Đánh giá mạng là việc sử dụng một công cụ phần mềm, được gọi là trình dò tìm mạng, theo dõi hoặc đánh giá dữ liệu truyền qua các liên kết mạng máy tính trong thời gian thực. Công cụ phần mềm này là một chương trình phần mềm độc lập hoặc một thiết bị phần cứng có phần mềm hoặc chương trình cơ sở thích hợp.
Network Sniffer là gì?
Bộ dò tìm mạng chụp các bản sao chụp nhanh của dữ liệu truyền qua mạng mà không chuyển hướng hoặc thay đổi nó. Một số trình đánh giá chỉ hoạt động với các gói TCP / IP, nhưng các công cụ phức tạp hơn hoạt động với nhiều giao thức mạng khác và ở các cấp thấp hơn, bao gồm cả khung Ethernet.
Cách đây nhiều năm, trình đánh hơi là công cụ được sử dụng riêng bởi các kỹ sư mạng chuyên nghiệp. Tuy nhiên, ngày nay, với phần mềm có sẵn miễn phí trên web, chúng cũng phổ biến với các hacker internet và những người tò mò về mạng.
Máy dò tìm mạng đôi khi được gọi là máy dò mạng, máy dò tìm không dây, máy dò Ethernet, máy dò gói, máy phân tích gói hoặc đơn giản là máy dò tìm.
Cách sử dụng trình phân tích gói
Có một loạt các ứng dụng dành cho trình dò tìm gói tin. Hầu hết các trình dò tìm gói tin đều có thể được sử dụng một cách không phù hợp bởi một người và vì những lý do chính đáng của người khác.
Chẳng hạn, một chương trình ghi lại mật khẩu có thể được tin tặc sử dụng, nhưng quản trị viên mạng có thể sử dụng công cụ tương tự để tìm số liệu thống kê mạng như băng thông khả dụng.
Đánh giá mạng cũng được sử dụng để kiểm tra tường lửa hoặc bộ lọc web và khắc phục sự cố mối quan hệ máy khách / máy chủ.
Cách hoạt động của tính năng đánh hơi mạng
Một trình kiểm tra gói được kết nối với bất kỳ mạng nào sẽ chặn tất cả dữ liệu truyền qua mạng đó.
Trên mạng cục bộ (LAN), các máy tính thường giao tiếp trực tiếp với các máy tính hoặc thiết bị khác trong mạng. Bất kỳ thứ gì được kết nối với mạng đó đều được tiếp xúc với tất cả lưu lượng truy cập đó. Máy tính được lập trình để bỏ qua tất cả lưu lượng mạng không dành cho nó.
Phần mềm dò tìm mạng mở ra tất cả lưu lượng bằng cách mở thẻ giao diện mạng (NIC) của máy tính để lắng nghe lưu lượng đó. Phần mềm đọc dữ liệu đó và thực hiện phân tích hoặc trích xuất dữ liệu trên đó.
Sau khi nhận được dữ liệu mạng, phần mềm sẽ thực hiện các hành động sau trên nó:
- Nội dung hoặc các gói riêng lẻ (các phần dữ liệu mạng), được ghi lại.
- Một số phần mềm chỉ ghi phần tiêu đề của gói dữ liệu để tiết kiệm dung lượng.
- Dữ liệu mạng đã chụp được giải mã và định dạng để người dùng có thể xem thông tin.
- Trình đánh giá gói tin phân tích lỗi trong giao tiếp mạng, khắc phục sự cố kết nối mạng và xây dựng lại toàn bộ luồng dữ liệu dành cho các máy tính khác.
- Một số phần mềm dò tìm mạng truy xuất thông tin nhạy cảm như mật khẩu, số PIN và thông tin cá nhân.
Làm thế nào để ngăn chặn các cuộc tấn công ăn mòn mạng
Nếu bạn lo lắng về việc phần mềm dò tìm mạng theo dõi lưu lượng mạng đến từ máy tính của bạn, có nhiều cách để bảo vệ bạn.
Có những lý do đạo đức mà ai đó có thể cần phải sử dụng phần mềm giám sát, chẳng hạn như khi quản trị viên mạng giám sát luồng lưu lượng mạng.
Khi quản trị viên mạng lo ngại về việc sử dụng bất chính các công cụ này trên mạng của họ, họ sử dụng tính năng quét chống đánh hơi để đề phòng các cuộc tấn công của kẻ trộm. Điều này có nghĩa là mạng công ty thường an toàn.
Tuy nhiên, thật dễ dàng để lấy và sử dụng phần mềm theo dõi vì lý do độc hại, điều này khiến việc sử dụng bất hợp pháp đối với mạng internet gia đình của bạn là một nguyên nhân đáng lo ngại. Sẽ rất dễ dàng cho một người nào đó kết nối phần mềm như vậy ngay cả với mạng máy tính của công ty.
Nếu bạn muốn bảo vệ mình khỏi ai đó theo dõi lưu lượng truy cập internet của mình, hãy sử dụng VPN mã hóa lưu lượng truy cập internet của bạn. Bạn có thể tìm hiểu tất cả về VPN và các nhà cung cấp VPN mà bạn có thể sử dụng để bảo vệ mình.
Công cụ Sniffer Mạng
Wireshark (trước đây gọi là Ethereal) được công nhận rộng rãi là trình đánh giá mạng phổ biến nhất thế giới. Đây là một ứng dụng mã nguồn mở, miễn phí, hiển thị dữ liệu lưu lượng bằng mã hóa màu để cho biết giao thức nào đã được sử dụng để truyền tải nó.
Trên mạng Ethernet, giao diện người dùng của nó hiển thị các khung riêng lẻ trong danh sách được đánh số và đánh dấu bằng các màu riêng biệt cho dù chúng được gửi qua TCP, UDP hoặc các giao thức khác.
Wireshark cũng nhóm các luồng tin nhắn được gửi qua lại giữa nguồn và đích (được trộn lẫn theo thời gian với lưu lượng từ các cuộc trò chuyện khác).
Wireshark hỗ trợ ghi lại lưu lượng truy cập thông qua giao diện nút ấn start / stop. Công cụ này cũng chứa các tùy chọn lọc giới hạn dữ liệu được hiển thị và đưa vào các ảnh chụp. Đó là một tính năng quan trọng vì hầu hết lưu lượng mạng đều chứa các thông báo kiểm soát thông thường không được quan tâm.
Nhiều ứng dụng phần mềm thăm dò khác nhau đã được phát triển trong nhiều năm. Đây chỉ là một số ví dụ:
- tcpdump (một công cụ dòng lệnh cho Linux và các hệ điều hành dựa trên Unix khác)
- CloudShark
- Cain và Abel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Trình phân tích mạng miễn phí
- NetworkMiner
- Công cụ IP
Một số công cụ dò tìm mạng này miễn phí trong khi những công cụ khác trả phí hoặc có bản dùng thử miễn phí. Ngoài ra, một số chương trình này không còn được duy trì hoặc cập nhật, nhưng chúng vẫn có sẵn để tải xuống.
Vấn đề với Kẻ trộm mạng
Các công cụSniffer cung cấp một cách tuyệt vời để tìm hiểu cách hoạt động của các giao thức mạng. Tuy nhiên, chúng cũng cung cấp khả năng truy cập dễ dàng vào một số thông tin riêng tư như mật khẩu mạng. Kiểm tra với chủ sở hữu để được cấp phép trước khi sử dụng trình dò tìm trên mạng của họ.
Đầu dò mạng chỉ chặn dữ liệu từ các mạng mà máy tính chủ của chúng được gắn vào. Trên một số kết nối, trình thám thính chỉ nắm bắt được lưu lượng truy cập đến giao diện mạng cụ thể đó. Trong mọi trường hợp, điều quan trọng nhất cần nhớ là bất kỳ ai đang tìm cách sử dụng phần mềm dò tìm mạng để theo dõi lưu lượng sẽ gặp khó khăn nếu lưu lượng đó được mã hóa.
FAQ
Làm thế nào bạn có thể biết nếu ai đó đang theo dõi mạng của bạn?
Có thể khó phát hiện những kẻ đánh hơi vì chúng thường bị động bằng cách chỉ thu thập dữ liệu. Nhưng nếu một trình thám thính được cài đặt trên máy tính, lưu lượng truy cập bổ sung có thể cảnh báo bạn về sự hiện diện của trình đánh hơi. Cân nhắc sử dụng một chương trình phần mềm phát hiện kẻ đánh hơi, chẳng hạn như Chống đánh hơi, Phát hiện đánh hơi, ARP Watch hoặc Snort.
Loại dữ liệu và thông tin nào có thể được tìm thấy bằng cách sử dụng trình đánh giá gói tin?
Trình đánh hơi gói tin là một công cụ kỹ sư mạng hợp pháp hoặc tính năng chống vi-rút, nhưng nó cũng có thể là công cụ của tin tặc, hiển thị dưới dạng tệp đính kèm email độc hại. Những kẻ dò tìm gói dữ liệu độc hại có thể ghi lại mật khẩu và thông tin đăng nhập, đồng thời giám sát các lượt truy cập và hoạt động trang web của người dùng. Một doanh nghiệp có thể sử dụng một trình kiểm tra gói tin hợp pháp để quét lưu lượng đến để tìm phần mềm độc hại hoặc theo dõi việc sử dụng mạng của nhân viên.
