Блог и Новости is*hosting - Хостинг-провайдер Нового Поколения

Сниффер трафика: как обнаружить и защититься

Written by Команда is*hosting | 14.03.2023 9:33:58

Сниффер трафика может стать незаменимым в диагностике и анализе безопасности сети, выявлении вредоносных ПО. Однако именно благодаря снифферу злоумышленники могут заполучить данные вашей учетной записи или банковские данные.

Что такое сниффер?

Сниффер - это программа или программно-аппаратное устройство, с помощью которого можно перехватывать и анализировать данные. Через сниффер трафика проходят все данные, включая пароли и логины. При необходимости, настроить сниффер можно так, чтобы получить, например, лишь первые 100 байт пакета данных.

Для чего используют снифферы и анализаторы трафика

Снифферы, как анализаторы трафика, используются в благих намерениях с целями:

  • диагностики сети на безопасность и проникновение;
  • выявления и устранения неполадок сети, вирусного трафика;
  • выявления вредоносных и несанкционированных ПО, например троянских программ, сетевых сканеров и др.;
  • отследить, чем занимаются сотрудники на рабочих местах (сколько времени тратят на работу и сколько на развлечения).

Снифферы для тестирования пользуются популяростью за счет возможности выявлят уязвимые места.

Сниффер для Windows:

  • WinSniffer;
  • CommView;
  • IRIS;
  • ZxSniffer;
  • SpyNet;
  • Analyzer.

Сниффер для Unix:

  • linsniffer;
  • linux_sniffer;
  • Sniffit;
  • HUNT;
  • TCPDUMP.

Однако есть и темная сторона использования снифферов злоумышленниками, которые таким образом перехватывают личные данные пользователей. Если данные передаются в незашифрованном виде, юзеры сразу же лишаются логинов, паролей и других ценных данных.

Сайт и мобильное приложение авиакомпании British Airways были заражены JS Sniffers с 25 августа по 5 сентября 2018 года. Вредоносный код предназначался для кражи личных данных потребителей, включая данные платежных карт, имена, учетные данные и т.п. Как результат - 380 000 жертв.

В начале марта 2019 года на сайте FILA UK был обнаружен сниффер, который предположительно собирал данные пользователей с ноября 2018 года. Учитывая ежемесячный поток посетителей и конечный процент покупателей, данные почти 5600 пользователей могли быть скомпрометированы.

Как работают снифферы трафика

В обычном режиме работы Ethernet-интерфейс фильтрует принимаемые пакеты данных на канальном уровне. То есть сетевая карта принимает только широковещательные запросы и пакеты данных, в заголовке которого присутствует тот же MAC-адрес, что и у сетевой карты.

Для работы сниффера пакетов данных необходим Promiscuous mode, или “неразборчивый” режим, во время которого отключается фильтр и принимаются все пакеты данных вне зависимости от адресата.

Сниффинг трафика возможен:

  • «прослушиванием» сетевого интерфейса;
  • подключением сниффера в разрыв канала;
  • направлением копии трафика на сниффер с помощью его ответвления;
  • через атаку на канальном или сетевом уровне, в результате чего трафик перенаправляется на сниффер, а затем возвращается по изначальному адресу.

Если собирать все данные, которые может перехватывать сниффер трафика, лог быстро “разбухнет” и анализ данных станет более трудоемким. Программу можно настроить на получение, например, данных только конкретных протоколов (HTTP, POP3, IMAP, FTP) или же ограничить объем перехватываемых данных (так, в первых 100 байтах могут содержаться логин и пароль).

Как обнаружить и отстранить сниффер

Обнаружить сниффер пакетов данных виртуально может быть проблематично, поскольку подключить, например, Wi-Fi снифферы можно в сетях со слабой защитой (общественные места). “Отдать” свои личные данные злоумышленникам можно также пользуясь незащищенными протоколами (например, HTTP вместо HTTPS). В таком случае перехватываемые данные будут видны в незашифрованном виде. Однако личные данные хакеры могут получить и с помощью дешифраторов.

Самостоятельно выявить сниффер трудно, поэтому рекомендуется использовать программы-антивирусы, которые просканируют все данные вашего устройства и выявят проблемные места. В таком случае антивирус либо самостоятельно удалит вредоносные файлы, либо подскажет вам решение проблемы.

Также можно установить собственный сниффер, который проанализирует весь трафик и позволит обнаружить подозрительный.

Защита от снифферов трафика

  • Шифрование. Пользуйтесь лишь надежными сайтами, которые гарантируют шифрование личных данных;
  • Антиснифферы - программы для выявления вредоносных ПО как средство снижения угрозы сниффинга. Например, AntiSniff, PromiScan;
  • Для более защищенного соединения можно использовать VPN проверенного провайдера;
  • Используйте программы-антивирусы для регулярного сканирования локальной сети на наличие уязвимостей;
  • Используйте только проверенные и защищенные Wi-Fi.