Что такое сниффер: анализ трафика и перехват данных

Сниффер трафика может стать незаменимым в диагностике и анализе безопасности сети, выявлении вредоносных ПО. Однако именно благодаря снифферу злоумышленники могут заполучить данные вашей учетной записи или банковские данные.

Что такое сниффер?

Сниффер - это программа или программно-аппаратное устройство, с помощью которого можно перехватывать и анализировать данные. Через сниффер трафика проходят все данные, включая пароли и логины. При необходимости, настроить сниффер можно так, чтобы получить, например, лишь первые 100 байт пакета данных.

Для чего используют снифферы и анализаторы трафика

Снифферы, как анализаторы трафика, используются в благих намерениях с целями:

• диагностики сети на безопасность и проникновение;
• выявления и устранения неполадок сети, вирусного трафика;
• выявления вредоносных и несанкционированных ПО, например троянских программ, сетевых сканеров и др.;
• отследить, чем занимаются сотрудники на рабочих местах (сколько времени тратят на работу и сколько на развлечения).

Снифферы для тестирования пользуются популяростью за счет возможности выявлят уязвимые места.

Сниффер для Windows:

• WinSniffer;
• CommView;
• IRIS;
• ZxSniffer;
• SpyNet;
• Analyzer.

Сниффер для Unix:

• linsniffer;
• linux_sniffer;
• Sniffit;
• HUNT;
• TCPDUMP.

Однако есть и темная сторона использования снифферов злоумышленниками, которые таким образом перехватывают личные данные пользователей. Если данные передаются в незашифрованном виде, юзеры сразу же лишаются логинов, паролей и других ценных данных.

Сайт и мобильное приложение авиакомпании British Airways были заражены JS Sniffers с 25 августа по 5 сентября 2018 года. Вредоносный код предназначался для кражи личных данных потребителей, включая данные платежных карт, имена, учетные данные и т.п. Как результат - 380 000 жертв.

В начале марта 2019 года на сайте FILA UK был обнаружен сниффер, который предположительно собирал данные пользователей с ноября 2018 года. Учитывая ежемесячный поток посетителей и конечный процент покупателей, данные почти 5600 пользователей могли быть скомпрометированы.

Как работают снифферы трафика

В обычном режиме работы Ethernet-интерфейс фильтрует принимаемые пакеты данных на канальном уровне. То есть сетевая карта принимает только широковещательные запросы и пакеты данных, в заголовке которого присутствует тот же MAC-адрес, что и у сетевой карты.

Для работы сниффера пакетов данных необходим Promiscuous mode, или “неразборчивый” режим, во время которого отключается фильтр и принимаются все пакеты данных вне зависимости от адресата.

Сниффинг трафика возможен:

• «прослушиванием» сетевого интерфейса;
• подключением сниффера в разрыв канала;
• направлением копии трафика на сниффер с помощью его ответвления;
• через атаку на канальном или сетевом уровне, в результате чего трафик перенаправляется на сниффер, а затем возвращается по изначальному адресу.

Если собирать все данные, которые может перехватывать сниффер трафика, лог быстро “разбухнет” и анализ данных станет более трудоемким. Программу можно настроить на получение, например, данных только конкретных протоколов (HTTP, POP3, IMAP, FTP) или же ограничить объем перехватываемых данных (так, в первых 100 байтах могут содержаться логин и пароль).

Как обнаружить и отстранить сниффер

Обнаружить сниффер пакетов данных виртуально может быть проблематично, поскольку подключить, например, Wi-Fi снифферы можно в сетях со слабой защитой (общественные места). “Отдать” свои личные данные злоумышленникам можно также пользуясь незащищенными протоколами (например, HTTP вместо HTTPS). В таком случае перехватываемые данные будут видны в незашифрованном виде. Однако личные данные хакеры могут получить и с помощью дешифраторов.

Самостоятельно выявить сниффер трудно, поэтому рекомендуется использовать программы-антивирусы, которые просканируют все данные вашего устройства и выявят проблемные места. В таком случае антивирус либо самостоятельно удалит вредоносные файлы, либо подскажет вам решение проблемы.

Также можно установить собственный сниффер, который проанализирует весь трафик и позволит обнаружить подозрительный.

Защита от снифферов трафика

• Шифрование. Пользуйтесь лишь надежными сайтами, которые гарантируют шифрование личных данных;
• Антиснифферы - программы для выявления вредоносных ПО как средство снижения угрозы сниффинга. Например, AntiSniff, PromiScan;
• Для более защищенного соединения можно использовать VPN проверенного провайдера;
• Используйте программы-антивирусы для регулярного сканирования локальной сети на наличие уязвимостей;
• Используйте только проверенные и защищенные Wi-Fi.