книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

На следующем снимке экрана показано имя пользователя

(«9781466517943») сеанса FTP, захваченного анализатором CommView.

А на следующем снимке экрана показан пароль сеанса FTP, записанный анализатором CommView.

Существует множество готовых к использованию программ для анализа паролей, которые поддерживают мониторинг паролей через FTP,

POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), HTTP

(HyperText Transfer Protocol) и Telnet. Примеры перехватчиков паролей включают Ace Password Sniffer (http://www.effetech.com/aps/), Password Sniffer (htt://www.packet-sniffer.net/password-sniffer.htm), и SniffPass (http://www.nirsoft.net/utils/password_sniffer.html). В общем, анализаторы паролей - это небольшое программное обеспечение для мониторинга, которое прослушивает сети, захватывает пароли, которые проходят через сетевые адаптеры, и мгновенно отображает их на экране. На следующем снимке экрана показан пример прослушанных паролей, сгенерированных инструментом Ace Password Sniffer.

Атаки с использованием сетевого трафика обычно трудно обнаружить, потому что они вообще не влияют на сетевой трафик. На практике обнаружение узлов сети в сети состоит из обнаружения узлов с сетевыми картами, работающими в произвольном режиме. Узлы сети с сетевыми картами, работающими в случайном режиме, можно считать подозрительными узлами. Важно отметить, что некоторые программы, однажды установленные на хосте, могут установить сетевой адаптер хоста в беспорядочный режим, не имея намерения выполнять какие-либо злонамеренные действия по прослушиванию. Кроме того, пользователь хоста не знает о том, что установленная программа установила сетевой адаптер его хоста в случайный режим. Такой хост будет идентифицирован как подозрительный хост, поскольку его сетевой адаптер работает в случайном режиме. В таком случае администратор сети должен предпринять соответствующие действия.

В этой главе обсуждается практическое упражнение о том, как обнаружить сетевой адаптер, работающий в случайном режиме. Используются следующие программные инструменты:

*NetScanTools Pro *: случайный инструмент обнаружения

*PromiScan †: случайный инструмент обнаружения

*Инструмент CommView ‡: инструмент для мониторинга и анализа сети (анализатор)(sniffer)

*CommView Visual Packet Builder§: генератор пакетов на основе графического интерфейса пользователя (GUI)

4.2Лабораторная работа 4.1: Обнаружение случайного режима

4.2.1 Результат

Цель этого упражнения состоит в том, чтобы учащиеся узнали, как обнаружить NICb, работающий в беспорядочном режиме.

4.2.2 Описание

Когда сетевой адаптер работает в беспорядочном режиме, пакеты, которые должны фильтроваться аппаратным фильтром сетевого адаптера, теперь передаются ядру системы. Поэтому, если мы настроим пакет запроса ARP (Address Resolution Protocol) таким образом, чтобы он не имел широковещательного MAC-адреса в качестве MAC-адреса назначения в заголовке Ethernet пакета, отправим его подозрительному узлу в сети и обнаружим, что хост отвечает на это, затем хост работает в беспорядочном режиме.

Следовательно, этот метод обнаружения состоит в проверке того, реагирует ли подозрительный хост на пакеты запросов ARP с перехватом, которые не должны обрабатываться подозрительным хостом. Поскольку

*http://www.netscantools.com

†http://www.securityfriday.com

‡ http://www.tamos.com § http://www.tamos.com

хост, принимающий анализ, получает пакеты, которые не нацелены на него, он может совершать ошибки, такие как ответ на пакет запроса ARP, который первоначально должен был фильтроваться аппаратным фильтром сетевого адаптера хоста. Следовательно, обнаружение выполняется путем проверки пакетов ответа ARP, когда пакеты запроса ARP отправляются подозрительному узлу в сети.

Например, MAC-адрес назначения пакета запроса прерывания ARP установлен на MAC-адрес, который не существует, такой как «00-00-00- 00-00-01». Когда сетевой адаптер работает в обычном режиме, пакет прерывания ARP считается пакетом «для другого хоста» и отклоняется аппаратным фильтром сетевого адаптера. Однако, когда сетевой адаптер работает в случайном режиме, его аппаратный фильтр отключен. Затем пакет запроса прерывания ARP сможет передать ядру системы. Ядро системы предполагает, что пакет прибыл, потому что это было разрешено аппаратным фильтром NIC, и, следовательно, должен быть сгенерирован ответный пакет. Однако это не так. В ядре системы существует своего рода дополнительный программный фильтр, называемый программным фильтром. После аппаратного фильтра пакеты фактически снова фильтруются программным фильтром ядра системы. Поэтому, когда сетевая карта работает в обычном режиме, включаются аппаратные и программные фильтры. Однако, когда сетевая карта работает в случайном режиме, аппаратный фильтр отключен, но программный фильтр ядра системы остается включенным. Типы фильтров, выполняемых программным фильтром, зависят от ядра операционной системы (ОС).

4.2.3 Тесты

Целью тестов является выявление механизмов фильтрации, используемых программными фильтрами ядер нескольких распространенных ОС. Для каждого ядра ОС тесты состоят из определения специальных MAC-адресов, которые будут использоваться пакетами ARP-ловушек для обнаружения сетевых адаптеров, работающих в случайном режиме. Если ответ ARP получен в результате тестового пакета запроса ARP, то специальный MAC-адрес назначения, включенный в пакет запроса ARP, может быть использован для идентификации сетевых адаптеров, работающих в смешанном режиме.

Вследующем списке перечислены специальные MAC-адреса,

используемые в тестах.

*FF:FF:FF:FF:FF:FF (Br): Это широковещательный MAC-адрес, который должны получать все хосты в локальной сети. Этот адрес не фильтруется аппаратными и программными фильтрами. Он используется для проверки того, поддерживает ли хост широковещательный MAC-адрес Br.

*FF:FF:FF:FF:FF:FE (Br47), FF:FF:00:00:00:00 (Br16), и FF:00:00:00:00:00 (Br8): Это поддельные широковещательные MAC-адреса. Они используются для проверки того, проверяет ли программный фильтр все биты данного MAC-адреса, чтобы классифицировать его как широковещательный MAC-адрес.

*01:00:00:00:00:00 групповой бит адрес (Gr): это MAC-адрес, для которого установлен только групповой бит. Он используется для проверки того, считает ли программный фильтр MAC-адрес многоадресной рассылки.

*01:00:5E:00:00:00 адрес многоадресной рассылки 0 (M0): Этот многоадресный MAC-адрес обычно не используется. Он используется для проверки того, считает ли программный фильтр MAC-адрес многоадресной рассылки.

*01:00:5E:00:00:01 адрес многоадресной рассылки 1 (M1): Это MACадрес многоадресной рассылки, который должны получать все хосты

влокальной сети. Этот адрес не фильтруется аппаратными и программными фильтрами. Он используется для проверки того, поддерживает ли хост MAC-адреса многоадресной рассылки.

01:00:5E:00:00:02 адрес многоадресной рассылки 2 (M2): Этот многоадресный MAC-адрес называется адресом многоадресной группы «Все маршрутизаторы». Он адресован всем маршрутизаторам в одном сегменте сети. Следовательно, это пример многоадресных MAC-адресов, которые не зарегистрированы в многоадресных списках сетевых адаптеров. Он используется для проверки того, считает ли программный фильтр MAC-адрес многоадресной рассылки.

* 01:00:5E:00:00:03 адрес многоадресной рассыки 3 (M3): Этот многоадресный MAC-адрес является примером многоадресных адресов, которые не назначены. Он используется для проверки того, считает ли программный фильтр MAC-адрес многоадресной рассылки.

В таблице 4.1 и таблице 4.2 показаны результаты испытаний для нескольких ОС. После отправки пакета запроса ARP, если ответный пакет ARP не получен, в столбце помещается «-». Если получен допустимый ответный пакет ARP, в столбце помещается буква «O». Однако, если получен недопустимый пакет ответа ARP, в столбце помещается символ «X». Ответ ARP считается недопустимым, когда предполагается, что соответствующий ему пакет запроса ARP заблокирован аппаратными или программными фильтрами, и, следовательно, пакет ответа ARP не должен приниматься. Однако, когда сетевая карта работает в случайном режиме, результаты теста показывают, что программные фильтры ядра протестированной ОС неправильно фильтруют MAC-адреса нескольких типов, в основном адреса Br47 и Br16.

MAC-адрес Br и многоадресный MAC-адрес M1, когда сетевой адаптер работает в обычном режиме. Однако, когда сетевой адаптер работает в случайном режиме, результаты теста выполняются в операционной системе. Это,

* В случае Windows 7, Windows Vista, Mac OS 10.7.3, Ubuntu 8.10, Red Hat Enterprise 7.2 и FreeBSD 5.0 их системные ядра отвечали на все поддельные широковещательные MAC-адреса (Br47, Br16 и Br8) и на MAC адреса с установленным групповым битом (Gr, M0, M2 и M3). Следовательно, вышеупомянутые MAC-адреса могут использоваться для идентификации сетевых адаптеров, работающих в случайном режиме. Широковещательный MAC-адрес Br и многоадресный MAC-адрес M1 не рассматриваются, поскольку они являются адресами, которые должны получать все узлы в локальной сети. Для вышеупомянутых ОС на следующем рисунке показано, что поддельные широковещательные MAC-адреса Br47, Br16 и Br8 фильтруются.

Примечание: O: легальный ответ, X: нелегальный ответ, —: нет ответа.

Примечание: O: легальный ответ, X: нелегальный ответ, —: нет ответа.

аппаратный фильтр, когда сетевая карта работает в обычном режиме.

Однако они принимаются и отправляются ядру системы, когда сетевая карта работает в случайном режиме, как показано на рисунке ниже.