Что такое СНИФЕР и с чем его едят
20-07-2007 12:06
к комментариям - к полной версии
- понравилось!
Читает ли начальник мои сообщения?
- ты про снифера что-ли не слышала?
- слышала. говорю же - мне даже показывали, как сообщения из аськи дергают - на раз.
- ну вообще не только из аськи. все посещенные через браузер страницы.
- ага, это понятно.
- и почта вся.
- как почта?
- ну так - тексты писем.
- ... то-то я думала - отправила резюме в несколько контор, меня сразу прессинговать начали.
в этом разговоре еще не упоминаются логины-пароли, отправленные через формы на http - страницах ("незащищенное соединение").
по этому поводу можно тоже составить список типов. типов "решения вопросов информационной безопасности" в нижегородских фирмах.
безграмотные
ничего не знают о нашем предмете. есть максимум пара-тройка компов, за которыми сидит мол чел "разбирающийся в компьютерах" (как правило пафосный ламер). админа нет. пока никто не смотрит к нему в монитор, чел ходит на всевозможные сайты по убиванию времени - флуд, знакомства, картинки. эффективность работы стремится к 0.
вывод: такая фирма не получит никакой пользы от использования инета, или она будет уравнена вредом от оного
жуликоватые
посредством админа, которого убедили в неразглашении "страшной тайны", поставили снифер на прокси-серверок свой, НО: никого никаким образом о доступе к любой инфе чела, включая пароли, не известили. в результате ситуация:
пафосные ламеры работают так же малоэффективно (думая, что раз в моник руководители не зырят, значит порядок), зато все их веб-эманации читает босс, и делает соответствующие выводы.
наученные пафосные ламеры теряют интерес к нету и тоскуют. эффективность от этого не растет.
более-менее продвинутые юзвери используют интернет по делу, но уважение к "компании" стремится к 0.
вывод: такие конторы пытаются извлечь из сотрудников, точнее - из дружеских разговоров и прочей корреспонденции: крамолу, признаки "смотрения на сторону", и, КСТАТИ, ценные идеи. однако обман никому не идет на пользу в продолжительной перспективе. как говорится - "добрая слава лежит, а дурная впереди бежит". получающуюся все ту же низкую эффективность борят ничем иным, как жесткой экономией на зарплате (пенять-то при такой схеме всегда есть чем).
правильные, в общем-то
закрывают то, куда лезть, что весьма достойно, не хотят или не могут (ася, https, вебмаил), предупреждают крю о доступе к тому, что просматривают.
кстати, наличие малого числа компов или отсутствие постоянного админа не означает, что фирму тут же следует отнести к первой категории.
Анализатор трафика, или снифер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Перехват трафика может осуществляться:
обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на снифер попадают лишь отдельные фреймы);
подключением снифера в разрыв канала;
ответвлением (программным или аппаратным) трафика и направлением его копии на снифер;
через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на снифер с последующим возвращением трафика в надлежащий адрес.
В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.
Сниферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через снифер трафика позволяет:
Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (сниферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и ее последующий анализ).
Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных сниферов — мониторов сетевой активности).
Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели сниферы часто применяются системными администраторами)
Поскольку в «классическом» снифере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объемов.
как можно узнать установлен ли в локальной сети снифер?
Пассивно определить наличие снифера нельзя, в принципе
- снифер абсолютно пассивен, но в тривиальных случаях
стандартные сниферы имеют несколько искаженную реакцию
на запросы (в основе - если адаптер не в "нюхательном"
режиме, то реакции не будет, т.к. запрос будет отсеян в
железе)... Т.е. на каждый хитрый лабиринт найдётся винт
со спец. резьбой.
Хорошее описание "что чаво, куды и как" - тут ->
http://www.hackzone.ru/windows/nsp/info/misc/sniffingfaq.html
Есть соотв. софт.
Иногда даже работает :)
Впрочем, всё это абсолютно неэффективно против спец.
"железных" снифферов (они абсолютно пассивны)...
Многие методы анализа заставят "завыть" различные IDS,
воспринимая сие, как попытку вторжения.
Можно получить ложные срабатывания (к примеру на Snort,
который является снифером по сути, но является IDS по
факту)
Можно попасть в логи к администратору сети, а потом
объяснять, что не верблюд...
Источник: Информация подготовлена с различных сайтов.
[385x289]
вверх^
к полной версии
понравилось!
в evernote
Читает ли начальник мои сообщения?
- ты про снифера что-ли не слышала?
- слышала. говорю же - мне даже показывали, как сообщения из аськи дергают - на раз.
- ну вообще не только из аськи. все посещенные через браузер страницы.
- ага, это понятно.
- и почта вся.
- как почта?
- ну так - тексты писем.
- ... то-то я думала - отправила резюме в несколько контор, меня сразу прессинговать начали.
в этом разговоре еще не упоминаются логины-пароли, отправленные через формы на http - страницах ("незащищенное соединение").
по этому поводу можно тоже составить список типов. типов "решения вопросов информационной безопасности" в нижегородских фирмах.
безграмотные
ничего не знают о нашем предмете. есть максимум пара-тройка компов, за которыми сидит мол чел "разбирающийся в компьютерах" (как правило пафосный ламер). админа нет. пока никто не смотрит к нему в монитор, чел ходит на всевозможные сайты по убиванию времени - флуд, знакомства, картинки. эффективность работы стремится к 0.
вывод: такая фирма не получит никакой пользы от использования инета, или она будет уравнена вредом от оного
жуликоватые
посредством админа, которого убедили в неразглашении "страшной тайны", поставили снифер на прокси-серверок свой, НО: никого никаким образом о доступе к любой инфе чела, включая пароли, не известили. в результате ситуация:
пафосные ламеры работают так же малоэффективно (думая, что раз в моник руководители не зырят, значит порядок), зато все их веб-эманации читает босс, и делает соответствующие выводы.
наученные пафосные ламеры теряют интерес к нету и тоскуют. эффективность от этого не растет.
более-менее продвинутые юзвери используют интернет по делу, но уважение к "компании" стремится к 0.
вывод: такие конторы пытаются извлечь из сотрудников, точнее - из дружеских разговоров и прочей корреспонденции: крамолу, признаки "смотрения на сторону", и, КСТАТИ, ценные идеи. однако обман никому не идет на пользу в продолжительной перспективе. как говорится - "добрая слава лежит, а дурная впереди бежит". получающуюся все ту же низкую эффективность борят ничем иным, как жесткой экономией на зарплате (пенять-то при такой схеме всегда есть чем).
правильные, в общем-то
закрывают то, куда лезть, что весьма достойно, не хотят или не могут (ася, https, вебмаил), предупреждают крю о доступе к тому, что просматривают.
кстати, наличие малого числа компов или отсутствие постоянного админа не означает, что фирму тут же следует отнести к первой категории.
Анализатор трафика, или снифер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.
Перехват трафика может осуществляться:
обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на снифер попадают лишь отдельные фреймы);
подключением снифера в разрыв канала;
ответвлением (программным или аппаратным) трафика и направлением его копии на снифер;
через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
через атаку на канальном (2) (MAC-spoofing) или сетевом (3) уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на снифер с последующим возвращением трафика в надлежащий адрес.
В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение хабов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.
Сниферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через снифер трафика позволяет:
Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (сниферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и ее последующий анализ).
Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных сниферов — мониторов сетевой активности).
Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели сниферы часто применяются системными администраторами)
Поскольку в «классическом» снифере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объемов.
как можно узнать установлен ли в локальной сети снифер?
Пассивно определить наличие снифера нельзя, в принципе
- снифер абсолютно пассивен, но в тривиальных случаях
стандартные сниферы имеют несколько искаженную реакцию
на запросы (в основе - если адаптер не в "нюхательном"
режиме, то реакции не будет, т.к. запрос будет отсеян в
железе)... Т.е. на каждый хитрый лабиринт найдётся винт
со спец. резьбой.
Хорошее описание "что чаво, куды и как" - тут ->
http://www.hackzone.ru/windows/nsp/info/misc/sniffingfaq.html
Есть соотв. софт.
Иногда даже работает :)
Впрочем, всё это абсолютно неэффективно против спец.
"железных" снифферов (они абсолютно пассивны)...
Многие методы анализа заставят "завыть" различные IDS,
воспринимая сие, как попытку вторжения.
Можно получить ложные срабатывания (к примеру на Snort,
который является снифером по сути, но является IDS по
факту)
Можно попасть в логи к администратору сети, а потом
объяснять, что не верблюд...
Источник: Информация подготовлена с различных сайтов.
[385x289]Вы сейчас не можете прокомментировать это сообщение.
Дневник Что такое СНИФЕР и с чем его едят | bad_girl_karina - Я здесь такая, какая я есть :) |
Лента друзей bad_girl_karina
/ Полная версия
Добавить в друзья
Страницы:
раньше»