Tanto os administradores como os hackers poden capturar o tráfico de rede
Un sniffer de rede é o mesmo que parece; unha ferramenta de software que monitoriza ou elimina os datos que circulan por enlaces de rede informática en tempo real. Pode ser un programa de software autónomo ou un dispositivo de hardware co software ou firmware axeitado.
Os usuarios de redes poden tomar copias instantáneas dos datos sen redireccionar ou alteralo. Algúns sniffers funcionan só con paquetes TCP / IP , pero as ferramentas máis sofisticadas poden funcionar con moitos outros protocolos de rede e en niveis máis baixos, incluídos os fotogramas Ethernet .
Anos atrás, os sniffers eran ferramentas empregadas exclusivamente por enxeñeiros de redes profesionais. Hoxe en día, con todo, con aplicacións de software dispoñibles gratuitamente na web, tamén son populares entre os hackers de internet e as persoas curiosas sobre a rede.
Nota: os sniffers de rede ás veces refíranse a sondas de rede, sniffers sen fíos, sniffers Ethernet, sniffers de paquetes, analizadores de paquetes ou simplemente snoops.
Que usan analizadores de paquetes
Hai unha gran variedade de aplicacións para paquetes de paquetes, pero a maioría das ferramentas de probas de datos non diferencian entre unha razón nefasta e unha inofensiva, normal. Noutras palabras, a maioría dos paquetes de sniffers poden ser utilizados de forma inadecuada por unha persoa e por motivos legítimos por outro.
Un programa que pode capturar contrasinais, por exemplo, podería ser usado por un hacker pero a mesma ferramenta podería ser usado por un administrador de rede para atopar estatísticas de rede como o ancho de banda dispoñible.
Un sniffer tamén pode ser útil para probar firewall ou filtros web ou solucionar problemas de relación cliente / servidor.
Ferramentas de Sniffer de rede
Wireshark (anteriormente coñecido como Ethereal) é amplamente recoñecido como o sniffer máis popular do mundo. É unha aplicación gratuíta de código aberto que mostra datos de tráfico con codificación de cores para indicar o protocolo que se utilizou para transmitilo.
Nas redes Ethernet, a súa interface de usuario mostra marcos individuais nunha lista numerada e destaca por cores separadas se se envían a través de TCP , UDP ou outros protocolos. Tamén axuda a agrupar os fluxos de mensaxes que se envían entre unha fonte e un destino (que normalmente se mezclan ao longo do tempo co tráfico de outras conversas).
Wireshark admite capturas de tráfico a través dunha interface de botón de inicio / fin. A ferramenta tamén contén varias opcións de filtrado que limitan os datos que se amosan e inclúen nas capturas: unha función crítica porque o tráfico na maioría das redes contén moitos tipos diferentes de mensaxes de control rutineiras que normalmente non son de interese.
Moitas aplicacións de software de probas diferentes foron desenvolvidas ao longo dos anos. Aquí tes algúns exemplos:
- tcpdump (unha ferramenta de liña de comandos para Linux e outros sistemas operativos baseados en Unix)
- CloudShark
- Caín e Abel
- Analizador de mensaxes de Microsoft
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Analizador de rede gratuíto
- NetworkMiner
- Ferramentas IP
Algunhas destas ferramentas son gratuítas mentres que os demais custan ou poden ter unha versión de proba gratuita. Ademais, algúns destes programas non son máis mantidos ou actualizados, pero aínda están dispoñibles para descargar.
Problemas con Sniffers de rede
As ferramentas Sniffer ofrecen unha boa forma de aprender como funcionan os protocolos. Non obstante, tamén dan acceso fácil a información privada como contrasinais de rede. Consulte cos propietarios para obter o permiso antes de usar un sniffer na rede doutra persoa.
As sondas de rede só poden interceptar datos das redes ás que está conectado o computador anfitrión. Nalgunhas conexións, os sniffers só capturan o tráfico dirixido a esa interface de rede particular. Moitas interfaces de rede Ethernet admiten o chamado modo promiscuo que permite que un sniffer poida recoller todo o tráfico que pase por esa ligazón de rede (aínda que non se dirixa directamente ao servidor).