66
А, классика. Захотелось заглянуть под капот своему интернету и посмотреть, кто там кому шепчет? Похвальное стремление. Большинство пользователей воспринимают интернет как магию: ввел адрес — получил котиков. А то, что в это время их умный чайник отправляет отчет о ваших чаепитиях на китайский сервер, — дело десятое.
Что ж, садитесь поудобнее. Сейчас я выдам вам базовый набор юного сетевого потрошителя. Будем вскрывать цифровые потроха вашего подключения. Но сначала — минутка занудства, без которой моя совесть (и адвокат) не будут спать спокойно.
Думаете, ваш роутер — это просто коробка с мигающими лампочками? Ошибаетесь. Это пограничный пункт, через который 24/7 идет контрабанда данных. Ваше приложение для погоды, смарт-телевизор, ноутбук, телефон — весь этот цифровой зоопарк постоянно что-то отправляет и получает. Обычно это легитимный трафик. А иногда — не очень. Иногда там прячется вредонос, который сливает ваши пароли, или хитрое приложение, которое торгует вашими данными.
Цель нашего вскрытия — не взлом соседа (за это есть статья 272 УК РФ, не советую проверять), а ревизия собственного хозяйства. Мы будем ловить и анализировать трафик исключительно в своей, домашней сети. Это как поставить камеру у себя в квартире, а не в чужой спальне. Поняли? Отлично, тогда поехали.
Арсенал для вскрытия
Забудьте про голливудские сказки со строчками зеленого кода на черном экране. Наши инструменты выглядят прозаичнее, но от этого не менее мощны.
• Wireshark. Это ваш швейцарский нож, микроскоп и скальпель в одном флаконе. Бесплатная программа, которая захватывает весь сетевой трафик, проходящий через ваш компьютер, и раскладывает его по полочкам. Она покажет вам каждый пакетик данных, его источник, назначение и содержимое (если оно не зашифровано, конечно).
• tcpdump. Для тех, кто презирает графические интерфейсы и любит суровую мощь командной строки. Это дедушка всех снифферов. Умеет всё то же, что и Wireshark, но управляется командами из консоли. Идеально для работы на удаленных серверах или старых роутерах, где нет экрана.
• Fiddler или Charles. Это инструменты другого класса. Они работают как прокси-серверы между вашими приложениями и интернетом. Их главная фишка — работа с веб-трафиком, особенно с HTTPS. Если Wireshark просто видит зашифрованный поток, то эти ребята умеют его расшифровывать (с вашего разрешения, конечно), чтобы вы могли покопаться в запросах от браузера или мобильных приложений.
Пошаговая инструкция для начинающего потрошителя
Возьмем для примера Wireshark как самый наглядный инструмент.
1. Подготовка. Скачайте и установите Wireshark. Запустите. Вас встретит список сетевых интерфейсов: Wi-Fi, Ethernet и куча других непонятных названий. Ваша задача — выбрать тот, через который вы подключены к интернету. Обычно рядом с ним будет виден график активности. Дважды кликните по нему.
2. Захват. Поздравляю, вы начали захват. На экране со скоростью света побегут строки. Это и есть ваш трафик. Пока что это похоже на цифровой хаос, но не паникуйте. Процесс пошел. Дайте программе поработать минуту-две, а затем нажмите красную кнопку «Стоп».
3. Фильтрация: отделяем зерна от плевел. Вся магия — в фильтрах. Без них вы утонете в данных. В строке Apply a display filter наверху можно писать простые команды, чтобы отсеять лишнее.
• Хотите посмотреть, куда стучится ваш телефон? Узнайте его IP-адрес (в настройках сети Wi-Fi) и введите фильтр: ip.addr == 192.168.1.42.
• Интересно, какие сайты запрашивают ваши устройства? Введите фильтр dns. Вы удивитесь, как часто ваш телевизор или игровая консоль что-то ищут в сети.
• Хотите увидеть незашифрованный веб-трафик? Фильтр http. Его будет мало, но иногда проскакивают интересные вещи от старых сайтов или IoT-устройств.
4. Анализ. Нашли интересный пакет? Кликните по нему правой кнопкой мыши и выберите Follow > TCP Stream. Wireshark соберет все пакеты этого соединения в один диалог и покажет вам «разговор» двух устройств. Если трафик не зашифрован (например, старый добрый HTTP), вы увидите все в виде простого текста.
А что с HTTPS?
Да, почти весь современный интернет работает через HTTPS, и это хорошо. Wireshark покажет вам, что соединение установлено, но его содержимое будет выглядеть как бессмысленная каша. Вскрыть его «на лету» без приватных ключей сервера невозможно.
Именно здесь на сцену выходят Fiddler или Charles. Они устанавливают на ваш компьютер свой корневой сертификат (вы должны это подтвердить). После этого они прогоняют трафик через себя, расшифровывают его, показывают вам, а затем снова зашифровывают и отправляют дальше. Это называется атакой «человек посередине» (MITM), но в данном случае вы сами себе и человек, и середина. Так вы можете увидеть, какие именно данные ваше любимое мобильное приложение отправляет своим создателям.
Что можно нарыть?
• Увидеть, что ваш новенький умный пылесос каждые 5 минут отправляет данные на серверы в Алибаба-клауд.
• Обнаружить, что бесплатная игра на телефоне собирает список всех приложений, установленных на устройстве.
• Поймать за руку вредоносную программу, которая пытается соединиться со своим командным центром.
• Выяснить, какое именно устройство в вашей сети «съедает» всю скорость, бесконечно скачивая обновления.
Так что, баловаться анализом трафика — это не паранойя. Это цифровая гигиена. Теперь вы знаете, как заглянуть в бездну. Главное — помните: если вы долго смотрите в бездну, бездна начинает смотреть в вас. И не звоните мне, когда обнаружите, что ваш холодильник подписался на платные сервисы. Я предупреждал.