
تقی حسن زاده، پایگاه خبری دانا، سرویس دانش و فناوری؛اسنیفر برنامه یا ابزاری است برای استراق سمع کردن ترافیک شبکه آن هم بوسیله گرفتن اطلاعاتی که روی شبکه در حال تبادل هستند که در این روش از تکنولوژی جلوگیری اطلاعاتی استفاده میشود . مکانیزم انجام این کار این است که اترنت بر مبنای اشتراک گذاری ساخته شده است و بیشتر شبکه ها از تکنولوؤی broadCast استفاده میکنند که یک پیام به یک کامپیوتر میتواند توسط کامپیوتر های دیگر هم خوانده شود .
به صورت معمولی کلیه کامپیوتر ها بجز کامپیوتری که مقصد پیام هست پیام را نادیده میگیرند . اما میشود کاری کرد که کامپیوتر پیامی را هم که به اون مربوط نیست را بخوانند . این کار هم همان اسنیف کردن اطلاعات است . بسیاری از افرادی که توسط سوئیچ به شبکه وصل هستند از شر اسنیف در امان هستند . اما همین کامپیوتر ها نسبت به اسنیف کردن هم نقطه ضعف خواهند داشت در صورتی که سوئیچ به یک هاب وصل شده باشد .
کامپیوتری که به یک LAN وصل باشد، دو تا آدرس دارد یکی آدرس مک که برای هر سخت افزار که آدرس مک دارد یکی است و دو تا کارت را پیدا نمی کنید که ادرس مک اون با یکی دیگه یکی باشد . از این آدرس مک برای ساختن قاب های اطلاعاتی برای ارسال اطلاعات به و یا از ماشین ها استفاده میشود . اما اون یکی آدرس IP نام دارد. لایه شبکه وظیفه نگاشت کردن آدرس آی پی را به آدرس مک به عهده دارد که برای پروتکل ارتباط دیتا مورد نیاز می باشد.
برای ارسال اطلاعات به یک کامپیوتر سیستم اول توی جدول ARP به دنبال آدرس مک سیستم مقابل میگردد اگر هیچ مدخلی برای این آی پی که دارد پیدا نکند یه دونه پاکت درخواست برای همه برودکست میکند و از همه می خواهد تا اگر آدرس آی پی اونها همین هست که می خواهد آدرس مک خودشو اعلام کند . اینجوری اگر سیستم توی شبکه آدرس آی پی پاکت را با خودش یکی ببیند ادرس مکش را میذاره توی یه پاکت و برای سیستم درخواست کننده میفرستد .
حالا سیستم آدرس فیزیکی آن یکی سیستم را دارد و این آدرس را به جدول ARP خودش اضافه میکند. از این به بعد کامپیوتر مبدا برای ارتباط با سیستم مقصد از این آدرس فیزیکی استفاده میکند .
بیشتر شبکهها از تکنولوژی broadCast استفاده میکنند بدین روش که ارسال یک پیام به یک کامپیوتر میتواند توسط دیگر کامپیوترها هم خوانده شود اما به صورت معمولی کلیه کامپیوترها بجز کامپیوتری که مقصد پیام است، پیام را نادیده میگیرند. نکته بسیار مهم این است که میشود کاری کرد که یک کامپیوتر پیامی را هم که به اون مربوط نیست بخواند. این کار هم همان اسنیف کردن اطلاعات است .
در پکت اسنیفرها اطلاعات دریافتی از دادههای خام دیجیتال، رمزگشایی شده و به زبان قابل خواندن توسط انسان یا در اصطلاح زبان human-readable تبدیل میشوند که به کاربر این اجازه را میدهند که به راحتی اطلاعات رد و بدل شده را تحلیل نمایند.
اسنیفرها یکی از خطرناک ترین حملات غیرفعال محسوب میشوند زیرا روی اطلاعات تغییری ایجاد نمیکنند به همین علت عملیات آنها از ماشینهای شبکه مخفی میماند و قابل کشف نیست.
Snifferها دادههای جاری بر روی یک شبکه کامپیوتری را میرباید و آنها را در یک فایل ذخیره میکنند و در اختیار هکر قرار میدهند.
هکرها از Sniffer برای جاسوسی در شبکه، سرقت اطلاعات و بدست آوردن اطلاعات مهم کاربران مانند نام کاربری و رمز عبور حساب های بانکی، شبکههای اجتماعی استفاده میکنند.
مهاجمها معمولا از اسنیفر در شبکههای ناامن، مانند شبکه WiFi عمومی (کافیشاپها، هتلها، فرودگاهها و غیره) استفاده میکنند.
انواع اسنیفر
اسنیفر فعال یا Active: شنود Active مستلزم مسموم کردن ARP در برابر یک سوییچ میباشد. در این حالت اسنیفرها میتوانند تعداد بسیار زیادی MAC Address جعلی را به سمت سوئیچ ارسال کنند در نتیجه MAC Table سرریز میشود و با سرریز شدن این جدول سوییچ به یک HUB تبدیل میشود و ترافیک را بر روی تمامی پورتهای خودش ارسال میکند و فرآیند شنود ما کامل میشود. شنود Active قابل تشخیص میباشد در صورتیکه شنود Passive غیر قابل شناسایی میباشد.
اسنیفر غیرفعال یا Passive: هکر بر روی همهی کامپیوترهای یک شبکه نرمافزار شنود را نصب میکند. اسنیفر Passive در شبکههایی که از طریق هاب به هم متصل شده باشند و شبکههای وایرلس بکار میرود.
کاربران معمولی قادر به شناسایی اسنیفر در شبکه نخواهند بود. آنها میتوانند روی دستگاهشان یک Sniffer نصب و ترافیک DNS را مانیتور کنند تا اسنیفر دیگر در شبکه داخلی را شناسایی کنند. یا روی سیستمشان یک برنامه امنیتی ضد اسنیفر نصب کنند. همچنین میتوانند با استفاده از راهحلهای امنیتی ترافیک اینترنت شان را از دید هکر خارج کنند.
راههای مقابله با sniffing:
• محدود کردن دسترسی فیزیکی به شبکه و مطمئن شدن ازینکه packet sniffer نمیتواند نصب شود
• استفاده از رمزنگاری برای محافظت از اطلاعات
• اضافه کردن مک آدرس gateway شبکه به arp table به صورت استاتیک
• استفاده از مک آدرس های static و اضافه کردن آنها به arp table و همینطور ip static استفاده کردن
• استفاده از ipv6 به جای ipv4
• استفاده از پروتکل های امن برقراری session مثل ssh و secure copy(SCP) و …
• استفاده از https بجای http
• استفاده از سوییچ بجای هاب
• استفاده از sftp به جای ftp
• استفاده از PGP,S/MIPE,VPN,IPSec,SSL/TLS و همچنین استفاده از پسوردهای یکبار مصرف
• استفاده از پروتکل های رمزنگاری قوی در شبکه های وایرلس نظیر wpa3 و wpa2
• استفاده از ابزارهایی که تشخیص promiscuous mode را میدهند.