Наведені методи дозволяють знайти розділи файлових систем і переконують нас, наскільки полегшує аналіз прошивки програми, перелічені в цій статті.
278 
У цьому розділі описується мережеву перевірку та загрози, як працює сніффер, активну і пасивну перевірку, як зловмисник зламує мережу за допомогою сніферів, протоколи, уразливі до перехоплення, перехоплення на рівні каналів даних моделі взаємозв’язку відкритих систем (OSI), порти аналізатора комутованих портів (SPAN), прослуховування та законне перехоплення. У розділі розглянуті програми, які можуть бути використані для вивчення пакетів у мережі. У статті описано принцип роботи сніферу та як саме може здійснюватися перехоплення трафіку. Ви дізнаєтесь, що Wireshark дозволяє захоплювати та інтерактивно переглядати трафік у комп’ютерній мережі. Програма SteelCentral Packet Analyzer надає графічну консоль для високошвидкісного аналізу пакетів. Ви дізнаєтесь, що таке Capsa Network Analyzer, OmniPeek. Також сніфери для мобільних пристроїв: FaceNiff, Sniffer Wicap. Також будуть описані різні типи атак, які можуть бути здійснені за допомогою перехоплення трафіку, такі як атака типу “Man-in-the-Middle” (MITM), атака злому безпеки паролів, а також можливі шляхи захисту від цих атак.
Також будуть розглянуті можливі наслідки для користувачів та компаній в разі успішного злому мережі, а також методи виявлення та усунення проблем, пов’язаних з перехопленням трафіку в мережі. Сніффер не завжди є шкідливим. Насправді, цей тип ПЗ часто використовується для аналізу мережевого трафіку з метою виявлення та усунення відхилень та забезпечення безперебійної роботи. Проте сніффер може бути використаний із недобрим наміром. Сніфери аналізують все, що через них проходить, включаючи незашифровані паролі та облікові дані, тому хакери, які мають доступ до сніфера, можуть заволодіти особистою інформацією користувачів. Крім того, сніффер може бути встановлений на будь-якому комп’ютері, підключеному до локальної мережі, без необхідності його обов’язкової установки на самому пристрої – інакше кажучи, його неможливо виявити протягом усього часу підключення.
Перехоплення трафіку може здійснюватися:
Звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми).
Підключенням сніфера в розрив каналу.
Відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер.
Через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується.
Через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.
Wireshark дозволяє захоплювати та інтерактивно переглядати трафік у комп’ютерній мережі. Цей інструмент використовує WinPcap для захоплення пакетів у підтримуваних мережах. Він захоплює мережевий трафік у реальному часі з мереж Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay та FDDI. Захоплені файли можна редагувати програмно через командний рядок. Набір фільтрів для відображення даних, що налаштовується, можна уточнити за допомогою фільтра відображення.
SteelCentral Packet Analyzer надає графічну консоль для високошвидкісного аналізу пакетів. Цей інструмент інтегрований з адаптерами Riverbed AirPcap для аналізу та усунення несправностей у бездротових мережах 802.11. Оскільки він захоплює терабайти пакетних даних, що проходять по мережі, цей інструмент зчитує цей трафік і відображає його в графічному інтерфейсі користувача (GUI). Він може аналізувати багатогігабайтні записи з локально представлених файлів трасування або віддалених зондів SteelCentral NetShark (фізичних, віртуальних або вбудованих у SteelHeads) без передачі великих файлів, щоб виявляти аномальні проблеми в мережі або діагностувати та усувати складні проблеми з продуктивністю мережі та додатків на бітовому рівні.
Це інструмент мережевого моніторингу, який збирає всі дані, що передаються через мережу, і надає широкий спектр аналітичних статистичних даних в інтуїтивно зрозумілій графічній формі. Інструмент допомагає проаналізувати та усунути проблему, яка сталася (якщо є) у мережі. Він також може виконувати надійну судову експертизу мережі, розширений аналіз протоколів, поглиблене декодування пакетів та автоматичну експертну діагностику.
OmniPeek Network Analyzer забезпечує видимість у режимі реального часу та експертний аналіз кожної частини цільової мережі. Цей інструмент аналізуватиме, деталізуватиме і усуватиме вузькі місця продуктивності в декількох сегментах мережі. Аналітичні модулі забезпечують цільову візуалізацію та можливості пошуку в OmniPeek. Модуль Google Maps, що підключається, розширює можливості аналізу OmniPeek. Він відображає карту Google у вікні захоплення OmniPeek, яка показує розташування всіх загальнодоступних IP-адрес захоплених пакетів. Зловмисники можуть використовувати OmniPeek для моніторингу та аналізу мережевого трафіку цільової мережі в режимі реального часу, визначення розташування джерела цього трафіку та спроби отримати конфіденційну інформацію, а також знайти будь-які лазівки в мережі.
FaceNiff — це програма для Android, яка може прослуховувати та перехоплювати профілі веб-сеансів через з’єднання Wi-Fi з мобільним телефоном. Ця програма працює на рутованих пристроях Android. З’єднання Wi-Fi має бути через відкриті мережі WEP, WPA-PSK або WPA2-PSK під час прослуховування сеансів.
Цей інструмент є аналізатором пакетів мобільної мережі для дроїдів ROOT ARM. Він працює на мобільних пристроях Android із root-правами. Зловмисники можуть використовувати цей інструмент для захоплення пакетів різних типів з’єднань, таких як Wi-Fi, 3G і LTE.
278 
261 
251