Trình đánh hơi gói hoặc phân tích giao thức là công cụ được các kỹ thuật viên mạng sử dụng để chẩn đoán các sự cố liên quan đến mạng. Tin tặc sử dụng trình đánh hơi gói cho các mục đích ít cao cả hơn, chẳng hạn như theo dõi lưu lượng người dùng mạng và thu thập mật khẩu.
Máy đánh hơi gói có nhiều dạng. Một số bộ dò tìm gói được sử dụng bởi các kỹ thuật viên mạng là các giải pháp phần cứng cho một mục đích. Ngược lại, các trình dò tìm gói tin khác là các ứng dụng phần mềm chạy trên các máy tính tiêu dùng tiêu chuẩn, sử dụng phần cứng mạng được cung cấp trên thiết bị chủ để thực hiện các tác vụ bắt và đưa gói tin vào.
Cách hoạt động của Packet Sniffers
Trình dò tìm gói hoạt động bằng cách chặn và ghi lại lưu lượng mạng thông qua giao diện mạng có dây hoặc không dây trên máy tính chủ của nó.
Trên mạng có dây, thông tin có thể được thu thập tùy thuộc vào cấu trúc của mạng. Một trình kiểm tra gói có thể xem lưu lượng trên toàn bộ mạng hoặc chỉ một phân đoạn nhất định; nó phụ thuộc vào cách cấu hình các thiết bị chuyển mạch mạng. Trên mạng không dây, trình dò tìm gói thường bắt từng kênh một, trừ khi máy tính chủ có nhiều giao diện không dây cho phép bắt đa kênh.
Mặc dù hầu hết các trình dò tìm gói tin đang được sử dụng ngày nay đều là phần mềm, nhưng trình kiểm tra gói tin phần cứng vẫn đóng một vai trò trong việc khắc phục sự cố mạng. Trình dò tìm gói phần cứng cắm trực tiếp vào mạng và lưu trữ hoặc chuyển tiếp thông tin mà chúng thu thập được.
Sau khi dữ liệu gói thô được thu thập, phần mềm đánh hơi gói sẽ phân tích nó và trình bày nó ở dạng có thể đọc được để người sử dụng phần mềm có thể hiểu được. Người phân tích dữ liệu có thể xem chi tiết về sự tương tác giữa hai hoặc nhiều nút trên mạng.
Kỹ thuật viên mạng sử dụng thông tin này để xác định lỗi nằm ở đâu, chẳng hạn như xác định thiết bị nào không đáp ứng được yêu cầu mạng.
Tin tặc sử dụng máy đánh hơi để nghe trộm dữ liệu không được mã hóa trong các gói để xem thông tin nào đang được trao đổi giữa hai bên. Họ cũng có thể nắm bắt thông tin như mật khẩu và mã thông báo xác thực nếu chúng được gửi rõ ràng. Tin tặc cũng được biết là nắm bắt các gói để phát lại sau trong các cuộc tấn công phát lại, man-in-the-middle và chèn gói mà một số hệ thống dễ bị tấn công.
Bottom Line
Giống như hầu hết mọi người, các kỹ sư mạng và tin tặc yêu thích những thứ miễn phí, đó là lý do tại sao các ứng dụng dò tìm phần mềm miễn phí và mã nguồn mở thường là công cụ được họ lựa chọn. Một cung cấp mã nguồn mở phổ biến là Wireshark, trước đây được gọi là Ethereal. Sử dụng nó để đánh hơi các gói của bạn trong trường, lưu chúng vào tệp CAP và phân tích chúng sau.
Bảo vệ mạng và dữ liệu của mạng khỏi bị tin tặc sử dụng máy bắn tỉa
Nếu bạn là kỹ thuật viên hoặc quản trị viên mạng và bạn muốn xem có ai trong mạng của mình đang sử dụng công cụ dò tìm hay không, hãy xem công cụ có tên Antisniff. Nó phát hiện xem một giao diện mạng trên mạng của bạn có được đặt vào chế độ không hợp lệ hay không. Đừng cười; đó là tên thực của nó và là chế độ bắt buộc cho các tác vụ bắt gói.
Một cách khác để bảo vệ lưu lượng mạng của bạn không bị đánh hơi là sử dụng mã hóa, chẳng hạn như Lớp cổng bảo mật (SSL) hoặc Bảo mật lớp truyền tải (TLS). Mã hóa sẽ không ngăn trình dò tìm gói dữ liệu nhìn thấy thông tin nguồn và đích, nhưng nó có thể mã hóa tải trọng của gói dữ liệu để tất cả những gì trình dò tìm thấy là vô nghĩa.
Bất kỳ nỗ lực nào để sửa đổi hoặc đưa dữ liệu vào các gói đều không thành công vì việc xáo trộn dữ liệu được mã hóa gây ra lỗi rõ ràng khi thông tin được mã hóa được giải mã ở đầu bên kia.
Sniffers là công cụ tuyệt vời để chẩn đoán các sự cố mạng đang phát triển. Tuy nhiên, chúng cũng hữu ích cho các mục đích hack. Điều cần thiết là các chuyên gia bảo mật phải tự làm quen với các công cụ này để họ có thể biết cách hacker có thể sử dụng chúng trên mạng của họ.
Các loại gói thông tin thu thập được
Mặc dù trình đánh dấu gói tin là công cụ dành cho các kỹ sư mạng, chúng cũng phổ biến trong một số phần mềm chống vi-rút có uy tín và là phần mềm độc hại trong các tệp đính kèm email bất chính.
Trình đánh hơi gói có thể thu thập hầu hết mọi loại dữ liệu. Họ có thể ghi lại mật khẩu và thông tin đăng nhập, cùng với các trang web mà người dùng máy tính đã truy cập và những gì người dùng đã xem khi ở trên trang web. Chúng có thể được các công ty sử dụng để theo dõi việc sử dụng mạng của nhân viên và quét lưu lượng truy cập đến để tìm mã độc. Trong một số trường hợp, trình kiểm tra gói có thể ghi lại tất cả lưu lượng trên mạng.
Trình đánh dấu gói rất có giá trị vì chúng hạn chế phần mềm độc hại và có giá trị để khắc phục sự cố mạng, nhưng chúng nên được sử dụng với phần mềm bảo mật mạnh mẽ để ngăn chặn việc sử dụng sai mục đích.
