Packet sniffer
Een packet sniffer, of packet analyzer is een computerprogramma waarmee het dataverkeer op een netwerk of netwerksegment kan worden bekeken en geanalyseerd.
Inhoud |
[bewerk] Werking
Computergegevens die over een IP-netwerk verstuurd worden, reizen door dat netwerk in de vorm van pakketjes. Elke computer in een netwerk heeft een uniek adres, IP-adres geheten. Pakketjes met gegevens worden geadresseerd, zodat het pakketje gerouted kan worden naar de juiste bestemming(en). Ook bevat een pakket het adres van de computer die het verstuurd heeft.
Als een computer tussen het versturende en ontvangende systeem uitgerust is met een packet sniffer kunnen alle pakketten gelezen worden. Andere systemen zullen hier niks van merken, de packet sniffer luistert alleen maar mee. De binnenkomende pakketjes slaat de packet sniffer vaak op in een bestand, zodat het bekijken en analyseren ervan mogelijk wordt. Packet sniffers bieden hier vaak uitgebreide mogelijkheden voor.
[bewerk] Gebruik
Packet sniffers kunnen onder meer antwoord geven op vragen als:
- Wanneer loopt er dataverkeer door het netwerk?
- Om wat voor dataverkeer gaat het? Verschillende Internet diensten gebruiken verschillende soorten pakketten, zoals HTTP voor het surfen over het Internet, SMTP voor de e-mail en weer andere voor toepassingen zoals VoIP, Kazaa, enzovoorts. Een goede packet analyzer kan zeer veel soorten pakketten uitelkaar houden en op een goed leesbare manier tonen.
- Waar komt het dataverkeer vandaan?
- Waar gaat het naartoe?
- Wat is de inhoud van het dataverkeer? Is het versleuteld of kan de data langs de gehele route worden meegelezen?
Het gebruik van packet sniffers is (in Nederland) niet illegaal. Het gebruik ervan is zeker niet voorbehouden aan hackers of crackers; ook voor systeembeheerders en in het forensisch onderzoek vormen packet sniffers een waardevol gereedschap.
[bewerk] Technisch
Normaal worden pakketjes genegeerd door de netwerkkaart als de adressering niet klopt met het eigen MAC-adres. Een packet sniffer verandert dit gedrag, door de netwerkkaart in promiscuous mode te zetten. In deze modus accepteert de netwerkkaart ook langskomende pakketjes die niet voor het eigen MAC-adres bedoeld zijn.
[bewerk] Gevaar/beveiliging
Omdat men met een packet sniffer alle gegevens in de pakketjes kan lezen zonder dat de verzender en ontvanger hier weet van hebben, bestaat het gevaar dat gevoelige informatie in verkeerde handen valt. Zorg dus dat indien de pakketjes niet versleuteld worden, of als dit niet zeker is, dat er geen creditcardnummers, passwords of andere gevoelige gegevens verstuurd worden. Op het Internet is een beveiligde site te herkennen aan het HTTPS protocol (boven in de browser begint het adres dan met https:// in plaats van http://). De communicatie tussen de browser en de server wordt dan versleuteld verstuurd.
Om e-mail op een veilige manier te versturen moet het versleuteld worden met bijvoorbeeld PGP. Normale e-mail pakketten zijn letterlijk te lezen met behulp van een packet sniffer.
Let op, de pakketjes zijn nog steeds te lezen door derden met de packet sniffer en als deze persoon beschik over de juiste sleutels die gebruikt zijn om de pakketjes te versleutelen is de informatie nog steeds te achterhalen. Zorg dus dat eventuele passwords geheim blijven en niet makkelijk te kraken zijn.
