Глава 10 Прослушивание сетевого графика

В этой главе обсуждаются следующие темы:

• Что такое прослушивание сетевого графика?

• Что прослушивать?

• Популярное программное обеспечение для прослушивания сетевого трафика

• Усовершенствованные методы прослушивания сетевого трафика

• Исследование программных интерфейсов приложений операционных систем

• Защитные меры

• Применение методов обнаружения

· Резюме

· Конспект

· Часто задаваемые вопросы

Введение

Sniff

гл. sniffed, sniffing, sniffs.

1. а) Вдыхать через нос; б) сопеть; фыркать.

2. Нюхать; обнюхивать, принюхиваться.

Sniffed at the jar to see what it held – принюхаться к банке, для того чтобы узнать, что в ней.

3. Презрительно, пренебрежительно относиться к чему-либо.

The critics sniffed at the adaptation of the novel to film. – Критики презрительно отнеслись к адаптации романа к фильму.

4. Неформ. – процесс подслушивания, подглядывания или выведывания, шпионажа.

Подглядывать, подсматривать, любопытствовать, вмешивать, совать нос в чужие дела, выведывать, выпытывать.

The reporters came sniffing around for more details. – Журналисты сновали вокруг, выведывая подробности.

Как видно из приведенного выше определения, слово sniffing имеет несколько значений. Несмотря на то что мы полагаем, что хакеры производят раздражающие фыркающие звуки, принюхиваются к банкам, для того чтобы узнать их содержимое, и в особенности пренебрежительно относятся к нарушению закона, мы в самом деле заинтересованы в последнем значении: процесс подслушивания, подглядывания или выведывания, шпионажа.

Что такое прослушивание сетевого трафика?

Прослушивание сетевого трафика является методом, с помощью которого нарушитель может скомпрометировать безопасность сети в пассивном режиме. Анализатор трафика (sniffer) – программа, которая пассивно наблюдает компьютерную сеть на предмет ключевой информации, интересующей нарушителя. В большинстве случаев эта информация является информацией аутентификации, например имена пользователей и пароли, которые могут быть использованы для получения доступа к системе или ресурсу. Анализаторы трафика включены в состав большинства инструментариев для получения прав администратора / суперпользователя (rootkits). Если ваша UNIX-система подверглась взлому, скорее всего анализатор трафика на ней уже запущен.

Как это работает?

Существуют два метода прослушивания сетевого трафика: метод «старой школы» и метод «новой школы». В старые времена компьютеры соединялись посредством общей среды. Все они совместно использовали один и тот же локальный провод, и сетевой трафик был виден всем всеми компьютерами. Сетевые карты фильтровали трафик таким образом, что присоединенные компьютеры видели только свой трафик, а не чей-либо еще. Это не являлось функциональностью безопасности, а было разработано во избежание перегрузки машины. Программное обеспечение прослушивания сетевого трафика блокирует этот фильтр, переводя карту в так называемый «безразличный режим» («promiscuous mode»). Программное обеспечение специально настроено так, чтобы работать с большим потоком трафика и далее либо анализировать, либо захватывать его.

В настоящие дни все больше и больше компьютеров соединены с помощью коммутаторов. Вместо того чтобы распространять сетевой трафик по всей сети, коммутаторы фильтруют трафик на концентраторе. Это не дает компьютеру видеть чей-либо еще трафик даже в случае перевода адаптера в «безразличный режим». Нарушители должны либо активно атаковать коммутатор / маршрутизатор, для того чтобы перенаправить поток трафика (который мы опишем позже), либо довольствоваться наблюдением трафика, проходящего через уже скомпрометированный ими компьютер.