วันอังคารที่ 23 กุมภาพันธ์ พ.ศ. 2553

sniffer

sniffer คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลในเครือข่ายและโปรแกรม “sniffer” เป็นโปรแกรมที่จะคอยดักฟังการสนทนากันของเครือข่าย แต่จะเห็นการสนทนากันนั้นจะเป็นข้อมูลไบนารี ดังนั้นโปรแกรมดังกล่าวต้องทำการถอดรหัสของข้อมูลของคอมพิวเตอร์ เพื่อจะให้รู้ถึงการสนทนานั้นได้
มีการนำ sniffing program มาใช้เป็นเวลานานแล้ว และลักษณะการใช้จะแบ่งเป็น 2 ประเภทคือ sniffer เชิงพานิชย์ ซึ่งใช้ในการดูแลเครือข่ายและ sniffer ซ่อนเร้น ซึ่งใช้ในการโจมตีหรือบุกรุกคอมพิวเตอร์ โดยปกติการใช้งานโปรแกรมพวกนี้ ได้แก่
1.การดักจับรหัสผ่านและ user name จากเครือข่าย ซึ่ง hacker/cracker ใช้ในการเจาะเข้าสู่ระบบ
2.ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย
3.การวิเคราะห์ประสิทธิภาพของเครือข่าย
4.ใช้ในระบบตรวจจับการบุกรุก

sniffing/wiretap ทำงานอย่างไร
Ethernet ถูกสร้างขึ้นมาบนกฎของการใช้ร่วมกัน นั่นคือคอมพิวเตอร์ทุกเครื่องบน local network จะใช้ Ethernet wire เดียวกัน ฮาร์ดแวร์ของ Ethernet ถูกสร้างมาด้วย “ตัวกรอง” ที่จะไม่น่าสนใจ traffic ที่เป็นของคนอื่น ซึ่งทำได้โดยจะไม่สนใจเฟรมที่มี MAC address ไม่ตรงกับของตนเอง แต่โปรแกรม sniffing หรือ wiretap จะตัดตัวกรองนี้ออกไป ทำให้ฮาร์ดแวร์อยู่ใน “โหมดสำส่อน” (promiscuous mode)
อ้างอิง
http://www.thaicert.org/paper/ids/idsfaq4.php

1 ความคิดเห็น:

  1. สรุป..เป็นโปรแกรมที่ช่วยในการดักฟัง ในการสนทนาข้อมูลในเครือข่าย เพื่อตรวจชอบและวิเคราะห์

    ตอบลบ