Читаем Защита от хакеров корпоративных сетей полностью

Конечно, в данном случае соединение с сервером на самом деле не было установлено, но клиент об этом не знает до тех пор, пока он не додумается проверить IP-адрес securityfocus.com. В качестве альтернативы злоумышленник может сделать свой Web-сервер идентичным серверу securityfocus.com, но все загружаемые с него программы безопасности будут превращены в Троянских коней. Другая часть пакета dsniff — утилита dnsspoof – помогает реализовать подобные атаки.

На сегодняшний день широко известен ряд инструментальных средств, существенно облегчающих перехват сеансов. В некоторых случаях они работают в автоматическом режиме. Инструментарии подобного типа являются важнейшей частью любой инструментальной панели безопасности. Для обсуждения их возможностей были выбраны некоторые из них, наиболее функциональные и популярные.

Программа Juggernaut

Программа Jaggernaut была написана редактором журнала «Phrack». Он посвятил программе статью в своем журнале, которую можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P50-06.txt.

Демонстрационная версия программы 1.0 была представлена на суд общественности во время презентации на первой конференции по вопросам безопасности «Black Hat Briefings». В следующем выпуске журнала «Phrack» читателям был представлен файл исправлений. Исправленная с его помощью версия программы Jaggernaut стала известна как версия 1.2. Этот файл можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P51-07.txt.

Будьте осторожны. Опубликованный файл исправлений немного подпорчен. При попытке воспользоваться им сразу станет видно, где конкретно он был изменен. Автор обошел эту проблему, удалив измененные части исправлений и вручную добавив несколько строк. Будьте также осторожны при загрузке файлов: они не в формате HTML-файлов, а текстовые. Поэтому при вырезке или вставке фрагментов файлов с Web-сайта в редактор Notepad или во что-нибудь еще вполне возможно, что вы столкнетесь с пропуском некоторых символов, которые Web-браузер попытался проинтерпретировать. Поэтому лучше выполнить команду «Сохранить как…» или облегчить себе жизнь, получив работающую версию на packetstormsecurity.org/new-exploits/1.2.tar.gz.

В процессе тестирования программа Jaggernaut не «видела» соединений до тех пор, пока не была включена опция GREED в сборочном файле проекта make-файл. В инсталляционном файле описано, как это сделать.

На момент своего опубликования программа Juggernaut была пионерской работой, у которой не было аналогов. Даже сегодня лишь немногие инструментальные средства пытаются перехватывать сессии так, как это делает программа Juggernaut.

Программа Juggernaut имеет два режима работы. Первый предназначен для работы в качестве одного из вариантов модуля проверки текущего состояния в сети, который реагирует на определенные биты в передаваемых данных. Второй режим работы называется Normal – стандартный режим работы программы. Он будет рассмотрен позднее. Ниже приведена предъявляемая в оперативном режиме подсказка команд программы:

[root@rh Juggernaut]# ./juggernaut -h

Usage: ./juggernaut [-h] [-s TOKEN [-e xx] ] [-v] [-t xx]

-h terse help

-H expanded help for those “specially challanged”

people...

-s dedicated sniffing (bloodhound) mode, in which TOKEN

is found enticing

-e enticement factor (defaults to 16)

-v decrease verbosity (don’t do this)

-V version information

-t xx network read timeout in seconds (defaults to 10)

Invoked without arguments, Juggernaut starts in “normal”