Um sniffer de rede é exatamente o que parece; uma ferramenta de software que monitora ou detecta os dados fluindo pelos links da rede de computadores em tempo real. Pode ser um programa de software independente ou um dispositivo de hardware com o software ou firmware apropriado.
Os sniffers de rede podem tirar cópias instantâneas dos dados sem redirecioná-los ou alterá-los. Alguns sniffers funcionam apenas com pacotes TCP / IP, mas as ferramentas mais sofisticadas podem funcionar com muitos outros protocolos de rede e em níveis inferiores, incluindo quadros Ethernet.
Anos atrás, sniffers eram ferramentas usadas exclusivamente por engenheiros de rede profissionais. Hoje em dia, no entanto, com aplicativos de software disponíveis gratuitamente na web, eles também são populares entre os hackers da Internet e pessoas curiosas sobre redes.
Nota: Às vezes, os farejadores de rede são chamados de sondas de rede, farejadores sem fio, farejadores de Ethernet, farejadores de pacotes, analisadores de pacotes ou simplesmente espiões.
O que os analisadores de pacotes são usados para
Existe uma ampla gama de aplicações para os sniffers de pacotes, mas a maioria das ferramentas de sondagem de dados não diferencia entre uma razão nefasta e uma inofensiva e normal. Em outras palavras, a maioria dos sniffers de pacotes pode ser usada inadequadamente por uma pessoa e por razões legítimas por outra.
Um programa que pode capturar senhas, por exemplo, pode ser usado por um hacker, mas a mesma ferramenta pode ser usada por um administrador de rede para encontrar estatísticas de rede, como largura de banda disponível.
Um sniffer também pode ser útil para testar filtros de firewall ou da Web ou solucionar problemas de relacionamentos cliente / servidor.
Ferramentas Sniffer de Rede
O Wireshark (anteriormente conhecido como Ethereal) é amplamente reconhecido como o mais popular sniffer de rede do mundo. É um aplicativo gratuito e de código aberto que exibe dados de tráfego com código de cores para indicar qual protocolo foi usado para transmiti-lo.
Em redes Ethernet, sua interface com o usuário exibe quadros individuais em uma lista numerada e destaca por cores separadas, sejam elas enviadas por protocolos TCP, UDP ou outros. Ele também ajuda a agrupar fluxos de mensagens enviados entre uma origem e um destino (que são normalmente misturados ao longo do tempo com o tráfego de outras conversas).
O Wireshark suporta capturas de tráfego através de uma interface de botão de início / parada. A ferramenta também contém várias opções de filtragem que limitam quais dados são exibidos e incluídos nas capturas. Essa é uma característica importante, pois o tráfego na maioria das redes contém muitos tipos diferentes de mensagens de controle de rotina que normalmente não são de interesse.
Muitas aplicações de software de sondagem diferentes foram desenvolvidas ao longo dos anos. Aqui estão alguns exemplos:
- tcpdump (uma ferramenta de linha de comando para Linux e outros sistemas operacionais baseados em Unix)
- CloudShark
- Caim é Abel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Analisador de Rede Livre
- NetworkMiner
- Ferramentas IP
Algumas dessas ferramentas são gratuitas, enquanto as outras custam ou podem ter uma avaliação gratuita. Além disso, alguns desses programas não são mais mantidos ou atualizados, mas ainda estão disponíveis para download.
Problemas com Sniffers de Rede
As ferramentas do sniffer oferecem uma ótima maneira de aprender como os protocolos funcionam. No entanto, eles também oferecem acesso fácil a algumas informações particulares, como senhas de rede. Verifique com os proprietários para obter permissão antes de usar um sniffer na rede de outra pessoa.
Os probes de rede só podem interceptar dados das redes às quais seu computador host está conectado. Em algumas conexões, os sniffers capturam apenas o tráfego endereçado a essa interface de rede específica. Muitas interfaces de rede Ethernet suportam os chamados modo promíscuo que permite que um sniffer capte todo o tráfego que passa por esse link de rede (mesmo que não seja endereçado diretamente ao host).
