В ИТ-сфере «Сниффинг» — это один из простейших методов мониторинга трафика, проходящего через компьютерную сеть. Его суть заключается в перехвате данных, которые доставляются в рамках наблюдаемой сети в виде пакетов.
Метод называют «сниффинг» потому что он напоминает «обнюхивание» данных анализаторами сетевых протоколов, которые установил системный администратор. «Sniffing» переводится с английского как «втягивать носом», «нюхать», «чуять».
Что такое сниффинг-атаки и чем они вредны?
Если анализаторы используют злоумышленники в своих корыстных целях, то в их руках полезный инструмент системного администратора превращается в оружие. Тем самым хакеры подло устраивают кражу ценных данных пользователя, если говорить простыми словами. Больше всего сниффинговых атак приходилось на начало 1990-х годов.
Чтобы выловить из потока пакетов данных в сети пароли, логины, информацию о платёжных картах и прочие конфиденциальные сведения, злоумышленник должен установить на системе жертвы соответствующий «сниффер» (анализатор сетевых протоколов), например, Wireshark, Ettercap, Bettercap, Tcpdump, WinDump. Это может быть не только софт. Иногда мониторинг выполняется с аппаратного устройства, подключённого к системе.
Что значит «Сниффинг» для ИТ-отрасли?
Системные администраторы используют метод «обнюхивания» (перехвата и анализа) трафика, чтобы:
- обеспечить стабильную работу сети (определив пропускную способность),
- вовремя обнаружить вирусную активность,
- предупредить ИТ-инциденты в массивных конфигурациях ИТ-инфраструктуры.
Для работоспособности процесса нужно подключить сниффер к существующей сети при помощи сетевого адаптера. Далее требуется запуск программного обеспечения для регистрации, просмотра или анализа данных, собранных устройством. Пакеты данных проходят через сниффер, собираются, распознаются, регистрируются независимо от того, как именно был сформирован пакет и куда направлен.
Аппаратные снифферы
Наиболее эффективны при исследовании трафика отдельного участка сети. Подключается физически к системе в соответствующем месте. У аппаратного анализатора есть гарантия, что 100% пакетов данных этого сегмента пройдут через сниффер. Это главное преимущество перед программными средствами, на которые воздействуют алгоритмы фильтрации, маршрутизации и другие преднамеренные или случайные причины.
Программные снифферы
Нашли массовое применение из-за простоты установки в сетевую инфраструктуру. То есть в основном сейчас применяются именно программные анализаторы сети. Функциональность сводится к разделению, повторной сборке и регистрации всех пакетов программного обеспечения, которые проходят через интерфейс независимо от их адресов назначения. Такие снифферы собирают столько трафика, сколько проходит через физический сетевой интерфейс с условием, что никакие другие факторы не воздействуют на процесс. Затем данные регистрируются и используются в соответствии с настройками.
Чтобы избежать сниффинговых атак на вашу систему и ИТ-инфраструктуру, избегайте подключения к незащищённым сетям (например, не подключайтесь к общественным точкам доступа Wi-Fi). Используйте шифрование трафика (Encryption), чтобы превратить все ценные сведения в набор тарабарщины из случайных символов (например, пользуйтесь VPN). В организациях и офисах следует выполнять сканирование сети и её внутренний мониторинг.
Компания ZEL-Услуги
Выполните ИТ-аудит вашего предприятия или офиса для экспертной поддержки в вопросе защиты от сниффинговых атак. Имея аудит ИТ-инфраструктуры на руках, станет проще снижать риски и консультироваться по любым техническим вопросам касательно вашей организации и её будущего.
