A csomagszippantás úgy hangozhat, mint a legújabb utcai drogőrület, de messze van tőle. A csomagszippantók vagy a protokollanalizátorok olyan eszközök, amelyeket a hálózati technikusok használnak a hálózattal kapcsolatos problémák diagnosztizálására. A hackerek a csomagszippantókat kevésbé nemes célokra használják, például a hálózati felhasználói forgalom kémlelésére és a jelszavak gyűjtésére.
A csomagszippantóknak többféle formája van. A hálózati technikusok által használt egyes csomagszippantók egycélú dedikált hardveres megoldások. Ezzel szemben a többi csomag-szippantó olyan szoftveralkalmazás, amely normál fogyasztói szintű számítógépeken fut, és a fogadó számítógépen található hálózati hardvert használja csomag-elfogási és -injekciós feladatok elvégzésére.
:max_bytes(150000):strip_icc()/what-is-a-packet-sniffer-2487312-a2b309516aa1492b88390593280f283b.png)
Web / Tim Liedtke
Hogyan működnek a csomagszippantók
A csomagszippantók olyan hálózati forgalom elfogásával és naplózásával működnek, amelyet a vezetékes vagy vezeték nélküli hálózati interfészen keresztül láthatnak, amelyhez a csomagszippantó szoftver hozzáférhet a gazdaszámítógépén.
Vezetékes hálózaton a rögzíthető információk a hálózat felépítésétől függenek. A csomagszippantó képes lehet látni a forgalmat egy teljes hálózaton vagy csak annak egy bizonyos szegmensén, attól függően, hogy a hálózati kapcsolók hogyan vannak konfigurálva. Vezeték nélküli hálózatokon a csomagszippantók általában egyszerre csak egy csatornát képesek rögzíteni, hacsak a gazdagépnek nincs több vezeték nélküli felülete, amely lehetővé teszi a többcsatornás rögzítést.
Bár manapság a legtöbb csomagszippantó szoftver, szoftveres, a hardveres csomagolók továbbra is szerepet játszanak a hálózati hibaelhárításban. A hardvercsomag-szippantók közvetlenül a hálózatra csatlakoznak, és tárolják vagy továbbítják az összegyűjtött információkat.
A nyers csomagadatok rögzítése után a csomagszippantó szoftver elemzi azokat, és ember által olvasható formában mutatja be, hogy a szoftvert használó személy megérthesse azokat. Az adatokat elemző személy megtekintheti a hálózat két vagy több csomópontja közötti kölcsönhatás részleteit. A hálózati technikusok ezeket az információkat használják annak meghatározására, hogy hol található a hiba, például meghatározzák, melyik eszköz nem válaszolt a hálózati kérésre.
A hackerek szippantók segítségével lehallgatják a csomagokban lévő titkosítatlan adatokat, hogy lássák, milyen információkat cserélnek két fél között. Olyan információkat is rögzíthetnek, mint a jelszavak és a hitelesítési tokenek, ha azokat egyértelműen küldik. A hackerekről ismert, hogy csomagokat rögzítenek későbbi lejátszás céljából visszajátszás, ember-a-középben és csomag-injektációs támadások ellen, amelyeknek egyes rendszerek kiszolgáltatottak.
Szoftvereszközök, amelyeket általában használnak a csomagszippantásban
Mint mindenki más, a hálózati mérnökök és a hackerek is szeretik az ingyenes dolgokat, ezért a nyílt forráskódú és a freeware szippantó szoftveralkalmazások gyakran a csomagszippantási feladatok választott eszközei. Az egyik legnépszerűbb nyílt forráskódú kínálat a Wireshark, korábban Ethereal néven ismert. Segítségével szippanthatja be a csomagokat a mezőbe, mentse őket egy CAP fájlba, és később elemezze őket.
Védje meg a hálózatot és annak adatait a hackerek ellen a szippantók használatával
Ha Ön hálózati technikus vagy rendszergazda, és szeretné megtudni, hogy a hálózatán bárki használ-e szippantó eszközt, nézzen meg egy Antisniff nevű eszközt. Észlelni tudja, hogy a hálózatában lévő hálózati interfész nem vált-e átgondolt módba - ne nevessen; ez a tényleges neve - ami a csomagrögzítési feladatokhoz szükséges mód.
A hálózati forgalom megvédésének másik módja a titkosítás, például a Secure Sockets Layer (SSL) vagy a Transport Layer Security (TLS) használata. A titkosítás nem akadályozza meg a csomagszippantókat abban, hogy megnézzék a forrás- és célinformációkat, de titkosítja az adatcsomag hasznos terhelését, így az összes szippantó titkosított hamisítás. Bármilyen kísérlet az adatok módosítására vagy a csomagokba történő beinjekciózására sikertelen, mivel a titkosított adatokkal való szórakozás hibákat okoz, amelyek nyilvánvalóak, ha a titkosított információkat a másik végén visszafejtik.
A szippantók kiváló eszközök a gyomnövényekkel kapcsolatos hálózati problémák diagnosztizálására. Sajnos ezek hackelés céljából is hasznosak. A biztonsági szakemberek számára elengedhetetlen, hogy megismerjék ezeket az eszközöket, hogy lássák, hogyan használhatja őket egy hacker a hálózatukon.
Az információs csomagok szippantói összegyűjtése
Bár a csomagszippantók a hálózatos mérnökök kereskedelmének egyik eszközei, néhány elismert víruskereső szoftverben és rosszindulatú e-mail mellékletek kártevőjeként is elterjedtek.
A csomagszippantók szinte bármilyen adatot képesek összegyűjteni. Rögzíthetik a jelszavakat és a bejelentkezési információkat, valamint a számítógép-felhasználó által meglátogatott webhelyeket és azt, hogy a felhasználó mit tekintett meg a webhelyen. Ezeket a vállalatok felhasználhatják az alkalmazottak hálózatának nyomon követésére és a bejövő forgalom rosszindulatú kód keresésére. Bizonyos esetekben egy csomagszippantó képes rögzíteni az összes forgalmat a hálózaton.
A csomagszippantók azért értékesek, mert korlátozzák a rosszindulatú programokat, és értékesek a hálózati problémák elhárításához, de robusztus biztonsági szoftverekkel kell használni őket a visszaélések megakadályozása érdekében.