новости
статьи
.save ass…

некоторые разновидности сетевых атак: коротко о главном

Сетевые атаки уже достаточно давно стали фоном современного киберпространства. Похищение конфиденциальных данных, кража паролей доступа, дефейс сайтов и DDoS-атаки сегодня можно считать чем-то вроде привычной обстановки того, что мы называем компьютерная сеть. Интернет это или просто локальная сеть – особой разницы нет, т.к. любая сеть изначально предполагает обмен данными, взаимодействие между чем-то, посредством чего- то, а это в свою очередь, как ни крути – создает все условия для перехвата, нарушения конфиденциальности и целостности информации.

атаки, основанные на дырах ОС и ПО

Данный тип можно считать наиболее распространенным видом сетевых атак: уязвимости в ОС и ПО как находили, так и будут находить, ведь языки программирования не всесильны. Известный факт: чем больший размер кода, тем большая вероятность того, что в нем существуют ошибки. Вот и получается: чем сложнее система, тем более вероятно, что она даст сбой. Парадоксально и закономерно одновременно.

Считается, что приложения на основе открытого кода, будучи более пластичными, с точки зрения устранения программных ошибок, можно было бы считать неким эталоном надежного программного кода. Вновь появившиеся баги постоянно патчут, и казалось бы все не так уж и облачно. Но не тут то было…

Недавно проведенные специальные исследования, проведенные группой IT-специалистов при участии Министерства Национальной Безопасности США и Стэнфордского университета показало, что не существует Open Source проектов с меньшим количеством ошибок, чем в программах с закрытыми исходными кодами. В последнее время сторонниками открытых проектов утверждается, что одним из главных преимуществ открытого кода является низкое количество ошибок по сравнению с закрытыми программами. Был проведен сравнительный анализ ста пятидесяти самых популярных Open Source проектов и проприетарного кода более чем сотни компаний – более 60 миллионов строк на всех. Исследование показало, что не существует Open Source проектов с меньшим количеством ошибок, чем в программах с закрытыми исходными кодами. На самом деле, в проприетарном ПО содержится в среднем в пять раз меньше ошибок. По результатам анализа, ПО с закрытым исходным кодом прошло11 из 15 тестов на высокое качество и безопасность. Неудивительно, почему лучшие из программ с закрытым кодом стоят в основе большинства критических приложений – вроде программ для реактивных двигателей, ядерных электростанций, телефонных систем и медицинских устройств. В случае неправильной работы, такое ПО может привести к массовой гибели людей. Это же исследование показало и следующее: открытое ПО, несмотря на огромное количество ошибок, имеет более высокое качество кода по сравнению с закрытыми источниками.

Какие именно ошибки программного кода компрометируют систему на атаку извне? Самые разнообразные. В качестве самого, пожалуй, яркого примера, можно привести ошибку программного кода, посредством которого возможно переполнение буфера. Так вот подобное (переполнение буфера) лежит в основе большинства уязвимостей на сегодняшний день является самой распространенной уязвимостью в области безопасности сетевого ПО. Баг этот активно используется вредоносным ПО, таким как компьютерные черви (например, CodeRed, Slammer, Lovesan), и эксплойты. Указанная уязвимость с успехом используется и для организации массированных DDoS-атак, что уже говорит само за себя…

Вновь обнаруженные уязвимости ПО регулярно публикуются на сайтах типа www.securitylab.ru. Обычно описание такой уязвимости включает в себя уровень опасности бага (например, критический) и наличие под него соответствующего эксплойта. При наличии соответствующего эксплойта у атакующего, осуществление атаки – дело самого ближайшего времени. В качестве горячего примера можно привести эксплойт KaHt, эксплуатирующий уязвимость в службе DCOM RPC (язвимы системы с первым сервис паком).

Было бы достаточно уместно привести свежие сообщения о вновь обнаруженных уязвимостях опубликованных на securitylab.ru, которые как нельзя лучше иллюстрируя вышесказанное, подтверждают тезис – безопасность есть процесс:

«15 сентября, 2006. Программа: Microsoft Internet Explorer 6.x. Опасность: критическая. Наличие эксплойта: Да. Обнаруженная уязвимость позволяет злоумышленнику скомпрометировать уязвимую систему. Переполнение буфера обнаружено в функции "CPathCtl::KeyFrame()" в Microsoft Multimedia Controls ActiveX. Злоумышленник может создать специально сформированную HTML страницу, чтобы выполнить произвольный код с привилегиями пользователя, просматривающего эту страницу в браузере. URL производителя: http://www.microsoft.com. Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.»

«19 сентября, 2006. В блоге SubneltBLOG 18 сентября появилось сообщение о наличии новой уязвимости в Microsoft Internet Explorer. Эксплоит использует уязвимость в VML в Internet Explorer, чтобы вызвать переполнение буфера и внедрить шеллкод на целевую систему. Эта уязвимость широко используется на нескольких веб-сайтах. Дополнение: уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов. Удаленный пользователь может с помощью специально сформированного VML документа, содержащего слишком длинный метод fill внутри тега rect, вызвать переполнение стека и выполнить произвольный код на целевой системе».

мэйл-бомбинг

Данный вид сетевых атак можно считать самым настоящим кибер-кощунством. Посудите сами: на мирный электронный ящик, ничего не подозревающего хозяина, лавинообразно посылается куча писем, содержание которых иногда может быть просто неприличным. Предложение о сотрудничестве, о выезде за границу, нигерийские письма, в которых ваш дядя из Гваделупы предлагает несметные сокровища ;))
.
Для организации атак подобного рода применяют специальные программы – мейлбомберы. Программы подобного рода затопляют e-mail огромным количеством писем, обратный адрес которых – фальшивый. Установить обратный адрес достаточно трудно, даже по заголовку письма (HEAD), т.к. IP отправителя не имеет ничего общего с тем, что указан в заголовке. Для осуществления коварного плана злонамеренному пользователю достаточно знать e-mail-жертвы.

Абсолютное большинство почтовых систем имеют антиспам-фильтры, защищающие клиентов от подобных сетевых вакханалий. Все бы казалось в розовом свете, но почему-то, несмотря на усиливающиеся беспрецедентные меры защиты от подобного рода атак, спам приходит и приходит…Все дело, наверное, в том, что алгоритмы распространения такого мусора умнеют, параллельно с интеллектуализацией систем защиты.

сетевое сканирование портов

Включает в себя процесс автоматизированного выявления уязвимостей на удаленных системах с последующим захватом последних. В качестве сканеров подобного рода можно привести что-нибудь вроде X-SPIDER, Essential Net Tools, Net Bios Scaner и многие другие, активно использующиеся теми, кому это надо;).

Существуют специализированные системы, упрощающие процесс взлома до минимума. В качестве горячего примера можно привести т.н. авторутеры (root – дословно «корень», корневая директория, а также имя пользователя с абсолютными админскими правами в юниксоподобных ОС; подразумевается полный захват системы) – программные комплексы, последовательно сканирующие большое количество машин. Преимущества таких автоматизированных систем очевидны: за считанное время автоматизация позволяет захватчику просканировать сотни тысяч систем и при обнаружении уязвимых, произвести процесс захвата системы с установкой специализированного вредоносного ПО (черви, трояны, руткиты – в отличие от червей, вирусов и троянов, обнаружить в системе руткит (root kit) практически невозможно; также затруднительно и лечение системы).

В качестве горячего примера можно привести краткие описания следующих руткитов, как нельзя лучше иллюстрирующих совсем не детские
возможности современного вредоносного ПО:

«AFXRootkit 2005: AFXRootkit 2005 - это OPEN SOURCE руткит написанный на Delphi, использует code injection и hooks Windows native API для сокрытия своего процесса, modules, handles, files, ports, registry keys, etc.»

«FU Rootkit: FU может прятать процессы, поднимать привилегии процесса, обманывает Windows Event Viewer, так что суды невозможны! И даже прячет драйвера устройств(!). И все это без какого-либо взома».

До недавнего времени обнаружение руткитов представляло довольно сложную с технической точки зрения процедуру, однако сейчас существует достаточное количество спецсредств для обнаружения подобных вредоносных модулей. В качестве примера можно привести Антивирус Касперского 6.0 (рис. 1):



Рис. 1.

сетевые атаки с использованием червей, вирусов, троянов и т. п.

Такие атаки были, есть и остаются классикой жанра.

Симптоматика вирусного заражения обычно следующая: заражение исполняемых файлов (exe, com), «чудо-форматирование дисков», необратимое подвисание системы… Из сети такое чудо можно получить известным способом – через почтовые аттачменты, либо скачав супер-ускоритель браузера ;) Могут эти напасти придти в систему и через уязвимость, что обсуждалось выше.

Трояны, в отличие от вирусов, не отличаются особо страшной деструктивностью, но от этого менее коварными этот вид программ назвать нельзя. Суть сетевой атаки с использованием троянов проста: на машину жертвы любым из известных способов (способов подцепить троян действительно много, отмечу лишь то, что в последнее время участились случаи заражения вредоносным ПО посредством уязвимостей браузера) «заливается» троян, который впоследствии, в зависимости от своей функциональной принадлежности, выполняет самые различные действия: крадет персональные данные с последующей пересылкой «награбленного» своему хозяину, удаленно управляет системой (т.н. bacdoor -бэкдор), выполняет функции прокси-сервера (понятно зачем;)), участвует в организации DDoS ну и т.д.

Для того, чтобы лучше представить себе реальные возможности вышеописанных шпионских программ и их роль в организации сетевых атак, будет более чем уместно привестиописание некоторых ярких представителей:

A-311 Death Full (бэкдор) - это новая, продвинутая система удаленного администрирования с множеством возможностей. Основные возможности:

- Программа после установки работает из-под системных приложений…

- Невидимость с момента инсталляции.

- Невидимость слушающих портов (пока экспериментально).

- Полный и совершенный контроль над файловой системой: (копирование, переименование, удаление файлов и папок, создание новых папок).

- Upload, Download файлов с возможностью ДОКАЧКИ при обрыве связи (как в ReGet).

- Управление файловой системой а-ля windows explorer с поддержкой кэширования данных (для Dial-Up'а это критически важно!)

- Вывод файлов/папок по заданной маске (включая refresh). Возможность показывать битмапы поверх всех окон и проигрывать wav-файлы
внутренними средствами сервера: (при клике правой кнопкой мыши на названии соответствующего файла в меню появиться дополнительный
раздел)

- Запуск приложений одним кликом. Просмотр/изменение атрибутов файлов. Управление реестром: (в Win2000/XP управление с правами SYSTEM!!!, но только после перезагрузки) (создание, переименование, удаление ключей и параметров).

- Перезагрузка/выключение компа/выход пользователя.

- Обнуление содержимого CMOS.

- Отключение дисковода + Отключение/включение монитора.

Комментарии, как говорится, излишни…

Что касается сетевых атак, организованных посредством червей, то тут следует сказать следующее: в основах механизмов распространения червей стоят многочисленные дыры ПО, «новопоявления» которых очень часто сопровождаются созданием нового червя. По логике вещей можно было бы предположить: новая дыра – новый червь… но! Не следует забывать про многочисленные модификации компьютерных червяков, которые как раз таки и являются причиной массовых интернет-эпидемий.

Согласно данным Лаборатории Касперского относительно соотношения различных видов вредоносного ПО можно сказать следующее: в течение всего года в почтовом трафике преобладали исключительно черви (как почтовые, так и сетевые). В основном это были представители «старых» вирусных семейств, такие как Bagle, NetSky, Sober, Zafi, Mydoom. Однако несомненным лидером были черви Mytob, появившиеся в 2005 году. Следующими по распространенности оказались различные троянские программы, в основном относящиеся к классам Trojan-Downloader, Trojan-Spy, а также многочисленные фишинговые атаки, которые в 2005 году вышли на пик своей активности. Традиционные вирусы и макровирусы практически полностью исчезли из статистики «Лаборатории Касперского».



Рис. 2. Типы вредоносных программ. 37% -сетевые вирусы, 3%-троянцы-шпионы, 60%-почтовые вирусы

В целом можно отметить, что появилось большое количество червей для средств обмена мгновенными сообщениями (MSN Messenger, AOL Messenger, ICQ), возросло количество сетевых и почтовых червей, у которых превалирующими функциями являются функции троянцев (эпоха традиционных почтовых червей близится к закату), а также вредоносных программ для мобильных устройств (Bluetooth, MMS). Об атаках на мобильные устройства вообще разговор отдельный…

Не вдаваясь в технические подробности сетевых атак через мобильные устройства посредством Bluetooth, следует отметить, что ключевая роль отводится человеческому фактору: так, например, червь Worm.SymbOS.Cabirи его модификации при заражении не использует никаких уязвимостей системы, а инсталлируется «добровольно». На экране атакованного Symbian-телефона, вне зависимости от установленной в нем операционной системы, появляется уведомление о входящем файле и запрос на его загрузку. Пользователь, подтверждая запрос, фактически сам заражает свой телефон. После установки в систему червь приступает к активному сканированию окружающего его пространства в поисках новой жертвы.

Активно использующиеся методы социальной инженерии стали еще более продвинутыми и изощренными. Ведь не секрет, что самым критичным звеном в обеспечении полноценной информационной безопасности является все тот же человеческий фактор. Излишнее любопытство персонала, а зачастую просто некомпетентность могут свести на нет даже самую навороченную систему защиты…

атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS)

На сегодняшний день являются одними из самых опасных атак с точки зрения последствий. Посудите сами: крупный обслуживающий банковский сервер, который на некоторое время (пусть даже на полчаса) приостановил свою работу – это убытки, исчисляемые десятками и даже сотнями тысячами долларов. А каковы будут убытки, если сервер замолчит на сутки?

Данный вид атаки в большинстве случаев не требует сверхусилий со стороны атакующего, и поэтому доступен многим из тех, кому это надо… Чем же принципиально отличаются DoS и DDoS от других сетевых атак? Наверное тем, что цели таких атак не сводятся к получению тотального доступа к вашей сети или разведыванию какой-либо конфиденциальной информации. Нападения подобного рода в первую очередь используются для подрыва нормального функционала системы, за счет обработки пакетов или траты системных ресурсов. Подобные нападения имеют следующие разновидности:

UDP flood – представляет собойатаку, при которой на определенный адрес системы-мишени осуществляется отправка множества пакетов UDP (User Datagram Protocol - дополнительный компонент протокола TCP, поддерживающий выполняющуюся без подключений службу датаграмм, не гарантирующую ни доставку, ни правильную последовательность доставленных пакетов). В настоящее время вышеописанный вид атак применяется все реже: особенностью UDP-флудеров является возможность ихлегкогообнаружения, что связано с отсутствием шифрования протоколов TCP и UDP на уровне взаимодействия управляющего атакой и машинами-зомби.

ICMP flood – атака посредством ICMP-протокола (Internet Control Message Protocol - обязательный управляющий протокол в наборе протоколов TCP/IP, сообщающий об ошибках и обеспечивающий связи между узлам сети. Протокол ICMP используется программой Ping для обнаружения и устранения неполадок TCP/IP).

Продолжая экскурс по ICMP, более чем уместно упомянуть о т.н. атаке Smurf, атаке, представляющей собой пинг-запросы ICMPпо адресу
направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивогоадреса источника. В основе Smurf-атаки стоит использование Smurf-ping-запросов по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса
фальсифицированныйадрес источника совпадает с адресом атакуемого. Системы, получившие направленный широковещательный ping-запрос, как им и положено, исправно на негоотвечают, естественно тому, от кого пришел запрос;). Результатом такого ответа является затопление атакуемого большим количеством сетевых пакетов, что в конечном счете, приводит к отказу в обслуживании.

TCP SYN Flood имеет место в случае, если клиент пытается установить TCP-соединение с сервером, что требует обмена определенной
последовательностью сообщений. Сначала клиентская система посылает SYN-пакет на сервер. После чего сервер подтверждает получение SYN-пакета, отсылая SYN-ACK сообщение клиенту. Затем клиент завершает установку соединения, отвечая сообщением ACK, и затем снова должен произойти обмен данными. В точке, где система сервера послала подтверждение (SYN-ACK) назад клиенту, но еще не получила сообщения ACK, устанавливается полуоткрытое соединение. «Фишка» в том, что параметры, касающиеся всех ждущих обработки соединений, располагаются в оперативной памяти сервера, которая не безразмерна, разумеется. Если преднамеренно создать большое число частично открытых cоединений, то память переполнится и система подвисает…

Атаки «Ping of Death» заставляют системы реагировать непредсказуемым образом при получении слишком больших IP-пакетов. TCP/IP поддерживает максимальный размер пакета в 65Кб (как минимум 20 байт информации в IP-заголовке, некоторое количество дополнительной информации и остальная часть пакета, содержащая основные данные). Атаки «Ping of Death» могут вызвать крушение, зависание и перезагрузку системы.

Пример: команда PING -l 65527 -s 1 hostname на NT 3.51 приведет к "синему экрану" со следующим сообщением:

STOP: 0X0000001E
KMODE_EXCEPTION_NOT_HANDLED - TCPIP.SYS
-ИЛИ-
STOP: 0x0000000A
IRQL_NOT_LESS_OR_EQUAL - TCPIP.SYS


Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K) являются распределенными инструментальными средствами, обычно запускающими скоординированные DoS-атаки из многих источников на одну или несколько целей. Использование TFN-атаки дает возможность генерировать пакеты с фальшивыми IP-адресами источника. Механизм атаки приблизительно таков: злонамеренный пользователь, посылает с главного компьютера команды нападения на список TFN-серверов или демонов. Затем демоны генерируют указанный тип DoS-атаки на один или несколько IP-адресов жертв. IP-адреса и порты источника атаки могут изменяться совершенно случайным образом, могут изменяться и размеры пакетов.

Высокая эффективность современныхDDOS-атак достигается путем модификации и комбинирования отдельных ее видов. Уже упомянутые TFN и TFN2K позволяют одновременно инициировать атаки нескольких типов - Smurf, UDP flood, ICMP flood и TCP SYN flood, что делает их мощным инструментом для подобных задач. Пересылка команд и параметров при этом умело замаскирована в передаваемых данных - чтобы не вызвать подозрений у защитного ПО. Как средства организации распределенных атак, TFN и TFN2K относительно сложны итребуют от атакующего намного более высокой квалификации, но и практическая эффективность их намного выше.

Ярчайшим представителемсредств организации DoS-атак нового поколения является «Stacheldracht». Stacheldraht (по-немецки — «колючая
проволока») объединяет в себе особенности некоторых DoS-атак, включая TFN, шифрование связи между нападающим и главными серверами stacheldraht и автоматическое обновление агентов. Начальный этап атаки включает активное массированное проникновение в большое количество систем для последующего использования их при атаке. Затем следует заключительный этап, в ходе которого «порабощенные» системы используются для атаки на один или несколько объектов.

Атаки «IP spoofing» (подмена IP-адресов) имеет место в случае, если атакующий внутри сети или за ее пределами путем подмены истинного IP- адреса выдает себя за компьютер из доверенной зоны. IP spoofing является необходимым инструментом при проведении начального этапа большинства сетевых атак.

В каких случаях чаще всего применяются атаки подобного рода? «IP spoofing» часто используется в случае проведения DoS-атак для сокрытия реального адреса атакующих. Вторым амплуа данного вида сетевых атак можно считать использование его для обхода систем типа FireWall. Каким образом? На начальном этапе атаки (подготовительный этап) производится поиск доверенных машин: сканируется внешняя подсеть атакуемой машины и выявляются потенциальные доверенные адреса. Возможна и автоматизация процесса с использованием специализированного софта вроде Nmap. Используя эту утилиту можно узнать, какому адресу доверяет подопытныйсервер.

Атаки «MAC spoofing». Применяется для фальсификации MAC-адреса. Остановимся на технологии поподробнее. Немного теории: стек TCP/IP
протоколов имеет пятиуровневую структуру: первый уровень - уровень приложений, второй – транспортный, третий - сетевой, четвертый - канальный и, наконец, пятый – физический, уровень взаимодействияоборудования. Самым низшим уровнем передачи данных является пятый (уровень взаимодействияоборудования).

Так вот, в пределах локальной сети каждая сетевая карта маркируется уникальным MAC-адресом — 12-значным шестнадцатеричным числом. Прежде чем отправить пакет в локальную сеть, драйвер сетевой карты определяет по IP-адресу точки назначения физический адрес сетевой карты компьютера адресата и помечает пакет соответствующим MAC. На принимающей стороне сетевая карта, получившая пакет со своим MAC-адресом, пропускает его, направляя по цепочке: драйвер/ОС/приложение.

Взаимодействие машин в сети на физическом уровне обслуживается протоколом ARP, который представляет собой протокол из набора
протоколовTCP/IP, обеспечивающий сопоставление IP-адресов адресам MAC для пакетов IP.В случае, если машина отправляет пакет в пределах подсети, то для сопоставления и привязки MAC/IP служит ARP-таблица. При отсутствии записей в ARP-таблице, в ход идут данные ARP-кэша. И только в крайнем случае, когда данные нигде не найдены, осуществляется широковещательный ARP-запрос по адресу ff:ff:ff:ff:ff:ff (значит всем).

Особенности протокола ARP таковы, что возможна практически беспрепятственная подмена истинных соответствий в ARP-хеше. Как? Просто: протокол ARP не требует аутентификации, так что достаточно послать жертве ложный ARP-пакет,в котором подменено соответствие IP/MAC (чужой IP, наш MAC). Результатом такого действия станет принудительное обновление ARP-кэша жертвы фальсифицированными данными. Для отправки подобных хитрых пакетов существует специализированный софт, автоматизирующий весь процесс и сводящий действия пользователя до минимума.

Password attacks (атаки для взлома паролей) могут использовать различные методы: интеллектуальный взлом, словарные атаки, а также систему автоматического подбора всех возможных комбинаций знаков - «лобовая атака» илиBrute-Force - так называемый грубый перебор паролей. Брутфорс- атаки имеют место в случае, если существует потенциальная возможность множественных попыток аутентификации: e-mail ящики, ftp-аккаунты, SAM- файлы, pwl-файлы, UIN'ы и т.д. В ходе атаки последовательно перебираются все возможные комбинации символов, сочетание которых может оказаться верным. Процесс такого перебора автоматизирован и осуществляется при помощи специализированного софта. Чтобы повысить уровень безопасности и обезопасить себя от вышеуказанных атак, следует использовать надежные пароли. Что это значит? Надежный пароль должен отвечать следующим требованиям:

- Пароль должен состоять не менее чем из семи знаков. Наиболее надежные пароли состоят из 7 или 14 знаков. Причиной надежности таких паролей является способ кодировки (справедливо для хешей паролей).

- Пароль должен сдержать знаки, относящиеся к каждой из следующих трех групп. Это: буквы (прописные и строчные) A, B, C... (или a, b, c...), цифры, символы (все знаки, не являющиеся буквами или цифрами) ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /. .

- Пароль должен содержать не менее одного символа в позициях со второй по шестую.

- Пароль должен значительно отличаться от паролей, использовавшихся ранее.

- Пароль не должен содержать фамилии или имени пользователя.

- В качестве пароля нельзя использовать распространенное слово или имя.

сетевой снифинг

Снифинг представляет собой разновидность сетевой атаки, смысл которой заключается в перехвате всех пакетов «гуляющих» по сети. Подобный тип атак осуществляют посредством специализированного софта – сниферов. Применение пакетных сниферов не ограничено перехватом паролей и другой чувствительной информации: прежде всего сетевые сниферы используют в диагностических целях для анализа трафика и поиска причин неисправности сети.

Следует обратить особое внимание на то, что многие сетевые протоколы не предусматривают какое-либо шифрование, а это значит лишь то, что злоумышленник, перехватив такой пакет, получит критическую информацию сразу, не утруждая себя взломом. Примером таких протоколов являются telnet, FTP, SMTP, POP3 и др.

Почему же все-таки возможен перехват пакетов? Ведь по идее, каждый отправленный пакет в своем заголовке содержит MAC-адрес получателя. Машина, получившая такой пакет анализирует MAC-адрес со своим и, при удачном стечении обстоятельств, обрабатывает пакет.

Из вышесказанного напрашивается вопрос: что мешает остальным компьютерам в сети получить этот пакет. Практически ничего. Все, что
необходимо – это перевести сетевую карту в т.н. «promiscuous-режим», чтобы отключить фильтрацию чужих сообщений. Как? Просто:с помощью мало- мальски приличногоснифера.

Все вышесказанное справедливо для локальных сетей, построенных на основе хабов, т.е. там, где пакеты передаются по принципу "лови кто хочет". Возможно ли такое в сетях, построенных на свитчах?

Да. Возможно. Для обмана коммутируемых маршрутизаторов типа свитч возможно применение технологии ARP Cache poisoning, основанной на «отравлении» ARP-кэша жертвы.

Для обнаружения пассивных сниферов, используемых в некоммутируемых локальных сетях, можно использовать следующий софт, который «палит» promiscuous-режим. Прежде всего это:AntiSniff (www.l0pht.com/antisniff/), Check Promiscuous Mode (ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/) и sentinel (www.packetfactory.net/Projects/sentinel/).

Для обнаружения активных сниферов, то есть тех, которые используют технологиюARP-poisoning, вполне подойдут следующие утилиты,
обнаруживающие аномальный ARP-трафик: arpwatch (http://www-nrg.ee.lbl.gov) и remote arpwatch (www.raccoon.kiev.ua/projects/remarp/).



Бойцев О.М., boyscout_zone@yahoo.com
обсудить статью
© сетевые решения
.
.