Реферат на тему Снифферы. Реферат. Снифферы
Скачать 31.89 Kb.
|
Министерство образования Реферат на тему: «Снифферы» студентки группы Специальность Проверила _________ 2020 Содержание Введение 3 Понятие и принцип работы сниффера 4 Виды снифферов и самое популярное ПО 6 Снифферы как утилиты двойного назначения 8 Способ противостояния снифферам 9 Вывод 11 Список литературы 12 Введение Анализатор сетевого трафика/пакетов/протоколов или сниффер (от англ. sniff — нюхать) — это специальная программа, которая способна перехватить и/или проанализировать сетевой трафик. Как известно, передача информации по сетке осуществляется пакетами пользователя к удаленной машине, а если установить сниффер на промежуточном компьютере, то он будет захватывать проходящие пакеты до того, как они достигнут цели. Актуальность темы анализаторов трафика состоит в том, что данное программное обеспечение полезно как для системных администраторов (для проведения диагностики сети), так и для злоумышленников (для перехвата паролей). В век информационных технологий важно уметь как пользоваться, так и противостоять подобному ПО, ведь в руках одного человека сниффер — это невероятно полезная программа, а в руках другого — чрезвычайно опасная и способная нанести значительный ущерб пользователям. Целью данного реферата является общее ознакомление с подобным ПО, а задачами: раскрытие как положительных, так и отрицательных сторон снифферов с приведением существующих примеров программ. 1. Понятие и принцип работы сниффера. Как было написано ранее, снифферы — это программное обеспечение, позволяющее перехватывать и/или анализировать сетевой трафик. Работа одного сниффера может существенно отличаться от работы другого. Стандартный пакет начинает свое движение от ПК пользователя и далее через каждый компьютер в сети, проходя через соседний ПК, ПК, оборудованный сниффером и заканчивая удаленным ПК. Программа работает на уровне сетевого адаптера NIC (Network Interface Card) (канальный уровень) и скрытым образом перехватывает весь трафик. Поскольку снифферы работают на канальном уровне модели OSI, они не должны играть по правилам протоколов более высокого уровня. Снифферы обходят механизмы фильтрации (адреса, порты и т.д.), которые драйверы Ethernet и стек TCP/IP используют для интерпретации данных. Пакетные снифферы захватывают из провода все, что по нему приходит. Данное ПО может сохранять кадры в двоичном формате и позже расшифровывать их, чтобы раскрыть информацию более высокого уровня, спрятанную внутри. Перехватить трафик через сниффер можно следующими способами: путем прослушивания в обычном режиме сетевого интерфейса; подключением в разрыв канала, перенаправлением трафика; посредством анализа побочных электромагнитных излучений; при помощи атаки на уровень канала и сети, приводящей к изменению сетевых маршрутов. Поток данных, перехваченный сниффером, подвергается анализу, что позволяет: выявить паразитный трафик (его присутствие значительно увеличивает нагрузку на сетевое оборудование); обнаружить активность вредоносных и нежелательных программ (сканеры сети, троянцы, флудеры, пиринговые клиенты и т.п.); произвести перехват любого зашифрованного или незашифрованного трафика пользователя для извлечения паролей и других ценных данных. Весь перехваченный трафик передается декодеру пакетов, который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. В зависимости от возможностей конкретного сниффера представленная информация о пакетах может впоследствии дополнительно анализироваться и отфильтровываться. Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов - форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит. Информация передаётся по сети, и получает её каждое устройство этой сети. По умолчанию сетевая плата компьютера видит только то, что предназначено именно для неё. Однако прослушивающие программы устанавливают её в режим приёма всех пакетов —promiscuous mode. В основе многих снифферов были и есть сетевые драйверы, и библиотеки (libpcap, libnet), которые осуществляют большую часть работы. Дело в том, что для переключения сетевой платы в promiscuousmode требуется низкоуровневое программирование её портов. В многозадачной ОС такую работу могут выполнить только драйверы уровня ядра системы (kernel-modedrivers). Первые программы такого типа были созданы для операционных систем Unix. Для установки вручную сетевого интерфейса в «неразборчивый» режим необходимо включить флаг PROMISC: ifconfigeth0 promisc, а для отключения promiscuous mode: ifconfigeth0 -promisc. Вскоре снифферы перебрались в популярную ОС Windows, но их работа в этой системе также требовала сетевого драйвера, который переключал сетевую плату (NIC) в специальный режим. До недавнего времени создание программ-снифферов было уделом квалифицированных специалистов. С появлением Windows2000 создать программу для прослушивания сегмента сети стало совсем просто. 2. Виды снифферов и самое популярное ПО По «месторасположению» сниффер может работать: На маршрутизаторе (шлюзе). При таком раскладе существует возможность перехватывать трафик, проходящий через интерфейсы этого шлюза. Например, из одной локальной сети в другую и в обратную сторону. Соответственно, если установить сниффер на маршрутизаторе провайдера, появляется возможность отслеживать трафик его пользователей. На оконечном узле сети Применительно к Ethernet мы будем иметь два основных возможных варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс в принципе «слышит» весть траффик своего сегмента. Однако в нормальном режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция сравнивает свой МАС-адрес с адресом получателя, указанном в фрейме. Если адрес чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме вы можете перехватывать и анализировать только свой траффик. Для перехвата пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим под названием promiscuous mode, чтобы она продолжала читать не предназначенные ей пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode. Использование коммутируемого Ethernet создает ситуацию, когда даже переход карты в promiscuous mode делает прослушивание не предназначенного станции трафика практически невозможным. Однако существует технология организации такого прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так называемый «broadcast domain», и хост с установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным маршрутизатором (рассылая постоянно АRP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей станции). Таким образом, трафик соседей насильственно завернется в сторону "шпиона". Подробнее об ARP и фреймах мы рассмотрим далее в «основах передачи данных сети Ethernet». В остальном же снифферы могут отличаются друг от друга главным образом функциональными возможностями, как: поддерживаемые физические интерфейсы и протоколы канального уровня; качество декодирования и количество известных протоколов; пользовательский интерфейс и удобство отображения; дополнительные возможности: статистика, просмотр в реальном времени, генерирование или модификация пакетов и другое... При выборе сниффера (как, впрочем, и любого другого программного обеспечения) есть смысл руководствоваться следующими соображениями: из того, что существует под вашу ОС выбираем либо то, что точно соответствует вашим задачам (имеет смысл в том случае, если вы планируете либо разовое мероприятие, либо постоянное выполнение одной и той же операции), либо максимально навороченное решение, в случае, если вы чувствуете, что сниффер будет вам полезен, но еще не знаете в какой ситуации. Примеры известных снифферов: WinSniffer — обладает множеством разных настраиваемых режимов, способен перехватывать пароли различных сервисов; CommView — обрабатывает данные, передаваемые по локальной сети и в интернет, собирает сведения, связанные с модемом и сетевой картой, и подвергает их декодированию, что дает возможность видеть полный список соединений в сети и статистические сведения по IP. Перехваченная информация сохраняется в отдельный файл для последующего анализа, а удобная система фильтрации позволяет игнорировать ненужные пакеты и оставляет только те, которые нужны злоумышленнику; ZxSniffer — компактный сниффер, известный малым объемом (0,3 МБ); SpyNet — весьма популярный анализатор, в основную функциональность которого входят перехват трафика и декодирование пакетов данных; IRIS — имеет широкие возможности фильтрации, может перехватывать пакеты с заданными ограничениями. 3. Снифферы как утилиты двойного назначения Перехватывать потоки данных можно легально и нелегально. Понятие «сниффер» применяется именно по отношению к нелегальному сценарию, а легальные продукты такого рода называют «анализатор трафика». С одной стороны, снифферы — мощное оружие, с помощью которого можно осуществить пассивную сетевую атаку. Эти программы могут представлять собой серьезную угрозу, поскольку могут перехватывать и расшифровывать имена и пароли пользователей, конфиденциальную информацию, нарушать работу отдельных компьютеров и сети в целом. Известно, что в большинстве протоколов передачи данных (FTP, POP, HTTP, telnet) секретная информация между клиентом и сервером передаётся открытым текстом. Поэтому злоумышленнику не составляет большого труда получить доступ к чужой информации. Достаточно раздобыть программу-сниффер, настроить её фильтры и ждать, когда жертва будет подключаться к серверу. С другой стороны, анализаторы трафка помогают системным администраторам осуществлять диагностику сети и отслеживать атаки компьютерных «хулиганов». Кроме того, они служат для проверки и детального анализа правильности конфигурации сетевого программного обеспечения. Данное ПО может быть использовано для оценки основных параметров функционирования сети: процента использования полосы пропускания, оценки используемых протоколов, количества пакетов с ошибками и т. п. Кроме того, анализатор сетевого трафика позволяет обнаружить отклонения в работе устройств: избыточное количество пакетов того или иного типа, что может быть признаком заражения какой-либо системы вирусом или готовящейся атаки. Также анализатор протоколов незаменим для настройки работы брандмауэра со специализированными недокументированными приложениями (обнаружение реально используемых приложением портов). Программы-анализаторы сетевого трафика обычно имеют развитые средства его анализа; это позволяет автоматически выявлять те или иные отклонения в работе сетевых устройств. Ко всему прочему, используя анализаторы трафика, можно своевременно обнаружить проведение DoS-атаки Если посмотреть на сниффер с точки зрения программиста, то окажется, что это мощное средство для отладки и диагностики программ. В первую очередь это касается сетевого программного обеспечения, распределённых информационных систем и приложений типа клиент-сервер. Иными словами, снифферы — и «щит», и «меч», работающие как во благо, так и во вред. 4. Способ противостояния снифферам Обнаружение работы снифферов: Обнаружение снифферов в сетях на коммутаторах: Поскольку сниффинг в сетях на коммутаторах подразумевает атаку «man-in-the-middle», когда прослушивание сети носит «активный» характер, при котором сетевой трафик передается атакующему компьютеру и только потом пересылаться по истинному назначению, то определение работы «активных» снифферов является достаточно простой задачей. Требуется только обнаружить подозрительный ARP сетевой трафик. Для этих целей служит специальное программное обеспечение, такое как, например, LBNL Arpwatch. Arpwatch определяет, как изменения в ARP схеме локальной сети, вызываемые ARР spoofing, так и очевидные сетевые аномалии, или вторичные эффекты от сниффинга. Обнаружение снифферов в сетях без коммутаторов: Определение работы снифферов, которые разработаны для сетей без коммутаторов, является более сложной задачей. Это связано с тем, что работа таких снифферов происходит преимущественно в пассивном режиме. Они работают, переведя сетевую карту в специальный promiscuous режим, что позволяет атакующему компьютеру получать любой сетевой трафик, достигающий сетевой карты. Подобно радиоприемнику, снифферы не порождают обязательного дополнительного и подозрительного трафика для передачи в сеть. Однако существуют определенные технологии, которые могут быть использованы для определения компьютеров, чьи сетевые карты работают в специальном promiscuous режиме, что указывает на вероятный сниффинг локальной сети. Эти технологии используют специфичные особенности TCP/IP стэка. Одной из таких утилит является L0pht AntiSniff. Самораспаковывающийся архив as-1021 имеет размер 1299 Кб и включает краткое руководство пользователя. Утилита Shareware и работает без регистрации 15 дней. Естественно, в Интернете легко находится средство продления работоспособности. В руководстве пользователя прямо указано предназначение утилиты: «AntiSniff is a Graphical User Interface (GUI) driven tool for detecting promiscuous Network Interface Cards (NICs) on your local network segment.» Утилита имеет хорошо продуманный графический интерфейс. На вкладке «Network Configuration» задается или адрес проверяемой машины, или диапазон адресов, если надо проверить несколько машин. Существует возможность загрузить предварительно подготовленный список из файла. Утилита самостоятельно определяет допустимые сетевые интерфейсы, предоставляя возможность выбора. Противодействие: Мало обнаружить работу снифферов в локальной сети. Что можно им противопоставить? Выбор невелик: это административные меры, модификация самого протокола ARP и шифрование. Локальная сеть под диктатором. В организациях предотвратить использование снифферов гораздо проще. Можно просто запретить использование какого-либо программного обеспечения, кроме тех, что явно разрешены администратором. Например, такие решения, как AppSense Application Manager, которые разрешают запуск только одобренного администратором программного обеспечения. Снифферы и другие хакерские утилиты будут запрещены для запуска. Однако, такие решения как AppSense подходят не ко всем сетям, поскольку, во-первых, поддерживают только Win компьютеры, а во-вторых, AppSense не сможет воспрепятствовать постороннему компьютеру (например, ноутбуку) подсоединится к сети. Кроме того, этот способ не приемлем для подключения к локальной сети домашних пользователей, в отношении которых такой диктат неуместен. Модификация ARP протокола. Для предотвращения работы снифферов в сетях с коммутаторами можно немного изменить алгоритм функционирования самого протокола ARP. Идея заключается в следующем: при приеме ARP-reply производится сравнение старого и нового MAC-адресов, при обнаружении несоответствия посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. В случае атаки arpoison «настоящая» система, имеющая этот IP-адрес, ответит на запрос, и, таким образом, атака будет распознана. Шифрование. Единственным решением, не столько препятствующим сниффингу, сколько делающим его бессмысленным, является шифрование. В «dsniff FAQ» Dug Song советует: «не допускайте использования фирменных небезопасных прикладных протоколов или унаследованных протоколов, передающих данные явным образом в ваших сетях». Это очень важный совет. Замена небезопасных протоколов (таких как telnet) на их надежные шифрованные аналоги (такие как ssh) представляется серьезным барьером от перехвата. Замена всех небезопасных протоколов в большинстве случаев маловероятна. Поэтому, вместо прекращения использования протоколов, передающих данные явным образом, остается только одна возможность — шифрование всего сетевого трафика на 3 уровне, используя Internet Protocol Security (IPSec) (Taylor, Laura. Understanding IPSec). Вывод Как описывалось ранее, прослушивающие программы или пакетные анализаторы относятся к классу утилит двойного назначения: «щитом» и «мечом» в руках разных пользователей. В данном реферате было дано общее представление ПО, относящееся к программам-снифферам, расшифровано само понятие «сниффер», рассмотрены принципы работы сетевых анализаторов. Также вкратце объяснены виды снифферов и назначение снифферов, легальные и нелегальные стороны их использования, представлены некоторые примеры этих программ (WinSniffer, CommView, ZxSniffer, SpyNet, IRIS). Кроме того, были описаны способы борьбы с работой снифферов и программы, препятствующие их работе (как AppSense Application Manager). Список литературы Максимов, К. Сниффер: щит и меч: [Электронный ресурс] / К. Максимов // Библиотека Интернет Индустрии I2R.ru. URL: http://www.i2r.ru/static/452/out_14876.shtml Почти все, что вы хотели знать о снифферах: [Электронный ресурс] // 1999-2020 Сетевые решения. URL: https://nestor.minsk.by/sr/2000/12/01202.html По ту сторону баррикад: как противостоять снифферу: [Электронный ресурс] // Журнал «Хакер». URL: https://xakep.ru/2003/04/16/18197/ Снифферы: [Электронный ресурс] // 1999-2020 DelphiPlus. URL: https://www.delphiplus.org/samouchitel-sistemnogo-administratora/sniffery.html Пахомов, С. Анализаторы сетевых пакетов: [Электронный ресурс] / С. Пахомов // КомпьютерПресс 1999 - 2020 webmaster@compress.ru. URL: https://compress.ru/article.aspx?id=16244 Снифферы (Sniffers): [Электронный ресурс] // ООО "АМ Медиа", 2005-2020. URL: https://www.anti-malware.ru/threats/sniffers |