc phục sự cố mối quan hệ máy khách / máy chủ.
Công cụ mạng Sniffer
Wireshark (trước đây gọi là Ethereal) được công nhận rộng rãi là sniffer mạng phổ biến nhất trên thế giới. Đây là một ứng dụng mã nguồn mở miễn phí hiển thị dữ liệu lưu lượng với mã hóa màu để cho biết giao thức nào được sử dụng để truyền tải nó.
Trên các mạng Ethernet, giao diện người dùng của nó hiển thị các khung riêng lẻ trong một danh sách được đánh số và nổi bật bằng các màu riêng biệt cho dù chúng được gửi qua TCP , UDP hay các giao thức khác. Nó cũng giúp nhóm các luồng thông điệp với nhau được gửi qua lại giữa nguồn và đích (thường được trộn lẫn theo thời gian với lưu lượng truy cập từ các cuộc hội thoại khác).
Wireshark hỗ trợ chụp lưu lượng truy cập thông qua giao diện nút khởi động / dừng. Công cụ này cũng chứa các tùy chọn lọc khác nhau giới hạn dữ liệu được hiển thị và bao gồm trong ảnh chụp - một tính năng quan trọng vì lưu lượng truy cập trên hầu hết các mạng chứa nhiều loại thông báo điều khiển thông thường khác nhau.
Nhiều ứng dụng phần mềm thăm dò khác nhau đã được phát triển qua nhiều năm. Đây chỉ la một vai vi dụ:
- tcpdump (một công cụ dòng lệnh cho Linux và các hệ điều hành dựa trên Unix khác)
- CloudShark
- Cain và Abel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Phân tích mạng miễn phí
- NetworkMiner
- Công cụ IP
Một số công cụ này miễn phí trong khi các công cụ khác có giá hoặc có thể có bản dùng thử miễn phí. Ngoài ra, một số chương trình này không còn được duy trì hoặc cập nhật nhưng chúng vẫn có sẵn để tải xuống.
Các vấn đề với Sniffers mạng
Công cụ Sniffer cung cấp một cách tuyệt vời để tìm hiểu cách thức giao thức hoạt động. Tuy nhiên, chúng cũng cho phép truy cập dễ dàng vào một số thông tin cá nhân như mật khẩu mạng. Kiểm tra với chủ sở hữu để nhận được sự cho phép trước khi sử dụng một sniffer trên mạng của người khác.
Các đầu dò mạng chỉ có thể chặn dữ liệu từ các mạng mà máy tính chủ của chúng được gắn vào. Trên một số kết nối, trình thu thập thông tin chỉ ghi lại lưu lượng truy cập được gửi đến giao diện mạng cụ thể đó. Nhiều giao diện mạng Ethernet hỗ trợ cái gọi là chế độ promiscuous cho phép một sniffer nhận tất cả lưu lượng truy cập đi qua liên kết mạng đó (ngay cả khi không được giải quyết trực tiếp tới máy chủ.)