Sniffere

In zilele noastre retelele de calculatoare sunt in general mari incluzand sisteme diverse care comunica folosind o varietate mare de protocoale. Aceasta complexitate a creat nevoia de unelte mai sofisticate pentru a depana traficul de retea. Azi, unul din uneltele critice ale fiecarui administrator de retea este snifferul. Snifferele, numite si analizatoare de pachete sunt programe care au abilitatea de a intercepta traficul care trece prin retea. Sunt foarte populare printre administratorii de retele si in comunitatea de raufacatori pentru ca pot fi folosite si pentru bine si pentru rau/ Capturarea de pachete este actiunea de a colecta date atunci cand acestea circula pe retea. Snifferele sunt cele mai bune exemple de sisteme de captura de pachete, dar multe alte tipuri de aplicatii prind pachetele din placa de retea. Acestea din urma include unelte statistice de retea, detectare de intruziuni, port knocking daemons, sniffere de parole, ARP poisoners, tracerouters etc Defiecaredata cand o placa de retea primeste un frame Ethernet verifica daca MAC-ul destinatie se potriveste cu propriul MAC. Daca se potrivesc genereaza o cerere de intrerupere. Rutina raspunzatoare cu tratarea intreruperilor este placa de retea a sistemului. Driverul marcheaza in timp datele receptionate si le copiaza din bufferul placii intr-un bloc de memorie in kernel space. Apoi se determina ce fel de pachet a fost receptionat prin citirea campului ethertype al headerului Ethernet si apoi este dat catre handlerul de protocol potrivit in stiva de

protocol. In majoritatea cazurilor frameul va contine o datagrama IPv4, deci handlerul de pachet IPv4 va fi apelat. Acest handler face o serie de verificari pentru a asigura, de exemplu, ca pachetul nu este corrupt si ca este destinat acestui host. Daca toate testele trec, headerele IP sunt sterse si restul este dat urmatorului handler de protocol (probabil TCP sau UDP). Acest process este repetat pana cand data ajunge la stratul de aplicatie (Application Layer) unde este procesata de aplicatia de nivel utilizator. Cand folosim un sniffer pachetele trec prin acelasi process descries mai sus, dar cu o diferenta: driverul de retea mai trimite o copie a fiecarui pachet receptionat sau transmis catre o zona din kernel numit packet filter. Acestea sunt cele ce fac posibila prinderea de pachete. In mod implicit ele lasa orice pachet sa treaca, dar de obicei ofera capabilitati avansate de filtrare. Cum capturarea de pachete poate implica riscuri de securitate, majoritatea sistemelor necesita privilegii de administrator pentru a folosi capabilitatile de filtrare.

Libpcap
Libpcap este o librarie open source care ofera o interfata de nivel inalt sistemelor de captura de pachete de retea. A fost creat in 1994 de McCanne, Leres si Jacobson cercetatori la Laboratorul National Lawrence Berkeley de la Universitatea din California la Berkley ca parte a unui proiect de cercetare pentru investigarea si inbunatatirea performantelor gateway-urilor TCP si Internet. Tinta primara a autorilor librariei a fost sa creeze un API independent de platforma pentru a elimina nevoia de module de pachete de captura dependente de platforma in fiecare aplicatie dupa cum fiecare producator de sisteme de operare implementeaza propriile mecanisme de captura. API-ul libpcap este proiectata sa fie folosita din C si C++. Oricum sunt multe wrapper care permit folosirea acestuia din limbaje ca Perl, Python, Java, C# sau Ruby. Libpcap ruleaza pe majoritatea sistemelor de operare tip UNIX (Linux, Solaris, BSD, HP-UX). Exista deasemenea si o versiune de Windows numita Wincap. Azi, libpcap este intretinuta de Grupul Tcpdump. Documentatia complete si codul sursa este la dispozitie pe site-ul official al tcpdump la http://www.tcpdump.org (http://www.winpcap.org pentru Winpcap).

Informatia capturata este decodata din format brut digital intr-o forma citibila care permite utilizatorilor analizatorului de pachete sa revizuiasca cu usurinta informatia schimbata. Analizoarele de protocol variaza in abilitatea lor de a afisa date in view-uri multiple, detectare automata de erori, determina cauza erorilor, genereaza diagrame de timp etc. Unele analizoare de protocol pot chiar genera traffic si deci actioneaza ca device-uri referinta, acestea putand functiona si ca testere de protocol. Aceste testere genereaza trafic correct pentru testare functional si deasemenea pot introduce erori in mod deliberat pentru a testa abilitatea de a rezolva conditiile de eroare. Versatilitatea snifferelor face ca acestea sa poata fi folosite la: Analiza problemelor de retea Detectarea incercarilor de intruziune in retea Detectarea folosirii gresite a retelei de utilizatori externi si interni Documentarea respectarii reglementarilor prin logarea permimetrului total de trafic Obtinerea de informatii legate de efectuarea unei intruziuni in retea Izolarea sistemelor exploatate Monitorizarea utilizarii si a latimii de banda a retelelor extinse Monitorizarea utilizarii retelei (incluzant utilizatorii interni si externi, cat si sistemele) Monitorizarea datelor in miscare Monitorizarea retelelor extinse si a statusului de securitate final Adunare si raportare de statistici de retea Filtrarea traficului de retea cu continut suspect Serveste ca sursa primara de date pentru activitatile zilnice de monitorizare si administrare de retea Spionarea unor utilizatori de retea si colectarea de informatii sensibile cum ar fi parolele Inversarea protocoalelor proprietare folosite in retea Depanarea comunicatiei client/server Depanarea implementarilor de protocoale de retea Verificarea de adaugari, modificari si mutari Verificarea eficientei sistemelor de control interne(firewalluri, access control, filter web, filtre spam, proxy)

Analizoare de pachete free: Capsa Free Cain and Abel dSniff ettercap Microsoft Network Monitor ngrep (Network Grep) snoop tcpdump Wireshark (cunoscut ca Ethereal) WinDump

Analizoare de pachete comerciale: Capsa Enterprise Carnivore Clarified Analyzer Congruity Inspector Software Fluke Lanmeter NAI Sniffer NetScout Sniffer Global Analyzer NetScout Sniffer Portable Professional Analyzer Network Instruments Observer Niksun NetDetector OPNET Technologies ACE Analyst SkyGrabber WildPackets OmniPeek (nume vechi AiroPeek, EtherPeek)