Перехват другого сетевого трафика

Несмотря на то что порты, рассмотренные нами, в большинстве случаев прослушиваются вследствие того, что информация аутентификации проходит в открытом виде, они не являются единственными портами, интересующими нарушителя. Анализатор трафика может быть использован для перехвата трафика на других портах, что показано в данном разделе.

Простой протокол электронной почты (SMTP) используется для передачи сообщений электронной почты по сети Интернет и внутри многих организаций. Электронная почта была и всегда будет привлекательной целью для нарушителя. Целью нарушителя может являться наблюдение за администратором сети для определения, обнаружен ли он, или намного более злонамеренные действия. Нетрудно догадаться, что в сегодняшней конкурентной бизнес-среде целью может быть прослушивание сети на наличие внутренней информации компании, такой как информация о дате слияния, приобретения, а также партнерской информации. Вся это информация может быть собрана чтением сообщений электронной почты, посылаемой через сеть.

Анализатор трафика dsniff, детально рассмотренный далее, включает в себя программу, предназначенную для перехвата сообщений электронной почты из сети:

mailsnarf выдает сообщения электронной почты, перехваченные из SMTP и POP-трафика в формате Berkeley mbox, подходящем для автономного просмотра вашей любимой программой чтения сообщений электронной почты (например: mail(1), pine(1)). – dsniff FAQ

Прослушивание HTTP (порт 80)

Протокол передачи гипертекстовых файлов (HTTP) используется для передачи WEB-трафика. Этот трафик обычно предназначен для 80-го порта, прослушивается в большей степени ради сбора статистики и сетевого использования, чем для сбора содержимого. Несмотря на то что HTTP-трафик может содержать информацию аутентификации и транзакции кредитных карт, данный тип информации довольно часто зашифрован посредством протокола защищенных сокетов (SSL). Существуют коммерческие продукты для прослушивания, использующиеся организациями, которые находят приемлемым наблюдение за использованием сотрудниками Web-ресурсов.

urlsnarf выдает все запросы унифицированных указателей информационного ресурса (URLs), перехваченные из HTTP-трафика в формат CLF (общий формат файлов журнализации, используется почти всеми Web-серверами), подходящий для автономной последующей обработки вашим любимым инструментом анализа файлов Web-журнализации (например: analog, wwwstat). – dsniff FAQ

Популярное программное обеспечение для прослушивания сетевого трафика

За всю историю прослушивания сетевого трафика было написано много анализаторов трафика. Здесь мы рассматриваем несколько ключевых программ. Необходимо отметить, что мы не стремились предоставить всеобъемлющий список анализаторов трафика, а только некоторые реализации. Мы рассматриваем как коммерческие реализации, используемые для диагностики сети, так и реализации, написанные чисто для перехвата информации аутентификации. Большое количество реализаций может быть найдено на ближайшем сайте, посвященном информационной безопасности, например www.securityfocus.com.

Ethereal