Снифер

Снифер или анализатор трафика (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Перехват трафика может осуществляться:

• обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на снифер попадают лишь отдельные фреймы);
  
• подключением снифера в разрыв канала;
  
• ответвлением (программным или аппаратным) трафика и направлением его копии на снифер;
  
• через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;
  
• через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на снифер с последующим возвращением трафика в надлежащий адрес.
  

Sniffers применяются как в благих, так и в неблаговидных целях. Анализ прошедшего через снифер трафика позволяет:

• обнаружить паразитирующий, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (сниферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).
  
• выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных сниферов — мониторов сетевой активности).
  
• перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.
  
• локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели сниферы часто применяются системными администраторами).

Поскольку в «классическом» снифере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов (небольших локальных сетей).

Программные решения для борьбы со sniffers: продукты компаний SOFTWIN , McAfee , «Лаборатория Касперского» 

Публикации по теме

31 января 2018 Meltdown и Spectre - как бороться с уязвимостями нового поколения.
29 апреля 2014 MDM-система берет гаджеты под контроль Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
30 декабря 2013 Стремительная эволюция систем Endpoint Security Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
25 февраля 2011 Утечка информации в 2010 году. Google Утечка данных о бюджетах пользователей сервиса контекстной рекламы Google AdWords стала одной из самых интересных в прошедшем году.
24 февраля 2011 Утечка информации в 2010 году. Facebook Еще одна крупная утечка в 2010 году связана с самой популярной в мире социальной сетью Facebook, аудитория которой превышает 500 млн зарегистрированных пользователей по всему миру.