Конспект

Конспект

Что такое прослушивание сетевого трафика?

· Sniffing – прослушивание сетевого трафика (пассивное).

· В классических операциях анализатор сетевого трафика присоединяется на стороне сетевой шины.

· В новых операциях анализаторы устанавливаются на машине или шлюзе для перехвата трафика.

Что прослушивать?

· В большинстве случаев целью анализаторов сетевого трафика является информация аутентификации в открытом виде, например имена пользователей и пароли в следующих протоколах Telnet, FTP и HTTP.

· Вторыми наиболее частыми целями являются сообщения электронной почты, входные данные HTTP или Telnet-сессии.

Популярное программное обеспечение для прослушивания сетевого трафика

· Существует много коммерческих и бесплатных программ для прослушивания сетевого трафика, которые предназначены для сетевой диагностики, например Ethereal, Network Associate's Sniffer Pro, NetMon, WildPackets' AiroPeek и tcpdump. Эти продукты не имеют хакерских возможностей, таких как захват паролей.

· Примерами инструментов хакеров являются: dsniff, Ettercap, Esniff и Sniffit. Вместо того чтобы прослушивать весь трафик, эти инструменты нацелены на пароли и данные в открытом виде.

Усовершенствованные методы прослушивания сетевого трафика

· Прослушивать сети сегодня стало намного сложнее, чем в прошлом, главным образом благодаря использованию коммутаторов. Старые сети повторяли данные на все узлы, позволяя всем в сети видеть весь трафик. Коммутаторы не дают другим видеть ваш трафик.

· Коммутаторы могут быть атакованы многими способами, такими как flooding, MAC-адресами для форсирования состояния отказа, ARP spoofing или spoofing пакетов маршрутизации. Эти методы сбивают с толку оборудование и транслируют сетевой трафик на хост с анализатором.

· Некоторые пакеты программ для прослушивания сетевого трафика позволяют нарушителю посредничать как часть атаки «человек посередине». Как пример – выдавать себя за HTTPS-сервер; жертва шифрует трафик ключом нарушителя, полагая, что это ключ доверенного сервера. Это позволяет нарушителю просматривать данные до шифрования настоящим ключом сервера.

Исследование программных интерфейсов приложений операционных систем

· Прослушивание сетевого трафика не является штатным режимом операционной системы. Необходимо использование специальных программных интерфейсов приложений.

· Программный интерфейс приложения libpcaр широко поддерживается среди UNIX/Windows-платформ, существуют более специализированные APIs для специфических платформ.

Защитные меры

· Наиболее существенной защитой от анализаторов сетевого трафика является шифрование. Большинство протоколов поддерживают шифрование мандатов аутентификации (имя пользователя, пароль) и данных. SSL и SSH – два наиболее важных стандарта шифрования.

· Шифрование не работает при неправильном использовании. Пользователи должны выбирать сильные пароли и быть бдительны к атакам MITM.

· Замена общих концентраторов на коммутаторы сделает прослушивание сетевого трафика намного сложнее, но не стоит надеяться, что сделает его невозможным.

Применение методов обнаружения

· Наиболее важной мерой является контроль хостов на предмет наличия интерфейсов в «безразличном» режиме. Это показывает не только то, что анализатор трафика запущен, но и то, что хост был скомпрометирован хакером.

· Удаленное обнаружение анализаторов сетевого трафика не надежно. Удаленное обнаружение полагается на поведение хоста определенным образом, например медленная работа с запущенным анализатором трафика, или анализатор, который переводит IP в имена. Только анализаторы сетевого трафика ведут себя подобным образом.

Данный текст является ознакомительным фрагментом.