Читаем Защита от хакеров корпоративных сетей полностью

Sniffing — прослушивание сетевого трафика на наличие полезной информации. Прослушивание сетевого трафика может использоваться для воровства информации аутентификации (пароли), сообщений электронной почты, просмотра использования Web и, как правило, узнавания всего, что цель делает в сети. Протоколы, подвергающиеся прослушиванию для перехвата паролей, – Telnet, РОРЗ, IMAP, HTTP и NetBIOS.

Существует множество популярных пакетов программ для прослушивания сетевого трафика – Ethereal, Sniffer Pro, NetMon, AiroPeek, TCPDump, dsniff, и Ettercap. Некоторые из них коммерческие, а некоторые доступны бесплатно. Для перехвата паролей наиболее подходит dsniff. Он также является одним из бесплатных и имеет модули для прослушивания трафика электронной почты и Web-трафика. Carnivore является специализированным анализатором сетевого трафика и используется для обеспечения правопорядка, имеет больше опций фильтрации, чем многие другие (и не является доступным для обычного круга людей).

Традиционно большинство локальных сетей посылают трафик всем присоединенным узлам. В настоящее время во многих сетях используются коммутаторы, которые являются сетевыми устройствами, разработанными для улучшения производительности. Они также могут препятствовать прослушиванию сетевого трафика, ибо разработаны таким образом, чтобы не посылать трафик узлам, которые не должны его получать. Существуют «трюки» для преодоления этого, например MAC flooding, ARP spoofing или манипуляции с маршрутизаторами. Данные методы разработаны для того, чтобы дать возможность анализатору сетевого трафика прослушивать трафик. MAC flooding и манипуляции с маршрутизаторами осуществляются путем воздействия непосредственно на сетевое оборудование. ARP spoofing осуществляется путем воздействия на таблицу ARP-машины, которая будет прослушиваться. Некоторые рассмотренные пакеты программ для прослушивания сетевого трафика имеют инструменты для осуществления указанных «трюков».

Каждая операционная система, кроме старших версий Windows, имеет свой программный интерфейс приложения (API) для перехвата сетевого трафика. Существует бесплатное программное обеспечение драйвера для версий Windows, не имеющих данной функциональности. Написание программ для перехвата сетевого трафика во многих случаях может быть осуществлено с легкостью, несмотря на то что вам необходимы соответствующие привилегии для их использования. Однако в действительности декодирование трафика, перехваченного вашей программой, будет намного сложнее. Вообще, шифрование – один из путей защититься от прослушивания сетевого трафика. Шифрование сетевого трафика защищает от прослушивания только в том случае, если применено правильно. Однако многие схемы шифрования полагаются на то, что конечный пользователь сделает правильный выбор касательно сообщения об ошибке. Это оставляет брешь для MITM-атак, которые могут вызывать ошибку, но ошибки часто игнорируются. Пакет dsniff включает некоторые инструменты для реализации MITM (в данном случае «monkey-in-the-middle») атаки.

Существует несколько методов обнаружения анализаторов сетевого трафика, если они работают поверх неспециальных операционных систем. Они включают: просмотр DNS-запросов для поддельного IP-адреса, проверку ответов на пакеты с неправильными MAC-адресами и др. Данные методы не дают стопроцентной гарантии, так как возможно написание совершенно пассивного анализатора сетевого трафика.

· Sniffing – прослушивание сетевого трафика (пассивное).

· В классических операциях анализатор сетевого трафика присоединяется на стороне сетевой шины.

· В новых операциях анализаторы устанавливаются на машине или шлюзе для перехвата трафика.

· В большинстве случаев целью анализаторов сетевого трафика является информация аутентификации в открытом виде, например имена пользователей и пароли в следующих протоколах Telnet, FTP и HTTP.

· Вторыми наиболее частыми целями являются сообщения электронной почты, входные данные HTTP или Telnet-сессии.

· Существует много коммерческих и бесплатных программ для прослушивания сетевого трафика, которые предназначены для сетевой диагностики, например Ethereal, Network Associate\'s Sniffer Pro, NetMon, WildPackets\' AiroPeek и tcpdump. Эти продукты не имеют хакерских возможностей, таких как захват паролей.

· Примерами инструментов хакеров являются: dsniff, Ettercap, Esniff и Sniffit. Вместо того чтобы прослушивать весь трафик, эти инструменты нацелены на пароли и данные в открытом виде.