Аналізатор трафіку

Аналіза́тор тра́фіку, або сні́фер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку призначеного для інших вузлів.

Принцип роботи[ред. | ред. код]

Перехоплення трафіку може здійснюватися:

• звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми);
• підключенням сніфера в розрив каналу;
• відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер;
• через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
• через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.

Застосування[ред. | ред. код]

На початку 1990-х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів, які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді. Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.

Сніфери застосовуються як в благих, так і в деструктивних цілях. Аналіз трафіку, що пройшов через сніфер, дозволяє:

• Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз).
• Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності).
• Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації.
• Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)

Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із застосуванням лише простих засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.

Приклади аналізаторів трафіку[ред. | ред. код]

• Wireshark
• tcpdump
• CommView
• pcap — бібліотека
• Iris
• WinDump [Архівовано 8 жовтня 2011 у Wayback Machine.]
• Sniffit — найперший сніфер, що набув широкої популярності. Тестувався на GNU/Linux, SunOS, Solaris, FreeBSD, IRIX. В 1990-х був синонімом слова sniffer.
• Ultra Network
• Sniffer [Архівовано 5 вересня 2021 у Wayback Machine.]
• Analyzer
• Packetyzer [Архівовано 21 листопада 2008 у Wayback Machine.]
• Network General — Sniffer Technologies
• IPDump2, a portable packet sniffer
• Ferret — універсальний сніфер, заточений під Wi-Fi [1].
• LanGrabber — сніфер, що видобуває файли з мережного трафіку [Архівовано 24 липня 2008 у Wayback Machine.]
• Observer [Архівовано 20 вересня 2008 у Wayback Machine.]
• Xplico Open source Internet Traffic Decoder (NFAT)
• Zeek

Див. також[ред. | ред. код]

Вікісховище має мультимедійні дані за темою: Аналізатор трафіку

• Вардрайвинг
• Код відповіді
• Моделювання трафіку
• Network tap

Посилання[ред. | ред. код]

• Protocol Analyzers, каталог посилань Open Directory Project (англ.)
• How-to Packet Sniff. [Архівовано 15 червня 2013 у Wayback Machine.] (англ.)
• The Making of a Professional cTrace Packet Analyzer. (You must fill a «Download request form» to access this document) (англ.)
• Packet Sniffing FAQ by Robert Graham. (англ.)
• A Quick Intro to Sniffers. [Архівовано 26 квітня 2022 у Wayback Machine.] (англ.)
• Multi-Tap Network Packet Capture. (англ.)
• Microsoft Message Analyzer. [Архівовано 25 червня 2013 у Wayback Machine.] (англ.)

Це незавершена стаття про комп'ютерні мережі. Ви можете допомогти проєкту, виправивши або дописавши її.

Цю статтю треба вікіфікувати для відповідності стандартам якості Вікіпедії. Будь ласка, допоможіть додаванням доречних внутрішніх посилань або вдосконаленням розмітки статті. (Грудень 2011)

Ця стаття потребує додаткових посилань на джерела для поліпшення її перевірності. Будь ласка, допоможіть удосконалити цю статтю, додавши посилання на надійні (авторитетні) джерела. Зверніться на сторінку обговорення за поясненнями та допоможіть виправити недоліки. Матеріал без джерел може бути піддано сумніву та вилучено. (жовтень 2017)