Sniffer چیست؟ Sniffer چگونه کار می کند؟

Sniffer چیست؟

در پاسخ به سوال Sniffer چیست؟ می توان گفت اسنیفر یک ابزار برای مانیتور ترافیک شبکه به منظور پیدا کردن مشکل در آن است. به این ترتیب Sniffer لزوما یک ابزار یا برنامه برای اهداف مخرب نیست. اما می‌تواند برای اهداف مخرب نیز استفاده شود. اسنیفرها هر داده ای شامل نام کاربری و رمز عبور که از آن ها گذر کند را ردیابی می کنند و اطلاعات کاربر را بدست می آورند. برای استفاده از Sniffer لازم نیست که آن را روی دستگاه قربانی نصب کنند، کافی است sniffer روی یک کامپیوتر در داخل شبکه داخلی نصب شده باشد.

Sniffer ابزار و برنامه ایست برای استراق سمع کردن ترافیک شبکه، که اطلاعات در حال تبادل بر روی شبکه را دریافت می کند.

همانطور که می دانید اترنت بر مبنای اشتراک گذاری ساخته شده و بیشتر شبکه ها از تکنولوژی broadcast استفاده می کنند. وقتی کامپیوتر مبدا پیامی را ارسال می کند.

پیام به سایر کامپیوترهای درون شبکه ارسال می شود. البته همه کامپیوترها بجز کامپیوتر مقصد، پیام را نادیده می گیرند و فقط کامپیوتر مقصد پیام را می خواند. اما با اسنیفر، کامپیوتر می تواند پیامی را که به آن مربوط نیست بخواند. به این کار اسنیف کردن اطلاعات می گویند.

اسنیفرها یکی از خطرناک ترین حملات غیرفعال محسوب می شوند زیرا روی اطلاعات تغییری ایجاد نمی کنند به همین علت عملیات آن ها از ماشین های شبکه مخفی می ماند و قابل کشف نیست.

Snifferها داده های جاری بر روی یک شبکه کامپیوتری را می رباید و آنها را در یک فایل ذخیره می کنند و در اختیار هکر قرار می دهند.

هرکامپیوتری که به شبکه LAN متصل باشد، دو آدرس دارد. یکی IP و دیگری Mac Address. آدرس مک برای هر سخت افزار منحصر است یعنی هیچ دو سخت افزاری وجود ندارند که آدرس مک آن ها یکی باشد. برای ارسال اطلاعات به یک کامپیوتر، سیستم ابتدا در جدول ARP به دنبال آدرس مک سیستم مقصد میگردد اگر هیچ سیستمی برای این IP که دارد پیدا نکند یک بسته درخواست برای همه broadcast میکند و تا اگر آدرس آی پی آن ها، همین آی پی مدنظر باشد آدرس مک خود را اعلام کنند. به این ترتیب کامپیوتر مقصد آدرس مک خود را در قالب یک بسته برای سیستم درخواست کننده ارسال می کند. حال آدرس فیزیکی سیستم مقصد در جدول ARP اضافه می شود. به این ترتیب کامپیوتر مبدا برای ارتباط با کامپیوتر مقصد از این آدرس فیزیکی استفاده میکند.

انواع Sniffer

اسنیفر فعال یا Active: شنود Active مستلزم مسموم کردن ARP در برابر یک سوییچ می باشد. در این حالت اسنیفرها می توانند تعداد بسیار زیادی MAC Address جعلی را به سمت سوئیچ ارسال کنند در نتیجه MAC Table سرریز می شود و با سرریز شدن این جدول سوییچ به یک HUB تبدیل می شود و ترافیک را بر روی تمامی پورت های خودش ارسال می کند و فرآیند شنود ما کامل می شود. شنود Active قابل تشخیص می باشد در صورتیکه شنود Passive غیر قابل شناسایی می باشد.

اسنیفر غیرفعال یا Passive: هکر بر روی همه ی کامپیوتر های یک شبکه نرم افزار شنود را نصب می کند. اسنیفر Passive در شبکه هایی که از طریق هاب به هم متصل شده باشند و شبکه های وایرلس بکار می رود.

اطلاعاتی که اسنیفر ها می توانند شنود کنند؟

ترافیک ایمیل (Email traffic)
رمزهای عبور اف تی پی (FTP passwords)
ترافیک وب (Web traffics)
گذرواژههای تلنت (Telnet passwords)
پیکربندی روتر (Router configuration)
جلسات گفتگو (Chat sessions)
ترافیک دی ان اس (DNS traffic)

کاربرد اسنیفر برای هکر ها؟

هکرها از Sniffer برای جاسوسی در شبکه، سرقت اطلاعات و بدست آوردن اطلاعات مهم کاربران مانند نام کاربری و رمز عبور حساب های بانکی، شبکه های اجتماعی استفاده می‌کنند.

مهاجم‌ها معمولا از اسنیفر در شبکه‌ های ناامن، مانند شبکه WiFi عمومی (کافی‌شاپ‌ها، هتل‌ها، فرودگاه‌ها و غیره) استفاده می‌کنند.

نحوه شناسایی اسنیفر در شبکه؟

بعد از پاسخ به سوال Sniffer چیست؟ به نحوه شناسایی اسنیفر در شبکه می پردازیم. کاربران معمولی قادر به شناسایی اسنیفر در شبکه نخواهند بود. آن ها می توانند روی دستگاهشان یک Sniffer نصب و ترافیک DNS را مانیتور کنند تا اسنیفر دیگر در شبکه داخلی را شناسایی کنند. یا روی سیستمشان یک برنامه امنیتی ضد اسنیفر نصب کنند. همچنین می توانند با استفاده از راه‌حل‌های امنیتی ترافیک اینترنت شان را از دید هکر خارج کنند.

چگونه در برابر Sniffer از اطلاعاتمان محافظت کنیم؟

با اسکن و مانیتور کردن شبکه، رمزنگاری ترافیک اینترنت دستگاه با استفاده از VPN و عدم اتصال دستگاه ها به وای فای عمومی و نامطمئن می توان از اطلاعات در برابر اسنیفر محافظت کرد.