Wellcome......to....website....Parimol............................ - Sniffer

Home
Homework Unix
Homework Computer Law
=> Sniffer
=> Log
=> Startum
=> หน่วยงานในสังกัด ICT
Contact
Guestbook

 

                  sniffer คืออุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลในเครือข่ายและโปรแกรม “sniffer” เป็นโปรแกรมที่จะคอยดักฟังการสนทนากันของเครือข่าย แต่จะเห็นการสนทนากันนั้นจะเป็นข้อมูลไบนารี ดังนั้นโปรแกรมดังกล่าวต้องทำการถอดรหัสของข้อมูลของคอมพิวเตอร์ เพื่อจะให้รู้ถึงการสนทนานั้นได้

                   มีการนำ sniffing program มาใช้เป็นเวลานานแล้ว และลักษณะการใช้จะแบ่งเป็น 2 ประเภทคือ sniffer เชิงพานิชย์ ซึ่งใช้ในการดูแลเครือข่ายและ sniffer ซ่อนเร้น ซึ่งใช้ในการโจมตีหรือบุกรุกคอมพิวเตอร์ โดยปกติการใช้งานโปรแกรมพวกนี้ ได้แก่

• การดักจับรหัสผ่านและ user name จากเครือข่าย ซึ่ง hacker/cracker ใช้ในการเจาะเข้าสู่ระบบ
• ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย
• การวิเคราะห์ประสิทธิภาพของเครือข่าย
• ใช้ในระบบตรวจจับการบุกรุก
  

โปรแกรม Sniffer เป็นเครื่องมือที่มีประโยชน์มากสำหรับการวิเคราะห์หาจุดเสียในระบบเครือข่าย อีกทั้งยังสามารถนำมาตรวจสอบสถานะการทำงานของระบบเครือข่าย รวมทั้งตรวจจับร่องรอยการบุกรุกหรือโจมตีเครือข่ายได้เป็นอย่างดี ต่อไปนี้เป็นเหตุผลสำคัญที่ผู้บริหารจัดการระบบเครือข่ายควรให้ความสำคัญในการใช้เครื่องมือวิเคราะห์เครือข่ายอย่างเช่น Sniffer

• Sniffer สามารถแปลงข้อมูลข่าวสารในรูปแบบของเลขไบนารีหรือฐาน 16 ไปเป็นรูปแบบที่สามารถอ่านและเข้าใจได้โดยง่าย

• Sniffer จะช่วยให้ท่านสามารถตรวจซ่อมหาจุดเสียต่าง ๆ บนเครือข่ายได้ดี

• สามารถนำมาใช้เพื่อการตรวจสอบประสิทธิภาพการทำงานของเครือข่าย เช่น เครือข่ายทำงานช้าลง

• สามารถตรวจจับผู้บุกรุกเข้ามาในเครือข่ายได้ระดับหนึ่ง

• สามารถบันทึก Traffic ของเครือข่ายไว้เพื่อนำมาวิเคราะห์ตรวจสอบหาร่องรอยของปัญหาต่าง ๆ

• สามารถตรวจสอบสถานการณ์ทำงานของแอพพลิเคชันต่าง ๆ บนเครือข่าย

• สามารถตรวจสอบพบข้อผิดพลาดของอุปกรณ์เครือข่าย เช่น การ์ด LAN เป็นต้น

• สามารถตรวจสอบต้นตอของการโจมตีแบบ Denial of Service Attack (DOS) ได้

• สามารถตรวจสอบหา Spyware (ซอฟต์แวร์ที่แอบติดตั้งไว้ในเครื่องคอมพิวเตอร์เพื่อดักจับและเก็บข้อมูล)

• สามารถใช้เป็นเครื่องมือทดสอบการทำงานของแอพพลิเคชันในขั้นตอนของการพัฒนา)

• สามารถตรวจสอบเครื่องคอมพิวเตอร์ที่น่าสงสัยบนเครือข่าย

• ใช้เป็นสื่อการสอนสำหรับท่านที่ต้องการศึกษาการทำงานของโปรโตคอลต่าง ๆ

• ใช้เพื่อศึกษาแบบอย่างการพัฒนาการทำงานของโปรโตคอล

 การใช้ Sniffer เพื่อตรวจสอบลำดับการทำงานของโปรโตคอล TCP



ตัวอย่าง sniffer  ที่มีชื่อเสียง

ตัวอย่าง Sniffer Portable

                                                  รูป Dashboard  

รูป Host Table




รูปที่ดูโค้ดได้ว่าเครื่องได้ใช้อะไรบ้าง

ปัจจุบันมีโปรแกรมประเภท Sniffer ที่มีชื่อเสียง ทั้งที่เป็นแบบฟรีแวร์และซอฟต์แวร์ที่ผลิตขึ้นในเชิงพาณิชย์ที่น่าสนใจหลายรายการดังนี้

Ethereal

Ethereal จัดเป็น Sniffer ที่ดีที่สุดตัวหนึ่งซึ่งหนังสือหรือตำราต่างประเทศมักอ้างอิงถึง Ethereal เป็นฟรีแวร์ที่ท่านสามารถดาวน์โหลดได้จากอินเทอร์เน็ต โปรแกรมนี้เป็น Sniffer ที่สามารถตรวจจับ Traffic ของเครือข่ายในระดับเวลาจริงหรือ Real Time โดยสามารถตรวจจับและถอดรหัสโปรโตคอลต่าง ๆ ได้มากมายถึง 400 โปรโตคอล สามารถทำงานได้ทั้งบน Windows หรือ UNIX รวมทั้ง LINUX ตัว Ethereal เป็นเพียง Sniffer ที่ซื่อสัตย์ต่อท่านเท่านั้น ไม่สามารถวิเคราะห์อาการเสียหรือปัญหาของเครือข่ายให้กับท่านเหมือน Sniffer บางตัว ท่านสามารถดาวน์โหลดโปรแกรมนี้ได้ที่ http://www.ethereal.com/

WinDump

WinDump เป็นโปรแกรม TcpDump ที่ทำงานบน UNIX แต่ถูกออกแบบมาให้ใช้กับ Windows ภายใต้ชื่อ WinDump เป็นซอฟต์แวร์ที่ต้องทำงานบน MS-DOS Mode บน Windows และต้องติดตั้ง Wincap ควบคู่ไปกับการทำงานของ WinDump ท่านสามารถดาวน์โหลดโปรแกรมนี้ได้ที่ http://www.windump.polito.it สามารถทำงานบน Windows 95/98/Me/NT/2000/2003/XP

Etherpeek

Etherpeek เป็น Sniffer ที่มีประสิทธิภาพสูงตัวหนึ่งจากค่าย WildPackets สามารถติดตามการทำงานของเราเตอร์ ปริมาณการใช้งานบนเครือข่าย อีกทั้งยังสามารถตรวจหาจุดเสียหรือข้อบกพร่องของเครือข่าย นอกจากนี้ยังมีระบบการแจ้งเตือนในกรณีที่สถานการณ์การทำงานของเครือข่ายเกินกว่าค่าที่ท่านได้ตั้งไว้ ซึ่งเป็นประสิทธิภาพการทำงานโดยมาตรฐานของ Sniffer โดยทั่วไป นับเป็นซอฟต์แวร์เชิงพาณิชย์ที่มีประสิทธิภาพสูงตัวหนึ่ง

 หน้าจอการทำงานของ Etherpeek NX

Analyzer

Analyzer เป็น Sniffer ในระดับฟรีแวร์ที่น่าสนใจตัวหนึ่ง ทำงานบนระบบปฏิบัติการ Windows เป็นซอฟต์แวร์ที่พัฒนาขึ้นโดยผู้พัฒนาโปรแกรม WinDump และ WinCap สามารถดาวน์โหลดได้จาก http://analyzer.polito.it Analyzer สามารถดักจับแพ็กเก็ตบนเครือข่าย และนำมาแสดงผลในรูปแบบกราฟิก ผู้ใช้งานสามารถเลือกการ์ด LAN ที่ต้องการใช้ดักจับแพ็กเก็ตได้ สามารถเลือกโปรโตคอลที่ต้องการจะตรวจจับได้ สามารถตรวจจับแพ็กเก็ตในลักษณะเวลาจริง และแสดงผลออกมาเป็นสถิติทางกราฟิกได้อีกด้วย โปรแกรมนี้ถูกออกแบบมาเพื่อให้ความสะดวกแก่ผู้บริหารเครือข่ายโดยเฉพาะ

 หน้าจอการทำงานของ Analyzer

AW Ports

AW Ports เป็นโปรแกรมประเภท Sniffer และวิเคราะห์ Traffic อีกทั้งเป็นผู้บันทึกเหตุการณ์ในตัว สามารถตรวจจับ Traffic ที่เกิดขึ้นบนเครือข่ายและอินเทอร์เน็ตได้ นอกจากนี้ยังสามารถตรวจสอบเนื้อหาภายในของแพ็กเก็ตที่ตรวจจับได้อีกด้วย สามารถตรวจสอบที่มาที่ไปของแพ็กเก็ต และสามารถเก็บบันทึกเหตุการณ์ได้มากมายถึง 500 เมกะไบต์สำหรับ Traffic นับตั้งแต่เริ่มใช้งาน (รูปที่

 หน้าจอการทำงานของ AW Ports Traffic Analyser

Observer

Observer (รูปที่ 9) จาก Network Instrument เป็นโปรแกรม Sniffer ที่ใช้เพื่อเฝ้าดูการทำงานของเครือข่าย รวมทั้งเป็นระบบวิเคราะห์การทำงานของโปรโตคอลในตัวเดียวกัน ใช้งานได้ดีบนเครือข่าย Ethernet ระบบเครือข่ายไร้สาย 802.11b/a/g รวมทั้ง FDDI และ Token Ring

Observer เป็นซอฟต์แวร์ที่ไม่เพียงสามารถตรวจจับ Traffic เท่านั้น แต่ยังสามารถตรวจสอบหาจุดเสียบนเครือข่ายได้อีกด้วย สามารถตรวจสอบปัญหาของ LAN ชนิดเซกเมนต์ (Segment) เดียวหรือหลาย ๆ เซกเมนต์ สามารถแสดงข้อมูลข่าวสารเกี่ยวกับสถิติการทำงาน รวมทั้งแสดงแนวโน้มการทำงาน หรือปัญหาของเครือข่ายได้ด้วย นอกจากนี้ยังสามารถอัปเกรดเพื่อให้สามารถตรวจจับ Traffic บน WAN รวมทั้งรวบรวมข่าวสารเพื่อแสดงประสิทธิภาพการทำงานของเครือข่ายได้

 ลักษณะหน้าจอการทำงานของ Observer

Sniffer Pro

คงไม่มีใครกล้าปฏิเสธ (หากเคยใช้โปรแกรมนี้มาก่อน) ว่า Sniffer Pro (รูปที่ 10) เป็น Sniffer ที่มีประสิทธิภาพสูงมากตัวหนึ่ง เป็น Sniffer ที่สามารถทำงานได้หลากหลาย สามารถแสดงปริมาณการใช้งานเครือข่ายคิดเป็นเปอร์เซ็นต์ รวมทั้งปริมาณของแพ็กเก็ตต่อวินาที และความผิดพลาดต่าง ๆ ที่เกิดขึ้น นอกจากนี้ยังสามารถแสดงปัญหาที่เกิดขึ้นในระดับ Data Link เช่น ปัญหาต่าง ๆ ของเฟรมข้อมูลที่เป็นผลมาจากความบกพร่องของการ์ด LAN รวมทั้งปัจจัยอื่น ๆ นอกจากนี้ยังสามารถแสดงปริมารการสื่อสารข้อมูลและบรอดคาสต์ (Broadcast) ที่มาจากเครื่องคอมพิวเตอร์ต่าง ๆ ได้

Sniffer Pro สามารถดักจับแพ็กเก็ตภายใต้โปรโตคอลต่าง ๆ ได้มากถึง 500 โปรโตคอล ซึ่งมากเพียงพอที่จะตรวจสอบการทำงานของเครือข่าย LAN ขนาดใหญ่ที่ใช้แอพพลิเคชันหลากหลาย นอกจากนี้ Sniffer Pro ยังมีระบบวิเคราะห์การทำงานและปัญหาของเครือข่ายด้วยระบบที่เรียกว่า Expert Analysis ที่จะให้ข้อคิดเห็นเกี่ยวกับปัญหาต่าง ๆ ที่เกิดขึ้นเหมือนมีผู้เชี่ยวชาญอยู่เคียงข้างท่าน และที่สำคัญ Sniffer Pro สามารถแสดงข้อมูลข่าวสารเกี่ยวกับ Traffic ในรูปแบบของกราฟิก เช่น Bar Chart ต่าง ๆ

การที่ Sniffer Pro มี Traffic Generation ในตัว จะช่วยให้ท่านสามารถตรวจสอบการทำงานของอุปกรณ์เครือข่าย รวมทั้งการตอบสนองของแอพพลิเคชันที่จะช่วยให้ท่านสามารถทดสอบอุปกรณ์และแอพพลิเคชันซอฟต์แวร์ได้เป็นอย่างดี

 ลักษณะหน้าจอการทำงานของ Sniffer Pro

Agilent Advisor

สุดยอดของโปรแกรมวิเคราะห์และดักจับการทำงานของเครือข่ายที่ผู้เขียนขอยกย่องได้แก่ Agilent Advisor จาก Agilent Technology ปกติ Agilent Advisor มี 2 เวอร์ชัน ได้แก่ เวอร์ชันที่เป็นฮาร์ดแวร์ (ดูรูปที่ 1) และเวอร์ชันที่เป็นซอฟต์แวร์ (ดูรูปที่ 11)

Agilent Advisor ไม่เพียงแต่เป็น Sniffer ที่มีประสิทธิภาพสูงในการดักจับแพ็กเก็ตที่ทำงานบน LAN และบน WAN ยังมีประสิทธิภาพในการแสดงปริมาณการใช้งานบนเครือข่าย สามารถวิเคราะห์ปัญหาเครือข่าย LAN ตั้งแต่ระดับของการ์ด LAN ไปจนถึงอุปกรณ์ Switching Hub โดยสามารถวิเคราะห์ปัญหาที่เกิดจากการคอนฟิก (Configure) Switching Hub ที่ไม่ถูกต้อง เช่น ปัญหาของดูเพล็กซ์ (Duplex) ที่ไม่เข้ากัน (Match) นอกจากนั้นยังสามารถตรวจสอบการทำงานของ VLAN ได้อีกด้วย

Agilent Advisor ยังสามารถตรวจสอบและค้นหาจุดเสียเกี่ยวกับระบบเครือข่าย ให้คำอธิบายปัญหาเกี่ยวกับเครือข่ายอย่างเป็นขั้นตอนเหมือนมีผู้เชี่ยวชาญอยู่เคียงข้างท่านเช่นเดียวกับ Sniffer Pro แต่ Agilent Advisor ให้รายละเอียดที่ลุ่มลึกกว่า

Agilent Advisor สามารถแสดงให้เห็นว่าใครบ้างบนเครือข่ายที่กินแบนด์วิดธ์มากที่สุด รวมทั้งมีโปรโตคอลใดบ้างที่มีปริมาณการใช้งานมากที่สุดและอันดับรองลงไปด้วยสถิติที่แสดงเป็นแผนภูมิ (Chart) ต่าง ๆ เช่น สถิติการใช้งานโปรโตคอล สถิติการเชื่อมต่อ รวมทั้งรายการของโหนด (Node) ที่กำลังเชื่อมต่อ เป็นต้น

 ลักษณะหน้าจอการทำงานของ Agilent Advisor