Коллектив авторов - Защита от хакеров корпоративных сетей

Вопрос: Где можно найти дополнительные материалы о поиске и использовании уязвимости форматирующей строки? Ответ: По этой теме известно много материалов. Официальный документ, подготовленный Тимом Невшамом (Tim Newsham) и изданный Gaurdent, можно найти на сайте www.guardent.com. Также рекомендуется просмотреть материалы TESO (www.team-teso.net/articles/formatstring) и HERT (www.hert.org/papers/format.html).

Глава 10 Прослушивание сетевого графика

В этой главе обсуждаются следующие темы:

• Что такое прослушивание сетевого графика?

• Что прослушивать?

• Популярное программное обеспечение для прослушивания сетевого трафика

• Усовершенствованные методы прослушивания сетевого трафика

• Исследование программных интерфейсов приложений операционных систем

• Защитные меры

• Применение методов обнаружения

· Резюме

· Конспект

· Часто задаваемые вопросы

Введение

Sniff

гл. sniffed, sniffing, sniffs.

1. а) Вдыхать через нос; б) сопеть; фыркать.

2. Нюхать; обнюхивать, принюхиваться.

Sniffed at the jar to see what it held – принюхаться к банке, для того чтобы узнать, что в ней.

3. Презрительно, пренебрежительно относиться к чему-либо.

The critics sniffed at the adaptation of the novel to film. – Критики презрительно отнеслись к адаптации романа к фильму.

4. Неформ. – процесс подслушивания, подглядывания или выведывания, шпионажа.

Подглядывать, подсматривать, любопытствовать, вмешивать, совать нос в чужие дела, выведывать, выпытывать.

The reporters came sniffing around for more details. – Журналисты сновали вокруг, выведывая подробности.

Как видно из приведенного выше определения, слово sniffing имеет несколько значений. Несмотря на то что мы полагаем, что хакеры производят раздражающие фыркающие звуки, принюхиваются к банкам, для того чтобы узнать их содержимое, и в особенности пренебрежительно относятся к нарушению закона, мы в самом деле заинтересованы в последнем значении: процесс подслушивания, подглядывания или выведывания, шпионажа.

Что такое прослушивание сетевого трафика?

Прослушивание сетевого трафика является методом, с помощью которого нарушитель может скомпрометировать безопасность сети в пассивном режиме. Анализатор трафика (sniffer) – программа, которая пассивно наблюдает компьютерную сеть на предмет ключевой информации, интересующей нарушителя. В большинстве случаев эта информация является информацией аутентификации, например имена пользователей и пароли, которые могут быть использованы для получения доступа к системе или ресурсу. Анализаторы трафика включены в состав большинства инструментариев для получения прав администратора / суперпользователя (rootkits). Если ваша UNIX-система подверглась взлому, скорее всего анализатор трафика на ней уже запущен.

Как это работает?

Существуют два метода прослушивания сетевого трафика: метод «старой школы» и метод «новой школы». В старые времена компьютеры соединялись посредством общей среды. Все они совместно использовали один и тот же локальный провод, и сетевой трафик был виден всем всеми компьютерами. Сетевые карты фильтровали трафик таким образом, что присоединенные компьютеры видели только свой трафик, а не чей-либо еще. Это не являлось функциональностью безопасности, а было разработано во избежание перегрузки машины. Программное обеспечение прослушивания сетевого трафика блокирует этот фильтр, переводя карту в так называемый «безразличный режим» («promiscuous mode»). Программное обеспечение специально настроено так, чтобы работать с большим потоком трафика и далее либо анализировать, либо захватывать его.

В настоящие дни все больше и больше компьютеров соединены с помощью коммутаторов. Вместо того чтобы распространять сетевой трафик по всей сети, коммутаторы фильтруют трафик на концентраторе. Это не дает компьютеру видеть чей-либо еще трафик даже в случае перевода адаптера в «безразличный режим». Нарушители должны либо активно атаковать коммутатор / маршрутизатор, для того чтобы перенаправить поток трафика (который мы опишем позже), либо довольствоваться наблюдением трафика, проходящего через уже скомпрометированный ими компьютер.

Когда сетевой трафик входит в компьютер, он сначала обрабатывается Ethernet-драйвером. Драйвер далее передает трафик стеку протоколов TCP/IP (Transmission Control Protocol / Internet Protocol), который в свою очередь передает его приложениям. Программное обеспечение прослушивания сетевого трафика соединяется напрямую с Ethernet-драйвером и создает его копию. Для реализации этого UNIX предоставляет более открытый набор интерфейсов, несмотря на то что Windows-системы также предоставляют несколько инструментов. Таким образом, анализаторы трафика обычно являются частью UNIX-инструментариев для получения прав администратора / суперпользователя и редко частью Windows-инструментариев для получения прав администратора / суперпользователя.

Что прослушивать?

Существует много интересной информации для поиска во время наблюдения сети. В самом очевидном случае может быть перехвачена информация аутентификации (имена пользователей и пароли) и далее использована для получения доступа к ресурсу. Другие виды информации, такие как электронная почта и моментальные сообщения, также могут перехватываться. Все, что проходит через сеть, открыто глазам наблюдающего.

Получение информации аутентификации

Следующие подразделы предоставляют примеры разнообразных типов сетевого трафика, являющихся привлекательными нарушителю, ведущему прослушивание вашей сети. Подразделы упорядочены по протоколу или сервису, которому соответствует трафик, и никоим образом не представляют всеобъемлющий список.

В примере трафика в следующем разделе полужирным шрифтом выделено то, что посылается клиентской программой, стандартным шрифтом выделено то, что посылается сервером. В большинстве случаев нас интересует только трафик, создаваемый клиентом, так как именно этот трафик содержит информацию аутентификации. Более продвинутые анализаторы трафика могут также обследовать результирующие коды сервера для отфильтровывания неудачных попыток аутентификации.

Следующие разделы предоставляют краткий обзор типов информации аутентификации, которые могут быть собраны с соответствующих протоколов. Эти примеры были упрощены, и в некоторых случаях текущая версия данных протоколов поддерживает более продвинутые механизмы аутентификации, которые смягчают показанные риски. В случае общих Интернет-протоколов существуют запросы на комментарии (RFC), которые могут конкретизировать спецификации.

Прослушивание Telnet (порт 23)

Telnet исторически был сервисом, который нарушители прослушивают при попытке получения информации для входа в систему. Telnet не предоставляет безопасность на уровне сессий, пересылка имени пользователя и пароля через сеть производится в открытом виде, как показано здесь:

[~] % telnet localhost

Trying 127.0.0.1...

Connected to localhost.

Escape character is “^]”.

Red Hat Linux release 6.1 (Cartman)

Kernel 2.2.12-20 on an i686

login: oliver

Password: welcome

[18:10:03][redhat61]

Прослушивание FTP (порт 21) Сервис протокола передачи файла (FTP) используется для передачи файла через сеть, также посылает свою информацию аутентификации в открытом виде. В отличие от Telnet, FTP может также использоваться для разрешения анонимного доступа к файлам, посредством чего пользователь использует имя пользователя «anonymous» или «ftp» и выдает случайный пароль. Информация протокола FTP обычно спрятана дружественным интерфейсом клиента, однако лежащий в основе аутентификации трафик имеет следующий вид:

[~] % telnet localhost 21

Trying 127.0.0.1...

Connected to localhost.

Escape character is “^]”.

220 localhost FTP server (Version wu-2.5.0(1) Tue Sep 21

16:48:12 EDT 1999) ready.

USER oliver

331 Password required for oliver.

PASS welcome

Прослушивание POP (порт 110) Сервис почтового протокола (POP) является сетевым сервисом, с помощью которого клиентские программы электронной почты соединяются для доступа к электронной почте пользователя на центральном сервере. POP сервера обычно находятся в сети поставщика услуг Интернет (ISP) для осуществления доставки сообщений электронной почты клиентам. POP-трафик часто не шифруется, и информация аутентификации посылается в открытом виде. Имя пользователя и пароль передаются на удаленный сервер посредством команд USER и PASS. Пример протокола:

[~] % telnet localhost 110

Trying 127.0.0.1...

Connected to localhost.

Escape character is “^]”.

+OK POP3 localhost v7.59 server ready

USER oliver

+OK User name accepted, password please

PASS welcome

Необходимо отметить, что существуют расширения протокола POP, которые предотвращают прохождение информации аутентификации по сети в открытом виде, в дополнение к шифрованию сессии. Прослушивание IMAP (порт 143) Сервис-протокол доступа к сообщениям в сети Интернет является альтернативным протоколом сервису POP и предоставляет ту же функциональность. Как и у POP-протокола, информация аутентификации во многих случаях отправляется через сеть в открытом виде. IMAP-аутентификация производится путем отправления строки, состоящей из выбранного пользователем токена, команды LOGIN, а также имени пользователя и пароля, как показано ниже: