Резюме

Резюме

В этой главе были рассмотрены вопросы перехвата сессии и приведены примеры перехвата TCP, UDP и некоторых других сессий. Было детально рассмотрено, что происходит на уровне пакета, когда злоумышленник перехватывает TCP-соединение. В основном сопутствующие перехвату TCP-соединений проблемы заключаются в перегрузке сети ARP-пакетами (ARP storm), отображении команд на мониторе машины-жертвы, а также в трудностях повторной синхронизации истинного клиента и сервера.

Было рассмотрено использование четырех инструментальных средств перехвата сессии: Juggernaut, Hunt, dsniff и Ettercap. Первое из них, программа Juggernaut, появилось раньше других и может осуществлять несложный анализ трафика соединения, его перехват и сброс. Второе, программа Hunt, помимо этих действий, может также перехватывать пересылаемые по протоколу ARP данные и ретранслировать пакеты для оказания помощи при устранении перегрузки сети уведомлениями ACK. Два последних, программа Ettercap и инструментальное средство dsniff, выполняют те же действия, но они также полезны при перехвате сессий с использованием протоколов с шифрованием передаваемых с их помощью данных. Каждое из перечисленных инструментальных средств свободно распространяется и может быть выполнено на платформе Linux.

Можно выделить два основных подхода к защите от перехвата соединения: предупреждение и обнаружение. Защита от перехвата соединений прежде всего основана на шифровании данных. Следует отметить, что в основном шифрование применимо к сетевому трафику. Но даже при использовании протоколов шифрования, передаваемых по сети данных, злоумышленник сможет успешно перехватить данные жертвы. Как было показано в главе, не все формы шифрования являются гарантией защиты. При наличии протоколов шифрования есть два ключевых момента предупреждения перехвата сессии. Первый из них – образованность и осведомленность пользователей. Второй – использование поточных протоколов шифрования типа IPSec. Второй подход к защите от перехвата – обнаружение факта перехвата. Следствием большинства технологий перехвата является необычный трафик или поведение, например сброс соединения, зависание, перегрузка сети уведомлениями ACK или странный мусор на экране. Вполне возможно создать программные средства, которые и были созданы, отслеживающие, по крайней мере, некоторые характерные признаки атак этого типа.

Данный текст является ознакомительным фрагментом.