Aplikacje do podsłuchiwania sieci można podzielić na dwie kategorie: analizatory ruchu w sieciach lokalnych, które pozwalają sprawnie nimi zarządzać, oraz sniffery służące do podsłuchiwania. Różnica zależy od zastosowania – obydwie grupy programów działają tak samo. Sniffery oprócz tego, że przychwytują dane przesyłane siecią, muszą je przekształcić do postaci zrozumiałej dla człowieka. Uzyskane w ten sposób informacje są najczęściej stosowane do różnych “niecnych” celów – na przykład włamań.
Co w kablu piszczy
Wbrew pozorom zasada działania podsłuchu sieciowego jest bardzo prosta. Lokalna sieć komputerowa została zbudowana w ten sposób, żeby komputery połączone za jej pomocą mogły współdzielić swoje zasoby (udostępnianie plików, drukarek itp.). W wyniku tego komputery połączone w jedną sieć “widzą” wszystkie dane w niej przepływające i tylko ignorują dane nie przeznaczone dla nich. Jeśli sieć podzielona jest na segmenty, przy odpowiedniej konfiguracji routerów może się zdarzyć, że “widzą się” tylko maszyny z jednego segmentu. W sieciach ethernetowych każda porcja danych przeznaczonych do przesłania jest umieszczana w tzw. ramce. Ramka taka, zgodnie z dokumentem RFC 894, składa się z 6-bajtowego adresu przeznaczenia, 6-bajtowego adresu źródła, 2 bajtów typu oraz od 46 do 16 500 bajtów na dane i 4 bajtów sumy kontrolnej. Każda karta sieciowa ma przypisany adres MAC (Medium Access Control) nadany przez producenta. Adresy MAC są unikatowe w skali światowej. Połowa adresu to tzw. numer sprzedawcy, druga zaś część jest zależy od producenta, który dba o to, żeby adresy wśród jego produktów się nie dublowały.
Wszystkie ramki ethernetowe wysłane z konkretnym adresem przeznaczenia powinny trafić tylko do właściwego adresata. W rzeczywistości jednak zaadresowana ramka trafia do każdej karty sieciowej, która dopiero po stwierdzeniu, czy dane adresowe są właściwe, obsługuje ją bądź odrzuca. Właśnie tutaj pojawia się możliwość podsłuchu. Można bowiem ustawić kartę sieciową w tryb pracy promiscuous, dzięki czemu wszystkie ramki docierające do komputera zostaną odebrane i przetworzone. Właśnie to wykorzystują sniffery.
Programy podsłuchujące doskonale radzą sobie z przechwytywaniem haseł. Użytkownik nie musi nawet znać numerów portów TCP, które są używane przez usługi pocztowe czy też sesje telnet. Wszystkim zajmuje się program sniffujący. Niektóre z nich mają bardzo wygodny interfejs, np. na kolejnych zakładkach mamy prezentowane dane związane z różnymi usługami (poczta, FTP, WWW, ICQ), a każda karta zawiera drzewo dzielące informacje według komputerów, które je wysyłały i odbierały. Dzięki temu nawet laik może czytać cudze e-maile i widzieć całe strony WWW przeglądane przez innych użytkowników sieci.
Do podsłuchania można wykorzystałać program sniffit, który jest instalowany standardowo w niektórych dystrybucjach Linuksa. Także dla systemu Windows powstaje coraz więcej narzędzi do podsłuchu sieci. Przykładem może być SpyNet, w którego skład wchodzą dwa programy: CaptureNet do przechwytywania danych oraz PeepNet służący do ich analizy. Podsłuchując sesję FTP, przechwycimy nie tylko hasła, ale również zarejestrujemy, do których katalogów wchodziliśmy. Z sesji programu pocztowego dowiemy się, ile wiadomości pocztowych odebraliśmy z serwera. O tym, czym grozi utrata poufności hasła do serwisu aukcyjnego, nie trzeba nikogo przekonywać.
Nawet jeżeli ktoś nie może podłączyć komputera do naszej sieci lokalnej, ma szansę na podsłuchanie, co się nią przesyła. Wystarczy, że włamie się do systemu i zainstaluje tu konia trojańskiego. Często te aplikacje zawierają sniffery. Rootkits (dla Linuksa) dodatkowo zamienia takie programy, jak login, ps, ls, netstat, du, ifconfig, dzięki czemu wykrycie sniffera w systemie może okazać się niemożliwe lub trwać bardzo długo. Do czasu zlikwidowania sniffera podsłuch będzie działał, przekazując hasła e-mailem do hakera.
Obecnie zdobycie sniffera jest proste. Wpisując np. w wyszukiwarce Netoskop hasło “sniffer”, otrzymamy prawie 2 tysiące odnośników do stron z programami do sniffowania i wyczerpującymi instrukcjami użycia.
