Cнифферы

Введение
Я надеюсь эта статья будет хорошим повествованием о снифферах для начинающих хакеров, а также для тех, кто имел с ними дело.
Что такое Сниффер?
Сниффер(нюхач, eng) - это программа, которая устанавливается под NIC (Сетевую Интерфейсную Карту), иначе называемую Ethernet карта(одна из необходимых частей аппаратных средств, для физического соединения компьютеров в локальной сети). Как известно информация по сетке передается пакетами - от вашей машины к удаленной, так вот сниффер, установленный на промежуточном компьютере, через который будут проходить пакеты - способен захватывать их, пока они еще не достигли цели. У разных снифферов процесс захвата информации реализован по разному, ну об этом чуть ниже.
(ваш комп) -> (соседний комп) -> (комп со сниффером) -> (удаленный комп)
Стандартный пакет попутешествует из "вашего компа " через сеть. Он пройдет через каждый компьютер в сети, начиная с "соседнего компа", через "комп со сниффером" и заканчивая "удаленным компом". Каждая машина должна игнорировать пакет если он не предназначен для ее IP адреса. Тем не менее, машина со Сниффером забивает на эти правила и принимает ЛЮБОЙ пакет, который через нее проходит. Сниффер также известен как сетевой анализатор. Нет реального различия между сетевым анализатором и сниффером, но компании по безопасности и Федеральное правительство предпочитают второе название поскольку оно звучит более угрожающе.
Какой это тип Атаки?
Для хакеров, сниффер отличное средство для наблюдения за посылаемой информацией, и это считается пассивным типом атаки. Пассивная атака - эта та атака которой непосредственно не вторгаются в чужую сеть или компьютер, например, используя сниффер, в надежде получить желаемую информацию, включая пароли. С другой стороны, активная атака непосредственно связывается с дистанционной машиной. Дистанционные переполнения буфера хоста, сетевые наводнения и другое, попадают под категорию активной атаки. По сути, пассивная атака сниффера не может быть обнаружена. Следы его деятельности ни где не отражаются. И при этом атака сниффера также серьезна, как любая активная атака.
Чем хорош Сниффер ?
С помощью сниффера, вы можете получить любую информацию, которая была передана в сети, как то: пароли, почта, конфиденциальные документы, и любую другую незакодированную информацию. В сущности, сниффер действует как регистратор программ, установленных на машинах, от которых передаются пакеты. Захватывая эти пакеты, сниффер поможет вам создать точную карту сети и машин, которые находятся в ней. Есть одно правило для сниффера: для эффективной атаки сниффер должен устанавливаться в непосредственной близости к главному компьютеру, либо на сам главный компьютер(если получится). Поверьте, что не все машины из одной сети могут поделиться информацией друг с другом. Следовательно если у вас будет возможность доступа к главной машине или наиболее приближенной, то стоит злоупотребить этим и использовать эту машину как трамплин в остальную часть сети. При установке сниффера в хостах близких к главной машине, возможность получения секретной информации повышается.
Типы Снифферов
Наиболее популярный тип Снифферов использует кратковременный забор информации и работает в небольших сетях. Причина этого кроется в том, что невозможно поставить сниффер, который бы постоянно отслеживал пакеты и при этом не сильно использовал мощность центрального процессора. Чрезмерная загрузка центрального процессора и файловой системы являются единственным путем обнаружения снифферов. Эти снифферы осуществляют быстрый и кратковременный забор информации, чтобы утилиты, подобные РS и IFCONFIG не смогли обнаружить их. Если Вы обнаружили что загрузка центрального процессора была выше нормального, или, каждый день, Вы теряете еще один мег. дискового пространства, и это ничем не может быть объяснено, знайте - это указывает на присутствие сниффера.
Следующий тип снифферов, работает на больших протоколах передачи данных, соответственно, жрет по более ресурсов в центральном процессоре. В больших сетях, эти снифферы могут сгенерировать вплоть до десяти мегабайтных протоколов в день, если в сниффере установлена регистрация всего диалогового движения. А если стоит и обработка почты то объемы могут расти даже быстрее.
Следующий тип снифферов записывает только первые Х байтов пакета (X определенное число), чтобы захватить имя/пароль. Другой метод заключается в захвате целого сеанса, и "вырубания" ключа. Более продвинутые типы снифферов поддержит оба метода. Выбор типа сниффа зависит от возможностей сетки, хакера и желаемого конечного результата.
Конструкция Сниффера
Если Вам интересны детали сниффера, хотите понять как работает, есть отличная статья(eng)Renfro's. Она описывает подробно основные элементы программирования сниффера, которые требует практическое знание языка C. Если Вы поймете статью, можете изучить исходный код сниффера (например, esniff.c).
Популярные Снифферы
Есть люди считающие, что снифферы это инструмент для хакера, тогда как остальная часть их считает, что эта вещь для системных администраторов. Так или иначе сниффер необходим и тем и другим ;) Следующий список содержит наиболее популярные снифферы:
Sniffit: Это - один из первых снифферов и он по прежнему хорош. Этот сниф сохраняет первые 400 байтов пакета по умолчанию, но Вы можете запрограммировать его так, чтобы он захватывал целую сессию и вырубал пароль.
Snort: На момент написания статьи Snort 1.2.1 был только выпущен. Это - тоже хороший сниффер поскольку скорректирован более четко чем Sniffit, имеет кучу опций. Пользуйтесь.
TCPdump: Очень знаменитый сниффер. Считается, профессиональным административным средством. Вы может помните, что Tsutomu Shimomura модифицировал версию этого снифа (на самом деле это был Пакетный Фильтр Berkeley (BPF), но нет значительного различия между ними).
ADMsniff: известная, очень квалифицированная группа хакеров ADM написала хороший сниффер, советую посмотреть, т.к. все что они делают - определенно стоит внимания.
Linsniffer: известный сниффер разработанный для платформы Linux .
Esniff: Это хорошо известный сниффер.
Sunsniff: этот сниффер сделан под платформу SunOS. Возможно один из наиболее известных снифферов т.к. был сделан почти десять лет назад.
Solsniffer: сниффер для Solaris. Это - просто модификация Sunsniff разработанная, для компиляции чисто на платформу Solaris. Есть много хороших снифферов подобно Snort, которые умеют работать на многочисленных платформах. Я мог бы продолжить этот список, но для начала хватит. Загляните на любой хороший сайт по безопасности и качайте от души.
Обнаружение и Предотвращение атаки
Если Вы ответственный за сетевую безопасность, и собираетесь проверить сетку на наличие снифферов, я советую воспользоваться следующими программами и советами. Первая небольшая програмка которая вам поможет - promisc.c, написаная на С. Когда скомпилируете ее, она проверит вашу локальную машину с любым типом карты NICs. Следующая прога тоже на С neped.c, умеет делать дистанционные проверки на любые типы снифферов, но она компилируется только под Linux. Для поиска вручную, наберите команду 'ifconfig -', если вы имеете дело с *nix платформами, и хорошенько посмотрите все сетьевые интерфейсы, которые будут носить флаг PROMISC. Не так давно комманда L0pht выпустила хороший продукт AntiSniff <http://www.l0pht.com/antisniff/> под Win9*, правда пока только бета версию. Под NT сущетвует рабочая версия(если кому надо - вышлю). Также L0pht выложили исходный код своей проги для Linux. Но если вам нужен поисковик уже сейчас, советую neped.c в принципе он обладает таким же типом поиска. Все эти инструменты предназначены для дистанционного обнаружения снифферов как на удаленных хостах, так и в пределах подсети. Эти программы зарекомендовали себя как отличные средства обнаружения и зачастую очень надежные. Совет: для предотвращения несанкционированного сниффинга, вы должны использовать хорошую криптографию, даже если кто-нибудь поставил вам сниффер, с крипто - вы будете как в бронежилете.
Как уничтожить Сниффер
Я не собираюсь подробно описывать все методы уничтожения поскольку существует подробная статья(eng) на эту тему от Phrack 54, если интересно посмотрите. В этом текстовике описано много методов для уничтожения снифферов.
Ссылки
На web сайте Security Focus <http://www.securityfocus.com/> можно найти очень много различных снифферов.
Сходите на сайт
L0pht.com <http://www.l0pht.com/> - изготовителя AntiSniff, почитайте о нем, если вас интересуют подробности.
[назад]


Сайт создан в системе uCoz