Современные информационные технологии/3. Программное
обеспечение
Жуаспаев Т.А.
Костанайский государственный университет имени
А.Байтурсынова, Республика Казахстан
ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ ПРОГРАММ-СНИФФЕРОВ
В настоящее время весьма
актуальной стала проблема информационной безопасности. Интересно рассмотреть
особенности использования программ-снифферов - специального типа программ,
созданных для мониторинга сетевого потока и его анализа.
Снифферы - это
программы, которые перехватывают весь сетевой трафик. Снифферы полезны при
проведении диагностики сети (для администраторов) и для перехвата паролей (для
хакеров). Например, если вы получили доступ к одной сетевой машине, и
установили там сниффер, то скоро вам будут известны пароли от их подсети. Снифферы
ставят сетевую карту в прослушивающий режим (PROMISC), то есть они получают все пакеты.
Снифферы могут перехватывать все пакеты (что очень неудобно, ужасно быстро
переполняется лог файл, зато это идеальный вариант для детального анализа
сети), или только первые байты от различных ftp,telnet,pop3 и т.д. (это самое интересное, обычно
примерно в первых 100 байтах содержится имя и пароль), кроме того, в настройках
многих снифферов можно задавать фильтрацию отдельных пакетов.
Помимо
несанкционированного использования снифферов в хакерских целях, они могут
использоваться также для тестирования и отладки компьютерных сетей.
Таким образом, в руках
одного человека сниффер - очень полезная программа, другого же - чрезвычайно
опасная "игрушка", способная нанести значительный ущерб для пользователей
сети.
Традиционно идея
сниффинга жила как бы в двух ипостасях: легальное и нелегальное применение. Что
характерно, слово "сниффер" чаще применяется в нелегальной сфере, а
"сетевой анализатор" - в легальной.
По "месторасположению"
(если уместно применение данного термина) сниффер может работать:
На маршрутизаторе
(шлюзе) - при таком раскладе вы можете перехватывать трафик, проходящий через
интерфейсы этого шлюза. Например, из вашей локальной сети в другую сеть и в
обратную сторону. Соответственно, если установить сниффер на маршрутизаторе
провайдера Интернет, мы можем отслеживать трафик его пользователей.
На оконечном узле сети -
применительно к Ethernet мы будем иметь два основных возможных
варианта прослушки. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс
в принципе "слышит" весть трафик своего сегмента. Однако в нормальном
режиме работы сетевой карты, прочитав первые 48 бит заголовка фрейма, станция
сравнивает свой МАС-адрес с адресом получателя, указанном во фрейме. Если адрес
чужой, станция перестает читать чужой фрейм. Таким образом, в нормальном режиме
вы можете перехватывать и анализировать только свой трафик. Для перехвата
пакетов всех станций сегмента требуется перевести вашу сетевую карту в режим
под названием promiscuous mode,
чтобы она "бесстыдно" продолжала читать не предназначенные ей
пакеты. Практически все реализации снифферов позволяют переход карты в promiscuous mode.
Примечание:
использование коммутируемого Ethernet создает ситуацию, когда даже
переход карты в promiscuous mode делает прослушивание не предназначенного вашей станции трафика
практически невозможным. Однако существует технология организации такого
прослушивания путем так называемого ARP-спуфинга. Суть в следующем: коммутатор создает так
называемый "broadcast domain", и хост с
установленным сниффером с помощью подделки ARP-сообщений может притвориться, например, пограничным
маршрутизатором (рассылая постоянно ARP-сообщения, где сетевому адресу маршрутизатора соответствует MAC-адрес прослушивающей
станции). Таким образом, трафик соседей насильственно завернется в сторону
"шпиона".
В остальном же снифферы
могут отличаются друг от друга главным образом функциональными возможностями,
как то:
-поддерживаемые физические интерфейсы и протоколы
канального уровня; -качество декодирования и количество известных протоколов;
-пользовательский интерфейс и удобство отображения;
-дополнительные
возможности: статистика, просмотр в реальном времени, генерирование или
модификация пакетов и другое...
Протоколирование сетевого трафика. Можно много дискутировать на тему правомерности и
этичности протоколирования администратором трафика пользователей для дальнейшего
просмотра, но факт остается фактом - многие организации включают в политику
безопасности эту технологию. Одна из важных
причин для протоколирования трафика - обнаружение попыток несанкционированного
доступа и других зловредностей - DoS-атак например. Имея такие логины, администратор с 100-
процентной точностью может знать, что происходит в его сетевых владениях.
Литература
1. http://www.nestor.minsk.by/sr/2000/12/01202.html
2. http://netedu.netfirms.com/cgi-bin/new/index.cgi?name=articles&num =51