Uno «snifer» (detto anche analizzatore di rete) è un dispositivo che permette di «ascoltare» il traffico di una rete, cioè di catturare le informazioni che vi circolano.
In effetti, in una rete non commutata, i dati sono inviati a tutti i terminali di rete. Tuttavia, con una normale utilizzazione i terminali ignorano i pacchetti che non sono loro destinati. Utilizzando l'interfaccia di rete in una modalità specifica (detta generalmente mode promiscuous) è possibile ascoltare il traffico passante attraverso un adattatore di rete (una scheda di rete ethernet, una scheda di rete senza fili, ecc.).
Uno sniffer è uno strumento formidabile che permette di studiare il traffico di una rete. Serve generalmente agli amministratori per diagnosticare i problemi sulle loro reti nonché per conoscere il traffico che vi circola. Così i rilevatori d'intrusione (IDS, per intrusion detection system) sono basati su uno sniffer per la cattura di frame, e usano un database di regole (rules) per scovare delle frame sospette.
Sfortunatamente, come tutti gli strumenti d'amministrazione, lo sniffer può servire anche ad una persona malintenzionata che abbia un accesso fisico alla rete per raccogliere delle informazioni. Questo rischio è ancora più importante sulle reti wireless dato che è difficile limitare le onde hertziane in un perimetro delimitato, facendo si che delle persone con cattive intenzioni possono ascoltare il traffico stando semplicemente nei dintorni.
La grande maggioranza dei protocolli Internet fanno transitare le informazioni in chiaro, cioè in maniera non cifrata. Così, quando un utilizzatore di rete consulta la sua messaggeria attraverso il protocollo POP o IMAP, oppure naviga su Internet su siti il cui indirizzo non comincia con HTTPS, tutte le informazioni inviate o ricevute possono essere intercettate. È cosi che gli sniffer specifici sono stati messi a punto da dei pirati per recuperare le password circolanti nei flussi di rete.
Esistono diversi modi per premunirsi degli inconvenienti provocati dall'uso di uno sniffer nella vostra rete:
Utilizzare dei protocolli cifrati per tutte le comunicazioni il cui contenuto possieda un livello di confidenzialità elevato;
Segmentare la rete per limitare la diffusione delle informazioni. Si raccomanda soprattutto di preferire l'uso di switch (commutatori) a quello gli hub (concentratori) dato che essi commutano le comunicazioni, cioè le informazioni sono consegnate unicamente ai terminali destinatari;
Usare un rilevatore di sniffer. Si tratta di uno strumento che sonda la rete alla ricerca di hardware che utilizzano la modalità promiscuous.
Nota Bene: per le reti wireless si consiglia di ridurre la potenza dell'hardware in maniera tale da coprire solo la superficie necessaria. Questo non impedisce agli eventuali pirati di ascoltare la rete ma riduce il perimetro geografico della zona di azione.
WinDump, Versione per windows di TCP dump.
Foto: © Pixabay.