Применение методов обнаружения

Применение методов обнаружения

Но что, если вы по каким-либо причинам не можете использовать шифрование в вашей сети? Что делать в такой ситуации? В данном случае вы должны полагаться на обнаружение любой сетевой интерфейсной платы (NIC), которая может функционировать в режиме, инициированном анализатором сетевого трафика.

Локальное обнаружение

Многие операционные системы предоставляют механизм для выявления сетевых интерфейсов, работающих в «безразличном» режиме (promiscuous mode). Данный механизм обычно представлен в виде флага состояния, который ассоциирован с каждым сетевым интерфейсом и содержится в ядре. Он может быть просмотрен использованием команды ifconfig в UNIX-системах.

Следующий пример показывает интерфейс в операционной системе Linux, не находящийся в «безразличном» режиме:

eth0 Link encap: Ethernet HWaddr 00:60:08:C5:93:6B

inet addr: 10.0.0.21 Bcast: 10.0.0.255 Mask: 255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets: 1492448 errors: 2779 dropped: 0 overruns: 2779

frame: 2779

TX packets: 1282868 errors: 0 dropped: 0 overruns: 0

carrier: 0

collisions: 10575 txqueuelen: 100

Interrupt: 10 Base address: 0x300

Необходимо отметить, что атрибуты интерфейса ничего не упоминают о «безразличном» режиме. Когда интерфейс переключается в «безразличный» режим, как показано далее, в разделе атрибутов появляется ключевое слово PROMISC:

eth0 Link encap: Ethernet HWaddr 00:60:08:C5:93:6B

inet addr: 10.0.0.21 Bcast: 10.0.0.255 Mask: 255.255.255.0

UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric:1

RX packets: 1492330 errors: 2779 dropped: 0 overruns: 2779

frame: 2779

TX packets: 1282769 errors: 0 dropped:0 overruns:0 carrier:0

collisions: 10575 txqueuelen: 100

Interrupt: 10 Base address: 0x300

Важно отметить, что если нарушитель скомпрометировал защиту хоста, на котором вы выполняете данную команду, он или она может с легкостью повлиять на результат выполнения этой команды. Важной частью инструментария нарушителя является замещение команды ifconfig таким образом, что она не сообщает об интерфейсах в «безразличном» режиме.

Сетевое обнаружение

Существует несколько методов, различных по их степени точности обнаружения хоста, подслушивающего весь сетевой трафик. Не существует метода, гарантирующего стопроцентное обнаружение присутствия анализаторов сетевого трафика.

Поиски DNS

Большинство программ, написанных для прослушивания сети, выполняют обратные поиски DNS во время вывода выходных данных, состоящих из исходного и конечного хостов, вовлеченных в сетевое соединение. В процессе выполнения данного поиска генерируется дополнительный сетевой трафик; в основном DNS-запросы для поиска сетевого адреса. Существует возможность наблюдать при помощи сети на наличие хостов, выполняющих большое количество поисков адресов; однако это может являться простым совпадением и не приведет к обнаружению хоста, осуществляющего прослушивание сетевого трафика.

Более простым способом, предоставляющим стопроцентную точность, является создание ложного сетевого соединения с адреса, который не находится в локальной сети. Затем мы сможем при помощи сети наблюдать на наличие DNS-запросов, пытающихся разрешить ложный адрес и тем самым, выдавая хост, осуществляющих прослушивание сетевого трафика.

Задержки

Второй метод для обнаружения хоста, прослушивающего сеть, заключается в отслеживании изменения задержек отклика хоста на сетевой трафик (например, ping). Несмотря на то что данный метод склонен к числу сбойных ситуаций (таких как, например, когда задержка хоста вызвана нормальной операцией), он может помочь в определении, прослушивает ли хост сетевой трафик или нет. В данном методе также можно первоначально зондировать и брать пробы времени отклика. Далее генерируется большое количество сетевого трафика, специально созданного для того, чтобы заинтересовать хост, который прослушивает сетевой трафик на наличие информации аутентификации. В заключение снова берутся пробы задержки хоста для определения, изменились ли они существенно.

Ошибки драйвера

Иногда ошибка драйвера операционной системы может помочь нам определить хосты, работающие в «безразличном» режиме. Аргентинская компания исследований безопасности CORE-SDI обнаружила ошибку в обыкновенном Linux Ethernet-драйвере. Они обнаружили, что когда хост работает в «безразличном» режиме, операционная система не может осуществить проверку Ethernet-адреса, для того чтобы убедиться, что пакет был направлен на один из его интерфейсов. Вместо этого данная проверка была произведена на уровне IP, и пакет был принят, так как если бы он был направлен на один из интерфейсов хоста. Обычно пакеты, не соответствующие Ethernet-адресу хоста, отбрасываются на аппаратном уровне; однако в «безразличном» режиме этого не происходит. Мы можем определить, находится ли хост в «безразличном» режиме, посылая ICMP ping-пакет хосту с правильным IP-адресом хоста, но неправильным Ethernet-адресом. Если хост ответил на этот ping-запрос, то он определенно работает в «безразличном» режиме.

AntiSniff

AntiSniff является инструментом, написанным бостонской группой хакеров, известных как LOpht. Они объединили несколько методов, описанных выше, в инструмент, который эффективно выявляет хост, работающий в «безразличном» режиме (promiscuous mode). Пятнадцатидневная пробная версия данного инструмента (для Windows-систем) может быть получена на их Web-сайте, расположенном на at www.securitysoftwaretech.com/antisniff.

UNIX-версия доступна для бесплатного некоммерческого использования. Ознакомьтесь с лицензией для определения ограничений на использование этой версии.

Необходимо помнить, что AntiSniff находит некоторые анализаторы сетевого трафика, а не все. Некоторые анализаторы являются полностью «невидимыми», в то время как другие были пропатчены для противодействия AntiSniff'у.

Сетевые мониторы Сетевые мониторы, доступные на Windows NT-системах, имеют способность наблюдать, кто активно запускает NetMon в вашей сети. Они также сохраняют историю, кто имеет NetMon, установленный в системе. Они выявляют другие копии Network Monitor, таким образом, если нарушитель использует другой анализатор сетевого трафика, вы должны обнаружить его, используя один из методов, описанных выше. Большинство систем обнаружения вторжений сетевого уровня также выявляют эти экземпляры NetMon.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Настройка сетевого обнаружения

Из книги автора

Настройка сетевого обнаружения Хотя подсоединение к сети уже настроено, вы все равно не сможете видеть компьютеры в сети. Чтобы это стало возможным, необходимо дополнительно настроить сетевое окружение.Нужно вернуться к диалоговому окну управления сетями и общим


8.9. Система обнаружения и защиты от вторжения

Из книги автора

8.9. Система обнаружения и защиты от вторжения 8.9.1. Что такое LIDS? LIDS (Linux Intrusion Detection System) — система обнаружения вторжения. Данная система представляет собой патч к ядру, который позволяет обнаружить и защитить вашу систему от вторжения.Система LIDS была создана китайским и


Создание методов

Из книги автора

Создание методов Методы представляют собой обычные процедуры типов Sub и Function, которым выпало разместиться в модуле класса. Конечно, в большинстве случаев метод должен делать нечто, напрямую связанное с самим объектом, преобразуя данные, хранимые объектом. Но, при желании,


Перегрузка методов

Из книги автора

Перегрузка методов Подобно другим объектно-ориентированным языкам, язык C# позволяет типу перегружать его методы. Говоря простыми словами, когда класс имеет несколько членов с одинаковыми именами, отличающихся только числом (или типом) параметров, соответствующий член


Отображение методов

Из книги автора

Отображение методов Мы модифицируем класс Program, чтобы определить ряд статических методов, каждый из которых будет иметь один параметр System.Type и возвращать void. Начнем с метода ListMethods(), который (как вы можете догадаться сами) печатает имена всех методов, определенных


Необходимость автоматических методов

Из книги автора

Необходимость автоматических методов Хорошая ОО-среда должна предлагать механизм автоматического управления памятью, который обнаруживал бы и утилизировал недостижимые объекты, позволяя разработчикам приложений концентрироваться на своей работе - разработке


Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК)

Из книги автора

Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК) Современная концепция создания компьютерных систем предполагает использование программных средств различного назначения в едином комплексе. К примеру, типовая система


Настройка сетевого обнаружения

Из книги автора

Настройка сетевого обнаружения Подсоединение к сети настроено, однако вы не можете видеть компьютеры в сети без дополнительной настройки сетевого окружения.Для этого вернитесь к окну управления сетями и общим доступом (см. рис. 14.7) и нажмите кнопку со стрелкой напротив


Закон 6. От любой системы обнаружения атак можно уклониться

Из книги автора

Закон 6. От любой системы обнаружения атак можно уклониться Во время написания книги уже существовали сотни производителей программно-аппаратных средств обнаружения вторжения (IDS – intrusion detection system), объединенных с межсетевыми экранами и средствами защиты от вирусов или


Глава 16 Уклонения от системы обнаружения вторжения

Из книги автора

Глава 16 Уклонения от системы обнаружения вторжения В этой главе обсуждаются следующие темы: • Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений • Уклонение на уровне пакетов • Уклонение на уровне приложений • Уклонение при помощи морфизма


Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

Из книги автора

Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую


Использовать программы обнаружения взлома

Из книги автора

Использовать программы обнаружения взлома Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение


Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий

Из книги автора

Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий Опубликовано 29 апреля 2013 Вот в чем — в чем, а в празднолюбии копирастическое лобби обвинять не приходится: трудятся ребята не


Дитя трёх родителей: в Британии санкционировано применение методов коррекции наследственного кода Михаил Ваннах

Из книги автора

Дитя трёх родителей: в Британии санкционировано применение методов коррекции наследственного кода Михаил Ваннах Опубликовано 30 июня 2013 Что интересует нас больше всего? Да мы сами. Персонально. Наши близкие. Наши земляки и соотечественники. Род