Сетевой снифер так же звучит; программный инструмент, который контролирует или обнюхивает данные, протекающие по сетевым сетевым ссылкам в реальном времени. Это может быть автономная программа или аппаратное устройство с соответствующим программным обеспечением или прошивкой.
Сетевые снифферы могут принимать моментальные копии данных без перенаправления или изменения. Некоторые снифферы работают только с пакетами TCP / IP, но более сложные инструменты могут работать со многими другими сетевыми протоколами и на более низких уровнях, включая Ethernet-фреймы.
Несколько лет назад, sniffers были инструментами, используемыми исключительно профессиональными сетевыми инженерами. В настоящее время, однако, с программными приложениями, доступными бесплатно в Интернете, они также популярны у интернет-хакеров, и люди просто интересуются сетью.
Замечания: Сетевые снифферы иногда называют сетевыми зондами, беспроводными снифферами, снифферами сети, снифферами пакетов, анализаторами пакетов или просто отслеживаниями.
Какие анализаторы пакетов используются для
Существует широкий спектр приложений для пакетных снифферов, но большинство инструментов для анализа данных не различают неразумную причину и безобидную, обычную. Другими словами, большинство пакетных снифферов можно использовать ненадлежащим образом одним человеком и по законным причинам другим.
Например, программа, которая может захватывать пароли, может использоваться хакером, но один и тот же инструмент может использоваться сетевым администратором для поиска сетевой статистики, такой как доступная пропускная способность.
Снифер также может быть полезен для тестирования брандмауэра или веб-фильтров или устранения неполадок отношений клиент / сервер.
Сетевые утилиты Sniffer
Wireshark (ранее известный как Ethereal) широко признан самым популярным сетевым снифером в мире. Это бесплатное приложение с открытым исходным кодом, которое отображает данные трафика с цветовым кодированием, чтобы указать, какой протокол использовался для его передачи.
В сетях Ethernet его пользовательский интерфейс отображает отдельные кадры в нумерованном списке и выделяет отдельные цвета независимо от того, отправляются ли они через TCP, UDP или другие протоколы. Он также помогает группировать потоки сообщений, отправляемые туда и обратно между источником и получателем (которые обычно перемежаются со временем с трафиком из других разговоров).
Wireshark поддерживает захват трафика через интерфейс кнопки запуска / остановки. Инструмент также содержит различные параметры фильтрации, которые ограничивают, какие данные отображаются и включаются в захваты. Это критическая функция, поскольку трафик в большинстве сетей содержит множество различных рутинных управляющих сообщений, которые обычно не представляют интереса.
На протяжении многих лет разрабатывалось множество различных программных приложений для зондирования. Вот несколько примеров:
- tcpdump (инструмент командной строки для Linux и других операционных систем на базе Unix)
- CloudShark
- Каин и Абель
- Анализатор сообщений Microsoft
- CommView
- OmniPeek
- Capsa
- Ettercap
- PRTG
- Бесплатный сетевой анализатор
- NetworkMiner
- Инструменты IP
Некоторые из этих инструментов бесплатны, а другие стоят или могут иметь бесплатную пробную версию. Кроме того, некоторые из этих программ больше не поддерживаются или не обновляются, но они все еще доступны для загрузки.
Проблемы с сетевыми Sniffers
Инструменты Sniffer предлагают отличный способ узнать, как работают протоколы. Однако они также обеспечивают легкий доступ к некоторым частным данным, таким как сетевые пароли. Проконсультируйтесь с владельцами, чтобы получить разрешение, прежде чем использовать сниффер в чужой сети.
Сетевые зонды могут только перехватывать данные из сетей, к которым прикреплен их главный компьютер. На некоторых соединениях снифферы фиксируют только трафик, адресованный этому конкретному сетевому интерфейсу. Многие сетевые интерфейсы Ethernet поддерживают так называемые беспорядочный режим что позволяет снифферу собирать весь трафик, проходящий через эту сетевую ссылку (даже если он не адресован непосредственно хосту).
