Коллектив авторов - Защита от хакеров корпоративных сетей

Перехват другого сетевого трафика

Несмотря на то что порты, рассмотренные нами, в большинстве случаев прослушиваются вследствие того, что информация аутентификации проходит в открытом виде, они не являются единственными портами, интересующими нарушителя. Анализатор трафика может быть использован для перехвата трафика на других портах, что показано в данном разделе.

Прослушивание SMTP (порт 25)

Простой протокол электронной почты (SMTP) используется для передачи сообщений электронной почты по сети Интернет и внутри многих организаций. Электронная почта была и всегда будет привлекательной целью для нарушителя. Целью нарушителя может являться наблюдение за администратором сети для определения, обнаружен ли он, или намного более злонамеренные действия. Нетрудно догадаться, что в сегодняшней конкурентной бизнес-среде целью может быть прослушивание сети на наличие внутренней информации компании, такой как информация о дате слияния, приобретения, а также партнерской информации. Вся это информация может быть собрана чтением сообщений электронной почты, посылаемой через сеть.

Анализатор трафика dsniff, детально рассмотренный далее, включает в себя программу, предназначенную для перехвата сообщений электронной почты из сети:

mailsnarf выдает сообщения электронной почты, перехваченные из SMTP и POP-трафика в формате Berkeley mbox, подходящем для автономного просмотра вашей любимой программой чтения сообщений электронной почты (например: mail(1), pine(1)). – dsniff FAQ

Прослушивание HTTP (порт 80)

Протокол передачи гипертекстовых файлов (HTTP) используется для передачи WEB-трафика. Этот трафик обычно предназначен для 80-го порта, прослушивается в большей степени ради сбора статистики и сетевого использования, чем для сбора содержимого. Несмотря на то что HTTP-трафик может содержать информацию аутентификации и транзакции кредитных карт, данный тип информации довольно часто зашифрован посредством протокола защищенных сокетов (SSL). Существуют коммерческие продукты для прослушивания, использующиеся организациями, которые находят приемлемым наблюдение за использованием сотрудниками Web-ресурсов.

urlsnarf выдает все запросы унифицированных указателей информационного ресурса (URLs), перехваченные из HTTP-трафика в формат CLF (общий формат файлов журнализации, используется почти всеми Web-серверами), подходящий для автономной последующей обработки вашим любимым инструментом анализа файлов Web-журнализации (например: analog, wwwstat). – dsniff FAQ

Популярное программное обеспечение для прослушивания сетевого трафика

За всю историю прослушивания сетевого трафика было написано много анализаторов трафика. Здесь мы рассматриваем несколько ключевых программ. Необходимо отметить, что мы не стремились предоставить всеобъемлющий список анализаторов трафика, а только некоторые реализации. Мы рассматриваем как коммерческие реализации, используемые для диагностики сети, так и реализации, написанные чисто для перехвата информации аутентификации. Большое количество реализаций может быть найдено на ближайшем сайте, посвященном информационной безопасности, например www.securityfocus.com.

Ethereal

Ethereal является одним из самых новых анализаторов протоколов, впервые появившимся в 1998 году. Однако благодаря своей природе системы с открытым кодом Ethereal стал одним из самых популярных анализаторов протоколов. Вследствие его разработки сообществом разработчиков он расшифровывает больше протоколов, чем многие коммерческие реализации. Данный анализатор протоколов является самым лучшим для UNIX-систем. Однако, несмотря на то что он работает и из-под Windows, анализатор не имеет такого «блеска», который ожидают пользователи Windows. Интерфейс пользователя основан на Gtk, таким образом, он очень UNIX-подобен.

На рисунке 10.1 показано окно перехвата Ethereal. Одной из полезных отличительных возможностей Ethereal является live decodes. Многие анализаторы протоколов не могут демонстрировать перехваченную информацию до остановки перехвата. Прямое декодирование считалось плохой отличительной возможностью вследствие того, что сетевой трафик может протекать со скоростью 10 000 пакетов в секунду, намного быстрее, чем человек может воспринимать. Однако большинство пользователей анализаторов трафика создают фильтры захвата, которые так или иначе отбрасывают наибольшую часть трафика.

Рис. 10.1. Свойства захвата Ethereal

После перехвата пакеты хранятся в буфере и демонстрируются на дисплее в стандартном трехоконном варианте (см. рис. 10.2). Данный формат отображения был выбран для первоначального анализатора протокола и в дальнейшем был принят всеми другими продуктами. Верхнее окно показывает построчно краткое изложение каждого пакета. Второе окно показывает детальную расшифровку текущего пакета выделенного в окне краткого изложения. Третье окно показывает шестнадцатеричный дамп того же пакета. Выбор щелчком по кнопке мыши поля в окне детализации вызывает подсветку эквивалентных символов в окне шестнадцатеричного дампа.

Рис. 10.2. Расшифровка протокола программой Ethereal

Network Associates Sniffer Pro

Sniffer Pro – коммерческий продукт (название «Sniffer» является торговой маркой корпорации Network Associates, Inc.). Продукт может быть очень популярным, если его имя образовано из хакерского сленга, так как он существовал задолго до появления программ для перехвата паролей. Продукт Sniffer Pro компании Network Associates предоставляет легкий в использовании интерфейс для перехвата и просмотра сетевого трафика. Одно из основных преимуществ коммерческих продуктов заключается в том, что они поддерживают обширный диапазон сетевых протоколов и показывают расшифрованные данные протокола в очень легком для чтения виде. Sniffer Pro работает в двух основных режимах: в первом он перехватывает сетевой трафик, а во втором расшифровывает и демонстрирует его.

Сетевая статистика и данные Sniffer Pro в режиме перехвата в деталях показаны на рис. 10.3.

После перехвата данные декодируются в легкочитаемый вид. На рисунке 10.4 мы видим, как Sniffer Pro декодировал HTTP-запрос. Мы видим, что некоторые соответствующие переменные прошли, alias и pw. Для данного Web-приложения они являются именем пользователя и паролем соответственно.

Рис. 10.4. Sniffer Pro отображение перехваченных данных

NT Network Monitor

Windows NT server поставляется с программным обеспечением контроля сети Network Monitor, или для краткости Netmon. Данная версия Netmon перехватывает только входящий или исходящий трафик сервера, на котором он установлен. Существуют версии Netmon для Windows 2000 и Windows XP с теми же ограничениями. Однако есть версия Netmon, позволяющая прослушивать весь трафик. Данная версия входит в состав Systems Management Server (SMS). Netmon предоставляет некоторые преимущества перед коммерческими анализаторами сети, заключающиеся в умении декодировать проприетарный трафик сетей Microsoft, который не имеет открытых спецификаций. Хорошим примером такого типа трафика является множество различных сервисов MS-RPC, которые взаимодействуют, используя именованные каналы через Windows NT-сети. Несмотря на то что Netmon не декодирует трафик всех сервисов MS-RPC, он декодирует наиболее значимую часть, которую иным способом декодировать невозможно.

Операции Network Monitor'а очень схожи с операциями Sniffer Pro, они предоставляют как механизм перехвата (рис. 10.5), так и механизм просмотра (рис. 10.6) одинаковой функциональности.

Рис. 10.6. Network Monitor в режиме просмотра

WildPackets

EtherPeek от WildPackets (в настоящее время поставляется A.G. Group) является одним из старейших анализаторов протоколов. Существуют его реализации для Macintosh, так же как и под Windows (изначально данный анализатор протоколов был написан более 10 лет назад для Macintosh). EtherPeek имеет интересные возможности демонстрации и декодирования в реальном времени, а также интересные отличительные особенности (загрузить демо-версию продукта можно с сайта www.wildpackets.com). На сегодняшний день главным образом он примечателен своей EtherPeek-версией, прослушивающей IEEE 802.11b беспроводные сети.

TCPDump

TCPDump представляет собой наиболее популярный инструмент сетевой диагностики и анализа для операционных систем на базе UNIX. TCPDump просматривает и декодирует все данные хедеров IP, TCP, UDP и ICMP, в дополнение к некоторым данным уровня приложений (по большей части протоколы сетевой инфраструктуры). TCPDump не был написан как инструмент нарушителя и не предназначен для помощи нарушителю, желающему прослушивать сеть. Как было сказано, он предоставляет хорошую точку старта для всех, намеревающихся заняться написанием анализаторов трафика, и так как его исходные коды открыты и бесплатны, небезынтересно с ними ознакомиться.