Но что, если вы по каким-либо причинам не можете использовать шифрование в вашей сети? Что делать в такой ситуации? В данном случае вы должны полагаться на обнаружение любой сетевой интерфейсной платы (NIC), которая может функционировать в режиме, инициированном анализатором сетевого трафика.

Локальное обнаружение

Многие операционные системы предоставляют механизм для выявления сетевых интерфейсов, работающих в «безразличном» режиме (promiscuous mode). Данный механизм обычно представлен в виде флага состояния, который ассоциирован с каждым сетевым интерфейсом и содержится в ядре. Он может быть просмотрен использованием команды ifconfig в UNIX-системах.

Следующий пример показывает интерфейс в операционной системе Linux, не находящийся в «безразличном» режиме:

ethO Link encap: Ethernet HWaddr 00:60:08:C5:93:6B inet addr: 10.0.0.21 Beast: 10.0.0.255 Mask: 255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 1492448 errors: 2779 dropped: 0 overruns: 2779 frame: 2779
TX packets: 1282868 errors: 0 dropped: 0 overruns: 0 carrier: 0
collisions: 10575 txqueuelen: 100 Interrupt: 10 Base address: 0x300

Необходимо отметить, что атрибуты интерфейса ничего не упоминают о «безразличном» режиме. Когда интерфейс переключается в «безразличный» режим, как показано далее, в разделе атрибутов появляется ключевое слово PROMISC:

ethO Link encap: Ethernet HWaddr 00:60:08:C5:93:6B inet addr: 10.0.0.21 Beast: 10.0.0.255 Mask: 255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric: 1 RX packets: 1492330 errors: 2779 dropped: 0 overruns: 2779 frame: 2779
TX packets: 1282769 errors: 0 dropped:0 overruns:0 carrier:0 collisions: 10575 txqueuelen: 100 Interrupt: 10 Base address: 0x300

Важно отметить, что если нарушитель скомпрометировал защиту хоста, на котором вы выполняете данную команду, он или она может с легкостью повлиять на результат выполнения этой команды. Важной частью инструментария нарушителя является замещение команды ifconfig таким образом, что она не сообщает об интерфейсах в «безразличном» режиме. Сетевое обнаружение

Существует несколько методов, различных по их степени точности обнаружения хоста, подслушивающего весь сетевой трафик. Не существует метода, гарантирующего стопроцентное обнаружение присутствия анализаторов сетевого трафика.

Поиски DNS Большинство программ, написанных для прослушивания сети, выполняют обратные поиски DNS во время вывода выходных данных, состоящих из исходного и конечного хостов, вовлеченных в сетевое соединение. В процессе выполнения данного поиска генерируется дополнительный сетевой трафик; в основном DNS-запросы для поиска сетевого адреса. Существует возможность наблюдать при помощи сети на наличие хостов, выполняющих большое количество поисков адресов; однако это может являться простым совпадением и не приведет к обнаружению хоста, осуществляющего прослушивание сетевого трафика.

Более простым способом, предоставляющим стопроцентную точность, является создание ложного сетевого соединения с адреса, который не находится в локальной сети. Затем мы сможем при помощи сети наблюдать на наличие DNS-запросов, пытающихся разрешить ложный адрес и тем самым, выдавая хост, осуществляющих прослушивание сетевого трафика.

Задержки Второй метод для обнаружения хоста, прослушивающего сеть, заключается в отслеживании изменения задержек отклика хоста на сетевой трафик (например, ping). Несмотря на то что данный метод склонен к числу сбойных ситуаций (таких как, например, когда задержка хоста вызвана нормальной операцией), он может помочь в определении, прослушивает ли хост сетевой трафик или нет. В данном методе также можно первоначально зондировать и брать пробы времени отклика. Далее генерируется большое количество сетевого трафика, специально созданного для того, чтобы заинтересовать хост, который прослушивает сетевой трафик на наличие информации аутентификации. В заключение снова берутся пробы задержки хоста для определения, изменились ли они существенно.

Ошибки драйвера Иногда ошибка драйвера операционной системы может помочь нам определить хосты, работающие в «безразличном» режиме. Аргентинская компания исследований безопасности CORE-SDI обнаружила ошибку в обыкновенном Linux Ethemet-драйвере. Они обнаружили, что когда хост работает в «безразличном» режиме, операционная система не может осуществить проверку Ethernet-адрсса, для того чтобы убедиться, что пакет был направлен на один из его интерфейсов. Вместо этого данная проверка была произведена на уровне ГР, и пакет был принят, так как если бы он был направлен на один из интерфейсов хоста. Обычно пакеты, не соответствующие Ethemet-aflpecy хоста, отбрасываются на аппаратном уровне; однако в «безразличном» режиме этого не происходит. Мы можем определить, находится ли хост в «безразличном» режиме, посылая ICMP ping-пакет хосту с правильным IP-адресом хоста, но неправильным Ethemet-aflpecoM. Если хост ответил на этот ping-запрос, то он определенно работает в «безразличном» режиме.

AntiSniff Anti Sniff является инструментом, написанным бостонской группой хакеров, известных как LOpht. Они объединили несколько методов, описанных выше, в инструмент, который эффективно выявляет хост, работающий в «безразличном» режиме (promiscuous mode). Пятнадцатидневная пробная версия данного инструмента (для Windows-систем) может быть получена на их Web-сайте, расположенном на at www. security softwaretech. com/antisniff.

UNIX-версия доступна для бесплатного некоммерческого использования. Ознакомьтесь с лицензией для определения ограничений на использование этой версии.

Необходимо помнить, что AntiSniff находит некоторые анализаторы сетевого трафика, а не все. Некоторые анализаторы являются полностью «невидимыми», в то время как другие были пропатчены для противодействия Anti Sniffy.

Сетевые мониторы Сетевые мониторы, доступные на Windows NT-системах, имеют способность наблюдать, кто активно запускает NetMon в вашей сети. Они также сохраняют историю, кто имеет NetMon, установленный в системе. Они выявляют другие копии Network Monitor, таким образом, если нарушитель использует другой анализатор сетевого трафика, вы должны обнаружить его, используя один из методов, описанных выше. Большинство систем обнаружения вторжений сетевого уровня также выявляют эти экземпляры NetMon.

Резюме

Sniffing - прослушивание сетевого трафика на наличие полезной информации. Прослушивание сетевого трафика может использоваться для воровства информации аутентификации (пароли), сообщений электронной почты, просмотра использования Web и, как правило, узнавания всего, что цель делает в сети. Протоколы, подвергающиеся прослушиванию для перехвата паролей, - Telnet, POP3, IMAP, HTTP и NetBIOS.

Существует множество популярных пакетов программ для прослушивания сетевого трафика - Ethereal, Sniffer Pro, NetMon, AiroPeek, TCPDump, dsniff, и Ettercap. Некоторые из них коммерческие, а некоторые доступны бесплатно. Для перехвата паролей наиболее подходит dsniff. Он также является одним из бесплатных и имеет модули для прослушивания трафика электронной почты и Web-трафика. Carnivore является специализированным анализатором сетевого трафика и используется для обеспечения правопорядка, имеет больше опций фильтрации, чем многие другие (и не является доступным для обычного круга людей).

Традиционно большинство локальных сетей посылают трафик всем присоединенным узлам. В настоящее время во многих сетях используются коммутаторы, которые являются сетевыми устройствами, разработанными для улучшения производительности. Они также могут препятствовать прослушиванию сетевого трафика, ибо разработаны таким образом, чтобы не посылать трафик узлам, которые не должны его получать. Существуют «трюки» для преодоления этого, например MAC flooding, ARP spoofing или манипуляции с маршрутизаторами. Данные методы разработаны для того, чтобы дать возможность анализатору сетевого трафика прослушивать трафик. MAC flooding и манипуляции с маршрутизаторами осуществляются путем воздействия непосредственно на сетевое оборудование. ARP spoofing осуществляется путем воздействия на таблицу ARP-машины, которая будет прослушиваться. Некоторые рассмотренные пакеты программ для прослушивания сетевого трафика имеют инструменты для осуществления указанных «трюков».

Каждая операционная система, кроме старших версий Windows, имеет свой программный интерфейс приложения (API) для перехвата сетевого трафика. Существует бесплатное программное обеспечение драйвера для версий Windows, не имеющих данной функциональности. Написание программ для перехвата сетевого трафика во многих случаях может быть осуществлено с легкостью, несмотря на то что вам необходимы соответствующие привилегии для их использования. Однако в действительности декодирование трафика, перехваченного вашей программой, будет намного сложнее. Вообще, шифрование - один из путей защититься от прослушивания сетевого трафика. Шифрование сетевого трафика защищает от прослушивания только в том случае, если применено правильно. Однако многие схемы шифрования полагаются на то, что конечный пользователь сделает правильный выбор касательно сообщения об ошибке. Это оставляет брешь для MITM-атак, которые могут вызывать ошибку, но ошибки часто игнорируются. Пакет dsniff включает некоторые инструменты для реализации MITM (в данном случае «monkey-in-the-middle») атаки.

Существует несколько методов обнаружения анализаторов сетевого трафика, если они работают поверх неспециальных операционных систем. Они включают: просмотр

DNS-запросов для поддельного IP-адреса, проверку ответов на пакеты с неправильными МAC-адресами и др. Данные методы не дают стопроцентной гарантии, так как возможно написание совершенно пассивного анализатора сетевого трафика.

Конспект

Что такое прослушивание сетевого трафика?

• Sniffing - прослушивание сетевого трафика (пассивное).

• В классических операциях анализатор сетевого трафика присоединяется на стороне сетевой шины.

• В новых операциях анализаторы устанавливаются на машине или шлюзе для перехвата трафика.

Что прослушивать?

• В большинстве случаев целью анализаторов сетевого трафика является информация аутентификации в открытом виде, например имена пользователей и пароли в следующих протоколах Telnet, FTP и HTTP.

• Вторыми наиболее частыми целями являются сообщения электронной почты, входные данные HTTP или Telnet-ceccnH.

Популярное программное обеспечение для прослушивания сетевого трафика

• Существует много коммерческих и бесплатных программ для прослушивания сетевого трафика, которые предназначены для сетевой диагностики, например Ethereal, Network AssociateVs Sniffer Pro, NetMon, WildPacketsY AiroPeek и tcpdump. Эти продукты не имеют хакерских возможностей, таких как захват паролей.

• Примерами инструментов хакеров являются: dsniff, Ettercap, Esniff и Sniffit. Вместо того чтобы прослушивать весь трафик, эти инструменты нацелены на пароли и данные в открытом виде.

У совершенствованные методы прослушивания сетевого трафика

• Прослушивать сети сегодня стало намного сложнее, чем в прошлом, главным образом благодаря использованию коммутаторов. Старые сети повторяли данные на все узлы, позволяя всем в сети видеть весь трафик. Коммутаторы не дают другим видеть ваш трафик.

• Коммутаторы могут быть атакованы многими способами, такими как flooding,

МАС-адресами для форсирования состояния отказа, ARP spoofing или spoofing пакетов маршрутизации. Эти методы сбивают с толку оборудование и транслируют сетевой трафик на хост с анализатором.

• Некоторые пакеты программ для прослушивания сетевого трафика позволяют нарушителю посредничать как часть атаки «человек посередине». Как пример - выдавать себя за HTTPS-сервер; жертва шифрует трафик ключом нарушителя, полагая, что это ключ доверенного сервера. Это позволяет нарушителю просматривать данные до шифрования настоящим ключом сервера.

Исследование программных интерфейсов приложений операционных систем

• Прослушивание сетевого трафика не является штатным режимом операционной системы. Необходимо использование специальных программных интерфейсов приложений.

• Программный интерфейс приложения libpcap широко поддерживается среди UNIX/Windows-платформ, существуют более специализированные APIs для специфических платформ.

Защитные меры

• Наиболее существенной защитой от анализаторов сетевого трафика является шифрование. Большинство протоколов поддерживают шифрование мандатов аутентификации (имя пользователя, пароль) и данных. SSL и SSH - два наиболее важных стандарта шифрования.

• Шифрование не работает при неправильном использовании. Пользователи должны выбирать сильные пароли и быть бдительны к атакам MITM.

• Замена общих концентраторов на коммутаторы сделает прослушивание сетевого трафика намного сложнее, но не стоит надеяться, что сделает его невозможным.

Применение методов обнаружения

• Наиболее важной мерой является контроль хостов на предмет наличия интерфейсов в «безразличном» режиме. Это показывает не только то, что анализатор трафика запущен, но и то, что хост был скомпрометирован хакером.

• Удаленное обнаружение анализаторов сетевого трафика не надежно. Удаленное обнаружение полагается на поведение хоста определенным образом, например медленная работа с запущенным анализатором трафика, или анализатор, который переводит IP в имена. Только анализаторы сетевого трафика ведут себя подобным образом.

Часто задаваемые вопросы

На следующие часто задаваемые вопросы (FAQ) отвечали авторы данной книги. Они предназначены как для улучшения вашего понимания идей, представленных в данной главе, так и для помощи в реализации этих идей. Если у вас возникли вопросы по данной главе, зайдите на сайт www.syngress.com/solutions и кликните на формочку «Ask the Author» («Спросить автора»).

Вопрос: Является ли законным прослушивание сети? Ответ: Несмотря на то что использование анализаторов сетевого трафика для диагностики и управления является законным, сетевое наблюдение за действиями служащих со стороны руководства широко обсуждается. Коммерческие продукты как раз и предназначены для этих нужд. В большинстве стран (особенно в США и Великобритании) прослушивание любой активности своих сетей руководством, включая всю активность сотрудников, разрешено законом.

Вопрос: Как я могу обнаружить анализатор сетевого трафика в моей сети? Ответ: На данный момент нет стопроцентно надежного метода обнаружения анализаторов трафика; однако существуют утилиты для обнаружения (AntiSniff).

Вопрос: Как я могу защитить себя от прослушивания сетевого трафика? Ответ: Шифрование, шифрование и шифрование - единственно правильное решение. Многие новые версии сетевых протоколов также поддерживают расширения, которые предоставляют механизмы защищенной аутентификации.

Вопрос: Почему я не могу запустить мой инструмент под Windows? Ответ: Большинство анализаторов сетевого трафика, описанных в данной главе, были написаны под такие платформы, как Linux. Вам обычно необходимо установить инструментарий WinDump, описанный ранее. Вы можете также установить другие утилиты, такие как окружение Gnu.

Вопрос: Могу ли я использовать эти инструменты в беспроводных сетях? Ответ: Да, но для этого необходимо проделать большой объем работ. Прослушивание сетевого трафика не поддерживается стандартными пакетами, которые вы получаете от поставщика. Необходимо найти в Интернете патчи для вашего конкретного драйвера. Вам необходимо также загрузить специальные утилиты, такие как AirSnort, предназначенные для обхождения слабого шифрования, существующего в сегодняшних беспроводных сетях. Скорее всего, данное даже и не нужно, так как большинство людей не используют шифрования.

Secure sockets layers (ssl) | Защита от хакеров корпоративных сетей | Перехват сеанса


Защита от хакеров корпоративных сетей



Новости за месяц

  • Август
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс