Аналіза́тор тра́фіку, або сні́фер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку призначеного для інших вузлів.

Сніфер Wireshark (в минулому Ethereal)

Принцип роботи

ред.

Перехоплення трафіку може здійснюватися:

  • звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми);
  • підключенням сніфера в розрив каналу;
  • відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер;
  • через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
  • через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.

Застосування

ред.

На початку 1990-х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів, які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді. Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.

Сніфери застосовуються як в благих, так і в деструктивних цілях. Аналіз трафіку, що пройшов через сніфер, дозволяє:

  • Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз).
  • Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності).
  • Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації.
  • Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)

Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із застосуванням лише простих засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.

Приклади аналізаторів трафіку

ред.

Див. також

ред.

Посилання

ред.