Усовершенствованные методы прослушивания сетевого трафика

Усовершенствованные методы прослушивания сетевого трафика

По мере развития технологии хакеры вынуждены создавать новые методы прослушивания сетевого трафика. Следующий раздел посвящен нескольким методам, используемым нарушителями в целях перехитрить технологические достижения.

Атаки «человек посередине» (MITM)

Как мы отметили выше, наиболее эффективной защитой от прослушивания является использование протоколов с шифрованием данных, таких как SSL и SSH. Однако последние пакеты dsniff и Ettercap содержат методы обмана шифрования.

Базовый метод известен как атака «человек посередине» (MITM). Хорошим примером этого является фильм про Джеймса Бонда «Из России с любовью». Бонд должен встретиться с другим агентом на пироне поезда. Злой агент из SPECTRE первым встречается с агентом, прикидываясь Бондом. Таким способом злой агент узнает правильное кодовое слово. Злой агент далее выдает себя за агента, с которым у Бонда была назначена встреча.

Тот же метод может быть использован для протоколов с шифрованием. Нарушитель устанавливает сервер, который отвечает на запросы клиентов. Например, сервер отвечает на запрос https://www.amazon.com. Пользователь, соединяющийся с данной машиной, будет ложно считать, что он создал шифрованное соединение с Amazon.com. В то же время нарушитель соединяется с настоящим Amazon.com и выдает себя за пользователя. Нарушитель играет двойную роль, расшифровывает полученные от пользователя данные и далее шифрует их для передачи настоящему месту назначения. В теории протоколы с шифрованием защищены от этого. Сервер, выдающий себя за Amazon.com, должен доказать, что это так и есть на самом деле. На практике большинство пользователей игнорируют это. Атаки MITM доказали свою эффективность в данной области.

Взлом паролей

Инструменты, такие как dsniff и Ettercap, перехватывают не только пароли, но также и зашифрованные пароли. В теории перехват зашифрованных паролей бесполезен. Однако люди выбирают слабые пароли, такие как слова из словаря. Нарушителю требуется всего несколько секунд перебрать словарь из 100 000 слов, сравнивая зашифрованную форму слова из словаря с зашифрованным паролем. Если совпадение найдено, нарушитель подобрал пароль. Данные программы для взлома паролей уже существуют. Инструменты, такие как dsniff and Ettercap, легко выдают зашифрованные пароли в виде, читаемом этими программами.

Обман коммутаторов

Коммутаторы вошли в моду несколько лет назад, и много людей считают, что если у них есть сеть с коммутатором, то это делает невозможным для нарушителя использовать анализатор трафика для перехвата информации из нее. Пришло время развеять данное заблуждение, как вы убедитесь в этом, когда мы рассмотрим методы прослушивания сетевого трафика в коммутируемых сетях.

ARP Spoofing

В процессе попытки прослушивания сетевого трафика в коммутируемых сетях вы столкнетесь с серьезной проблемой: коммутатор ограничит трафик, проходящий в вашем сегменте сети. Коммутатор содержит внутренний список MAC-адресов хостов, находящихся на каждом порту. Трафик посылается на порт только в том случае, если хост назначения прописан и присутствует на этом порте. Существует возможность перезаписать ARP-кэш на многих операционных системах, что позволит вам ассоциировать свой MAC-адрес с IP-адресом шлюза по умолчанию. Это приведет к тому, что весь исходящий трафик от хоста будет передаваться вам. Вам понадобится убедиться, что вы вручную добавили запись в таблицу ARP для настоящего шлюза, для того чтобы трафик передавался ему, и также убедиться, что IP-ретрансляция включена.

Также было обнаружено, что сети на кабельных модемах тоже уязвимы для данного типа атаки, поскольку они по существу являются сетями Ethernet, в которых модемы играют роль мостов. В двух словах: на данный момент не существует решения для защиты от данного вида атак, и новые сети на кабельных модемах будут использовать альтернативные механизмы подключения пользователей к сети.

Анализатор трафика dsniff для данной атаки включает в себя программу arpspoof (некогда arpredirect).

arpspoof переадресовывает пакеты от хоста (или всех хостов) в локальной сети, предназначенные для другого хоста в локальной сети поддельными ARP-ответами. Это является чрезвычайно эффективным способом прослушивания сетевого трафика на коммутаторе. – dsniff FAQ

MAC Flooding

Для выполнения своих задач коммутатор хранит таблицу всех MAC(Ethernet-адресов хостов на каждом порту. Если большое количество адресов фигурирует на одном порте, заполнение таблицы адресов на коммутаторе приводит к тому, что коммутатор уже не имеет записи, к какому порту соединяется MAC-адрес жертвы. Та же ситуация имеет место, когда новая машина впервые соединяется к коммутатору, и он должен узнать, где адрес расположен. Во время этого коммутатор должен посылать копии кадров для этого MAC-адреса всем портам, на практике это известно как flooding.

Анализатор сетевого трафика dsniff включает в себя программу macof, которая облегчает волновое распространение пакетов (flooding) для коммутатора случайными MAC-адресами:

macof наполняет локальную сеть случайными MAC-адресами (вызывая тем самым падение коммутатора в открытый режим ретрансляции, облегчающий прослушивание сетевого трафика). Прямая Сипортация оригинального Perl Net::RawIP, программа macof написана Яном Витеком (Ian Vitek) <ian.vitek@infosec.se>. – dsniff FAQ

Игры маршрутизации