Коллектив авторов - Защита от хакеров корпоративных сетей

dsniff

dsniff от Dug Song является инструментарием для прослушивания сетевого трафика. dsniff доступен на сайте www.monkey.org/~dugsong/dsniff.

dsniff наиболее знаменит за свою способность прослушивать информацию аутентификации (имена пользователей и пароли). Текущая версия dsniff декодирует информацию аутентификации следующих протоколов: AOL Instant Messenger, Citrix Winframe, Concurrent Versions System (CVS), FTP, HTTP, ICQ, IMAP, Internet Relay Chat (IRC), Lightweight Directory Access Protocol (LDAP), RPC mount requests, Napster, NNTP, Oracle SQL*Net, Open Shortest Path First (OSPF), PC Anywhere, POP, PostgreSQL, Routing Information Protocol (RIP), Remote Login (rlogin), Windows NT plaintext (SMB), Network Associates Sniffer Pro (remote), Simple Network Management Protocol (SNMP), Socks, Telnet, X11, и RPC yppasswd....

Приоткрывая завесу

dsniff Used against the Author

Следующий образец результата работы dsniff был перехвачен Dug Song, который успешно перехватил мои пароли на конференции по безопасности CanSecWest 2001. Это произошло вследствие того, что Outlook автоматически проверяет POP3-сервера, даже тогда, когда вы только открыли его для просмотра контактной информации. Я быстро сменил пароль, как раз вовремя – остаток выходной информации dsniff перехватил попытку кого-то еще подключиться с данным паролем, предположительно он использовал dsniff и перехватил пароль.

–

03/28/01 18:43:24 tcp 192.168.1.201.1035 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

–

03/29/01 02:07:41 tcp 192.168.1.243.1837 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

–

03/29/01 02:07:08 tcp 192.168.1.243.1836 ->

64.58.76.98.80 (http)

POST /config/login?84gteu3f1fmvt HTTP/1.0

Host: login.yahoo.com

Content-type: application/x-www-form-urlencoded

Content-length: 147

.tries=1&.src=ym&.last=&promo=&.intl=us&.bypass=&.partner=&.u=86

3imictc5nnu&.v=0&hasMsgr=0&.chkP=Y&.done=&login=robert

_david_graham&passwd=Cerveza2

–

03/29/01 02:06:48 tcp 192.168.1.243.1835 ->

64.58.76.98.80 (http)

POST /config/login?15aeb5g14endr HTTP/1.0

Host: login.yahoo.com

Content-type: application/x-www-form-urlencoded

Content-length: 146

.tries=&.src=ym&.last=&promo=&.intl=us&.bypass=&.partner=&.u=863

imictc5nnu&.v=0&hasMsgr=0&.chkP=Y&.done=&login=robert

_david_graham&passwd=Cerveza2

–

03/31/01 17:07:38 tcp 192.168.1.243.1307 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

С сегодняшними коммутируемыми сетями и криптографическими протоколами шифрования перехват паролей не всегда работает, как мы могли надеяться. dsniff содержит несколько утилит перенаправления и «человек по середине» (MITM) для перенаправления потока трафика и сеансов расшифрования.

Первая утилита – arpspoof (некогда известная как arpredirect). Протокол разрешения адресов (ARP) используется хостами для нахождения MAC-адреса локального маршрутизатора. При помощи спуфинга пакетов ARP вы можете убедить близлежащие компьютеры в том, что являетесь маршрутизатором. Ваша машина после получения пакетов должна перенаправить их на настоящий маршрутизатор, но тем временем анализатор трафика dsniff имеет возможность обрабатывать эти пакеты. Это работает не только в локальных коммутированных сетях, но также и в кабельно-модемных сетях. Данный инструмент не полностью надежен; вы по существу дела боретесь с маршрутизатором, пытаясь убедить другие компьютеры локальным MAC-адресом. Как результат поток трафика через вашу машину является неустойчивым. Подобный метод с легкостью обнаруживается при помощи систем обнаружения вторжений на уровне сети (IDSs). Даже Sniffer Pro (упомянутый ранее) имеет режим экспертной диагностики, который отметит это как «дублированный IP-адрес» (то есть несколько машин претендуют на IP-адрес маршрутизатора).

Утилита dnsspoof является другим инструментом для перенаправления трафика. В данном случае она подделывает ответ локального сервера службы имен доменов (DNS). Когда вы идете на сайт, такой как http://www.example.com, ваша машина посылает запрос на локальный DNS-сервер на получение IP-адреса www.example.com . Ответ DNS-сервера обычно занимает некоторое время; dnsspoof посылает свой ответ быстрее. Жертва примет только первый ответ и игнорирует второй. Подделанный ответ содержит IP-адрес, отличный от IP-адреса истинного ответа, обычно это IP-адрес машины нарушителя. Скорее всего, нарушитель будет использовать одну из утилит «человек посередине» анализатора трафика dsniff.

Название «человек посередине» (man-in-the-middle) пришло из криптографии и описывает ситуацию, когда кто-либо перехватывает информацию, изменяет ее и передает дальше. dsniff содержит две утилиты для реализации данного вида атаки: webmitm для HTTP-трафика (включая SSL) и sshmitm для SSH. Обычно SSH и SSL считаются защищенными протоколами, использующими криптографические преобразования, которые невозможно прослушать. Метод работы MITM-утилит заключается в том, что они предоставляют клиентам SSL/SSH свои собственные ключи шифрования. Это позволяет им расшифровывать трафик, перехватывать пароли и далее обратно зашифровывать, используя при этом настоящие ключи сервера. В теории вы можете защитить себя от этого проверкой подлинности сертификатов сервера, но на практике никто этого не делает.

dsniff может перехватывать не только пароли, но также и другие виды трафика, передаваемые открытым текстом. Утилита mailsnarf прослушивает сообщения электронной почты как FBI's Carnivore, за исключением того что она конвертирует их в формат mbox, который может открываться почти всеми программами чтения электронной почты. Утилита msgsnarf прослушивает сообщения ICQ, IRC, Yahoo! Messenger и AOL IM. Утилита filesnarf прослушивает файлы, передаваемые посредством NFS (популярный протокол файлового сервера, используемый в UNIX-системах). Утилита urlsnarf сохраняет все унифицированные указатели информационных ресурсов (URLs), проходящие в сети. Утилита webspy в реальном времени посылает данные указатели браузеру Netscape – по существу, позволяя вам просматривать в реальном времени то же, что видит в своем браузере жертва.

Утилита macof посылает множественный поток MAC-адресов. Это предназначено для осуществления другого метода атаки на Ethernet-коммутаторы. Большинство коммутаторов имеют ограниченные таблицы, способные содержать только 4000 MAC-адресов. Этого более чем достаточно для нормальной сети – вам потребуется 4000 подключенных к коммутатору машин до перегрузки этих таблиц. Когда коммутатор перегружается, он «становится открытым» («fails open») и начинает повторять каждый пакет на каждый порт, позволяя прослушивать весь трафик.

Утилита tcpkill уничтожает TCP-соединения. Она может быть использована для атак отказа в обслуживании (DoS). Например, можно сконфигурировать данную утилиту так, чтобы она уничтожала все TCP-соединения вашего соседа. Она также интегрирована в инструменты системы обнаружения вторжений на сетевом уровне для уничтожения соединений хакера. Утилита tcpnice схожа с tcpkill, но вместо уничтожения соединений она замедляет их. Например, вы можете подделать ICMP Source Quenches кабельного модема вашего соседа таким образом, что получите большую полосу пропускания для ваших загрузок.

Ettercap

Пакет Ettercap подобен dsniff. Он имеет много схожих возможностей, таких как атаки «человек посередине» на SSL и SSH, а также перехват паролей. Также Ettercap имеет дополнительные отличительные особенности для атаки «человек посередине» на обычные TCP-соединения, такие как вставка команд в поток. Ettercap был написан Альберто Орнаги и Марком Валлери и доступен в сети на сайте http://ettercap.sourceforge.net.

Esniff.c

Esniff.c, вероятно, является одним из первых анализаторов трафика, которые появились в хакерском подземелье. Написанный хакером rokstar работает только на операционных системах Sun Microsystems' SunOS (ныне устаревшая). Esniff.c поддерживает протоколы Telnet, FTP и rlogin. Он предоставляет базовую функциональность и не поддерживает полный список протоколов, поддерживающихся в новых анализаторах трафика, таких как dsniff и sniffit. Данный анализатор трафика был впервые публично опубликован в журнале Phrack, который может быть найден на www.phrack.org/show.php?p=45&a=5.

Sniffit

Sniffit – другой анализатор трафика, который существует уже несколько лет. Он работает на операционных системах Linux, Solaris, SunOS, Irix и FreeBSD. Sniffit не обновлялся несколько лет, но я нахожу его достаточно стабильным (даже несмотря на то, что последний релиз был классифицирован как бета-версия). Бречт Клаерхорт, автор Sniffit, имеет две версии, доступные на его сайте: 0.3.5 (релиз апреля 1997 года) и 0.3.7.beta (релиз июля 1998 года). Я не имел никаких проблем с компиляцией и использованием 0.3.7.beta, но если вы встретитесь с проблемой в 0.3.7.beta, то можете использовать 0.3.5. Сайт Бречта Клаерхорта находится на http://reptile.rug.ac.be/~coder/sniffit/sniffit.html.

Одна из причин, по которой мне так сильно нравится (и я использую) Sniffit, заключается в том, что вы можете с легкостью настраивать его журнализировать только определенный вид трафика, как, например, FTP и Telnet. Данный тип фильтрации не необычен; он присутствует в других анализаторах трафика, таких как Sniffer Pro и NetMon. Но когда в последний раз вы видели любой из этих анализаторов скрытно установленным на скомпрометированных системах? Sniffit маленький и легко настраивается на перехват (и журнализацию) только того трафика, который несет полезную информацию в открытом виде, например имена пользователей и пароли для определенных протоколов, как показано на примере далее: