1. Принципи роботи снифферов
Сниффер – це програма, яка працює на рівні мережевого адаптера NIC(канальний рівень) і прихованим чином перехоплює увесь трафік. Оскільки сниффери працюють на канальному рівні моделі OSI, вони не повинні грати за правилами протоколів більш високого рівня. Сниффери обходять механізми фільтрації (адреси, порти і так далі), які драйвери Ethernet і стік ТСР/IP? використовують для інтерпретації даних. Пакетні сниффери захоплюють з дроту усе, що по ньому приходить. Сниффери можуть зберігати кадри в двійковому форматі і пізніше розшифровувати їх, щоб розкрити інформацію більш високого рівня, заховану усередині (Рис. 1).
Рис. 1. Схема роботи сниффера
Для того, щоб сниффер міг перехоплювати усі пакети, що проходять через мережевий адаптер, драйвер мережевого адаптера повинен підтримувати режим функціонування promiscuous mode (режим прослуховування). Саме у цьому режимі роботи мережевого адаптера сниффер здатний перехоплювати усі пакети. Цей режим роботи мережевого адаптера автоматично активізується при запуску сниффер а або встановлюється вручну відповідними налаштуваннями сниффера.
Увесь перехоплений трафік передається декодеру пакетів, який ідентифікує і розщепляє пакети по відповідних рівнях ієрархії. Залежно від можливостей конкретного сниффера представлена інформація про пакети може згодом додатково аналізуватися і фільтруватися.
2. Обмеження використання снифферов
Найбільшу небезпеку сниффери представляли в ті часи, коли інформація передавалася по мережі у відкритому виді (без шифрування), а локальні мережі будувалися на основі концентраторів (хабов). Проте ці часи безповоротно пішли, і нині використання снифферов для діставання доступу до конфіденційної информации- завдання зовсім не з простих.
При побудові локальних мереж на основі концентраторів існує деяке загальне середовище передачі даних (мережевий кабель) і усі вузли мережі обмінюються пакетами, конкуруючи за доступ до цього середовища (Рис. 2), причому пакет, що посилається одним вузлом мережі, передається на усі порти концентратора і цей пакет прослуховують усі інші вузли мережі, але приймає його тільки той вузол, якому він адресований. При цьому якщо на одному з вузлів мережі встановлений пакетний сниффер, то він може перехоплювати усі мережеві пакети, що відносяться до цього сегменту мережі (мережі, утвореній концентратором).
Рис. 2. При використанні концентраторів сниффер здатний перехоплювати усі пакети мережевого сегменту.
Комутатори є більш інтелектуальними пристроями, ніж широкомовні концентратори, і ізолюють мережевий трафік. Комутатор знає адреси пристроїв, підключених до кожного порту, і передає пакети тільки між потрібними портами. Це дозволяє розвантажити інші порти, не передаючи на них кожен пакет, як це робить концентратор. Таким чином, посланий деяким вузлом мережі пакет передається тільки на той порт комутатора, до якого підключений одержувач пакету, а усі інші вузли мережі не мають можливості виявити цей пакет (Рис. 3).
Рис. 3. При використанні комутаторів сниффер здатний перехоплювати пакети тільки одного вузла мережі.
Тому якщо мережа побудована на основі комутатора, то сниффер, встановлений на одному з комп'ютерів мережі, здатний перехоплювати тільки ті пакети, якими обмінюється цей комп'ютер з іншими вузлами мережі. В результаті, щоб мати можливість перехоплювати пакети, якими комп'ютер, що цікавить зловмисника, або сервер обмінюється з іншими вузлами мережі, необхідно встановити сниффер саме на цьому комп'ютері (сервері), що насправді не так-то просто. Правда, слід мати на увазі, що деякі пакетні сниффери запускаються з командного рядка і можуть не мати графічного інтерфейсу. Такі сниффери, в принципі, можна встановлювати і запускати видалено і непомітно для користувача.
Крім того, необхідно також мати на увазі, що, хоча комутатори ізолюють мережевий трафік, усі керовані комутатори мають функцію перенаправлення або зеркалювания портів. Тобто порт комутатора можна настроїти так, щоб на нього дублювалися усі пакети, що приходять на інші порти комутатора. Якщо в цьому випадку до такого порту підключений комп'ютер з пакетним сниффером, то він може перехоплювати усі пакети, якими обмінюються комп'ютери в цьому мережевому сегменті. Проте, як правило, можливість конфігурації комутатора доступна тільки мережевому адміністраторові. Це, звичайно, не означає, що він не може бути зловмисником, але у мережевого адміністратора існує безліч інших способів контролювати усіх користувачів локальної мережі.
Інша причина, по якій сниффери перестали бути настільки небезпечними, як раніше, полягає в тому, що нині найбільш важливі дані передаються в зашифрованому виді. Відкриті, незашифровані служби швидко зникають з Інтернету. Приміром, при відвідуванні web -сайтов все частіше використовується протокол SSL (Secure Sockets Layer); замість відкритого FTP використовується SFTP (Secure FTP), а для інших служб, які не застосовують шифрування за умовчанням, все частіше використовуються віртуальні приватні мережі (VPN).
Тому нині пакетні сниффери поступово втрачають свою актуальність як інструменти хакерів, але в той же час залишаються дієвим і потужним засобом для діагностування мереж. Більше того, сниффери можуть з успіхом використовуватися не лише для діагностики і локалізації мережевих проблем, але і для аудиту мережевої безпеки. Зокрема, застосування пакетних аналізаторів дозволяє виявити несанкціонований трафік, виявити і ідентифікувати несанкціоноване програмне забезпечення, ідентифікувати невживані протоколи для видалення їх з мережі, здійснювати генерацію трафіку для випробування на вторгнення (penetration test) з метою перевірки системи захисту, працювати з системами виявлення вторгнень (Intrusion Detection System, IDS).