Защита от хакеров корпоративных сетей
Шрифт:
dsniff может перехватывать не только пароли, но также и другие виды трафика, передаваемые открытым текстом. Утилита mailsnarf прослушивает сообщения электронной почты как FBI\'s Carnivore, за исключением того что она конвертирует их в формат mbox, который может открываться почти всеми программами чтения электронной почты. Утилита msgsnarf прослушивает сообщения ICQ, IRC, Yahoo! Messenger и AOL IM. Утилита filesnarf прослушивает файлы, передаваемые посредством NFS (популярный протокол файлового сервера, используемый в UNIX-системах). Утилита urlsnarf сохраняет все унифицированные указатели информационных ресурсов (URLs), проходящие в сети. Утилита webspy в реальном времени посылает данные указатели браузеру Netscape – по существу, позволяя вам просматривать в реальном времени то же, что видит в своем браузере жертва.
Утилита macof посылает множественный поток MAC-адресов. Это предназначено для осуществления другого метода атаки на Ethernet-коммутаторы. Большинство коммутаторов имеют ограниченные таблицы, способные
Утилита tcpkill уничтожает TCP-соединения. Она может быть использована для атак отказа в обслуживании (DoS). Например, можно сконфигурировать данную утилиту так, чтобы она уничтожала все TCP-соединения вашего соседа. Она также интегрирована в инструменты системы обнаружения вторжений на сетевом уровне для уничтожения соединений хакера. Утилита tcpnice схожа с tcpkill, но вместо уничтожения соединений она замедляет их. Например, вы можете подделать ICMP Source Quenches кабельного модема вашего соседа таким образом, что получите большую полосу пропускания для ваших загрузок.
Ettercap
Пакет Ettercap подобен dsniff. Он имеет много схожих возможностей, таких как атаки «человек посередине» на SSL и SSH, а также перехват паролей. Также Ettercap имеет дополнительные отличительные особенности для атаки «человек посередине» на обычные TCP-соединения, такие как вставка команд в поток. Ettercap был написан Альберто Орнаги и Марком Валлери и доступен в сети на сайте http://ettercap.sourceforge.net.
Esniff.c
Esniff.c, вероятно, является одним из первых анализаторов трафика, которые появились в хакерском подземелье. Написанный хакером rokstar работает только на операционных системах Sun Microsystems\' SunOS (ныне устаревшая). Esniff.c поддерживает протоколы Telnet, FTP и rlogin. Он предоставляет базовую функциональность и не поддерживает полный список протоколов, поддерживающихся в новых анализаторах трафика, таких как dsniff и sniffit. Данный анализатор трафика был впервые публично опубликован в журнале Phrack, который может быть найден на www.phrack.org/show.php?p=45&a=5.
Sniffit
Sniffit – другой анализатор трафика, который существует уже несколько лет. Он работает на операционных системах Linux, Solaris, SunOS, Irix и FreeBSD. Sniffit не обновлялся несколько лет, но я нахожу его достаточно стабильным (даже несмотря на то, что последний релиз был классифицирован как бета-версия). Бречт Клаерхорт, автор Sniffit, имеет две версии, доступные на его сайте: 0.3.5 (релиз апреля 1997 года) и 0.3.7.beta (релиз июля 1998 года). Я не имел никаких проблем с компиляцией и использованием 0.3.7.beta, но если вы встретитесь с проблемой в 0.3.7.beta, то можете использовать 0.3.5. Сайт Бречта Клаерхорта находится на http://reptile.rug.ac.be/~coder/sniffit/sniffit.html.
Одна из причин, по которой мне так сильно нравится (и я использую) Sniffit, заключается в том, что вы можете с легкостью настраивать его журнализировать только определенный вид трафика, как, например, FTP и Telnet. Данный тип фильтрации не необычен; он присутствует в других анализаторах трафика, таких как Sniffer Pro и NetMon. Но когда в последний раз вы видели любой из этих анализаторов скрытно установленным на скомпрометированных системах? Sniffit маленький и легко настраивается на перехват (и журнализацию) только того трафика, который несет полезную информацию в открытом виде, например имена пользователей и пароли для определенных протоколов, как показано на примере далее:
[Tue Mar 28 09:46:01 2000] – Sniffit session started.
[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:
USER
[hansen]
[Tue Mar 28 10:27:02 2000] – 10.40.1.6.1332-10.44.50.40.21:
PASS
[worksux]
[Tue Mar 28 10:39:42 2000] – 10.40.1.99.1651-10.216.82.5.23:
login
[trebor]
[Tue Mar 28 10:39:47 2000] – 10.40.1.99.1651-10.216.82.5.23:
password
[goaway]
[Tue Mar 28 11:08:10 2000] – 10.40.2.133.1123-10.60.56.5.23:
login
[jaaf]
[Tue Mar 28 11:08:17 2000] – 10.40.2.133.1123-10.60.56.5.23:
password
[5g5g5g5]
[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-
10.157.14.198.21: USER
[afms]
[Tue Mar 28 12:45:21 2000] – 10.8.16.2.2419-
10.157.14.198.21: PASS
[smfasmfa]
[Tue Mar 28 14:38:53 2000] – 10.40.1.183.1132-
10.22.16.51.23: login
[hohman]
[Tue Mar 28 14:38:58 2000] – 10.40.1.183.1132-
10.22.16.51.23: password
[98rabt]
[Tue Mar 28 16:47:14 2000] – 10.40.2.133.1069-10.60.56.5.23:
login
[whitt]
[Tue Mar 28 16:47:16 2000] – 10.40.2.133.1067-10.60.56.5.23:
password
[9gillion]
[Tue Mar 28 17:13:56 2000] – 10.40.1.237.1177-10.60.56.5.23:
login
[douglas]
[Tue Mar 28 17:13:59 2000] – 10.40.1.237.1177-10.60.56.5.23:
password
[11satrn5]
[Tue Mar 28 17:49:43 2000] – 10.40.1.216.1947-
10.22.16.52.23: login
[demrly]
[Tue Mar 28 17:49:46 2000] – 10.40.1.216.1947-
10.22.16.52.23: password
[9sefi9]
[Tue Mar 28 17:53:08 2000] – 10.40.1.216.1948-
10.22.16.52.23: login
[demrly]
[Tue Mar 28 17:53:11 2000] – 10.40.1.216.1948-
10.22.16.52.23: password
[jesa78]
[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-
10.178.110.226.21: USER
[custr2]
[Tue Mar 28 19:32:30 2000] – 10.40.1.6.1039-
10.178.110.226.21: PASS
[Alpo2p35]
[Tue Mar 28 20:04:03 2000] – Sniffit session ended.Как вы можете видеть, за промежуток примерно 10 ч я собрал имена и пароли девяти разных пользователей, три для FTP-сайтов и пять – для Telnet. Один пользователь, demrly, видимо, использовал неправильный пароль, когда он или она пытался соединиться с 10.22.16.52 первый раз, но я сохраню этот пароль потому, что он может быть правильным для другой локации.
Carnivore
Carnivore
Рис. 10.7. Конфигурационная программа Carnivore^
Отличительные особенности:
• наборы фильтров. Настройки сохраняются в конфигурационные файлы; пользователь может быстро менять параметры прослушивания, выбирая разные наборы фильтров;
• сетевые адаптеры. Система может иметь несколько сетевых адаптеров; одновременно может быть выбран только один адаптер для прослушивания;
• размер файла архива. Можно задать предел на количество перехватываемой информации; по умолчанию заполняет весь диск;
• использование памяти. Сетевой трафик может приходить быстрее, чем может быть записан на диск; память сбрасывает в буфер входящие данные;
• фиксированный IP-адрес. Весь входящий и исходящий трафик диапазона адресов может быть отфильтрован. Например, подозреваемый может иметь фиксированный IP-адрес 1.2.3.4, назначенный кабельному модему. ФБР может получить ордер суда, позволяющий им прослушивать весь трафик подозреваемого;
• протоколы для перехвата. Обычно ордер суда позволяет перехватывать только специфический трафик, например SMTP поверх TCP. В режиме «Pen» перехватываются только заголовки;
• текстовые строки данных. Данная отличительная особенность заключается в поиске ключевых слов в трафике. Ордер суда должен точно определять, что подлежит прослушиванию, будь то, например, IP-адрес или учетная запись электронной почты. Расширенный поиск по ключевым словам нелегален в Соединенных Штатах Америки. ФБР отрицает, что Carnivore имеет данную особенность;
• порты. Возможно создание списка TCP– и UDP-портов. Например, если ФБР имеет ордер суда, позволяющий прослушивание сообщений электронной почты, оно может указать конкретные порты электронной почты 25,110 и 143;
• SMTP-адреса электронной почты. Типичный сценарий представляет собой следующее. Carnivore прослушивает сервер электронной почты поставщика услуг Интернет, отбрасывая все сообщения, кроме сообщений подозреваемого. Сессия обмена электронной почтой прослеживается до нахождения адреса электронной почты подозреваемого, далее все пакеты, составляющие сообщение, перехватываются;
• динамические IP-адреса. Когда пользователи пользуются услугами коммутируемого Интернета, они подключаются посредством протокола RADIUS, который раздает им IP-адреса. Обычно ФБР запрашивает почты поставщика услуг Интернет перенастроить RADIUS-сервера таким образом, что нарушителю будет выдаваться один и тот же IP-адрес, и прослушивает исходящий и входящий трафики с этого IP-адреса. (Необходимо отметить, что если вы пользователь коммутируемого Интернета и подозреваете, что ФБР прослушивает ваш трафик, всегда проверяйте ваш IP-адрес при выходе в сеть.) Иногда это невозможно. Carnivore может быть настроен для прослушивания протокола RADIUS и динамически определять новый IP-адрес, выданный подозреваемому. Прослушивание начинается с момента присвоения IP-адреса и заканчивается при завершении сеанса.
ФБР разработало Carnivore потому, что утилиты, такие как dsniff, не подходят для нужд обеспечения правопорядка. Когда сообщение электронной почты передается через сеть, оно разбивается на большое количество пакетов. Утилиты, такие как mailsnarf (описана выше), собирают сообщение в его первоначальный вид. Это плохо, так как адвокат подозреваемого будет оспаривать его точность: не был ли пропущен пакет из середины сообщения, изменяющий его значение? Не попал ли пакет другого сообщения в данное? Перехватывая необработанные пакеты, а не собирая их, Carnivore поддерживает настоящую последовательность чисел, портов и временных меток. Любые пропавшие или лишние пакеты легко прослеживаются, что позволяет ФБР отстаивать точность системы.
Другая проблема, с которой сталкивается ФБР, заключается в минимизации прослушиваемой информации. Когда ФБР подключается к вашей телефонной линии, они должны приставить агента слушать ее. Если кто-либо другой использует телефон (например, ваша супруга или дети), они должны выключить магнитофон. Аналогично Carnivore разработан для избежания прослушивания чего-либо, не принадлежащего подозреваемому. Типичным примером является использование Carnivore для наблюдения активности пользователей коммутируемого Интернета. Carnivore содержит модуль прослушивания RADIUS-трафика, используемого большинством из поставщиков услуг Интернет для аутентификации пользователей и назначения им динамических IP-адресов. Это позволяет Carnivore^ прослушивать только данного пользователя без перехвата трафика остальных пользователей. Экземпляр программы, содержащей много особенностей Carnivore, может быть найден на сайте данной книги (www.syngress.com/solutions).
Дополнительная информация
Существуют несколько интересных ресурсов, которые предоставляют более полный список существующих анализаторов сетевого трафика, вот некоторые из них.
• Список сетевых анализаторов трафика доступен на Underground Security Systems Research: www.ussrback.com/packetsniffers.htm.
• Очень хороший и детальный обзор пакетных анализаторов, написанных Робертом Грахамом: www.robertgraham.com/pubs/sniffing-faq.html.Примечание
FAQ по Carnivore можно найти здесь: www.robertgraham.com/pubs/carnivore-faq.html.
Усовершенствованные методы прослушивания сетевого трафика
По мере развития технологии хакеры вынуждены создавать новые методы прослушивания сетевого трафика. Следующий раздел посвящен нескольким методам, используемым нарушителями в целях перехитрить технологические достижения.