การดมข้อมูลเครือข่ายคือการใช้เครื่องมือซอฟต์แวร์ที่เรียกว่า Network sniffer ซึ่งจะตรวจสอบหรือดมกลิ่นข้อมูลที่ไหลผ่านลิงก์เครือข่ายคอมพิวเตอร์ในแบบเรียลไทม์ เครื่องมือซอฟต์แวร์นี้อาจเป็นโปรแกรมซอฟต์แวร์ในตัวหรืออุปกรณ์ฮาร์ดแวร์ที่มีซอฟต์แวร์หรือเฟิร์มแวร์ที่เหมาะสม
Network Sniffer คืออะไร
Network sniffers ถ่ายสำเนาสแน็ปช็อตของข้อมูลที่ไหลผ่านเครือข่ายโดยไม่เปลี่ยนเส้นทางหรือแก้ไข ดมกลิ่นบางตัวใช้งานได้กับแพ็กเก็ต TCP/IP เท่านั้น แต่เครื่องมือที่ซับซ้อนกว่านั้นทำงานกับโปรโตคอลเครือข่ายอื่นๆ มากมายและในระดับที่ต่ำกว่า รวมถึงเฟรมอีเทอร์เน็ต
ปีที่แล้ว ดมกลิ่นเป็นเครื่องมือที่ใช้โดยวิศวกรเครือข่ายมืออาชีพเท่านั้น อย่างไรก็ตาม ทุกวันนี้ ด้วยซอฟต์แวร์ที่ให้บริการฟรีบนเว็บ พวกเขายังได้รับความนิยมจากแฮกเกอร์อินเทอร์เน็ตและผู้คนที่สงสัยเกี่ยวกับเครือข่าย
การดมกลิ่นเครือข่ายบางครั้งเรียกว่าโพรบเครือข่าย ดมกลิ่นไร้สาย ดมกลิ่นอีเธอร์เน็ต ดมกลิ่นแพ็กเก็ต ตัววิเคราะห์แพ็กเก็ต หรือเพียงแค่สอดแนม
วิธีการใช้ตัววิเคราะห์แพ็คเก็ต
มีแอปพลิเคชันมากมายสำหรับการดมกลิ่นแพ็คเก็ต ตัวดมกลิ่นแพ็คเก็ตส่วนใหญ่สามารถใช้ได้อย่างไม่เหมาะสมโดยบุคคลหนึ่งคนและเพื่อเหตุผลอันชอบด้วยกฎหมายโดยบุคคลอื่น
โปรแกรมดักจับรหัสผ่าน เช่น สามารถใช้โดยแฮ็กเกอร์ แต่ผู้ดูแลระบบเครือข่ายอาจใช้เครื่องมือเดียวกันนี้เพื่อค้นหาสถิติเครือข่าย เช่น แบนด์วิดท์ที่มีอยู่
การดมข้อมูลเครือข่ายยังใช้เพื่อทดสอบไฟร์วอลล์หรือตัวกรองเว็บ และเพื่อแก้ไขปัญหาความสัมพันธ์ของไคลเอ็นต์/เซิร์ฟเวอร์
เครือข่ายดมกลิ่นทำงานอย่างไร
การดมกลิ่นแพ็กเก็ตที่เชื่อมต่อกับเครือข่ายใดๆ จะสกัดกั้นข้อมูลทั้งหมดที่ไหลผ่านเครือข่ายนั้น
ในเครือข่ายท้องถิ่น (LAN) คอมพิวเตอร์มักจะสื่อสารโดยตรงกับคอมพิวเตอร์หรืออุปกรณ์อื่น ๆ ในเครือข่าย สิ่งใดก็ตามที่เชื่อมต่อกับเครือข่ายนั้นจะถูกเปิดเผยต่อการรับส่งข้อมูลนั้นทั้งหมด คอมพิวเตอร์ได้รับการตั้งโปรแกรมให้ละเว้นการรับส่งข้อมูลเครือข่ายทั้งหมดที่ไม่ได้มีไว้สำหรับมัน
ซอฟต์แวร์ดมกลิ่นเครือข่ายเปิดให้รับส่งข้อมูลทั้งหมดโดยเปิดการ์ดอินเทอร์เฟซเครือข่าย (NIC) ของคอมพิวเตอร์เพื่อรับฟังการรับส่งข้อมูลนั้น ซอฟต์แวร์อ่านข้อมูลนั้นและทำการวิเคราะห์หรือแยกข้อมูล
เมื่อได้รับข้อมูลเครือข่ายแล้ว ซอฟต์แวร์จะดำเนินการดังต่อไปนี้:
- เนื้อหาหรือแต่ละแพ็คเก็ต (ส่วนของข้อมูลเครือข่าย) จะถูกบันทึก
-
ซอฟต์แวร์บางตัวบันทึกเฉพาะส่วนหัวของแพ็กเก็ตข้อมูลเพื่อประหยัดพื้นที่
- ข้อมูลเครือข่ายที่จับได้จะถูกถอดรหัสและจัดรูปแบบเพื่อให้ผู้ใช้สามารถดูข้อมูลได้
- ดมกลิ่นแพ็คเก็ตวิเคราะห์ข้อผิดพลาดในการสื่อสารเครือข่าย แก้ไขปัญหาการเชื่อมต่อเครือข่าย และสร้างสตรีมข้อมูลทั้งหมดขึ้นใหม่สำหรับคอมพิวเตอร์เครื่องอื่น
- ซอฟต์แวร์ดมกลิ่นเครือข่ายบางตัวดึงข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หมายเลข PIN และข้อมูลส่วนตัว
วิธีขัดขวางการโจมตีด้วยการดมกลิ่นในเครือข่าย
หากคุณกังวลเกี่ยวกับซอฟต์แวร์สอดแนมเครือข่ายที่สอดแนมการรับส่งข้อมูลเครือข่ายที่มาจากคอมพิวเตอร์ของคุณ มีวิธีป้องกันตัวเองหลายวิธี
มีเหตุผลทางจริยธรรมที่บางคนอาจต้องใช้ซอฟต์แวร์ดมกลิ่น เช่น เมื่อผู้ดูแลระบบเครือข่ายตรวจสอบการไหลของการรับส่งข้อมูลในเครือข่าย
เมื่อผู้ดูแลระบบเครือข่ายกังวลเกี่ยวกับการใช้เครื่องมือเหล่านี้ในทางที่ผิดในเครือข่าย พวกเขาจะใช้การสแกนต่อต้านการดมกลิ่นเพื่อป้องกันการโจมตีจากการดมกลิ่น ซึ่งหมายความว่าเครือข่ายองค์กรมักจะปลอดภัย
อย่างไรก็ตาม ง่ายต่อการรับและใช้ซอฟต์แวร์ดมกลิ่นด้วยเหตุผลที่เป็นอันตราย ซึ่งทำให้การใช้งานโดยผิดกฎหมายกับอินเทอร์เน็ตที่บ้านของคุณเป็นสาเหตุของความกังวล มันจะง่ายมากสำหรับคนที่จะเชื่อมต่อซอฟต์แวร์ดังกล่าวกับเครือข่ายคอมพิวเตอร์ขององค์กร
หากคุณต้องการป้องกันตัวเองจากคนที่แอบดูการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณ ให้ใช้ VPN ที่เข้ารหัสการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณ คุณสามารถเรียนรู้ทั้งหมดเกี่ยวกับ VPN และผู้ให้บริการ VPN ที่คุณใช้เพื่อป้องกันตัวเองได้
เครื่องมือดมกลิ่นเครือข่าย
Wireshark (เดิมชื่อ Ethereal) เป็นที่รู้จักอย่างกว้างขวางว่าเป็นนักดมกลิ่นเครือข่ายที่ได้รับความนิยมมากที่สุดในโลก เป็นแอปพลิเคชันโอเพ่นซอร์สฟรีที่แสดงข้อมูลการจราจรพร้อมรหัสสีเพื่อระบุว่าใช้โปรโตคอลใดในการส่งข้อมูล
บนเครือข่ายอีเทอร์เน็ต อินเทอร์เฟซผู้ใช้จะแสดงแต่ละเฟรมในรายการที่มีตัวเลขและไฮไลต์ด้วยสีที่แยกจากกัน ไม่ว่าจะส่งผ่าน TCP, UDP หรือโปรโตคอลอื่นๆ
Wireshark ยังจัดกลุ่มสตรีมข้อความที่ส่งไปมาระหว่างต้นทางและปลายทาง (ซึ่งจะถูกผสมผสานกับปริมาณการใช้งานจากการสนทนาอื่นๆ เมื่อเวลาผ่านไป)
Wireshark รองรับการรับส่งข้อมูลผ่านอินเทอร์เฟซปุ่มกดเริ่ม/หยุดเครื่องมือนี้ยังมีตัวเลือกการกรองที่จำกัดการแสดงข้อมูลและรวมในการจับภาพ นั่นเป็นคุณสมบัติที่สำคัญเนื่องจากการรับส่งข้อมูลในเครือข่ายส่วนใหญ่มีข้อความควบคุมตามปกติที่ไม่สนใจ
มีการพัฒนาแอพพลิเคชั่นซอฟต์แวร์การตรวจวัดที่แตกต่างกันมากมายในช่วงหลายปีที่ผ่านมา นี่เป็นเพียงตัวอย่างบางส่วน:
- tcpdump (เครื่องมือบรรทัดคำสั่งสำหรับ Linux และระบบปฏิบัติการที่ใช้ Unix อื่นๆ)
- CloudShark
- คาอินและอาเบล
- ตัววิเคราะห์ข้อความของ Microsoft
- CommView
- Omnipeg
- แคปซ่า
- Ettercap
- PRTG
- เครื่องมือวิเคราะห์เครือข่ายฟรี
- NetworkMiner
- เครื่องมือไอพี
เครื่องมือดมกลิ่นเครือข่ายบางตัวฟรีในขณะที่เครื่องมืออื่นๆ มีค่าใช้จ่ายหรือให้ทดลองใช้งานฟรี นอกจากนี้ โปรแกรมเหล่านี้บางโปรแกรมไม่ได้รับการดูแลหรืออัปเดตอีกต่อไป แต่ยังสามารถดาวน์โหลดได้
ปัญหาเกี่ยวกับ Network Sniffers
เครื่องมือดมกลิ่นเป็นวิธีที่ดีในการเรียนรู้วิธีการทำงานของโปรโตคอลเครือข่าย อย่างไรก็ตาม ยังช่วยให้เข้าถึงข้อมูลส่วนตัวบางอย่างได้ง่าย เช่น รหัสผ่านเครือข่าย ตรวจสอบกับเจ้าของเพื่อขออนุญาตก่อนใช้นักดมกลิ่นในเครือข่ายของพวกเขา
เครือข่ายโพรบจะสกัดกั้นข้อมูลจากเครือข่ายที่เชื่อมต่อกับโฮสต์คอมพิวเตอร์เท่านั้น ในการเชื่อมต่อบางอย่าง sniffers จะจับเฉพาะการรับส่งข้อมูลที่ส่งไปยังอินเทอร์เฟซเครือข่ายนั้นเท่านั้น ไม่ว่าในกรณีใด สิ่งสำคัญที่สุดที่ต้องจำไว้ก็คือใครก็ตามที่ต้องการใช้เครือข่ายดมกลิ่นเพื่อสอดแนมการรับส่งข้อมูลจะมีช่วงเวลาที่ยากลำบากในการทำเช่นนั้นหากการรับส่งข้อมูลนั้นได้รับการเข้ารหัส
คำถามที่พบบ่อย
คุณจะรู้ได้อย่างไรว่ามีคนแอบดูเครือข่ายของคุณ
การตรวจจับผู้ดมกลิ่นอาจเป็นเรื่องยาก เนื่องจากพวกมันมักจะนิ่งเฉยโดยเพียงแค่รวบรวมข้อมูล แต่ถ้าติดตั้งเครื่องดมกลิ่นบนคอมพิวเตอร์ การรับส่งข้อมูลเพิ่มเติมสามารถเตือนคุณถึงการมีอยู่ของผู้ดมกลิ่นได้ ลองใช้โปรแกรมซอฟต์แวร์ที่ตรวจจับการดมกลิ่น เช่น Anti-Sniff, Sniff Detection, ARP Watch หรือ Snort
ข้อมูลประเภทใดที่สามารถพบได้โดยใช้แพ็กเก็ตดมกลิ่น
การดมกลิ่นแพ็คเก็ตเป็นเครื่องมือวิศวกรเครือข่ายที่ถูกต้องตามกฎหมายหรือฟีเจอร์แอนตี้ไวรัส แต่ก็สามารถเป็นเครื่องมือของแฮ็กเกอร์ได้เช่นกัน โดยแสดงเป็นไฟล์แนบอีเมลที่เป็นอันตราย ผู้ดมกลิ่นแพ็คเก็ตที่เป็นอันตรายสามารถบันทึกรหัสผ่านและข้อมูลการเข้าสู่ระบบ รวมทั้งตรวจสอบการเข้าชมเว็บไซต์และกิจกรรมของผู้ใช้ ธุรกิจสามารถใช้การดมกลิ่นแพ็คเก็ตที่ถูกต้องเพื่อสแกนทราฟฟิคที่เข้ามาเพื่อหามัลแวร์หรือติดตามการใช้เครือข่ายของพนักงาน
