Sniffer คือโปรแกรมที่เอาไว้ดักอ่านของมูลที่วิ่งอยู่บน Traffic (Traffic แปลเลย ตรงตัว คือการจราจรบนระบบ network นะ) มันทำหน้าที่ดักอ่านข้อมูลที่วิ่งไปวิ่งมาบนเน็ตเวิร์คที่มันอยู่ (คล้ายๆ การดักฟังโทรศัพท์ แต่การดักฟังโทรศัพท์จะทำได้ทีละเครื่อง แต่ sniffer ทำได้ทีเดียวทั้ง network เลย) การใช้ sniffer เข้ามาใน ระบบ network นั้นทำให้มาตราการรักษาความปลอดภัยบน network นั้นด่ำลงไป
หลักการทำงานของ Sniffersniffer สามารถดักอ่านข้อมุลบน network ได้นั้นมีสาเหตุสำคัญคือ ด้วยลักษณะ protocol ethernet ที่ใช้หลักของการกระจายข้อมูล ไปยังทุกโฮสต์ที่อยู่ใน Network
การป้องกันการถูกดักอ่านข้อมูลโดย snifferเมื่อรู้แล้วว่า sniffer มีโทษ เราก็มาดูวิธีป้องกันกันดีกว่า1. อย่างแรกเลย เปลี่ยนจาก Hub มาใช้ Switch (แพงกว่าไม่มาก)2. หลีกเลี่ยงการส่งข้อมูลที่ไม่มีการเข้ารหัส3. ให้ตระหนักว่า ใน network นั้นสามารถถูกดักอ่านได้เสมอ เพราะฉะนั้นการส่งข้อมูลแต่ละครั้ง ต้องประเมินว่า หากโดนดักอ่านแล้วจะคุ้มกันมั้ย หากมีความสำคัญมากควรหาวิธีอื่นในการส่งข้อมูล4. หากมีการใช้บริการเกี่ยวกับด้านการเงิน หรือข้อมูลรหัสผ่าน ให้เลือกใช้ผู้บริการที่เข้ารหัสข้อมูลด้วย SSL5. หากสามารถเพิ่มความปลอดภัยของการส่งข้อมูลด้วยการเข้ารหัส ก็จะเป็นวิธีที่ดี แม้การส่งแบบนี้จะโดนดักได้ แต่ข้อมูลมีการเข้ารหัสไว้ ทำให้คนที่ดักไป ต้องไปนั่งปวดหัวถอดกันอีก ส่วนโปรแกรมเข้ารหัสไฟล์ก็มีให้เห็นกันพอสมควรแล้ว6. หากมีการสื่อสารข้อมูลภายในองค์กรโดยผ่านอินเทอร์เน็ต การนำเทคโนโลยีของ VPN (Vitual Private Network) มาใช้จะช่วยเพิ่มความปลอดภัยได้
การใช้ประโยชน์จาก Snifferเอาละคงไม่มีสิ่งใดมีโทษเสียอย่างเดียว เรามาดูจุดประสงค์ที่มัน (sniffer) เกิดมากัน ว่าจะมีประโยชน์แค่ไหน1. Network Analyzerแปลตรงตัวครับ คือการนำ sniffer มาดักข้อมูลบนเน็ตเวิร์คทำให้เรารู้ว่า network นั้นเป็นไปอย่างไร มี packet (หรือข้อมูล) ที่วิ่งไปวิ่งมานั้น มีอะไรบ้าง และ แพ็กเก็ต ที่วิ่งไปวิ่งมา มีอันตรายอะไรหรือเปล่า มีผู้ใช้มาน้อยเพียงไร เวลาใดมีคนใช้เยอะและเวลาใดมีคนใช้น้อย ผู้ใช้ ใช้แบนด์วิดธ์ไปในทางไหนบ้าง ข้อมูลเหล่านี้ เราสามารถเอามาประเมินเพราะจัดการระบบ network ของเราได้2. Network Debugging Toolsในบางครั้ง Application ที่สื่อสารกันบน network นั้นเกิดมีความผิดพลาดขึ้นมาในการส่งข้อมูลและสื่อสาร เราต้องสืบลงไปดูถึงการวิ่งของ แพ็กเก็ตกันเลย และ sniffer นี่แหละที่จะช่วยไปสืบมาให้เราดู เพื่อจะดูว่า การส่งข้อมูลนั้นถูกต้องหรือไม่ มีอะไรแปลกปลอมวิ่งอยู่รึเปล่า โดนเฉพาะกรณีที่มีการใช้เครื่องมือระดับ network มาเกี่ยวด้วย เช่น ส่งไฟล์ผ่าน fire wall แล้วมีปัญหา หรือการทดสอบ ACL (Access Control List) ของเราเตอร์ เป็นต้น หากไม่มี sniffer แล้วเราก็จะหากต้นตอของปัญหาได้ยาก3. Packet Monitoring กรณีการศึกษาโปรโตคอลในระดับ network จำเป็นต้องเห็นข้อมูลที่มันสื่อสารกันจึงจะเห็นภาพจริงได้ packet monitoring เป็นการนำแพ็กเก็ตมาแสดงให้ดูให้ผู้ใช้เห็นในรูปแบบต่างๆ เช่นการ scan ของ hacker หากไม่มีเครื่องมือประเภท sniffer แล้วเราก็จะรู้ได้ลำบาก4. IDS (Intrusion Detection System)IDS คือ ระบบตรวจจับผู้บุกรุก เป็นตัวที่อยู่บน traffic เพื่อดูข้อมูลที่วิ่งไปวิ่งมาบน network ว่ามีข้อมูลอะไรบ้าง และหากมีข้อมูลที่เป็นอันตราย ตามที่มันได้ถูก config ไว้มันก็จะเตะข้อมูล(หรือแพ็กเก็ต)นั้นทิ้งไป และหากมันพบว่าข้อมูลไม่เป็นอันตราย มันก็จะอนุญาติให้ผ่านไป การทำงานต่างกับไฟล์วอลนะ อย่าเหมารวมกัน ซึ่ง IDS นั้นถือว่าเป็นเครื่องมือกันทรงพลังของเหล่า admin. เลย และ IDS ก็จะมี sniffer อยู่ในตัวมันด้วย
อ้างอิง
เรื่อง sniffer : http://www.eduzones.com/
ความคิดเห็นนี้ถูกผู้เขียนลบ
ตอบลบ