Sale o ironie crudă în securitatea informațiilor că multe dintre caracteristicile care fac utilizarea calculatoarelor mai ușoară sau mai eficientă și instrumentele folosite pentru a proteja și securiza rețeaua pot fi, de asemenea, folosite pentru a exploata și a compromite aceleași computere și rețele. Acesta este cazul cu sniffing pachet.
Un sniffer de pachete , denumit uneori un monitor de rețea sau un analizor de rețea, poate fi utilizat legitim de către o rețea sau un administrator de sistem pentru monitorizarea și depanarea traficului de rețea. Folosind informațiile captate de către pachetul de sniffer, un administrator poate identifica pachete eronate și poate utiliza datele pentru a identifica blocajele și pentru a ajuta la menținerea unei transmiteri eficiente a datelor în rețea.
În forma sa simplă, un sniffer de pachete captează pur și simplu toate pachetele de date care trec printr-o interfață de rețea dată. În mod obișnuit, snifferul de pachete ar capta numai pachetele destinate mașinii în cauză. Cu toate acestea, dacă este pus în mod promiscuos, snifferul de pachete este, de asemenea capabil să capteze toate pachetele care traversează rețeaua, indiferent de destinație.
Prin plasarea unui sniffer de pachete într-o rețea în mod promiscuos , un intrus rău intenționat poate capta și analiza tot traficul de rețea. Într-o rețea dată, informațiile despre numele de utilizator și parola sunt în general transmise în text clar, ceea ce înseamnă că informațiile ar putea fi vizibile prin analizarea pachetelor transmise.
Un sniffer de pachete poate capta numai informații despre pachete într-o subrețea dată. Deci, nu este posibil ca un atacator malware să introducă un pachet sniffer în rețeaua ISP de origine și să capteze traficul de rețea din interiorul rețelei dvs. corporative (deși există modalități care există pentru mai mult sau mai puțin "deturnează" serviciile care rulează pe rețeaua dvs. internă pentru a efectuați snifarea pachetelor dintr-o locație îndepărtată). Pentru a face acest lucru, pachetul de sniffer trebuie să ruleze pe un computer care se află și în rețeaua corporativă. Cu toate acestea, dacă o mașină din rețeaua internă devine compromisă printr-o încălcare a securității troianului sau a altei încălcări a securității, intrusul ar putea rula un sniffer de pachete de pe acea mașină și să utilizeze informațiile despre numele de utilizator și parola capturat pentru a compromite alte mașini din rețea.
Detectarea snifferilor de pachete necinstiți în rețeaua dvs. nu este o sarcină ușoară. Prin natura sa, sniffer-ul de pachete este pasiv. Pur și simplu captează pachetele care călătoresc la interfața de rețea pe care o monitorizează. Aceasta înseamnă că, în general, nu există semnături sau trafic eronat pentru a căuta acest lucru care ar identifica o mașină care rulează un pachet sniffer. Există modalități de identificare a interfețelor de rețea din rețeaua dvs., care rulează în mod promiscuu, însă acest lucru ar putea fi folosit ca mijloc de localizare a snifferilor de pachete necinstiți.
Dacă sunteți unul dintre băieții buni și aveți nevoie să mențineți și să monitorizați o rețea, vă recomandăm să vă familiarizați cu monitoare de rețea sau sniffers de pachete, cum ar fi Ethereal. Aflați ce tipuri de informații pot fi discutate din datele capturate și cum le puteți utiliza pentru a vă menține buna funcționare a rețelei. Dar, rețineți, de asemenea, că utilizatorii din rețeaua dvs. pot executa snifferi de pachete necinstite, experimentând din curiozitate sau cu intenții rău intenționate și că ar trebui să faceți tot ce puteți pentru a vă asigura că acest lucru nu se întâmplă.