| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Что такое Sniffer, и как он работает (информация из Sniffer FAQ ) В отличие от телефонной сети, компьютерные сети используют общие коммуникационные каналы. Совместное использование каналов подразумевает, что узел может получать информацию, которая предназначается не ему. 'Отлов' этой информации в сети и называется sniff'ингом. Наиболее популярный способ соединения компьютеров - сети ethernet. Методы применения sniff'инга Sniff'инг - один из наиболее популярных видов атаки, используемых хакерами. Наибольшую известность приобрел сниффер Существует множество ethernet sniff'еров, здесь лишь некоторые из них: sniffers для систем Unix SunOS : Esniff.c | Etherfind | Snoop (ftp://playground.sun.com/) cнифферы, доступные для многих Unix'ов
Packetman, Interman, Etherman, Loadman ( SunOS, Dec-Mips, SGI, Alpha, and Solaris). ftp.cs.curtin.edu.au:/pub/netman/[sun4c|dec-mips|sgi|alpha|solaris2]/ [etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z cнифферы под MS DOS
cнифферы под Windows
специфичные снифферы
Детали Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode ( смешанный режим ), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен. В открытом виде пароли передаются по сети в реализация протоколов TCP/IP: Telnet (23 port) Соответственно лог-файл сниффера выглядит следующим образом : [Starting sniffing .......] victim.net.ru => pop3.net.ru [110] USER victim PASS PaSsWorD STAT QUIT ----- [RST] 10.0.0.19 => 10.0.0.1 [23] % #’$ANSI!root r00t9xZx -----+ [Timed Out] Если наглядно показать администратору или пользователю, насколько просто перехватывать их brute-force-stable пароли, передаваемые через незащищенные сервисы и каналы связи, то это будет более эффективным, чем тысячу раз убеждать их в необходимости использования crypto- средств. Как опpеделить компьютер с pаботающим в сети сниффеpом Так как это пассивное устройство, в общем случае обнаружить его тяжело ( ничего в сеть не шлет, только слушает. ) Однако если впадать в конкретику, то если предполагаемый сниффер стоит под Linux, то это можно [bugtraq] в шелле наберите команды $ arp -s suspecthost 00:de:ad:c0:ff:ee $ ping suspecthost Если вы получите ответ , тогда это linux, находящийся в promiscuous режиме Не забудьте очистить ложный MAC address. $ arp -d suspecthost Проверка работы сетевого устройства в режиме promiscuous в локальном режиме Во многих Unix системах есть команда “ifconfig -a”, или аналогичная ( в которой необходимо указать конкретный интерфейс, узнаваемый командой “netstat -r” ) которая сообщает вам информацию обо всех сетевых интерфейсах, и о их состоянии. Информация выглядит следующим образом: Однако следует принять во внимание, что хакеры часто подменяют системные команды, например ifconfig, чтобы избежать обнаружения, поэтому следует проверить контрольную сумму файла либо заменить binary версию на заведомо надежную с дистрибутива. Для проверки интерфейсов на SunOS/BSD можно использовать утилиту cmp Для системы Ultrix обнаружение запущенного sniffer’a возможно с помощью команд pfstat ( кто может его запустить ) и pfconfig ( проверить интерфейс на promiscuous mode.) Методы предотвращения перехвата информации 1) Хороший, но недешевый выход - пользоваться активными интеллектуальными хабами.
6 ) Технологии одноразовых паролей SKEY. |
|
| ||||||||||||||||
|