Packet Sniffer là gì?

Packet Sniffer hay Protocol Analyzer là những công cụ được sử dụng để chuẩn đoán và phát giác lỗi hệ thống mạng và các vấn đề liên quan. Các Hacker sử dụng Packet Sniffer với mục đích nghe trộm trên những dữ liệu chưa được mã hóa và xem những thông tin được nhận đổi giữa 2 bên.

1. Packet Sniffer là gì?

Packet Sniffer hay Protocol Analyzer là những công cụ được dùng để làm chuẩn đoán và phát hiện lỗi hệ thống mạng và các vấn đề liên quan. Packet Sniffers được những Hacker sử dụng với mục đích như theo dấu bí mật Network Traffic và thu thập tin tức mật khẩu người dùng.

Một số Packet Sniffer được các kỹ thuật viên sử dụng với mục đích chuyên dụng xử lý phần cứng khi đang những Packet Sniffer khác là những phần mềm phần mềm chạy trên máy tính người sử dụng được cấp tiêu chuẩn, sử dụng các phần cứng mạng được cung cấp trên các máy chủ để thực hành chặn gói dữ liệu và đưa dữ liệu vào.

2. Packet Sniffers hoạt động như làm sao?

Packet Sniffer hoạt động bằng phương pháp chặn Network Traffic, bạn cũng đều có thể nhìn thấy thông qua mạng dây hoặc mạng không dây mà phần mềm Packet Sniffer truy cập trên máy chủ.

Với mạng dây, việc chặn Network Traffic lệ thuộc vào cấu trúc mạng. Một Packet Sniffer cũng đều có thể xem được toàn bộ Network Traffic hoặc chỉ xem được 1 phân đoạn, phụ thuộc vào cách Nework Switch (thiết bị chuyển mạch) được cấu dường như thế nào, vị trí….

Với mạng không dây, Packet Sniffer chỉ cũng có thể chặn một kênh trong một lần trừ khi máy tính của bạn có nhiều giao diện không dây cấp phép chặn nhiều kênh.

Sau khi gói dữ liệu thô bị chặn, phần mềm Packet Sniffer sẽ phân tích và hiển thị thông báo cho người dùng.

Nhà phân tích dữ liệu có thể xem chi tiết “cuộc trò chuyện” diễn ra giữa hai hoặc nhiều hơn các nút mạng.

Kỹ thuật viên cũng có thể có thể sử dụng tin tức này để xác định lỗi, chẳng hạn như xác định thiết bị nào không đáp ứng yêu cầu mạng.

Các Hacker cũng có thể có thể sử dụng Sniffer để nghe trộm trên những dữ liệu không được mã hóa và xem các tin tức được nhận đổi giữa 2 bên. Ngoài ra họ có thể thu thập được các tin tức như mật khẩu và xác nhận mật khẩu. Các Hacker cũng cũng đều có thể chặn bắt các gói dữ liệu (Capture packet), và tấn công gói tin trên hệ thống của bạn.

3. Những phần mềm, công cụ được sử dụng trong Packet Sniffing

Mỗi quản trị viên CNTT phải liên tiếp duy trì năng suất mạng vì đó là một trong các tài nguyên quan trọng nhất đối với tổ chức. Quản trị viên không thể để mạng ngừng hoạt động, ngay cả chỉ trong vài phút, vì điều này cũng có thể có thể gây nên tổn thất lớn cho công ty.

Đồng thời, việc quản lý một mạng có kích thước không cố định cũng chẳng hề dễ dàng. Đây là nguyên nhân tại sao các công cụ như packet sniffer luôn có ích trong việc định vị và khắc phục sự cố nhanh chóng. Nhiệm vụ chính của packet sniffer là kiểm tra xem các gói dữ liệu có được gửi, nhận và truyền chính xác trong mạng không. Trong quá trình kiểm tra, packet sniffer cũng có thể có thể chẩn đoán các vấn đề khác nhau liên quan đến mạng.

Tất cả những công cụ và phần mềm packet sniffer sẽ phân tích header và payload của mỗi gói đi qua nó. Sau đó, các gói sẽ được phân loại và phân tích.

Do packet sniffing được sử dụng rộng rãi như 1 hình thức khắc phục sự cố mạng hiệu quả, nên hiện giờ có biết bao chọn lựa có sẵn để xem xét.

Cả Network Engineer (kỹ sư) và Hacker đều thích những công cụ miễn phí, đó là lý do tại sao những mã nguồn mở (open source) và các ứng dụng ứng dụng Sniffer miễn phí là những công cụ được chọn lựa và sử dụng trong Packet Sniffing.

Một trong số mã nguồn mở thông dụng là: Wireshark (trước đây được coi là Ethereal ).

Bạn có thể tham khảo các bước hướng dẫn sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng tại đây.

Ngoài ra, bạn có tham khảo các tùy chọn sau:

Solarwinds Bandwidth Analyzer 2-Pack

Công cụ Solarwinds Bandwidth Analyzer đích thực là một công cụ hai trong một: Bạn có Solarwinds Bandwidth Analyzer (Trình quan sát công suất mạng) xử lý lỗi, tính khả dụng và giám sát công suất cho các mạng ở mọi quy mô, cũng như Netflow Traffic Analyzer (Trình phân tích lưu lượng mạng) sử dụng công nghệ lưu lượng để phân tích hiệu suất đường truyền mạng và mô hình lưu lượng. Cả hai ứng dụng này đều được tích hợp trong Solarwinds Bandwidth Analyzer.

Network Performance Monitor hiển thị thời gian phản hồi, tính khả dụng và năng suất của các thiết bị mạng, cũng giống phát hiện, chẩn đoán và xử lý các vấn đề về hiệu suất thông qua các dashboard, cảnh báo và báo cáo. Công cụ cũng hiển thị đồ họa hoạch toán năng suất mạng theo thời gian thực thông qua các bản đồ mạng động.

Công cụ Netflow Analyzer đi cùng xác định người dùng, phần mềm và giao thức đang tiêu hao băng thông, highlight địa chỉ IP của chúng và hiển thị dữ liệu lưu lượng chi tiết từng phút một. Nó cũng phân tích Cisco NetFlow, Juniper J-Flow, IPFIX, sFlow, Huawei NetStream và các dữ liệu lưu lượng khác.

Tcpdump.org

TCPDump là một packet sniffer phổ biến chạy trong dòng lệnh. Công cụ này hiển thị các gói TCP/IP được truyền qua Internet, do đó, bạn sẽ biết có bao nhiêu gói được truyền và nhận, và dựa trên thông tin này, bạn sẽ có thân xác định bất kỳ vấn đề nào xảy ra trong mạng.

Trong thời gian trước khi Ethereal xuất hiện (công cụ này vẫn còn được dùng cho tới ngày nay), TCPDump là tiêu chuẩn defacto cho packet sniffing. Nó không có giao diện người sử dụng đẹp mắt như của Wireshark và logic tích hợp để giải mã các luồng ứng dụng, nhưng vẫn chính là một lựa chọn của nhiều quản trị viên mạng. Đây là tiêu chí đã được thử nghiệm và được dùng từ cuối những năm 80. Nó cũng đều có thể chụp và ghi lại gói với rất ít tài nguyên hệ thống (đó là nguyên do nó được rất nhiều người yêu thích). TCPDump mới đầu được thiết kế cho các hệ thống UNIX và thường được cài đặt theo mặc định.

Một số tính năng quan trọng của TCPDump gồm những:

• Xuất thông tin mô tả các gói trên giao diện mạng bằng biểu thức boolean, để đọc và hiểu nhanh chóng.
• Cung cấp tùy chọn ghi một gói vào file để phân tích sau hoặc đọc từ một file đã lưu.
• Tạo một báo cáo toàn diện sau khi capture (bắt) các gói. Báo cáo này chứa thông tin như con số gói được nhận và xử lý, gói được nhận bởi bộ lọc, gói được bỏ bởi kernel, mô tả và timestamp.
• Cung cấp tùy chọn để xuất buffer gói vào một file đầu ra.
• Các tùy chọn không giống nhau của TCPDump cho phép bạn tùy chỉnh đầu ra tùy theo yêu cầu.
• Hoạt động tốt trên đa số các hệ điều hành giống Unix như Linux, Solaris, BSD, Android và AIX.
• TCPdump cũng đều có thể được dùng đặc biệt để chặn và hiển thị tin tức liên lạc của một người sử dụng hoặc máy tính cụ thể.
• Trong các mạng có lưu lượng lớn, người dùng có tùy chọn đặt giới hạn số lượng gói được công cụ capture. Tính năng này làm cho đầu ra dễ đọc hơn.
• Có các tùy chọn để thả hoặc thêm đặc quyền cho người dùng cá nhân muốn chạy TCPDump.

TCPDump là một công cụ mã nguồn mở, miễn phí sử dụng.

Tải TCPDump.

Kismetwireless.net

Kismet là một hệ thống phát giác mạng không dây, sniffer và phát giác xâm nhập, hoạt động chủ đạo trên WiFi. Bên cạnh đó, Kismet cũng cũng đều có thể được mở rộng sang các dòng mạng khác thông qua một plug-in.

Trong thập kỷ trước, mạng không dây là một phần rất là quan trọng trong đa số các mạng kinh doanh. Bây giờ, mọi người dùng mạng không dây cho máy tính xách tay, điện thoại di động và máy tính bảng. Khi tầm quan trọng trong công sở của các thiết bị này tăng lên, vai trò của mạng không dây càng trở nên rõ rệt. Packet sniffing trên mạng không dây có một số khó khăn với những bộ điều hợp được bổ trợ và đó là khi Kismet tỏa sáng. Kismet được thiết kế dành cho Packet sniffing không dây và bổ trợ bất kỳ bộ điều hợp mạng không dây nào sử dụng chế độ quan sát thô. Ngoài tính năng giám sát 802.11, nó có bổ trợ plugin để giải mã.

Một số tính năng nổi bật của Kismet gồm những:

• Hỗ trợ tính năng sniffing 802.11
• Cung cấp tính năng ghi nhật ký PCAP tương thích với những công cụ packet sniffing khác như Wireshark và TCPDump.
• Tuân theo mô hình cấu trúc máy khách/máy chủ.
• Có cấu trúc plug in, vì thế bạn có thể mở rộng chức năng của những tính năng cốt lõi.
• Cung cấp tùy chọn để xuất các gói sang nhiều công cụ khác thông qua giao diện trực quan. Tính năng xuất các gói này còn cũng có thể được thực hành trong thời gian thực.
• Cung cấp bổ trợ cho các giao thức mạng khác như 802.11a, 802.11b, 802.11g và 802.11n.

Kismet có sẵn miễn phí.

Tải Kismet.

EtherApe

Giống như Wireshark, EtherApe là phần nào mềm miễn phí nguồn mở được thiết kế để kiểm tra các gói mạng. Thay vì hiển thị nhiều thông tin ở định dạng văn bản, EtherApe nhằm mục đích đại diện cho các gói được nắm bắt 1 cách trực quan, cũng như một loạt các kết nối và luồng dữ liệu. EtherApe hỗ trợ xem những gói mạng theo thời gian thực, nhưng cũng cũng có thể có thể kiểm tra các định hình tiêu chuẩn của các gói hiện có. Điều này cung cấp cho những admin một công cụ hữu ích khác trong việc khắc phục sự cố mạng.

Link tham khảo: http://etherape.sourceforge.net/

SteelCentral Packet Analyzer

SteelCentral Packet Analyzer là một packet sniffer mạng từ một công ty có tên Riverbed.

Công cụ này đi cùng với 1 loạt các tính năng mạnh mẽ, giúp cho công việc của các quản trị viên CNTT trở nên “dễ thở” hơn:

• Bạn có thể đơn giản tách riêng lưu lượng truy cập bằng cách kéo và thả, cũng như đi sâu theo một số cấp độ đối với các thành phần giao diện.
• Đi kèm với một bộ sưu tầm gồm rất nhiều các quan điểm phân tích.
• Bạn có thể cấu hình trình kích hoạt và báo động để phát giác hành vi bất thường.
• Quét qua hàng triệu packet để dự đoán và phân tích.
• Cho phép bạn hợp nhất và phân tích nhiều file theo dấu và một lúc, để làm được ánh nhìn đậm đường nét hơn về hành vi mạng.
• Xác định chính xác các vấn đề trên mạng, trong nhiều tình huống khác nhau.
• Hỗ trợ hàng trăm lượt xem và biểu đồ để phân tích lưu lượng mạng.
• Biểu đồ có thể được tùy chỉnh hoặc nhập/xuất ở nhiều định dạng.
• Báo cáo tùy chỉnh cho dù là các cuộc đối thoại ở mọi thứ các lớp, phân tích phân mảnh IP, gán địa chỉ DHCP, công cụ đàm thoại hàng đầu TCP và chi tiết lưu lượng truy cập unicast, multicast và broadcast.
• Có giao diện người sử dụng đồ họa trực quan.
• Tích hợp đầy đặn với WireShark.

Tùy chọn:

SteelCentral Packet Analyzer có ba phiên bản: SteelCentral packet Analyzer Pro, SteelCentral Packet Analyzer và SteelCentral packet Analyzer Personal. Sự khác biệt giữa ba phiên bản này là:

Tính năng	SteelCentral packet Analyzer Pro	SteelCentral Packet Analyzer	SteelCentral packet Analyzer Personal Edition
Hoạt động với SteelCentral AppResponse 11	Có	Không	Không
Hoạt động với SteelCentral Netshark	Không	Có	Không
Hoạt động với các trace file (file ghi sự kiện)	Có	Có	Có
Hoạt động với SteelHead và SteelFusion	Không	Có	Không
Phân tích gói và đi sâu vào Wireshark	Có	Có	Có
Phân tích nhanh các file multi-TB capture	Có	Có	Có
Lập chỉ mục Microflow để phân tích nhanh	Có	Có	Có
Quan điểm phân tích phong phú để xử lý sự cố trực quan	Có	Có	Có
Giải mã VoIP	Có	Có	Có
Giải mã FIX, giao dịch tài chính, cơ sở dữ liệu, giao thức CIF và ICA	Có	Có	Không
Sơ đồ trình tự gói	Có	Có	Không
Cô lập các giao dịch cụ thể trong SteelCentral transactional Analyzer	Có	Có	Không
Phân tích đa phân khúc	Có	Có	Không
Xem trình soạn thảo	Không	Có	Không
AirPcap	Không	Có	Không

SolarWinds Packet Analysis Bundle

SolarWinds Packet Analysis Bundle phân tích mạng để xác định vấn đề 1 cách nhanh chóng. Đây là một công cụ rất là hoàn hảo, cung cấp rất nhiều dữ liệu dựa trên các kết nối mạng và có thể hỗ trợ giải quyết những vấn đề đó chính xác, mau chóng và hiệu quả.

Dưới này là một số điều mà SolarWinds Packet Analysis Bundle cũng có thể có thể làm cho doanh nghiệp:

• Xác định xem có sự cố xảy ra với mạng hoặc ứng dụng không, từ đó tìm ra giải pháp khắc phục sự cố tương ứng.
• Xác định những đột biến về lưu lượng và khối lượng dữ liệu, vì điều ấy cũng đều có thể do việc vi phạm bảo mật tiềm ẩn gây ra.
• Quét liên tiếp hơn 1.200 ứng dụng trên mạng, để bạn có thể hiểu rõ hơn về lưu lượng truy cập mạng của mình.
• Cung cấp một chiếc nhìn mau chóng về lưu lượng truy cập mạng bất kể lúc nào.
• Đi kèm với các công cụ báo cáo nâng lên để giúp bạn hiểu rõ hơn lưu lượng truy cập của mình.
• Cung cấp những thông tin thâm thúy về các mẫu lưu lượng.
• Theo dõi nhiều số liệu không trùng lặp như thời gian phản hồi, khối lượng dữ liệu, các giao dịch, v.v…
• Phân loại lưu lượng thành các dòng không trùng lặp dựa trên loại lưu lượng, khối lượng và mức độ rủi ro. Việc phân loại như vậy khiến cho quá trình phân tích diễn ra một cách đơn giản hơn.

SolarWinds Packet Analysis Bundle là một phần của cục quan sát năng suất mạng toàn diện.

Tải bản dùng thử MIỄN PHÍ trong 1 tháng của SolarWinds Packet Analysis Bundle .

Đây chỉ là một vài trong các các packet sniffer có sẵn cho người dùng. Vẫn còn rất nhiều những lựa chọn khác ngoài kia. Khi đánh giá các packet sniffer, điều quan trọng là phải hiểu những trường hợp cụ thể mà bạn đang gắng gượng giải quyết. Trong đa số mọi tình huống, hầu hết các công cụ miễn phí đều hoạt động tốt hoặc thậm chí tốt hơn bất kỳ ứng dụng trả phí nào. Hãy thử một số ứng dụng mới và có thể bạn sẽ tìm kiếm được công cụ mến mộ cho mình!

4. Làm thế nào để bảo quản hệ thống mạng và dữ liệu hệ thống mạng khỏi Hacker sử dụng Sniffer?

Nếu một kỹ thuật viên, quản trị viên hoặc bạn mong muốn xem có bất kỳ ai đang sử dụng công cụ Sniffer trên hệ thống mạng của bạn hay không, bạn có thể sử dụng công cụ xem là Antisniff để kiểm tra.

Antisniff cũng có thể phát hiện nếu một giao diện mạng trên hệ thống mạng của bạn được đưa vào chế độ Promiscuous.

Một cách khác để bảo quản Network Traffic khỏi Sniffer là sử dụng mã hóa như Secure Sockets Layer (SSL) hoặc Transport Layer Security (TLS). Mã hóa không ngăn chặn Packet Sniffer từ thông tin nguồn và tin tức đích, nhưng mã hóa ngăn chặn gói dữ liệu của tải trọng (payload) để nhìn thấy tất cả những sniffer được mã hóa sai ngữ pháp.

Dù bạn có gắng gượng điều chỉnh hoặc đưa dữ liệu vào các gói dữ liệu cũng có thể có khả năng bị thất bại vì việc làm rối các dữ liệu đã được mã hóa sẽ gây nên lỗi là điều hiển nhiên lúc các thông tin được mã hóa được giải mã ở đầu kia.

Sniffer là những công cụ tuyệt hảo để chẩn đoán các vấn đề về hệ thống mạng. Tuy nhiên, sniffer cũng chính là công cụ có ích cho hacker.

Điều quan trọng cho các chuyên gia an ninh đó là để làm quen với công cụ đây là xem cách mà một hacker sử dụng công cụ này để ngăn chặn hệ thống mạng của họ.

Bạn cũng có thể tham khảo thêm:

• Kỹ thuật Network Address Translation (NAT)
• Tìm hiểu phương thức hoạt động của NAT (Network Address Translation) (Phần 1)
• Tìm hiểu về cấu hình NAT (phần 2)

Chúc các bạn thành công!

Packet Sniffer,Packet Sniffer là gì,tìm hiểu Packet Sniffer,hacker,Protocol Analyzer,Network Traffic

Nội dung Packet Sniffer là gì? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.