Читаем Защита от хакеров корпоративных сетей полностью

• Основные сведения о перехвате сеанса

• Популярные инструментальные средства перехвата сеанса

• Исследование атак типа MITM в зашифрованных соединениях

· Резюме

· Конспект

· Часто задаваемые вопросы

Термин «перехват сеанса» (session hijacking) означает способность атакующего захватывать часть сеанса (часто – сетевой диалог) и вести себя как один из его участников. Перехват сеанса обычно является частью прослушивания сетевого трафика (снифинга), отличаясь от него тем, что снифинг осуществляется пассивно, а перехват сеанса требует активных действий.

Перехват сеанса использует недостатки, присущие большинству типов сетей и протоколов без шифрования данных. Главным из них является передача информации в открытом виде. Те же самые недостатки используются при снифинге. Но при перехвате сеанса, вдобавок к мониторингу, злоумышленник может вставлять пакет или кадр, претендуя на роль одного из хостов. Подобные действия аналогичны действиям при получении доступа обманным путем (спуфинге), за исключением того, что не нужно ничего угадывать – вся необходимая информация уже доступна злоумышленнику.

В этой главе будет выяснено, чего могут достичь злоумышленники при перехвате сеанса, и будут рассмотрены современные инструментальные средства перехвата сеанса.

Лучше всего объяснить перехват сеанса на примере. Представьте, что злоумышленник случайно или в результате успешной для него атаки получил возможность наблюдать за трафиком между двумя машинами. Одна из машин – сервер, который он пытается взломать. Очевидно, что другая – клиент. В нашем примере злоумышленник перехватывает подключение суперпользователя (root user) к серверу через сервис Telnet и считывает из него пароль, но только для того, чтобы выяснить, является ли украденный им пароль одноразовым паролем s\key. Как можно понять из названия, одноразовые пароли используются один раз, поэтому если кто-нибудь, прослушивая сетевой трафик, завладеет им, то пароль не принесет ему никакой выгоды, поскольку он уже был использован.

Что предпринимает злоумышленник? Он делает очень простые вещи. Злоумышленник посылает пакет с подходящими данными в заголовке пакета, последовательными номерами и данными, выглядящими примерно так:

echo + + > /.rhosts

где  – символ возврата каретки. Прежде чем стать полезной для злоумышленника, эта команда предполагает выполнение некоторых дополнительных условий. Но тем не менее она иллюстрирует суть дела. Если доступен какой-нибудь из сервисов Berkeley «r», то эта команда позволит любому передать команды серверу от лица какого-то пользователя (включая суперпользователя). Естественно, атакующий тут же воспользуется этой возможностью для передачи серверу командой rsh серии разрушительных команд, позволяющих полностью контролировать сервер до тех пор, пока его законный владелец не отформатирует диски и не перезагрузится. В настоящее время для осуществления описанной атаки следует преодолеть ряд сложностей, которые будут рассмотрены в этой главе. Достаточно сказать, что последствия описанной атаки станут очевидными для пользователя – законного клиента сервера: он либо получит сообщение о разрыве соединения, либо сможет наблюдать переданные злоумышленником команды серверу, которые в режиме эха будут отображены на его экране.