नेटवर्क स्निफ़िंग टूल्स — Wireshark, tcpdump, Scapy और प्रैक्टिकल लैब्स
नेटवर्क स्निफ़िंग टूल्स — विस्तृत उपयोग और प्रैक्टिस
मेटा विवरण: जानें कैसे नेटवर्क स्निफ़ करें—Wireshark, tcpdump, tshark, Scapy, Ettercap, Kismet के साथ स्टेप-बाय-स्टेप कमांड, प्रयोग और सुरक्षा उपाय। केवल अधिकृत नेटवर्क पर प्रयोग करें।
1. परिचय
नेटवर्क स्निफ़िंग का अर्थ है नेटवर्क पर बहने वाले पैकेटों को पकड़ना (capture) और उनका विश्लेषण करना। यह नेटवर्क ट्रबलशूटिंग, इनसिडेंट रिस्पॉन्स और एथिकल हैकिंग में अत्यंत उपयोगी है। चूँकि यह संवेदनशील जानकारी (पासवर्ड, कुकीज़) दिखा सकता है, केवल अपने या अनुमति प्राप्त नेटवर्क पर ही प्रयोग करें।
यह गाइड प्रमुख टूल और व्यावहारिक अभ्यास के साथ उपयोग की जानकारी देती है।
2. मुख्य टूल और इंस्टॉलेशन
-
Wireshark — GUI आधारित गहरा विश्लेषण।
sudo apt install wireshark -
tcpdump — कमांड-लाइन कैप्चर।
sudo apt install tcpdump -
tshark — Wireshark का CLI वैरिएंट।
sudo apt install tshark -
Scapy — पाइथन-आधारित पैकेट क्राफ्टिंग/स्निफ़िंग।
pip3 install scapy -
Ettercap/Bettercap — MITM प्रयोग (सिर्फ लैब)।
-
Kismet — वायरलेस स्निफ़िंग और डिस्कवरी।
-
ngrep — पैटर्न-आधारित पैकेट खोज।
-
NetworkMiner — पैसिव फॉरेंसिक्स टूल।
3. बेसिक कैप्चर और विश्लेषण
tcpdump से कैप्चर
पूरा पॅकट कैप्चर फ़ाइल बनाएं:
HTTP ट्रैफ़िक टेक्स्ट में देखने के लिए:
Wireshark में लाइव एनालिसिस
-
इंटरफ़ेस चुनें (eth0/wlan0)।
-
Capture filters:
tcp port 80,host 10.0.0.5आदि। -
Display filters:
http.request,ip.addr == 192.168.1.10। -
किसी पैकेट पर Follow → TCP Stream से पूरे संवाद को देखें।
tshark से फील्ड एक्सट्रैक्ट
ngrep का प्रयोग
HTTP में किसी पैटर्न को खोजने के लिए:
4. एडवांस्ड: Scapy और ऑटोमेशन
Scapy स्निफ़ उदाहरण:
Scapy से पैकेट क्राफ्टिंग और इवैल्यूएशन भी किया जा सकता है।
5. प्रैक्टिकल लैब्स (सुरक्षित वातावरण में)
लैब A — HTTP में पासवर्ड कैप्चर
-
Attacker VM:
sudo tcpdump -i eth0 -s 0 -w lab_http.pcap -
Victim VM: टेस्ट HTTP साइट पर लॉगिन करें।
-
Wireshark खोलें और
http.request.method == "POST"फ़िल्टर लगाकर क्रेडेंशियल देखें।
लैब B — ARP स्पूफिंग (केवल लैब)
-
Attacker VM पर Ettercap/Bettercap से ARP स्पूफ करें।
-
कैप्चर करके ट्रैफ़िक देखें।
-
Mitigation: स्विच पर DAI सक्षम करें और हमला विफल देखें।
लैब C — वायरलेस डिआथेरेंटेशन डिटेक्शन
Kismet से AP और क्लाइंट फ्रेम कैप्चर करें और डिआथ के पैटर्न पहचानें।
6. कैप्चर का विश्लेषण — क्या देखें
-
प्लैनटेक्स्ट क्रेडेंशियल्स: HTTP POST/FTP/Telnet आदि।
-
कुकीज़ और सेशन आइटम:
Set-Cookie,Cookie— सेशन हाईजैक का खतरा। -
अनजान होस्ट: गैर-मान्य एक्सटर्नल कनेक्शन।
-
प्रोटोकॉल विसंगतियाँ: DNS के माध्यम से डेटा टनलिंग इत्यादि।
7. डिटेक्शन और सुरक्षा उपाय
-
ट्रैफिक एन्क्रिप्ट करें: TLS/HTTPS अनिवार्य करें।
-
नेटवर्क सेगमेंटेशन और VLANs लागू करें।
-
स्विच सुरक्षा: Port security, DHCP snooping, Dynamic ARP Inspection चालू रखें।
-
VPN और एन्क्रिप्टेड टनल्स का उपयोग करें।
-
प्रोमिसक्यूअस मोड मॉनिटरिंग से स्निफ़र का पता लगाएँ।
8. कानूनी और एथिकल बातें
-
बिना लिखित अनुमति के किसी नेटवर्क पर स्निफ़िंग करना गैरकानूनी और अनैतिक है।
-
टेस्टिंग से पहले ऑथराइज़ेशन लें और सभी निष्कर्ष दस्तावेज़ करें।
-
संवेदनशील डेटा पाए जाने पर कंपनी की नीति और कानून के अनुरूप रिपोर्ट करें।
9. सामान्य प्रश्न (FAQs)
Q: पहली बार किस टूल से शुरू करूँ?
A: tcpdump से कैप्चर और Wireshark में विश्लेषण — यह बेसिक और शक्तिशाली है।
Q: क्या मैं HTTPS पढ़ सकता/सकती हूँ?
A: नहीं, बिना सर्वर की प्राइवेट की या सफल MITM के HTTPS payload नहीं पढ़ सकते। केवल मेटाडेटा दिखाई देगा (SNI, IP)।
Q: कैसे पता चलेगा कि कोई स्निफ़र है?
A: अजीब MAC/IP मैपिंग, ARP टेबल में अनपेक्षित प्रविष्टि, या पोर्ट-सिक्योरिटी अलर्ट से संकेत मिलता है।