снифферы это
Автор Анатолий задал вопрос в разделе Другое
Что такое снифер? что он делает? и для чего предназначен? и получил лучший ответ
Ответ от Ѝдик Гафаров[гуру]
Снифферы - это проги, которые перехватывают весь сетевой трафик. Снифферы полезны для диагностики сети (для админов) и для перехвата паролей (понятно для кого:)) . Например если ты получил доступ к одной сетевой машине и установил там сниффер, то скоро все пароли от их подсети будут твои. Снифферы ставят сетевую карту в прослушивающий режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать все отправляемые пакеты со всех машин (если вы не разделены всякими хабами) , так как там практикуется широковещание. Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро переполняется лог файл, зато для более детального анализа сети самое оно) или только первые байты от всяких ftp,telnet,pop3 и т. д. (это самое веселое, обычно примерно в первых 100 байтах содержится имя и пароль:)) . Снифферов сейчас развелось.. . Множество снифферов есть как под Unix, так и под Windows (даже под DOS есть:)) . Снифферы могут поддерживать только определенную ось (например linux_sniffer.c,который поддерживает Linux:)), либо несколько (например Sniffit, работает с BSD, Linux, Solaris). Снифферы так разжились из-за того, что пароли передаются по сети открытым текстом. Таких служб уйма. Это telnet, ftp, pop3, www и т. д. Этими службами пользуется уйма народу:) . После бума снифферов начали появляться различные алгоритмы шифрования этих протоколов. Появился SSH (альтернатива telnet, поддерживающий шифрование) , SSL(Secure Socket Layer - разработка Netscape, способная зашифровать www сеанс) . Появились всякие Kerberous, VPN(Virtual Private Network). Заюзались некие AntiSniff'ы, ifstatus'ы и т. д. Но это в корне не изменило положения. Службы, которые используют передачу пароля plain text'ом юзаются во всю:) . Поэтому сниффать еще долго будут:).
перехватывает данные (пакеты данных) передающиейся по сети
Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Во время работы сниффера сетевой интерфейс переключается в т. н. «режим прослушивания» (Promiscuous mode), что и позволяет ему получать пакеты, адресованные другим интерфейсам в сети.
Перехват трафика может осуществляться:
-обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей) , в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы) ;
-подключением сниффера в разрыв канала;
-ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;
-через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
-через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.
В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.
Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:
Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ) .
Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности) .
Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)
Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока) , то он подходит для анализа лишь небольших его объёмов.
Снизить угрозу сниффинга пакетов можно с помощью таких средств как:
-Аутентификация
-Криптография
-Антиснифферы
-Коммутируемая инфраструктура