На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Раскрытие, модификация и подмена трафика

Трафик — это поток данных, циркулирующих по передающей среде вычислительной сети. Раскрыть трафик можно путем подключения к кабельной линии передачи; перехвата
информации, передаваемой по эфиру; подключением к сети сетевого анализатора и т. п.
При этом оказывается возможным раскрытие паролей, системных имен и имен пользова­телей, сообщений электронной почты и других данных прикладного характера (воздействия такой угрозы на сетевой трафик возрастает в силу не­адекватного внимания к защите информации. Например, пароли, которые хранятся в зашифрованном виде в системе, могут быть перехвачены при их пересылке в открытом виде от персонального компьютера к файловому сер­веру. А сообщения электронной почты, доступ к ко­торым при хранении строго ограничен, зачастую пе­ресылаются по линиям передачи компьютерной сети в открытом виде.


Раскрытие, модификация и подмена трафика
Наиболее уязвимыми местами сети при раскрытии трафика являются:
□ передача незашифрованных данных по каналам связи в сети;
□ передача открытых данных с использованием общедоступных протоколов пере­дачи;
□ недостаточная физическая защита устройств и среды передачи.
В передающей среде сети могут происходить модификация или подмена трафика во время передачи, несмотря на то что данные, которыми обмениваются между собой пользователи сетей, не должны подвергаться несанкционированным изменениям.
В случае умышленного или случайного изменения любой части сообщения, вклю­чая адресную информацию как отправителя, так и получателя, имеет место модифика­ция данных.
Подмена трафика происходит тогда, когда злоумышленник маскируется под от­правителя или получателя сообщений. Если он маскируется под отправителя, то за­меняет адрес сообщения адресом истинного отправителя. При маскировке под от­правителя злоумышленник подставляет свой адрес вместо истинного адреса получателя сообщения. В том и другом случаях предполагается перехват сообще­ний, циркулирующих между отправителем и получателем, а затем содержа­ния сообщений. Эти действия злоумышленника получили название воспроизведе­ния трафика.
Для модификации или подмены трафика используют следующие уязвимые места: О отсутствие защиты трафика от воспроизведения;
□ передача трафика в открытом виде;
отсутствие в сообщениях отметки о дате и времени посылки; О отсутствие механизма аутентификации сообщения и цифровой подписи.


Проблемы защиты сети от перехвата пакетов сообщений
В настоящее время технология построения компьютерных сетей Ethernet стала самым распространенным решением обмена сообщениями между пользователями. Сети
Ethernet завоевали огромную популярность благодаря высокой пропускной способно­сти, простоте установки и приемлемой стоимости сетевого оборудования. Участки сетей, для которых скорости передачи данных 10 Мбит/с недостаточно, можно до­вольно легко модернизировать, чтобы повысить скорость до 100 Мбит/с (Fast Ethernet) или даже до 1 Гбит/с (Gigabit Ethernet).
Однако технология Ethernet не лишена существенных недостатков. Основной из них — передаваемая информация не защищена. Компьютеры, подключенные к сети Ethernet, оказываются в состоянии перехватывать информацию, адресованную своим соседям. Основная причина — принятый в сетях Ethernet так называемый широкове­щательный механизм обмена сообщениями.
В сети типа Ethernet подключенные к ней компьютеры, как правило, совместно
используют один и тот же кабель, который служит средой для пересылки сообщений
между ними.
Известно, что если в комнате одновременно громко говорят несколько людей, ра­зобрать что-либо из сказанного ими будет очень трудно. Так происходит и в Ethernet. Когда по сети начинают «общаться» сразу несколько компьютеров, выделить из их «цифрового гвалта» полезную информацию и понять, кому именно она предназначе­на, практически невозможно. В отличие от человека, компьютер не может поднять руку и попросить тишины, поэтому для решения данной проблемы требуются иные,
более сложные действия. Компьютер сети Ethernet, желающий передать какое-либо сообщение по общему
каналу, должен удостовериться, что этот канал в данный момент свободен. В начале передачи компьютер прослушивает несущую частоту сигнала, определяя, не произошло ли искажения сигнала в результате возникновения коллизий с другими компьютера­ми, которые ведут передачу одновременно с ним. При наличии коллизии компьютер прерывает передачу и «замолкает». По истечении некоторого случайного периода времени он пытается повторить передачу.
Если компьютер, подключенный к сети Ethernet, ничего не передает сам, он, тем не менее, продолжает «слушать» все сообщения, передаваемые по сети. Заметив в заго­ловке поступившей порции данных свой сетевой адрес, компьютер копирует эти дан­ные в собственную локальную память.
Существуют два основных способа объединения компьютеров в сеть Ethernet.
В первом случае компьютеры соединяются при помощи коаксиального кабеля. Этот кабель черной змейкой вьется от компьютера к компьютеру, соединяясь с сетевыми адаптерами разъемом. Такая топология на
языке профессионалов называется сетью Ethernet Однако ее еще можно назвать сетью, в которой «все слышат всех». Любой компьютер, подключенный к сети, способен перехватывать данные, посылаемые по этой сети другим компьютером.


Во втором случае каждый компьютер соединен кабелем типа витая пара с отдель­ным портом центрального коммутирующего устройства — концентратора или комму­татора. В таких сетях, которые называются сетями Ethernet JOBaseT, компьютеры по­делены на группы, именуемые доменами коллизий. Домены коллизий определяются портами концентратора или коммутатора, замкнутыми на общую шину. В результате коллизии возникают не между всеми компьютерами сети, а между теми из них, кото­рые входят в один и тот же домен коллизий. За счет этого повышается пропускная способность всей сети.
В последнее время в крупных сетях стали появляться коммутаторы нового типа, которые не используют широковещание и не замыкают группы портов между собой. Вместо этого все передаваемые по сети данные буферизуются (накапливаются) в па­мяти и затем отправляются по мере возможности. Однако подобных сетей пока до­вольно мало - не более 10% от общего числа сетей типа Ethernet.
Таким образом, принятый в подавляющем большинстве Ethernet-сетей алгоритм передачи данных требует, чтобы каждый компьютер, подключенный к сети, Непрерыв­ного «прослушивал» весь без исключения сетевой трафик. Предложенные алгоритмы, при использовании которых компьютеры отключались бы от сети во время передачи «чужих» сообщений, так и остались нереализованными из-за их чрезмерной сложнос­ти и малой эффективности.
Как уже было сказано, сетевой адаптер каждого компьютера в сети Ethernet, как правило, «слышит» все, о чем «толкуют» между собой его соседи по сегменту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции данных (так называемые кадры), которые содержат его уникальный сетевой адрес.
В дополнение к этому подавляющее большинство современных Ethernet-адапте­ров допускают функционирование в особом режиме, называемом беспорядочным (promiscuous). При использовании данного режима адаптер копирует в локальную память компьютера все без исключения передаваемые по сети кадры данных.
Специализированные программы, переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сети для последующего анализа, называются анализа­торами протоколов или снифферами. Администраторы сетей широко применяют анали­заторы протоколов для контроля за работой этих сетей и определения их перегружен­ных участков, отрицательно влияющих на скорость передачи данных. К сожалению, анализаторы протоколов используются и злоумышленниками, которые с их помощью могут перехватывать чужие пароли и другую конфиденциальную информацию.
Надо отметить, что анализаторы протоколов представляют серьезную опасность. Само присутствие в компьютерной сети анализатора протоколов указывает то, что в ее защи­те имеется брешь. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и делом рук доморощенного злоумышленника, имеющего легальный доступ В бом случае к сложившейся ситуации нужно отнестись со всей серьезностью.
Специалисты в области компьютерной безопасности относят атаки на компьютеры
при помощи анализаторов протоколов к так называемым атакам второго уровня. Это означает, что компьютерный взломщик уже сумел проникнуть сквозь защитные барь­еры сети и теперь стремится развить свой успех. При помощи анализатора протоко­лов он может попытаться перехватить регистрационные имена и пароли пользовате­


лей, их секретные финансовые данные (например, номера кредитных карточек) и кон­фиденциальные сообщения (к примеру, электронную почту). Имея в своем распоря­жении достаточные ресурсы, компьютерный взломщик в принципе может перехваты­вать всю информацию, передаваемую по сети.
Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, кото­рую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов исследуют не конкретный компьютер, а протоколы. Поэтому анализатор протоколов может обосно­ваться в любом узле сети и оттуда перехватывать сетевой трафик, который в результате широковещательных передач попадает в каждый компьютер, подключенный к сети.
Одна из первых атак, проведенных при помощи анализаторов протоколов, была за­фиксирована в 1994 году в США. Тогда неизвестный злоумышленник разместил анали­затор протоколов на различных хостах и магистральных узлах сетей Internet и Milnet, в результате чего ему удалось перехватить более 100 тыс. регистрационных имен и паро­лей пользователей. Среди пострадавших от атаки оказались Калифорнийский государ­ственный университет и Ракетная лаборатория министерства обороны США.
Наиболее частыми целями атак компьютерных взломщиков, осуществляемых с ис­пользованием анализаторов протоколов, становятся университеты. Хотя бы из-за ог­ромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Да и сами студенты отнюдь не брезгуют возможностями анализаторов протоколов. Нередкий случай, когда несколько студентов, заняв
тер, подключенный к локальной сети университетской библиотеки, быстро устанавли­вают с нескольких дискет анализатор протоколов. Затем они просят ничего не подозре­вающую жертву, сидящую за соседним компьютером: «Вы не могли бы заглянуть в свой почтовый ящик, а то у нас почему-то электронная почта не работает?». Несколько ми­нут спустя вся эта группа компьютерных взломщиков-любителей, перехватив регистра­ционное имя и пароль доступа соседа к почтовому с удовольствием знакомится с содержимым его почтового ящика и посылает письма от имени.
Использование анализатора протоколов на практике не является такой уж легкой за­дачей, как это может показаться. Чтобы добиться от него хоть какой-то пользы, компыо-терный взломщик должен хорошо знать сетевые технологии. Просто установить и запус­тить анализатор протоколов нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров трафик составляет тысячи и тысячи пакетов в час. Следовательно, за корот­кое время выходные данные анализатора протоколов заполнят весь жесткий диск.
Компьютерный взломщик, как правило, настраивает анализатор протоколов так, чтобы он перехватывал только первые байт каждого пакета, передаваемого
по сети. Обычно именно в заголовке пакета размещается информация о регистрацион­ном имени и пароле пользователя, которые и интересуют взломщика. Тем не менее, если в распоряжении взломщика имеется достаточно пространства на жестком диске, то увеличение объема перехватываемого графика пойдет ему только на пользу. В ре­зультате он может дополнительно узнать много интересного.
На серверах в сети Internet есть множество анализаторов протоколов, которые от­личаются лишь набором доступных функций. В настоящее время получили распрост­ранение 2 вида анализаторов:


□ пассивные;
□ активные.
Различие их состоит в том, что пассивные снифферы не производят модификацию перехватываемых пакетов.
В качестве интерфейса пассивный сниффер может использовать либо сетевую плату компьютера, либо модемное подключение к Internet. В случае подключения через модем утилита позволяет просматривать пакеты, адресованные только вашему компы0теру. При использовании сетевой платы компьютера сниффер переводит сетевой адаптер в режим перехвата всех пакетов из сегмента, в котором находятся компьютер и сниффер.
Поскольку в сети постоянно циркулирует огромное количество пакетов, их необ­ходимо отфильтровывать. Первый критерий фильтрации — глобальный: все кадры Ethernet без разбора или только IP. Кроме того, фильтр позволяет отбирать трафик
SNMP и SNA. В зарегистрированной версии прием пакетов можно также ограничить
только уникальными, групповыми, широковещательными адресами или любой их ком­бинацией. Пассивный сниффер ориентирован прежде всего на IP, поэтому дальнейшей фильтрации подвергается именно трафик IP. Пользователь может выбрать тип прото­кола третьего и четвертого уровней (TCP, VDP, ЮМР — всего полтора десятка) и порт. Порт задается «в лоб» с помощью номера, который можно выбрать из списка. Самые распространенные - HTTP, FTP, РОРЗ, Telnet и т. п.
Точная настройка состоит в возможности отбора пакетов по IP-адресам отправите­ля и получателя (направление передачи имеет значение) или по ключевым словам.
Различные настройки фильтра можно сохранять в файлах и задействовать в опреде­ленных ситуациях. Фильтрация пакетов не только ограничивает собираемую сниффе-
ром информацию, но и обеспечивает его нормальную работу.
Задание слишком большого числа вариантов для IP приводит к тому, что пассив­ный сниффер иногда не успевает обрабатывать часть пакетов.
Собранные пакеты отображаются в окне сниффера в виде списка с указанием МАС-адресов получателей и отправителей, типа пакета, типа протокола» IP-адре­сов и номеров портов. Содержимое любого пакета можно просмотреть в виде ше-стнадцатеричного кода и текста. Это не всегда удобно, поэтому собранную инфор­мацию можно сохранить в виде файла и обработать с помощью специальной утилиты, которая сортирует пакеты по адресам и представляет их содержимое в
удобочитаемом виде.
Подобные снифферы не рассчитаны на работу в больших сетях, поскольку их про­изводительность ограничена. Тем не менее, эти программы позволяют анализировать события, происходящие в небольшой сети (точнее, в ее конкретном сегменте), разу­меется, при наличии соответствующих познаний, так как аналитические функции от­сутствуют. Чтобы обнаружить избыток пакетов какого-либо типа, их надо уметь опоз­навать. Впрочем, все основные сервисы IP вполне успешно распознаются, а уже одного этого кому-то будет вполне достаточно.
Для выявления снифферов в программном обеспечении компьютера следует ис­пользовать то обстоятельство, что заложенная хакерская программа периодически сбрасывает накопленную информацию в один из почтовых ящиков, зарегистрирован­ных на бесплатном сервере электронной почты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика