Сниффинг пакетов: Сниффинг Средства обнаружения методов профилактики

1. Введение:

Homepage | Submit an article | Contact us

Распространенные заблуждения When It Comes To PC Security

Биометрические замки тайны: Что такое ДОИ

Биометрические замки тайны: что такое FAR / ФМР

Общие проблемы Компьютеры и ремонт

Биометрические замки тайны: Что такое создание отпечатков пальцев

Биометрические замки тайны, что является датчик

Биометрические замки тайны, что же ОУР Среднее

Что такое антивирусное программное обеспечение

Биометрические замки: Почему вам следует обратиться к установке экспертов

Последние Компьютерные Советы и хитрости для здоровья Компьютерные

Как ускорить свой компьютер

Биометрические замки: Как Windows 7 Биометрическая Драйвер помогает Вам

Пакетная sniffer - это программа, которая контролирует сетевой трафик, который проходит через компьютер. А пакет sniffer который запускается на ПК подключен к Интернету с помощью модема, Вам расскажут Ваш текущий адрес, а также IP- адреса веб-серверов, чьи сайты вы посещаете.
Вы можете наблюдать все снимите с шифрованием данных, что путешествует с компьютера, на Интернет. Это включает пароли и другие конфиденциальные данные, что это не обеспечивается шифрование. Поместите пакет sniffer на маршрутизатор в интернете, и вы можете наблюдать все сетевого трафика, который проходит через этот маршрутизатор. Это включает в себя абсолютно никому, чьи данные происходит, что через маршрутизатор.
Sniffers в основном перехват данных программ. Они работают, поскольку Ethernet была построена вокруг принципа обмена. Большинство сетей использовать так называемый эфир технологии, что означает, что каждое сообщение передается на один компьютер в сети, может прочитать любой другой компьютер в этой сети. На практике, все остальные компьютеры, за исключением одного, по которым сообщение означает, что будет игнорировать сообщение. Однако, компьютеры можно признать сообщения, даже если они не предназначены для них, путем проведения sniffer.
А sniffer, как правило, пассивной, она только собирает данные. Таким образом, он становится чрезвычайно трудно обнаружить sniffer. После установки на компьютер, sniffer будет генерировать около небольшого количества движения, хотя, и поэтому обнаружить.

2. Рабочая пакет sniffer

А пакет sniffer работ, взглянув на каждый пакет передается в сеть, в том числе пакетов, не предназначенных для себя. Это достигается в различных формах. Эти sniffing методы будут описаны ниже. Sniffers также работают по-разному, в зависимости от типа сети, они находятся в

Общие Ethernet:
В общей среды Ethernet, все хосты подключены к той же автобус и конкурируют друг с другом за пропускную способность. В такой обстановке пакеты предназначены для одной машине будут получены все другие машины. Таким образом, любая машина в таких условиях в жизнь режим сможет захватить пакеты предназначены для других машин, и поэтому слушать весь трафик в сети.

Switched Ethernet:
В Ethernet среде, в которой хосты подключены к выключателя, а узел называется Switched Ethernet. Переключатель поддерживает таблицу отслеживания каждого компьютера МАС-адресу и доставляет пакеты предназначены для какого-то конкретного компьютера к порту, на котором, что машина подключена. Переключатель является интеллектуальное устройство, которое посылает пакеты, предназначенные для компьютера только и не эфир для всех машин в сети, как и в предыдущем случае. Это коммутируемых Ethernet условия для лучшего производительность сети, но как дополнительное преимущество, машина в жизнь режим не будет работать здесь. В результате этого, большинство сетевых администраторов предположить, что sniffers не работать в Switched окружающей среды.

3. Использование пакета Sniffers

Сниффинг программы в двух формах. Коммерческий пакет sniffers используются для поддержания сетей, а под пакет sniffers используются злоумышленникам получить несанкционированный доступ к удаленного узлу. Ниже приводятся несколько простых примеров использования sniffing программы:

• Поиск сплошной текст имена пользователей и пароли из сети.
• Преобразование сетевого трафика в человеческой форме.
• Сети анализа, чтобы найти узкие места.
• сеть обнаружения вторжений для наблюдения за нападавшими.

Использование sniffer в незаконное время считается пассивной атаки. Он не непосредственно или интерфейс подключения к любым другим системам в сети. Однако, компьютер, что sniffer установлена на может быть скомпрометирована, используя активное нападение. Пассивный характер sniffers делает их выявления столь сложно. Следующий список описывает несколько причин злоумышленников используют sniffers в сети:

Оформление текста ясно - имена пользователей и пароли
ущерба собственности информацию
Оформление и replaying Голос свыше ИС телефонных разговоров
картографирования сети
Пассивная OS отпечатков пальцев

Очевидно, что это незаконное использование в sniffer, если вы проникновение испытатель чья задача это найти такого рода недостатки и сообщить о них для организации. Для sniffing произойдет, нарушителя по закону должен сначала получить доступ к коммуникации от кабельных систем, которые представляют интерес. Это означает тот же разделяет сегмент сети, или использование кабеля где-то между путями сообщений. Если атакующим не физически присутствовать на целевой системе или сообщения, точку доступа, есть еще способы нюхать сетевого трафика. К ним относятся:

Проникновение целевого компьютера и установки дистанционно управляемых sniffing программного обеспечения.
Проникновение сообщений точку доступа, например, Internet Service Provider (ISP) и установка sniffing программного обеспечения.
Обнаружение / вывод системы на ISP, что уже sniffing программного обеспечения.
С помощью социальной инженерии для получения физического доступа в ISP установить пакет sniffer.
Наличие инсайдерской сообщника на целевой компьютер организации или ISP установить sniffer.
Переадресация сообщений принять путь, который включает в себя атакующего компьютера.

4. Сниффинг Инструменты

tcpdump: Tcpdump - это мощная утилита, которая позволяет нам нюхать сети пакетов и сделать статистический анализ некоторых из этих свалок. Один из основных недостатков в tcpdump - размер плоского файла, содержащего текст производства. Но tcpdump позволяет нам четко видеть все движения и позволяет нам создавать статистического наблюдения скриптов.
sniffit: энергичный пакет sniffer с хорошей фильтрации.
Ethereal: Бесплатный анализатор протокола сети для UNIX и Windows. Она позволит вам изучить данные из сети или живут от захвата файла на диске.
Хант: Основная цель этой ОХОТА проекта является разработка инструментов для эксплуатации известных слабых мест в TCP / IP протокол оф.
Dsniff: Dsniff - это набор инструментов для аудита сети и проникновение испытаний. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf и webspy пассивно контролировать сеть для интересных данных (пароли, e-mail, файлы и т.д.). arpspoof, dnsspoof и macof облегчить перехват сетевого трафика, как правило, недоступны для атакующего (например, из-за слоя - 2 коммутации). sshmitm и webmitm осуществлять активную обезьянка - в - в случае атаки против перенаправлены SSH и HTTPS сессий, используя слабые связывания в специальной ИПК.

5. Сниффинг методы

Есть три вида sniffing методов. Некоторые методы работы, не коммутируемым сетям, тогда как другие работы в коммутируемых сетей. В sniffing методы: на основе ИС sniffing, MAC основе sniffing и ARP основе sniffing.

5,1 основе ИС sniffing

Это подлинные способ пакетной sniffing. Она работает путем сетевую карту в режиме жизнь и sniffing все пакеты, соответствующие адреса фильтр. Как правило, адреса фильтр не установлен поэтому он может охватить все пакеты. Этот метод работает только, не коммутируемым сетям.

5,2 ВКП основе sniffing

Этот метод работает путем сетевую карту в режиме жизнь и sniffing всех пакетов соответствует МАС-адресу фильтр.

5,3 ARP основе sniffing
Этот метод работает немного иначе. Он не поставить сетевую карту в жизнь режиме. Это не является необходимым, поскольку ARP пакетов будет отправлен к нам. Это происходит потому, что ARP протокол гражданства. Из-за этого, sniffing может быть сделано по коммутируемым сети. Для выполнения такого рода sniffing, Вы можете отравить ARP cache1 из двух хостов, которые нужно нюхать, определяя себя как другие принимающие в связи. Когда ARP тайников являются отравления, два хостов начала их связи, но вместо направления движения непосредственно в другой она будет отправлено нам. Мы Затем войдите движения и направить их в реальный пребывания на другой стороне соединения. Это называется человек, в середине - в нападении.

6. Обнаружение пакета sniffer

В теории, невозможно обнаружить sniffing программ, поскольку они являются пассивными: они лишь собирают пакеты, они не передавать ничего. Однако на практике это иногда позволяет обнаруживать sniffing программ.
Общий обзор методов обнаружения

6,1 проверяют методом

Задача используется здесь направить вызов с просьбой адрес подозреваемого машину, но не его МАС-адресу. В идеале, машина не должны видеть этот пакет, поскольку каждый Ethernet адаптер отвергнет его, поскольку он не соответствует своей собственной МАС-адресу. Если подозреваемый машина работает sniffer, он будет отвечать, поскольку он не отвергает пакеты с различными назначения МАС-адресу. Это старый метод, а не достоверными.
Большинство "пакет sniffers" запустить на обычных машинах с обычной TCP / IP стека. Это означает, что если отправить запрос на эти машины, они будут реагировать. Задача состоит в том, чтобы отправить запрос на адрес машины, но не к его Ethernet адаптер.

6,2 ARP метод

В ARP метод похож на метод проверяют, но ARP пакетов используется вместо. Самый простой метод ARP передает ARP на один, не широковещательный адрес. Если машина отвечает на такой ARP ее адрес, то он должен быть в жизнь режиме.
Одним из вариантов этого метода используется тот факт, что машины "кэш" ARPs. Каждый ARP содержит полную информацию как отправителя, а также желаемый целевой информации. Иными словами, когда я отправить один ARP на широковещательный адрес, я включить мою ИС в адрес Ethernet карт. Все остальное по проводам запоминает эту информацию в течение нескольких минут. Таким образом, можно сделать что-то вроде отправки, не ARP эфир, то эфир проверить. Каждый, кто отвечает на ваши проверяют без ARPing можно только получали MAC- адреса из sniffed ARP кадра. (Чтобы сделать двойной Конечно, использовать другой источник МАС-адресу в пинге).

6,3 DNS метод

Многие sniffing программы сделать автоматического копирования DNS поиск по адресов они видят. Таким образом, жизнь режим может быть обнаружен по смотрят на DNS трафика, который он генерирует.
Этот метод позволяет обнаруживать двойного homed машины и может работать удаленно. Вы должны контролировать входящий обратный поиск DNS по DNS сервер в вашей организации. Просто сделать вызов зачистке всей компании в отношении машин, которые, как известно, не существует. Кто угодно делает обратном DNS поиск этих адресов пытаются поиска IP- адреса рассматриваться в ARP пакетах, которые только sniffing программы делать.

6,4 Источник маршрут метод

Другой метод предполагает настройку источник информации - маршрут внутри ИС заголовка. Это может быть использовано для обнаружения пакета sniffers о других, близлежащих сегментов.

Создать проверяют пакет, но поставить потерять источник маршрута, чтобы заставить его другой машины того же сегмента. Эта машина должна иметь маршрутизация отключена, так что он не будет в действительности вперед к цели.
Если вы получаете ответ, то вполне вероятно целевой sniffed пакет у проволоки.
В ответ doublecheck с TTL области, чтобы узнать, если она "вернулась из-за sniffing (а не маршрутизатор правильно)

В потерять источник маршрутов, возможность добавить к IP- заголовка. Маршрутизаторы будут игнорировать адрес назначения и вместо этого ожидает следующего адреса в источник - вариант маршрута. Это значит при отправке пакета, вы можете сказать: "отправьте пакета к Anoushka, но маршрут через арийской первый".
В этом сценарии, как "арийских" и "Anoushka" находятся в сегменте. Арийской не маршрут, и поэтому будет сокращение пакета, когда получены. Поэтому "Anoushka" будет только реагировать, если она sniffed пакет из проволоки.
На покинуть шанс, что арийских действительно маршрута (в этом случае Anoushka ответит), тогда TTL поле может быть использована для проверки Anoushka ответ от маршрутизации на основе арийской, или ответить прямо.

6,5 В decoy метод

Если проверяют и только ARP методы работы по локальной сети, то decoy метод работает везде.
Поскольку так много протоколов, чтобы "простой текст" пароли, и хакеров перспективе sifters ищет тех, паролями, decoy метод просто удовлетворяет эту необходимость. Оно состоит просто в создании клиента и выполнять по обе стороны от сети, которые клиент запускается скрипт войти в сервер с помощью Telnet, POP, IMAP, или другие обычные текстовые протокола. Сервер настроен со специальных счетов, которые не имеют реального человека, или сервер полностью виртуальный (в этом случае, счета не действительно существуют).

6,6 пребывания метод

Когда хакеров проникнуть вашей системы, они часто оставляют wiretap программ, выполняющихся в фоновом режиме в целях нюхать пароли и аккаунты пользователей у проволоки. Они часто отражение (как троянский), в других программах, так что единственный способ найти что-то вроде, если это запускаемый для запроса интерфейсов, чтобы, если они открыты в жизнь режиме.

6,7 латентность метод

Этот метод основан на предположении, что наиболее sniffers некоторые разбора. Проще говоря, в этом методе огромный объем данных направляется в сети, и подозреваемый машина pinged до и во время наводнения данных. Если машина находится в режиме жизнь, это разбор данных, что увеличивает нагрузку на него. Поэтому принять дополнительное время для ответа на пакет проверяют. Эта разница во времени может быть использована как индикатор того, имеет ли машина в жизнь режиме. А момент отметить - это пакеты, может быть отложено из-за нагрузки на провода, в результате ошибочных результатов.
Это более злом методом. С одной стороны, она может значительно ухудшать производительность сети. С другой стороны, она может "слепой" пакет sniffers, направляя слишком много трафика.
Этот метод функций отправки огромного количества сетевого трафика по проводам. Это никак не влияет на жизнь, не машины, но имеет огромное влияние на sniffing машины, особенно при разборе протоколов прикладного уровня паролей. Просто проверяют машины перед нагрузкой и во время нагрузки и испытания разница во времени может указать, если машина под нагрузкой.
Одна проблема этого метода заключается в том, что пакеты могут быть задержаны только из-за нагрузки на провода, которые могут случае таймауты, и поэтому ошибочных результатов. С другой стороны, многие sniffing программы "пользовательском режиме", тогда команд являются ответил в "режим ядра", и поэтому зависит от нагрузки на CPU машину, в результате чего ложных негативов.

6,8 ДТР (время - Область Reflectometers)

А ПТБ основном РАДАР для проволоки. Он посылает импульсов вниз по проводам, а затем в графическом виде размышления о том, что вернется. Один эксперт может взглянуть на график ответ и посчитайте, если таковые устройства прикрепляются к проводам, что не следует. Они также примерно сказать, где, с точки зрения расстояния вдоль проволоки, кран находится.
Это может обнаруживать аппаратные пакет sniffers, которые могут быть приложены к проводам, но которые полное молчание иначе. КРПХО используемых для использования много в старых дней коаксиальный Ethernet в целях выявления vampire краны, но в эти дни в топологии звезды, они используются крайне редко. Там также существуют OTDR оборудования, но это действительно только для действительно параноик.

6,9 Центра огни

Вы можете вручную проверить узел - огни, чтобы в случае каких-либо соединений вы не ожидаете. Она позволяет иметь метку кабели, чтобы выяснить, где (физически) пакетов sniffer могут быть расположены.

6,10 SNMP мониторинга

Smart узлов с SNMP управление может обеспечить автоматизированный monitroning по Ethernet (и других) центров. Некоторые консоли управления будет даже можно войти подключения / отключения на все ваши порты. Если вы в настройках системы с информацией, где все кабели прекратить, можно иногда отследить, когда пакет sniffer может скрываться.

7. Есть несколько инструментов, которые могут быть использованы для обнаружения sniffers в сети.

Многие из них устарели и не активно поддерживать, а иногда и просто трудно найти. Кроме того, новые sniffers были переписаны, чтобы избежать их обнаружения. Однако, вот несколько из них.

7,1. PromiScan Версия 0,27: Это бесплатная программа Безопасности пятницу является обновленной и активно поддерживать. Он работает на Windows 2000 и XP и требует WinPcap драйвера. Оно может сканировать локальную сеть ищет дистанционного жизнь режиме адаптеров, с использованием ARP пакеты.

7,2. AntiSniff Данная программа первоначально была написана L0pht, но больше не поддерживается и поддерживаться.

7,3. Дозорный Это бесплатная программа выполняет дистанционного обнаружения жизнь, и работает на различных версиях Linux и BSD. Она требует libpcap и libnet библиотек действовать.

7,4. Neped сети Promiscuous Ethernet Detector является бесплатной основе UNIX программы, изначально написанный на Apostols группы дистанционного обнаружения жизнь режиме сетевой интерфейс карты Linux на компьютерах. Она лишь определяет, на подгруппе Linux систем с устаревших ядрах до версии 2.0.36. В Apostols сайт больше не существует и neped может быть трудно найти.

7,5. Проверить Promiscuous режиме (CPM) Это бесплатная UNIX на основе программы, разработанной CERT / CC в ответ на расширение сети sniffing.

7,6. Ifstatus Это бесплатная UNIX системой обнаружения жизнь режиме интерфейсов на Solaris и AIX систем.

7,7. Promisc.c Это бесплатная UNIX системой обнаружения жизнь режиме интерфейсов по Linux и некоторых SunOS систем.

8. Предотвращение пакет sniffers

Лучший способ обеспечить Вас от sniffing является использование шифрования. Хотя это не допустить sniffer функционировать, то чтобы какое sniffer гласит является чисто нежелательная.

К счастью, существует ряд методов, которые можно использовать в сети, которые обеспечивают защиту от пассивного нападения известный как sniffing.

Некоторые методы профилактики являются:

8,1. PGP и S / MIME

Электронная почта может быть sniffed во многих альтернативных путей. Она проходит через корпоративные брандмауэры, которые могут контролировать движения. Она часто получает систему и сохранена для длительных периодов времени. Он может получить случайно неправильно, и в итоге кем-то в почтовый ящик. Лучший способ сохранить такие электронной почте секрет заключается в том, чтобы зашифровать. Два распространенных способов сделать это - с PGP (Pretty Хорошо конфиденциальности) и S / MIME (Secure MIME). PGP можно приобрести в дополнение к многим продуктам. S / MIME строится на электронную почту приложения, Netscape и Microsoft.

8,2. Secure Shell (SSH)

SSH - это приложение уровня VPN, что проходит над TCP обеспечить клиента до сервера сделок. Это часто используется для общих логинов и управлять серверами удаленно. Она обычно используется для замены Telnet, FTP, и Беркли Услуги "р" команд. Однако, поскольку любые произвольные TCP протокола могут быть tunneled через SSH связи, ее можно использовать для многих других приложений. SSH предоставляет подлинности, ЮАР или суточные асимметричной пары ключей. Заголовки в SSH сессии, не шифруется, поэтому атакующим будут иметь мнению источника и назначения адресов.

8,3. VPNs (Виртуальные Частные Сети)

VPNs предоставить зашифрованный трафик через Интернет. Однако, если хакером компромиссы конечных узлов в VPN связи, они еще могут нюхать трафик. Типичный сценарий для конечного пользователя, которые surfs Интернет, как правило, запускается на компьютере и с удаленного доступа Троян (RAT), который содержит sniffing плагина. Когда пользователь устанавливает VPN связи, sniffing программы смогут увидеть не только с шифрованием трафика, что можно увидеть в Интернете, но незашифрованного трафика до она будет отправлять через стек к VPN.

8,4. Secure Sockets Layer (SSL) / Транспорт слой безопасности (TLS)

SSL изначально разработанные Netscape связи для обеспечения безопасности и конфиденциальности в Интернет сессий. Она была заменена TLS как указано в RFC 2246.TLS обеспечивает безопасность на транспорте слоя и преодолевает некоторые вопросы безопасности SSL. Он используется для включает сетевого трафика более высокого уровня, таких как LDAP, HTTP, FTP, NNTP, POP3 и IMAP. Он обеспечивает аутентификацию и целостность с помощью цифровых сертификатов и цифровых подписей.

8,5. ИС безопасности (IPSec)

IPSec - это сеть, на уровне протокола, который включает в безопасности в IPv4 и IPv6 протоколов непосредственно на межсетевой уровень, расширив IP- пакет заголовка. Это дает возможность шифровать любые высшего слоя протокола. В настоящее время она включена в маршрут устройств, брандмауэров, и клиентов для обеспечения сетей доверять друг другу. IPSEC предоставляет ряд средств для аутентификации и шифрования, поддерживает целый ряд открытых ключей аутентификации шифры и симметричный ключ шифрования шифры. Она может работать в режиме туннеля в новой ИС заголовок, который будет маскировать первоначального источника и назначения адресов.

8,6. Одноразовые пароли (КО)

Одноразовые пароли еще один метод защиты от sniffing. S / ключ, одноразовые пароли в Все (OPIE), и других единовременных пароль методы защиты от сбора и повторного использования паролей. Они действуют, используя вызов - реакция метод, и другой пароль передается каждый раз, когда требуется аутентификация. Пароли, что sniffer собирает будут бесполезны, поскольку они используются только один раз. Smart карты популярный метод осуществления одноразовой passwords.E почте защиты является горячей темой для обеих компаний и частных лиц. Два методы защиты электронной почты, путем шифрования его транзита и хранения в, довольно.

9. Ссылки

www.securitysoftwaretech.com
www.robertgraham.com
www.fernando.org.uk
www.linuxjournal.com
http://cs.baylor.edu
www.tldp.org
www.zurich.ibm.com
www.robertgraham.com
www.linuxsecurity.com

Сухас А Десаи:
Сухас А Десаи работает с Технология Махиндра ООО Пуне как разработчик. Он принимает активное участие в открытых источников сообщества. Он является автором многих научных документов, статей и функции для известных международных и национальных конференций, журналы и отчеты. Он пишет характеристик www.linuxsecurity.com. В свое свободное время он проводит лекции, семинары для специалистов Software и студентов.

это статья добавлена Сухас А Десаи