Читаем Защита от хакеров корпоративных сетей полностью

Утилита dnsspoof является другим инструментом для перенаправления трафика. В данном случае она подделывает ответ локального сервера службы имен доменов (DNS). Когда вы идете на сайт, такой как http://www.example.com, ваша машина посылает запрос на локальный DNS-сервер на получение IP-адреса www.example.com . Ответ DNS-сервера обычно занимает некоторое время; dnsspoof посылает свой ответ быстрее. Жертва примет только первый ответ и игнорирует второй. Подделанный ответ содержит IP-адрес, отличный от IP-адреса истинного ответа, обычно это IP-адрес машины нарушителя. Скорее всего, нарушитель будет использовать одну из утилит «человек посередине» анализатора трафика dsniff.

Название «человек посередине» (man-in-the-middle) пришло из криптографии и описывает ситуацию, когда кто-либо перехватывает информацию, изменяет ее и передает дальше. dsniff содержит две утилиты для реализации данного вида атаки: webmitm для HTTP-трафика (включая SSL) и sshmitm для SSH. Обычно SSH и SSL считаются защищенными протоколами, использующими криптографические преобразования, которые невозможно прослушать. Метод работы MITM-утилит заключается в том, что они предоставляют клиентам SSL/SSH свои собственные ключи шифрования. Это позволяет им расшифровывать трафик, перехватывать пароли и далее обратно зашифровывать, используя при этом настоящие ключи сервера. В теории вы можете защитить себя от этого проверкой подлинности сертификатов сервера, но на практике никто этого не делает.

dsniff может перехватывать не только пароли, но также и другие виды трафика, передаваемые открытым текстом. Утилита mailsnarf прослушивает сообщения электронной почты как FBI\'s Carnivore, за исключением того что она конвертирует их в формат mbox, который может открываться почти всеми программами чтения электронной почты. Утилита msgsnarf прослушивает сообщения ICQ, IRC, Yahoo! Messenger и AOL IM. Утилита filesnarf прослушивает файлы, передаваемые посредством NFS (популярный протокол файлового сервера, используемый в UNIX-системах). Утилита urlsnarf сохраняет все унифицированные указатели информационных ресурсов (URLs), проходящие в сети. Утилита webspy в реальном времени посылает данные указатели браузеру Netscape – по существу, позволяя вам просматривать в реальном времени то же, что видит в своем браузере жертва.

Утилита macof посылает множественный поток MAC-адресов. Это предназначено для осуществления другого метода атаки на Ethernet-коммутаторы. Большинство коммутаторов имеют ограниченные таблицы, способные содержать только 4000 MAC-адресов. Этого более чем достаточно для нормальной сети – вам потребуется 4000 подключенных к коммутатору машин до перегрузки этих таблиц. Когда коммутатор перегружается, он «становится открытым» («fails open») и начинает повторять каждый пакет на каждый порт, позволяя прослушивать весь трафик.

Утилита tcpkill уничтожает TCP-соединения. Она может быть использована для атак отказа в обслуживании (DoS). Например, можно сконфигурировать данную утилиту так, чтобы она уничтожала все TCP-соединения вашего соседа. Она также интегрирована в инструменты системы обнаружения вторжений на сетевом уровне для уничтожения соединений хакера. Утилита tcpnice схожа с tcpkill, но вместо уничтожения соединений она замедляет их. Например, вы можете подделать ICMP Source Quenches кабельного модема вашего соседа таким образом, что получите большую полосу пропускания для ваших загрузок.

Ettercap

Пакет Ettercap подобен dsniff. Он имеет много схожих возможностей, таких как атаки «человек посередине» на SSL и SSH, а также перехват паролей. Также Ettercap имеет дополнительные отличительные особенности для атаки «человек посередине» на обычные TCP-соединения, такие как вставка команд в поток. Ettercap был написан Альберто Орнаги и Марком Валлери и доступен в сети на сайте http://ettercap.sourceforge.net.

Esniff.c

Esniff.c, вероятно, является одним из первых анализаторов трафика, которые появились в хакерском подземелье. Написанный хакером rokstar работает только на операционных системах Sun Microsystems\' SunOS (ныне устаревшая). Esniff.c поддерживает протоколы Telnet, FTP и rlogin. Он предоставляет базовую функциональность и не поддерживает полный список протоколов, поддерживающихся в новых анализаторах трафика, таких как dsniff и sniffit. Данный анализатор трафика был впервые публично опубликован в журнале Phrack, который может быть найден на www.phrack.org/show.php?p=45&a=5.

Sniffit