снифить что это такое
Начинающему QA: полезные функции снифферов на примере Charles Proxy
В этой статье я расскажу об основных функциях снифферов, которые могут быть полезны QA. Попробую не вдаваться в теорию, а сфокусироваться на практике. Наиболее популярными представителями анализаторов трафика сейчас являются WhireShark, Fiddler и Charles Proxy. Об удобстве интерфейсов и функционале каждого из них можно рассуждать долго, учитывая все плюсы и минусы. Но здесь я отдал предпочтение Charles, поскольку сам им активно пользуюсь. Буду рассказывать на его примере.
Что собой представляет Charles Proxy
Первичная настройка
При тестировании мобильного приложения
Charles Proxy необходимо запустить на компьютере, который находится в той же локальной подсети, что и мобильное устройство с тестируемым приложением.
Как правило, соединение настраивается по Wi-Fi. В настройках Wi-Fi мобильного устройства в качестве proxy-сервера надо указать IP-адрес компьютера и стандартный порт инструмента 8888 (пароль остается пустым).
Главное отличие в настройках для этой ОС в том, что с Android 6.0 и выше в Androidmanifest надо добавить специальную конфигурацию, позволяющую просматривать защищенный трафик. На продакшене эта конфигурация убирается из соображений безопасности.
При тестировании приложения на ПК
Сертификат устанавливается в доверенные корневые центры.
Два слова об интерфейсе
С помощью контекстного меню запроса можно настраивать блокировки, повторять и изменять запросы. На этом мы еще остановимся.
На вкладке Sequence запросы выведены по времени в виде настраиваемой таблицы. Видно, когда начался запрос, сколько он длился, его размер, статус и т.п. Наведя на конкретную строку, мы получим ту же информацию о теле, заголовках и т.п.
Если запросов на экране слишком много, с помощью панели инструментов их можно очистить или вообще остановить перехват. Там же есть возможность включить и выключить троттлинг (подробнее об этих функциях расскажу позже). Базовая настройка каждой из функций осуществляется через меню, а кнопки панели управления выступают своего рода тумблерами On / Off.
Фильтрация
В Charles Proxy очень много вариантов фильтрации запросов.
На вкладке Sequence есть аналогичный фильтр.
Charles Proxy умеет работать с регулярными выражениями. Для этого на вкладке Sequence выбираем Settings и отмечаем пункт Filter uses regex. И вписываем в поле поиска элементарную регулярку.
можно выбрать все запросы, в которых в начале имени хоста находится четыре буквы, а потом идет точка.
Там же можно включить Autoscroll списка запросов или указать максимальное количество строк.
Блокируемый запрос можно прервать двумя способами (подходящий надо выбрать в настройках):
вернуть ошибку 403.
От выбранного способа блокировки зависит, какой ответ мы получим.
Можно провести эксперимент. Включим наш тестовый стенд в Block list, выбрав простой сброс соединения. С помощью контекстного меню запроса повторим его (команда Repeat) и получим такой ответ:
Просмотр SSL-трафика
Если ранее мы успешно установили SSL-сертификат, для просмотра зашифрованного трафика остается только включить SSL proxying для нужного хоста в самом Charles Proxy. Это можно сделать через контекстное меню конкретного хоста.
Аналогично настройке фильтров на вкладках Include и Exclude можно добавить или исключить конкретные хосты. Если списки на этих вкладках не заполнять, по умолчанию мы будем читать трафик со всех хостов.
Брейкпоинты
Установить Breakpoint можно из контекстного меню запроса. После этого все аналогичные запросы будут перехвачены. Их можно будет просматривать и редактировать.
Чтобы проверить, как это работает можно использовать повтор запроса (Repeat из того же контекстного меню). Запрос перехватывается, его можно редактировать.
Map remote
Эта функция может быть полезна, если мы поймали ошибку на продакшене, например при загрузке таблицы, а информации в dev-контуре для полноценного тестирования не хватает. Вместо того, чтобы перезаполнять информацию в каждом контуре, мы можем скопировать ответ сервера в нужный контур и посмотреть, как он ведет себя после исправления ошибки.
Map Local
Главное отличие Map Local от предыдущей функции в том, что замена осуществляется не на ответ другого сервера, а на содержимое локального файла. Настройки выглядят точно также, но вместо второго сервера мы указываем локальный путь к файлу с ответом.
Rewrite
Функция Rewrite может быть полезна, если вам нужно переписать данные, которые отправляются в Charles Proxy. В отличие от простого редактирования Rewrite позволяет задать правила изменения и работать в автоматическом режиме. Можно изменять и добавлять заголовки, искать и заменять текст в теле запроса или ответа. Можно даже менять статус ответа.
Настроить это можно через Rewrite settings, доступные в контекстном меню. Единственный недостаток инструмента в том, что каждое правило замены прописывается отдельно.
Помимо изменения запросов и ответов мы можем запретить кэширование или cookie (функции No caching и Block cookies). Эти опции повторяют аналогичные инструменты панели разработчика в браузере. В обоих случаях настраивается список хостов, для которых действует настройка. Если же список пуст, то кэширование и cookie отключаются на всех перехваченных хостах.
Throttling
Charles Proxy помогает тестировать сервис на плохой связи, искусственно ограничив через настройки пропускную способность канала. Эта функция полезнее всего для тестирования десктопных приложений, поскольку на мобильных устройствах качеством связи можно управлять через панель разработчика.
Ограничения можно включить либо для хостов из списка, либо для всех перехваченных запросов. Из коробки есть несколько пресетов, но все параметры связи можно корректировать вручную. Мне по большей части хватает базовых настроек.
Repeat Advanced
Хотя полноценное нагрузочное тестирование лучше проводить в специальных инструментах, Charles Proxy имеет одну базовую настройку, которая помогает закрыть минимальные потребности. Функция Repeat Advanced (доступная через контекстное меню перехваченного запроса) позволяет нужное количество раз повторить тот же запрос. После настройки откроется отдельная сессия, где будут видны детали каждого из запросов.
Отмечу, что Charles Proxy платный. Можно использовать триальную версию. Но раз в 5-7 минут поверх него будет отображаться всплывающее окно с версией, а раз в 30 минут он будет выключаться, при этом сессии не сохраняются. Решайте сами, помешает ли это вашей работе.
Автор статьи: Артем Холевко, Максилект.
Текст подготовлен по материалам внутреннего семинара Максилект.
Сниффинг — что это такое в ИТ-отрасли?
В ИТ-сфере «Сниффинг» — это один из простейших методов мониторинга трафика, проходящего через компьютерную сеть. Его суть заключается в перехвате данных, которые доставляются в рамках наблюдаемой сети в виде пакетов.
Метод называют «сниффинг» потому что он напоминает «обнюхивание» данных анализаторами сетевых протоколов, которые установил системный администратор. «Sniffing» переводится с английского как «втягивать носом», «нюхать», «чуять».
Что такое сниффинг-атаки и чем они вредны?
Чтобы выловить из потока пакетов данных в сети пароли, логины, информацию о платёжных картах и прочие конфиденциальные сведения, злоумышленник должен установить на системе жертвы соответствующий «сниффер» (анализатор сетевых протоколов), например, Wireshark, Ettercap, Bettercap, Tcpdump, WinDump. Это может быть не только софт. Иногда мониторинг выполняется с аппаратного устройства, подключённого к системе.
Что значит «Сниффинг» для ИТ-отрасли?
Системные администраторы используют метод «обнюхивания» (перехвата и анализа) трафика, чтобы:
Для работоспособности процесса нужно подключить сниффер к существующей сети при помощи сетевого адаптера. Далее требуется запуск программного обеспечения для регистрации, просмотра или анализа данных, собранных устройством. Пакеты данных проходят через сниффер, собираются, распознаются, регистрируются независимо от того, как именно был сформирован пакет и куда направлен.
Аппаратные снифферы
Наиболее эффективны при исследовании трафика отдельного участка сети. Подключается физически к системе в соответствующем месте. У аппаратного анализатора есть гарантия, что 100% пакетов данных этого сегмента пройдут через сниффер. Это главное преимущество перед программными средствами, на которые воздействуют алгоритмы фильтрации, маршрутизации и другие преднамеренные или случайные причины.
Программные снифферы
Нашли массовое применение из-за простоты установки в сетевую инфраструктуру. То есть в основном сейчас применяются именно программные анализаторы сети. Функциональность сводится к разделению, повторной сборке и регистрации всех пакетов программного обеспечения, которые проходят через интерфейс независимо от их адресов назначения. Такие снифферы собирают столько трафика, сколько проходит через физический сетевой интерфейс с условием, что никакие другие факторы не воздействуют на процесс. Затем данные регистрируются и используются в соответствии с настройками.
Чтобы избежать сниффинговых атак на вашу систему и ИТ-инфраструктуру, избегайте подключения к незащищённым сетям (например, не подключайтесь к общественным точкам доступа Wi-Fi). Используйте шифрование трафика (Encryption), чтобы превратить все ценные сведения в набор тарабарщины из случайных символов (например, пользуйтесь VPN). В организациях и офисах следует выполнять сканирование сети и её внутренний мониторинг.
Выполните ИТ-аудит вашего предприятия или офиса для экспертной поддержки в вопросе защиты от сниффинговых атак. Имея аудит ИТ-инфраструктуры на руках, станет проще снижать риски и консультироваться по любым техническим вопросам касательно вашей организации и её будущего.
📦 Что такое сниффинг пакетов со списком перехватчиков пакетов?
Сниффинг пакетов- это процесс захвата пакетов.
Как правило, пакеты компьютерной сети прослушиваются.
Обнаружение пакетов может показаться очень простым делом, но на самом деле оно включает много сложностей, связанных с протоколами, сетевыми средами и т. д.
Захват пакетов или сниффинг пакетов
Прежде чем начать изучать, что такое сниффер (анализатор) пакетов, мы должны изучить разницу между захватом пакетов и сниффингом (анализом) пакетов.
На самом деле нет никакой разницы между перехватом пакетов или их сниффингом.
Таким образом, оба термина захват пакетов и сниффинг пакетов относятся к одному и тому же действию.
Но при выражении инструментов перехвата пакетов обычно используется термин Инструменты для захвата пакетов.
Что такое сниффинг пакетов?
Современные компьютерные сети созданы для передачи данных между различными хостами, системами, сетями в пакетах.
Существует много разных протоколов, созданных для передачи этих пакетов, но самый популярный протокол – это стек TCP / IP.
Протоколы Ethernet и Wifi также используются для передачи пакетов от одного перехода к другому.
Не смотря на то, что эти протоколы предназначены для передачи пакетов в указанное место назначения, есть некоторые приемы для захвата или прослушивания этих пакетов.
Обнаруженные данные содержат данные протокола и данные пользователя.
Данные протокола предоставляют адреса источника и назначения, номер пакета, размер пакета, CRC и аналогичные данные для обеспечения передачи протокола.
Методы и способы сниффинга пакетов
Зачем перехватывать пакеты?
Сниффинг пакетов – очень популярный метод по разным причинам, используемый разными областями.
Снифферы пакетов
Обнаружение пакетов очень популярно в ИТ-индустрии.
За это время создано много программного обеспечения для отслеживания / захвата пакетов.
Некоторые из них бесплатны, а некоторые платные.
Ниже мы перечислим популярное программное обеспечение для сниффинга пакетов.
Wireshark
Wireshark – самый популярный и известный анализатор пакетов.
Он предоставляется бесплатно и поддерживает сотни сетевых протоколов.
Он может осуществлять захват и анализ пакетов в автономном режиме.
Wireshark предоставляет очень подробные функции поиска и сопоставления, где каждый пакет может быть отфильтрован в соответствии с его различными аспектами, такими как размер, адрес отправителя и получателя, тип, номер и т. д.
Что такое сниффер и как не лишиться данных после покупок в интернете
Cниффер (от англ. to sniff — нюхать) — это программное обеспечение, анализирующее входящий и исходящий трафик с компьютера, подключенного к интернету. Оно следит за тем, какие сайты вы посещаете, какие файлы загружаете и выгружаете.
Стать жертвой хакеров, использующих сниффер, может любой пользователь интернет-магазина, оплативший товар или услугу онлайн. 27 января 2020 года в ходе операции Night Fury полиция Индонезии задержала участников преступной группы, заразивших JavaScript-снифферами 200 веб-сайтов, среди которых были онлайн-магазины из Бразилии, Австралии, Великобритании, Германии, Индонезии, США и других стран мира. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши.
Ликвидация этой преступной группировки стала лишь первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (АТР). Параллельно облавы проходили еще в пяти других странах региона. Пойманные преступники использовали JS-сниффер GetBilling. Международная компания в сфере кибербезопасности Group-IB отслеживает его с 2018 года.
Популярность снифферов среди киберпреступников растет. Это один из самых эффективных способов взлома устройства жертвы. «За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете», — рассказал РБК Трендам ведущий аналитик отдела аналитики Group-IB Виктор Окороков.
Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в 2020 году. Тогда было было известно только о 38 семействах.
Для чего нужны снифферы?
Сниффер не всегда вредоносен. «Сниффер — общее название оборудования и программного обеспечения. Они могут предназначаться для балансировки трафика, а могут использоваться и злоумышленниками. Есть аппаратные и программные снифферы», — рассказал РБК Трендам эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
Есть четыре сферы, в которых люди используют сниффер в благих намерениях:
Однако сниффер может быть использован и злоумышленниками для кражи данных. Снифферы анализируют все, что через них проходит, включая незашифрованные пароли и учетные данные. Поэтому хакеры, имеющие к ним доступ, могут завладеть личной информацией пользователей.
В сентябре 2018 года выяснилось, что пользователи сайта и мобильного приложения British Airways подверглись кибератаке. Под угрозой оказались все клиенты международной авиакомпании, осуществившие бронирование авиабилетов на сайте или в приложении в период с 25 августа по 5 сентября 2018 года. В руки злоумышленников попали личные и финансовые данные 380 тыс. человек. Похожая атака была организована на клиентов американского онлайн-магазина Ticketmaster.
В целях обслуживания сети сниффер обеспечивает:
Незаконно сниффер используется для:
Самые популярные модели снифферов:
Как работают снифферы?
Хакеры используют снифферы для кражи ценных данных с помощью отслеживания сетевой активности и сбора персональной информации о пользователях. Чаще всего злоумышленники заинтересованы в паролях и учетных данных пользователей. Имея эти данные, можно получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов.
Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к Сети устройство.
Перехватить трафик через сниффер можно следующими способами:
Как предотвратить утечку данных с помощью сниффера?
Если сниффер установлен на устройстве, то он уже имеет доступ к его данным. Чтобы предотвратить их утечку, Дмитрий Галов из «Лаборатории Касперского» рекомендует:
Что делать, если сниффер уже установлен на компьютер
Чтобы обнаружить сниффер на компьютере, можно установить свой собственный сниффер и изучить весь трафик на уровне DNS в вашей сети, чтобы обнаружить любую подозрительную активность.
Удалить сниффер лучше всего с помощью антивируса. Если у вас нет платной подписки, можно установить пробную версию. Она проанализируют файлы на вашем компьютере, удалив из них подозрительные.
Сниффинг — смертельно опасная зависимость у детей.
Сниффинг — это разновидность токсикомании, при которой ребёнок вдыхает газ из зажигалок или баллончиков, для их заправки. Нет определённой смертельной дозы, дети могут умереть от удушья при первом применении. Группа риска дети от 9-17 лет.
Что такое сниффинг?
Токсикомания — это не новое веяние моды «ловли кайфа». В девяностые было распространено дышать бензином, в нулевые — клеем, а сейчас пришло время газа. Сниффинг — это одна из разновидностей токсикомании, связанная именно с вдыханием газовых паров.
Зажигалки и газовые баллончики для их заправки можно купить на каждом шагу. На продажу нет ограничения по возрасту. Сниффинг — это больше групповое занятие, когда ребёнок пробует что-то «за компанию», не осознавая опасности. В школах ведётся просвещение насчёт употребления алкоголя, табака и наркотиков, но мало уделяется проблеме токсикомании.
В интернете активная компания по призыву попробовать «подышать газом» на многих доступных для детей ресурсах, что никак законодательно не регулируется и не блокируется.
pixabay.com
Действие газа.
Вдыхая газ, ребёнок получает чувство опьянения и эйфории. В состав баллончиков входят: пропан, бутан и изобутан. Их не относят к наркотикам и группе особой токсичности. В этом и вся беда их доступности.
При вдыхании, газ сразу попадают в кровь, минуя все защитные барьеры в виде печени и ЖКТ. У организма просто нет шансов на защиту от кислородного голодания, которое провоцирует газ, вытесняя кислород. Происходит гипоксия головного мозга, что ведёт к галлюцинациям, странным и острым ощущениям, изменению сознания. Именно этого моментального эффекта так ждут токсикоманы.
Дети не понимают, что балансируют между жизнью и смертью. В любой момент ребёнок может умереть от удушья. От вдыхания газа может произойти паралич дыхательных путей, отёк лёгких и мозга, остановка сердца. Чем хуже интоксикация, тем печальнее развиваются события.
При злоупотреблении в первую очередь страдает мозг, что ведёт за собой ухудшение памяти и интеллекта. Ребёнку всё труднее учиться, он менее вынослив в физическом плане. Поведение становится агрессивным и неуправляемым.
Группа риска.
К самому уязвимому возрасту можно отнести детей 9-17 лет. Но в последнее время известна информация в распространении сниффинга у младших школьников, а иногда и дошкольников. Хорошая новость в том, что дети проще всего поддаются реабилитации. Они вдыхают газ больше из любопытства и за компанию, а не из-за глубинных причин.
С подростками всё намного сложнее. Работа направлена на взаимодействие с психологом и выяснение мотивов, не лежащих на поверхности. В любом случае, когда речь идёт о токсикомании, в обязательном порядке обратитесь в реабилитационный центр. Это опасная форма привыкания. Подросток зацикливается на вредной привычке, теряя другие интересы в жизни.
Следственный комитет дал точные данные по анализу материалов уголовных дел:
2016 год — 65 детей.
2017 год — 142 ребёнка.
2018 год — 154 ребёнка.
За три года погиб 361 ребёнок. Статистики за 2019 год пока нет, но вероятно, рост показателей будет идти вверх.
pixabay.com
Как распознать сниффера в ребёнке.
Прислушайтесь к себе и не игнорируйте «первые звоночки» в поведении ребёнка. Обычно как раз подсознательное мамино и папино: «Что-то не так» — как раз значит, что и правда не так. В отличии от других видов токсикомании, газ не даёт специфического запаха на одежде. Внешне у ребёнка можно заметить:
Особую опасность сниффинг представляет собой в закрытых помещениях (подъезд, квартира, дом), где у ребёнка нет доступа к кислороду. Снифферы собираются дома с друзьями, пользуясь моментом, пока родители на работе. Или подростки в основном дышат газом на территории школы после уроков в укромных уголках, скрытых от людей.
Если вы нашли у своего ребёнка зажигалку, но не обнаружили сигарет — это вовсе не значит, что всё хорошо.
Что делать, если дома обнаружили ребёнка без сознания с газовым баллончиком или зажигалкой?
Если мама и папа пришли с работы, а дома лежит ребёнок без сознания с газовым баллончиком в руках или зажигалкой:
Если состояние ребёнка вызывает сомнения, вызовите скорую помощь. Обязательно обратитесь за помощью к наркологу. Специалист проконсультирует вас, возьмёт все необходимые анализы у ребёнка.
Как разговаривать со сниффером?
Важно помнить, что сниффер — это ваш ребёнок, которого вы любите. Как бы тяжело не было, не кричите и не ругайте. В момент разговора нужно как можно деликатно подойти к выяснению вещества, которое употребляет и (или) вдыхает ребёнок.
Если разговор пойдёт в ключе угроз, криков и «где были мозги» — это приведёт к тому, что ребёнок закроется в себе. Вы потеряете нить привязанности и из родителя превратитесь в обвинителя.
Следующий шаг после выяснения природы вещества — это проговорить опасность. Поставьте в ряд алкоголь, наркотики, табак и токсикоманию. Дети по незнанию думают, что токсикоманить — это не тоже самое, что наркоманить. Разве продавали бы зажигалки и баллончики детям, если бы они были опасны? А они опасны, но ваш ребёнок может этого не знать.
Выясните, с кем ребёнок в компании вдыхал газ, не делал ли это под принуждением. Присмотритесь к его окружению, пусть чаще приглашает друзей в гости, чтобы вы имели представление с кем он общается. Не будьте наивны и не верьте, что «он больше никогда». Доверие — это хорошо, но в случае токсикомании опасно. Это опасная зависимость, которую нужно лечить не родителям. Обратитесь за помощью к специалистам в реабилитационный центр.