Коллектив авторов - Защита от хакеров корпоративных сетей

Рис. 10.1. Свойства захвата Ethereal

После перехвата пакеты хранятся в буфере и демонстрируются на дисплее в стандартном трехоконном варианте (см. рис. 10.2). Данный формат отображения был выбран для первоначального анализатора протокола и в дальнейшем был принят всеми другими продуктами. Верхнее окно показывает построчно краткое изложение каждого пакета. Второе окно показывает детальную расшифровку текущего пакета выделенного в окне краткого изложения. Третье окно показывает шестнадцатеричный дамп того же пакета. Выбор щелчком по кнопке мыши поля в окне детализации вызывает подсветку эквивалентных символов в окне шестнадцатеричного дампа.

Рис. 10.2. Расшифровка протокола программой Ethereal

Network Associates Sniffer Pro

Sniffer Pro – коммерческий продукт (название «Sniffer» является торговой маркой корпорации Network Associates, Inc.). Продукт может быть очень популярным, если его имя образовано из хакерского сленга, так как он существовал задолго до появления программ для перехвата паролей. Продукт Sniffer Pro компании Network Associates предоставляет легкий в использовании интерфейс для перехвата и просмотра сетевого трафика. Одно из основных преимуществ коммерческих продуктов заключается в том, что они поддерживают обширный диапазон сетевых протоколов и показывают расшифрованные данные протокола в очень легком для чтения виде. Sniffer Pro работает в двух основных режимах: в первом он перехватывает сетевой трафик, а во втором расшифровывает и демонстрирует его.

Сетевая статистика и данные Sniffer Pro в режиме перехвата в деталях показаны на рис. 10.3.

Рис. 10.3. Sniffer Pro в режиме перехвата

После перехвата данные декодируются в легкочитаемый вид. На рисунке 10.4 мы видим, как Sniffer Pro декодировал HTTP-запрос. Мы видим, что некоторые соответствующие переменные прошли, alias и pw. Для данного Web-приложения они являются именем пользователя и паролем соответственно.

Рис. 10.4. Sniffer Pro отображение перехваченных данных

NT Network Monitor

Windows NT server поставляется с программным обеспечением контроля сети Network Monitor, или для краткости Netmon. Данная версия Netmon перехватывает только входящий или исходящий трафик сервера, на котором он установлен. Существуют версии Netmon для Windows 2000 и Windows XP с теми же ограничениями. Однако есть версия Netmon, позволяющая прослушивать весь трафик. Данная версия входит в состав Systems Management Server (SMS). Netmon предоставляет некоторые преимущества перед коммерческими анализаторами сети, заключающиеся в умении декодировать проприетарный трафик сетей Microsoft, который не имеет открытых спецификаций. Хорошим примером такого типа трафика является множество различных сервисов MS-RPC, которые взаимодействуют, используя именованные каналы через Windows NT-сети. Несмотря на то что Netmon не декодирует трафик всех сервисов MS-RPC, он декодирует наиболее значимую часть, которую иным способом декодировать невозможно.

Операции Network Monitor\'а очень схожи с операциями Sniffer Pro, они предоставляют как механизм перехвата (рис. 10.5), так и механизм просмотра (рис. 10.6) одинаковой функциональности.

Рис. 10.5. Network Monitor в режиме перехвата

Рис. 10.6. Network Monitor в режиме просмотра

WildPackets

EtherPeek от WildPackets (в настоящее время поставляется A.G. Group) является одним из старейших анализаторов протоколов. Существуют его реализации для Macintosh, так же как и под Windows (изначально данный анализатор протоколов был написан более 10 лет назад для Macintosh). EtherPeek имеет интересные возможности демонстрации и декодирования в реальном времени, а также интересные отличительные особенности (загрузить демо-версию продукта можно с сайта www.wildpackets.com). На сегодняшний день главным образом он примечателен своей EtherPeek-версией, прослушивающей IEEE 802.11b беспроводные сети.

TCPDump

TCPDump представляет собой наиболее популярный инструмент сетевой диагностики и анализа для операционных систем на базе UNIX. TCPDump просматривает и декодирует все данные хедеров IP, TCP, UDP и ICMP, в дополнение к некоторым данным уровня приложений (по большей части протоколы сетевой инфраструктуры). TCPDump не был написан как инструмент нарушителя и не предназначен для помощи нарушителю, желающему прослушивать сеть. Как было сказано, он предоставляет хорошую точку старта для всех, намеревающихся заняться написанием анализаторов трафика, и так как его исходные коды открыты и бесплатны, небезынтересно с ними ознакомиться.

dsniff

dsniff от Dug Song является инструментарием для прослушивания сетевого трафика. dsniff доступен на сайте www.monkey.org/~dugsong/dsniff.

dsniff наиболее знаменит за свою способность прослушивать информацию аутентификации (имена пользователей и пароли). Текущая версия dsniff декодирует информацию аутентификации следующих протоколов: AOL Instant Messenger, Citrix Winframe, Concurrent Versions System (CVS), FTP, HTTP, ICQ, IMAP, Internet Relay Chat (IRC), Lightweight Directory Access Protocol (LDAP), RPC mount requests, Napster, NNTP, Oracle SQL*Net, Open Shortest Path First (OSPF), PC Anywhere, POP, PostgreSQL, Routing Information Protocol (RIP), Remote Login (rlogin), Windows NT plaintext (SMB), Network Associates Sniffer Pro (remote), Simple Network Management Protocol (SNMP), Socks, Telnet, X11, и RPC yppasswd.

С сегодняшними коммутируемыми сетями и криптографическими протоколами шифрования перехват паролей не всегда работает, как мы могли надеяться. dsniff содержит несколько утилит перенаправления и «человек по середине» (MITM) для перенаправления потока трафика и сеансов расшифрования.

Читать дальше