Библибоба

Читаем Защита от хакеров корпоративных сетей полностью

Защита от хакеров корпоративных сетей

Коллектив Авторов

Приоткрывая завесу

dsniff Used against the Author

Следующий образец результата работы dsniff был перехвачен Dug Song, который успешно перехватил мои пароли на конференции по безопасности CanSecWest 2001. Это произошло вследствие того, что Outlook автоматически проверяет POP3-сервера, даже тогда, когда вы только открыли его для просмотра контактной информации. Я быстро сменил пароль, как раз вовремя – остаток выходной информации dsniff перехватил попытку кого-то еще подключиться с данным паролем, предположительно он использовал dsniff и перехватил пароль.

03/28/01 18:43:24 tcp 192.168.1.201.1035 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

03/29/01 02:07:41 tcp 192.168.1.243.1837 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

03/29/01 02:07:08 tcp 192.168.1.243.1836 ->

64.58.76.98.80 (http)

POST /config/login?84gteu3f1fmvt HTTP/1.0

Host: login.yahoo.com

Content-type: application/x-www-form-urlencoded

Content-length: 147

.tries=1&.src=ym&.last=&promo=&.intl=us&.bypass=&.partner=&.u=86

3imictc5nnu&.v=0&hasMsgr=0&.chkP=Y&.done=&login=robert

_david_graham&passwd=Cerveza2

03/29/01 02:06:48 tcp 192.168.1.243.1835 ->

64.58.76.98.80 (http)

POST /config/login?15aeb5g14endr HTTP/1.0

Host: login.yahoo.com

Content-type: application/x-www-form-urlencoded

Content-length: 146

.tries=&.src=ym&.last=&promo=&.intl=us&.bypass=&.partner=&.u=863

imictc5nnu&.v=0&hasMsgr=0&.chkP=Y&.done=&login=robert

_david_graham&passwd=Cerveza2

03/31/01 17:07:38 tcp 192.168.1.243.1307 ->

216.136.173.10.110 (pop)

USER robert_david_graham

PASS Cerveza2

С сегодняшними коммутируемыми сетями и криптографическими протоколами шифрования перехват паролей не всегда работает, как мы могли надеяться. dsniff содержит несколько утилит перенаправления и «человек по середине» (MITM) для перенаправления потока трафика и сеансов расшифрования.

Первая утилита – arpspoof (некогда известная как arpredirect). Протокол разрешения адресов (ARP) используется хостами для нахождения MAC-адреса локального маршрутизатора. При помощи спуфинга пакетов ARP вы можете убедить близлежащие компьютеры в том, что являетесь маршрутизатором. Ваша машина после получения пакетов должна перенаправить их на настоящий маршрутизатор, но тем временем анализатор трафика dsniff имеет возможность обрабатывать эти пакеты. Это работает не только в локальных коммутированных сетях, но также и в кабельно-модемных сетях. Данный инструмент не полностью надежен; вы по существу дела боретесь с маршрутизатором, пытаясь убедить другие компьютеры локальным MAC-адресом. Как результат поток трафика через вашу машину является неустойчивым. Подобный метод с легкостью обнаруживается при помощи систем обнаружения вторжений на уровне сети (IDSs). Даже Sniffer Pro (упомянутый ранее) имеет режим экспертной диагностики, который отметит это как «дублированный IP-адрес» (то есть несколько машин претендуют на IP-адрес маршрутизатора).

Перейти на страницу:
Читать далее
Нет соединения с сервером, попробуйте зайти чуть позже
Избранное