Коллектив авторов - Защита от хакеров корпоративных сетей

Как правило, если злоумышленник захочет замести следы, он вводит свои команды с максимально возможной скоростью, а затем сразу же сбрасывает соединение. При этом он надеется на то, что легитимный пользователь клиента, если он там вообще есть, подумает, что это очередное малопонятное завершение соединения, и просто откроет новое окно, ничего не заподозрив.

Программа Hunt не лишена недостатков. Автор, работая с программой, обнаружил следующее. При работе со всеми просмотренными им интерактивными экранами, в которых для разрыва соединения предлагалось нажать комбинацию клавиш Ctrl + C,было обнаружено, что после нажатия клавиш Ctrl + Cтребовалось подождать некоторое время наблюдаемую машину, которая что-то передавала, прежде чем программа Hunt обращала внимание на нажатые клавиши. Например, во время наблюдения за Telnet-соединением были нажаты клавиши Ctrl + C,но ничего не произошло. Как только автор подключался к окну Telnet и нажимал клавишу, программа Hunt откликалась. По-видимому, программа Hunt во время мониторинга не следит постоянно за нажатием клавиш. Возможно, программа ожидает передаваемые по сети данные, не обращая внимания на нажатые в это время клавиши. И только после анализа поступивших данных она начинает проверять ввод оператором символов.

Пользовательский интерфейс немного некрасив и чересчур краток. Тем не менее в приложениях подобного типа этот недостаток легче всего устранить. Сетевая составляющая программы более сложна и поэтому, вероятно, является более интересной частью программы. Впрочем, интерфейс удобен, так что не все так плохо. Возможно, что кто-то из читателей этой книги заинтересован в данном вопросе и умеет программировать. Тогда он или она может связаться с разработчиком программы Hunt и, возможно, помочь в улучшении интерфейса.

Программа Ettercap

Программа Ettercap является универсальной программой, которая главным образом используется для снифинга, захвата и регистрации трафика в коммутируемых локальных сетях. Она поддерживает как активный, так и пассивный анализ различных протоколов. На момент написания книги в программе Ettercap была реализована поддержка соединений по протоколам SSH версии 1 (Secure Shell version 1, SSH 1 – защищенный протокол, обеспечивающий аутентификацию с помощью криптографических методов и шифрование всего потока данных) и SSL (Secure Sockets Layer, протокол защищенных сокетов). Программу Ettercap можно найти по адресу http://ettercap.sourceforge.net. Она запускается на таких операционных системах, как MAC OS X, Linux и BSD OS. У программы Ettercap четыре режима работы:

• IP.Режим фильтрации пакетов по адресам отправителя и получателя данных;

• MAC.Режим фильтрации пакетов по MAC-адресам;

• ARP.Режим использования перегрузки сети ARP-пакетами (ARP storm) для снифинга / перехвата соединений в коммутируемых локальных сетях (режим работает в полноправном дуплексном (одновременно двустороннем) режиме передачи данных;

• Общедоступный ARP.Режим использования перегрузки сети ARP пакетами в полудуплексном (поочередно двустороннем) режиме передачи данных для прослушивания одного хоста другим.

Давайте взглянем на использование программы Ettercap более внимательно. В приведенных ниже сценариях рассматривается простая коммутируемая сеть с трансляцией сетевых адресов NAT (Network Address Translation), IP-адресов по стандарту RFC1918. Это простая сеть класса SOHO (SOHO, Small Office/Home Office – класс программного обеспечения, предназначенного для малого или домашнего офиса) для домашнего пользования, которую сейчас используют многие небольшие или домашние офисы в основном из-за низкой цены и лавинообразной скорости распространения доступных для массового использования высокоскоростных кабельных модемов и цифровых абонентских линий DSL. Типичная реализация подобной сети выглядит примерно так, как показано на рис. 11.1. В этом примере 192.168.1.104 является адресом злоумышленника, перехватывающего сессию.

При запуске программы Ettercap пользователю будет предъявлен экран со всеми хостами сети, подключенными к сегменту пользователя (см. рис. 11.2). С помощью клавиши Tabи клавиш с изображенными на них стрелками можно выбрать для эксперимента две машины. В верхнем левом углу пользователь должен увидеть выбранные и отмеченные им ранее IP-адреса источника и адресата информации.

Для того чтобы «испортить» кэш протокола ARP выбранных хостов, следует нажать клавишу «a»,как это показано на рис. 11.3. Тогда на экране будет показан список всех соединений между двумя хостами, выбранными ранее (см. рис. 11.4).

Рис. 11.4. Доступные соединения между выбранными хостами

В рассматриваемом случае был выбран коммутатор A Linksys BEFSR81 и сетевой клиент, на машине которого запущен Windows 2000 Advanced Server. Для определения операционной системы узла с IP-адресом 192.168.1.100 была использована опция идентификации операционной системы. Обратите внимание на сгенерированное коммутатором (192.168.1.1) для Windows 2000 server (192.168.1.100) сообщение авторизованному диспетчеру простого протокола сетевого управления SNMP (SNMP – Simple Network Management Protocol, простой протокол сетевого управления. Протокол сетевого администрирования, широко используемый в настоящее время. Входит в стек протоколов TCP/IP) о запросе со стороны неавторизованного диспетчера. Обычно это является признаком использования хоста получателя сообщения (192.168.1.100) для управления коммутатором.

При нажатии клавиши h в любой момент времени работы программы выводится окно с краткой подсказкой. На рисунке 11.5 показана подсказка начальной страницы, на которой видны все хосты сегмента, а на рис. 11.6 – подсказка после выбора хоста.

Рис. 11.6. Опции выбранного соединения

Помните, о чем говорилось в разделе, посвященном перехвату UDP-сессий? Из-за отсутствия в протоколе UDP-средств корректировки ошибок и гарантий доставки пакетов перехватить UDP-сессию гораздо проще, чем сессию протокола TCP. В этом заслуживающем особого внимания случае злоумышленник может нанести большой вред, просто перехватив SNMP-соединение. Вы спросите: почему? Ответ прост. Если у злоумышленника есть доступ к конфигурации коммутатора, то он обладает слишком большими возможность что-то сделать на этой сети или по отношению к ней. В данном случае коммутатор используется как шлюз для выхода в Интернет, так что дух захватывает от потенциального вреда, который может нанести злоумышленник. Но давайте перейдем с точки зрения практики к более интересным вещам.

Рассмотрим следующий сценарий. У злоумышленника есть доступ к запущенному на сервере протоколу FTP, но установить соединение он может только с хостом, IP-адрес которого равен 192.168.1.103. При запуске программы Ettercap злоумышленник видит порт 21 на сервере, который сначала активизируется, а затем переходит в состояние пассивного ожидания (silent state). Злоумышленник выбирает порт 21 и создает соединение между FTP-сервером и клиентом. После установки соединения у него появляется возможность по своему желанию перехватывать и модифицировать трафик сети или вставлять свои данные в передаваемую по сети информацию (см. рис. 11.7).