Gli sniffer di pacchetti o gli analizzatori di protocollo sono strumenti utilizzati dai tecnici di rete per diagnosticare i problemi relativi alla rete. Gli hacker utilizzano gli sniffer di pacchetti per scopi meno nobili, come spiare il traffico degli utenti di rete e raccogliere password.
Gli sniffer di pacchetti sono disponibili in diverse forme. Alcuni sniffer di pacchetti utilizzati dai tecnici di rete sono soluzioni hardware monouso. Al contrario, altri sniffer di pacchetti sono applicazioni software che vengono eseguite su computer standard di livello consumer, utilizzando l'hardware di rete fornito sul dispositivo host per eseguire attività di acquisizione e iniezione di pacchetti.
Come funzionano gli sniffer di pacchetti
Gli sniffer di pacchetti funzionano intercettando e registrando il traffico di rete tramite l'interfaccia di rete cablata o wireless sul computer host.
Su una rete cablata, le informazioni che possono essere acquisite dipendono dalla struttura della rete. Uno sniffer di pacchetti potrebbe essere in grado di vedere il traffico su un'intera rete o solo su un determinato segmento; dipende da come sono configurati gli switch di rete. Sulle reti wireless, gli sniffer di pacchetti di solito acquisiscono un canale alla volta, a meno che il computer host non disponga di più interfacce wireless che consentono l'acquisizione multicanale.
Sebbene la maggior parte degli sniffer di pacchetti in uso oggigiorno siano software, gli sniffer di pacchetti hardware svolgono ancora un ruolo nella risoluzione dei problemi di rete. Gli sniffer di pacchetti hardware si collegano direttamente a una rete e memorizzano o inoltrano le informazioni che raccolgono.
Una volta acquisiti i dati grezzi del pacchetto, il software di sniffing dei pacchetti li analizza e li presenta in una forma leggibile in modo che la persona che utilizza il software possa interpretarli. La persona che analizza i dati può visualizzare i dettagli dell'interazione tra due o più nodi sulla rete.
I tecnici di rete utilizzano queste informazioni per determinare dove si trova un guasto, ad esempio per determinare quale dispositivo non ha risposto a una richiesta di rete.
Gli hacker utilizzano gli sniffer per intercettare i dati non crittografati nei pacchetti per vedere quali informazioni vengono scambiate tra due parti. Possono anche acquisire informazioni come password e token di autenticazione se vengono inviate in chiaro. Gli hacker sono anche noti per acquisire pacchetti per la successiva riproduzione in attacchi di replay, man-in-the-middle e packet injection a cui alcuni sistemi sono vulnerabili.
Linea inferiore
Come la maggior parte delle persone, gli ingegneri di rete e gli hacker amano le cose gratuite, motivo per cui le applicazioni sniffer open source e freeware sono spesso i loro strumenti preferiti. Una popolare offerta open source è Wireshark, precedentemente nota come Ethereal. Usalo per annusare i tuoi pacchetti sul campo, salvarli in un file CAP e analizzarli in seguito.
Proteggi una rete e i suoi dati dagli hacker utilizzando gli sniffer
Se sei un tecnico di rete o un amministratore e vuoi vedere se qualcuno sulla tua rete sta usando uno strumento sniffer, dai un'occhiata a uno strumento chiamato Antisniff. Rileva se un'interfaccia di rete sulla rete è stata messa in modalità promiscua. Non ridere; questo è il nome effettivo ed è la modalità richiesta per le attività di acquisizione dei pacchetti.
Un altro modo per proteggere il traffico di rete dallo sniffato è con la crittografia, come Secure Sockets Layer (SSL) o Transport Layer Security (TLS). La crittografia non impedisce agli sniffer di pacchetti di vedere le informazioni sull'origine e sulla destinazione, ma può crittografare il carico utile del pacchetto di dati in modo che tutto ciò che lo sniffer vede sia senza senso.
Qualsiasi tentativo di modificare o iniettare dati nei pacchetti fallisce perché pasticciare con i dati crittografati provoca errori che sono evidenti quando le informazioni crittografate vengono decifrate all' altra estremità.
Gli sniffer sono ottimi strumenti per diagnosticare i problemi di rete down-in-the-weeds. Tuttavia, sono utili anche per scopi di hacking. È essenziale che i professionisti della sicurezza acquisiscano familiarità con questi strumenti in modo da poter vedere come un hacker potrebbe utilizzarli sulla propria rete.
Tipi di informazioni raccolte dagli sniffer di pacchetti
Sebbene gli sniffer di pacchetti siano strumenti del mestiere per gli ingegneri di rete, sono anche diffusi in alcuni software antivirus affidabili e come malware negli allegati e-mail dannosi.
Gli sniffer di pacchetti possono raccogliere quasi tutti i tipi di dati. Possono registrare password e informazioni di accesso, insieme ai siti Web visitati da un utente del computer e ciò che l'utente ha visualizzato durante il sito. Possono essere utilizzati dalle aziende per tenere traccia dell'utilizzo della rete dei dipendenti e scansionare il traffico in entrata alla ricerca di codice dannoso. In alcuni casi, uno sniffer di pacchetti può registrare tutto il traffico su una rete.
Gli sniffer di pacchetti sono preziosi perché limitano il malware e sono utili per la risoluzione dei problemi di rete, ma dovrebbero essere utilizzati con un solido software di sicurezza per prevenirne l'uso improprio.
