1. CE ESTE PACKET SNIFFING?

Packet sniffing este practica adunarii, colectării și înregistrării unor pachete sau a tuturor pachetelor care trec printr-o rețea de calculatoare, indiferent de modul în care este adresat pachetul. În acest fel, fiecare pachet sau un subset de pachete definite pot fi adunate pentru analize suplimentare. Voi, ca administrator de rețea, puteți utiliza datele colectate pentru o mare varietate de scopuri, precum monitorizarea lățimii de bandă și a traficului.
Un packet sniffing, uneori numit analizor de pachete, este compus din două părți principale. În primul rând, un adaptor de rețea care conectează snifferul la rețeaua existentă. În al doilea rând, software-ul care oferă o modalitate de a vă loga, a vedea sau a analiza datele colectate de dispozitiv.

2. CUM FUNCTIONEAZA PACKET SNIFFING?

O rețea este o colecție de noduri, cum ar fi computere personale, servere și hardware de rețea care sunt conectate. Conexiunea de rețea permite transferul datelor între aceste dispozitive. Conexiunile pot fi fizice cu cabluri sau wireless cu semnale radio. Rețelele pot fi, de asemenea, o combinație de ambele tipuri.
Pe măsură ce nodurile trimit date prin rețea, fiecare transmisie este împărțită în bucăți mai mici numite pachete. Lungimea și forma definite permit verificarea pachetelor de date pentru a putea fi completate și ușor de utilizat. Deoarece infrastructura unei rețele este comună multor noduri, pachetele destinate diferitelor noduri vor trece prin numeroase alte noduri în drumul către destinația lor. Pentru a vă asigura că datele nu sunt amestecate, fiecărui pachet i se atribuie o adresă care reprezintă destinația dorită a pachetului respectiv.
Adresa unui pachet este examinată de fiecare adaptor de rețea și dispozitiv conectat pentru a determina la ce nod este destinat. În condiții normale de operare, dacă un nod vede un pachet care nu i se adresează, nodul ignoră acel pachet și datele sale.
Packet sniffing ignoră această practică standard și colectează toate, sau unele dintre pachete, indiferent de modul în care sunt adresate.

Există două tipuri principale de packet sniffing:

• Hardware Packet Sniffers
  Un hardware packet sniffer este proiectat pentru a fi conectat la o rețea și pentru a-l examina. Un hardware packet sniffer este deosebit de util când se încearcă vizualizarea traficului unui anumit segment de rețea. Prin conectarea directă la rețeaua fizică la locația corespunzătoare, un hardware packet sniffer se poate asigura că nu se pierd pachete din cauza filtrării, rutării sau altor cauze deliberate sau inadvertente. Un hardware packet sniffer fie stochează pachetele colectate, fie le transmite către un colector care înregistrează datele colectate de hardware packet sniffer pentru analize ulterioare.
• Software Packet Sniffers
  Cele mai multe packet sniffing în aceste zile, sunt din varietatea de software. În timp ce orice interfață de rețea atașată unei rețele poate primi fiecare bit de trafic de rețea prin care circulă, majoritatea sunt configurate să nu o facă. Un software packet sniffer schimbă această configurație, astfel încât interfața de rețea trece tot traficul de rețea până la stivă. Această configurație este cunoscută drept modul promiscuu pentru majoritatea adaptorilor de rețea. O dată în modul promiscuu, funcționalitatea unui packet sniffing devine o problemă de separare, reasamblare și înregistrare a tuturor pachetelor de software care trec pe interfață, indiferent de adresele de destinație ale acestora. Software packet sniffer colectează tot traficul care circulă prin interfața rețelei fizice. Acest trafic este apoi înregistrat și utilizat în conformitate cu cerințele de adulmecare a pachetelor.

Captarea datelor pe o întreagă rețea poate lua mai multe packet sniffing-uri. Deoarece fiecare colecționar poate colecta doar traficul de rețea primit de adaptorul de rețea, este posibil să nu poată vedea traficul care există pe cealaltă parte a routerelor sau a comutatoarelor. În rețelele wireless, majoritatea adaptorilor sunt capabili să se conecteze la un singur canal simultan. Pentru a capta date pe mai multe segmente de rețea sau pe mai multe canale wireless, este necesar un packet sniffing pe fiecare segment al rețelei. Majoritatea soluțiilor de monitorizare a rețelei oferă adulmecarea pachetelor ca fiind una dintre funcțiile agenților lor de monitorizare.

3. CE FEL DE INFORMATII ADUNA PACKET SNIFFING?

Packet sniffing colectează întregul pachet al fiecărei transmisii de rețea. Pachetele care nu sunt criptate pot fi reasamblate și citite în întregime. De exemplu, pachetele interceptate de la un utilizator care accesează un site web ar include HTMLul și CSS-ul paginilor web. Cel mai notabil, utilizatorii care se conectează la resursele de rețea prin transmisii necriptate își expun numele de utilizator și parola ca text simplu care poate fi văzut în pachetele capturate.

4. CAND AR TREBUI LUAT IN CONSIDERARE UTILIZAREA PACKET SNIFFING-ULUI ?

Packet sniffing are multe utilizări practice. De obicei, packet sniffing este utilizată pentru depanarea rețelei. Pachetele detectate într-o rețea în care nu se presupune că ar putea sugera rutarea sau comutarea necorespunzătoare. Pachetele marcate pentru porturile care nu corespund protocolului lor pot sugera, de asemenea, o configurare greșită a unuia sau mai multor noduri. De asemenea, puteți analiza traficul și răspunsurile primite pentru solicitări. Nodul interogă serverul DHCP corect? Solicitarea DNS corectă este direcționată către locația corectă? Traficul este criptat cu SSL sau HTTPS atunci când trebuie, sau sunt trimise răspunsuri necriptate? Este calea de rutare luată de pachet cea mai eficientă rută către destinația finală?
Pachetele pot fi, de asemenea, analizate pentru a vedea dacă o anumită aplicație folosește o lățime de bandă prea mare sau dacă autentificarea necesită numeroase apeluri back-and-forth. Pe baza datelor furnizate, puteți actualiza comunicațiile sau depana aplicații pentru a îmbunătăți performanța software-ului.
Puteți utiliza packet sniffing pentru a monitoriza tendințele de consum dintr-o rețea. Analiza pachetelor colectate poate arăta că o cantitate mare de trafic este utilizată de o anumită aplicație internă sau de transmisii video. De asemenea, o scădere a traficului poate sugera că resursele specifice sunt utilizate mai puțin.
Packet sniffing poate fi utilă pentru creșterea securității rețelei. Când monitorizați traficul pentru numele de utilizator și parolele cu text clar, de exemplu, puteți observa posibile probleme de securitate înaintea oricărui hacker. În plus, monitorizarea traficului de la distanță poate ajuta la asigurarea faptului că tot traficul este criptat în mod corespunzător și nu este trimis pe internetul deschis fără criptare.

5. SECURITATE

Mesajele din cadrul MQTT sunt publicate ca subiecte. Subiectele sunt structuri dintr-o ierarhie folosind caracterul slash (/) ca delimitator. Această structură seamănă cu cea a unui arbore de directoare pe un sistem de fișiere computer. O structură precum senzori / OilandGas / Pressure / permite unui abonat să precizeze că ar trebui să fie trimise doar date de la clienții care publică subiectul Pressure, sau pentru o vizualizare mai largă, probabil toate datele de la clienți care publică pe orice senzori / OilandGas subiect . Subiectele nu sunt create în mod explicit în MQTT. Dacă un broker primește date publicate pe un subiect care nu există în prezent, subiectul este creat simplu, iar clienții se pot abona la noul subiect.

Sursa: https://www.paessler.com/it-explained/packet-sniffing