Аналіза тор тра фіку або сні фер від англ to sniff нюхати програма або програмно апаратний пристрій призначений для пере

Аналіза́тор тра́фіку, або сні́фер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку призначеного для інших вузлів.

Принцип роботи

Перехоплення трафіку може здійснюватися:

звичайним «прослуховуванням» мережевого інтерфейсу (метод ефективний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми);
підключенням сніфера в розрив каналу;
відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер;
через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рівні (IP-spoofing), що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу.

Застосування

На початку 1990-х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів, які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді. Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.

Сніфери застосовуються як в благих, так і в деструктивних цілях. , що пройшов через сніфер, дозволяє:

Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз).
Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності).
Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації.
Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)

Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із застосуванням лише простих засобів автоматизації (, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.

Приклади аналізаторів трафіку

Wireshark
tcpdump
— бібліотека
WinDump [ 8 жовтня 2011 у Wayback Machine.]
— найперший сніфер, що набув широкої популярності. Тестувався на GNU/Linux, SunOS, Solaris, FreeBSD, IRIX. В 1990-х був синонімом слова sniffer.
Sniffer [ 5 вересня 2021 у Wayback Machine.]
Packetyzer [ 21 листопада 2008 у Wayback Machine.]
Ferret — універсальний сніфер, заточений під Wi-Fi .
LanGrabber — сніфер, що видобуває файли з мережного трафіку [ 24 липня 2008 у Wayback Machine.]
Observer [ 20 вересня 2008 у Wayback Machine.]
Open source Internet Traffic Decoder (NFAT)
Zeek

Див. також

Вікісховище має мультимедійні дані за темою: Аналізатор трафіку

Посилання

Protocol Analyzers, каталог посилань Open Directory Project (англ.)
How-to Packet Sniff. [ 15 червня 2013 у Wayback Machine.] (англ.)
(You must fill a «Download request form» to access this document) (англ.)
by Robert Graham. (англ.)
A Quick Intro to Sniffers. [ 26 квітня 2022 у Wayback Machine.] (англ.)
Multi-Tap Network Packet Capture. (англ.)
Microsoft Message Analyzer. [ 25 червня 2013 у Wayback Machine.] (англ.)

Це незавершена стаття про комп'ютерні мережі.
Ви можете проєкту, виправивши або дописавши її.