Сүлжээ шиншлэх нь компьютерийн сүлжээний холбоосоор урсаж буй өгөгдлийг бодит цаг хугацаанд хянаж, үнэрлэдэг сүлжээний мэдрэгч гэж нэрлэгддэг програм хангамжийн хэрэгслийг ашиглах явдал юм. Энэ програм хангамжийн хэрэгсэл нь бие даасан програм хангамж эсвэл тохирох програм хангамж эсвэл програм хангамж бүхий техник хангамжийн төхөөрөмж юм.
Сүлжээний мэдрэгч гэж юу вэ?
Сүлжээний мэдрэгч нь сүлжээгээр дамжиж буй өгөгдлийн агшин зуурын хуулбарыг дахин чиглүүлэх эсвэл өөрчлөхгүйгээр авдаг. Зарим sniffer нь зөвхөн TCP/IP пакетуудтай ажилладаг боловч илүү боловсронгуй хэрэгслүүд нь бусад олон сүлжээний протоколууд болон Ethernet фрейм зэрэг доод түвшинд ажилладаг.
Олон жилийн өмнө үнэрлэгч нь зөвхөн мэргэжлийн сүлжээний инженерүүдийн ашигладаг хэрэгсэл байсан. Гэвч өнөө үед вэб дээр үнэгүй ашиглах боломжтой программ хангамжууд нь интернет хакерууд болон сүлжээний талаар сонирхож буй хүмүүсийн дунд түгээмэл байдаг.
Сүлжээний мэдрэгчийг заримдаа сүлжээний мэдрэгч, утасгүй мэдрэгч, Ethernet мэдрэгч, пакет илрүүлэгч, пакет анализатор, эсвэл зүгээр л snoops гэж нэрлэдэг.
Пакет анализаторыг хэрхэн ашигладаг вэ
Пакет sniffer-д зориулсан өргөн хүрээний програмууд байдаг. Ихэнх пакет мэдрэгчийг нэг хүн зохисгүй, өөр хүн хууль ёсны шалтгаанаар ашиглаж болно.
Жишээ нь, нууц үг олж авдаг программыг хакер ашиглаж болох ч сүлжээний администратор боломжтой зурвасын өргөн гэх мэт сүлжээний статистикийг олохын тулд ижил хэрэгслийг ашиглаж болно.
Сүлжээний үнэрийг галт хана эсвэл вэб шүүлтүүрийг турших, үйлчлүүлэгч/серверийн харилцааны алдааг олж засварлахад ашигладаг.
Сүлжээний үнэрлэх үйлчилгээ хэрхэн ажилладаг вэ
Аливаа сүлжээнд холбогдсон пакет илрүүлэгч тухайн сүлжээгээр урсаж буй бүх өгөгдлийг саатуулдаг.
Дотоодын сүлжээнд (LAN) компьютерууд ихэвчлэн сүлжээнд байгаа бусад компьютер эсвэл төхөөрөмжтэй шууд холбогддог. Энэ сүлжээнд холбогдсон аливаа зүйл тэр бүх урсгалд өртдөг. Компьютерууд үүнд зориулагдаагүй сүлжээний бүх урсгалыг үл тоомсорлохоор программчлагдсан.
Сүлжээний үнэрлэх програм хангамж нь тухайн траффикийг сонсохын тулд компьютерийн сүлжээний интерфэйсийн картыг (NIC) нээснээр бүх урсгалыг нээж өгдөг. Програм хангамж нь тухайн өгөгдлийг уншиж, түүн дээр дүн шинжилгээ хийх эсвэл өгөгдөл задлах ажлыг гүйцэтгэдэг.
Сүлжээний өгөгдлийг хүлээн авмагц программ хангамж нь дараах үйлдлүүдийг гүйцэтгэдэг:
- Агуулга эсвэл тусдаа пакетуудыг (сүлжээний өгөгдлийн хэсэг) бүртгэсэн.
- Зарим програм хангамж нь зай хэмнэхийн тулд өгөгдлийн багцын зөвхөн толгой хэсгийг бичдэг.
- Авсан сүлжээний өгөгдлийг тайлж, форматласан бөгөөд ингэснээр хэрэглэгч мэдээллийг харах боломжтой болно.
- Пакет илрүүлэгч нь сүлжээний холболтын алдааг шинжилж, сүлжээний холболтын алдааг олж засварлаж, бусад компьютерт зориулагдсан өгөгдлийн урсгалыг бүхэлд нь сэргээдэг.
- Сүлжээний үнэрлэх зарим программ хангамж нь нууц үг, ПИН дугаар болон хувийн мэдээлэл зэрэг нууц мэдээллийг татаж авдаг.
Сүлжээний Sniffer халдлагаас хэрхэн сэргийлэх вэ
Хэрэв та өөрийн компьютерээс ирж буй сүлжээний траффикийг тагнах программ хангамжийн талаар санаа зовж байгаа бол өөрийгөө хамгаалах арга бий.
Сүлжээний администратор сүлжээний хөдөлгөөний урсгалыг хянадаг гэх мэт хэн нэгэнд sniffer программ хангамж ашиглах шаардлагатай байж болох ёс зүйн шалтгаанууд байдаг.
Сүлжээний администраторууд өөрсдийн сүлжээнд эдгээр хэрэгслүүдийг хор хөнөөлтэй ашиглаж байгаад санаа зовсон үед үнэрлэгчийн дайралтаас хамгаалахын тулд үнэрлэхийн эсрэг сканнеруудыг ашигладаг. Энэ нь корпорацийн сүлжээнүүд ихэвчлэн аюулгүй байдаг гэсэн үг.
Гэсэн хэдий ч хорлонтой шалтгаанаар sniffer программ хангамжийг олж авах, ашиглахад хялбар байдаг бөгөөд энэ нь таны гэрийн интернетийн эсрэг хууль бусаар ашиглах нь санаа зовоох шалтгаан болдог. Хэн нэгэн ийм программ хангамжийг байгууллагын компьютерийн сүлжээнд холбоход маш хялбар байх болно.
Хэрэв та хэн нэгэн таны интернетийн траффикийг тагнаж байхаас өөрийгөө хамгаалахыг хүсвэл өөрийн интернэт траффикийг шифрлэдэг VPN ашиглана уу. Та VPN болон өөрийгөө хамгаалахын тулд ашиглаж болох VPN үйлчилгээ үзүүлэгчийн талаар бүгдийг мэдэж авах боломжтой.
Сүлжээний Sniffer хэрэгсэл
Wireshark (өмнө нь Ethereal гэгддэг) нь дэлхийн хамгийн алдартай сүлжээний үнэрлэгч гэдгээрээ алдартай. Энэ нь үнэгүй, нээлттэй эхийн програм бөгөөд замын хөдөлгөөний мэдээллийг өнгөт кодчилолоор харуулдаг бөгөөд үүнийг дамжуулахад ямар протокол ашигласан болохыг зааж өгдөг.
Ethernet сүлжээнд түүний хэрэглэгчийн интерфэйс нь тус тусдаа фрэймүүдийг дугаарласан жагсаалтад харуулж, TCP, UDP эсвэл бусад протоколоор илгээгдсэн эсэхээс үл хамааран тус тусад нь өнгөөр тодруулдаг.
Wireshark мөн эх сурвалж болон очих газрын хооронд нааш цааш илгээсэн мессежийн урсгалыг бүлэглэдэг (энэ нь бусад харилцан ярианы урсгалтай цаг хугацааны явцад холилддог).
Wireshark нь эхлүүлэх/зогсоох товчлуурын интерфейсээр дамжуулан замын хөдөлгөөний бичлэгийг дэмждэг. Энэхүү хэрэгсэл нь ямар өгөгдлийг харуулах, зураг авалтад оруулахыг хязгаарлах шүүлтүүрийн сонголтуудыг агуулдаг. Ихэнх сүлжээний траффик нь сонирхолгүй ердийн хяналтын мессежүүдийг агуулж байдаг тул энэ нь чухал онцлог юм.
Олон жилийн турш шалгах олон төрлийн программ хангамжийг боловсруулсан. Энд хэдхэн жишээ байна:
- tcpdump (Linux болон бусад Unix-д суурилсан үйлдлийн системд зориулсан командын мөрийн хэрэгсэл)
- CloudShark
- Каин ба Абел
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Үнэгүй сүлжээний анализатор
- NetworkMiner
- IP хэрэгсэл
Эдгээр сүлжээ таних хэрэгслүүдийн зарим нь үнэ төлбөргүй байхад бусад нь үнэтэй эсвэл үнэгүй туршилттай. Мөн эдгээр программуудын заримыг нь засварлаж, шинэчлэхээ больсон ч татаж авах боломжтой хэвээр байна.
Сүлжээний мэдрэгчтэй холбоотой асуудлууд
Sniffer хэрэгслүүд нь сүлжээний протоколууд хэрхэн ажилладаг талаар сурах гайхалтай аргыг санал болгодог. Гэсэн хэдий ч тэд сүлжээний нууц үг зэрэг зарим хувийн мэдээлэлд хялбар хандах боломжийг олгодог. Сүлжээнд нь үнэрлэгч ашиглахаасаа өмнө эзэмшигчдээс нь асууж зөвшөөрөл авна уу.
Сүлжээний мэдрэгч нь зөвхөн өөрийн компьютерт холбогдсон сүлжээнүүдийн өгөгдлийг саатуулдаг. Зарим холболтууд дээр sniffers зөвхөн тухайн сүлжээний интерфэйс рүү чиглэсэн урсгалыг авдаг. Ямар ч тохиолдолд хамгийн чухал зүйл бол сүлжээний үнэрлэгчийг ашиглан траффикийг тагнах гэж байгаа хэн бүхэнд энэ траффик шифрлэгдсэн тохиолдолд үүнийг хийхэд хэцүү байх болно гэдгийг санах хэрэгтэй.
FAQ
Хэн нэгэн таны сүлжээг үнэрлэж байгааг яаж мэдэх вэ?
Сонирлогчдыг илрүүлэхэд хэцүү байж болно, учир нь тэд зүгээр л өгөгдөл цуглуулснаар идэвхгүй хэвээр үлддэг. Гэхдээ хэрэв компьютер дээр үнэрлэгч суулгасан бол нэмэлт урсгал нь үнэрлэгч байгааг танд сануулж чадна. Үнэрлэгчийг илрүүлдэг Anti-Sniff, Sniff Detection, ARP Watch эсвэл Snort гэх мэт программ ашиглах талаар бодож үзээрэй.
Пакет sniffer ашиглан ямар төрлийн өгөгдөл, мэдээллийг олж авах боломжтой вэ?
Пакет sniffer нь сүлжээний инженерийн хууль ёсны хэрэгсэл эсвэл вирусны эсрэг функц боловч энэ нь хортой имэйл хавсралт болж харагдах хакерын хэрэгсэл байж болно. Хортой пакет илрүүлэгчид нууц үг, нэвтрэх мэдээллийг бүртгэхээс гадна хэрэглэгчийн вэб сайтад зочилсон болон үйл ажиллагааг хянах боломжтой. Бизнес нь ирж буй траффикийг хортой программаас хайх эсвэл ажилчдын сүлжээний ашиглалтыг хянахын тулд хууль ёсны пакет илрүүлэгчийг ашиглаж болно.
