Trình nghe trộm gói tin – còn được gọi là trình phân tích gói tin, trình phân tích giao thức hoặc trình phân tích mạng – là một phần cứng hoặc phần mềm được sử dụng để giám sát lưu lượng mạng. Trình nghe trộm gói tin hoạt động bằng cách kiểm tra các luồng gói dữ liệu truyền giữa các máy tính trong một mạng cũng như giữa các máy tính được kết nối mạng và Internet rộng hơn. Các gói tin này được thiết kế cho – và được gửi đến – các máy cụ thể, nhưng việc sử dụng trình nghe trộm gói tin trong "chế độ hỗn tạp" cho phép các chuyên gia CNTT, người dùng cuối hoặc kẻ xâm nhập độc hại kiểm tra bất kỳ gói nào dù điểm đến ở đâu. Có thể cấu hình trình nghe trộm gói tin theo hai cách. Đầu tiên là "không lọc", có nghĩa là chúng sẽ nắm bắt tất cả các gói tin có thể và ghi vào một ổ cứng cục bộ để kiểm tra sau. Tiếp theo là chế độ "đã lọc", có nghĩa là trình phân tích sẽ chỉ thu thập các gói tin có chứa các phần tử dữ liệu cụ thể.
Trình nghe trộm gói tin có thể được sử dụng trên cả mạng có dây và không dây – hiệu quả của chúng tùy thuộc vào mức độ chúng có thể "nhìn thấy" dựa vào các giao thức bảo mật mạng. Trên mạng có dây, trình nghe trộm gói tin có thể truy cập vào các gói tin của mọi máy được kết nối hoặc có thể bị giới hạn bởi vị trí đặt các bộ chuyển mạch mạng. Trên mạng không dây, hầu hết các trình nghe trộm gói tin chỉ có thể quét một kênh tại một thời điểm, nhưng có thể mở rộng khả năng này nếu sử dụng nhiều giao diện không dây.
Các yếu tố lưu hành và nguy cơ
Khi sử dụng trình nghe trộm gói tin, bạn có thể thu thập hầu hết mọi thông tin – ví dụ như trang web nào mà người dùng truy cập, nội dung nào được xem trên trang web, nội dung và đích đến của email bất kỳ cùng với chi tiết về các tập tin bất kỳ được tải xuống. Các công ty thường sử dụng trình phân tích giao thức để theo dõi việc sử dụng mạng của nhân viên và cũng là một phần của nhiều gói phần mềm diệt virus có uy tín. Các trình nghe trộm gói tin hướng ra bên ngoài sẽ quét lưu lượng mạng đến để tìm các thành phần cụ thể của mã độc hại, giúp ngăn ngừa việc lây nhiễm virus máy tính và hạn chế sự lây lan của phần mềm độc hại.
Tuy nhiên, đáng chú ý là các trình phân tích này cũng có thể được sử dụng cho mục đích xấu. Nếu người dùng bị thuyết phục tải xuống các tập tin đính kèm email chứa phần mềm độc hại hoặc các tập tin bị lây nhiễm từ một trang web, khi đó trình nghe trộm gói tin trái phép có thể được cài đặt trên mạng công ty. Khi đã yên vị, trình nghe trộm gói tin có thể ghi lại mọi dữ liệu được truyền tải và gửi nó đến máy chủ chỉ huy và kiểm soát (C&C) để phân tích thêm. Sau đó, tin tặc có thể thực hiện các cuộc tấn công chèn gói tin hoặc tấn công xen giữa, đồng thời xâm phạm bất kỳ dữ liệu nào không được mã hóa trước khi gửi.
Việc sử dụng trình nghe trộm gói tin đúng cách có thể bạn giúp dọn dẹp lưu lượng mạng và hạn chế sự lây nhiễm phần mềm độc hại; tuy nhiên, cần có phần mềm bảo mật thông minh để bảo vệ chống lại việc sử dụng độc hại.
Sản phẩm được khuyến cáo:
