Аналізатори мережевих пакетів

Перехоплення пакетів, передаваних в локальній мережі, є одним з найбільш ефективних способів подальшого проникнення в мережу після того, як зломщик дістав доступ до одного вузла. В даний час є безліч засобів перехоплення пакетів, зокрема один з найзнаменитіших комерційних наборів аналізу протоколів Sniffer Pro від компанії Network Associate (http://www.nai.com). Цей комплект засобів з'явився відразу ж за випуском прекрасної вільно поширюваної програми Capturenet 3.12, частиною набору Spenet/peepnet, що є, від Лаврентія Никули (Laurentiu Nicula), якого можна знайти за адресою http://packetstorm.securify.com. Достатньо багато можна сказати і про додаток Network Monitor, що входить в комплект постачання системи Nt/2000. Ця утиліта дозволяє відстежувати трафік лише локального вузла. Проте при установці сервера SMS (Systems Management Server) можна скористатися повною версією Network Monitor.
В той же час очевидний, що графічний інтерфейс цих програм перешкоджає їх застосуванню в тих випадках, коли основною вимогою є скритність виконуваних дій і можна лише видалено скористатися командним рядком. У наступних розділах будуть розглянуті деякі програми-аналізатори мережевих пакетів, які без проблем можна встановити видалено і використовувати з командного рядка, а також декілька засобів на базі інтерфейсу Win32.

Buttsniffer

Серед зломщиків системи NT найбільш популярним засобом є динамічно завантажувана програма Buttsniffer від Ділдога (Dildog), основного автора Back Orifice 2000. Програма Buttsniffer складається з двох основних компонентів, Buttsniff.exe (139,264 байт) і Buttsniff.dll (143,360 байт), кожен з яких можна перейменувати. Для установки цих файлів досить просто завантажити їх на цільовий вузол. Ніяких додаткових дій з установки не потрібні. Запуск програми здійснюється з командного рядка, в якому можна вказати різні параметри. Параметр -1 дозволяє отримати список інтерфейсів, доступних для перехоплення пакетів. Зломщики напевно скористаються можливістю копіювання всіх захоплених даних у файл на жорсткому диску (для цього потрібно не використовувати параметри фільтрації), як показано в наступному прикладі.

D:\toolbox\buttsniffer>buttsniff-1
WINNT: Version 4.0 Build 1381
Service Pack: Service Pack 6
# Interface Description
-----------------------
0 Remote Access Mac
[\Device\ndis3pkt_asyncmac4] (no promise.)
1 3com Megahertz Fem556b [\Device\ndis3pkt_fem5567]
D:\toolbox\buttsniffer>
buttsniff -d 1 D:\test\sniffl.txt p
WINNT: Version 4.0 Build 1381
Service Pack: Service Pack 6
Press CTRL-C to stop logging...
Close requested
D:\toolbox\buttsniffer>
cat D:\test\sniffl.txt
Source IP: 192.168.7.36 Target IP: 192.168.7.200
TCP Length: 13 Source Port: 3530
Target Port: 21 Seq: 001a145e
Ack: 6d968bec
Flags: PA Window: 8711
TCP Chksum: 6575 Urgptr: 0
00000000: 55 53 45 52 20
67 65 6f 72 67 65 OD OA USER
ernie..
Source IP: 192.168.7.36
Target IP: 192.168.7.200
TCP Length: 17 Source Port: 3530
Target Port: 21 Seq: 001a146b
Ack: 6d968cof
Flags: PA Window: 8676
TCP Chksum: 41325
Urgptr: 0 00000000: 50 41 53 53 20 47 65
6f 72 67 65 30 30 31 3f OD
PASS bert.
00000010: OA

Утиліта Buttsniffer відрізняється нестабільністю. При її використанні протягом тривалого часу вона може привести до краху системи NT (появі синього екрану смерті).

fsniff

Утиліта fsniff написана компанією Foundstone, Inc., у якій автори книги є провідними співробітниками.

С:\tmp>fsniff
fsniff vl.О - copyright2000 foundstone, inc.
driver activated
192.168.200.15 [4439] -> 172.16.23.45 [21] }
USER test PASS ralph
172.16.23.45 [21] -> 192.168.200.15 [4439] }
220 ftp.victim.net FTP server (Version wu-2.5.0(l)
Tue Sep 21 16:48:12
EOT 199
9) ready.
331 Password required for test.
530 Login incorrect.
packets received 27 - sniffed 10

Аналізатори пакетів Win32 * на базі інтерфейсу Winpcap

Багато популярних програм-аналізаторів UNIX, призначених для захоплення пакетів на рівні користувачів, створено на базі інтерфейсу libpcap, не залежного від використовуваної платформи. Вільно поширювана версія Win32 цього інтерфейсу, Winpcap, була розроблена групою дослідників з політехнічного університету Торіно (Politecnico di Torino) (http://netgroup-serv.polito.it/winpcap). Цей інтерфейс надає основу для створення деяких цікавих засобів перехоплення мережевих пакетів. Проте їх незручно встановлювати на видаленому вузлі і використовувати з командного рядка. Крім того, на відміну від динамічно завантажуваних утиліт Buttsniffer і f sniff, для активізації таких засобів часто потрібне перезавантаження. У подальших розділах для повноти висловлюваного матеріалу, а також для полегшення подальших досліджень в цій області, будуть розглянуті деякі із засобів, створених на базі інтерфейсу Winpcap.

Windump

Ця утиліта, що є аналогом утиліти tcpdump системи UNIX, написана авторами Winpcap. Як видно з приведеного нижче прикладу, ця утиліта є простим засобом перехоплення пакетів, що надає дані в необробленому вигляді. 

D:\>windump
windump: listening on\device\packet_e159xl
01:06:05.818515 Wkstn.1044 >
Corp-dc.139: P 287217:287285(68) аськ
3906909778 wi
n 7536 (DF) [tos 0x86]
01:06:05.818913 Corp-dc.139 >
Wkstn.1044: P 1:69(68) аськ 68 win 16556
(DF)
01:06:05.825661 arp who-has
192.168.234.1 tell WKSTN
01:06:05.826221 arp reply
192.168.234.1 is-at 8:0:3d:14:47:d4

dsniff для Win32

Утиліта dsniff є одним з самих кращих засобів перехоплення пакетів системи UNIX, призначених виключно для отримання паролів. Вона була написана Дагом Сонгом (Dug Song) (http://naughty.monkey.org/~dugsong/dsniff/). Утиліта dsniff автоматично виявляє і детально аналізує кожен протокол, зберігаючи лише частину унікальних даних, використовуваних при аутентифікації.
Рання версія утиліти dsniff для Win32, що з'явилася в травні 2000 року, була написана Майком (Mike) з компанії eeye Digital Security. У ній відсутні багато можливостей таких утиліт, як arpredirect, що робить її версію для системи Linux більш робаст-ной (див. розділ 8 і 10). Проте, утиліта dsniff може виявитися корисною для отримання даних аутентифікації. У наступному прикладі утиліта dsniff була використана для перехоплення пакетів, передаваних в процесі аутентифікації по протоколу POP.

D:\dsniff>dsniff
07/31/00 17:16:34 С574308-а ->
mail.victim.net (pop)
USER johnboy
PASS goodnight

Контрзаходи: захист від перехоплення пакетів

Якщо приведені вище ради здалися вам недостатніми, додатково можна порекомендувати наступне. При передачі інформації по мережі використовуйте механізми шифрування, такі як сервер SSH (Secure Shell), протокол SSL (Secure Sockets Layer), шифрування поштових повідомлень POP (Pretty Good Privacy) або шифрування на рівні IP, яке забезпечується при реалізації віртуальних приватних мереж на-базе протоколу Ipsec (див. розділ 9). Це надійні засоби захисту від атак, направлених на перехоплення пакетів. Використання мереж з комутованою архітектурою і віртуальних локальних мереж (Virtual Local Area Network) може значно понизити ризик злому, проте у разі застосування таких засобів, як утиліти dsnif f і arpredirect з UNIX (див. розділ 10), не можна надати ніяких гарантій.

При друці другого видання цієї книги був випущений сумісний з системою Nt/2000 сервер SSH, який можна знайти за адресою http://marvin.criadvantage.com/caspian/Software/SSHD-NT/default.php. Багато років він служив основою безпечного видаленого управління системами на базі UNIX, і дуже цікаво познайомитися з новою версією, яка дозволяє з командного рядка видалено управляти системами Nt/2000. Її можна розглядати як альтернативу термінального сервера. Докладнішу інформацію про сервер SSH можна знайти за адресою http://www.employees.org/-satch/ssh/faq/ssh-faq.html.