Защита от хакеров корпоративных сетей
Шрифт:
Вопрос: Где можно найти дополнительные материалы о поиске и использовании уязвимости форматирующей строки? Ответ: По этой теме известно много материалов. Официальный документ, подготовленный Тимом Невшамом (Tim Newsham) и изданный Gaurdent, можно найти на сайте www.guardent.com. Также рекомендуется просмотреть материалы TESO (www.team-teso.net/articles/formatstring) и HERT (www.hert.org/papers/format.html).
Глава 10 Прослушивание сетевого графика
В этой главе обсуждаются следующие темы:
• Что такое прослушивание сетевого
• Что прослушивать?
• Популярное программное обеспечение для прослушивания сетевого трафика
• Усовершенствованные методы прослушивания сетевого трафика
• Исследование программных интерфейсов приложений операционных систем
• Защитные меры
• Применение методов обнаружения
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение
Sniff
гл. sniffed, sniffing, sniffs.
1. а) Вдыхать через нос; б) сопеть; фыркать.
2. Нюхать; обнюхивать, принюхиваться.
Sniffed at the jar to see what it held – принюхаться к банке, для того чтобы узнать, что в ней.
3. Презрительно, пренебрежительно относиться к чему-либо.
The critics sniffed at the adaptation of the novel to film. – Критики презрительно отнеслись к адаптации романа к фильму.
4. Неформ. – процесс подслушивания, подглядывания или выведывания, шпионажа.
Подглядывать, подсматривать, любопытствовать, вмешивать, совать нос в чужие дела, выведывать, выпытывать.
The reporters came sniffing around for more details. – Журналисты сновали вокруг, выведывая подробности.
Как видно из приведенного выше определения, слово sniffing имеет несколько значений. Несмотря на то что мы полагаем, что хакеры производят раздражающие фыркающие звуки, принюхиваются к банкам, для того чтобы узнать их содержимое, и в особенности пренебрежительно относятся к нарушению закона, мы в самом деле заинтересованы в последнем значении: процесс подслушивания, подглядывания или выведывания, шпионажа.
Что такое прослушивание сетевого трафика?
Прослушивание сетевого трафика является методом, с помощью которого нарушитель может скомпрометировать безопасность сети в пассивном режиме. Анализатор трафика (sniffer) – программа, которая пассивно наблюдает компьютерную сеть на предмет ключевой информации, интересующей нарушителя. В большинстве случаев эта информация является информацией аутентификации, например имена пользователей и пароли, которые могут быть использованы для получения доступа к системе или ресурсу. Анализаторы трафика включены в состав большинства инструментариев для получения прав администратора / суперпользователя (rootkits). Если ваша UNIX-система подверглась взлому, скорее всего анализатор трафика на ней уже запущен.
Как это работает?
Существуют два метода прослушивания сетевого трафика: метод «старой школы» и метод «новой школы». В старые времена компьютеры соединялись посредством общей среды. Все они совместно использовали один и тот же локальный провод, и сетевой трафик был виден всем всеми компьютерами. Сетевые карты фильтровали трафик таким
В настоящие дни все больше и больше компьютеров соединены с помощью коммутаторов. Вместо того чтобы распространять сетевой трафик по всей сети, коммутаторы фильтруют трафик на концентраторе. Это не дает компьютеру видеть чей-либо еще трафик даже в случае перевода адаптера в «безразличный режим». Нарушители должны либо активно атаковать коммутатор / маршрутизатор, для того чтобы перенаправить поток трафика (который мы опишем позже), либо довольствоваться наблюдением трафика, проходящего через уже скомпрометированный ими компьютер.
Когда сетевой трафик входит в компьютер, он сначала обрабатывается Ethernet-драйвером. Драйвер далее передает трафик стеку протоколов TCP/IP (Transmission Control Protocol / Internet Protocol), который в свою очередь передает его приложениям. Программное обеспечение прослушивания сетевого трафика соединяется напрямую с Ethernet-драйвером и создает его копию. Для реализации этого UNIX предоставляет более открытый набор интерфейсов, несмотря на то что Windows-системы также предоставляют несколько инструментов. Таким образом, анализаторы трафика обычно являются частью UNIX-инструментариев для получения прав администратора / суперпользователя и редко частью Windows-инструментариев для получения прав администратора / суперпользователя.
Что прослушивать?
Существует много интересной информации для поиска во время наблюдения сети. В самом очевидном случае может быть перехвачена информация аутентификации (имена пользователей и пароли) и далее использована для получения доступа к ресурсу. Другие виды информации, такие как электронная почта и моментальные сообщения, также могут перехватываться. Все, что проходит через сеть, открыто глазам наблюдающего.
Получение информации аутентификации
Следующие подразделы предоставляют примеры разнообразных типов сетевого трафика, являющихся привлекательными нарушителю, ведущему прослушивание вашей сети. Подразделы упорядочены по протоколу или сервису, которому соответствует трафик, и никоим образом не представляют всеобъемлющий список.
В примере трафика в следующем разделе полужирным шрифтом выделено то, что посылается клиентской программой, стандартным шрифтом выделено то, что посылается сервером. В большинстве случаев нас интересует только трафик, создаваемый клиентом, так как именно этот трафик содержит информацию аутентификации. Более продвинутые анализаторы трафика могут также обследовать результирующие коды сервера для отфильтровывания неудачных попыток аутентификации.
Следующие разделы предоставляют краткий обзор типов информации аутентификации, которые могут быть собраны с соответствующих протоколов. Эти примеры были упрощены, и в некоторых случаях текущая версия данных протоколов поддерживает более продвинутые механизмы аутентификации, которые смягчают показанные риски. В случае общих Интернет-протоколов существуют запросы на комментарии (RFC), которые могут конкретизировать спецификации.