معین وفایی
متخصص شبکه های سیسکو و امنیت زیرساخت

معرفی روش کار ابزارهای شنود ترافیک : Sniffer چگونه کار می کند؟

Sniffer چگونه کار می کند؟ شنود از طریق کپچر کردن بسته های اطلاعاتی که به مک آدرس سیستم قربانی یا هدف می رسد ، انجام می پذیرد . به صورت معمول یک سیستم در شبکه فقط به ترافیکی که به مک آدرس آن ارسال می شود پاسخ می دهد و آن را می خواند و امروزه با استفاده از ابزار های مورد استفاده در هک این حالت در کارت های شبکه سیستم تغییر داده می شود که به این تغییر Promiscuous mode یا حالت بی قاعده گفته می شود .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در این حالت کارت شبکه سیستم هدف همه ترافیک شبکه را می خواند و آن را برای پردازش به شنودکننده ارسال می کند .هر پروتکلی که داده ها را رمزنگاری نمیکند ، در برابر شنود از خود ضعف نشون داده و آسیب پذیر می باشد .پروتکل هایی مانند HTTP ، POP3 ، SNMP(v1,v2( ، FTP پروتکل هایی هستند که به دلیل عدم رمزنگاری توسط هکر ها و ابزار های شنودشان برای جمع آوری اطلاعات و یوزر پسورد ها به کار می رود .دو نوع متفاوت از شنود :

  • Active
  • Passive
  1. شنود Passive مستلزم گوش دادن و کپچر کردن ترافیک شبکه می باشد و در شبکه هایی مفید است که از طریق هاب به هم متصل شده باشند .
  2. شنود Active مستلزم مسموم کردن ARP یا حمله Flooding در برابر یک سوییچ می باشد تا ترافیک شبکه کپچر شود .
  3. شنود Active قابل تشخیص می باشد در صورتیکه شنود Passive غیر قابل شناسایی می باشد .
Sniffer چگونه کار می کند ؟

در شبکه هایی که از هاب یا دیوایس وایرلس به منظور شبکه کردن سیستم ها استفاده می شود همه کلاینت ها در شبکه می توانند به کلیه ترافیک شبکه دسترسی داشته باشند و در ادامه یک شنودگر Passive می تواند کل ترافیک شبکه را کپچر کند ; اما در شبکه هایی که از سوییچ های هوشمند استفاده می کند وضعیت متفاوت تر می باشد چرا که در این شبکه ها سوییچ به داده ای که به آن ارسال می شود نگاه میکند و سعی میکند تا آن را تنها به مقصدی که مک آدرس مورد نظر را دارد ارسال کند.

در نتیجه سوییچ یک جدول از مک آدرس های مورد نظر و پورت ها را ایجاد میکند ، این کار سوییچ باعث می شود که ترافیک شبکه به جای ارسال Broadcast به صورت unicast یا Multicast ارسال شود ، که باعث ایجاد امنیت بیشتری نسبت به شبکه ای که از طریق هاب ایجاد شده داشته باشد .بهترین راه مقابله با شنود در شبکه رمزنگاری است . گرچه رمزنگاری از شنود جلوگیری به عمل نمی آورد اما باعث می شود داده ای که به دست شنودکننده می رسد بلا استفاده باشد چرا که این داده ها دیگر قابل استفاده نیستند .


معین وفایی
معین وفایی

متخصص شبکه های سیسکو و امنیت زیرساخت

متخصص شبکه های سیسکو و امنیت در شبکه های سیسکو ** متخصص ASA & Fortigate ** دارای مدارک رسمی MTCNA*MTCRE*MCTWE*MTCTCW*MTCUME علاقه مند به Virtualization & Linux توانمند در ایجاد سیستم های IDS و IPS مبتنی بر بستر Open Source

نظرات