Анализаторы пакетов: как они работают?

Я давно интересовался ИТ-безопасностью и несколько раз сталкивался с сетевыми сниферами. Чего я не понимаю, так это того, как на самом деле работает этот процесс. Предположим, у нас есть беспроводная сеть. Компьютер А запрашивает внешний веб-сайт через маршрутизатор. Компьютер B, на котором установлен сниффер, перехватывает пакеты, проходящие через локальную сеть. Если это основной процесс, как он может перехватить пакет? Вам нужно настроить поддельный маршрутизатор и прослушивать весь проходящий трафик, или вы можете просто подключиться к беспроводной сети и начать прослушивание?

Если вы хотите подробно объяснить процесс или дать ссылку на руководство, это было бы здорово.

Благодарю вас!


packet-sniffers sniffer
person Carl    schedule 29.04.2011    source источник

Ответы (3)


arrow_upward
0
arrow_downward

Сниффер — это компьютерная программа или часть компьютерного оборудования, которые могут перехватывать и регистрировать трафик, проходящий через цифровую сеть или часть сети.

Обычным процессом является подключение компьютера B к сети, которую он хочет обнюхать и начать захват пакетов. Затем, при необходимости, он декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое в соответствии с соответствующими RFC или другими спецификациями.

person rmcc    schedule 29.04.2011

arrow_upward
0
arrow_downward

Ответ на вопрос «как прослушивать беспроводные сети» таков: «это зависит» (от используемой ОС и оборудования, хотите ли вы видеть пакеты управления беспроводной сетью и низкоуровневые пакеты управления или только обычные пакеты данных и т. д. и т. д.).

Wireshark Wiki: Настройка WLAN Capture содержит много подробной информации.

См. также Wireshark Wiki: Настройка Capture.

Как правило, сниффинг на машине А будет перехватывать обычные пакеты данных с/на машину А. Вы можете перехватывать пакеты управления беспроводной сетью и т. д.

Для захвата беспроводного трафика к/от машины A с помощью машины, отличной от машины A,

  1. Требуется специальное оборудование: см. «Airpcap»; или

  2. Эта машина каким-то образом нуждается в доступе к трафику.

    Например: можно использовать порт «монитор» на беспроводном маршрутизаторе (если он доступен).

    Или: если беспроводной маршрутизатор подключен к проводной сети через Ethernet-соединение, то в Ethernet-соединение можно вставить ответвитель.

    or ....

person willyo    schedule 30.04.2011
comment
AirPcap необходим в Windows с приложениями на основе WinPcap, потому что WinPcap не поддерживает NDIS 6 и не может переводить адаптеры Wi-Fi в режим мониторинга в Windows. Microsoft Network Monitor использует другой драйвер, который поддерживает NDIS 6 и может переводить адаптеры в режим монитора, но многие адаптеры имеют драйверы, которые этого не поддерживают. В Linux, *BSD и OS X либо libpcap может переводить адаптеры в режим монитора, либо вы можете делать это вне приложения, так что это не ограничение. - person ; 29.07.2012

arrow_upward
0
arrow_downward

Обнюхать трафик на самом деле довольно просто. Например, для прослушивания WiFi в аппаратной части достаточно стандартного адаптера, реализующего протокол 802.11. Кроме того, драйвер устройства и прошивка должны поддерживать режим прослушивания. Единственным принципиальным различием между обычным режимом и режимом перехвата является фильтрация пакетов. Обычно ПО устройства отбрасывает ненаправленный на него трафик, проверяя MAC-адрес назначения. В режиме сниффера он будет принимать весь трафик и передавать его на верхние уровни для анализа.

person SomeWittyUsername    schedule 22.10.2012