33643

Сетевые анализаторы и снифферы

Доклад

Информатика, кибернетика и программирование

Главный недостаток технологии Ethernet незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов подключенных к сети непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию адресованную своим соседям. В общем смысле слово сниффер обозначает устройство подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным жучкам записывающим телефонные разговоры. В то же время сниффером программа запущенная на подключенном к сети узле и...

Русский

2013-09-06

63 KB

99 чел.

7. Сетевые анализаторы и "снифферы"

Физический уровень определяет электрические, функциональные и другие параметры физической связи.

Канальный уровень обеспечивает надежную передачу данных через физический канал.

Конкретные реализации функций канального и физического уровней зависят от сетевой технологии.

В настоящее время самой распространённой сетевой технологией является Ethernet (около 80% сетей). Все популярные операционные системы и стеки протоколов поддерживают Ethernet.

Главный недостаток технологии Ethernet - незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов, подключенных к сети, непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию, адресованную своим соседям. Данная уязвимость делает возможным проведение атак, использующих механизм «пассивного прослушивания» Средства для проведения таких атак - это анализаторы протоколов или снифферы.

В общем смысле, слово сниффер" обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным "жучкам", записывающим телефонные разговоры. В то же время «сниффером» - программа, запущенная на подключенном к сети узле и просматривающая весь трафик сетевого сегмента.

Работа "сниффера" использует основной принцип технологии Ethernet - общую среду передачи, то есть любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах:

- селективном (non-promiscuous). Принимаются только сообщения предназначенные только данному узлу. Фильтрация осуществляется на основе MAC-адреса фрейма.

- неселективном (promiscuous). Фильтрация не осуществляется, и узел принимает все фреймы, передаваемые по сегменту.

«Снифферы» переводят сетевой адаптер в неселективный режим и собирают весь трафик сети для последующего анализа. Собранный трафик сегмента может быть отображен на экране, записан в файл и т. п. Так как обмен информации происходит обычно в двоичном формате, в обязанности "сниффера" обычно входит расшифровка (декодирование) и вывод информации в удобном (читаемом) виде.

Тот же принцип пассивного прослушивания трафика лежит в основе работы средств обнаружения атак.

С помощью анализатора протоколов перехват информации в случае нахождения злоумышленника в другом сегменте осуществить невозможно, однако для этого используются другие методы, позволяющие перенаправить трафик из другого сегмента на узел нарушителя и реализующие атаки типа «создание ложного объекта-посредника» на сетевом и транспортном уровнях модели OSI

В сети Internet можно найти множество анализаторов протоколов для различных операционных систем. Для операционных систем семейства Windows одним из лучших является анализатор протоколов "SnifferPro" компании Network Associate. Кроме огромного количества функций по перехвату пакетов, он поддерживает и возможность генерации пакетов.

Анализатор протоколов Network Monitor входит в состав операционной системы Windows NT Server 4.0. Однако он позволяет просматривать не весь трафик, а только его часть, относящуюся к узлу, на котором он установлен. Полнофункциональная версия Network Monitor входит в состав System Management Server и обладает всеми возможностями классических анализаторов протоколов.

Можно отметить также анализатор протоколов Lan Explorer компании Intellimax.

Так как сниффер - это пассивное устройство, обнаружить его достаточно сложно. Обычно присутствие сниффера можно обнаружить по каким-либо косвенным признакам, свойственным конкретному снифферу или по неселективному режиму работы сетевой карты на узле.

Меры защиты от снифферов следуют из принципа их работы и цели атак:

1. Шифрование информации.

2. Построение сетей на основе интеллектуальных коммутаторов (switches).

3. Использование сетевых адаптеров, не поддерживающих неселективный режим.

4. Обнаружение несанкционированно используемых на компьютерах анализаторов протоколов.

ПЕРЕДАЧА ДАННЫХ ПО СЕТИ. ТЕХНОЛОГИЯ ETHERNET. КАДР. ПОДУРОВНИ.

Передача данных по физическому каналу, обеспечивает надежность.

Основные функции(задачи):

- проверка доступности среды передачи

- реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в фреймы(кадры), обеспечивается корректность передачи каждого кадра, помещая специальную последовательность бит в начало и в конец каждого кадра, чтобы отметить его, а также вычисляет контрольную сумму.

- управляет параметрами связи (скорость, метод передачи, повтор).

В протоколах канального уровня, используемых в локальных сетях, заложена структура связей и способы их адресации только для сетей с определенной топологией. Протоколами канального уровня является и Ethernet.

Выделяют два подуровня(802,3IЕЕЕ):

- LLC(Logical Link Control) – управление логическим каналом. Выполняет передачу данных между станциями, отвечает за исправление ошибок.

- MAC(Medium Access Control) -  управление доступом к среде. Осуществляет управление доступом к передающей среде, реализует адресацию станций.

MAC адрес содержит  48 бит:

---------------------------------------------------------------------------------

|тип адреса – 2бита | код фирмы – 22 бита | код сетевого адаптера - 24 бита |

---------------------------------------------------------------------------------

Определяется 3 типа:

00 – индивидуальный адрес

01 – групповой

11 – широковещательный

По соглашению широковещательный адрес зарезервирован для одновременной посылки всем станциям. Групповые адреса обеспечивают ограниченную форму широковещания, при которой группа компьютеров в сети согласна отвечать на групповой адрес. Каждый компьютер в такой группе может получать сообщения одновременно с другими компьютерами этой группы, при этом остальные машины в сети ничего не получают.

Ethernet можно представлять как соединение канального уровня между машинами. Поэтому имеет смысл рассматривать передаваемые данные как кадры(фреймы. Кадры Ethernet’а имеют переменную длину в пределах от 64 октетов(октетом называется блок из 8 бит, чаще называемый байтом) до 1518 октетов (заголовок, данные, ЦКС). Как и во всех сетях с коммутацией пакетов, кадр должен идентифицироваться свое назначение.

Помимо идентификации отправителя и получателя, каждый кадр, , содержит преамбулу, поле типа, поле данных и циклическую контрольную сумму(CRC) или ЦКС. Преамбула состоит из 64 битовой последовательности 1 и 0 и служит для облегчения синхронизации при приеме. 32-битовая ЦКС помогает интерфейсу обнаружить ошибки передачи: отправитель вычисляет ЦКС как функцию от данных, передаваемых в кадре, а получатель заново вычисляет ЦКС для того, чтобы быть уверенным в том, что пакет принят без ошибок.

Поле типа кадра содержит 16-битовое целое число, которое идентифицирует тип данных, передаваемых в кадре. С точки зрения Интернета поле типа кадра очень важно, так как это означает, что кадры Ethernetа являются самоидентифицирующимися. Когда кадр приходит на данную машину, операционная система использует тип кадра, чтобы определить, какой программный модуль обработки протоколов должен обработать это кадр. Главные преимущества самоидентифицирующихся кадров заключаются в том, что они позволяют одновременно использовать несколько протоколов на одной машине и в том, что они позволяют нескольким протоколам смешиваться при работе в одной физической сети. Например, кто-то может иметь прикладную программу, использующую Интернетовские протоколы, а кто-то использовать локальный экспериментальный протокол. Операционная система будет определять, кому послать приходящие пакеты, основываясь на значении поля типа кадра.

                   адрес           адрес            тип

преамбула получателя отправителя кадра    данные                ЦКС  

 --------------------------------------------------------------------------

| 64 бита |  48 бит  |   48 бит  |16 бит|368-12000 бит| 32 бита|

 --------------------------------------------------------------------------

9. СЕТЕВЫЕ АНАЛИЗАТОРЫ И СНИФФЕРЫ. КАК РАБОТАЮТ. МЕРЫ ЗАЩИТЫ.

   Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам сети одного сегмента. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако если какая-то машина в сети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной сети информация о паролях передается в виде простого текста, но для хакера не сложно перевести одну из машин подсети в promiscuous режим (предварительно получив на ней права root'a) и, вытягивая и анализируя пакеты, проходящие по сети, получить пароли к большинству компьютеров сети.

   Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode (смешанный режим), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен.

Заметим, что сетевые анализаторы, перехватывая трафик могут также осуществлять и сборку пакетов. При этом передаваемая конфиденциальная инфомация может попасть к злоумышленнику полностью и не искаженной.  

Методы предотвращения перехвата информации

1) Построение сети на маршрутизаторах и коммутаторах.

2) Метод, который не позволит начинающим хакерам запустить sniffer : перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF (Packet Filter support).

3) Полная шифровка трафика

4) Использования системы KERBEROS для создания защищенного соединения.  Так в Win2003 реализована служба KERBEROS v5. Она позволяет не только шифровать трафик, но поддерживает аутентификацию хостов, сертифицирование, делегирование прав и установку доверительных отношений между доменами. Все это снижает возможность перехвата.

5) Реализации защищенных протоколов SSH и SSL для сеансов TCP соединений

6) Технологии одноразовых паролей SKEY.

Есть широковещательная рассылка защита вилланы

Базовые принципы сетевого взаимодействия. Модель OSI

Для организации обмена данными между компьютерами сетевое программное обеспечение должно иметь широкий набор функций, таких как, например, перенаправление ввода/вывода, межпроцессные коммуникации и т.п. Для того, чтобы уменьшить сложность разработки сетей, эти функции организованы в несколько групп, находящихся на различных уровнях. Каждый уровень предоставляет сервис вышележащему уровню и использует сервис, предоставляемый нижележащим уровнем (рис. 2.1).

Многоуровневая архитектура сетевого взаимодействия

Рис. 2.1

Одноимённые уровни на различных компьютерах сообщаются с использованием определённых протоколов. Например, уровень 2 на одном компьютере общается с уровнем 2 на другом компьютере.

Протокол – совокупность правил и соглашений, используемых при взаимодействии между одноимёнными уровнями (рис 2.2) взаимодействующих систем.

Взаимодействие с использованием протоколов

Рис. 2.2

Каждый уровень взаимодействует с одноимённым уровнем на другом компьютере, но данные не перемещаются между уровнями напрямую. Вместо этого данные передаются на смежный нижележащий уровень до тех пор, пока не достигнут самого низкого уровня, откуда они передаются в сетевую среду.

На принимающем компьютере данные также передаются от уровня к уровню, только снизу вверх. Правила взаимодействия между смежными уровнями называются интерфейсом.

Для успешного обмена данными между различными компьютерными системами разработана модель взаимодействия открытых систем (Open Systems Interconnection - OSI), в которой средства сетевого взаимодействия делятся на семь уровней, для которых определены стандартные названия и функции.


 

А также другие работы, которые могут Вас заинтересовать

48413. Регіональна економіка 328.3 KB
  Міжгалузеві господарські комплекси та регіональні особливості їх розвитку і розміщення Паливноенергетичний комплекс: регіональні особливості розвитку і розміщення 75 ЛЕКЦІЯ 6. Міжгалузеві господарські комплекси та регіональні особливості їх розвитку і розміщення Хімічний комплекс: регіональні особливості розвитку і розміщення 93 ЛЕКЦІЯ 7. Економіка регіонів України: стан та перспективи розвитку 128 ЛЕКЦІЯ 9.030509 ОА 1 2 4 144 52 20 32 – 90 36 – екзамен – – Мета: формування знань щодо теоретичних і практичних засад територіальної...
48414. Базові поняття Системного програмування та СПЗ 924.9 KB
  Системні програмні засоби виконують такі завдання як передача даних з пам’яті довільного доступу на диск або відтворення тексту на дисплеї. Через ці обмеження часто використовуються моніторинг та реєстрація даних; операційні системи мають бути забезпечені дуже якісними підсистемами реєстрації даних. Базові відомості Поняття операційної системи напряму пов'язане з такими поняттями як: Файл іменований впорядкований набір даних на пристрої зберігання інформації; операційна система забезпечує організацію файлів в файлові системи. Файлова...
48415. Державна мова — мова професійного спілкування 652.5 KB
  Правильно використовувати різні мовні засоби відповідно до комунікативних намірів; влучно висловлювати думки для успішного розв’язання проблем і завдань у професійній діяльності; сприймати, відтворювати, редагувати тексти офіційно-ділового й наукового стилів; скорочувати та створювати наукові тексти професійного спрямування, складати план, конспект, реферат тощо, робити необхідні нотатки, виписки відповідно до поставленої мети
48416. Лінійне програмування 112.29 KB
  При дослідженні різноманітних економічних процесів і явищ виникають задачі знаходження таких управлінських рішень які б давали змогу оптимізувати хід процесу явищ. До задач лінійного програмування належать ті задачі в яких функція мети лінійно залежить від керованих параметрів а також співвідношення між керованими і некерованими параметрами мають лінійний вигляд. Обмеження на сировину і її витрати на виготовлення 1 плити кожного виду а також прибуток від реалізації 1 плити задані в таблиці: Тип сировини Витрати на 1 плиту Запаси сировини...
48417. Лекції з історії світової та вітчизняної культури 4.76 MB
  ЗМІСТ ПЕРЕДМОВА ФІЛОСОФСЬКО-ТЕОРЕТИЧНІ ОСНОВИ ІСТОРІЇ КУЛЬТУРИ Поняття культури ПОНЯТТЯ СВГГОВОЇТА НАЦІОНАЛЬНОЇ КУЛЬТУРИ КУЛЬТУРА І СУЧАСНА ЦИВІЛІЗАЦІЯ Регіональна типологія світової культури
48418. Кримінально-процесуальне право України 837.42 KB
  Для захисту особи, суспільства і держави від кримінальних правопорушень, забезпечення того, щоб кожний, хто вчинив кримінальне правопорушення, був притягнутий до відповідальності в міру своєї вини, жоден невинуватий не був обвинувачений або засуджений, необхідно встановити фактичні обставини кримінального правопорушення, винуватість особи у його вчиненні та інші обставини
48419. Лекції з курсу програмування 233.39 KB
  Мови програмування Pscl Bsic Сі. 3 Алгоритмічною мовою або мовою програмування. Алгоритмічною мовою Мовою програмування Turbo Bsic алг Площа progrm squre; дійсн а b S...
48420. Слідчі дії та кримінальне судочинство 207.37 KB
  Підстави проведення негласних слідчих розшукових дій. Засоби що використовуються під час проведення негласних розшукових дій Лекція 3. Негласні слідчі розшукові дії законодавець визначив як різновид слідчих розшукових дій відомості про факт та методи проведення яких не підлягають розголошенню за винятком випадків передбачених Кримінальним процесуальним кодексом України ч. В зв’язку з цим авторським колективом Національної академії внутрішніх справ підготовлено курс лекцій за актуальними питаннями організації та тактики проведення...
48421. ТЕОРІЯ ТЕКСТУ 191.71 KB
  ТЕОРІЯ ТЕКСТУ Ознаки тексту. Функції тексту. Функції журналістського тексту.