Idioma:

Sniffer – Entenda como funciona

19 de novembro de 2010 | Em Dicas | 12,8 mil visualizações | Por

Clique e compartilhe: 


snifferSniffers são programas que tem como princípio capturar pacotes de rede. Ele analisa o trafego de rede e identifica áreas vulneráveis. Suponha que sua rede esteja enfrentando lentidões, quedas ou corrupções de dados. Isso pode ser um sinal de invasão!

Os Sniffers variam em sua funcionalidade e projeto. Alguns analisam somente um protocolo, enquanto outros podem analisar centenas. Como uma regra geral, os sniffers mais modernos analisarão pelo menos os protocolos:

  • Ethernet padrão
  • TCP/IP
  • IPX
  • DECNet

Os sniffers capturam pacotes de rede colocando a interface de rede Ethernet por exemplo, em modo passivo. Em redes locais os dados trafegam de uma máquina a outra por meio do cabo em pequenas unidades chamadas frames. Esses frames são divididos em seções que carregam informações específicas. Os sniffers impõem um risco de segurança pela forma como os frames são transportados e entregues.

Cada estação de trabalho em uma rede local tem seu próprio endereço de hardware. Esse endereço identifica de maneira exclusiva essa máquina em relação a todas as outras na rede. Quando você envia uma mensagem através da rede local, seus pacotes são enviados para todas as máquinas conectadas (broadcast). Isso quer dizer que todas as máquinas na rede poderão “ouvir” esse tráfego, mas somente responderão aos dados endereçados especificamente a elas.

Se uma interface de rede da estação de trabalho operar em modo passivo, ela pode capturar todos os pacotes e frames na rede. Uma estação de trabalho configurada dessa forma (juntamente com o software) é um sniffer.

Os Sniffers representam um alto nível de risco, porque:

  • Os sniffers podem capturar senhas de e-mail, cartão de crédito e outras contas
  • Os sniffers podem capturar logins, e-mails, mensagens confidenciais etc.
  • Os sniffers podem ser utilizados para abrir brechas na segurança de redes próximas ou adquirir acesso de alto nível.

De fato, a existência de um sniffer não autorizado em sua rede pode indicar que seu sistema já está comprometido. Os sniffers capturarão todos os pacotes na rede mas, na prática, é muito relativo. Um ataque sniffer não é tão fácil quanto parece, ele requer conhecimento em redes. Simplesmente configurar um sniffer e deixá-lo “trabalhando” não funcionará por muito tempo, porque mesmo uma rede de apenas cinco estações transmite milhares de pacotes por hora. Em pouco tempo o arquivo de log de um sniffer pode facilmente encher um disco rígido (se estiver capturando todos os pacotes).

Para superar esse problema, os crackers geralmente armazenam somente os primeiros 200~300 bytes de cada pacote. O nome de usuário e senha estão contidos nessa parte, tudo o que eles realmente querem.

criptografiaA tecnologia de segurança, em relação a este problema, desenvolveu-se consideravelmente. Alguns sistemas operacionais já empregam criptografia no nível de pacote e, mesmo se um ataque sniffer conseguir obter dados valiosos, esses dados estarão praticamente ilegíveis. Isso representa um obstáculo adicional a ser ultrapassado somente por aqueles com um conhecimento mais profundo de segurança, criptografia e rede.

Os sniffers são extremamente difíceis de serem detectados porque são programas passivos. Eles não armazenam dados específicos no registro do sistema operacional ou disco rígido, a menos que seu usuário seja muito desinformado (e capture todos os pacotes por completo), eles consomem poucos recursos de rede. É possível localizar um sniffer em uma máquina usando o MD5, desde que tenha um banco de dados decente dos arquivos originais da instalação. Você precisará baixar o script md5check que automatiza o processo.

Certamente, pesquisar por um sniffer em uma única máquina é fácil. Entretanto, localizar um sniffer em uma rede grande é difícil. Na internet existem ferramentas que poderão lhe ajudar.

Suponha que alguém entre em um escritório vazio, desconecte uma máquina da rede e conecte um laptop com o mesmo IP. Existe também sniffers assim. Este é ainda mais difícil de se detectar, a menos que você esteja utilizando mapas de rede e esteja em constante verificação do mesmo.

Se você desconfia que alguém “grampeou” sua rede, procure por ferramentas que lhe auxiliarão. Uma ferramenta que você pode testar chama-se TDR (Time Domain Reflectometer). Os TDRs medem a propagação ou flutuação de ondas eletromagnéticas. Um TDR anexado à sua rede local revelará pontes não autorizadas “sugando” os dados.

Soluções preventivas são difíceis e praticamente inviáveis. Em vez disso, adote uma abordagem mais defensiva. Há duas defesas muito importantes contra sniffers:

  • Topologia segmentada
  • Sessões criptografadas

Os sniffers somente podem capturar os dados no mesmo segmento de rede. Isso significa que quanto mais você segmenta sua rede, menos informações um sniffer pode coletar. Há três interfaces de rede que um sniffer não pode vencer:

  • Switches
  • Roteadores
  • Bridges

Sessões criptografadas fornecem uma solução diferente. Em vez de preocupar-se com dados sendo capturados, você simplesmente os criptografa, ou seja, retira sua legividade. O SSH (Secure Shell) é um exemplo de programa que fornece comunicação criptografada, substituindo o antigo Telnet. Você pode adquirir uma versão livre para Linux clicando aqui.

De Ivaiporã/PR, Engenheiro de Computação, Administrador do Grupo Dicas em Geral. Apaixonado por Tecnologia e Informática.



Um pouco sobre nós

    O Grupo Dicas em Geral surgiu em 2007 a partir de idéias inovadoras sobre solução de problemas enfrentados diariamente por quem utiliza a Tecnologia e Informática, tanto usuários comuns quanto técnicos. Mas onde surgiu, por quê e qual é o propósito deste site?

Clique aqui e conheça!

Siga o Dicas em Geral no Google+

Vídeo da Semana