Читаем Защита от хакеров корпоративных сетей полностью

При запуске программы Ettercap пользователю будет предъявлен экран со всеми хостами сети, подключенными к сегменту пользователя (см. рис. 11.2). С помощью клавиши Tab и клавиш с изображенными на них стрелками можно выбрать для эксперимента две машины. В верхнем левом углу пользователь должен увидеть выбранные и отмеченные им ранее IP-адреса источника и адресата информации.

Рис. 11.2. Хосты, доступные на подключенном сегменте

Для того чтобы «испортить» кэш протокола ARP выбранных хостов, следует нажать клавишу «a», как это показано на рис. 11.3. Тогда на экране будет показан список всех соединений между двумя хостами, выбранными ранее (см. рис. 11.4).

Рис. 11.3. «Порча» кэша протокола ARP

Рис. 11.4. Доступные соединения между выбранными хостами

В рассматриваемом случае был выбран коммутатор A Linksys BEFSR81 и сетевой клиент, на машине которого запущен Windows 2000 Advanced Server. Для определения операционной системы узла с IP-адресом 192.168.1.100 была использована опция идентификации операционной системы. Обратите внимание на сгенерированное коммутатором (192.168.1.1) для Windows 2000 server (192.168.1.100) сообщение авторизованному диспетчеру простого протокола сетевого управления SNMP (SNMP – Simple Network Management Protocol, простой протокол сетевого управления. Протокол сетевого администрирования, широко используемый в настоящее время. Входит в стек протоколов TCP/IP) о запросе со стороны неавторизованного диспетчера. Обычно это является признаком использования хоста получателя сообщения (192.168.1.100) для управления коммутатором.

При нажатии клавиши h в любой момент времени работы программы выводится окно с краткой подсказкой. На рисунке 11.5 показана подсказка начальной страницы, на которой видны все хосты сегмента, а на рис. 11.6 – подсказка после выбора хоста.

Рис. 11.5. Окно подсказки начальной страницы

Рис. 11.6. Опции выбранного соединения

Помните, о чем говорилось в разделе, посвященном перехвату UDP-сессий? Из-за отсутствия в протоколе UDP-средств корректировки ошибок и гарантий доставки пакетов перехватить UDP-сессию гораздо проще, чем сессию протокола TCP. В этом заслуживающем особого внимания случае злоумышленник может нанести большой вред, просто перехватив SNMP-соединение. Вы спросите: почему? Ответ прост. Если у злоумышленника есть доступ к конфигурации коммутатора, то он обладает слишком большими возможность что-то сделать на этой сети или по отношению к ней. В данном случае коммутатор используется как шлюз для выхода в Интернет, так что дух захватывает от потенциального вреда, который может нанести злоумышленник. Но давайте перейдем с точки зрения практики к более интересным вещам.

Рассмотрим следующий сценарий. У злоумышленника есть доступ к запущенному на сервере протоколу FTP, но установить соединение он может только с хостом, IP-адрес которого равен 192.168.1.103. При запуске программы Ettercap злоумышленник видит порт 21 на сервере, который сначала активизируется, а затем переходит в состояние пассивного ожидания (silent state). Злоумышленник выбирает порт 21 и создает соединение между FTP-сервером и клиентом. После установки соединения у него появляется возможность по своему желанию перехватывать и модифицировать трафик сети или вставлять свои данные в передаваемую по сети информацию (см. рис. 11.7).

Рис. 11.7. Выбор SMB-соединения