Читаем Защита от хакеров корпоративных сетей полностью

Важно отметить, что если нарушитель скомпрометировал защиту хоста, на котором вы выполняете данную команду, он или она может с легкостью повлиять на результат выполнения этой команды. Важной частью инструментария нарушителя является замещение команды ifconfig таким образом, что она не сообщает об интерфейсах в «безразличном» режиме.

Сетевое обнаружение

Существует несколько методов, различных по их степени точности обнаружения хоста, подслушивающего весь сетевой трафик. Не существует метода, гарантирующего стопроцентное обнаружение присутствия анализаторов сетевого трафика.

Большинство программ, написанных для прослушивания сети, выполняют обратные поиски DNS во время вывода выходных данных, состоящих из исходного и конечного хостов, вовлеченных в сетевое соединение. В процессе выполнения данного поиска генерируется дополнительный сетевой трафик; в основном DNS-запросы для поиска сетевого адреса. Существует возможность наблюдать при помощи сети на наличие хостов, выполняющих большое количество поисков адресов; однако это может являться простым совпадением и не приведет к обнаружению хоста, осуществляющего прослушивание сетевого трафика.

Более простым способом, предоставляющим стопроцентную точность, является создание ложного сетевого соединения с адреса, который не находится в локальной сети. Затем мы сможем при помощи сети наблюдать на наличие DNS-запросов, пытающихся разрешить ложный адрес и тем самым, выдавая хост, осуществляющих прослушивание сетевого трафика.

Второй метод для обнаружения хоста, прослушивающего сеть, заключается в отслеживании изменения задержек отклика хоста на сетевой трафик (например, ping). Несмотря на то что данный метод склонен к числу сбойных ситуаций (таких как, например, когда задержка хоста вызвана нормальной операцией), он может помочь в определении, прослушивает ли хост сетевой трафик или нет. В данном методе также можно первоначально зондировать и брать пробы времени отклика. Далее генерируется большое количество сетевого трафика, специально созданного для того, чтобы заинтересовать хост, который прослушивает сетевой трафик на наличие информации аутентификации. В заключение снова берутся пробы задержки хоста для определения, изменились ли они существенно.

Иногда ошибка драйвера операционной системы может помочь нам определить хосты, работающие в «безразличном» режиме. Аргентинская компания исследований безопасности CORE-SDI обнаружила ошибку в обыкновенном Linux Ethernet-драйвере. Они обнаружили, что когда хост работает в «безразличном» режиме, операционная система не может осуществить проверку Ethernet-адреса, для того чтобы убедиться, что пакет был направлен на один из его интерфейсов. Вместо этого данная проверка была произведена на уровне IP, и пакет был принят, так как если бы он был направлен на один из интерфейсов хоста. Обычно пакеты, не соответствующие Ethernet-адресу хоста, отбрасываются на аппаратном уровне; однако в «безразличном» режиме этого не происходит. Мы можем определить, находится ли хост в «безразличном» режиме, посылая ICMP ping-пакет хосту с правильным IP-адресом хоста, но неправильным Ethernet-адресом. Если хост ответил на этот ping-запрос, то он определенно работает в «безразличном» режиме.

AntiSniff является инструментом, написанным бостонской группой хакеров, известных как LOpht. Они объединили несколько методов, описанных выше, в инструмент, который эффективно выявляет хост, работающий в «безразличном» режиме (promiscuous mode). Пятнадцатидневная пробная версия данного инструмента (для Windows-систем) может быть получена на их Web-сайте, расположенном на at www.securitysoftwaretech.com/antisniff.

UNIX-версия доступна для бесплатного некоммерческого использования. Ознакомьтесь с лицензией для определения ограничений на использование этой версии.

Необходимо помнить, что AntiSniff находит некоторые анализаторы сетевого трафика, а не все. Некоторые анализаторы являются полностью «невидимыми», в то время как другие были пропатчены для противодействия AntiSniff\'у.