מה זה Packet Sniffing?
Packet Sniffing (בעברית: רחרחן מנות) הוא תהליך שבו אדם או כלי מנתחים תעבורת
רשת על ידי יירוט, לכידה ובדיקה של מנות (packets) של נתונים הנעות דרך רשת מחשבים.
מנות הן יחידות קטנות של נתונים שמועברות בין התקנים ברשת.
מטרות Packet Sniffing
פתרון בעיות רשת:
זיהוי בעיות בתקשורת רשת, כגון עיכובים, אובדן נתונים או חיבורים לא יציבים.
איתור תקלות בקונפיגורציה של רשתות.
אבטחת מידע:
גילוי ניסיונות פריצה, ניתוח תעבורה חשודה או זיהוי התקפות,
כגון התקפות Man-in-the-Middle.
בדיקת תקינות פרוטוקולי הצפנה.
מעקב וניהול:
ניטור פעילות ברשת לצורכי ניהול ותיעוד, למשל במרכזי נתונים או בארגונים גדולים.
פיתוח ובדיקת יישומים:
ניתוח תעבורה של יישומים כדי לבדוק את אופן הפעולה שלהם.
כלים נפוצים ל-Packet Sniffing
Wireshark
כלי קוד פתוח לניתוח רשת, שנחשב לפופולרי מאוד בתחום.
Tcpdump
כלי מבוסס שורת פקודה המשמש ללכידת תעבורת רשת.
Nmap
אמנם כלי לסריקות רשת, אך כולל יכולות יירוט מסוימות.
Ettercap
משמש גם לצורך התקפות Man-in-the-Middle.
שימושים לא חוקיים ב-Packet Sniffing
במקרים מסוימים, Packet Sniffing משמש לתקיפות סייבר, כמו:
גניבת סיסמאות ונתונים רגישים שנשלחים בטקסט פשוט (ללא הצפנה).
מעקב לא מורשה אחרי משתמשים או מכשירים.
חשוב לציין שמעקב כזה ללא הרשאה הוא לא חוקי ברוב המדינות
ומהווה עבירה על חוקי פרטיות.
כיצד להגן מפני Packet Sniffing?
הצפנת תעבורה:
שימוש בפרוטוקולי אבטחה כמו HTTPS, SSL/TLS ו-VPN.
רשתות מאובטחות:
חיבור לרשתות Wi-Fi מאובטחות והימנעות מרשתות ציבוריות ללא הצפנה.
זיהוי חדירות:
שימוש בכלי ניתוח ואבטחה ברשת שמזהים ניסיונות יירוט.
אימות דו-שלבי:
הוספת שכבת אבטחה נוספת לחשבונות שלך.
שאלות ותשובות בנושא Packet Sniffing
ש: כיצד Packet Sniffing פועל מבחינה טכנית ברשתות שונות?
ת: Packet Sniffing פועל על ידי יירוט של מנות נתונים המועברות דרך הרשת.
ישנם מספר מצבים שבהם התהליך מתבצע:
רשתות משותפות (Shared Network):
ברשתות Ethernet ישנות או Wi-Fi פתוחות, התעבורה של כל המשתמשים עוברת דרך אותה תשתית,
מה שמאפשר לכלי Packet Sniffing לזהות את כל המנות.
כלי היירוט מנצלים את מצב ה-“Promiscuous Mode” של כרטיס רשת,
שבו הוא מאזין לכל המנות שמגיעות לרשת ולא רק לאלה המיועדות למכשיר שלו.
רשתות מבוססות מתגים (Switched Network):
במתגים מודרניים (Switches), מנות מועברות רק לכתובת ה-MAC הרלוונטית.
ניתן לעקוף זאת באמצעות טכניקות כמו:
ARP Spoofing: יצירת טבלאות ARP מזויפות כדי לנתב תעבורה דרך המכשיר של התוקף.
Port Mirroring: שימוש בתכונת הניטור של המתגים לשם יירוט חוקי או זדוני של תעבורה.
רשתות מוצפנות:
ברשתות מוצפנות (כמו VPN), המנות יירוטו,
אך הנתונים המוצפנים לא יהיו נגישים ללא מפתחות ההצפנה.
ש: מהם ההבדלים בין Packet Sniffing פסיבי לאקטיבי?
ת: Packet Sniffing פסיבי:
מתבצע ללא כל אינטראקציה עם הרשת.
המנתח רק מאזין לתעבורה קיימת ואינו משפיע על הרשת.
קשה לזיהוי, ולכן משמש בעיקר לניטור אבטחה סמוי.
Packet Sniffing אקטיבי:
כולל התערבות יזומה ברשת, כמו ARP Spoofing או Man-in-the-Middle.
משפיע על ביצועי הרשת ועלול להיות קל יותר לזיהוי באמצעות מערכות אבטחה.
ש: מהם האתגרים של Packet Sniffing ברשתות מוצפנות?
ת: הצפנת נתונים:
מנות נתונים שמוצפנות באמצעות פרוטוקולים כמו HTTPS, TLS או VPN
אינן ניתנות לקריאה ללא המפתחות הפרטיים.
כדי להתגבר על כך, התוקפים מנסים לבצע SSL Strip או Man-in-the-Middle
כדי להסיר הצפנה.
תעבורה דחוסה:
כאשר המנות דחוסות, יש צורך בכלים מתקדמים לפענוח הדחיסה לפני ניתוח הנתונים.
זיהוי על ידי IDS/IPS:
מערכות זיהוי/מניעת חדירה (Intrusion Detection/Prevention Systems)
יכולות לאתר ולחסום ניסיונות יירוט.
ש: אילו פרוטוקולים פגיעים במיוחד ל-Packet Sniffing, וכיצד ניתן להגן עליהם?
ת: פרוטוקולים פגיעים:
HTTP: שולח מידע בטקסט פשוט, מה שהופך אותו לחשוף ליירוט.
FTP: העברת קבצים ונתונים ללא הצפנה.
Telnet: פרוטוקול חיבור מרוחק ללא הצפנה.
SMTP ו-POP3/IMAP (דוא”ל לא מוצפן): נתוני התחברות נשלחים כטקסט פשוט.
אמצעי הגנה:
מעבר לשימוש בגרסאות מוצפנות של הפרוטוקולים: HTTPS, SFTP, SSH.
שימוש ב-VPN כדי להצפין את כל התעבורה.
פריסת חומת אש שמסננת תעבורה חשודה.