Введение
Fили образование в области информационной безопасности, одной из наиболее фундаментальных тем является обычная сетевая атака, называемая атакой с отслеживанием. Для сбора конфиденциальной информации путем отслеживания сетевого трафика злоумышленники обычно используют атаку с отслеживанием. С целью улучшения образования в области информационной безопасности в этой статье обсуждается, какие фундаментальные концепции безопасности и практические навыки учащимся необходимо знать и приобретать в отношении атаки с отслеживанием сети, соответственно. Процесс, при котором отслеживаются и перехватываются пакеты данных, которые передаются через компьютерную сеть с помощью анализаторов пакетов, называется перехватом. Для отслеживания трафика данных, проходящего через сеть, сетевые администраторы используют анализаторы пакетов. Аналогичным образом, злоумышленники используют эти инструменты для перехвата пакетов данных в сети.
Что такое обнюхивание?
Перехват - это процесс мониторинга и захвата пакетов данных, проходящих через данную сеть, с использованием программных или аппаратных устройств. На высоком уровне существует два типа обнюхивания, а именно активное и пассивное. Активный перехват относится к перехвату в сети на базе коммутатора, тогда как пассивный перехват относится к перехвату в сети на базе концентратора.
Отработка атаки с обнюхиванием
Преимущественно обнюхивание достигается с помощью снифферов. Анализатор переводит сетевой адаптер системы в неразборчивый режим, чтобы он прослушивал все данные, передаваемые по своему сегменту.
Типы атак с обнюхиванием
Как упоминалось ранее, существует два основных типа обнюхивания.
Пассивное обнюхивание
o Пассивный перехват относится к перехвату через концентратор, где трафик отправляется на все порты
o Она включает в себя мониторинг пакетов, отправляемых другими пользователями, без отправки каких-либо дополнительных пакетов данных в сетевом трафике
o В сети, использующей концентраторы для соединения систем, все хосты в сети могут видеть весь трафик, и, следовательно, злоумышленник может легко перехватывать трафик, проходящий через концентратор
o Использование хаба - устаревший подход. В большинстве современных сетей теперь используются коммутаторы
o Пассивное обнюхивание обеспечивает значительные преимущества скрытности по сравнению с активным обнюхиванием
Активное обнюхивание
o Активный перехват используется для перехвата сети на основе коммутатора
o Активный перехват включает в себя ввод пакетов разрешения адресов (ARP) в сеть для заполнения таблицы адресуемой памяти коммутатора (CAM), которая отслеживает подключение к порту хоста.
o Некоторые из методов активного обнюхивания следующие
§ MAC-флудинг
§ DNS-отравление
§ Отравление ARP
§ Атаки DHCP
§ Кража порта коммутатора
§ Атака с подменой
Протоколы, уязвимые для сниффинга
· Telnet и Rlogin — нажатия клавиш, включая имена пользователей и пароли, отправляются открытым текстом
· HTTP—данные отправляются в виде открытого текста
· IMAP — пароли и данные отправляются открытым текстом
· SMTP и NNTP — пароли и данные отправляются открытым текстом
· ВСПЛЫВАЮЩИЕ пароли и данные отправляются открытым текстом
· FTP —пароли и данные отправляются открытым текстом
Реализация атаки в сети
Рабочий процесс взлома сети злоумышленником с помощью снифферов
1. Злоумышленник подключает свой ноутбук к порту коммутатора
2. Он запускает инструменты обнаружения, чтобы узнать о топологии сети
3. Он определяет машину жертвы, на которую нацелены его / ее атаки
4. Он отравляет машину-жертву, используя методы ARP-подмены
5. Трафик, предназначенный для компьютера-жертвы, перенаправляется злоумышленнику
6. Хакер извлекает пароли и конфиденциальные данные из перенаправленного трафика
Перехват на канальном уровне модели OSI
o Перехватчики работают на канальном уровне модели OSI
o Сетевые уровни в модели OSI спроектированы так, чтобы работать независимо друг от друга, если анализатор прослушивает данные на канальном уровне передачи данных, верхний уровень OSI не будет знать об этом перехвате
Популярные техники и методы обнюхивания
· Анализаторы аппаратных протоколов
o Аппаратный анализатор протоколов - это часть оборудования, которая улавливает сигналы без изменения трафика в сегменте кабеля
o Ее можно использовать для мониторинга использования сети и выявления вредоносного сетевого трафика, генерируемого хакерским программным обеспечением, установленным в сети
o Он захватывает пакет данных, декодирует его и анализирует его содержимое на основе определенных предопределенных правил
o Это позволяет злоумышленнику видеть отдельные байты данных каждого пакета, проходящего по кабелю
o Некоторые из ключевых аппаратных анализаторов протоколов, представленных на рынке, - это анализатор протоколов Agilent N2X N5540A, Keysight E2960B, анализатор протоколов RADCOM PrismLite, анализатор протоколов STINGA, сетевой помощник OneTouch от NETSCOUT, планшет сетевого анализа NETSCOUT Opt / View XG, Agilent Technologies 8753ES
· Порт SPAN — это порт, который настроен на прием копии каждого пакета, проходящего через коммутатор. При подключении к порту SPAN злоумышленник может скомпрометировать всю сеть
· Прослушивание телефонных разговоров — это процесс мониторинга телефонных и интернет-разговоров третьей стороной. Злоумышленники подключают подслушивающее устройство, такое как аппаратное, программное обеспечение или их сочетание, к цепи передачи информации между двумя телефонами или хостами в Интернете. Это позволяет злоумышленнику отслеживать, перехватывать, получать доступ и записывать информацию, содержащуюся в потоке данных в системе связи. Активное прослушивание отслеживает, записывает, изменяет, а также вводит данные в коммуникацию или трафик. Пассивное прослушивание только отслеживает и записывает трафик и собирает информацию о содержащихся в нем данных. В большинстве стран прослушивание телефонных разговоров без ордера или согласия заинтересованного лица является уголовным преступлением.
· Законный перехват — это относится к законному перехвату передачи данных между двумя конечными точками для наблюдения в традиционных телекоммуникациях, передачи голоса по интернет-протоколу (VoIP), передачи данных и мультисервисных сетях.
· MAC-флудинг — флудинг по MAC включает в себя заполнение таблицы CAM поддельными парами MAC-адресов и IP-адресов до тех пор, пока она не заполнится. Затем коммутатор действует как концентратор, передавая пакеты на все компьютеры в сети, и, следовательно, злоумышленники могут легко перехватывать трафик. Macof - это инструмент для Unix / Linux, который является частью коллекции dsniff. Macof отправляет MAC-адреса и IP-адреса случайных источников. Этот инструмент заполняет таблицы CAM коммутатора, отправляя поддельные записи MAC.
· Кража порта коммутатора
o затопление MAC используется методом перехвата портов коммутатора для перехвата сетевых пакетов.
o Злоумышленники заполняют коммутатор поддельными безвозмездными пакетами ARP с целевым MAC-адресом в качестве источника и ее собственным MAC-адресом в качестве получателя.
o Возникает состояние гонки между затопленными пакетами злоумышленника и пакетами целевого хоста, и, таким образом, коммутатору приходится постоянно менять привязку своего MAC-адреса между двумя разными портами.
o В таком случае, если злоумышленник достаточно быстр, он сможет направлять пакеты, предназначенные для целевого хоста, на свой порт коммутатора.
теперь злоумышленнику удается украсть порт коммутатора целевого хоста и отправляет запросы ARP на украденный порт коммутатора, чтобы узнать IP-адрес целевых хостов.
o Когда злоумышленник получает ответ ARP, это указывает на то, что привязка порта коммутатора целевого хоста была восстановлена и злоумышленник теперь может перехват пакетов, отправленных на целевой хост.
· Атака с блокировкой DHCP и атака на мошеннический DHCP-сервер
o Атака с блокировкой DHCP - это атака типа "отказ в обслуживании" (DoS) на DHCP-серверы, при которой злоумышленник отправляет поддельные DHCP-запросы и пытается арендовать все DHCP-адреса, доступные в области DHCP. Таким образом, законный пользователь не может получить или продлить IP-адрес, запрошенный через DHCP, не имея доступа к сетевому доступу.
o Где, как и при атаке на мошеннический DHCP-сервер, злоумышленник устанавливает мошеннический DHCP-сервер в сети и отвечает на запросы DHCP поддельными IP-адресами, что приводит к нарушению доступа к сети. Эта атака работает в сочетании с атакой "голодания" DHCP; злоумышленник отправляет пользователю настройки TCP / IP после отключения его от подлинного DHCP-сервера
Атака с подменой ARP
o Прежде чем разбираться в атаке с подменой ARP, важно сначала разобраться в ARP. Протокол разрешения адресов (ARP) - это протокол без состояния, используемый для преобразования IP-адресов в адреса компьютеров (MAC). Все сетевые устройства, которым необходимо взаимодействовать в сети, передают запросы ARP в сеть, чтобы узнать MAC-адреса других компьютеров. Когда одной машине необходимо установить связь с другой, она просматривает свою таблицу ARP. Если MAC-адрес не найден в таблице, ARP_request транслируется по сети. Все компьютеры в сети будут сравнивать этот IP-адрес со своим MAC-адресом. Если один из компьютеров в сети идентифицируется с этим адресом, он ответит на ARP_request своим IP и MAC-адресом. Запрашивающий компьютер сохранит пару адресов в таблице ARP и отправит сообщение.
o При атаке с подменой ARP пакеты ARP могут быть подделаны для отправки данных на компьютер злоумышленника. Подмена ARP включает в себя создание большого количества поддельных пакетов ARP-запросов и ответов для перегрузки коммутатора. Коммутатор переводится в режим пересылки после того, как таблица ARP заполняется поддельными ответами ARP, и злоумышленники могут перехватывать все сетевые пакеты. Злоумышленники заполняют ARP-кэш целевого компьютера поддельными записями, что также известно как отравление.
o К угрозам отравления ARP относятся перехват пакетов, перехват сеанса, прослушивание VoIP-звонков, манипулирование данными, атака "человек посередине", перехват данных, перехват соединения, сброс соединения, кража паролей, атака типа "отказ в обслуживании" (DoS).
· Подмена или дублирование MAC — эта атака запускается путем перехвата MAC-адресов клиентов, которые активно связаны с портом коммутатора, в сети и повторного использования одного из этих адресов. Прослушивая трафик в сети, злоумышленник может перехватить MAC-адрес законного пользователя и использовать его для получения всего трафика, предназначенного для пользователя. Эта атака позволяет злоумышленнику получить доступ к сети и присвоить чью-либо личность в сети.
· Подмена IRDP — протокол обнаружения маршрутизатора ICMP (IRDP) - это протокол маршрутизации, который позволяет хосту обнаруживать IP-адреса активных маршрутизаторов в своей подсети, прослушивая рекламу маршрутизатора и запрашивая сообщения в своей сети. Злоумышленник отправляет рекламное сообщение о поддельном маршрутизаторе IRDP хосту в подсети, заставляя его сменить маршрутизатор по умолчанию на тот, который выберет злоумышленник. Эта атака позволяет злоумышленнику отслеживать трафик и собирать ценную информацию из пакетов. Злоумышленники могут использовать подмену IRDP для запуска man in the middle, отказа в обслуживании и пассивных атак с перехватом.
· Методы отравления DNS — это метод, который обманывает DNS-сервер, заставляя его поверить, что он получил достоверную информацию, когда на самом деле он ее не получал. Это приводит к замене ложного IP-адреса на уровне DNS, где веб-адреса преобразуются в цифровые IP-адреса. Это позволяет злоумышленнику заменить записи IP-адреса целевого сайта на данном DNS-сервере IP-адресом сервера, который он контролирует. Злоумышленник может создавать поддельные DNS-записи для сервера, содержащие вредоносный контент, с именами, похожими на имена целевого сервера.
Инструменты для вынюхивания
Wireshark: помогает перехватывать трафик, проходящий по компьютерной сети, и просматривать его в интерактивном режиме. Ит использует Winpcap для захвата пакетов в своих собственных поддерживаемых сетях. Он улавливает сетевой трафик в реальном времени из сетей Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, token ring, frame relay, FDDI. Набор фильтров для настраиваемого отображения данных может быть усовершенствован с помощью фильтра отображения.
SteelCentral Packet Analyzer: предоставляет графическую консоль для высокоскоростного анализа пакетов
Сетевой анализатор Capsa: Сетевой анализатор Capsa фиксирует все данные, передаваемые по сети, и предоставляет широкий спектр статистических данных анализа в интуитивно понятном и графическом виде
OmniPeek: OmniPeek sniffer отображает карту Google в окне OmniPeek capture, показывающую местоположения всех общедоступных IP-адресов захваченных пакетов
Observer Analyzer: Observer обеспечивает всестороннюю детализацию сетевого трафика и обеспечивает ретроспективный анализ, отчетность, отслеживание тенденций, сигналы тревоги, прикладные инструменты и возможности мониторинга маршрутов.
Сетевой монитор PRTG: общего назначения
Общий взгляд: общая цель
CSniffer: продукт от McAfee
Colasoft Packet builder: общего назначения
НетРезидент: общего назначения
Эфирное вещество: общего назначения
RSA NetWitness investigator: продукт от RSA
Ntopng: общего назначения
Сетевой зонд: общего назначения
Tcpdump: используется большинством этичных хакеров
SmartSniff: общего назначения
Веб-поисковик: общего назначения
Анализатор NetFlow: общего назначения
Бесплатный сетевой анализатор: общего назначения
Kismet: используется большинством этичных хакеров
Идентификация ищейки
Ниже приведены некоторые из распространенных методов идентификации снифферов.
· Метод Ping — отправляет запрос ping на подозрительный компьютер с его IP-адресом и неправильным MAC-адресом. Адаптер Ethernet отклоняет ее, поскольку MAC-адрес не совпадает, в то время как подозрительная машина, на которой запущен анализатор, реагирует на нее, поскольку не отклоняет пакеты с другим MAC-адресом.
· Метод DNS — большинство анализаторов выполняют обратный поиск в DNS, чтобы идентифицировать компьютер по IP-адресу. На машине, генерирующей трафик обратного DNS-поиска, скорее всего, будет запущен сниффер.
· Метод ARP — только машина в неразборчивом режиме (машина c) кэширует информацию ARP (сопоставление IP- и MAC-адресов). Машина в неразборчивом режиме отвечает на сообщение ping, поскольку в ее кэше есть правильная информация о хосте, отправляющем запрос ping; остальные машины отправят ARP-зонд для идентификации источника запроса ping.
Мотивы, стоящие за обнюхиванием
· Для кражи имени пользователя и паролей с целью получения финансовой выгоды
· Для кражи банковского счета жертвы и деталей транзакции
· Для отслеживания сообщений чата, личных бесед и сообщений электронной почты
· Красть личную информацию ради различных выгод
Методы защиты и предотвращения с помощью нюха
· Ограничьте физический доступ к сетевому носителю, чтобы гарантировать невозможность установки анализатора пакетов
· Используйте сквозное шифрование для защиты конфиденциальной информации
· Постоянно добавляйте MAC-адрес шлюза в кэш ARP
· Используйте статические IP-адреса и таблицы ARP, чтобы злоумышленники не могли добавлять поддельные записи ARP для компьютеров в сети
· Отключите трансляции сетевой идентификации и, по возможности, ограничьте доступ к сети только авторизованным пользователям, чтобы защитить сеть от обнаружения с помощью средств перехвата
· Используйте IPv6 вместо протокола IPv4
· Используйте зашифрованные сеансы, такие как SSH вместо Telnet, Secure Copy (SCP) вместо FTP, SSL для подключения к электронной почте и т.д., Чтобы защитить пользователей беспроводной сети от взлома
· Используйте HTTPS вместо HTTP для защиты имен пользователей и паролей
· Используйте коммутатор вместо концентратора, поскольку коммутатор доставляет данные только предполагаемому получателю
· Используйте протокол защищенной передачи файлов (SFTP) вместо FTP для безопасной передачи файлов
· Используйте PGP и S / MIME, VPN, IPSec, SSL / / TLS, защищенную оболочку (SSH) и одноразовые пароли — OTP
· Всегда шифруйте беспроводной трафик с помощью надежных протоколов шифрования, таких как WPA и WPA2
· Извлекайте MAC непосредственно из сетевой карты, а не из операционной системы; это предотвращает подмену MAC-адреса
· Используйте инструменты, чтобы определить, работают ли какие-либо сетевые карты в неразборчивом режиме
· Используйте концепцию ACL или списка контроля доступа, чтобы разрешить доступ только к фиксированному диапазону доверенных IP-адресов в сети
· Защита портов может использоваться для ограничения входящего трафика только с выбранного набора MAC-адресов и ограничения атаки с переполнением MAC
· Включите отслеживание DHCP, которое позволяет коммутатору принимать транзакции DHCP, направленные с доверенного порта
· Внедрите динамическую проверку ARP с использованием таблицы привязки отслеживания DHCP для защиты от отравления ARP
· Внедрите расширение безопасности системы доменных имен (DNSSEC), полностью или частично ограничьте доступ авторизованных пользователей к службе повторного доступа к DNS.
· Регулярно проверяйте свой DNS-сервер на предмет устранения уязвимостей.
Fили образование в области информационной безопасности, одной из наиболее фундаментальных тем является обычная сетевая атака, называемая атакой с отслеживанием. Для сбора конфиденциальной информации путем отслеживания сетевого трафика злоумышленники обычно используют атаку с отслеживанием. С целью улучшения образования в области информационной безопасности в этой статье обсуждается, какие фундаментальные концепции безопасности и практические навыки учащимся необходимо знать и приобретать в отношении атаки с отслеживанием сети, соответственно. Процесс, при котором отслеживаются и перехватываются пакеты данных, которые передаются через компьютерную сеть с помощью анализаторов пакетов, называется перехватом. Для отслеживания трафика данных, проходящего через сеть, сетевые администраторы используют анализаторы пакетов. Аналогичным образом, злоумышленники используют эти инструменты для перехвата пакетов данных в сети.
Что такое обнюхивание?
Перехват - это процесс мониторинга и захвата пакетов данных, проходящих через данную сеть, с использованием программных или аппаратных устройств. На высоком уровне существует два типа обнюхивания, а именно активное и пассивное. Активный перехват относится к перехвату в сети на базе коммутатора, тогда как пассивный перехват относится к перехвату в сети на базе концентратора.
Отработка атаки с обнюхиванием
Преимущественно обнюхивание достигается с помощью снифферов. Анализатор переводит сетевой адаптер системы в неразборчивый режим, чтобы он прослушивал все данные, передаваемые по своему сегменту.
Типы атак с обнюхиванием
Как упоминалось ранее, существует два основных типа обнюхивания.
Пассивное обнюхивание
o Пассивный перехват относится к перехвату через концентратор, где трафик отправляется на все порты
o Она включает в себя мониторинг пакетов, отправляемых другими пользователями, без отправки каких-либо дополнительных пакетов данных в сетевом трафике
o В сети, использующей концентраторы для соединения систем, все хосты в сети могут видеть весь трафик, и, следовательно, злоумышленник может легко перехватывать трафик, проходящий через концентратор
o Использование хаба - устаревший подход. В большинстве современных сетей теперь используются коммутаторы
o Пассивное обнюхивание обеспечивает значительные преимущества скрытности по сравнению с активным обнюхиванием
Активное обнюхивание
o Активный перехват используется для перехвата сети на основе коммутатора
o Активный перехват включает в себя ввод пакетов разрешения адресов (ARP) в сеть для заполнения таблицы адресуемой памяти коммутатора (CAM), которая отслеживает подключение к порту хоста.
o Некоторые из методов активного обнюхивания следующие
§ MAC-флудинг
§ DNS-отравление
§ Отравление ARP
§ Атаки DHCP
§ Кража порта коммутатора
§ Атака с подменой
Протоколы, уязвимые для сниффинга
· Telnet и Rlogin — нажатия клавиш, включая имена пользователей и пароли, отправляются открытым текстом
· HTTP—данные отправляются в виде открытого текста
· IMAP — пароли и данные отправляются открытым текстом
· SMTP и NNTP — пароли и данные отправляются открытым текстом
· ВСПЛЫВАЮЩИЕ пароли и данные отправляются открытым текстом
· FTP —пароли и данные отправляются открытым текстом
Реализация атаки в сети
Рабочий процесс взлома сети злоумышленником с помощью снифферов
1. Злоумышленник подключает свой ноутбук к порту коммутатора
2. Он запускает инструменты обнаружения, чтобы узнать о топологии сети
3. Он определяет машину жертвы, на которую нацелены его / ее атаки
4. Он отравляет машину-жертву, используя методы ARP-подмены
5. Трафик, предназначенный для компьютера-жертвы, перенаправляется злоумышленнику
6. Хакер извлекает пароли и конфиденциальные данные из перенаправленного трафика
Перехват на канальном уровне модели OSI
o Перехватчики работают на канальном уровне модели OSI
o Сетевые уровни в модели OSI спроектированы так, чтобы работать независимо друг от друга, если анализатор прослушивает данные на канальном уровне передачи данных, верхний уровень OSI не будет знать об этом перехвате
Популярные техники и методы обнюхивания
· Анализаторы аппаратных протоколов
o Аппаратный анализатор протоколов - это часть оборудования, которая улавливает сигналы без изменения трафика в сегменте кабеля
o Ее можно использовать для мониторинга использования сети и выявления вредоносного сетевого трафика, генерируемого хакерским программным обеспечением, установленным в сети
o Он захватывает пакет данных, декодирует его и анализирует его содержимое на основе определенных предопределенных правил
o Это позволяет злоумышленнику видеть отдельные байты данных каждого пакета, проходящего по кабелю
o Некоторые из ключевых аппаратных анализаторов протоколов, представленных на рынке, - это анализатор протоколов Agilent N2X N5540A, Keysight E2960B, анализатор протоколов RADCOM PrismLite, анализатор протоколов STINGA, сетевой помощник OneTouch от NETSCOUT, планшет сетевого анализа NETSCOUT Opt / View XG, Agilent Technologies 8753ES
· Порт SPAN — это порт, который настроен на прием копии каждого пакета, проходящего через коммутатор. При подключении к порту SPAN злоумышленник может скомпрометировать всю сеть
· Прослушивание телефонных разговоров — это процесс мониторинга телефонных и интернет-разговоров третьей стороной. Злоумышленники подключают подслушивающее устройство, такое как аппаратное, программное обеспечение или их сочетание, к цепи передачи информации между двумя телефонами или хостами в Интернете. Это позволяет злоумышленнику отслеживать, перехватывать, получать доступ и записывать информацию, содержащуюся в потоке данных в системе связи. Активное прослушивание отслеживает, записывает, изменяет, а также вводит данные в коммуникацию или трафик. Пассивное прослушивание только отслеживает и записывает трафик и собирает информацию о содержащихся в нем данных. В большинстве стран прослушивание телефонных разговоров без ордера или согласия заинтересованного лица является уголовным преступлением.
· Законный перехват — это относится к законному перехвату передачи данных между двумя конечными точками для наблюдения в традиционных телекоммуникациях, передачи голоса по интернет-протоколу (VoIP), передачи данных и мультисервисных сетях.
· MAC-флудинг — флудинг по MAC включает в себя заполнение таблицы CAM поддельными парами MAC-адресов и IP-адресов до тех пор, пока она не заполнится. Затем коммутатор действует как концентратор, передавая пакеты на все компьютеры в сети, и, следовательно, злоумышленники могут легко перехватывать трафик. Macof - это инструмент для Unix / Linux, который является частью коллекции dsniff. Macof отправляет MAC-адреса и IP-адреса случайных источников. Этот инструмент заполняет таблицы CAM коммутатора, отправляя поддельные записи MAC.
· Кража порта коммутатора
o затопление MAC используется методом перехвата портов коммутатора для перехвата сетевых пакетов.
o Злоумышленники заполняют коммутатор поддельными безвозмездными пакетами ARP с целевым MAC-адресом в качестве источника и ее собственным MAC-адресом в качестве получателя.
o Возникает состояние гонки между затопленными пакетами злоумышленника и пакетами целевого хоста, и, таким образом, коммутатору приходится постоянно менять привязку своего MAC-адреса между двумя разными портами.
o В таком случае, если злоумышленник достаточно быстр, он сможет направлять пакеты, предназначенные для целевого хоста, на свой порт коммутатора.
теперь злоумышленнику удается украсть порт коммутатора целевого хоста и отправляет запросы ARP на украденный порт коммутатора, чтобы узнать IP-адрес целевых хостов.
o Когда злоумышленник получает ответ ARP, это указывает на то, что привязка порта коммутатора целевого хоста была восстановлена и злоумышленник теперь может перехват пакетов, отправленных на целевой хост.
· Атака с блокировкой DHCP и атака на мошеннический DHCP-сервер
o Атака с блокировкой DHCP - это атака типа "отказ в обслуживании" (DoS) на DHCP-серверы, при которой злоумышленник отправляет поддельные DHCP-запросы и пытается арендовать все DHCP-адреса, доступные в области DHCP. Таким образом, законный пользователь не может получить или продлить IP-адрес, запрошенный через DHCP, не имея доступа к сетевому доступу.
o Где, как и при атаке на мошеннический DHCP-сервер, злоумышленник устанавливает мошеннический DHCP-сервер в сети и отвечает на запросы DHCP поддельными IP-адресами, что приводит к нарушению доступа к сети. Эта атака работает в сочетании с атакой "голодания" DHCP; злоумышленник отправляет пользователю настройки TCP / IP после отключения его от подлинного DHCP-сервера
Атака с подменой ARP
o Прежде чем разбираться в атаке с подменой ARP, важно сначала разобраться в ARP. Протокол разрешения адресов (ARP) - это протокол без состояния, используемый для преобразования IP-адресов в адреса компьютеров (MAC). Все сетевые устройства, которым необходимо взаимодействовать в сети, передают запросы ARP в сеть, чтобы узнать MAC-адреса других компьютеров. Когда одной машине необходимо установить связь с другой, она просматривает свою таблицу ARP. Если MAC-адрес не найден в таблице, ARP_request транслируется по сети. Все компьютеры в сети будут сравнивать этот IP-адрес со своим MAC-адресом. Если один из компьютеров в сети идентифицируется с этим адресом, он ответит на ARP_request своим IP и MAC-адресом. Запрашивающий компьютер сохранит пару адресов в таблице ARP и отправит сообщение.
o При атаке с подменой ARP пакеты ARP могут быть подделаны для отправки данных на компьютер злоумышленника. Подмена ARP включает в себя создание большого количества поддельных пакетов ARP-запросов и ответов для перегрузки коммутатора. Коммутатор переводится в режим пересылки после того, как таблица ARP заполняется поддельными ответами ARP, и злоумышленники могут перехватывать все сетевые пакеты. Злоумышленники заполняют ARP-кэш целевого компьютера поддельными записями, что также известно как отравление.
o К угрозам отравления ARP относятся перехват пакетов, перехват сеанса, прослушивание VoIP-звонков, манипулирование данными, атака "человек посередине", перехват данных, перехват соединения, сброс соединения, кража паролей, атака типа "отказ в обслуживании" (DoS).
· Подмена или дублирование MAC — эта атака запускается путем перехвата MAC-адресов клиентов, которые активно связаны с портом коммутатора, в сети и повторного использования одного из этих адресов. Прослушивая трафик в сети, злоумышленник может перехватить MAC-адрес законного пользователя и использовать его для получения всего трафика, предназначенного для пользователя. Эта атака позволяет злоумышленнику получить доступ к сети и присвоить чью-либо личность в сети.
· Подмена IRDP — протокол обнаружения маршрутизатора ICMP (IRDP) - это протокол маршрутизации, который позволяет хосту обнаруживать IP-адреса активных маршрутизаторов в своей подсети, прослушивая рекламу маршрутизатора и запрашивая сообщения в своей сети. Злоумышленник отправляет рекламное сообщение о поддельном маршрутизаторе IRDP хосту в подсети, заставляя его сменить маршрутизатор по умолчанию на тот, который выберет злоумышленник. Эта атака позволяет злоумышленнику отслеживать трафик и собирать ценную информацию из пакетов. Злоумышленники могут использовать подмену IRDP для запуска man in the middle, отказа в обслуживании и пассивных атак с перехватом.
· Методы отравления DNS — это метод, который обманывает DNS-сервер, заставляя его поверить, что он получил достоверную информацию, когда на самом деле он ее не получал. Это приводит к замене ложного IP-адреса на уровне DNS, где веб-адреса преобразуются в цифровые IP-адреса. Это позволяет злоумышленнику заменить записи IP-адреса целевого сайта на данном DNS-сервере IP-адресом сервера, который он контролирует. Злоумышленник может создавать поддельные DNS-записи для сервера, содержащие вредоносный контент, с именами, похожими на имена целевого сервера.
Инструменты для вынюхивания
Wireshark: помогает перехватывать трафик, проходящий по компьютерной сети, и просматривать его в интерактивном режиме. Ит использует Winpcap для захвата пакетов в своих собственных поддерживаемых сетях. Он улавливает сетевой трафик в реальном времени из сетей Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, token ring, frame relay, FDDI. Набор фильтров для настраиваемого отображения данных может быть усовершенствован с помощью фильтра отображения.
SteelCentral Packet Analyzer: предоставляет графическую консоль для высокоскоростного анализа пакетов
Сетевой анализатор Capsa: Сетевой анализатор Capsa фиксирует все данные, передаваемые по сети, и предоставляет широкий спектр статистических данных анализа в интуитивно понятном и графическом виде
OmniPeek: OmniPeek sniffer отображает карту Google в окне OmniPeek capture, показывающую местоположения всех общедоступных IP-адресов захваченных пакетов
Observer Analyzer: Observer обеспечивает всестороннюю детализацию сетевого трафика и обеспечивает ретроспективный анализ, отчетность, отслеживание тенденций, сигналы тревоги, прикладные инструменты и возможности мониторинга маршрутов.
Сетевой монитор PRTG: общего назначения
Общий взгляд: общая цель
CSniffer: продукт от McAfee
Colasoft Packet builder: общего назначения
НетРезидент: общего назначения
Эфирное вещество: общего назначения
RSA NetWitness investigator: продукт от RSA
Ntopng: общего назначения
Сетевой зонд: общего назначения
Tcpdump: используется большинством этичных хакеров
SmartSniff: общего назначения
Веб-поисковик: общего назначения
Анализатор NetFlow: общего назначения
Бесплатный сетевой анализатор: общего назначения
Kismet: используется большинством этичных хакеров
Идентификация ищейки
Ниже приведены некоторые из распространенных методов идентификации снифферов.
· Метод Ping — отправляет запрос ping на подозрительный компьютер с его IP-адресом и неправильным MAC-адресом. Адаптер Ethernet отклоняет ее, поскольку MAC-адрес не совпадает, в то время как подозрительная машина, на которой запущен анализатор, реагирует на нее, поскольку не отклоняет пакеты с другим MAC-адресом.
· Метод DNS — большинство анализаторов выполняют обратный поиск в DNS, чтобы идентифицировать компьютер по IP-адресу. На машине, генерирующей трафик обратного DNS-поиска, скорее всего, будет запущен сниффер.
· Метод ARP — только машина в неразборчивом режиме (машина c) кэширует информацию ARP (сопоставление IP- и MAC-адресов). Машина в неразборчивом режиме отвечает на сообщение ping, поскольку в ее кэше есть правильная информация о хосте, отправляющем запрос ping; остальные машины отправят ARP-зонд для идентификации источника запроса ping.
Мотивы, стоящие за обнюхиванием
· Для кражи имени пользователя и паролей с целью получения финансовой выгоды
· Для кражи банковского счета жертвы и деталей транзакции
· Для отслеживания сообщений чата, личных бесед и сообщений электронной почты
· Красть личную информацию ради различных выгод
Методы защиты и предотвращения с помощью нюха
· Ограничьте физический доступ к сетевому носителю, чтобы гарантировать невозможность установки анализатора пакетов
· Используйте сквозное шифрование для защиты конфиденциальной информации
· Постоянно добавляйте MAC-адрес шлюза в кэш ARP
· Используйте статические IP-адреса и таблицы ARP, чтобы злоумышленники не могли добавлять поддельные записи ARP для компьютеров в сети
· Отключите трансляции сетевой идентификации и, по возможности, ограничьте доступ к сети только авторизованным пользователям, чтобы защитить сеть от обнаружения с помощью средств перехвата
· Используйте IPv6 вместо протокола IPv4
· Используйте зашифрованные сеансы, такие как SSH вместо Telnet, Secure Copy (SCP) вместо FTP, SSL для подключения к электронной почте и т.д., Чтобы защитить пользователей беспроводной сети от взлома
· Используйте HTTPS вместо HTTP для защиты имен пользователей и паролей
· Используйте коммутатор вместо концентратора, поскольку коммутатор доставляет данные только предполагаемому получателю
· Используйте протокол защищенной передачи файлов (SFTP) вместо FTP для безопасной передачи файлов
· Используйте PGP и S / MIME, VPN, IPSec, SSL / / TLS, защищенную оболочку (SSH) и одноразовые пароли — OTP
· Всегда шифруйте беспроводной трафик с помощью надежных протоколов шифрования, таких как WPA и WPA2
· Извлекайте MAC непосредственно из сетевой карты, а не из операционной системы; это предотвращает подмену MAC-адреса
· Используйте инструменты, чтобы определить, работают ли какие-либо сетевые карты в неразборчивом режиме
· Используйте концепцию ACL или списка контроля доступа, чтобы разрешить доступ только к фиксированному диапазону доверенных IP-адресов в сети
· Защита портов может использоваться для ограничения входящего трафика только с выбранного набора MAC-адресов и ограничения атаки с переполнением MAC
· Включите отслеживание DHCP, которое позволяет коммутатору принимать транзакции DHCP, направленные с доверенного порта
· Внедрите динамическую проверку ARP с использованием таблицы привязки отслеживания DHCP для защиты от отравления ARP
· Внедрите расширение безопасности системы доменных имен (DNSSEC), полностью или частично ограничьте доступ авторизованных пользователей к службе повторного доступа к DNS.
· Регулярно проверяйте свой DNS-сервер на предмет устранения уязвимостей.
