Lo sniffing di rete è l'uso di uno strumento software, chiamato sniffer di rete, che monitora o sniffa i dati che scorrono sui collegamenti di rete del computer in tempo reale. Questo strumento software è un programma software autonomo o un dispositivo hardware con il software o il firmware appropriato.
Cos'è uno sniffer di rete?
Gli sniffer di rete acquisiscono copie istantanee dei dati che fluiscono su una rete senza reindirizzarli o alterarli. Alcuni sniffer funzionano solo con pacchetti TCP/IP, ma gli strumenti più sofisticati funzionano con molti altri protocolli di rete ea livelli inferiori, inclusi i frame Ethernet.
Anni fa, gli sniffer erano strumenti utilizzati esclusivamente da ingegneri di rete professionisti. Al giorno d'oggi, tuttavia, con il software disponibile gratuitamente sul Web, sono anche apprezzati dagli hacker di Internet e dalle persone curiose di fare rete.
Gli sniffer di rete sono talvolta indicati come sonde di rete, sniffer wireless, sniffer Ethernet, sniffer di pacchetti, analizzatori di pacchetti o semplicemente snoop.
Come vengono utilizzati gli analizzatori di pacchetti
C'è una vasta gamma di applicazioni per gli sniffer di pacchetti. La maggior parte degli sniffer di pacchetti può essere utilizzata in modo inappropriato da una persona e per motivi legittimi da un' altra.
Un programma che acquisisce le password, ad esempio, potrebbe essere utilizzato da un hacker, ma lo stesso strumento potrebbe essere utilizzato da un amministratore di rete per trovare statistiche di rete come la larghezza di banda disponibile.
Lo sniffing di rete viene utilizzato anche per testare firewall o filtri Web e per risolvere i problemi delle relazioni client/server.
Come funziona lo sniffing di rete
Uno sniffer di pacchetti connesso a qualsiasi rete intercetta tutti i dati che fluiscono su quella rete.
Su una rete locale (LAN), i computer in genere comunicano direttamente con altri computer o dispositivi sulla rete. Tutto ciò che è connesso a quella rete è esposto a tutto quel traffico. I computer sono programmati per ignorare tutto il traffico di rete non previsto.
Il software di sniffing di rete apre a tutto il traffico aprendo la scheda di interfaccia di rete (NIC) del computer per ascoltare quel traffico. Il software legge quei dati ed esegue l'analisi o l'estrazione dei dati su di essi.
Una volta ricevuti i dati di rete, il software esegue le seguenti azioni su di esso:
- Il contenuto oi singoli pacchetti (sezioni di dati di rete) vengono registrati.
- Alcuni software registrano solo la sezione di intestazione dei pacchetti di dati per risparmiare spazio.
- I dati di rete acquisiti vengono decodificati e formattati in modo che l'utente possa visualizzare le informazioni.
- Gli sniffer di pacchetti analizzano gli errori nelle comunicazioni di rete, risolvono i problemi delle connessioni di rete e ricostruiscono interi flussi di dati destinati ad altri computer.
- Alcuni software di sniffing di rete recuperano informazioni sensibili come password, numeri PIN e informazioni private.
Come contrastare gli attacchi di sniffer di rete
Se sei preoccupato per il software di sniffing della rete che spia il traffico di rete proveniente dal tuo computer, ci sono modi per proteggerti.
Ci sono ragioni etiche per cui qualcuno potrebbe aver bisogno di utilizzare un software sniffer, ad esempio quando un amministratore di rete monitora il flusso del traffico di rete.
Quando gli amministratori di rete sono preoccupati per l'uso nefasto di questi strumenti sulla loro rete, usano scansioni anti-sniff per proteggersi dagli attacchi sniffer. Ciò significa che le reti aziendali sono generalmente sicure.
Tuttavia, è facile ottenere e utilizzare un software sniffer per motivi dannosi, il che rende il suo uso illegittimo contro Internet di casa motivo di preoccupazione. Sarebbe molto facile per qualcuno collegare tale software anche a una rete di computer aziendale.
Se vuoi proteggerti da qualcuno che spia il tuo traffico Internet, usa una VPN che crittografa il tuo traffico Internet. Puoi imparare tutto sulle VPN e sui provider VPN che puoi utilizzare per proteggerti.
Strumenti sniffer di rete
Wireshark (precedentemente noto come Ethereal) è ampiamente riconosciuto come lo sniffer di rete più popolare al mondo. È un'applicazione open source gratuita che visualizza i dati sul traffico con codifica a colori per indicare quale protocollo è stato utilizzato per trasmetterli.
Sulle reti Ethernet, la sua interfaccia utente visualizza i singoli frame in un elenco numerato ed evidenzia con colori separati se vengono inviati tramite TCP, UDP o altri protocolli.
Wireshark raggruppa anche i flussi di messaggi inviati avanti e indietro tra una sorgente e una destinazione (che si mescolano nel tempo con il traffico di altre conversazioni).
Wireshark supporta l'acquisizione del traffico tramite un'interfaccia a pulsante di avvio/arresto. Lo strumento contiene anche opzioni di filtro che limitano i dati visualizzati e inclusi nelle acquisizioni. Questa è una caratteristica fondamentale poiché la maggior parte del traffico di rete contiene messaggi di controllo di routine che non sono di interesse.
Nel corso degli anni sono state sviluppate diverse applicazioni software di rilevamento. Ecco solo alcuni esempi:
- tcpdump (uno strumento da riga di comando per Linux e altri sistemi operativi basati su Unix)
- CloudShark
- Caino e Abele
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Analizzatore di rete gratuito
- Miner di rete
- Strumenti IP
Alcuni di questi strumenti di sniffer di rete sono gratuiti mentre gli altri costano o hanno una prova gratuita. Inoltre, alcuni di questi programmi non vengono più mantenuti o aggiornati, ma sono ancora disponibili per il download.
Problemi con gli sniffer di rete
Gli strumenti Sniffer offrono un ottimo modo per imparare come funzionano i protocolli di rete. Tuttavia, forniscono anche un facile accesso ad alcune informazioni private come le password di rete. Verificare con i proprietari per ottenere l'autorizzazione prima di utilizzare uno sniffer sulla loro rete.
Le sonde di rete intercettano solo i dati dalle reti a cui è collegato il computer host. Su alcune connessioni, gli sniffer acquisiscono solo il traffico indirizzato a quella particolare interfaccia di rete. In ogni caso, la cosa più importante da ricordare è che chiunque cerchi di utilizzare uno sniffer di rete per spiare il traffico avrà difficoltà a farlo se quel traffico è crittografato.
Domande frequenti
Come fai a sapere se qualcuno sta annusando la tua rete?
Può essere difficile rilevare gli sniffer perché spesso rimangono passivi semplicemente raccogliendo dati. Ma se uno sniffer è installato su un computer, il traffico extra può avvisarti della presenza di uno sniffer. Prendi in considerazione l'utilizzo di un programma software che rilevi gli sniffer, come Anti-Sniff, Sniff Detection, ARP Watch o Snort.
Che tipo di dati e informazioni possono essere trovati utilizzando uno sniffer di pacchetti?
Uno sniffer di pacchetti è uno strumento valido per ingegneri di rete o una funzione antivirus, ma può anche essere uno strumento di hacker, che si presenta come un allegato di posta elettronica dannoso. Gli sniffer di pacchetti dannosi possono registrare password e informazioni di accesso, oltre a monitorare le visite e l'attività del sito Web di un utente. Un'azienda può utilizzare uno sniffer di pacchetti legittimo per scansionare il traffico in entrata alla ricerca di malware o tenere traccia dell'utilizzo della rete dei dipendenti.