Наверняка все знакомы с компьютерными сетями (иначе бы не читали эту статью), в таких сетях всегда есть информация которую нужно прятать и защищать, однако есть способ получить эту информацию, будь то пароли или секретная переписка:
сниффинг – прослушивание сети, для этой цели необходимо установить на одном из компьютеров сети специальную программу -
сниффер, однако установить её необходимо не просто на любом компьютере, для того что бы эффективно перехватывать трафик, в том числе и с конкретного компьютера нужно знать некоторые особенности сетей и сниффинга.
Существует два способа прослушивания сетей: пассивное и активное. При пассивном прослушивании сниффер просто переводит сетевую плату в неразборчивый режим и принимает весь проходящий через компьютер трафик, активное прослушивание подразумевает принятие специальных мер для того что бы принудительно переводить трафик на себя, даже из другого сегмента сети.
Пример работы пассивного сниффераРассмотрим всё более подробно.
Для эффективного пассивного прослушивания нужно знать как работают коммуникационные устройства в сети. Репитер (повторитель) и хаб передают данные пришедшие с одного порта на все остальные подключенные порты, не проводя их обработку и не выясняя, что это за данные и кому они предназначены. А вот мосты, свитчи и маршрутизаторы избирательно относятся к данным и передают их только в те сегменты которым они предназначены. Таким образом, мы можем прослушивать трафик только с тех компьютеров, которые отделены от нас только хабами, репитерами или не отделены от нас вовсе. С компьютеров от которых нас отделяют свитчи, мосты или маршрутизаторы при пассивном сниффинге мы не получим абсолютно никакой информации, кроме разумеется той, что предназначалась конкретно нам.
Другое дело активный сниффинг, существует большое количество способов активного прослушивания, рассмотрим некоторые:
- MAC flooding этот способ срабатывает на многих дешевых и устаревших моделях свитчей. Свитч имеет память для хранения адресной таблицы (соответствие МАС адреса и порта на который будут посылаться данные), если переполнить (зафлудить) эту память фальшивыми адресами то свитч перестанет контролировать передачу данных и начнет работать как обычный хаб. Этот споб действует и на мосты.
- МАС duplicating эта атака представляет собой простую подделку МАС адреса жертвы. Проблема тут в том что перехваченные данные не попадают на целевой компьютер и вас могут вычислить, кроме того таким способом можно перехватить только данные идущие к жертве но не наоборот.
Есть и другие способы активного прослушивания например: ICMP Redirect, ARP Redirect, ICMP Router Advertisements, но они более сложны для понимания и если это интересно, читатель сам может найти по ним информацию в интернете.
Однако стоит заметить что если возможен способ пассивного прослушивания следует использовать именно его, как более простой и не создающий проблем в сети.
Для системных администраторов и обычных пользователей была разработана программа NeoSpy, сочетающая в себе keylogger, сниффер и другие функции для скрытого слежения.