Защита от сниффера - IT Справочник
Llscompany.ru

IT Справочник
21 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита от сниффера

Кибератаки в подробностях: атаки с применением снифферов

В прошлых статьях серии мы рассмотрели атаки отказа в обслуживании и атаки, основанные на спуфинге пакетов. В данной статье мы перейдем к рассмотрению широко применяемой техники атак, основанной на использовании снифферов, которая обычно применяется взломщиками для получения информации. Мы рассмотрим несколько инструментов, используемых для захвата пакетов и обсудим пути защиты IT-инфраструктуры от этих атак.

Использование сниффера в сетях, работающих по протоколу TCP/IP подразумевает захват, декодирование, исследование и интерпретацию данных, передающихся в пакетах по сети. Целью атак с использованием сниффера является похищение информации, обычно такой, как идентификационные номера пользователей, данные о функционировании сети, номера кредитных карт и.т.д. Использование сниффера считается типом «пассивной» атаки, при котором атакующие не могут быть замечены в сети. Это обстоятельство затрудняет определение наличия данной атаки и, поэтому, этот тип атаки является опасным.

Как мы узнали из предыдущих статей серии, пакет TCP/IP содержит информацию, необходимую для соединения двух сетевых интерфейсов. Он содержит такие поля с информацией об исходном и целевом IP-адресах, номерах портов, номере пакета и типе протокола. Каждое из этих полей является необходимым для функционирования различных уровней сетевого стека и особенно приложений, относящихся к прикладному уровню (уровню 7 OSI), обрабатывающих принятые данные.

По своей природе протокол TCP/IP занимается только тем, что проверяет, сформирован ли пакет, добавлен ли он в Ethernet-фрейм и доставлен ли он от отправителя по сети к адресату. Однако, в этом протоколе не имеется механизмов для контроля безопасности данных. Таким образом, задача по установлению того, не произошло ли вмешательство в передачу данных, перекладывается на высшие уровни сетевого стека.

Для понимания того, для чего взломщики используют снифферы, нам следует знать о том, какие данные они могут получить из сети. Рисунок 1 иллюстрирует уровни OSI и ту информацию, которой взломщик может завладеть на каждом уровне, успешно использовав сниффер.


Рисунок 1. Распределение уровней OSI

Использование сниффера помогает взломщикам либо получить информацию непосредственно из сетевого трафика, либо получить данные о работе сети, которые могут быть использованы для подготовки последующих атак. Взломщики очень часто прибегают к использованию сниффера, так как возможно длительное его использование без риска быть разоблаченным.

Как используют сниффер?

В ходе атак, заключающихся в захвате пакетов, используются снифферы, являющиеся либо программным обеспечением с открытым исходным кодом, либо коммерческим программным обеспечением. Грубо говоря, существуют три пути перехвата трафика в сети, показанные на рисунке 2.


Рисунок 2: Направления атак с использованием сниффера

Важно помнить о том, что атаки с использованием сниффера могу затрагивать диапазон от 1 до 7 уровня OSI. Если говорить о физическом соединении, кто-либо, уже имеющий доступ к внутренней локальной сети (чаще всего это работник компании), может использовать программы для прямого захвата сетевого трафика. Применяя техники спуфинга, взломщик, находящийся за пределами атакуемой сети, может вести перехват пакетов на уровне межсетевого экрана и и похищать данные. В последнее время все чаще используется атака, направленная на перехват данных беспроводных сетей, при которой задача атакующего упрощается, так как нужно всего лишь находиться в радиусе действия сети для сбора информации о ней и проникновения в нее.

В зависимости от того, каково нахождение взломщиков в сети, где производится перехват данных, они используют программы для захвата или программы для исследования пакетов. Современные снифферы предназначаются для диагностики сетей, но при этом также могут быть использованы и для взлома. Рассмотрите таблицу, описывающую этичные и неэтичные примеры использования снифферов.

  • Захват пакетов
  • Анализ использования трафика в сети
  • Преобразования пакетов для анализа данных
  • Диагностика сетей
  • Похищение пользовательских идентификаторов и паролей
  • Похищение данных, относящихся к сообщениям электронной почты и служб мгновенных сообщений
  • Похищение данных с применением спуфинга
  • Похищение средств и причинение ущерба репутации

В отношении технической стороны захвата пакетов следует помнить о том, что программы, осуществляющие захват пакетов всегда работают в promiscous-режиме, что делает возможным захват и сохранение всех данных, передающихся по сети, с их помощью. Это также означает то, что даже если пакет не предназначается для сетевого интерфейса, на котором работает сниффер, он все равно будет захвачен, сохранен и проанализирован.

В составе сниффера содержится свой собственный сетевой драйвер и выделяется большой участок памяти для буфера, вмещающего большое количество пакетов. Современные снифферы обладают возможностями анализа захваченных пакетов и конвертирования их в удобную для восприятия форму со статистической информацией. Теперь давайте рассмотрим несколько способов захвата данных в сети для того, чтобы понять, как действуют взломщики.

Захват данных в локальной сети (LAN sniff)

Сниффер, работающий во внутренней сети может захватывать данные со всего диапазона IP-адресов. Это помогает злоумышленнику получить данные о функционировании сети, такие, как список активных узлов, список открытых портов, данные об оборудовании серверов и другие. Как только получен список открытых портов, становится возможной атака на основе эксплуатации уязвимостей отдельных служб, работающих на определенных портах.

Захват информации об используемых протоколах (Protocol sniff)

Этот метод подразумевает захват данных, относящихся к различным протоколам, используемым в сети. Сначала создается список протоколов на основе захваченных данных. Этот список в будущем может использоваться для захвата данных, относящихся к отдельным протоколам. Например, если данных, относящихся к протоколу ICMP не было обнаружено во время захвата, считается, что этот протокол заблокирован. Однако, если при захвате обнаружены UDP-пакеты, отдельный сниффер для UDP-трафика начинает использоваться для захвата и расшифровки трафика, относящегося к Telnet, PPP, DNS и другим приложениям.

Захват ARP-трафика (ARP sniff)

В ходе этого популярного метода атаки злоумышленник захватывает как можно больший объем данных для создания таблицы соответствия IP-адресов MAC-адресам. Эта таблица впоследствии может быть использована для подмены ARP-записей (APR poisoning), спуфинг-атак или для эксплуатации уязвимостей маршрутизатора.

Похищение TCP-сессий (TCP session stealing)

Этот метод заключается в простом захвате трафика между IP-адресом отправителя и адресата, проходящего через сетевой интерфейс в promiscous-режиме. Такие подробности, как номера портов, типы служб, порядковые номера TCP и сами данные интересуют взломщиков в первую очередь. После захвата достаточного количества пакетов, опытные взломщики могут самостоятельно создавать TCP-сессии, вводя в заблуждение узлы, являющиеся источником и адресатом пакетов, а также осуществлять атаку перехвата с участием человека (man-in-the-middle) в отношении активной TCP-сессии.

Захват данных приложений (Application-level sniffing)

Обычно из захваченных пакетов данных можно получить некоторое количество информации относительно приложений, осуществляющих обмен данными, и на основе этой информации провести другие атаки или просто похитить эту информацию. Например, протокол захвата данных может быть исследован с целью идентификации операционной системы, анализа SQL-запросов, получения информации о TCP-портах, специфических для приложения, и.т.д. С другой стороны, создание списка приложений, исполняющихся на сервере является хорошим началом атаки в отношении этих приложений.

Похищение паролей (Web password sniffing)

Как становится ясно из названия, в ходе атаки перехватываются данные HTTP-сессий и из них выделяются идентификаторы пользователей и пароли, которые похищаются. Хотя для защиты HTTP-сессий от таких атак и разработан протокол SSL, существует множество сайтов во внутренних сетях, использующих стандартное менее безопасное шифрование. Достаточно просто перехватить данные зашифрованные по алгоритмам Base64 или Base128 и получить пароль, применив специальное программное обеспечение. В современных снифферах присутствует функция захвата и получения информации, передаваемой в рамках SSL-сессий, но использовать эту функцию непросто.

Определение наличия сниффера

Как упоминалось ранее, поскольку снифферы работают без изменения трафика, в сети их очень сложно идентифицировать. Тем не менее, существует ряд приемов, с помощью которых можно установить возможное присутствие сниффера. Существуют два пути определения наличия сниффера — уровня узла и уровня сети.

На уровне узлов вы можете использовать небольшие утилиты для того, чтобы определить, работает ли сетевая карта в promiscous-режиме на каждом узле сети. Так как основным требованием к системе для корректной работы сниффера является работа сетевого интерфейса в режиме приема всех приходящих пакетов, отключение этого режима может значительно помочь в прекращении работы отдельных снифферов.

В случае работы на уровне сети, существует программное обеспечение для определения наличия снифферов по наличию специфических пакетов. С другой стороны, на каждом узле могут выполняться сценарии для определения наличия известных снифферов, процессов, и.т.д. Современные антивирусные программы обладают возможностями определения наличия снифферов и их отключения.

Защита от снифферов

Хотя первым шагом для защиты от перехвата трафика и является правильное проектирование системы безопасности с жесткими правилами во время разработки архитектуры сети, существуют несколько методов, которые следует применить для того, чтобы сделать сетевую инфраструктуру менее уязвимой для подобного рода атак. Следующие методы позволяют повысить защиту сети.

Отключение promiscous-режима на сетевых интерфейсах приводит к отключению большинства снифферов. Это действие может быть автоматизировано путем создания специального сценария и добавления его в качестве задачи cron для ежедневного выполнения или контролироваться путем создания политики доступа к настройкам сетевой карты на уровне узла.

Использование свитчей для построения сети снижает вероятность успешного использования сниффера. В случае эксплуатации сети с применением свитчей пакеты доставляются напрямую адресату и недоступны всем узлам — это снижает возможность их захвата. К тому же, администраторам сетей проще определить наличие снифферов, рассматривая сегменты сети по отдельности.

Программы для определения наличия снифферов могут использоваться для определения режима работы сетевых карт, а также для контроля за процессами и приложениями, присутствующими на серверах или узлах сети. Эта возможность интегрирована в современные системы обнаружения проникновений.

Читать еще:  Журнал парольной защиты

Технология шифрования IPSec может быть использована для защиты пакетов, передающихся в рамках сетевой инфраструктуры, в случае обмена конфиденциальными данными. IPSec позволяет производить инкапсуляцию и шифрование данных и поддерживается современными маршрутизаторами, межсетевыми экранами и другими компонентами сетей. Практически все операционные системы поддерживают IPSec и эта технология широко используется в важной IT-инфраструктуре. Для защиты уровня сессий может использоваться шифрование трафика SSL и TLS.

Защита систем, основанных на свободном программном обеспечении

Давайте рассмотрим несколько снифферов для того, чтобы знать, какие программы для захвата пакетов используются в мире свободного программного обеспечения в наши дни. Linux-cистемы используют утилиту tcpdump, являющуюся прекрасным сниффером, поставляемым в комплекте системы и позволяющим захватывать и сохранять TCP-пакеты. В качестве сторонних инструментов с открытым исходным кодом следует упомянуть программу Wireshark (Ethereal), очень популярную из-за своего графического интерфейса и возможностей фильтрации и отображения захваченных пакетов. Утилиты Sniffit, Dsniff и Ettercap подобны названным выше, но предназначены для других целей. Например, утилита DSniff обладает мощными возможностями перехвата SSL-трафика.

Свободные операционные системы не имеют встроенных механизмов для защиты себя от снифферов. Методы, описанные выше, вполне могут быть использованы в различных дистрибутивах Linux для снижения их уязвимости к атакам с использованием сниффера. Мощная утилита AntiSniff, доступная в дистрибутивах Linux, может быть использована в сценарии для определения сетевых интерфейсов, работающих в promiscous-режиме.

Атаки с использованием сниффера очень сложно идентифицировать, поскольку они относятся к атакам пассивного типа. Существуют методы для обнаружения и отключения снифферов, которые следует использовать администраторам сетей для защиты IT-инфраструктуры от потерь и кражи данных.

Снифферы (Sniffers)

Снифферы (sniffers) — это программы, способные перехватывать и анализировать сетевой трафик. Снифферы полезны в тех случаях, когда нужно извлечь из потока данных какие-либо сведения (например, пароли) или провести диагностику сети. Программу можно установить на одном устройстве, к которому есть доступ, и в течение короткого времени получить все передаваемые данные.

Принцип работы снифферов

Перехватить трафик через сниффер можно следующими способами:

  • путем прослушивания в обычном режиме сетевого интерфейса,
  • подключением в разрыв канала,
  • перенаправлением трафика,
  • посредством анализа побочных электромагнитных излучений,
  • при помощи атаки на уровень канала и сети, приводящей к изменению сетевых маршрутов.

Поток данных, перехваченный сниффером, подвергается анализу, что позволяет:

  • выявить паразитный трафик (его присутствие значительно увеличивает нагрузку на сетевое оборудование),
  • обнаружить активность вредоносных и нежелательных программ (сканеры сети, троянцы, флудеры, пиринговые клиенты и т.п.),
  • произвести перехват любого зашифрованного или незашифрованного трафика пользователя для извлечения паролей и других ценных данных.

Примеры известных снифферов:

  • WinSniffer — обладает множеством разных настраиваемых режимов, способен перехватывать пароли различных сервисов;
  • CommView — обрабатывает данные, передаваемые по локальной сети и в интернет, собирает сведения, связанные с модемом и сетевой картой, и подвергает их декодированию, что дает возможность видеть полный список соединений в сети и статистические сведения по IP. Перехваченная информация сохраняется в отдельный файл для последующего анализа, а удобная система фильтрации позволяет игнорировать ненужные пакеты и оставляет только те, которые нужны злоумышленнику;
  • ZxSniffer — компактный сниффер, известный малым объемом (0,3 МБ);
  • SpyNet — весьма популярный анализатор, в основную функциональность которого входят перехват трафика и декодирование пакетов данных;
  • IRIS — имеет широкие возможности фильтрации, может перехватывать пакеты с заданными ограничениями.

Классификация снифферов (sniffers)

Перехватывать потоки данных можно легально и нелегально. Понятие «сниффер» применяется именно по отношению к нелегальному сценарию, а легальные продукты такого рода называют «анализатор трафика».

Решения, применяемые в рамках правового поля, полезны для того, чтобы получать полную информацию о состоянии сети и понимать, чем заняты сотрудники на рабочих местах. Помощь таких программ оказывается ценной, когда необходимо «прослушать» порты приложений, через которые могут отсылаться конфиденциальные данные. Программистам они помогают проводить отладку, проверять сценарии сетевого взаимодействия. Используя анализаторы трафика, можно своевременно обнаружить несанкционированный доступ к данным или проведение DoS-атаки.

Нелегальный перехват подразумевает шпионаж за пользователями сети: злоумышленник сможет получить информацию о том, какие сайты посещает пользователь, и о том, какие данные он пересылает, а также узнать о применяемых для общения программах. Впрочем, основная цель незаконного «прослушивания» трафика — получение логинов и паролей, передаваемых в незашифрованном виде.

Снифферы различаются следующими функциональными особенностями:

  • Поддержка протоколов канального уровня, а также физических интерфейсов.
  • Качество декодирования протоколов.
  • Пользовательский интерфейс.
  • Доступ к статистике, просмотру трафика в реальном времени и т.д.

Источник угрозы

Снифферы могут работать на маршрутизаторе (router), когда анализируется весь трафик, проходящий через устройство, или на оконечном узле. Во втором случае злоумышленник эксплуатирует следующее обстоятельство: все данные, передаваемые по сети, доступны для всех подключенных к ней устройств, но в стандартном режиме работы сетевые карты не замечают «чужую» информацию. Если перевести сетевую карту в режим promiscuous mode, то появится возможность получать все данные из сети. И, конечно, снифферы позволяют переключаться в этот режим.

Анализ рисков

Любая организация и любой пользователь могут оказаться под угрозой сниффинга — при условии, что у них есть данные, которые интересны злоумышленнику. При этом существует несколько вариантов того, как обезопасить себя от утечек информации. Во-первых, нужно использовать шифрование. Во-вторых, можно применить антиснифферы — программные или аппаратные средства, позволяющие выявлять перехват трафика. Следует помнить, что шифрование само по себе не может скрыть факт передачи данных, поэтому можно использовать криптозащиту совместно с антисниффером.

Снифферы

Существует несколько разновидностей снифферов. Снифферы пакетов, снифферы Wi-Fi, снифферы сетевого трафика и снифферы пакетов IP. У всех у них есть одно общее: сниффер — это тип программного обеспечения, которое анализирует весь входящий и исходящий трафик с компьютера, который подключен к Интернету.

Что такое сниффер?

Сниффер не всегда является вредоносным. В действительности, данный тип ПО часто используется для анализа сетевого трафика в целях обнаружения и устранения отклонений и обеспечения бесперебойной работы. Однако сниффер может быть использован с недобрым умыслом. Снифферы анализируют все, что через них проходит, включая незашифрованные пароли и учетные данные, поэтому хакеры, имеющие доступ к снифферу, могут завладеть личной информацией пользователей. Кроме того, сниффер может быть установлен на любом компьютере, подключенном к локальной сети, без необходимости его обязательной установки на самом устройстве — иными словами, его невозможно обнаружить на протяжении всего времени подключения.

Откуда появляются снифферы?

Хакеры используют снифферы для кражи ценных данных путем отслеживания сетевой активности и сбора персональной информации о пользователях. Как правило, злоумышленники наиболее заинтересованы в паролях и учетных данных пользователей, чтобы с их применением получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов. Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к сети устройство в рамках так называемой спуфинг атаки с целью похищения ценных данных.

Как распознать сниффер?

Несанкционированные снифферы крайне сложно распознать виртуально, так как они могут быть установлены практически где угодно, представляя собой весьма серьезную угрозу сетевой безопасности. Обычные пользователи часто не имеют ни малейшего шанса распознать отслеживание своего сетевого трафика сниффером. Теоретически возможно установить собственный сниффер, который бы отслеживал весь трафик DNS на наличие иных снифферов, однако для рядового пользователя гораздо проще установить анти-сниффинговое ПО или антивирусное решение, включающее защиту сетевой активности, чтобы пресечь любое несанкционированное вторжение или скрыть свои сетевые действия.

Как отстранить сниффер

Вы можете воспользоваться высокоэффективным антивирусом для обнаружения и отстранения всех типов вредоносного ПО, установленного на ваш компьютер для сниффинга. Однако для полного удаления сниффера с компьютера необходимо удалить абсолютно все папки и файлы, имеющие к нему отношение. Так же настоятельно рекомендуется использовать антивирус со сканером сети, который тщательно проверит локальную сеть на наличие уязвимостей и проинструктирует относительно дальнейших действий в случае их обнаружения.

Как не стать жертвой сниффера
  • Зашифруйте всю отправляемую и принимаемую вами информацию
  • Сканируйте свою локальную сеть на наличие уязвимостей
  • Используйте только проверенные и защищенные сети Wi-Fi
Обезопасьтесь от снифферов

Первое, что пользователь может сделать, чтобы защититься от снифферов — воспользоваться качественным антивирусом, как бесплатный антивирус Avast, который способен досконально просканировать всю сеть на наличие проблем с безопасностью. Дополнительным и высокоэффективным способом защиты информации от сниффинга является шифрование всех отправляемых и принимаемых данных онлайн, включая письма эл. почты. Avast SecureLine позволяет надежно зашифровать весь обмен данными и совершать действия онлайн в условиях 100% анонимности.

Годовая
подписка
на
Хакер

Xakep #251. Укрепляем VeraCrypt

Xakep #250. Погружение в AD

Xakep #248. Checkm8

Xakep #247. Мобильная антислежка

Сниффер — что за зверь

Содержание статьи

Снифферы — это проги, которые перехватывают
весь сетевой трафик. Снифферы полезны для диагностики сети (для админов) и
для перехвата паролей (понятно для кого:)). Например если ты получил доступ к
одной сетевой машине и установил там сниффер,
то скоро все пароли от
их подсети будут твои. Снифферы ставят
сетевую карту в прослушивающий
режим (PROMISC).То есть они получают все пакеты. В локалке можно перехватывать
все отправляемые пакеты со всех машин (если вы не разделены всякими хабами),
так
как там практикуется широковещание.
Снифферы могут перехватывать все
пакеты (что очень неудобно, ужасно быстро переполняется лог файл,
зато для более детального анализа сети самое оно)
или только первые байты от всяких
ftp,telnet,pop3 и т.д. (это самое веселое, обычно примерно в первых 100 байтах
содержится имя и пароль:)). Снифферов сейчас
развелось. Множество снифферов есть
как под Unix, так и под Windows (даже под DOS есть:)).
Снифферы могут
поддерживать только определенную ось (например linux_sniffer.c,который
поддерживает Linux:)), либо несколько (например Sniffit,
работает с BSD, Linux, Solaris). Снифферы так разжились из-за того,
что пароли передаются по сети открытым текстом.
Таких служб
уйма. Это telnet, ftp, pop3, www и т.д. Этими службами
пользуется уйма
народу:). После бума снифферов начали появляться различные
алгоритмы
шифрования этих протоколов. Появился SSH (альтернатива
telnet, поддерживающий
шифрование), SSL(Secure Socket Layer — разработка Netscape, способная зашифровать
www сеанс). Появились всякие Kerberous, VPN(Virtual Private
Network). Заюзались некие AntiSniff’ы, ifstatus’ы и т.д. Но это в корне не
изменило положения. Службы, которые используют
передачу пароля plain text’ом
юзаются во всю:). Поэтому сниффать еще долго будут:).

Читать еще:  Дополнительная защита к антивирусу

Windows реализации снифферов

CommView — www.tamos.com
Довольно продвинутый сниффер
производства TamoSoft. Можно установить свои правила на сниффинг
(например
игнорировать ICMP, а TCP сниффать, также кроме Internet протоколов
имеется поддержка Ethernet протоколов, таких как ARP,SNMP,NOVELL и
т.д.). Можно например сниффать только входящие пакеты,
а остальные
игнорить. Можно указать лог-файл для всех пакетов с лимитов размера в
мегах. Имеет две tools’ы — Packet Generator и NIC Vendor
Indentifier. Можно посмотреть все подробности
посланных
/полученных пакетов (например в TCP пакете можно просмотреть Source
Port, Destination Port, Data length, Checksum, Sequence, Window, Ack, Flags,
Urgent). Радует еще
то, что она автоматически устанавливает CAPTURE
драйвер. В общем тулза
очень полезная для снифа, рекомендую всем.

SpyNet —
packetstorm.securify.com
Довольно известный сниффер производства Laurentiu
Nicula 2000:). Обычные функции — перехват/декодинг пакетов.
Хотя декодинг
развит прикольно (можно например по пакетам воссоздавать
странички,
на которых
побывал юзер!). В общем на любителя:).

Analyzer — neworder.box.sk
Analyzer
требует установку специального драйвера, вложенного в
пакет (packet.inf, packet.sys). Можно посмотреть всю инфу о вашей сетевой
карте. Также Analyzer поддерживает работу с командной строкой.
Он
прекрасно работает с локальной сетью. Имеет несколько
утилит: ConvDump,GnuPlot,FlowsDet,Analisys Engine. Ничего
выдающегося.

IRIS
— www.eeye.com
IRIS продукт известной фирмы
eEye. Представляет обширные возможности по фильтрации.
Меня в нем сильно
порадовало три фишки:
1.Protocol Distribution
2.Top hosts
3.Size
Distribution
Также имеется Packet Decoder. Он поддерживает развитую систему
логов. А доступные возможности фильтрации превосходят
все снифферы
обзора. Это Hardware Filter, который может ловить либо все
пакеты (Promiscious), либо с различными ограничениями
(например захватывать
только multicast пакеты или broadcast пакеты, либо только Mac фреймы).
Можно
фильтровать по определенным MAC/IP адресам, по портам,
по пакетам, содержащим
определенные символы. В общем неплохой
сниффак. Требует
50comupd.dll.

WinDUMP
Аналог TCPdump for Unix. Этот сниффак действует через
командную строку и представляет минимальные возможности по конфигурации и еще
требует библиотеку WinPcap. Мне не очень.

SniffitNT
Тоже требует WinPcap. Работа только как командной строкой,
так и в интерактивном режиме. Со
сложными опциями. Мне не очень.

ButtSniff
Обычный пакетный
сниффер созданный
известнейшей группой CDC(Cult of the Dead Cow). Фишка его в том,
что его можно использовать, как плагин к BO:)(Очень полезно:)).Работа из командной
строки.

Существуют еще множество снифферов,
таких как NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и т.д.
Пойдем
дальне.

Unix’овые снифферы

Все снифферы данного обзора можно найти на

packetstorm.securify.com.

linsniffer
Это простой сниффер для перехвата
логинов/паролей. Стандартная компиляция (gcc -o linsniffer
linsniffer.c).
Логи пишет в tcp.log.

linux_sniffer
Linux_sniffer
требуется тогда, когда вы хотите
детально изучить сеть. Стандартная
компиляция. Выдает всякую шнягу дополнительно,
типа isn, ack, syn, echo_request (ping) и т.д.

Sniffit
Sniffit — продвинутая модель
сниффера написанная Brecht Claerhout. Install(нужна
libcap):
#./configure
#make
Теперь запускаем
сниффер:
#./sniffit
usage: ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) recordfile]
[-l sniflen] [-L logparam] [-F snifdevice]
[-M plugin]
[-D tty] (-t | -s ) |
(-i|-I) | -c ]
Plugins Available:
0 — Dummy
Plugin
1 — DNS Plugin

Как видите, сниффит поддерживает множество
опций. Можно использовать сниффак в интерактивном режиме.
Сниффит хоть и
довольно полезная прога, но я ей не пользуюсь.
Почему? Потому что у Sniffit
большие проблемы с защитой. Для Sniffit’a уже вышли ремоутный рут и дос для
линукса и дебиана! Не каждый сниффер себе такое позволяет:).

HUNT
Это
мой любимый сниффак. Он очень прост в обращении,
поддерживает много прикольных
фишек и на данный момент не имеет проблем с безопасностью.
Плюс не особо
требователен к библиотекам (как например linsniffer и
Linux_sniffer). Он
может в реальном времени перехватывать текущие соединения и под
чистую дампить с удаленного терминала. В
общем, Hijack
rulezzz:). Рекомендую
всем для усиленного юзания:).
Install:
#make
Run:
#hunt -i [interface]

READSMB
Сниффер READSMB вырезан из LophtCrack и портирован под
Unix (как ни странно:)). Readsmb перехватывает SMB
пакеты.

TCPDUMP
tcpdump — довольно известный анализатор пакетов.
Написанный
еще более известным челом — Вэн Якобсоном, который придумал VJ-сжатие для
PPP и написал прогу traceroute (и кто знает что еще?).
Требует библиотеку
Libpcap.
Install:
#./configure
#make
Теперь запускаем
ее:
#tcpdump
tcpdump: listening on ppp0
Все твои коннекты выводит на
терминал. Вот пример вывода на пинг

ftp.technotronic.com:
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domain: 60946+ A?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domain > 195.170.212.151.1039: 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:09.996780 209.100.46.7 > 195.170.212.151: icmp: echo
reply
02:03:10.456864 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:10.906779 209.100.46.7 > 195.170.212.151: icmp: echo
reply
02:03:11.456846 195.170.212.151 > 209.100.46.7: icmp: echo
request
02:03:11.966786 209.100.46.7 > 195.170.212.151: icmp: echo
reply

В общем, снифф полезен для отладки сетей,
нахождения неисправностей и
т.д.

Dsniff
Dsniff требует libpcap, ibnet,
libnids и OpenSSH. Записывает только введенные команды, что очень удобно.
Вот пример лога коннекта
на unix-shells.com:

02/18/01
03:58:04 tcp my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
pwd
who
last
exit

Вот
dsniff перехватил логин с паролем (stalsen/asdqwe123).
Install:
#./configure
#make
#make
install

Защита от снифферов

Самый верный способ защиты от
снифферов —
использовать ШИФРОВАНИЕ (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL и т.д.). Ну
а если не охота отказываться от plain text служб и установления дополнительных
пакетов:)? Тогда пора юзать антиснифферские пекеты.

AntiSniff for Windows
Этот продукт выпустила известная группа
Lopht. Это был первый продукт в своем роде.
AntiSniff, как сказано в
описании:
«AntiSniff is a Graphical User Interface (GUI) driven tool for
detecting promiscuous Network Interface Cards (NICs) on your local network
segment». В общем, ловит карты в promisc режиме.
Поддерживает огромное
количество тестов (DNS test, ARP test, Ping Test, ICMP Time Delta
Test, Echo Test, PingDrop test). Можно сканить как одну машину,
так и сетку. Здесь имеется
поддержка логов. AntiSniff работает на win95/98/NT/2000,
хотя рекомендуемая
платформа NT. Но царствование его было недолгим и уже в скором
времени появился сниффер под названием AntiAntiSniffer:),
написанный Майком
Перри (Mike Perry) (найти его можно по адресу www.void.ru/news/9908/snoof.txt).Он
основан на LinSniffer (рассмотренный далее).

Unix sniffer detect:
Сниффер
можно обнаружить командой:

#ifconfig -a
lo Link encap:Local
Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP
LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:2373 errors:0
dropped:0 overruns:0 frame:0
TX packets:2373 errors:0 dropped:0
overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link
encap:Point-to-Point Protocol
inet addr:195.170.y.x
P-t-P:195.170.y.x Mask:255.255.255.255
UP POINTOPOINT PROMISC
RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:3281
errors:74 dropped:0 overruns:0 frame:74
TX packets:3398 errors:0
dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

Как
видите интерфейс ppp0 стоит в PROMISC mode. Либо оператор
загрузил снифф для
проверки сети, либо вас уже имеют. Но помните,
что ifconfig можно спокойно
подменить, поэтому юзайте tripwire для обнаружения
изменений и всяческие проги
для проверки на сниффы.

AntiSniff for Unix.
Работает на
BSD, Solaris и
Linux. Поддерживает ping/icmp time test, arp test, echo test, dns
test, etherping test, в общем аналог AntiSniff’а для Win, только для
Unix:).
Install:
#make linux-all

Sentinel
Тоже полезная прога для
отлова снифферов. Поддерживает множество тестов.
Проста в
использовании.
Install : #make
#./sentinel
./sentinel [method] [-t
] [options]
Methods:
[ -a ARP test ]
[ -d DNS test
]
[ -i ICMP Ping Latency test ]
[ -e ICMP Etherping test
]
Options:
[ -f ]
[ -v Show version and
exit ]
[ -n ]
[ -I
]

Опции настолько просты, что no
comments.

#132 Сниффинг сети на коммутаторах 5

(). Вступление.

Вообще говоря, у меня были некоторые сомнения в том, что информация о сниффинге (sniffing) должна быть опубликована. Однако, для провайдеров это относительно небольшой вред. Ведь никто не обещал защищать трафик клиента на просторах Интеренет, где он доступен каждому любопытному админу (другое дело, что никому это обычно не интересно).

У серьезных мультисервисных сетей есть ответ сниффингу — тегированные VLANы. Физически не ломается со стороны Ethernet. В то же время, к бичу домашних сетей, воровству трафика, просмотр чужих пакетов имеет достаточно отдаленное отношение (хотя заметное неудобство доставляет). Да и частная защита для оборудования провайдера есть сравнительно надежная — фиксация ARP-таблицы.

Но пользователь выглядит совсем беззащитным. Понятно, что задача оператора связи — дать абоненту нужную услугу, и постараться повысить при этом свой доход. А поэтому — стоит ознакомиться с арсеналом средств сниффинга. Хотя бы для понимания серьезности проблемы.

Читать еще:  Смартфон класс защиты ip68

В общем, надеюсь что статья-перевод Rafter’а окажется полезен и провайдерам, и пользователям. А кому про сниффинг знать не желательно, увы, давно все знают.

Сниффинг сети на коммутаторах.

Введение.

Для большинства организаций угроза сниффинга является в значительной степени внутренней угрозой. Хакеру из Интернет, например, нелегко использовать снифферы для прослушивания трафика локальной сети. Но это не должно вас успокаивать.

В последнее время наметилась тенденция обновления сетевой инфраструктуры, при которой хабы (концентраторы) заменяются на свитчи (коммутаторы). При этом часто приводится довод, что локальная сеть на коммутаторах будет обладать и повышенной безопасностью. Однако, как мы увидим ниже, уязвимы и такие сети. Сниффинг в локальных сетях, построенных на коммутаторах, возможен! Любой, имея ноутбук и соответствующее программное обеспечение, может, подключившись к свободному порту коммутатора, перехватывать пакеты передаваемые от одного компьютера к другому.

Утилиты для сниффинга появились с первых дней появления самих локальных сетей и предназначались для облегчения сетевого администрирования. Однако в соответствующих руках эти утилиты — снифферы — стали мощным инструментом хакеров, позволяющие перехватывать пароли и другую информацию, передаваемую по локальной сети.

Традиционно снифферы считаются довольно сложными утилитами, требующими определенного умения для работы с ними, зачастую еще и с непростыми руководствами. Все это изменилось в последние несколько лет, когда появились и стали широко применяться легкие в использовании специализированные снифферы паролей. Многие из этих утилит нового поколения свободно доступны в Интернет. Имея встроенную базу данных, позволяющую понимать многие сетевые протоколы, снифферы фильтруют сетевой трафик на лету, выделяя только требуемую информацию (такую как связку usernames — passwords).

Сниффинг в локальной сети без коммутаторов — хорошо проработанная технология. Большое количество коммерческих и некоммерческих утилит делает возможным прослушивание сетевого трафика и извлечение необходимой информации. Идея заключается в том, что для прослушивания сетевого трафика, сетевая карта компьютера переводится в специальный режим «promisc mode». После этого весь сетевой трафик (несмотря на его предназначение), достигший сетевой карты, может быть доступен снифферу. Подробное объяснение того как работает сниффер можно найти здесь (Graham, Robert. «Sniffing (network wiretap, sniffer) FAQ». Version 0.3.3. 14 September 2000.

В локальной сети с коммутаторами для прослушивания сетевого трафика потребуется больше изобретательности, поскольку коммутатор направляет только тот трафик, который предназначен для конкретного компьютера (Tyson, Jeff. «How LAN Switches Work»). Однако, существует ряд технологий, которые позволяют преодолеть это ограничение.

Сниффинг в локальной сети без коммутаторов.

В ЛВС без коммутаторов последнее поколение снифферов является высокоэффективным средством для получения паролей и другой необходимой информации из сети. Большинство обычно используемых протоколов либо передают данные явным образом (так называемый plaintext, который может быть легко перехвачен), либо не используют достаточно стойкую криптографию для предотвращения перехвата и расшифровки. Примерами протоколов, передающих данные явным образом, являются SMTP, POP3, SNMP, FTP, TELNET и HTTP. Также, и хорошо известный Microsoft’s LM (LAN Manager) криптопротокол, используемый для аутентификации Windows клиентов — беззащитен от перехвата и расшифровки. Microsoft пыталась преодолеть уязвимость в протоколае LM, введением протокола NTLM (v1 и v2). NTLM улучшился, но все еще незащищен от сниффинга и крэкинга. (Seki, Hidenobu. «Cracking NTLMv2 Authenication»).

Утилиты для сниффинга в локальной сети без коммутаторов.

Поиск в Интернет дает большое количество свободно доступных снифферов. Имеет смысл рассмотреть хотя бы две утилиты dsniff и ScoopLM, которые особенно хороши для перехвата паролей.

Dsniff

Для протоколов, осуществляющих передачу явным образом, для перехвата username, password и другой информации очень полезна утилита dsniff (Song, Dug. «dsniff»). Она доступна для различных клонов Unix, а также портирована (правда, более ранняя версия) для Windows (Davis, Michael. «dsniff»).

В дополнение к возможности перехвата информации, передаваемой с использованием протоколов, передающих информацию явным образом, dsniff исключительно хорош и как фильтр перехватываемого трафика. Он отображает на дисплее только интересующую информацию, например, usernames и passwords. Dsniff можно охарактеризовать как «Пароль на блюдечке с голубой каемочкой», поскольку эта утилита делает перехват необходимой информации тривиальным упражнением для начинающих. Пример работы утилиты (портированной под Windows) и собирающей необходимую информацию в небольшой сети изображен на рисунке:

ScoopLM

L0phtcrack — хорошо известная утилита, способная перехватывать имена пользователей и зашифрованные пароли Win’NT/2k из сети. К сожалению, это коммерческая утилита, доступная отсюда («L0phtcrack 4»). Однако существуют и другие, freeware программы, способные выполнять ту же работу и очень простые в использовании.

Великолепный пример — утилита ScoopLM (Seki, Hidenobu. «ScoopLM». January 2002), которая является freeware и может быть загружена из Интернет. ScoopLM может перехватывать имена пользователей и LM/NTLM зашифрованные пароли Win’NT/2k.

Ее собрат — BeatLM (Seki, Hidenobu. «ScoopLM». February 2002) может вскрывать зашифрованные пароли, которые собирает ScoopLM, как методом прямого перебора (brute-force), так и с использованием словарей. Вместе эти утилиты представляют значительную угрозу безопасности сети без коммутаторов с компьютерами под управлением Win. Рисунок отображает работу утилиты ScoopLM, перехватывающей имена пользователей и их зашифрованные пароли, которые затем могут быть сохранены в файл и загружены в BeatLM для расшифровки.

Приведенные выше примеры показывают, насколько легко раскрыть информацию, перехватывая трафик в сети без коммутаторов. Это стало одним из побудительных мотивов для модернизации сетей и замены хабов на коммутаторы. Существует и много других доводов в пользу этого — как, например, увеличение производительности модернизированной сети. Но стоит помнить, что решить проблему сниффинга не удастся. Следующий раздел покажет почему.

Сниффинг в локальной сети с коммутаторами.

Казалось бы, что замена хабов на коммутаторы в локальной сети должна в значительной степени смягчить угрозу сниффинга. Ведь коммутатор направляет сетевой трафик только тому компьютеру сети, которому он предназначен, и если компьютер «A» обменивается пакетами с компьютером «B», то компьютер «С» по идее, не способен перехватывать этот трафик.

Коммутатор гарантирует, что этот трафик не попадает на порты, для которых не предназначен. Передача пойдет только на те порты, к которым подключены компьютеры «A» и «B». Однако существует ряд технологий, разрушающие приведенную выше идеальную схему, позволяя компьютеру «С» перехватывать сетевой трафик между компьютерами «A» и «B».

Как осуществить сниффинг в сети с коммутаторами.

Cуществует ряд технологий, которые делают возможным сниффинг в сетях с коммутаторами и которые включают такие элементы, как ARP spoofing, MAC flooding и MAC duplicating (Whalen, Sean. «An Introduction to ARP Spoofing». Revision 1. April 2001). Все утилиты, приводимые в статье, используют технологию ARP spoofing.

ARP spoofing — относительно новая технология, классическая атака «man-in-the-middle» (Cohen, Fred. «The All.Net Security Database». May 1999). Для понимания ее сути рассмотрим следующий пример. Возьмем предыдущую схему с тремя компьютерами, подключенными к коммутатору, в которой компьютер «С» собирается перехватывать сетевой трафик между компьютерами «A» и «B». Для этого «С» представляется «A» как «B». Затем, когда «A» посылает трафик для «B» он перехватывается «C». «С» пересылает полученную информацию «B» представляясь как «А». «С» также выполняет подобную роль при передаче трафика от «B» к «А».

Сначала, однако, нам необходимо понять, как происходит нормальный обмен между компьютерами «А» и «В». Для этого компьютеру «А» необходим МАС адрес компьютера «В». Для его получения, компьютер «А» проверяет в своем ARP кэше, имеется ли там уже МАС адрес компьютера «В». Если да, то используется МАС адрес, полученный из ARP кэша. Если нет, то компьютер «А» посылает широковещательный (broadcast) ARP запрос.

Компьютер «В» отвечает, посылая свой MAC (и IP) адреса. IP адрес компьютера «В» и соответствующий ему МАС адрес сохраняются в ARP кэше компьютера «А» для дальнейшего использования. Теперь можно начинать посылать пакеты с данными для компьютера «В». Аналогичные процессы происходят и на компьютере «В», собирающегося обмениваться пакетами с компьютером «А». Предположим, что компьютеры «А» и «В» установили МАС адреса друг друга и обмениваются пакетами через коммутатор. Как компьютер «С» может перехватить этот трафик? Именно здесь приходит на помощь ARР spoofing.

Первым шагом будет представление компьютера «С» под видом компьютера «В» компьютеру «А». Если это будет достигнуто, сетевой трафик, предназначенный для «В» изменит маршрут и попадет к компьютеру «С». Таким же образом, необходимо все проделать и по отношению к компьютеру «В».

Как всего этого достигнуть? Ответ прост — компьютер «С» должен как бы «отравить», переписать АRP кэш как на компьютере «А», так и на компьютере «В». ARP — это протокол, не требующий аутентификации, так что ARP просто повторяет посылку пакетов каждому хосту сети для обновления его кэша (Montoro, Massimiliano. «Introduction to ARP Poison Routing (APR)») Revision 1.0..

Так, компьютер «С», посылая ложный ARP пакет для компьютера «А», как бы инструктирует компьютер «А» посылать пакеты, предназначенные для компьютера «В», на компьютер «С». Ложный ARP пакет для компьютера «А» приводит к принудительному обновлению его ARP кэша. В обновленном ARP кэше IP адрес компьютера «В» будет соотнесен с МАС адресом компьютера «С». Это означает, что весь трафик, предназначенный компьютеру «В» попадет сначала на компьютер «С». Следующая таблица показывает, что случилось с ARP кэшем компьютера «А»:

ARP кэш «А» до посылки ложного ARP пакета с «С»

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector