Багатьом користувачам комп'ютерних мереж загалом незнайоме таке поняття як «сніффер». Що таке сніффер, спробуємо і визначити, говорячи простою мовоюнепідготовленого користувача. Але для початку все одно доведеться заглибитися в визначення самого терміну.
Що таке sniffer з точки зору англійської мови та комп'ютерної техніки?
Насправді визначити сутність такого програмного чи програмно-апаратного комплексу зовсім нескладно, якщо просто перекласти термін.
Ця назва походить від англійського слова sniff (нюхати). Звідси й значення російськомовного терміна «Сніффер». Що таке sniffer у нашому розумінні? "Нюхач", здатний відстежувати використання мережного трафіку, а, простіше кажучи, шпигун, який може втручатися в роботу локальних або інтернет-орієнтованих мереж, витягуючи необхідну інформацію на основі доступу через протоколи передачі даних TCP/IP.
Аналізатор трафіку: як це працює?
Обмовимося відразу: сніффер, будь він програмним або умовно-програмним компонентом, здатний аналізувати і перехоплювати трафік (передані та прийняті дані) виключно через мережні карти (Ethernet). Що виходить?
Мережевий інтерфейс не завжди виявляється захищеним файрволлом (знову ж таки - програмним або «залізним»), а тому перехоплення даних або даних, що передаються, стає всього лише справою техніки.
Усередині мережі інформація передається сегментами. Усередині одного сегмента передбачається розсилка пакетів даних всім пристроям, підключеним до мережі. Сегментарна інформація переадресовується на маршрутизатори (роутери), а потім на комутатори (світи) та концентратори (хаби). Відправлення інформації здійснюється шляхом розбиття пакетів, так що кінцевий користувач отримує всі частини з'єднаного разом пакета з різних маршрутів. Таким чином, «прослуховування» всіх потенційно можливих маршрутів від одного абонента до іншого або взаємодія інтернет-ресурсу з користувачем може дати не лише доступ до незашифрованої інформації, але й до деяких секретних ключів, які також можуть пересилатися у такому процесі взаємодії. І тут мережевий інтерфейс виявляється абсолютно незахищеним, бо відбувається втручання третьої особи.
Добрі наміри та зловмисні цілі?
Сніфери можна використовувати і на шкоду, і на благо. Не кажучи про негативний вплив, варто зазначити, що такі програмно-апаратні комплекси досить часто використовуються системними адміністраторами, які намагаються відстежити дії користувачів не тільки в мережі, а й їхню поведінку в інтернеті в плані ресурсів, активованих завантажень на комп'ютери або відправлення з них .
Методика, за якою працює мережевий аналізатор, досить проста. Сніффер визначає вихідний та вхідний трафік машини. При цьому не йдеться про внутрішній або зовнішній IP. Найголовнішим критерієм є так званий MAC-address, унікальний для будь-якого пристрою, підключеного до глобальної мережі. Саме щодо нього відбувається ідентифікація кожної машини в мережі.
Види сніферів
Але і за видами їх можна поділити на кілька основних:
- апаратні;
- програмні;
- апаратно-програмні;
- онлайн-аплети.
Поведінкове визначення присутності сніфера в мережі
Виявити той же сніфер WiFi можна по навантаженню на мережу. Якщо видно, що передача даних або з'єднання знаходиться не на тому рівні, який заявляється провайдером (або дозволяє роутер), слід звернути увагу відразу.
З іншого боку, провайдер може запустити програмний сніффер для відстеження трафіку без відома користувача. Але, як правило, користувач про це навіть не здогадується. Натомість організація, що надає послуги зв'язку та підключення до Інтернету, таким чином гарантує користувачу повну безпеку в плані перехоплення флуду, клієнтів, що самовстановлюються, різнорідних троянів, шпигунів тощо. Але такі засоби є скоріше програмними і особливого впливу на мережу або термінали не надають.
Онлайн-ресурси
А ось особливо небезпечним може бути аналізатор трафіку онлайн типу. На використанні сніферів побудовано примітивну систему злому комп'ютерів. Технологія в найпростішому варіанті зводиться до того, що спочатку зломщик реєструється на певному ресурсі, потім завантажує на сайт картинку. Після підтвердження завантаження видається посилання на онлайн-сніфер, яка пересилається потенційній жертві, наприклад, у вигляді електронного листаабо того ж SMS-повідомлення з текстом на кшталт «Вам прийшло вітання від того. Щоб відкрити картинку (листівку), натисніть посилання».
Наївні користувачі клацають за вказаним гіперпосиланням, внаслідок чого активується впізнання та передача зовнішньої IP-адреси зловмиснику. За наявності відповідної програми він зможе не тільки переглянути всі дані, що зберігаються на комп'ютері, але й з легкістю змінити налаштування системи ззовні, про що локальний користувач навіть не здогадається, прийнявши таку зміну за вірус. Та ось тільки сканер під час перевірки видасть нуль погроз.
Як захиститись від перехоплення даних?
Будь то сніфер WiFi або будь-який інший аналізатор, системи захисту від несанкціонованого сканування трафіку все ж таки є. Умова одна: їх потрібно встановлювати лише за умови повної впевненості у прослуховуванні.
Такі програмні засоби найчастіше називають «антисніферами». Але якщо замислитися, це ті самі сніфери, що аналізують трафік, але блокують інші програми, які намагаються отримати
Звідси законне питання: а чи варто встановлювати таке ПЗ? Можливо, його злом з боку хакерів завдасть ще більшої шкоди, чи воно саме заблокує те, що має працювати?
У найпростішому випадку з Windows-системами як захист краще використовувати вбудований брендмауер (файрволл). Іноді можуть спостерігатися конфлікти із встановленим антивірусом, але це найчастіше стосується лише безкоштовних пакетів. Професійні покупні або щомісячно активовані версії таких недоліків позбавлені.
Замість післямови
Ось і все, що стосується поняття «сніффер». Що таке sniffer, здається, вже багато хто зрозумів. Насамкінець питання залишається в іншому: наскільки правильно такі речі використовуватиме рядовий користувач? Бо серед молодих користувачів іноді можна побачити схильність до комп'ютерного хуліганства. Вони думають, що зламати чужий «комп» - це щось на кшталт цікавого змагання чи самоствердження. На жаль, ніхто з них навіть не замислюється про наслідки, адже визначити зловмисника, який використовує той же онлайн-сніфер, дуже просто за його зовнішнім IP, наприклад, на сайті WhoIs. Як місце розташування, щоправда, буде вказано локацію провайдера, проте країна і місто визначаться точно. Ну а потім справа за малим: або дзвінок провайдеру з метою блокування терміналу, з якого здійснювався несанкціонований доступ, або підсудна справа. Висновки робіть самі.
При встановленій програмі визначення дислокації терміналу, з якого йде спроба доступу, справа й того простіше. Але наслідки можуть виявитися катастрофічними, адже далеко не всі користувачі використовують ті хе анонімайзери або віртуальні проксі-сервери і навіть не мають поняття, в Інтернеті. А варто було б повчитися…
Аналізатори мережевих пакетів, або сніфери, спочатку були розроблені як вирішення мережевих проблем. Вони вміють перехоплювати, інтерпретувати та зберігати для подальшого аналізу пакети, що передаються по мережі. З одного боку, це дозволяє системним адміністраторам та інженерам служби технічної підтримки спостерігати за тим, як дані передаються по мережі, діагностувати та усувати проблеми, що виникають. У цьому сенсі пакетні сніфери є потужним інструментом діагностики мережевих проблем. З іншого боку, подібно до багатьох інших потужних засобів, що спочатку призначалися для адміністрування, з часом сніфери стали застосовуватися абсолютно для інших цілей. Справді, сніффер в руках зловмисника є досить небезпечним засобом і може використовуватися для заволодіння паролями та іншою конфіденційною інформацією. Однак не варто думати, що сніфери це якийсь магічний інструмент, за допомогою якого будь-який хакер зможе легко переглядати конфіденційну інформацію, що передається по мережі. І перш ніж довести, що небезпека, що виходить від сніферів, не така велика, як нерідко подають, розглянемо детальніше принципи їх функціонування.
Принципи роботи пакетних сніферів
Подальшим у рамках цієї статті ми розглядатимемо лише програмні сніфери, призначені для мереж Ethernet. Сніффер – це програма, яка працює на рівні мережевого адаптера NIC (Network Interface Card) (канальний рівень) і прихованим чином перехоплює весь трафік. Оскільки сніфери працюють на канальному рівні моделі OSI, вони не повинні грати за правилами протоколів. високого рівня. Сніфери обходять механізми фільтрації (адреси, порти тощо), які драйвери Ethernet та стек TCP/IP використовують для інтерпретації даних. Пакетні сніфери захоплюють із дроту все, що по ньому приходить. Сніфери можуть зберігати кадри в двійковому форматі та пізніше розшифровувати їх, щоб розкрити інформацію вищого рівня, заховану всередині (рис. 1).
Для того, щоб сніффер міг перехоплювати всі пакети, що проходять через мережний адаптер, драйвер мережного адаптера повинен підтримувати режим функціонування promiscuous mode (безладний режим). Саме в цьому режимі роботи мережного адаптера сніфер здатний перехоплювати всі пакети. Цей режим роботи мережного адаптера автоматично активізується під час запуску сніфера або встановлюється вручну відповідними налаштуваннями сніфера.
Весь перехоплений трафік передається декодеру пакетів, який ідентифікує та розщеплює пакети за відповідними рівнями ієрархії. Залежно від можливостей конкретного сніфера, подана інформація про пакети може згодом додатково аналізуватися і відфільтровуватися.
Обмеження використання сніферів
Найбільшу небезпеку сніфери представляли в ті часи, коли інформація передавалася по мережі у відкритому вигляді (без шифрування), а локальні мережі будувалися на основі концентраторів (хабів). Однак ці часи безповоротно пішли, і в даний час використання сніфферів для отримання доступу до конфіденційної інформації завдання не з простих.
Справа в тому, що при побудові локальних мереж на основі концентраторів існує певне загальне середовище передачі даних (мережевий кабель) і всі вузли мережі обмінюються пакетами, конкуруючи за доступ до цього середовища (рис. 2), причому пакет, що посилається одним вузлом мережі, передається на всі порти концентратора і цей пакет прослуховують решту вузлів мережі, але приймає його тільки той вузол, якому він адресований. При цьому якщо на одному з вузлів мережі встановлено пакетний сніффер, він може перехоплювати всі мережеві пакети, що відносяться до даного сегменту мережі (мережі, утвореної концентратором).
Комутатори є інтелектуальнішими пристроями, ніж широкомовні концентратори, і ізолюють мережевий трафік. Комутатор знає адреси пристроїв, підключених до кожного порту, і передає пакети лише між потрібними портами. Це дозволяє розвантажити інші порти, не передаючи ними кожен пакет, як це робить концентратор. Таким чином, надісланий якимось вузлом мережі пакет передається тільки на той порт комутатора, до якого підключений одержувач пакета, а всі інші вузли мережі не мають можливості виявити цей пакет (рис. 3).
Тому якщо мережа побудована на основі комутатора, то сніффер, встановлений на одному з комп'ютерів мережі, здатний перехоплювати тільки пакети, якими обмінюється даний комп'ютер з іншими вузлами мережі. В результаті, щоб мати можливість перехоплювати пакети, якими комп'ютер або сервер, що цікавить зловмисника, обмінюється з іншими вузлами мережі, необхідно встановити сніффер саме на цьому комп'ютері (сервері), що насправді не так просто. Щоправда, слід пам'ятати, деякі пакетні сніфери запускаються з командного рядка і може мати графічного інтерфейсу. Такі сніфери, в принципі, можна встановлювати та запускати віддалено та непомітно для користувача.
Крім того, необхідно також мати на увазі, що хоча комутатори ізолюють мережевий трафік, всі керовані комутатори мають функцію перенаправлення або дзеркалювання портів. Тобто порт комутатора можна налаштувати таким чином, щоб на нього дублювалися всі пакети, що надходять інші порти комутатора. Якщо в цьому випадку до такого порту підключений комп'ютер із пакетним сніффером, то він може перехоплювати всі пакети, якими обмінюються комп'ютери в цьому сегменті мережі. Однак, як правило, можливість конфігурування комутатора доступна лише адміністратору мережі. Це, звичайно, не означає, що він не може бути зловмисником, але у мережевого адміністратора існує безліч інших способів контролювати всіх користувачів локальної мережі, і навряд чи він стежитиме за вами таким витонченим способом.
Інша причина, через яку сніфери перестали бути настільки небезпечними, як раніше, полягає в тому, що в даний час найважливіші дані передаються в зашифрованому вигляді. Відкриті незашифровані служби швидко зникають з Інтернету. Наприклад, під час відвідування web-сайтів дедалі частіше використовується протокол SSL (Secure Sockets Layer); замість відкритого FTP використовується SFTP (Secure FTP), а для інших служб, які не використовують стандартне шифрування, все частіше використовуються віртуальні приватні мережі (VPN).
Отже, ті, хто турбується про можливість зловмисного застосування пакетних сніферів, повинні мати на увазі таке. По-перше, щоб становити серйозну загрозу для вашої мережі, сніфери повинні знаходитися всередині самої мережі. По-друге, сьогоднішні стандарти шифрування надзвичайно ускладнюють процес перехоплення конфіденційної інформації. Тому в даний час пакетні сніфери поступово втрачають свою актуальність як інструменти хакерів, але в той же час залишаються дієвими. потужним засобомдля діагностування мереж. Більше того, сніфери можуть успішно використовуватися не тільки для діагностики та локалізації мережевих проблем, але і для аудиту мережевої безпеки. Зокрема, застосування пакетних аналізаторів дозволяє виявити несанкціонований трафік, виявити та ідентифікувати несанкціоноване програмне забезпечення, ідентифікувати протоколи, що не використовуються, для видалення їх з мережі, здійснювати генерацію трафіку для випробування на вторгнення (penetration test) з метою перевірки системи захисту, працювати з системами виявлення вторгнень (Intrusion Detection System, IDS).
Огляд програмних пакетних сніферів
Усі програмні сніфери можна умовно розділити на дві категорії: сніфери, що підтримують запуск з командного рядка, і сніфери, що мають графічний інтерфейс. При цьому зазначимо, що існують сніфери, які поєднують у собі обидві ці можливості. Крім того, сніфери відрізняються один від одного протоколами, які вони підтримують, глибиною аналізу перехоплених пакетів, можливостями налаштування фільтрів, а також можливістю сумісності з іншими програмами.
Зазвичай вікно будь-якого сніфера з графічним інтерфейсом складається з трьох областей. У першій їх відображаються підсумкові дані перехоплених пакетів. Зазвичай у цій галузі відображається мінімум полів, а саме: час перехоплення пакета; IP-адреси відправника та одержувача пакета; MAC-адреси відправника та одержувача пакета, вихідні та цільові адреси портів; тип протоколу (мережевий, транспортний чи прикладний рівень); деяка сумарна інформація про перехоплені дані. У другій області виводиться статистична інформація про окремий вибраний пакет, і, нарешті, у третій області пакет представлений у шістнадцятковому вигляді або в символьній формі ASCII.
Практично всі пакетні сніфери дозволяють проводити аналіз декодованих пакетів (саме тому пакетні сніфери також називають пакетними аналізаторами, або протокольними аналізаторами). Сніффер розподіляє перехоплені пакети за рівнями та протоколами. Деякі аналізатори пакетів здатні розпізнавати протокол та відображати перехоплену інформацію. Цей тип інформації зазвичай відображається у другій області вікна сніффера. Наприклад, кожен сніффер здатний розпізнавати протокол TCP, а просунуті сніфери можуть визначити, яким додатком породжений цей трафік. Більшість аналізаторів протоколів розпізнають понад 500 різних протоколів та вміють описувати та декодувати їх за іменами. Чим більше інформації може декодувати і подати на екрані сніффер, тим менше доведеться декодувати вручну.
Одна з проблем, з якою можуть стикатися аналізатори пакетів, неможливість коректної ідентифікації протоколу, що використовує порт, відмінний від порту за замовчуванням. Наприклад, з метою підвищення безпеки деякі відомі програми можуть налаштовуватися застосування портів, відмінних від портів за замовчуванням. Так замість традиційного порту 80, зарезервованого для web-сервера, даний сервер можна примусово переналаштувати на порт 8088 або на будь-який інший. Деякі аналізатори пакетів у подібній ситуації не здатні правильно визначити протокол і відображають лише інформацію про протокол нижнього рівня (TCP або UDP).
Існують програмні сніфери, до яких як плагіни або вбудовані модулі додаються програмні аналітичні модулі, що дозволяють створювати звіти з корисною аналітичною інформацією про перехоплений трафік.
Інша характерна рисабільшості програмних аналізаторів пакетів можливість налаштування фільтрів до і після захоплення трафіку. Фільтри виділяють із загального трафіку певні пакети за заданим критерієм, що дозволяє при аналізі трафіку позбавитися зайвої інформації.
У термінології системних адміністраторів та спеціалістів з інформаційної безпеки часто зустрічається поняття – «аналізатори трафіку». Під аналізатором трафіку розуміється пристрій чи програма, яка перехоплює трафік і його аналізує. У сфері ІБ використовується термін "сніффер". Як правило, сніфери "слухають" той трафік, який проходить через мережеву картку. Одна з найвідоміших вільно розповсюджуваних програм-сніферів - це Wireshark. Але хочеться зазначити, що насправді функціонал аналізаторів трафіку вже давно переріс проблеми хакінгу та інформаційної безпеки. Сучасні комерційні аналізатори випускаються як у вигляді програмних рішень, так і у вигляді апаратних пристроїв і служать для комплексного аналізу продуктивності великих інформаційних мереж, а також додатків користувача.
За допомогою аналізаторів трафіку системний адміністратор вирішує такі завдання:
знаходить проблеми у роботі мережі (затримки передачі інформації) і швидко їх усуває,
виявляє сторонню активність (несанкціонований доступ зловмисників), атаки на корпоративні ресурси тощо,
«прослуховує мережу»,
аналізує працездатність користувацьких додатків,
збирає статистику
Існують два основні методи аналізу трафіку:
"В режимі реального часу";
«Ретроспективний аналіз», який передбачає «захоплення трафіку» та його збереження, а потім вивчення та отримання звітності.
У плані технічних рішень існує методика аналізу трафіку, заснована на даних маршрутизатора. Тобто. використовується певний софт, який збирає дані маршрутизатора, аналізує їх та подає системному інженеру звітність. Тут можна згадати Netflow (Cisco), який збирає IP-трафік. Є методики, які не засновані на маршрутизаторах, у цьому випадку встановлюється окреме обладнання та програмне забезпечення, яке і збирає дані з мережі, аналізує їх, надаючи звітність та експертне рішення щодо певних проблем.
Розглянемо, як здійснюється аналіз трафіку в реальних мережах на прикладі софту та обладнання компанії Fluke Networks.
1. Мережевий аналізатор Fluke Networks OptiView XG
У лінійці обладнання компанії Fluke Networks це одне з найбільш зручних рішень для системних адміністраторів. Оригінальність полягає в тому, що цей аналізатор виготовлений у вигляді планшета (10,25-дюймовий дисплей), дуже простий у використанні. Пересічний співробітник ІТ-відділу без спеціальної підготовки зможе розпочати роботу за допомогою даного аналізатора та провести аналіз навіть великої мережі. Цей портативний прилад, важить всього 2,5 кг, тобто. для фахівця в «польових умовах» та у відрядженні незамінний варіант. Отже, розглянемо, як за допомогою даного пристроюсистемному адміністратору можна провести аналіз трафіку у мережі великої організації.
Матеріал підготовлений
технічними фахівцями компанії "Связкомплект".
Аналіз мережевого трафіку
Аналіз трафіку одна із способів отримання паролів і ідентифікаторів користувачів у мережі Internet. Аналіз здійснюється за допомогою спеціальної програми- аналізатора пакетів (sniffer), що перехоплює всі пакети, що передаються сегментом мережі, і виділяє серед них ті, в яких передаються ідентифікатор користувача та його пароль.
У багатьох протоколах дані передаються у відкритому, незашифрованому вигляді. Аналіз мережевого трафіку дозволяє перехоплювати дані, що передаються за протоколами FTP і TELNET (паролі та ідентифікатори користувачів), HTTP (Hypertext Transfer Protocol - протокол передачі гіпертекстових файлів - передача гіпертексту між WEB-сервером та браузером, у тому числі і введені користувачем форми на web -сторінках дані), SMTP, POP3, IMAP, NNTP (електронна пошта та конференції) та IRC - Internet Relay Chat (online-розмови, chat). Так можуть бути перехоплені паролі для доступу до поштових систем із web-інтерфейсом, номери кредитних картокпри роботі з системами електронної комерції та різна інформація особистого характеру, розголошення якої небажане.
В даний час розроблено різні протоколи обміну, що дозволяють захистити мережеве з'єднання та зашифрувати трафік. На жаль, вони ще не змінили старі протоколи та не стали стандартом для кожного користувача. Певною мірою їхньому поширенню завадили існуючі у низці країн обмеження експорту коштів сильної криптографії. Через це реалізації даних протоколів або вбудовувалися в програмне забезпечення, або значно послаблювалися (обмежувалася максимальна довжина ключа), що призводило до практичної марності їх, оскільки шифри могли бути розкриті за прийнятний час.
Аналіз мережевого трафіку дозволяє:
- 1. По-перше, вивчити логіку роботи розподіленої ПС, тобто отримати взаємно однозначну відповідність подій, що відбуваються в системі, та команд, що пересилаються один одному її об'єктами, у момент появи цих подій (якщо проводити подальшу аналогію з інструментарієм хакера, то аналіз трафіку у цьому випадку замінює і трасувальник). Це досягається шляхом перехоплення та аналізу пакетів обміну на канальному рівні. Знання логіки роботи розподіленої ПС дозволяє практично моделювати і здійснювати типові віддалені атаки, розглянуті у наступних пунктах з прикладу конкретних розподілених ПС.
- 2. По-друге, аналіз мережного трафіку дозволяє перехопити потік даних, якими обмінюються об'єкти розподіленого ЗС. Таким чином, віддалена атака даного типу полягає в отриманні на віддаленому об'єкті несанкціонованого доступу до інформації, якою обмінюються два мережеві абоненти. При цьому відсутня можливість модифікації трафіку і сам аналіз можливий тільки всередині одного сегмента мережі. Прикладом перехопленої за допомогою даної типової віддаленої атаки інформації можуть бути ім'я та пароль користувача, що пересилаються в незашифрованому вигляді через мережу.
За характером впливу аналіз мережного трафіку є пасивним впливом Здійснення даної атаки без зворотного зв'язку веде до порушення конфіденційності інформації всередині одного сегмента мережі на канальному рівні OSI При цьому початок здійснення атаки безумовно по відношенню до мети атаки.
Підміна довіреного об'єкта або суб'єкта розподіленого ПС
Однією з проблем безпеки розподіленої ЗС є недостатня ідентифікація та автентифікація її віддалених один від одного об'єктів. Основна труднощі полягає у здійсненні однозначної ідентифікації повідомлень, що передаються між суб'єктами та об'єктами взаємодії. Зазвичай у розподілених ЗС ця проблема вирішується наступним чином: у процесі створення віртуального каналу об'єкти РВС обмінюються певною інформацією, що унікально ідентифікує цей канал. Такий обмін зазвичай називається «рукостисканням» (handshake). Однак, зазначимо, що не завжди для зв'язку двох віддалених об'єктів у РВС створюється віртуальний канал. Практика показує, що найчастіше, особливо для службових повідомлень (наприклад, від маршрутизаторів) використовується передача одиночних повідомлень, які потребують підтвердження.
Як відомо, для адресації повідомлень у розподілених ПС використовується мережна адреса, яка унікальна для кожного об'єкта системи (на канальному рівні моделі OSI - це апаратна адреса мережевого адаптера, на мережному рівні - адреса визначається залежно від протоколу мережевого рівня, що використовується (наприклад, IP- адреса) Мережа адреса також може використовуватися для ідентифікації об'єктів розподіленої ВС, проте мережна адреса досить просто підробляється і тому використовувати її як єдиний засіб ідентифікації об'єктів неприпустимо.
У тому випадку, коли розподілена ВС використовує нестійкі алгоритми ідентифікації віддалених об'єктів, виявляється можливою типова віддалена атака, що полягає в передачі по каналах зв'язку повідомлень від імені довільного об'єкта або суб'єкта РВС. При цьому існують два різновиди даної типової віддаленої атаки:
- · Атака при встановленому віртуальному каналі,
- · Атака без встановленого віртуального каналу.
У разі встановленого віртуального з'єднання атака полягатиме у присвоєнні прав довіреного суб'єкта взаємодії, що легально підключився до об'єкта системи, що дозволить атакуючому вести сеанс роботи з об'єктом розподіленої системи від імені довіреного суб'єкта. Реалізація віддалених атак даного типу зазвичай полягає у передачі пакетів обміну з атакуючого об'єкта на мету атаки від імені довіреного суб'єкта взаємодії (при цьому передані повідомлення будуть сприйняті системою як коректні). Для здійснення атаки даного типу необхідно подолати систему ідентифікації та аутентифікації повідомлень, яка, в принципі, може використовувати контрольну суму, що обчислюється за допомогою відкритого ключа, динамічно виробленого під час встановлення каналу, випадкові багатобітні лічильники пакетів та мережні адреси станцій. Однак на практиці, наприклад, в ОС Novell NetWare 3.12-4.1 для ідентифікації пакетів обміну використовуються два 8-бітові лічильники - номер каналу та номер пакета; у протоколі TCP для ідентифікації використовуються два 32-бітові лічильники.
Як було зазначено вище, для службових повідомлень у розподілених ЗС часто використовується передача одиночних повідомлень, що не вимагають підтвердження, тобто не потрібно створення віртуального з'єднання. Атака без встановленого віртуального з'єднання полягає у передачі службових повідомлень від імені мережевих керуючих пристроїв, наприклад, від імені маршрутизаторів.
Очевидно, що в цьому випадку для ідентифікації пакетів можливе лише використання статичних ключів, визначених заздалегідь, що є досить незручним і потребує складної системи управління ключами. Однак, при відмові від такої системи ідентифікація пакетів без встановленого віртуального каналу буде можлива лише за адресою мережі відправника, який легко підробити.
Здійснення помилкових керуючих повідомлень може призвести до серйозних порушень роботи розподіленої ПС (наприклад, зміни її конфігурації). Розглянута типова віддалена атака, що використовує нав'язування неправдивого маршруту, заснована на описаній ідеї.
Підміна довіреного об'єкта РВС є активним впливом, що здійснюється з метою порушення конфіденційності та цілісності інформації, по наступу на об'єкті, що атакується, певної події Дана віддалена атака може бути як внутрішньосегментною, так і міжсегментною, як зі зворотним зв'язком так і без зворотного зв'язку з атакованим об'єктом і здійснюється на мережевому та транспортному рівнях моделі OSI.
Впровадження в розподілену НД помилкового об'єкта шляхом використання недоліків алгоритмів віддаленого пошуку
У розподіленої ЗС часто виявляється, що її віддалені об'єкти спочатку не мають достатньо інформації, необхідної для адресації повідомлень. Зазвичай такою інформацією є апаратні (адреса мережевого адаптера) та логічні (IP-адреса, наприклад) адреси об'єктів РВС. Для отримання подібної інформації в розподілених ВС використовуються різні алгоритми віддаленого пошуку, що полягають у передачі через мережу спеціального виду пошукових запитів, і в очікуванні відповідей на запит із шуканою інформацією. Після отримання відповіді на запит, суб'єкт РВС, що запитав, має всі необхідні дані для адресації. Керуючись отриманими з відповіді відомостями про об'єкт, що шукає, суб'єкт РВС, що запитав, починає адресуватися до нього. Прикладом подібних запитів, на яких базуються алгоритми віддаленого пошуку, можуть бути SAP-запит в ОС Novell NetWare, ARP-і DNS-запит у мережі Internet.
У разі використання розподіленої ВС механізмів віддаленого пошуку існує можливість на атакуючому об'єкті перехопити надісланий запит і надіслати на нього хибну відповідь, де вказати дані, використання яких призведе до адресації на хибний об'єкт. Надалі весь потік інформації між суб'єктом та об'єктом взаємодії проходитиме через хибний об'єкт РВС.
Інший варіант впровадження в РВС помилкового об'єкта використовує недоліки алгоритму віддаленого пошуку і полягає в періодичній передачі на об'єкт, що атакується, заздалегідь підготовленої помилкової відповіді без прийому пошукового запиту. Справді, атакуючому у тому, щоб надіслати хибну відповідь, який завжди обов'язково чекати прийому запиту (він може, у принципі, не мати подібної можливості перехоплення запиту). При цьому атакуючий може спровокувати об'єкт, що атакується, на передачу пошукового запиту, і тоді його помилкова відповідь буде негайно мати успіх. Дана типова віддалена атака надзвичайно характерна для глобальних мереж, коли у атакуючого через знаходження його в іншому сегменті щодо мети атаки просто немає можливості перехопити пошуковий запит.
Помилковий об'єкт РВС - активна дія, що здійснюється з метою порушення конфіденційності та цілісності інформації, яка може бути атакою за запитом від об'єкта, що атакується, а також безумовною атакою. Дана віддалена атака є як внутрішньосегментною, так і міжсегментною. Зворотній зв'язокз атакованим об'єктом і здійснюється на канальному та прикладному рівнях моделі OSI.
Використання хибного об'єкта для організації віддаленої атаки на розподілену ПС
Отримавши контроль над потоком інформації між об'єктами, хибний об'єкт РВС може застосовувати різні методи впливу на перехоплену інформацію. У зв'язку з тим, що впровадження в розподілену НД помилкового об'єкта є метою багатьох віддалених атак і становить серйозну загрозу безпеці РВС в цілому, то в наступних пунктах будуть детально розглянуті методи впливу на інформацію, перехоплену помилковим об'єктом.
Селекція потоку інформації та збереження її на хибному об'єкті РВС
Однією з атак, яку може здійснювати помилковий об'єкт РВС, є перехоплення інформації, що передається між суб'єктом і об'єктом взаємодії. Важливо відзначити, що факт перехоплення інформації (файлів, наприклад) можливий через те, що при виконанні деяких операцій над файлами (читання, копіювання тощо) вміст цих файлів передається по мережі, а отже, надходить на хибний об'єкт . Найпростіший спосібРеалізація перехоплення - це збереження у файлі всіх одержуваних помилковим об'єктом пакетів обміну.
Проте, даний спосібперехоплення інформації виявляється недостатньо інформативним. Це відбувається внаслідок того, що в пакетах обміну крім полів даних існують службові поля, що не представляють в даному випадку для безпосереднього інтересу. Отже, для того, щоб отримати файл, що безпосередньо передається, необхідно проводити на хибному об'єкті динамічний семантичний аналіз потоку інформації для його селекції.
Модифікація інформації
Однією з особливостей будь-якої системи впливу, побудованої за принципом хибного об'єкта, і те, що вона здатна модифікувати перехоплену інформацію. Слід особливо наголосити, що це один із способів, що дозволяють програмно модифікувати потік інформації між об'єктами РВС з іншого об'єкта. Адже для реалізації перехоплення інформації в мережі необов'язково атакувати розподілену ЗС за схемою «хибний об'єкт». Ефективніше буде атака, що здійснює аналіз мережного трафіку, що дозволяє отримувати всі пакети, що проходять каналом зв'язку, але, на відміну від віддаленої атаки за схемою «хибний об'єкт», вона не здатна до модифікації інформації.
- · Модифікація переданих даних;
- · Модифікація переданого коду.
Однією з функцій, якою може мати система впливу, побудована за принципом «хибний об'єкт», є модифікація даних, що передаються. В результаті селекції потоку перехопленої інформації та його аналізу система може розпізнавати тип файлів, що передаються (виконуваний або текстовий). Відповідно, у разі виявлення текстового файлу або файлу даних з'являється можливість модифікувати дані, що проходять через помилковий об'єкт. Особливу загрозу ця функція становить для мереж обробки конфіденційної інформації.
Іншим видом модифікації може бути модифікація коду, що передається. Помилковий об'єкт, проводячи семантичний аналіз інформації, що проходить через нього, може виділяти з потоку даних виконуваний код. Відомий принцип неймановської архітектури свідчить, що немає відмінностей між даними та командами. Отже, для того, щоб визначити, що передається по мережі - код або дані, необхідно використовувати певні особливості, властиві реалізації мережного обміну в конкретній розподіленій НД або деякі особливості, властиві конкретним типам файлів, що виконуються в даній локальній ОС.
Можна виділити два різних за метою виду модифікації коду:
- · Використання РПС (руйнівних програмних засобів);
- · Зміна логіки роботи виконуваного файлу. У першому випадку при впровадженні РПС виконуваний файл модифікується за вірусною технологією: до файлу одним з відомих способів дописується тіло РПС, а також одним з відомих способів змінюється точка входу так, щоб вона вказувала на початок впровадженого коду РПС. Описаний спосіб, в принципі, нічим не відрізняється від стандартного зараження файлу, що виконується вірусом, за винятком того, що файл виявився уражений вірусом або РПС в момент передачі його по мережі! Таке можливе лише за умови використання системи впливу, побудованої за принципом «хибний об'єкт». Конкретний вид РПС, його цілі та завдання у даному випадку не мають значення, але можна розглянути, наприклад, варіант використання хибного об'єкта для створення мережевого черв'яка - найбільш складного на практиці віддаленого впливу в мережах, або як РПС використовувати мережеві шпигуни.
У другому випадку відбувається модифікація коду, що виконується з метою зміни логіки його роботи. Даний вплив вимагає попереднього дослідження роботи файлу, що виконується і, у разі його проведення, може принести найнесподіваніші результати. Наприклад, при запуску на сервері (наприклад, в ОС Novell NetWare) програми ідентифікації користувачів розподіленої бази даних помилковий об'єкт може настільки модифікувати код цієї програми, що з'явиться можливість безпарольного входу з найвищими привілеями бази даних.
Підміна інформації
Помилковий об'єкт дозволяє не лише модифікувати, а й підміняти перехоплену ним інформацію. Якщо модифікація інформації призводить до її часткового спотворення, то підміна - її повної зміни.
При виникненні в мережі певної події, що контролюється хибним об'єктом, одному з учасників обміну посилається заздалегідь підготовлена дезінформація. При цьому така дезінформація в залежності від контрольованої події може бути сприйнята або як код, що виконується, або як дані. Розглянемо приклад такого роду дезінформації.
Припустимо, що помилковий об'єкт контролює подію, яка полягає у підключенні користувача до сервера. У цьому випадку він очікує, наприклад, запуск відповідної програми входу в систему. Якщо ця програма знаходиться на сервері, то при її запуску виконуваний файл передається на робочу станцію. Замість того, щоб виконати цю дію, хибний об'єкт передає на робочу станцію код заздалегідь написаної спеціальної програми - загарбника паролів. Ця програма виконує візуально ті ж дії, що і справжня програма входу в систему, наприклад, запитуючи ім'я та пароль користувача, після чого отримані відомості надсилаються на помилковий об'єкт, а користувачеві виводиться повідомлення про помилку. При цьому користувач, вважаючи, що він неправильно ввів пароль (пароль зазвичай не відображається на екрані), знову запустить програму підключення до системи (цього разу справжню) і з другого разу отримає доступ. Результат такої атаки - ім'я та пароль користувача, збережені на хибному об'єкті.
Відмова в обслуговуванні
Однією з основних завдань, що покладаються на мережну ОС, що функціонує на кожному з об'єктів розподіленої ПС, є забезпечення надійного віддаленого доступуз будь-якого об'єкта мережі до цього об'єкта. У загальному випадку в розподіленій ЗС кожен суб'єкт системи повинен мати можливість підключитися до будь-якого об'єкта РВС і отримати відповідно до своїх прав віддалений доступ до його ресурсів. Зазвичай у обчислювальних мережах можливість надання віддаленого доступу реалізується так: на об'єкті РВС в мережевий ОС запускаються виконання ряд програм-серверів (наприклад, FTP -сервер, WWW-сервер тощо.), які надають віддалений доступом до ресурсів даного об'єкта. Ці програми-сервери входять до складу телекомунікаційних служб надання віддаленого доступу. Завдання сервера полягає в тому, щоб, перебуваючи в пам'яті операційної системи об'єкта РВС, постійно чекати на отримання запиту на підключення від віддаленого об'єкта. У разі отримання подібного запиту сервер повинен по можливості передати на об'єкт, що запитав, відповідь, в якій або дозволити підключення, або ні (підключення до сервера спеціально описано дуже схематично, так як подробиці в даний момент не мають значення). За аналогічною схемою відбувається створення віртуального каналу зв'язку, яким зазвичай взаємодіють об'єкти РВС. У цьому випадку безпосередньо ядро мережної ОС обробляє запити, що приходять ззовні на створення віртуального каналу (ВК) і передає їх відповідно до ідентифікатора запиту (порт або сокет) прикладному процесу, яким є відповідний сервер.
Очевидно, що мережна операційна система здатна мати лише обмежену кількість відкритих віртуальних з'єднань та відповідати лише на обмежену кількість запитів. Ці обмеження залежать від різних параметрівсистеми в цілому, основними з яких є швидкодія ЕОМ, обсяг оперативної пам'яті та пропускна спроможність каналу зв'язку (що вона вище, тим більше число можливих запитів в одиницю часу).
Основна проблема полягає в тому, що за відсутності статичної ключової інформації РВС ідентифікація запиту можлива тільки за адресою його відправника. Якщо в розподіленій ПС не передбачено засобів аутентифікації адреси відправника, тобто інфраструктура РВС дозволяє з одного об'єкта системи передавати на інший об'єкт, що атакується, нескінченна кількість анонімних запитів на підключення від імені інших об'єктів, то в цьому випадку матиме успіх типова віддалена атака «Відмова в обслуговуванні ». Результат застосування цієї віддаленої атаки – порушення на атакованому об'єкті працездатності відповідної служби надання віддаленого доступу, тобто неможливість отримання віддаленого доступу з інших об'єктів РВС – відмова в обслуговуванні!
Другий різновид цієї типової віддаленої атаки полягає в передачі з однієї адреси такої кількості запитів на об'єкт, що атакується, яке дозволить трафік (спрямований «шторм» запитів). У цьому випадку, якщо в системі не передбачені правила, що обмежують кількість запитів, що приймаються, з одного об'єкта (адреси) в одиницю часу, то результатом цієї атаки може бути як переповнення черги запитів і відмови однієї з телекомунікаційних служб, так і повна зупинка комп'ютера через неможливості системи займатися нічим іншим, окрім обробки запитів.
І останнім, третім різновидом атаки «Відмова в обслуговуванні» є передача на об'єкт, що атакується, некоректного, спеціально підібраного запиту. У цьому випадку за наявності помилок у віддаленій системі можливе зациклювання процедури обробки запиту, переповнення буфера з наступним зависанням системи тощо.
Типова віддалена атака «Відмова в обслуговуванні» є активною дією, що здійснюється з метою порушення працездатності системи, безумовно, щодо мети атаки. Дана УА є односпрямованою дією як міжсегментним, так і внутрішньосегментним, що здійснюється на транспортному та прикладному рівнях моделі OSI.
трафік пароль захист мережевий
47.9KБагато адміністраторів мереж часто стикаються з проблемами, розібратися з якими допоможе аналіз мережевого трафіку. І тут ми стикаємося з таким поняттям як аналізатор трафіку. То що це таке?
Аналізатори та колектори NetFlow – це інструменти, які допомагають відстежувати та аналізувати дані мережевого трафіку. Аналізатори мережевих процесів дозволяють точно визначити пристрої, через які знижується пропускну здатність каналу. Вони вміють знаходити проблемні місця у вашій системі та підвищувати загальну ефективність мережі.
Термін « NetFlow» відноситься до протоколу Cisco , призначеного для збору інформації про трафік по IP та моніторингу мережного трафіку. NetFlow був прийнятий як стандартний протокол для потокових технологій.
Програмне забезпечення NetFlow збирає та аналізує дані потоків, що генеруються маршрутизаторами, та представляє їх у зручному для користувачів форматі.
Декілька інших постачальників мережного обладнання мають свої власні протоколи для моніторингу та збору даних. Наприклад, Juniper, інший вельми шанований постачальник мережевих пристроїв, називає свій протокол. J-Flow«. HP і Fortinet використовують термін « s-Flow«. Незважаючи на те, що протоколи називаються по-різному, вони працюють аналогічним чином. У цій статті ми розглянемо 10 безкоштовних аналізаторів мережевого трафіку та колекторів NetFlow для Windows.
SolarWinds Real-Time NetFlow Traffic Analyzer
Free NetFlow Traffic Analyzer є одним з найпопулярніших інструментів, доступних для безкоштовного скачування. Він дає можливість сортувати, помічати та відображати дані у різний спосіб. Це дозволяє зручно візуалізувати та аналізувати мережевий трафік. Інструмент відмінно підходить для моніторингу мережного трафіку за типами та періодами часу. А також виконання тестів для визначення того, скільки трафіку споживають різні програми.
Цей безкоштовний інструмент обмежений одним інтерфейсом моніторингу NetFlow та зберігає лише 60 хвилин даних. Даний Netflow аналізатор є потужним інструментом, який вартий того, щоб його застосувати.
Colasoft Capsa Free
Цей безкоштовний аналізатор трафіку локальної мережі дозволяє ідентифікувати і відстежувати більше 300 мережевих протоколів, і дозволяє створювати звіти, що настроюються. Він включає в себе моніторинг електронної пошти та діаграми послідовності TCP-синхронізації, все це зібрано в одній панелі, що настроюється.
Інші функції включають аналіз безпеки мережі. Наприклад, відстеження DoS/DDoS-атак, активності черв'яків і виявлення ARP-атак. А також декодування пакетів та відображення інформації, статистичні дані про кожен хост у мережі, контроль обміну пакетами та реконструкція потоку. Capsa Free підтримує всі 32-бітові та 64-бітові версії Windows XP.
Мінімальні системні вимоги для встановлення: 2 Гб оперативної пам'яті та процесор 2,8 ГГц. У вас також має бути з'єднання з інтернет через Ethernet ( сумісної з NDIS 3 або вище), Fast Ethernet або Gigabit із драйвером зі змішаним режимом. Він дозволяє пасивно фіксувати всі пакети, що передаються Ethernet-кабелем .
Angry IP Scanner
Це аналізатор трафіку Windows з відкритим вихідним кодом, швидкий та простий у застосуванні. Він не потребує встановлення і може бути використаний на Linux, Windows та Mac OSX. Цей інструмент працює через просте пінгування кожної IP-адреси і може визначати MAC-адреси, сканувати порти, надавати NetBIOS-інформацію, визначати авторизованого користувача в системах Windows, виявляти веб-сервери та багато іншого. Його можливості розширюються за допомогою Java-плагінів. Дані сканування можуть бути збережені у файлах форматів CSV, TXT, XML.
ManageEngine NetFlow Analyzer Professional
Повнофункціональна версія програмного забезпечення NetFlow від ManageEngines. Це потужне програмне забезпечення з повним набором функцій для аналізу та збору даних: моніторинг пропускну здатністьканалу в режимі реального часу та оповіщення про досягнення порогових значень, що дає змогу оперативно адмініструвати процеси. Крім цього передбачено виведення зведених даних щодо використання ресурсів, моніторинг додатків та протоколів та багато іншого.
Безкоштовна версіяаналізатора трафіку Linux дозволяє необмежено використовувати продукт протягом 30 днів, після чого можна проводити моніторинг лише двох інтерфейсів. Системні вимогидля NetFlow Analyzer ManageEngine залежить від швидкості потоку. Рекомендовані вимоги для мінімальної швидкості потоку від 0 до 3000 потоків за секунду: двоядерний процесор 2,4 ГГц, 2 Гб оперативної пам'яті та 250 Гб вільного простору на жорсткому диску. У міру збільшення швидкості потоку, який слід відстежувати, вимоги також зростають.
The Dude
Ця програма являє собою популярний мережевий монітор, розроблений MikroTik. Він автоматично сканує всі пристрої та відтворює картку мережі. The Dude контролює сервери, що працюють на різних пристроях, і попереджає у разі виникнення проблем. Інші функції включають автоматичне виявлення та відображення нових пристроїв, можливість створювати власні карти, доступ до інструментів для віддаленого управління пристроями та багато іншого. Він працює на Windows, Linux Wine та MacOS Darwine.
JDSU Network Analyzer Fast Ethernet
Ця програма аналізатор трафіку дозволяє швидко збирати та переглядати дані по мережі. Інструмент надає можливість переглядати зареєстрованих користувачів, визначати рівень використання пропускної спроможності мережі окремими пристроями, швидко знаходити та усувати помилки. А також захоплювати дані в режимі реального часу та аналізувати їх.
Програма підтримує створення графіків та таблиць з високою деталізацією, які дозволяють адміністраторам відстежувати аномалії трафіку, фільтрувати дані, щоб просівати великі обсяги даних, та багато іншого. Цей інструмент для фахівців початкового рівня, а також для досвідчених адміністраторів дозволяє повністю взяти мережу під контроль.
Plixer Scrutinizer
Цей аналізатор мережного трафіку дозволяє зібрати та всебічно проаналізувати мережевий трафік, а також швидко знайти та виправити помилки. За допомогою Scrutinizer можна відсортувати дані різними способами, у тому числі за часовими інтервалами, хостами, додатками, протоколами тощо. Безкоштовна версія дозволяє контролювати необмежену кількість інтерфейсів та зберігати дані по 24 годинах активності.
Wireshark
Wireshark - це потужний мережевий аналізатор може працювати на Linux, Windows, MacOS X, Solaris та інших платформах. Wireshark дозволяє переглядати захоплені дані за допомогою графічного інтерфейсу або використовувати утиліти TTY-mode TShark . Його функції включають в себе збір та аналіз трафіку VoIP, відображення в режимі реального часу даних Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay, виведення даних у XML, PostScript, CSV, підтримку дешифрування та багато іншого.
Системні вимоги: Windows XP та вище, будь-який сучасний 64/32-бітний процесор, 400 Mb оперативної пам'яті та 300 Mb вільного дискового простору. Wireshark NetFlow Analyzer — це потужний інструмент, який може спростити роботу будь-якому адміністратору мережі.
Paessler PRTG
Цей аналізатор трафіку надає користувачам безліч корисних функцій: підтримку моніторингу LAN, WAN, VPN, додатків, віртуального сервера, QoS та середовища. Також підтримується моніторинг кількох сайтів. PRTG використовує SNMP, WMI, NetFlow, SFlow, JFlow та аналіз пакетів, а також моніторинг часу безперебійної роботи/простою та підтримку IPv6.
Безкоштовна версія дозволяє використовувати необмежену кількість датчиків протягом 30 днів, після чого можна безкоштовно використовувати тільки до 100 штук.
nProbe
Це повнофункціональна програма з відкритим вихідним кодом для відстеження та аналізу NetFlow.
nProbe підтримує IPv4 і IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, містить функції аналізу VoIP трафіку, вибірки потоків і пакетів, генерації логів, MySQL/Oracle та DNS-активності, а також багато іншого. Додаток є безкоштовним, якщо ви аналізатор трафіку завантажуєте та компілюєте на Linux або Windows. Виконуваний файл інсталяції обмежує обсяг захоплення до 2000 пакетів. nProbe є повністю безкоштовним для освітніх установ, а також некомерційних та наукових організацій. Цей інструмент працюватиме на 64-бітних версіях операційних систем Linux та Windows.
Цей список з 10 безкоштовних аналізаторів трафіку та колекторів NetFlow допоможе вам приступити до моніторингу та усунення несправностей у невеликій офісній мережі або великій, що охоплює декілька сайтів, корпоративній WAN-мережі.
Кожен представлений у цій статті додаток дає можливість контролювати та аналізувати трафік у мережі, виявляти незначні збої, визначати аномалії пропускного каналу, які можуть свідчити про загрози безпеці. А також візуалізувати інформацію про мережу, трафік та багато іншого. Адміністратори мереж обов'язково повинні мати у своєму арсеналі подібні інструменти.
Дана публікація є перекладом статті « Top 10 Best Free Netflow Analyzers та Collectors для Windows» , підготовленою дружною командою проекту
