Sniffing — tarmoq orqali uzatilayotgan packet yoki frame’larni kuzatish va tahlil qilish jarayoni. U network diagnostikasi, performance monitoring va incident tahlilida qonuniy ishlatiladi. Ruxsatsiz sniffing esa login, session, message va boshqa maxfiy ma’lumotni qo‘lga kiritish uchun qo‘llanishi mumkin.
Sniffer network interface ko‘rgan trafikni capture qiladi va protocol qatlamlari bo‘yicha ajratadi.
Packet capture
Capture faylda quyidagi ma’lumot bo‘lishi mumkin:
- source va destination address;
- port;
- protocol;
- timestamp;
- packet length;
- header;
- shifrlanmagan payload.
Packet capture ko‘pincha PCAPga o‘xshash formatda saqlanadi.
Bunday fayl maxfiy ma’lumot saqlashi mumkin.
Promiscuous mode
Oddiy Ethernet interface faqat o‘ziga tegishli frame’larni qabul qiladi.
Promiscuous mode’da interface ko‘rgan boshqa frame’larni ham OSga uzatishi mumkin.
Switch tarmog‘ida bu barcha trafik avtomatik ko‘rinadi degani emas. Portga yetib kelmagan frame’ni interface capture qila olmaydi.
Monitor mode
Wi-Fi adapter monitor mode’da radio kanaldagi management va data frame’larni kuzatishi mumkin.
Encrypted wireless trafik capture qilinsa ham kalit va handshake bo‘lmasa payload o‘qilmasligi mumkin.
Radio capture qonuniy ruxsat va hududiy qoidalarga bo‘ysunadi.
Passive sniffing
Attacker yoki administrator trafik oqimiga ta’sir qilmasdan mavjud packetlarni kuzatadi.
Hub, shared medium, network tap yoki mirror port bunga imkon berishi mumkin.
Passive usulni aniqlash qiyinroq, chunki u yangi trafik yaratmasligi mumkin.
Active sniffing
Switch tarmog‘ida trafficni o‘ziga yo‘naltirish uchun qo‘shimcha amal bajariladi.
Masalan:
Bu usul network holatini o‘zgartiradi va monitoringda indikator qoldirishi mumkin.
Port mirroring
Administrator switchdagi ma’lum port yoki VLAN trafikini monitoring portiga nusxalaydi.
Bu IDS, performance tahlili va troubleshooting uchun ishlatiladi.
Mirror port accessi cheklanadi, chunki u katta hajmdagi maxfiy trafficni ko‘rsatishi mumkin.
Network TAP
TAP fizik yoki virtual qurilma bo‘lib traffic nusxasini monitoring tizimiga beradi.
U production oqimiga minimal ta’sir bilan ishlashga mo‘ljallangan.
Fail-open yoki fail-closed xususiyati deployment talabiga bog‘liq.
Shifrlanmagan protocol
HTTP, Telnet, FTP va boshqa plaintext protocol payloadni ochiq uzatishi mumkin.
Sniffer:
ni ko‘rishi ehtimoli bor.
TLS, SSH va boshqa encrypted protocol bunday kuzatuvdan payloadni himoya qiladi.
TLS traffic
TLS packet header, IP, port, hajm va timing metadata’sini to‘liq yashirmaydi.
Lekin application payload shifrlanadi.
Certificate validation noto‘g‘ri bo‘lsa MITM proxy trafficni decrypt qilishi mumkin.
Session hijacking
Shifrlanmagan session cookie capture qilinsa attacker user sessionidan foydalanishi mumkin.
Secure cookie, HTTPS, short session lifetime va token rotation xavfni kamaytiradi.
Parol shifrlangan bo‘lsa ham session token himoyasiz bo‘lishi mumkin.
Filter
Capture vositalari ma’lum trafficni filter qiladi:
Filter maqsadli tahlilni yengillashtiradi va storage hajmini kamaytiradi.
Capture filter bilan display filter bir xil bosqichda ishlamasligi mumkin.
Full packet va metadata
Full packet capture payloadni ham saqlaydi.
Flow monitoring esa faqat:
metadata’sini saqlaydi.
Full capture chuqur tahlil beradi, ammo storage va privacy xarajati katta.
Ring buffer
Uzoq monitoringda capture fayllar ring buffer shaklida yoziladi.
Yangi fayl kelganda eng eski fayl o‘chiriladi.
Incident aniqlanganda kerakli vaqt oralig‘i muzlatib saqlanadi.
Huquq va maxfiylik
Network capture email, parol, personal data va business secretni o‘z ichiga olishi mumkin.
Shuning uchun:
- yozma ruxsat;
- minimal scope;
- encryption;
- access control;
- retention;
- audit
talab qilinadi.
Aniqlash
Passive sniffingni bevosita aniqlash qiyin.
Active sniffing indikatorlari:
- ARP mapping o‘zgarishi;
- duplicate gateway;
- g‘ayrioddiy DHCP;
- certificate warning;
- MAC table anomaliyasi;
- traffic yo‘lining o‘zgarishi.
Himoya
Asosiy himoya — trafficni end-to-end shifrlash.
Qo‘shimcha choralar:
- switched network;
- Wi-Fi security;
- network segmentation;
- ARP inspection;
- port security;
- VPN;
- certificate validation;
- minimal mirror access.
Decryption kalitlari
Troubleshooting uchun ayrim test muhitlarda session key log orqali TLS traffic decrypt qilinishi mumkin. Bunday kalitlar juda maxfiy hisoblanadi va production user trafficida ehtiyotkor boshqariladi. Private keyning o‘zi barcha zamonaviy forward-secret sessionlarni decrypt qila olmasligi mumkin.
Capture nuqtasi
Packet qayerda capture qilingani natijaga ta’sir qiladi. Client oldida, reverse proxy ortida yoki container ichida ko‘rilgan packetlar boshqa address va encryption holatiga ega bo‘lishi mumkin. NAT, TLS termination va tunnel qatlamlari tahlilda hisobga olinadi.
Redaction
PCAP fayl ulashilishidan oldin payload, IP, token va personal data redaction qilinishi mumkin. Biroq binary packetni noto‘g‘ri o‘zgartirish tahlilni buzadi. Kerak bo‘lsa faqat metadata eksport qilinadi yoki himoyalangan muhitda original capture bilan ishlanadi.
Capture performance
Yuqori tezlikdagi linkda barcha packetni diskka yozish CPU, memory va storage throughputini talab qiladi. Packet drop bo‘lsa tahlil to‘liq bo‘lmaydi. Capture vositasi dropped packet sonini ko‘rsatadi. Kerakli host va protocolga filter qo‘yish aniqlikni oshiradi.
Asymmetric routing
Request va response turli network yo‘li orqali o‘tishi mumkin. Bitta capture nuqtasi faqat trafikning yarmini ko‘radi. TCP streamni to‘liq tiklash qiyinlashadi. Network topology va load balancer routing tahlilda hisobga olinadi.
Legal scope
Administratorga tarmoqni boshqarish huquqi berilgani barcha foydalanuvchi contentini cheksiz o‘qish huquqini anglatmaydi. Capture maqsadi, vaqt oralig‘i va tasdiqlangan incident bilan cheklanadi. Zarur bo‘lmagan payload yig‘ilmaydi.
Bog‘liq tushunchalar
Packet capture, Promiscuous mode, Monitor mode, Network TAP, Port mirroring, MITM, ARP spoofing, TLS, Session hijacking, Network analysis