Программа Ettercap является универсальной программой, которая главным образом используется для снифинга, захвата и регистрации трафика в коммутируемых локальных сетях. Она поддерживает как активный, так и пассивный анализ различных протоколов. На момент написания книги в программе Ettercap была реализована поддержка соединений по протоколам SSH версии 1 (Secure Shell version 1, SSH 1 - защищенный протокол, обеспечивающий аутентификацию с помощью криптографических методов и шифрование всего потока данных) и SSL (Secure Sockets Layer, протокол защищенных сокетов). Программу Ettercap можно найти по адресу http://ettercap.sourceforge.net. Она запускается на таких операционных системах, как MAC OS X, Linux и BSD OS. У программы Ettercap четыре режима работы:

• IP. Режим фильтрации пакетов по адресам отправителя и получателя данных;

• MAC. Режим фильтрации пакетов по МАС-адресам;

• ARP. Режим использования перегрузки сети ARP-пакетами (ARP storm) для снифинга / перехвата соединений в коммутируемых локальных сетях (режим работает в полноправном дуплексном (одновременно двустороннем) режиме передачи данных;

• Общедоступный ARP. Режим использования перегрузки сети ARP пакетами в полудуплексном (поочередно двустороннем) режиме передачи данных для прослушивания одного хоста другим.

Давайте взглянем на использование программы Ettercap более внимательно. В

приведенных ниже сценариях рассматривается простая коммутируемая сеть с трансляцией сетевых адресов NAT (Network Address Translation), IP-адресов по стандарту RFC1918. Это простая сеть класса SOHO (SOHO, Small Office/Home Office - класс программного обеспечения, предназначенного для малого или домашнего офиса) для домашнего пользования, которую сейчас используют многие небольшие или домашние офисы в основном из-за низкой цены и лавинообразной скорости распространения доступных для массового использования высокоскоростных кабельных модемов и цифровых абонентских линий DSL. Типичная реализация подобной сети выглядит примерно так, как показано на рис. 11.1. В этом примере 192.168.1.104 является адресом злоумышленника, перехватывающего сессию._

Типичная схема небольших домашних / офисных сетей При запуске программы Ettercap пользователю будет предъявлен экран со всеми хостами сети, подключенными к сегменту пользователя (см

Рис. 11.1. Типичная схема небольших домашних / офисных сетей При запуске программы Ettercap пользователю будет предъявлен экран со всеми хостами сети, подключенными к сегменту пользователя (см. рис. 11.2). С помощью клавиши Tab и клавиш с изображенными на них стрелками можно выбрать для эксперимента две машины. В верхнем левом углу пользователь должен увидеть выбранные и отмеченные им ранее IP-адреса источника и адресата информации.

Хосты, доступные на подключенном сегменте Для того чтобы «испортить» кэш протокола ARP выбранных хостов, следует нажать клавишу «а», как это показано на рис

Рис. 11.2. Хосты, доступные на подключенном сегменте Для того чтобы «испортить» кэш протокола ARP выбранных хостов, следует нажать клавишу «а», как это показано на рис. 11.3. Тогда на экране будет показан список всех соединений между двумя хостами, выбранными ранее (см. пис. 11.4У

Порча» кэша протокола ARP

Рис. 11.3. «Порча» кэша протокола ARP

Доступные соединения между выбранными хостами В рассматриваемом случае был выбран коммутатор A Linksys BEFSR81 и сетевой клиент, на машине которого запущен Windows 2000 Advanced Server

Рис. 11.4. Доступные соединения между выбранными хостами В рассматриваемом случае был выбран коммутатор A Linksys BEFSR81 и сетевой клиент, на машине которого запущен Windows 2000 Advanced Server. Для определения операционной системы узла с IP-адресом 192.168.1.100 была использована опция идентификации операционной системы. Обратите внимание на сгенерированное коммутатором (192.168.1.1) для Windows 2000 server (192.168.1.100) сообщение авторизованному диспетчеру простого протокола сетевого управления SNMP (SNMP -Simple Network Management Protocol, простой протокол сетевого управления. Протокол сетевого администрирования, широко используемый в настоящее время. Входит в стек протоколов TCP/IP) о запросе со стороны неавторизованного диспетчера. Обычно это является признаком использования хоста получателя сообщения (192.168.1.100) для управления коммутатором. При нажатии клавиши h в любой момент времени работы программы выводится окно с краткой подсказкой. На рисунке 11.5 показана подсказка начальной страницы, на которой видны все хосты сегмента, а на рис. 11.6 - подсказка после выбора хоста.

Окно подсказки начальной страницы

Рис. 11.5. Окно подсказки начальной страницы

Опции выбранного соединения Помните, о чем говорилось в разделе, посвященном перехвату UDP-сессий? Из-за отсутствия в протоколе UDP-средств корректировки ошибок и гарантий доставки пакетов перехватить UDP-сессию гораздо проще, чем сессию протокола TCP

Рис. 11.6. Опции выбранного соединения Помните, о чем говорилось в разделе, посвященном перехвату UDP-сессий? Из-за отсутствия в протоколе UDP-средств корректировки ошибок и гарантий доставки пакетов перехватить UDP-сессию гораздо проще, чем сессию протокола TCP. В этом заслуживающем особого внимания случае злоумышленник может нанести большой вред, просто перехватив SNMP-соединение. Вы спросите: почему? Ответ прост. Если у злоумышленника есть доступ к конфигурации коммутатора, то он обладает слишком большими возможность что-то сделать на этой сети или по отношению к ней. В данном случае коммутатор используется как шлюз для выхода в Интернет, так что дух захватывает от потенциального вреда, который может нанести злоумышленник. Но давайте перейдем с точки зрения практики к более интересным вещам. Рассмотрим следующий сценарий. У злоумышленника есть доступ к запущенному на сервере протоколу FTP, но установить соединение он может только с хостом, IP-адрес которого равен 192.168.1.103. При запуске программы Ettercap

злоумышленник видит порт 21 на сервере, который сначала активизируется, а затем переходит в состояние пассивного ожидания (silent state). Злоумышленник выбирает порт 21 и создает соединение между FTP-сервером и клиентом. После установки соединения у него появляется возможность по своему желанию перехватывать и модифицировать трафик сети или вставлять свои данные в передаваемую по сети информацию (см. рис. 11.7)._

Рис. 11.7. Выбор SMB-соединения На рисунке приведен образец экранной формы, на которой представлен обзор трафика сети Microsoft от сетевого клиента к серверу. Порты 137 и 139 закреплены за сетевой базовой системой ввода-вывода Microsoft NetBIOS и сервисами сессии. Порт 445, так же как и порты 138и139в предыдущих версиях Windows, используется для обеспечения работы сервисов каталога Microsoft (Microsoft directory services) и обеспечивает большинство функциональных возможностей для протокола SMB (SMB - Server Message Block, блок серверных сообщений. Протокол разработан Microsoft, Intel и IBM. Он определяет регламент совместного использования файлов компьютерами в сети и отвечает за структуризацию запросов и связь с различными операционными системами. Аналогичен протоколу NCP) поверх TCP/IP в Windows 2000. Недавно опубликованная по адресу www.newsbytes.com/news/01/169408.html статья раскрывает некоторые проблемы безопасности, которые может создать этот порт для типового оборудования, объединенного в сеть. Достаточно интересен тот факт, что даже после отключения NetBIOS по TCP/IP с помощью изменения конфигурации сетевой карты этот порт будет все еще обнаруживаться. Допустим, злоумышленник выбирает порт 445, который в момент выбора находится в состоянии пассивного ожидания (silent state). Несомненно, что этому порту соответствует управляемое соединение между клиентом с IP-адресом 192.161.1.103 и сервером. При работе злоумышленника со списком файлов каталога или при другом варианте просмотра к нему из сети поступают SMB-сообщения, нагружая сеть и искажая передаваемые по ней данные в результате шумовых помех.

На рисунке 11.8 показано внутреннее представление части активного соединения клиента с совместно используемым сервером при использовании вывода в текстовом формате. При желании злоумышленник может записать эту информацию в журнал для дальнейшего использования.

Внутренние представление SMB соединения

Рис. 11.8. Внутренние представление SMB соединения

Программа juggernaut | Защита от хакеров корпоративных сетей | Программа smbrelay


Защита от хакеров корпоративных сетей



Новости за месяц

  • Октябрь
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс