Що таке Sniffer

lirik@nanko.ru

(Інформація з Sniffer FAQ )

На відміну від телефонної мережі, комп’ютерні мережі використовують загальні комунікаційні канали. Спільне використання каналів увазі, що вузол може отримувати інформацію, яка призначається не йому. ‘Вилов’ цієї інформації в мережі і називається sniff’інгом. Найбільш популярний спосіб з’єднання комп’ютерів – мережі ethernet.
       
Обмін даними за протоколом Ethernet увазі посилку пакетів всім абонентам мережі одного сегмента. Заголовок пакета містить адресу вузла-приймача. Передбачається, що тільки вузол з соотв етствующім адресою може прийняти пакет. Однак, якщо якась машина в мережі приймає всі проходять пакети, незалежно від їх заголовків, то говорять, що вона знаходиться в promiscuous mode (змішаному режимі). Так як у звичайній мережі інформація про паролі передається у вигляді простого тексту, але для хакера не складно перевести одну з машин підмережі в promiscuous режим (попередньо отримавши на неї права root’a) і, витягаючи і аналізуючи пакети, що проходять по мережі, отримати паролі до більшості комп’ютерів мережі.

Методи застосування sniff’інга

Sniff’інг – один з найбільш популярних видів атаки, що використовуються хакерами. Найбільшу популярність придбав сніффер Esniff.c – Дуже маленький, розроблений для роботи на SunOS, займався тим, що виловлював перші 300 байтів telnet, ftp і rlogin сесій.

Існує безліч ethernet sniff’еров, тут лише деякі з них:

sniffers для систем Unix

SunOS      : Esniff.c | Etherfind | Snoop (ftp://playground.sun.com/)
DEC Unix  : tcpdump
OSF Unix  : faq on BPF suppport
DEC Ultrix : tcpdump | faq on BPF suppport
Solaris      : tcpdump | Snoop ( ftp://playground.sun.com/ ) | solsniffer.c
FreeBSD   : ftp://gatekeeper.dec.com/pub/BSD/FreeBSD/FreeBSD-current/src/contrib/tcpdump/
NetBSD     : ftp://gatekeeper.dec.com/pub/BSD/NetBSD/NetBSD-current/src/usr.sbin/
Linux         : ftp://sunsite.unc.edu:/pub/Linux/system/Network/management/ | Linsniffer 0.03.9
SGI Irix     : nfswatch | Etherman | tcpdump
HP/UX      : nettl (monitor) | netfmt (display) | nfswatch

cніффери, доступні для багатьох Unix’ов

Новий sniffer Sniffit V.0.3.5 (Працює на системах IRIX, Linux, SunOS, BSD)
extended for network debugging (UDP, ICMP, netload, etc.) http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

Packetman, Interman, Etherman, Loadman ( SunOS, Dec-Mips, SGI, Alpha, and Solaris). ftp.cs.curtin.edu.au:/pub/netman/[sun4c|dec-mips|sgi|alpha|solaris2]/ [etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z
Packetman розроблений для перехоплення пакетів, а Interman, Etherman, і Loadman показують трафік різних типів.

cніффери під MS DOS

cніффери під Windows

специфічні сніффери

Деталі

Якщо сніффер запускається на машині, то він переводить мережевий інтерфейс в promiscuous mode (змішаний режим), при якому машина приймає всі пакети, що передаються по мережі. Також є можливість запустити sniffer в режимі non-promiscuous, але тоді буде можливість перехоплювати соедініенія тільки з тією машиною, на якій він запущений.

У відкритому вигляді паролі передаються по мережі в реалізація протоколів TCP / IP:

Telnet (23 port)
Pop3 (110 port)
Ftp (21 port)
Pop2 (109 port)
Imap2 (143 port)
Rlogin (513 port)
Poppasswd (106 port)
netbios (139 port)
icq (1024-2000 UDP)

Відповідно лог-файл сніфер виглядає наступним чином:

[Starting sniffing .......]
      victim.net.ru  => pop3.net.ru [110]
      USER  victim
      PASS  PaSsWorD
      STAT
      QUIT
      ----- [RST]
      10.0.0.19 => 10.0.0.1 [23]
      % #’$ANSI!root
      r00t9xZx
      -----+ [Timed Out]

Якщо наочно показати адміністратору або користувачу, наскільки просто перехоплювати їх brute-force-stable паролі, які передаються через незахищені сервіси та канали зв’язку, то це буде більш ефективним, ніж тисячу разів переконувати їх в необхідності використання crypto-засобів.

Як опpеделить комп’ютер з pаботала в мережі сніффеpом

Так як це пасивне пристрій, в загальному випадку виявити його важко (нічого в мережу не шле, тільки слухає.) Однак якщо впадати в конкретику, то якщо передбачуваний сніффер стоїть під Linux, то це можна виявити (Лінукс не зовсім коректно працює в promiscuous mode.)

[bugtraq]в Шелле наберіть команди
      $ arp -s suspecthost 00:de:ad:c0:ff:ee
      $ ping suspecthostЯкщо ви отримаєте відповідь, тодіце linux, що знаходиться вpromiscuous режиміНе забудьте очистити помилковий MAC address.
      $ arp -d suspecthost

Перевірка роботи мережевого пристрою в режимі promiscuous в локальному режимі

У багатьох Unix системах є команда “ifconfig -a”, Або аналогічна (в якій необхідно вказати конкретний інтерфейс, впізнаваний командою “netstat -r” ) Яка повідомляє вам інформацію про всі мережевих інтерфейсах, і про їх стан.

Інформація виглядає наступним чином:

#ifconfig le0
le0: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC,MULTICAST           
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

Однак слід взяти до уваги, що хакери часто підміняють системні команди, наприклад ifconfig, щоб уникнути виявлення, тому слід перевірити контрольну суму файлу або замінити binary версію на свідомо надійну з дистрибутива.

Для перевірки інтерфейсів на SunOS/BSD можна використовувати утиліту cmp

Для системи Ultrix виявлення запущеного sniffer’a можливо за допомогою команд pfstat (хто може його запустити) і pfconfig (перевірити інтерфейс на promiscuous mode.)

Методи запобігання перехоплення інформації

1) Хороший, але недешевий вихід – користуватися активними інтелектуальними хабами.
(Вони посилають кожній системі тільки ті пакети, які їй безпосередньо й призначені). Ефективні для Ethernet типу 10-Base T.

2) Метод, який не дозволить початківцям хакерам запустити sniffer: перекомп ядра систем Unix, які стоять в мережі, без підтримки BPF
(Packet Filter support).

3) Повна шифровка трафіку

4) Використання системи KERBEROS для створення захищеного з’єднання

5) Реалізації протоколу SSH для сеансів TCP з’єднань (представлений програмою F-secure-SSH на http://www.DataFellows.com )

6) Технології одноразових паролів SKEY.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*