Packet Sniffer o Protocol Analyser sono strumenti utilizzati per diagnosticare e rilevare errori di sistema di rete e problemi correlati. Gli hacker utilizzano Packet Sniffer allo scopo di intercettare dati non crittografati e visualizzare le informazioni scambiate tra le due parti.
Ulteriori informazioni su Packet Sniffer
1. Cos'è Packet Sniffer?
Packet Sniffer o Protocol Analyser sono strumenti utilizzati per diagnosticare e rilevare errori di sistema di rete e problemi correlati. Gli sniffer di pacchetti vengono utilizzati dagli hacker per scopi quali il monitoraggio segreto del traffico di rete e la raccolta di informazioni sulla password dell'utente.
Alcuni Packet Sniffer vengono utilizzati dai tecnici per scopi specializzati che si occupano dell'hardware, mentre altri Packet Sniffer sono applicazioni software che vengono eseguite su computer consumer standard, utilizzando hardware di rete appositamente progettato, fornito sui server per eseguire l'intercettazione dei pacchetti e l'iniezione di dati.
2. Come funziona lo sniffer di pacchetti?
Packet Sniffer funziona bloccando il traffico di rete, che è possibile vedere attraverso la rete cablata o wireless a cui il software Packet Sniffer accede sul server.
Con le reti cablate, il blocco del traffico di rete dipende dalla struttura della rete. Uno sniffer di pacchetti può visualizzare l'intero traffico di rete o solo un segmento, a seconda di come è configurato lo switch di rete (switch), della posizione....
Con le reti wireless, Packet Sniffer può bloccare solo un canale alla volta, a meno che il computer non disponga di più interfacce wireless che consentono di bloccare più canali.
Dopo che il pacchetto di dati grezzi è stato intercettato, il software Packet Sniffer analizzerà e visualizzerà un messaggio all'utente.
Gli analisti di dati possono approfondire la "conversazione" che avviene tra due o più nodi di rete.
I tecnici possono utilizzare queste informazioni per identificare errori, ad esempio determinare quali dispositivi non soddisfano i requisiti di rete.
Gli hacker possono utilizzare Sniffer per intercettare dati non crittografati e visualizzare le informazioni scambiate tra le due parti. Inoltre, possono raccogliere informazioni come password e conferme di password. Gli hacker possono anche intercettare pacchetti di dati (cattura pacchetti) e attaccare i pacchetti sul tuo sistema.
3. Software e strumenti utilizzati nel Packet Sniffing
Ogni amministratore IT deve mantenere costantemente le prestazioni della rete perché è una delle risorse più importanti per l'organizzazione. Gli amministratori non possono lasciare che la rete venga interrotta, anche solo per pochi minuti, poiché ciò potrebbe causare enormi perdite all'azienda.
Allo stesso tempo, gestire una rete di dimensioni incerte non è semplice. Questo è il motivo per cui strumenti come gli sniffer di pacchetti sono sempre utili per identificare e risolvere rapidamente i problemi. Il compito principale di uno sniffer di pacchetti è verificare se i pacchetti di dati vengono inviati, ricevuti e trasmessi correttamente nella rete. Durante il test, lo sniffer di pacchetti può anche diagnosticare vari problemi relativi alla rete.
Tutti gli strumenti e i software di sniffer di pacchetti analizzeranno l'intestazione e il carico utile di ciascun pacchetto che lo attraversa. I pacchetti verranno quindi classificati e analizzati.
Poiché lo sniffing dei pacchetti è ampiamente utilizzato come forma efficace di risoluzione dei problemi di rete, ora sono disponibili molte opzioni da considerare.
Sia gli ingegneri di rete che gli hacker apprezzano gli strumenti gratuiti, motivo per cui le applicazioni software Sniffer open source e gratuite sono gli strumenti preferiti e utilizzati nel Packet Sniffing.
Uno dei popolari open source è: Wireshark (precedentemente noto come Ethereal ).
Puoi fare riferimento alle istruzioni per utilizzare Wireshark per analizzare i pacchetti di dati nel sistema di rete qui.
Inoltre, puoi fare riferimento alle seguenti opzioni:
Lo strumento Solarwinds Bandwidth Analyser è davvero uno strumento due in uno: ottieni Solarwinds Bandwidth Analyser (Network Performance Monitor) che gestisce la gestione degli errori, la disponibilità e il monitoraggio delle prestazioni per reti di tutte le dimensioni, così come Netflow Traffic Analyser utilizza il traffico tecnologia per analizzare le prestazioni della larghezza di banda della rete e i modelli di traffico. Entrambe queste applicazioni sono integrate in Solarwinds Bandwidth Analyser.
Network Performance Monitor visualizza il tempo di risposta, la disponibilità e le prestazioni dei dispositivi di rete, oltre a rilevare, diagnosticare e risolvere problemi di prestazioni tramite dashboard, avvisi e report. Lo strumento visualizza anche graficamente le statistiche sulle prestazioni della rete in tempo reale attraverso mappe di rete dinamiche.
Lo strumento Netflow Analyser incluso identifica utenti, applicazioni e protocolli che consumano larghezza di banda, evidenzia i loro indirizzi IP e visualizza i dati sul traffico minuto per minuto. Analizza inoltre Cisco NetFlow, Juniper J-Flow, IPFIX, sFlow, Huawei NetStream e altri dati sul traffico.
Tcpdump.org
TCPDump è un popolare sniffer di pacchetti che viene eseguito nella riga di comando. Questo strumento visualizza i pacchetti TCP/IP trasmessi su Internet, quindi saprai quanti pacchetti sono stati trasmessi e ricevuti e, in base a queste informazioni, sarai in grado di identificare eventuali problemi che si verificano nella rete.
Prima di Ethereal (che è ancora in uso oggi), TCPDump era lo standard de facto per lo sniffing dei pacchetti. Non ha l'elegante interfaccia utente di Wireshark e la logica integrata per decodificare i flussi di applicazioni, ma è comunque una scelta per molti amministratori di rete. Si tratta di uno standard testato ed è in uso dalla fine degli anni 80. Può catturare e registrare pacchetti con pochissime risorse di sistema (motivo per cui è amato da molti). TCPDump è stato originariamente progettato per i sistemi UNIX e solitamente viene installato per impostazione predefinita.
Alcune caratteristiche importanti di TCPDump includono:
- Fornisce informazioni che descrivono i pacchetti sulle interfacce di rete utilizzando espressioni booleane, per una lettura e una comprensione rapide.
- Fornisce la possibilità di scrivere un pacchetto in un file per un'analisi successiva o di leggerlo da un file salvato.
- Genera un report completo dopo aver acquisito i pacchetti. Questo rapporto contiene informazioni quali numero di pacchetti ricevuti ed elaborati, pacchetti ricevuti dal filtro, pacchetti scartati dal kernel, descrizione e timestamp.
- Fornisce la possibilità di esportare il buffer dei pacchetti in un file di output.
- Le varie opzioni di TCPDump ti consentono di personalizzare l'output in base alle tue esigenze.
- Funziona bene sulla maggior parte dei sistemi operativi simili a Unix come Linux, Solaris, BSD, Android e AIX.
- TCPdump può essere utilizzato specificamente per intercettare e visualizzare le comunicazioni di un utente o computer specifico.
- Nelle reti con traffico intenso, gli utenti hanno la possibilità di impostare un limite al numero di pacchetti catturati dallo strumento. Questa funzionalità rende l'output più facile da leggere.
- Sono disponibili opzioni per eliminare o aggiungere privilegi per i singoli utenti che desiderano eseguire TCPDump.
TCPDump è uno strumento open source gratuito.
Scarica TCPDump .
Kismetwireless.net
Kismet è un rilevatore di reti wireless, sniffer e sistema di rilevamento delle intrusioni che funziona principalmente su WiFi. Inoltre Kismet può essere espanso anche ad altri tipi di reti tramite un plug-in.
Negli ultimi dieci anni, le reti wireless hanno rappresentato una parte estremamente importante della maggior parte delle reti aziendali. Oggi le persone utilizzano le reti wireless per laptop, telefoni cellulari e tablet. Con l’aumento dell’importanza di questi dispositivi in ufficio, il ruolo delle reti wireless diventa sempre più evidente. Lo sniffing dei pacchetti sulle reti wireless presenta alcune difficoltà con gli adattatori supportati, ed è qui che Kismet brilla. Kismet è progettato per lo sniffing di pacchetti wireless e supporta qualsiasi adattatore di rete wireless che utilizza la modalità di monitoraggio raw. Oltre al monitoraggio 802.11, ha il supporto plugin per la decodifica.
Alcune caratteristiche eccezionali di Kismet includono:
- Supporta la funzione di sniffing 802.11
- Fornisce la registrazione PCAP compatibile con altri strumenti di sniffing dei pacchetti come Wireshark e TCPDump.
- Segue il modello di architettura client/server.
- Ha una struttura plug-in, quindi puoi estendere la funzionalità delle funzionalità principali.
- Fornisce la possibilità di esportare pacchetti in molti altri strumenti tramite un'interfaccia intuitiva. Questa funzionalità di esportazione dei pacchetti può essere eseguita in tempo reale.
- Fornisce supporto per altri protocolli di rete come 802.11a, 802.11b, 802.11g e 802.11n .
Kismet è disponibile gratuitamente.
Scarica Kismet .
EtherApe
Come Wireshark, EtherApe è un software gratuito open source progettato per ispezionare i pacchetti di rete. Invece di visualizzare molte informazioni in formato testo, EtherApe mira a rappresentare visivamente i pacchetti catturati, nonché una serie di connessioni e flussi di dati. EtherApe supporta la visualizzazione in tempo reale dei pacchetti di rete, ma può anche ispezionare i formati standard dei pacchetti esistenti. Ciò offre agli amministratori un altro strumento utile per la risoluzione dei problemi di rete.
Link di riferimento: http://etherape.sourceforge.net/
Analizzatore di pacchetti SteelCentral
SteelCentral Packet Analyser è uno sniffer di pacchetti di rete di una società chiamata Riverbed.
Questo strumento è dotato di una serie di potenti funzionalità che semplificano la vita degli amministratori IT:
- Puoi isolare facilmente il traffico trascinando e rilasciando e analizzando più livelli negli elementi dell'interfaccia.
- Viene fornito con una ricca raccolta di prospettive analitiche.
- È possibile configurare trigger e allarmi per rilevare comportamenti insoliti.
- Scansiona milioni di pacchetti per previsioni e analisi.
- Consente di unire e analizzare più file di traccia contemporaneamente, per una visione più chiara del comportamento della rete.
- Identifica con precisione i problemi sulla rete, in una varietà di scenari.
- Supporta centinaia di visualizzazioni e grafici per analizzare il traffico di rete.
- I grafici possono essere personalizzati o importati/esportati in più formati.
- I report personalizzati includono conversazioni a tutti i livelli, analisi della frammentazione IP, assegnazione di indirizzi DHCP , principali motori di conversazione TCP e dettagli sul traffico unicast, multicast e broadcast.
- Ha un'interfaccia utente grafica intuitiva.
- Piena integrazione con WireShark.
Opzione:
SteelCentral Packet Analyser è disponibile in tre versioni: SteelCentral Packet Analyser Pro, SteelCentral Packet Analyser e SteelCentral Packet Analyser Personal. Le differenze tra queste tre versioni sono:
Caratteristica |
Analizzatore di pacchetti SteelCentral Pro |
Analizzatore di pacchetti SteelCentral |
Analizzatore di pacchetti SteelCentral Personal Edition |
Funziona con SteelCentral AppResponse 11 |
Avere |
Non sono |
Non sono |
Funziona con SteelCentral Netshark |
Non sono |
Avere |
Non sono |
Funziona con file di traccia (file di registrazione degli eventi) |
Avere |
Avere |
Avere |
Funziona con SteelHead e SteelFusion |
Non sono |
Avere |
Non sono |
Analizza i pacchetti e approfondisci Wireshark |
Avere |
Avere |
Avere |
Analizza rapidamente file di acquisizione da più TB |
Avere |
Avere |
Avere |
Indicizzazione a microflusso per analisi rapide |
Avere |
Avere |
Avere |
Ricche prospettive analitiche per una risoluzione dei problemi intuitiva |
Avere |
Avere |
Avere |
Decodifica VoIP |
Avere |
Avere |
Avere |
Decodifica FIX, transazioni finanziarie, database, protocolli CIF e ICA |
Avere |
Avere |
Non sono |
Diagramma della sequenza del pacchetto |
Avere |
Avere |
Non sono |
Isola transazioni specifiche nell'analizzatore transazionale SteelCentral |
Avere |
Avere |
Non sono |
Analisi multisegmento |
Avere |
Avere |
Non sono |
Visualizza editore |
Non sono |
Avere |
Non sono |
AirPcap |
Non sono |
Avere |
Non sono |
Pacchetto di analisi dei pacchetti SolarWinds
Il pacchetto SolarWinds Packet Analysis analizza la rete per identificare rapidamente i problemi. Questo è uno strumento estremamente perfetto che fornisce molti dati basati sulle connessioni di rete e può aiutare a gestire questi problemi in modo accurato, rapido ed efficace.
Ecco alcune delle cose che il pacchetto di analisi dei pacchetti SolarWinds può fare per le aziende:
- Determina se c'è un problema con la rete o l'applicazione, quindi trova una soluzione per risolvere il problema di conseguenza.
- Identifica i picchi nel traffico e nel volume dei dati, poiché potrebbero essere causati da una potenziale violazione della sicurezza.
- Esegue la scansione continua di oltre 1.200 applicazioni sulla rete, per consentirti di comprendere meglio il traffico di rete.
- Fornisce una rapida visualizzazione del traffico di rete in qualsiasi momento.
- Viene fornito con strumenti di reporting avanzati per aiutarti a comprendere meglio il tuo traffico.
- Fornisce informazioni dettagliate sui modelli di traffico.
- Tieni traccia di vari parametri come tempo di risposta, volume di dati, transazioni, ecc.
- Classifica il traffico in diverse categorie in base al tipo di traffico, al volume e al livello di rischio. Tale classificazione semplifica il processo di analisi.
Il pacchetto SolarWinds Packet Analysis fa parte di una suite completa di monitoraggio delle prestazioni di rete .
Scarica una prova GRATUITA di 30 giorni del pacchetto SolarWinds Packet Analysis .
Questi sono solo alcuni degli sniffer di pacchetti a disposizione degli utenti. Ci sono ancora molte altre opzioni là fuori. Quando si valutano gli sniffer di pacchetti, è importante comprendere i casi specifici che si sta tentando di risolvere. In quasi tutte le situazioni, la maggior parte degli strumenti gratuiti funziona altrettanto bene o addirittura meglio di qualsiasi software a pagamento. Prova qualche nuovo software e forse troverai il tuo strumento preferito!
4. Come proteggere il sistema di rete e i dati di rete dagli hacker che utilizzano Sniffer?
Se un tecnico, un amministratore o vuoi vedere se qualcuno sta utilizzando lo strumento Sniffer sulla tua rete, puoi utilizzare uno strumento chiamato Antisniff per verificare.
Antisniff può rilevare se un'interfaccia di rete sulla tua rete è messa in modalità Promiscua.
Un altro modo per proteggere il traffico di rete da Sniffer è utilizzare la crittografia come Secure Sockets Layer (SSL) o Transport Layer Security (TLS). La crittografia non impedisce allo sniffer di pacchetti di accedere alle informazioni sull'origine e alle informazioni sulla destinazione, ma impedisce al carico utile del pacchetto di vedere tutti gli sniffer codificati in modo errato.
Anche se provi a modificare o inserire i dati nei pacchetti di dati, è probabile che fallisca perché fare confusione con i dati crittografati causerà errori, il che è ovvio quando le informazioni vengono crittografate e decodificate dall'altra parte.
Gli sniffer sono ottimi strumenti per diagnosticare i problemi di rete. Tuttavia, gli sniffer sono anche strumenti utili per gli hacker.
La cosa importante che i professionisti della sicurezza acquisiscano familiarità con questo strumento è vedere come un hacker utilizzerebbe questo strumento contro la propria rete.
Puoi fare riferimento a:
Buona fortuna!