что такое процесс сниффинга данных
Виды сниффинга и предусмотренные за него действующим законодательством меры наказания
Перехват пакетов информации, передающихся от одного компьютера другому, получил название сниффинга. Это один из инструментов работы хакеров. Перехват может произойти в любой точке транзита информации. В построенных на основе TCP/IP сетях она передается в открытом виде.
Сниффинг
В большинстве случаев сниффинг используется для получения важной информации, передающейся через Интернет. Он требует от хакеров определённого уровня подготовки.
Принцип перехвата пакетов аналогичен подслушиванию телефонных разговоров. Для перехвата сетевого трафика используются программно-аппаратные комплексы, получившие название сниффер. Они выполняют роль перехватчика и анализатора. Системные администраторы используют снифферы для отслеживания действий пользователей в интернете.
Снифферы разделены на основные группы:
Устройство большинства локальных сетей основано на технологии Ethernet. Это широковещательная сеть. В ней все устройства получают информацию через единую магистраль. Для перехвата пакета хакеры ищут доступ к одному из маршрутизаторов системы передачи данных. Перехват пакетов данных происходит при их передаче от компьютера к серверу или от одной рабочей станции (ПК) к другой.
Наибольший урон пользователям приносит перехват паролей часто используемых протоколов.
Виды сниффинга
По способу «прослушивания» сетей сниффинг подразделяется на 2 вида:
Активный сниффер подразумевает использование специальных мер для принудительного перевода трафика на себя. Для «прослушивания» такого типа сниффинга существует большое количество различных способов. Среди них:
По месту расположения снифферов выделяют следующие виды сниффинга:
Сниффинг используют для следующих целей:
Ответственность за сниффинг
Сниффинг подпадает под действие нескольких статей УК РФ:
Проблемами хакерства в стране занимаются различные службы.
Сниффинг — что это такое в ИТ-отрасли?
В ИТ-сфере «Сниффинг» — это один из простейших методов мониторинга трафика, проходящего через компьютерную сеть. Его суть заключается в перехвате данных, которые доставляются в рамках наблюдаемой сети в виде пакетов.
Метод называют «сниффинг» потому что он напоминает «обнюхивание» данных анализаторами сетевых протоколов, которые установил системный администратор. «Sniffing» переводится с английского как «втягивать носом», «нюхать», «чуять».
Что такое сниффинг-атаки и чем они вредны?
Чтобы выловить из потока пакетов данных в сети пароли, логины, информацию о платёжных картах и прочие конфиденциальные сведения, злоумышленник должен установить на системе жертвы соответствующий «сниффер» (анализатор сетевых протоколов), например, Wireshark, Ettercap, Bettercap, Tcpdump, WinDump. Это может быть не только софт. Иногда мониторинг выполняется с аппаратного устройства, подключённого к системе.
Что значит «Сниффинг» для ИТ-отрасли?
Системные администраторы используют метод «обнюхивания» (перехвата и анализа) трафика, чтобы:
Для работоспособности процесса нужно подключить сниффер к существующей сети при помощи сетевого адаптера. Далее требуется запуск программного обеспечения для регистрации, просмотра или анализа данных, собранных устройством. Пакеты данных проходят через сниффер, собираются, распознаются, регистрируются независимо от того, как именно был сформирован пакет и куда направлен.
Аппаратные снифферы
Наиболее эффективны при исследовании трафика отдельного участка сети. Подключается физически к системе в соответствующем месте. У аппаратного анализатора есть гарантия, что 100% пакетов данных этого сегмента пройдут через сниффер. Это главное преимущество перед программными средствами, на которые воздействуют алгоритмы фильтрации, маршрутизации и другие преднамеренные или случайные причины.
Программные снифферы
Нашли массовое применение из-за простоты установки в сетевую инфраструктуру. То есть в основном сейчас применяются именно программные анализаторы сети. Функциональность сводится к разделению, повторной сборке и регистрации всех пакетов программного обеспечения, которые проходят через интерфейс независимо от их адресов назначения. Такие снифферы собирают столько трафика, сколько проходит через физический сетевой интерфейс с условием, что никакие другие факторы не воздействуют на процесс. Затем данные регистрируются и используются в соответствии с настройками.
Чтобы избежать сниффинговых атак на вашу систему и ИТ-инфраструктуру, избегайте подключения к незащищённым сетям (например, не подключайтесь к общественным точкам доступа Wi-Fi). Используйте шифрование трафика (Encryption), чтобы превратить все ценные сведения в набор тарабарщины из случайных символов (например, пользуйтесь VPN). В организациях и офисах следует выполнять сканирование сети и её внутренний мониторинг.
Выполните ИТ-аудит вашего предприятия или офиса для экспертной поддержки в вопросе защиты от сниффинговых атак. Имея аудит ИТ-инфраструктуры на руках, станет проще снижать риски и консультироваться по любым техническим вопросам касательно вашей организации и её будущего.
📦 Что такое сниффинг пакетов со списком перехватчиков пакетов?
Сниффинг пакетов- это процесс захвата пакетов.
Как правило, пакеты компьютерной сети прослушиваются.
Обнаружение пакетов может показаться очень простым делом, но на самом деле оно включает много сложностей, связанных с протоколами, сетевыми средами и т. д.
Захват пакетов или сниффинг пакетов
Прежде чем начать изучать, что такое сниффер (анализатор) пакетов, мы должны изучить разницу между захватом пакетов и сниффингом (анализом) пакетов.
На самом деле нет никакой разницы между перехватом пакетов или их сниффингом.
Таким образом, оба термина захват пакетов и сниффинг пакетов относятся к одному и тому же действию.
Но при выражении инструментов перехвата пакетов обычно используется термин Инструменты для захвата пакетов.
Что такое сниффинг пакетов?
Современные компьютерные сети созданы для передачи данных между различными хостами, системами, сетями в пакетах.
Существует много разных протоколов, созданных для передачи этих пакетов, но самый популярный протокол – это стек TCP / IP.
Протоколы Ethernet и Wifi также используются для передачи пакетов от одного перехода к другому.
Не смотря на то, что эти протоколы предназначены для передачи пакетов в указанное место назначения, есть некоторые приемы для захвата или прослушивания этих пакетов.
Обнаруженные данные содержат данные протокола и данные пользователя.
Данные протокола предоставляют адреса источника и назначения, номер пакета, размер пакета, CRC и аналогичные данные для обеспечения передачи протокола.
Методы и способы сниффинга пакетов
Зачем перехватывать пакеты?
Сниффинг пакетов – очень популярный метод по разным причинам, используемый разными областями.
Снифферы пакетов
Обнаружение пакетов очень популярно в ИТ-индустрии.
За это время создано много программного обеспечения для отслеживания / захвата пакетов.
Некоторые из них бесплатны, а некоторые платные.
Ниже мы перечислим популярное программное обеспечение для сниффинга пакетов.
Wireshark
Wireshark – самый популярный и известный анализатор пакетов.
Он предоставляется бесплатно и поддерживает сотни сетевых протоколов.
Он может осуществлять захват и анализ пакетов в автономном режиме.
Wireshark предоставляет очень подробные функции поиска и сопоставления, где каждый пакет может быть отфильтрован в соответствии с его различными аспектами, такими как размер, адрес отправителя и получателя, тип, номер и т. д.
Начинающему QA: полезные функции снифферов на примере Charles Proxy
В этой статье я расскажу об основных функциях снифферов, которые могут быть полезны QA. Попробую не вдаваться в теорию, а сфокусироваться на практике. Наиболее популярными представителями анализаторов трафика сейчас являются WhireShark, Fiddler и Charles Proxy. Об удобстве интерфейсов и функционале каждого из них можно рассуждать долго, учитывая все плюсы и минусы. Но здесь я отдал предпочтение Charles, поскольку сам им активно пользуюсь. Буду рассказывать на его примере.
Что собой представляет Charles Proxy
Первичная настройка
При тестировании мобильного приложения
Charles Proxy необходимо запустить на компьютере, который находится в той же локальной подсети, что и мобильное устройство с тестируемым приложением.
Как правило, соединение настраивается по Wi-Fi. В настройках Wi-Fi мобильного устройства в качестве proxy-сервера надо указать IP-адрес компьютера и стандартный порт инструмента 8888 (пароль остается пустым).
Главное отличие в настройках для этой ОС в том, что с Android 6.0 и выше в Androidmanifest надо добавить специальную конфигурацию, позволяющую просматривать защищенный трафик. На продакшене эта конфигурация убирается из соображений безопасности.
При тестировании приложения на ПК
Сертификат устанавливается в доверенные корневые центры.
Два слова об интерфейсе
С помощью контекстного меню запроса можно настраивать блокировки, повторять и изменять запросы. На этом мы еще остановимся.
На вкладке Sequence запросы выведены по времени в виде настраиваемой таблицы. Видно, когда начался запрос, сколько он длился, его размер, статус и т.п. Наведя на конкретную строку, мы получим ту же информацию о теле, заголовках и т.п.
Если запросов на экране слишком много, с помощью панели инструментов их можно очистить или вообще остановить перехват. Там же есть возможность включить и выключить троттлинг (подробнее об этих функциях расскажу позже). Базовая настройка каждой из функций осуществляется через меню, а кнопки панели управления выступают своего рода тумблерами On / Off.
Фильтрация
В Charles Proxy очень много вариантов фильтрации запросов.
На вкладке Sequence есть аналогичный фильтр.
Charles Proxy умеет работать с регулярными выражениями. Для этого на вкладке Sequence выбираем Settings и отмечаем пункт Filter uses regex. И вписываем в поле поиска элементарную регулярку.
можно выбрать все запросы, в которых в начале имени хоста находится четыре буквы, а потом идет точка.
Там же можно включить Autoscroll списка запросов или указать максимальное количество строк.
Блокируемый запрос можно прервать двумя способами (подходящий надо выбрать в настройках):
вернуть ошибку 403.
От выбранного способа блокировки зависит, какой ответ мы получим.
Можно провести эксперимент. Включим наш тестовый стенд в Block list, выбрав простой сброс соединения. С помощью контекстного меню запроса повторим его (команда Repeat) и получим такой ответ:
Просмотр SSL-трафика
Если ранее мы успешно установили SSL-сертификат, для просмотра зашифрованного трафика остается только включить SSL proxying для нужного хоста в самом Charles Proxy. Это можно сделать через контекстное меню конкретного хоста.
Аналогично настройке фильтров на вкладках Include и Exclude можно добавить или исключить конкретные хосты. Если списки на этих вкладках не заполнять, по умолчанию мы будем читать трафик со всех хостов.
Брейкпоинты
Установить Breakpoint можно из контекстного меню запроса. После этого все аналогичные запросы будут перехвачены. Их можно будет просматривать и редактировать.
Чтобы проверить, как это работает можно использовать повтор запроса (Repeat из того же контекстного меню). Запрос перехватывается, его можно редактировать.
Map remote
Эта функция может быть полезна, если мы поймали ошибку на продакшене, например при загрузке таблицы, а информации в dev-контуре для полноценного тестирования не хватает. Вместо того, чтобы перезаполнять информацию в каждом контуре, мы можем скопировать ответ сервера в нужный контур и посмотреть, как он ведет себя после исправления ошибки.
Map Local
Главное отличие Map Local от предыдущей функции в том, что замена осуществляется не на ответ другого сервера, а на содержимое локального файла. Настройки выглядят точно также, но вместо второго сервера мы указываем локальный путь к файлу с ответом.
Rewrite
Функция Rewrite может быть полезна, если вам нужно переписать данные, которые отправляются в Charles Proxy. В отличие от простого редактирования Rewrite позволяет задать правила изменения и работать в автоматическом режиме. Можно изменять и добавлять заголовки, искать и заменять текст в теле запроса или ответа. Можно даже менять статус ответа.
Настроить это можно через Rewrite settings, доступные в контекстном меню. Единственный недостаток инструмента в том, что каждое правило замены прописывается отдельно.
Помимо изменения запросов и ответов мы можем запретить кэширование или cookie (функции No caching и Block cookies). Эти опции повторяют аналогичные инструменты панели разработчика в браузере. В обоих случаях настраивается список хостов, для которых действует настройка. Если же список пуст, то кэширование и cookie отключаются на всех перехваченных хостах.
Throttling
Charles Proxy помогает тестировать сервис на плохой связи, искусственно ограничив через настройки пропускную способность канала. Эта функция полезнее всего для тестирования десктопных приложений, поскольку на мобильных устройствах качеством связи можно управлять через панель разработчика.
Ограничения можно включить либо для хостов из списка, либо для всех перехваченных запросов. Из коробки есть несколько пресетов, но все параметры связи можно корректировать вручную. Мне по большей части хватает базовых настроек.
Repeat Advanced
Хотя полноценное нагрузочное тестирование лучше проводить в специальных инструментах, Charles Proxy имеет одну базовую настройку, которая помогает закрыть минимальные потребности. Функция Repeat Advanced (доступная через контекстное меню перехваченного запроса) позволяет нужное количество раз повторить тот же запрос. После настройки откроется отдельная сессия, где будут видны детали каждого из запросов.
Отмечу, что Charles Proxy платный. Можно использовать триальную версию. Но раз в 5-7 минут поверх него будет отображаться всплывающее окно с версией, а раз в 30 минут он будет выключаться, при этом сессии не сохраняются. Решайте сами, помешает ли это вашей работе.
Автор статьи: Артем Холевко, Максилект.
Текст подготовлен по материалам внутреннего семинара Максилект.
Что такое сниффер и как не лишиться данных после покупок в интернете
Cниффер (от англ. to sniff — нюхать) — это программное обеспечение, анализирующее входящий и исходящий трафик с компьютера, подключенного к интернету. Оно следит за тем, какие сайты вы посещаете, какие файлы загружаете и выгружаете.
Стать жертвой хакеров, использующих сниффер, может любой пользователь интернет-магазина, оплативший товар или услугу онлайн. 27 января 2020 года в ходе операции Night Fury полиция Индонезии задержала участников преступной группы, заразивших JavaScript-снифферами 200 веб-сайтов, среди которых были онлайн-магазины из Бразилии, Австралии, Великобритании, Германии, Индонезии, США и других стран мира. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши.
Ликвидация этой преступной группировки стала лишь первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (АТР). Параллельно облавы проходили еще в пяти других странах региона. Пойманные преступники использовали JS-сниффер GetBilling. Международная компания в сфере кибербезопасности Group-IB отслеживает его с 2018 года.
Популярность снифферов среди киберпреступников растет. Это один из самых эффективных способов взлома устройства жертвы. «За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете», — рассказал РБК Трендам ведущий аналитик отдела аналитики Group-IB Виктор Окороков.
Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в 2020 году. Тогда было было известно только о 38 семействах.
Для чего нужны снифферы?
Сниффер не всегда вредоносен. «Сниффер — общее название оборудования и программного обеспечения. Они могут предназначаться для балансировки трафика, а могут использоваться и злоумышленниками. Есть аппаратные и программные снифферы», — рассказал РБК Трендам эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
Есть четыре сферы, в которых люди используют сниффер в благих намерениях:
Однако сниффер может быть использован и злоумышленниками для кражи данных. Снифферы анализируют все, что через них проходит, включая незашифрованные пароли и учетные данные. Поэтому хакеры, имеющие к ним доступ, могут завладеть личной информацией пользователей.
В сентябре 2018 года выяснилось, что пользователи сайта и мобильного приложения British Airways подверглись кибератаке. Под угрозой оказались все клиенты международной авиакомпании, осуществившие бронирование авиабилетов на сайте или в приложении в период с 25 августа по 5 сентября 2018 года. В руки злоумышленников попали личные и финансовые данные 380 тыс. человек. Похожая атака была организована на клиентов американского онлайн-магазина Ticketmaster.
В целях обслуживания сети сниффер обеспечивает:
Незаконно сниффер используется для:
Самые популярные модели снифферов:
Как работают снифферы?
Хакеры используют снифферы для кражи ценных данных с помощью отслеживания сетевой активности и сбора персональной информации о пользователях. Чаще всего злоумышленники заинтересованы в паролях и учетных данных пользователей. Имея эти данные, можно получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов.
Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к Сети устройство.
Перехватить трафик через сниффер можно следующими способами:
Как предотвратить утечку данных с помощью сниффера?
Если сниффер установлен на устройстве, то он уже имеет доступ к его данным. Чтобы предотвратить их утечку, Дмитрий Галов из «Лаборатории Касперского» рекомендует:
Что делать, если сниффер уже установлен на компьютер
Чтобы обнаружить сниффер на компьютере, можно установить свой собственный сниффер и изучить весь трафик на уровне DNS в вашей сети, чтобы обнаружить любую подозрительную активность.
Удалить сниффер лучше всего с помощью антивируса. Если у вас нет платной подписки, можно установить пробную версию. Она проанализируют файлы на вашем компьютере, удалив из них подозрительные.