Содержание
Лабораторная работа посвящена изучению программ анализа сетевого трафика, в частности программ ethereal и tcpdump
Просмотрите трафик через ваши сетевые интерфейсы. С помощью фильтра вывода tcpdump просмотрите трафик определенного вида.
TCP-трафик
DNS-трафик
ARP-трафик
Трафик ICMP
ICMP пакеты типа ECHO REQUEST
Изучите вывод tcpdump при анализе TCP-трафика. Каким образом изображены флаги SYN, ACK и RST в заголовках TCP-сегментов?
Таблица 3.1. Ключи программы tcpdump
Ключ | Описание |
|---|---|
| не выполнять обратное преобразование IP-адресов в DNS-имена |
| прослушивать трафик на указанном интерфейсе |
Таблица 3.2. Программы анализа и модификации трафика
Параметр | Описание |
|---|---|
| программа перехвата и анализа сетевого трафика |
| программа перехвата и анализа пакетов DHCP |
| перехватчик пакетов |
| сетевой grep. Поиск данных в потоке |
| редактор сетевого потока |
| анализатор трафика с псевдографическим интерфейсом |
| интерактивная программа для просмотра/анализа сетевого трафика |
Изучите процесс работы TCP-соединения от начала и до конца. Обратите внимание на основные фазы соединения: установка, жизнь и завершение.
Рассмотреть методы обнаружения хоста, выполняющего просшуливание. Перевести какой-либо из компьютеров в режим прослушивания, и с помощью метода ping'а обнаружить его.
Большинство пакетных снифферов работают на обычных компьютерах с обычныс стеком TCP/IP. Это значит, что если отправить запрос на эти компьютеры, они ответят. Нужно только отправить запрос на IP-адрес компьютера, а не на его Ethernet адаптер.
Метод ping'а.
Выяснить, какая машина подозревается в сниффинге.
Выяснить, какая машина подозревается в сниффинге. следующим образом:
Определить IP-адрес и MAC-адрес машины, подозреваемой в сниффинге.
Сделайте определить IP-адрес и MAC-адрес машины, подозреваемой в сниффинге. следующим образом:
# ping машина.подозреваемая.в.сниффинге # arp -a
Модификация ARP-таблицы.
Модифицируйте ARP-таблицу вот так:
# arp -s машина.подозреваемая.в.сниффинге новый.MAC.адрес
Теперь в ней находится неправильный MAC-адрес машины.
Отправка ICMP пакета машине со старым IP и с новым MAC-адресом.
Отправьте ICMP-пакета машине со старым IP и с новым MAC-адресом.
# ping машина.подозреваемая.в.сниффинге
Если машина отвечает, значит она прослушивает трафик, адресованный не только ей.
Существуют пути защиты от этого. Сейчас, когда эта техника широко известна, новые методы используют виртуальный фильтр MAC адресов в своем коде. У многих машин (в особенности Windows) есть MAC-фильтры прямо в драйверах.
Метод пинга может быть улучшен несколькими способами:
Может быть использован любой протокол, предполагающий генерирование ответа. использован, будь то запрос на установление соединения TCP или протокол UDP, такой как порт 7 (echo).
Может быть использован любой протокол, предполагающий генерирование ошибки. Например, неправильные значения в заголовке IP могут быть использованы для генерации ошибки ICMP.
Метод ARP.
Метод ARP похож на метод ping, только вместо ICMP используются ARP пакеты. Дополнительная информация: neped
В самом простом случае ARP-запрос передаётся не по не-широковещательному адресу. Если машина отвечает на такой ARP своим IP адресом, значит, вероятно, что она в прослушивающем режиме.
Вариация этой техники использует факт, что машины кэшируют ARP таблицы. Каждый ARP содержит полную информацию об отправителе и получателе, а так же информацию о цели. Другими словами, когда я отправляю простой ARP на broadcast адрес, я включаю в него свою собственную информацию о принадлежности IP Ethernet. Все остальные, находящиеся на линии, запоминают эту информацию на следуюшие несколько минут. Таким образом, можно обнаружить прослушивающие машины, отправив сначала не-broadcast ARP, за которым последует broarcast ping. Любой, кто ответит на этот ping, без отправки ARP-запроса мог получить необходимый для отправки MAC-адрес только из прослушенного ARP фрейма.
Метод DNS.
Многие прослушивающие программы автоматически делают запросы обратного DNS IP адресов, которые они видят. Таким образом прослушивающий режим может быть обнаружен при помощи просмотра DNS-траффика, который он создает.
Этот способ может обнаружить машины с двойным подключением и может использоваться удаленно. Нужно просматривать входящие запросы к DNS-серверу организации. При этом можно, например, отправлять ICMP запросы на несуществующие адреса. Кто делает запросы обратного DNS этих адресов, пытаются найти адрес IP, увиденный в ARP пакетах, что делают только программы прослушивания.
IP-адреса могут преобразовываться как только они появляются в сети, так и в момент просмотра пользователем раскодированного протокола.
Определение сниффера на локальном компьютере.
Когда ведётся прослушивание через интерфейс локального компьютера,
у этого интерфейса установлен флаг PROMISC.
# ifconfig -a lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232 inet 127.0.0.1 netmask ff000000 hme0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC,MULTICAST> mtu 1500 inet 192.168.15.1 netmask ffffff00 broadcast 192.168.15.255 ether 12:34:56:78:90:AB
Дополнительная информация об определении прослушивания:
Статья на void.ru Опознать любопытный нос
Статья на void.ru Обнаружение пакетных снифферов
| © 2002-2005 Игорь Чубин |
| Учебный центр Сетевые Технологии, ug-ids, 2006-06-25 |
| Слушатель отсутствует, ДЕМО-ВЕРСИЯ |