Любое слежение онлайн основано на применении технологий снифферов (анализаторов сетевых пакетов). Что же такое сниффер?
Сниффер – это компьютерная программа или часть компьютерной техники, которая может перехватывать и анализировать трафик проходящий через цифровую сеть или ее часть. Анализатор захватывает все потоки (перехватывает и протоколирует интернет трафик) и, при необходимости, производит декодирование данных, последовательно сохраняя передаваемую информацию пользователей.
Нюансы применения онлайн слежения через снифферы.
На широковещательном канале компьютерной сети пользователя LAN (Local Area Network), в зависимости от структуры сети (коммутатора switch или концентратора hub), снифферы перехватывают трафик либо всей, либо части сети исходящий с одного ноутбука, компьютера. Однако, применяя различные методы (например, ARP spoofing) можно добиться онлайн слежения интернет-трафика и других компьютерных систем, подключенных в сеть.
Снифферы часто используются и для мониторинга компьютерных сетей. Выполняя постоянное, непрерывное наблюдение, анализаторы сетевых пакетов выявляют медленные, неисправные системы и передают (на почту, телефон или сервер) полученную информацию о сбоях администратору.
Использование сетевых отводов (Network tap), в некоторых случаях, является более надежным способом слежения онлайн за интернет-трафиком чем мониторинг портов. При этом, вероятность обнаружения неисправных пакетов (потоков) увеличивается, что положительно сказывается при высокой сетевой нагрузке.
Помимо этого, снифферы хорошо отслеживают и беспроводные одно- и многоканальные локальные сети (так называемые Wireless LAN) при использовании нескольких адаптеров.
На LAN сетях сниффер может эффективно перехватывать трафик как односторонний (передача пакета информации по единственному адресу), так и многоадресный. При этом, сетевой адаптер должен иметь promiscuous mode (режим «неразборчивый»).
На беспроводных же сетях, даже когда адаптер находится в «неразборчивом» режиме, пакеты данных, перенаправляющиеся не с настроенной (основной) системы, будут автоматически проигнорированы. Чтобы отслеживать данные информационные пакеты, адаптер должен находится в ином режиме – мониторинга.
Последовательность перехвата информационных пакетов.
1. Перехват заголовков или всего содержимого.
Снифферы могут перехватывать или все содержимое пакетов данных, или всего лишь их заголовки. Второй вариант позволяет уменьшить общие требования к хранению информации, а также избежать юридических проблем, связанных с несанкционированным изъятием личной информации пользователей. При этом, история передаваемых заголовков пакетов может иметь достаточный объем информации, для выявления необходимой информации или диагностики неисправностей.
2. Декодирование пакетов.
Перехваченная информация декодируется из цифрового (нечитабельного вида) в удобный для восприятия, чтения тип. Система снифферов позволяет администраторам анализатора протоколов легко просматривать информацию, которая пересылалась или получалась пользователем.
Анализаторы различаются по:
- способности отображения данных (создание временных диаграмм, реконструирование UDP, TCP протоколов данных и пр.);
- типу применения (для обнаружения ошибок, первопричин либо для слежения онлайн за пользователями).
Некоторые снифферы могут генерировать трафик и действовать в качестве исходного устройства. Например, применятся в качестве тестеров протоколов. Такие системы тест-снифферов позволяют генерировать правильный трафик необходимый для функционального тестирования. Помимо этого, снифферы могут целенаправленно вводить ошибки для проверки способностей тестируемого устройства.
Аппаратные снифферы.
Анализаторы трафика могут быть и аппаратного типа, в виде зонда или дискового массива (более распространенный тип). Данные устройства осуществляют запись информационных пакетов или их частей на дисковый массив. Это позволяет воссоздать любую информацию полученную или переданную пользователем в просторы интернета либо своевременно выявить неисправность интернет-трафика.
Методы применения.
Анализаторы сетевых пакетов применяются для:
- анализа имеющихся проблем в сети;
- обнаружения сетевых попыток вторжения;
- определения злоупотребления трафика пользователями (внутри системы так и снаружи нее);
- документирования нормативных требований (возможного периметра входа в систему, конечных точек распространения трафика);
- получения информации о возможностях сетевого вторжения;
- изолирования эксплуатируемых систем;
- мониторинга загрузки каналов глобальной сети;
- использования для отслеживания состояния сети (в том числе деятельность пользователей как в системе, так и за ее пределами);
- мониторинга перемещаемых данных;
- отслеживания WAN и безопасности конечных точек состояния;
- сбора сетевой статистики;
- фильтрации подозрительного контента, идущего от сетевого трафика;
- создания первичного источника данных для отслеживания состояния и управления сети;
- слежения онлайн в качестве шпиона, собирающего конфиденциальную информацию пользователей;
- отладки серверной, клиентской связи;
- проверки эффективности внутреннего контроля (контроля доступа, брандмауэров, фильтров спама и пр.).
Снифферы применяются и в правоохранительных органах для отслеживания деятельности подозреваемых злоумышленников. Заметим, что все поставщики услуг интернета, и провайдеры в США и странах Европы соблюдают законы и правила о прослушивании (CALEA).
Популярные снифферы.
Наиболее функциональные системные анализаторы для слежения онлайн:
- Wireshark. Программа находится в открытом, свободном доступе. Анализатор используют для устранения неполадок в сети, анализа, разработки программного обеспечения и протокольной связи, ее образования. Первоначально программа была названа Ethereal. Однако в мае 2006 была переименована из-за проблем товарного знака. Сниффер работает на базе следующих ОС: Linux и OS X, BSD и Solaris, Microsoft Windows и других Unix систем.
- Tcpdump. Анализатор пакетов, который не имеет графического интерфейса (ввод необходимых требований происходит через командную строку). Этот нюанс позволяет администратору перехватывать протоколы управления и IP информационных пакетов. Tcpdump работает на большинстве Unix-подобных ОС: Linux и Solaris, BSD и OS X, HP-UX и AIX, Windows.
- Ngrep – сетевой анализатор информационных пакетов, написанный Риттером И. Команды вводятся в командной строке, опираясь на библиотеки PCAP и GNU. Ngrep - приложение с открытым исходным кодом, который доступен для загрузки с сайта Ngrep на SourceForge. Он может быть скомпилирован и перенесен на несколькие платформы. Сниффер работает во многих UNIX-подобных ОС: Linux и Solaris, AIX и BSD, Microsoft.
- Ettercap. Сниффер применяется для анализа протоколов компьютерной сети и проверки безопасности. Работает на Mac OS X, Linux, Solaris и BSD, Microsoft Windows. Способен перехватывать трафик сегментов сети, считывать пароли, может использоваться для слежения онлайн ряда распространенных протоколов.
- Kismet – сетевой анализатор пакетов, способный обнаруживать сетевые вторжения для беспроводных локальных сетей (802.11). Kismet работает с любой беспроводной картой, поддерживающей режим мониторинга и прослушивающий 802.11a и 802.11b, 802.11g, 802.11n трафик. Программа работает под управлением FreeBSD и Linux, NetBSD и OpenBSD, Mac OS X, Microsoft Windows.
- Cain&Abel (Каин и Авель). Сниффер перехватывающий пароли в ОС Microsoft Windows. Помимо алгоритмов анализа трафика может осуществлять криптоанализ, выявлять внешние атаки и различные трещины в безопасности систем.
- Capsa – сетевой анализатор, разработанный Colasoft с целью помочь администраторам контролировать, анализировать и быстро устранять неполадки в проводных, беспроводных сетях. Сейчас имеется 3 вида Capsa анализаторов: Enterprise, Free и Professional Edition.
- Carnivore (позднее DCS1000). Разработан для Федерального Бюро Расследований как система мониторинга электронной почты, сообщений подозреваемых. Используется и в качестве сетевого анализатора, контролирующего весь интернет-трафик пользователей.
- Justniffer. TCP анализатор, который позволяет войти в сетевой трафик во время отклика. Формат вывода трафика можно легко настроить. Перехватывает HTML, JavaScript и CSS, звуки, изображения и текстовые файлы и пр.
- Microsoft Network Monitor. Сниффер, позволяющий перехватывать, просматривать и анализировать сетевые данные, расшифровывать протоколы сети. Изначально разработан Raymond Patch (транспортный протокол) и сетевой адаптер для менеджеров Microsoft.
Шпионская программа NeoSpy, основная деятельность которой слежение онлайн за действиями пользователей включает помимо универсального программного кода сниффера, коды кейлоггеров (клавиатурных шпионов) и иных систем скрытого слежения.