Mik azok a csomagolt szippantók és hogyan működnek?

A csomagszippantás úgy hangozhat, mint a legújabb utcai drogőrület, de messze van tőle. A csomagszippantók vagy a protokollanalizátorok olyan eszközök, amelyeket a hálózati technikusok használnak a hálózattal kapcsolatos problémák diagnosztizálására. A hackerek a csomagszippantókat kevésbé nemes célokra használják, például a hálózati felhasználói forgalom kémlelésére és a jelszavak gyűjtésére.

A csomagszippantóknak többféle formája van. A hálózati technikusok által használt egyes csomagszippantók egycélú dedikált hardveres megoldások. Ezzel szemben a többi csomag-szippantó olyan szoftveralkalmazás, amely normál fogyasztói szintű számítógépeken fut, és a fogadó számítógépen található hálózati hardvert használja csomag-elfogási és -injekciós feladatok elvégzésére.

Web / Tim Liedtke


Hogyan működnek a csomagszippantók

A csomagszippantók olyan hálózati forgalom elfogásával és naplózásával működnek, amelyet a vezetékes vagy vezeték nélküli hálózati interfészen keresztül láthatnak, amelyhez a csomagszippantó szoftver hozzáférhet a gazdaszámítógépén.

Vezetékes hálózaton a rögzíthető információk a hálózat felépítésétől függenek. A csomagszippantó képes lehet látni a forgalmat egy teljes hálózaton vagy csak annak egy bizonyos szegmensén, attól függően, hogy a hálózati kapcsolók hogyan vannak konfigurálva. Vezeték nélküli hálózatokon a csomagszippantók általában egyszerre csak egy csatornát képesek rögzíteni, hacsak a gazdagépnek nincs több vezeték nélküli felülete, amely lehetővé teszi a többcsatornás rögzítést.

Bár manapság a legtöbb csomagszippantó szoftver, szoftveres, a hardveres csomagolók továbbra is szerepet játszanak a hálózati hibaelhárításban. A hardvercsomag-szippantók közvetlenül a hálózatra csatlakoznak, és tárolják vagy továbbítják az összegyűjtött információkat.

A nyers csomagadatok rögzítése után a csomagszippantó szoftver elemzi azokat, és ember által olvasható formában mutatja be, hogy a szoftvert használó személy megérthesse azokat. Az adatokat elemző személy megtekintheti a hálózat két vagy több csomópontja közötti kölcsönhatás részleteit. A hálózati technikusok ezeket az információkat használják annak meghatározására, hogy hol található a hiba, például meghatározzák, melyik eszköz nem válaszolt a hálózati kérésre.

A hackerek szippantók segítségével lehallgatják a csomagokban lévő titkosítatlan adatokat, hogy lássák, milyen információkat cserélnek két fél között. Olyan információkat is rögzíthetnek, mint a jelszavak és a hitelesítési tokenek, ha azokat egyértelműen küldik. A hackerekről ismert, hogy csomagokat rögzítenek későbbi lejátszás céljából visszajátszás, ember-a-középben és csomag-injektációs támadások ellen, amelyeknek egyes rendszerek kiszolgáltatottak.


Szoftvereszközök, amelyeket általában használnak a csomagszippantásban

Mint mindenki más, a hálózati mérnökök és a hackerek is szeretik az ingyenes dolgokat, ezért a nyílt forráskódú és a freeware szippantó szoftveralkalmazások gyakran a csomagszippantási feladatok választott eszközei. Az egyik legnépszerűbb nyílt forráskódú kínálat a Wireshark, korábban Ethereal néven ismert. Segítségével szippanthatja be a csomagokat a mezőbe, mentse őket egy CAP fájlba, és később elemezze őket.


Védje meg a hálózatot és annak adatait a hackerek ellen a szippantók használatával

Ha Ön hálózati technikus vagy rendszergazda, és szeretné megtudni, hogy a hálózatán bárki használ-e szippantó eszközt, nézzen meg egy Antisniff nevű eszközt. Észlelni tudja, hogy a hálózatában lévő hálózati interfész nem vált-e átgondolt módba - ne nevessen; ez a tényleges neve - ami a csomagrögzítési feladatokhoz szükséges mód.

A hálózati forgalom megvédésének másik módja a titkosítás, például a Secure Sockets Layer (SSL) vagy a Transport Layer Security (TLS) használata. A titkosítás nem akadályozza meg a csomagszippantókat abban, hogy megnézzék a forrás- és célinformációkat, de titkosítja az adatcsomag hasznos terhelését, így az összes szippantó titkosított hamisítás. Bármilyen kísérlet az adatok módosítására vagy a csomagokba történő beinjekciózására sikertelen, mivel a titkosított adatokkal való szórakozás hibákat okoz, amelyek nyilvánvalóak, ha a titkosított információkat a másik végén visszafejtik.

A szippantók kiváló eszközök a gyomnövényekkel kapcsolatos hálózati problémák diagnosztizálására. Sajnos ezek hackelés céljából is hasznosak. A biztonsági szakemberek számára elengedhetetlen, hogy megismerjék ezeket az eszközöket, hogy lássák, hogyan használhatja őket egy hacker a hálózatukon.


Az információs csomagok szippantói összegyűjtése

Bár a csomagszippantók a hálózatos mérnökök kereskedelmének egyik eszközei, néhány elismert víruskereső szoftverben és rosszindulatú e-mail mellékletek kártevőjeként is elterjedtek.

A csomagszippantók szinte bármilyen adatot képesek összegyűjteni. Rögzíthetik a jelszavakat és a bejelentkezési információkat, valamint a számítógép-felhasználó által meglátogatott webhelyeket és azt, hogy a felhasználó mit tekintett meg a webhelyen. Ezeket a vállalatok felhasználhatják az alkalmazottak hálózatának nyomon követésére és a bejövő forgalom rosszindulatú kód keresésére. Bizonyos esetekben egy csomagszippantó képes rögzíteni az összes forgalmat a hálózaton.

A csomagszippantók azért értékesek, mert korlátozzák a rosszindulatú programokat, és értékesek a hálózati problémák elhárításához, de robusztus biztonsági szoftverekkel kell használni őket a visszaélések megakadályozása érdekében.