PSB Hosting
Что такое сниффинг-атака и как защитить себя от перехвата данных

Что такое сниффинг-атака и как защитить себя от перехвата данных

  1. Главная
  2. Блог
  3. Что такое сниффинг-атака и как защитить себя от перехвата данных

В условиях цифровизации большинства отраслей и социальной сферы, актуальна безопасность от несанкционированных доступов. Важно обеспечивать конфиденциальность внутренней информации, во избежание утечки персональных данных, последующих финансовых и моральных, репутационных потерь. Ведущую роль в этом играет предупреждение сниффинга – несанкционированного перехвата корпоративных информационных потоков.

Работа с информацией невозможна без нормально организованной кибербезопасности. Защита данных от злоумышленников необходима для сбережения ценных сведений, которые они превращают в свой доход и ваши потери. Их кража или ее угроза подрывает деятельность бизнеса, промышленных и государственных структур. Эффективность защиты зависит от комплекса организационных, технических, и административных мер.

В перечне защитных действий должно быть предупреждение сниффинг-атак – перехвата данных в сети, которые для вас составляют ценность, а их утеря превращается в убытки.

Что такое сниффинг-атака

Сниффинг-атаками называются способы отслеживания преступниками сетевых трафиков, с целью сбора и анализа проходящих в потоке данных (в английском языке одно из значений sniffing – обнюхивать). Проблема в том, что сниффинг как исследование трафика выполняет много легальных полезных задач – тестирования и диагностики проблем, сетевой аналитики и отладки, но злоумышленниками он используется в корыстных целях завладения чужой информацией.

Целью несанкционированного сниффинга является выуживание ценных для злоумышленников сведений, в том числе:

  • Логинов и паролей, учетных данных – с их помощью они войдут в личные кабинеты онлайн-банкинга, интернет-магазинов, сайтов.
  • Номеров банковских карт и их секретных кодов – для кражи денежных средств.
  • Личных сообщений из чатов, в которых содержится ценная информация. Ее можно использовать для шантажа и обогащения.
  • Деловой электронной переписки.
  • Конфигураций роутеров – для полного доступа к трафику.
  • DNS-трафиков между компьютерами и серверами, с файлами важной технической, корпоративной, ведомственной, государственной информации.

Итогом атак снифферов является их обогащение и ослабление конкурентов, а для пострадавшей стороны – убытки в финансах и репутации, потеря места на рынке, утрата секретов.

Как работает сниффинг: технический механизм

Сниффинг основан на перехвате данных из сетевых трафиков снифферами – техническими устройствами или программными комплексами (приложениями). Они подслушивают и анализируют пакеты информации при запросах между приложениями пользователей и серверами, с их записью и детализацией. Работают с заголовками, телами запросов, статус-кодами ответов, потом передают на нужные адреса.

Сниффинг может быть:

  • Локальным – прямо на устройствах (компьютерах), отправляющих и принимающих трафик. Настраивается из прокси-серверов сниффера и тестирует конкретные приложения.
  • Сетевым – при прослушивании всего трафика какого-либо сетевого сегмента. Охватывается все сетевое оборудование.

По способу реализации он бывает:

  • Аппаратным – для эффективного исследования потоков на отдельных сетевых участках, с физическим подключением в систему.
  • Программным – собирающим весь трафик из сетевого интерфейса.

Кроме этого, перехват может осуществляться подключениями в разрывы каналов, или ответвлениями трафика – программно или аппаратно направляя его копии снифферу.

Рабочими приложениями и программами взаимодействие со снифферами воспринимается как привычная работа с серверами. Такие процессы возможны с  незашифрованными соединениями (HTTP, FTP, SMTP, POP3), где информация передается в виде открытых текстов.

Классификация сетевых атак: где место сниффингу

Видов сетевых атак много, как и разновидностей самих сетей, под которые они и подстраиваются.

Виды

Распространенные виды в классификации сетевых атак:

  • сниффер пакетами;
  • IP- или ARP-спуфингом, когда его инициаторы притворяются любыми хостами, и перехватывают все проходящие потоки;
  • отказами в обслуживании;
  • парольными атаками;
  • атаками типа Man-in-the-Middle;
  • атаками на уровне приложений;
  • сетевой разведкой;
  • злоупотреблением доверием;
  • переадресацией портов;
  • несанкционированным доступом;
  • вирусами и приложениями типа «троянских коней».

В этой массе нападений сниффинг является пассивной сетевой атакой – не влияя на функционирование систем, он нарушает их политику конфиденциальности. Его работа возможна только в сегментах локальных сетей и их отдельных точках. С его помощью изучаются данные трафика, чтобы получить доступ в сеть или ее отдельные системы, для участия в их взаимодействии.

Сниффинг как один из базовых инструментов MITM

Атаки MITM (Man-in-the-Middle – человек-посредник) более изощренные – они изменяют коммуникации между участниками в сетях. Сниффинг в этом способе используется для обзора сетей и выуживания конфиденциальных данных (паролей, номеров, идентификаторов), а дальше манипулированеия такой информацией от имени того, у кого ее украли.

Злоумышленники-посредники:

  • Пропускают поток запросов через свои устройства.
  • Перехватывают информацию из незашифрованных протоколов. Манипулируют ней, с модификацией содержимого на веб-страницах, подменой файлов, внедрением вредоносных кодов.
  • После обработки перенаправляют потоки получателям, которые не замечают вмешательства и подмены.

При этом посредники применяют снифферов:

  • Intercepter-NG – для перехвата логинов и паролей от сайтов, восстановления передаваемых файлов.
  • Bettercap – для перехвата и обработки трафика сетей, с автоматизированными сценариями посредством плагинов.

Таким образом, сниффинг может быть компонентом в сложных изощренных атаках, когда задействован комплекс различных техник, аппаратных средств и ПО.

Где чаще всего применяются сниффинг-атаки

Наиболее подвержены опасности легко доступные, публичные Wi-Fi подключения, потому что они практически не защищены, или защищены очень слабо.

Распространенная массовая среда для снифф-атак – корпоративные сети, с множеством потенциальных точек для внедрения, включая недобросовестность или халатность сотрудников в области безопасности.

Хоть они и защищены, но имеют особый интерес у инициаторов сниффа: банки и платежные системы, турфирмы и маркетплейсы, страховые и логистические компании. Они ценны для злоумышленников огромными массивами персональных сведений людей и организаций, имеющих непосредственное отношение к деньгам и материальным ресурсам.

Кто в зоне риска

В первую очередь, рискуют быть взломанными все пользователи, пользующиеся общедоступными Wi-Fi подключениями в расположениях аэропортов, гостиниц, пунктов общественного питания, отдыха и развлекательных заведений.

Все организации и компании, пропускающие через свои сайты платежные реквизиты и сведения компаний и граждан, без хорошей защиты рискуют потерять конфиденциальную информацию. Пострадают в этом случае и их клиенты, включая вероятность кражи их средств со счетов.

Корпорации, большие компании, отраслевые ведомства (особенно силовые), государственные учреждения. Такие структуры имеют разветвленные локальные сети, и много потенциальных точек для несанкционированного снифф-внедрения.

Указанные места, независимо от уровня защищенности, рискуют стать объектами сниффинга.

Как распознать, что вас атакуют

Простым персональным пользователям обнаружить внедрение снифферов трудно. Это можно сделать организованно:

  • Исследуя сетевую активность мониторингом трафиков, обнаруживая подозрительные действия.
  • Работая с сетевыми и антивирусными сканерами. С их помощью легко выделяются аномальные искажения в привычных потоках.
  • Проверяя динамику по ARP-таблицам. Когда в них выявляются дублирования IP-адресов, или ячейки с незнакомыми MAC-адресами, это прямой сигнал об атаке снифферов.
  • Контролировать трафик с файрфолами.

После обнаружения снифф-атак или перахвата ними пакетов, выполняется ряд мер по отсечению от них затронутых устройств и сегментов сети. Усиливается защита данных.

Как защитить себя от сниффинг-атаки

Идеально, когда системы и пользователи защищены организаторами сетей. Но для личной защиты рекомендуется предусмотреть следующее:

  • Не пользоваться открытыми и публичными сетями, где нет VPN. Использовать его при необходимости войти в открытые Wi-Fi-сети. Не включать автоматическое к ним подсоединение. На сайтах проверять наличие протокола HTTPS (зеленый значок замка).
  • Исключить переходы на сомнительные сайты и по непроверенным ссылкам. Тем более, не вводить в таких точках персональные данные и пароли.
  • Регулярно обновляться с антивирусами и драйверами, ОС и ПО.
  • При постоянной и объемной работе для автономности и безопасности арендовать серверы VPS.
  • Пользоваться надежными антивирусами и программами-антишпионами, файерволами для обнаружения, приложениями по мониторингу.
  • Работать с двухфакторной аутентификацией и сложными паролями, меняя их дважды в год и чаще.

Администраторам, руководителям бизнес-структур и крупных организаций, корпораций, следует принимать меры:

  • Пользоваться защищенными HTTPS-протоколами для веб-трафика. Но полная защита – это VPN-серверы и виртуальные частные сети, используя между ними зашифрованные тоннели с информацией.
  • Сегментировать сети изолированными локальными участками VLAN, многоуровневыми файрволами. Все время наблюдать трафик.
  • С помощью современных IDS/IPS-систем автоматически обнаруживать и предотвращать (блокировать) вторжения или подозрительную активность.
  • Следить за проверкой сертификатов.

Для постоянной защищенности, необходимо отслеживать все нововведения в сфере безопасности, и внедрять в своих системах.

Законность и этика

Юридическая сторона обработки информации, в том числе сниффинга, регламентируется государством по ФЗ-152 (запрет сбора сведений без согласия), ФЗ-149 (регулирование открытого доступа), ФЗ-187 (запрет несанкционированных доступов), и КоАП РФ.
Этически необходимо соблюдать анонимность и конфиденциальность при сборе данных. Сниффинг с легальными инструментами открыто возможен в отдельных случаях:

  • Анализировать трафик собственных сетей. Диагностировать и тестировать проблемы систем.
  • Для обнаружения проникновений пентестами, когда это разрешает владелец. Аудит систем, имитируя злоумышленные атаки.
  • При обучении в лабораторных условиях.
  • По запросам правоохранительных органов.

Случаи, когда перехват – уголовное преступление по ФЗ-187 и статьям УК РФ:

  • Несанкционированный доступ в чужие компьютерные системы и сети.
  • Внедрение вредоносных программ.
  • Копирование, модификация, блокирование, уничтожение информации при сниффинге.

Столкнуться с правовыми проблемами можно даже при случайных перехватах данных. Поэтому пользоваться снифферами рекомендуется только в своих сетях, и для тестов.

Лучшие инструменты для анализа сетевого трафика

Есть множество программ, анализирующих потоки в сети, бесплатные и платные, универсальные, и специализированные под конкретные задачи.

Бесплатные программы, имеющие открытый код:

  • Wireshark – с глубоким анализом трафика, фильтрами, многими протоколами.
  • Ntopng – классифицирует потоки со статистикой по IP-адресам, геолокациям, и протоколам. Выявляет подозрительную активность.
  • Zeek анализирует сеть, регистрируя все активные действия.
  • Suricata обнаруживает вторжения в реальном времени, предотвращает их.

В перечне платных программ для безопасности:

  • SolarWinds NPM для автоматического обнаружения устройств и трафика в сетях с анализом и графиками для корпораций.
  • PRTG Network Monitor отслеживает устройства, серверы, приложения. Работает с разными датчиками, оповещает при проблемах.
  • Datadog Network Performance Monitoring работает в облаке для глубокого анализа с визуализацией потоков. Интегрируется с автоматизированными системами.

Администраторы сетей и систем пользуются этими же программами, а также бесплатной Zabbix – она следит за сотнями тысяч сетевых устройств. Мониторит серверы, оборудование, операционные системы.

Для обучения практике работы с сетевым трафиком могут применяться бесплатные программы:

  • Wireshark анализирует до 2 тысяч протоколов с захватом и анализом, фильтрами трафика.
  • tcpdump захватывает пакеты, автоматизирует работу с серверами.
  • NetworkMiner для сетевой криминалистики, извлечения файлов из перехваченных трафиков.
  • Xplico анализирует протоколы по веб-интерфейсам и автоматизации.

В числе платных программ для обучения и практики:

  • PRTG Network Monitor с удобной визуализацией.
  • SolarWinds NPM мониторит производительные сети, дает обширную аналитику.
  • Scrutinizer для корпораций с расширенной отчетностью.
  • Cisco AI Network Analytics обнаруживает аномалии, прогнозирует проблемы.

Всегда нужно помнить, что злоупотребление анализаторами трафика влечет ответственность.

Частые вопросы

Сниффер — это вирус?

Нет, обычные снифферы (устройства и программы) пассивно наблюдают за трафиком, не внедряясь в него. Но их используют те, кто вирусы распространяет.

Можно ли перехватывать мессенджеры?

Сами мессенджеры пока не взламывались снифферами, имея высокую защиту. Внедряться они могут к их пользователям через точки доступа.

Правда ли, что VPN полностью защищает?

Виртуализация защитит передачу данных, но не обеспечит полной анонимности.

А что делать, если уже произошло?

Это заметно по замедлениям, подозрительной активности, аномалиям в таблицах. Если это уже произошло, отключиться от сети. Обновить все ПО. Ввести шифрование. Не возвращаться на открытый Wi-Fi. Перейти на запароленный доступ. Проверить все протоколы на доступах – они должны быть защищенными.

Заключение

Сниффинг-атаки не являются самыми изощренными хакерскими нападениями. Но и защититься от них проще. Только соблюдать рекомендации, не использовать открытые сети и точки доступа. Применять инструменты для анализа трафика строго в закрытых сетях, в ограниченных целях для тестирования и обучения (кроме специальных целей в уполномоченных ведомствах).