Tool per Packet Sniffing
Esistono numerosi tool gratuiti o a pagamento per effettuare le operazioni di sniffing sui pacchetti di rete.
Molto spesso questi tools sono denominati analizzatori di rete, e selezionare quello che soddisfa meglio le nostre esigenze è una questione di scelta e gusto personale.
Esistono diversi fattori per determinarlo, come il sistema operativo in uso, la serie di protocolli supportati, la facilità di utilizzo, la personalizzazione e ovviamente il budget.
I seguenti sono quelli più popolari:
- Tcpdump: Tcpdump è un’utilità di acquisizione di pacchetti da riga di comando gratuita e popolare, che può rivelarsi molto utile in assenza di uno strumento basato sulla GUI. Tuttavia, anche dopo aver acquisito il traffico tramite tcpdump, è possibile analizzare e interpretare il traffico utilizzando qualsiasi strumento gratuito o commerciale basato sulla GUI, poiché è visivamente più facile. Fare riferimento alla panoramica di TCPDUMP su http://www.tcpdump.org/manpages/tcpdump.1.html.
- Nagios Network Analyzer e OmniPeek: sono analizzatori di rete di livello commerciale che offrono alle organizzazioni funzionalità di analisi dei pacchetti con alcune caratteristiche uniche. I prezzi per questi prodotti possono essere visualizzati sui loro singoli siti Web.
- Wireshark: Wireshark, precedentemente noto come Ethereal, è gratuito e open source ed è l’analizzatore di pacchetti più popolare in circolazione. Funziona su più piattaforme e supporta un vasto set di famiglie di protocolli con una GUI di facile utilizzo. Fare riferimento a http://wiki.wireshark.org/ProtocolReference/.
Oltre agli strumenti di sniffer dedicati che abbiamo appena introdotto, la capacità di sniffing dei pacchetti e i moduli per tali operazioni sono integrati in molti dei più diffusi strumenti di sicurezza, come Snort, Metasploit e Scapy, solo per citarne alcuni.
Snort ad esempio è un progetto nato come sniffer e successivamente ha utilizzato le sue capacità di sniffing per svilupparsi in quello che oggi conosciamo come la popolare soluzione NIPS (Network Intrusion Prevention System) e NIDS (Network Intrusion Detection System).
Un altro esempio è la presenza dei moduli di sniffing in Metasploit.
Dopo aver compromesso con successo una macchina utilizzando Metasploit, è possibile eseguire queste funzioni e iniziare ad “annusare” il traffico su quel sistema compromesso per un’ulteriore fase di enumeration.
Le opzioni di sniffing disponibili con Metasploit sono mostrate come segue:
Un’altra opzione eccellente è quella di usare la funzione sniff () disponibile in Scapy.
Scapy è uno strumento di manipolazione dei pacchetti scritto in Python e può essere utilizzato per generare, creare, decodificare e acquisire i pacchetti.
È utile in molte attività relative a test di sicurezza e penetration testing.
