Bosh sahifa Wiki Sniffing

Sniffing

Sniffing — tarmoq orqali uzatilayotgan packet yoki frame’larni kuzatish va tahlil qilish jarayoni. U network diagnostikasi, performance monitoring va incident tahlilida qonuniy ishlatiladi. Ruxsatsiz sniffing esa login, session, message va boshqa maxfiy ma’lumotni qo‘lga kiritish uchun qo‘llanishi mumkin.

Sniffer network interface ko‘rgan trafikni capture qiladi va protocol qatlamlari bo‘yicha ajratadi.

Packet capture

Capture faylda quyidagi ma’lumot bo‘lishi mumkin:

Packet capture ko‘pincha PCAPga o‘xshash formatda saqlanadi.

Bunday fayl maxfiy ma’lumot saqlashi mumkin.

Promiscuous mode

Oddiy Ethernet interface faqat o‘ziga tegishli frame’larni qabul qiladi.

Promiscuous mode’da interface ko‘rgan boshqa frame’larni ham OSga uzatishi mumkin.

Switch tarmog‘ida bu barcha trafik avtomatik ko‘rinadi degani emas. Portga yetib kelmagan frame’ni interface capture qila olmaydi.

Monitor mode

Wi-Fi adapter monitor mode’da radio kanaldagi management va data frame’larni kuzatishi mumkin.

Encrypted wireless trafik capture qilinsa ham kalit va handshake bo‘lmasa payload o‘qilmasligi mumkin.

Radio capture qonuniy ruxsat va hududiy qoidalarga bo‘ysunadi.

Passive sniffing

Attacker yoki administrator trafik oqimiga ta’sir qilmasdan mavjud packetlarni kuzatadi.

Hub, shared medium, network tap yoki mirror port bunga imkon berishi mumkin.

Passive usulni aniqlash qiyinroq, chunki u yangi trafik yaratmasligi mumkin.

Active sniffing

Switch tarmog‘ida trafficni o‘ziga yo‘naltirish uchun qo‘shimcha amal bajariladi.

Masalan:

Bu usul network holatini o‘zgartiradi va monitoringda indikator qoldirishi mumkin.

Port mirroring

Administrator switchdagi ma’lum port yoki VLAN trafikini monitoring portiga nusxalaydi.

Bu IDS, performance tahlili va troubleshooting uchun ishlatiladi.

Mirror port accessi cheklanadi, chunki u katta hajmdagi maxfiy trafficni ko‘rsatishi mumkin.

Network TAP

TAP fizik yoki virtual qurilma bo‘lib traffic nusxasini monitoring tizimiga beradi.

U production oqimiga minimal ta’sir bilan ishlashga mo‘ljallangan.

Fail-open yoki fail-closed xususiyati deployment talabiga bog‘liq.

Shifrlanmagan protocol

HTTP, Telnet, FTP va boshqa plaintext protocol payloadni ochiq uzatishi mumkin.

Sniffer:

ni ko‘rishi ehtimoli bor.

TLS, SSH va boshqa encrypted protocol bunday kuzatuvdan payloadni himoya qiladi.

TLS traffic

TLS packet header, IP, port, hajm va timing metadata’sini to‘liq yashirmaydi.

Lekin application payload shifrlanadi.

Certificate validation noto‘g‘ri bo‘lsa MITM proxy trafficni decrypt qilishi mumkin.

Session hijacking

Shifrlanmagan session cookie capture qilinsa attacker user sessionidan foydalanishi mumkin.

Secure cookie, HTTPS, short session lifetime va token rotation xavfni kamaytiradi.

Parol shifrlangan bo‘lsa ham session token himoyasiz bo‘lishi mumkin.

Filter

Capture vositalari ma’lum trafficni filter qiladi:

Filter maqsadli tahlilni yengillashtiradi va storage hajmini kamaytiradi.

Capture filter bilan display filter bir xil bosqichda ishlamasligi mumkin.

Full packet va metadata

Full packet capture payloadni ham saqlaydi.

Flow monitoring esa faqat:

metadata’sini saqlaydi.

Full capture chuqur tahlil beradi, ammo storage va privacy xarajati katta.

Ring buffer

Uzoq monitoringda capture fayllar ring buffer shaklida yoziladi.

Yangi fayl kelganda eng eski fayl o‘chiriladi.

Incident aniqlanganda kerakli vaqt oralig‘i muzlatib saqlanadi.

Huquq va maxfiylik

Network capture email, parol, personal data va business secretni o‘z ichiga olishi mumkin.

Shuning uchun:

talab qilinadi.

Aniqlash

Passive sniffingni bevosita aniqlash qiyin.

Active sniffing indikatorlari:

Himoya

Asosiy himoya — trafficni end-to-end shifrlash.

Qo‘shimcha choralar:

Decryption kalitlari

Troubleshooting uchun ayrim test muhitlarda session key log orqali TLS traffic decrypt qilinishi mumkin. Bunday kalitlar juda maxfiy hisoblanadi va production user trafficida ehtiyotkor boshqariladi. Private keyning o‘zi barcha zamonaviy forward-secret sessionlarni decrypt qila olmasligi mumkin.

Capture nuqtasi

Packet qayerda capture qilingani natijaga ta’sir qiladi. Client oldida, reverse proxy ortida yoki container ichida ko‘rilgan packetlar boshqa address va encryption holatiga ega bo‘lishi mumkin. NAT, TLS termination va tunnel qatlamlari tahlilda hisobga olinadi.

Redaction

PCAP fayl ulashilishidan oldin payload, IP, token va personal data redaction qilinishi mumkin. Biroq binary packetni noto‘g‘ri o‘zgartirish tahlilni buzadi. Kerak bo‘lsa faqat metadata eksport qilinadi yoki himoyalangan muhitda original capture bilan ishlanadi.

Capture performance

Yuqori tezlikdagi linkda barcha packetni diskka yozish CPU, memory va storage throughputini talab qiladi. Packet drop bo‘lsa tahlil to‘liq bo‘lmaydi. Capture vositasi dropped packet sonini ko‘rsatadi. Kerakli host va protocolga filter qo‘yish aniqlikni oshiradi.

Asymmetric routing

Request va response turli network yo‘li orqali o‘tishi mumkin. Bitta capture nuqtasi faqat trafikning yarmini ko‘radi. TCP streamni to‘liq tiklash qiyinlashadi. Network topology va load balancer routing tahlilda hisobga olinadi.

Administratorga tarmoqni boshqarish huquqi berilgani barcha foydalanuvchi contentini cheksiz o‘qish huquqini anglatmaydi. Capture maqsadi, vaqt oralig‘i va tasdiqlangan incident bilan cheklanadi. Zarur bo‘lmagan payload yig‘ilmaydi.

Bog‘liq tushunchalar

Packet capture, Promiscuous mode, Monitor mode, Network TAP, Port mirroring, MITM, ARP spoofing, TLS, Session hijacking, Network analysis