Читаем Защита от хакеров корпоративных сетей полностью

Когда пользователь нажимает клавишу Enter для завершения посылки символов от лица клиента, ему предоставляется возможность выбрать одну из перечисленных команд: сбросить соединение (прервать и возвратить его в исходное состояние), синхронизировать клиента и сервера или же оставить соединение десинхронизированным. В данном случае попытка выбора опции синхронизации соединения не увенчалась успехом, потому что в результате система была установлена в состояние ожидания. Складывалось впечатление, что ввод символов в окно Telnet не помог повторной синхронизации. Другие попытки повторной синхронизации оказались более успешными. Возможно, что на это оказали влияние такие факторы, как время ввода и длина введенной злоумышленником команды, надежность сети в этот момент (прежде всего имеется в виду потеря пакетов) и, конечно, реализация TCP.

Как правило, если злоумышленник захочет замести следы, он вводит свои команды с максимально возможной скоростью, а затем сразу же сбрасывает соединение. При этом он надеется на то, что легитимный пользователь клиента, если он там вообще есть, подумает, что это очередное малопонятное завершение соединения, и просто откроет новое окно, ничего не заподозрив.

Программа Hunt не лишена недостатков. Автор, работая с программой, обнаружил следующее. При работе со всеми просмотренными им интерактивными экранами, в которых для разрыва соединения предлагалось нажать комбинацию клавиш Ctrl + C, было обнаружено, что после нажатия клавиш Ctrl + C требовалось подождать некоторое время наблюдаемую машину, которая что-то передавала, прежде чем программа Hunt обращала внимание на нажатые клавиши. Например, во время наблюдения за Telnet-соединением были нажаты клавиши Ctrl + C, но ничего не произошло. Как только автор подключался к окну Telnet и нажимал клавишу, программа Hunt откликалась. По-видимому, программа Hunt во время мониторинга не следит постоянно за нажатием клавиш. Возможно, программа ожидает передаваемые по сети данные, не обращая внимания на нажатые в это время клавиши. И только после анализа поступивших данных она начинает проверять ввод оператором символов.

Пользовательский интерфейс немного некрасив и чересчур краток. Тем не менее в приложениях подобного типа этот недостаток легче всего устранить. Сетевая составляющая программы более сложна и поэтому, вероятно, является более интересной частью программы. Впрочем, интерфейс удобен, так что не все так плохо. Возможно, что кто-то из читателей этой книги заинтересован в данном вопросе и умеет программировать. Тогда он или она может связаться с разработчиком программы Hunt и, возможно, помочь в улучшении интерфейса.

Программа Ettercap

Программа Ettercap является универсальной программой, которая главным образом используется для снифинга, захвата и регистрации трафика в коммутируемых локальных сетях. Она поддерживает как активный, так и пассивный анализ различных протоколов. На момент написания книги в программе Ettercap была реализована поддержка соединений по протоколам SSH версии 1 (Secure Shell version 1, SSH 1 – защищенный протокол, обеспечивающий аутентификацию с помощью криптографических методов и шифрование всего потока данных) и SSL (Secure Sockets Layer, протокол защищенных сокетов). Программу Ettercap можно найти по адресу http://ettercap.sourceforge.net. Она запускается на таких операционных системах, как MAC OS X, Linux и BSD OS. У программы Ettercap четыре режима работы:

• IP. Режим фильтрации пакетов по адресам отправителя и получателя данных;

• MAC. Режим фильтрации пакетов по MAC-адресам;

• ARP. Режим использования перегрузки сети ARP-пакетами (ARP storm) для снифинга / перехвата соединений в коммутируемых локальных сетях (режим работает в полноправном дуплексном (одновременно двустороннем) режиме передачи данных;

• Общедоступный ARP. Режим использования перегрузки сети ARP пакетами в полудуплексном (поочередно двустороннем) режиме передачи данных для прослушивания одного хоста другим.

Давайте взглянем на использование программы Ettercap более внимательно. В приведенных ниже сценариях рассматривается простая коммутируемая сеть с трансляцией сетевых адресов NAT (Network Address Translation), IP-адресов по стандарту RFC1918. Это простая сеть класса SOHO (SOHO, Small Office/Home Office – класс программного обеспечения, предназначенного для малого или домашнего офиса) для домашнего пользования, которую сейчас используют многие небольшие или домашние офисы в основном из-за низкой цены и лавинообразной скорости распространения доступных для массового использования высокоскоростных кабельных модемов и цифровых абонентских линий DSL. Типичная реализация подобной сети выглядит примерно так, как показано на рис. 11.1. В этом примере 192.168.1.104 является адресом злоумышленника, перехватывающего сессию.