Сніффінг пакетів »особистий блог suvan`a, присвячений безпеці linux
Сніффінг - це перехоплення пакетів, що передаються між двома комп'ютерами. Перехоплення може статися в будь-якій точці маршруту даних. У локальній мережі перехватчиком може бути будь-який вузол мережі, в інтернет - провайдер.
Проблема сніффінга в Інтернеті вирішується дуже просто. Потрібно передавати приватні дані в зашифрованому вигляді (протоколи SSH і SSL). Для розуміння поцесса подивимося на сніффінг в локальній мережі.
Якщо пакет не призначений для нього, він буде відкинутий. Але якщо перевести мережевий плату в спеціальний режим (promiscuous mode), то вона буде приймати всі отримані пакети, незалежно від того, кому вони призначалися.
Найбільша загроза сніффінга полягає в перехопленні паролів часто використовуваних протоколів - Telnet, FTP, POP3, HTTP, які передають інформацію про паролі в мережі у відкритому вигляді. За допомогою сніффінга можна перехоплювати навіть передаються по мережі файли, прикріплені до якогось листа.
Популярний сниффер пакетів для Linux - програма Ethereal. Програма володіє зручним графічним інтерфейсом, дозволяє переглядати як список всіх перехоплених пакетів, так і окремо вміст кожного пакета. Є версія Ethereal і для Windows.
Сніффер можна не встановлювати на кожній машині мережі. Досить встановити його на одній взломаной машині або на своїй машині - якщо машина знаходиться в локальній мережі.
Якщо потрібна текстова версія програми, то зручніше використовувати текстовий сниффер - наприклад Ettercap або tcpdump.
# Tcpdump -n -i eth0
tcpdump: listening on eth0
11: 00: 10.791318 172.16.3.1.ssh> 172.16.3.9.4768: P 2499905071: 2499905139 (68) ack 574707570 win 6432 (DF) [tos 0x10]