← Сканирование портов nmap (с…ARP-спуфинг и MITM: как раб… →

Перехват трафика: почему открытый трафик опасен

Урок про прослушивание трафика: почему открытые данные читаются и как закрыть их шифрованием. Анализ только своего трафика.

Sniffing (перехват трафика) — чтение проходящих по сети пакетов; для защитника это инструмент анализа собственного трафика и поиска проблем.

Зачем это понимать

Если данные идут открытым текстом, любой, кто оказался на пути пакета, прочитает пароли, токены, переписку. Понимание того, как легко это происходит, объясняет, почему транзитное шифрование — не опция, а необходимость.

Анализ своего трафика

tcpdump и Wireshark показывают, что реально летит по вашей сети. Это незаменимо для отладки и аудита: видно, не уходит ли что-то открытым текстом.

# слушать свой интерфейс, только заголовки
sudo tcpdump -i eth0 -n -c 20

# отфильтровать только HTTP своей машины (порт 80)
sudo tcpdump -i eth0 -n port 80

Если в дампе открытого HTTP видны логины и пароли — это наглядная демонстрация, почему нужен HTTPS. Запускать только на своих интерфейсах.

Почему перехват вообще возможен

Концептуально

В классическом коммутируемом Ethernet трафик идёт адресно, но атаки канального уровня (разберём дальше) могут заставить коммутатор слать копии пакетов нарушителю. В открытом Wi-Fi или при подмене ARP перехват становится тривиальным. Вывод: нельзя полагаться на то, что среда передачи приватна.

Как работает под капотом

Сетевая карта в обычном режиме принимает пакеты, адресованные ей. В режиме promiscuous она принимает все, что физически слышит. Анализатор просто читает байты пакета и разбирает их по уровням. Если прикладные данные не зашифрованы, они видны как есть.

[ Ethernet | IP | TCP | HTTP: "password=1234" ]
                              видно открытым текстом!

Защита

  • Шифровать всё в транзите: HTTPS вместо HTTP, SSH вместо telnet, защищённый DNS.
  • На уровне канала — port security и инспекция ARP против принудительного зеркалирования.
  • Регулярно проверять свой трафик дампом: не утекает ли что-то открытым текстом.

Частые ошибки

  • Думать, что в «своей» офисной сети перехват невозможен. Угроза часто внутри.
  • Шифровать только пароль на форме, оставляя остальной трафик (cookie, токены) открытым.
  • Перехватывать чужой трафик — это нарушение тайны связи и закона.

Итоги

  • Открытый трафик читается любым, кто на пути пакета.
  • Единственная надёжная защита данных в транзите — шифрование.
  • tcpdump/Wireshark применяйте к своему трафику для анализа, не к чужому.
Проверьте себя
1. Почему открытый (нешифрованный) трафик опасен?
AОн медленнее зашифрованного
BЛюбой на пути пакета может прочитать данные открытым текстом
CОн не доходит до получателя
DОн занимает больше места в логах
2. Какая защита надёжно закрывает данные при перехвате трафика?
AСложный пароль на Wi-Fi
BТранзитное шифрование (HTTPS, SSH, защищённый DNS)
CОтключение логов
DСмена MAC-адреса