Сниффер трафика может стать незаменимым в диагностике и анализе безопасности сети, выявлении вредоносных ПО. Однако именно благодаря снифферу злоумышленники могут заполучить данные вашей учетной записи или банковские данные.
Сниффер - это программа или программно-аппаратное устройство, с помощью которого можно перехватывать и анализировать данные. Через сниффер трафика проходят все данные, включая пароли и логины. При необходимости, настроить сниффер можно так, чтобы получить, например, лишь первые 100 байт пакета данных.
Снифферы, как анализаторы трафика, используются в благих намерениях с целями:
Снифферы для тестирования пользуются популяростью за счет возможности выявлят уязвимые места.
Сниффер для Windows:
Сниффер для Unix:
Однако есть и темная сторона использования снифферов злоумышленниками, которые таким образом перехватывают личные данные пользователей. Если данные передаются в незашифрованном виде, юзеры сразу же лишаются логинов, паролей и других ценных данных.
Сайт и мобильное приложение авиакомпании British Airways были заражены JS Sniffers с 25 августа по 5 сентября 2018 года. Вредоносный код предназначался для кражи личных данных потребителей, включая данные платежных карт, имена, учетные данные и т.п. Как результат - 380 000 жертв.
В начале марта 2019 года на сайте FILA UK был обнаружен сниффер, который предположительно собирал данные пользователей с ноября 2018 года. Учитывая ежемесячный поток посетителей и конечный процент покупателей, данные почти 5600 пользователей могли быть скомпрометированы.
В обычном режиме работы Ethernet-интерфейс фильтрует принимаемые пакеты данных на канальном уровне. То есть сетевая карта принимает только широковещательные запросы и пакеты данных, в заголовке которого присутствует тот же MAC-адрес, что и у сетевой карты.
Для работы сниффера пакетов данных необходим Promiscuous mode, или “неразборчивый” режим, во время которого отключается фильтр и принимаются все пакеты данных вне зависимости от адресата.
Сниффинг трафика возможен:
Если собирать все данные, которые может перехватывать сниффер трафика, лог быстро “разбухнет” и анализ данных станет более трудоемким. Программу можно настроить на получение, например, данных только конкретных протоколов (HTTP, POP3, IMAP, FTP) или же ограничить объем перехватываемых данных (так, в первых 100 байтах могут содержаться логин и пароль).
Обнаружить сниффер пакетов данных виртуально может быть проблематично, поскольку подключить, например, Wi-Fi снифферы можно в сетях со слабой защитой (общественные места). “Отдать” свои личные данные злоумышленникам можно также пользуясь незащищенными протоколами (например, HTTP вместо HTTPS). В таком случае перехватываемые данные будут видны в незашифрованном виде. Однако личные данные хакеры могут получить и с помощью дешифраторов.
Самостоятельно выявить сниффер трудно, поэтому рекомендуется использовать программы-антивирусы, которые просканируют все данные вашего устройства и выявят проблемные места. В таком случае антивирус либо самостоятельно удалит вредоносные файлы, либо подскажет вам решение проблемы.
Также можно установить собственный сниффер, который проанализирует весь трафик и позволит обнаружить подозрительный.