Packet sniffing là gì?

Nội dung bài viết:

1. Packet sniffing là gì ?
2. Packet sniffing hoạt động giải trí như thế nào ?
3. Packet sniffing tích lũy loại thông tin nào ?
4. Khi nào bạn nên xem xét sử dụng tính năng packet sniffing ?

1. Packet sniffing là gì?

–

Packet sniffing là hoạt động thu thập, chọn lựa và ghi nhật ký một số hoặc tất cả các gói tin (Packets) đi qua mạng máy tính, bất kể gói tin đó được định địa chỉ như thế nào. Bằng cách này, mọi gói tin, hoặc một tập con đã xác định của các gói tin, có thể được thu thập để phân tích thêm

. Nếu bạn với tư cách là quản trị viên mạng, bạn có thể sử dụng dữ liệu thu thập được cho nhiều mục đích khác nhau như giám sát băng thông (Bandwidth) và lưu lượng (Traffic).

– Một trình nhìn nhận gói tin ( tiếng Anh gọi là Packet Sniffer ), nhiều lúc được gọi là trình nghiên cứu và phân tích gói tin ( Packet analyzer ), gồm có hai phần chính. Đầu tiên, một bộ điều hợp mạng ( Network Adapter ) liên kết trình nhìn nhận ( Sniffer ) với mạng ( Networks ) hiện có. Thứ hai, ứng dụng cung ứng cách ghi nhật ký ( Log ), xem hoặc nghiên cứu và phân tích tài liệu do thiết bị tích lũy .

2. Packet sniffing hoạt động như thế nào?

– Mạng ( Networks ) là một tập hợp những nút ( Node ), ví dụ điển hình như máy tính cá thể ( Personal Computers ), sever ( Server ) và phần cứng mạng ( Network Hardware ) được liên kết với nhau. Kết nối mạng được cho phép truyền tài liệu giữa những thiết bị này. Các liên kết hoàn toàn có thể là vật lý với cáp ( cable ) hoặc không dây ( wireless ) với tín hiệu vô tuyến. Mạng cũng hoàn toàn có thể là sự phối hợp của cả hai loại .

– Khi những nút gửi tài liệu qua mạng, mỗi lần truyền được chia thành những phần nhỏ hơn được gọi là gói tin ( Packets ). Chiều dài và định dạng được xác lập được cho phép những gói tin được kiểm tra về tính hoàn hảo và năng lực sử dụng. Vì hạ tầng của mạng chung cho nhiều nút, những gói tin dành cho những nút khác nhau sẽ đi qua nhiều nút khác trên đường đến đích của chúng. Để bảo vệ tài liệu không bị trộn lẫn, mỗi gói tin được gán một địa chỉ đại diện thay mặt cho đích dự kiến của gói tin đó .

– Địa chỉ của gói tin được kiểm tra bởi mỗi bộ điều hợp mạng ( Network Adapter ) và thiết bị được liên kết để xác lập nút mà gói tin đó được sử dụng. Trong điều kiện kèm theo hoạt động giải trí thông thường, nếu một nút nhìn thấy một gói tin không được gửi đến nó, thì nút đó sẽ bỏ lỡ gói tin đó và tài liệu của nó .

– Packet sniffing bỏ lỡ những bước truyền dẫn tiêu chuẩn này và tích lũy tổng thể hoặc một số ít gói, bất kể chúng được xử lý như thế nào .

– Có hai loại Packet Sniffer chính :

• Hardware Packet Sniffers: Một Packet Sniffer phần cứng được thiết kế để cắm vào mạng và kiểm tra nó. Một Packet Sniffer phần cứng đặc biệt hữu ích khi cố gắng xem lưu lượng của một phân đoạn mạng cụ thể. Bằng cách cắm trực tiếp vào mạng vật lý tại vị trí thích hợp, bộ Packet Sniffer phần cứng có thể đảm bảo rằng không có gói tin nào bị mất do lọc (Filtering), định tuyến (Routing) hoặc các nguyên nhân cố ý hoặc vô ý khác. Bộ Packet Sniffer phần cứng lưu trữ các gói tin đã thu thập hoặc chuyển tiếp chúng đến bộ thu thập ghi lại dữ liệu được bộ Packet Sniffer phần cứng để phân tích thêm.

• Software Packet Sniffers: Hầu hết các Packet Sniffer ngày nay đều thuộc loại phần mềm đa dạng này. Mặc dù bất kỳ giao diện mạng nào được gắn vào mạng đều có thể nhận từng bit lưu lượng mạng đi qua, nhưng hầu hết đều được định cấu hình để không làm như vậy. Một Packet Sniffer phần mềm thay đổi cấu hình này để giao diện mạng chuyển tất cả lưu lượng mạng lên ngăn xếp (gọi là Stack). Cấu hình này được gọi là chế độ quảng bá (Promiscuous Mode) cho hầu hết các bộ điều hợp mạng. Khi ở chế độ quảng bá, chức năng của trình kiểm tra gói tin Packet Sniffer sẽ trở thành vấn đề phân tách (Seperating), tập hợp lại (reassembling) và ghi nhật ký (logging) tất cả các gói phần mềm đi qua giao diện, bất kể địa chỉ đích của chúng. Các Packet Sniffer phần mềm thu thập tất cả lưu lượng đi qua giao diện mạng vật lý. Lưu lượng đó sau đó được ghi lại và sử dụng theo các yêu cầu dò tìm gói tin của phần mềm.

– Việc thu thập dữ liệu trên hàng loạt mạng hoàn toàn có thể cần nhiều trình nhìn nhận gói tin Packet Sniffer. Bởi vì mỗi bộ tích lũy chỉ hoàn toàn có thể tích lũy lưu lượng mạng ( network traffic ) được nhận bởi bộ điều hợp mạng ( network adapter ), nó hoàn toàn có thể không hề nhìn thấy lưu lượng sống sót ở phía bên kia của bộ định tuyến ( Router ) hoặc bộ chuyển mạch ( Switch ). Trên mạng không dây, hầu hết những bộ điều hợp chỉ có năng lực liên kết với một kênh ( channel ) tại một thời gian. Để thu thập dữ liệu trên nhiều phân đoạn mạng hoặc nhiều kênh không dây, cần có trình nghiên cứu và phân tích gói tin Packet sniffer trên mỗi phân đoạn của mạng. Hầu hết những giải pháp giám sát mạng đều phân phối công dụng dò tìm gói tin packet sniffing như một trong những công dụng của những tác nhân giám sát của họ .

3. Packet sniffing thu thập loại thông tin nào?

– Packet sniffing thu thập toàn bộ gói tin của mỗi mạng truyền. Các gói tin không được mã hóa hoàn toàn có thể được tập hợp lại và đọc hàng loạt. Ví dụ : những gói tin bị chặn từ người dùng truy vấn vào một website sẽ gồm có HTML và CSS của những website đó. Phổ biến nhất là trường hợp người dùng đăng nhập vào tài nguyên mạng qua những đường truyền không được mã hóa để lộ tên người dùng và mật khẩu của họ dưới dạng văn bản thuần túy hoàn toàn có thể được nhìn thấy trong những gói tin được tích lũy .

4. Khi nào bạn nên cân nhắc sử dụng tính năng packet sniffing?

– Packet sniffing có nhiều hiệu quả thiết thực. Thông thường, Packet sniffing được sử dụng để khắc phục sự cố mạng. Các gói tin được phát hiện trên mạng mà chúng không được cho là có trong đó hoàn toàn có thể gợi ý định tuyến hoặc chuyển mạch không đúng cách. Các gói tin được ghi lại cho những cổng không tương thích với giao thức của chúng cũng hoàn toàn có thể gợi ý thông số kỹ thuật sai của một hoặc nhiều nút. Bạn cũng hoàn toàn có thể nghiên cứu và phân tích lưu lượng truy vấn và phản hồi nhận được cho những nhu yếu. Nút có truy vấn đúng sever DHCP không ? Yêu cầu DNS đúng mực có được chuyển đến đúng vị trí không ? Lưu lượng truy vấn có được mã hóa bằng SSL hoặc HTTPS khi thiết yếu hay những phản hồi không được mã hóa được gửi đi không ? Đường định tuyến do gói triển khai có phải là đường hiệu quả nhất đến đích sau cuối của nó không ?

– Các gói tin cũng hoàn toàn có thể được nghiên cứu và phân tích để xem liệu một ứng dụng đơn cử có đang sử dụng quá nhiều băng thông hay không hoặc liệu quy trình xác nhận có nhu yếu nhiều cuộc gọi qua lại hay không. Dựa trên tài liệu được cung ứng, bạn hoàn toàn có thể tăng cấp thông tin liên lạc hoặc khắc phục sự cố ứng dụng để nâng cao hiệu suất ứng dụng .

– Bạn hoàn toàn có thể sử dụng tính năng dò tìm gói tin Packet Sniffing để theo dõi khuynh hướng tiêu thụ trên mạng. Phân tích những gói tin được tích lũy hoàn toàn có thể cho thấy rằng một lượng lớn lưu lượng truy vấn đang được sử dụng bởi một ứng dụng nội bộ nhất định hoặc truyền video. Ngoài ra, lưu lượng truy vấn giảm hoàn toàn có thể cho thấy rằng những tài nguyên đơn cử đang được sử dụng ít hơn .

– Tính năng dò tìm gói tin Packet Sniffing hoàn toàn có thể hữu dụng trong việc tăng cường bảo mật thông tin mạng. Ví dụ : khi giám sát lưu lượng truy vấn tên người dùng và mật khẩu văn bản rõ ràng, bạn hoàn toàn có thể nhận thấy những yếu tố bảo mật thông tin hoàn toàn có thể xảy ra trước bất kể tin tặc nào. Ngoài ra, giám sát lưu lượng truy vấn từ xa hoàn toàn có thể giúp bảo vệ rằng tổng thể lưu lượng truy vấn được mã hóa đúng cách và không bị gửi ra ngoài internet mà không có mã hóa .

Dịch : N.V.Hùng

Source: http://139.180.218.5
Category: Thuật ngữ đời thường