Анализаторы пакетов: как они работают?

Question

Я довольно давно интересуюсь ИТ-безопасностью и несколько раз сталкивался с сетевыми анализаторами.Я не понимаю, как на самом деле работает этот процесс.Давайте предположим, что у нас есть беспроводная сеть.Компьютер A запрашивает внешний веб-сайт, проходящий через маршрутизатор.Компьютер B, который имеет анализатор, перехватывает пакеты, проходящие через локальную сеть.Если это основной процесс, как он может захватить пакет?Вам нужно настроить фальшивый маршрутизатор и прослушать весь проходящий трафик, или вы можете просто подключиться к беспроводной сети и начать прослушивать?

Если вы хотите подробно объяснить процесс или обратиться к руководству,это было бы здорово.

Спасибо!

Answer 1

Ответ на вопрос «как прослушивать беспроводные сети» - «это зависит» (от используемой ОС и оборудования, хотите ли вы видеть управление беспроводной связью и низкоуровневые контрольные пакеты или только обычные пакеты данных и т. Д., И т. Д., И т. Д. ).

Wireshark Wiki: Настройка захвата WLAN дает много подробной информации.

См. Также Wireshark Wiki: Настройка захвата .

Как правило, сниффинг на машине A захватывает обычные пакеты данных с / на машину A. Вы можете иметь возможность захватывать пакеты управления беспроводной сетью и т. Д.

Для захвата беспроводного трафика на / с компьютера A с помощью компьютера, отличного от компьютера A,

1. Требуется специальное оборудование: см. «Airpcap»; или

2. Этой машине каким-то образом требуется доступ к трафику.

   Например: может использоваться порт «monitor» на беспроводном маршрутизаторе (если имеется).

   Или: если беспроводной маршрутизатор подключен к проводной сети через соединение Ethernet, затем в соединение Ethernet можно вставить кран.

   или ....

Answer 2

Обнюхивать трафик на самом деле довольно просто. Например, для прослушивания WiFi стандартного адаптера, реализующего протокол 802.11, достаточно для HW-части. Кроме того, драйвер устройства и прошивка должны поддерживать режим сниффинга. Единственным принципиальным отличием между обычным режимом и режимом сниффинга является фильтрация пакетов. Обычно ПО устройства отбрасывает трафик, не направленный на него, путем проверки MAC-адреса назначения. В режиме сниффера он будет принимать весь трафик и передавать его на верхние уровни для анализа.

Answer 3

Анализатор - это компьютерная программа или часть компьютерного оборудования, которая может перехватывать и регистрировать трафик, проходящий через цифровую сеть или часть сети.

Обычный процесс дляКомпьютер B подключается к сети, которую он хочет прослушивать, и начинает захват пакетов.Затем, если необходимо, он декодирует необработанные данные пакета, показывая значения различных полей в пакете, и анализирует его содержимое в соответствии с соответствующими RFC или другими спецификациями.