33643

Сетевые анализаторы и снифферы

Доклад

Информатика, кибернетика и программирование

Главный недостаток технологии Ethernet незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов подключенных к сети непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию адресованную своим соседям. В общем смысле слово сниффер обозначает устройство подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным жучкам записывающим телефонные разговоры. В то же время сниффером программа запущенная на подключенном к сети узле и...

Русский

2013-09-06

63 KB

103 чел.

7. Сетевые анализаторы и "снифферы"

Физический уровень определяет электрические, функциональные и другие параметры физической связи.

Канальный уровень обеспечивает надежную передачу данных через физический канал.

Конкретные реализации функций канального и физического уровней зависят от сетевой технологии.

В настоящее время самой распространённой сетевой технологией является Ethernet (около 80% сетей). Все популярные операционные системы и стеки протоколов поддерживают Ethernet.

Главный недостаток технологии Ethernet - незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов, подключенных к сети, непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию, адресованную своим соседям. Данная уязвимость делает возможным проведение атак, использующих механизм «пассивного прослушивания» Средства для проведения таких атак - это анализаторы протоколов или снифферы.

В общем смысле, слово сниффер" обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным "жучкам", записывающим телефонные разговоры. В то же время «сниффером» - программа, запущенная на подключенном к сети узле и просматривающая весь трафик сетевого сегмента.

Работа "сниффера" использует основной принцип технологии Ethernet - общую среду передачи, то есть любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах:

- селективном (non-promiscuous). Принимаются только сообщения предназначенные только данному узлу. Фильтрация осуществляется на основе MAC-адреса фрейма.

- неселективном (promiscuous). Фильтрация не осуществляется, и узел принимает все фреймы, передаваемые по сегменту.

«Снифферы» переводят сетевой адаптер в неселективный режим и собирают весь трафик сети для последующего анализа. Собранный трафик сегмента может быть отображен на экране, записан в файл и т. п. Так как обмен информации происходит обычно в двоичном формате, в обязанности "сниффера" обычно входит расшифровка (декодирование) и вывод информации в удобном (читаемом) виде.

Тот же принцип пассивного прослушивания трафика лежит в основе работы средств обнаружения атак.

С помощью анализатора протоколов перехват информации в случае нахождения злоумышленника в другом сегменте осуществить невозможно, однако для этого используются другие методы, позволяющие перенаправить трафик из другого сегмента на узел нарушителя и реализующие атаки типа «создание ложного объекта-посредника» на сетевом и транспортном уровнях модели OSI

В сети Internet можно найти множество анализаторов протоколов для различных операционных систем. Для операционных систем семейства Windows одним из лучших является анализатор протоколов "SnifferPro" компании Network Associate. Кроме огромного количества функций по перехвату пакетов, он поддерживает и возможность генерации пакетов.

Анализатор протоколов Network Monitor входит в состав операционной системы Windows NT Server 4.0. Однако он позволяет просматривать не весь трафик, а только его часть, относящуюся к узлу, на котором он установлен. Полнофункциональная версия Network Monitor входит в состав System Management Server и обладает всеми возможностями классических анализаторов протоколов.

Можно отметить также анализатор протоколов Lan Explorer компании Intellimax.

Так как сниффер - это пассивное устройство, обнаружить его достаточно сложно. Обычно присутствие сниффера можно обнаружить по каким-либо косвенным признакам, свойственным конкретному снифферу или по неселективному режиму работы сетевой карты на узле.

Меры защиты от снифферов следуют из принципа их работы и цели атак:

1. Шифрование информации.

2. Построение сетей на основе интеллектуальных коммутаторов (switches).

3. Использование сетевых адаптеров, не поддерживающих неселективный режим.

4. Обнаружение несанкционированно используемых на компьютерах анализаторов протоколов.

ПЕРЕДАЧА ДАННЫХ ПО СЕТИ. ТЕХНОЛОГИЯ ETHERNET. КАДР. ПОДУРОВНИ.

Передача данных по физическому каналу, обеспечивает надежность.

Основные функции(задачи):

- проверка доступности среды передачи

- реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в фреймы(кадры), обеспечивается корректность передачи каждого кадра, помещая специальную последовательность бит в начало и в конец каждого кадра, чтобы отметить его, а также вычисляет контрольную сумму.

- управляет параметрами связи (скорость, метод передачи, повтор).

В протоколах канального уровня, используемых в локальных сетях, заложена структура связей и способы их адресации только для сетей с определенной топологией. Протоколами канального уровня является и Ethernet.

Выделяют два подуровня(802,3IЕЕЕ):

- LLC(Logical Link Control) – управление логическим каналом. Выполняет передачу данных между станциями, отвечает за исправление ошибок.

- MAC(Medium Access Control) -  управление доступом к среде. Осуществляет управление доступом к передающей среде, реализует адресацию станций.

MAC адрес содержит  48 бит:

---------------------------------------------------------------------------------

|тип адреса – 2бита | код фирмы – 22 бита | код сетевого адаптера - 24 бита |

---------------------------------------------------------------------------------

Определяется 3 типа:

00 – индивидуальный адрес

01 – групповой

11 – широковещательный

По соглашению широковещательный адрес зарезервирован для одновременной посылки всем станциям. Групповые адреса обеспечивают ограниченную форму широковещания, при которой группа компьютеров в сети согласна отвечать на групповой адрес. Каждый компьютер в такой группе может получать сообщения одновременно с другими компьютерами этой группы, при этом остальные машины в сети ничего не получают.

Ethernet можно представлять как соединение канального уровня между машинами. Поэтому имеет смысл рассматривать передаваемые данные как кадры(фреймы. Кадры Ethernet’а имеют переменную длину в пределах от 64 октетов(октетом называется блок из 8 бит, чаще называемый байтом) до 1518 октетов (заголовок, данные, ЦКС). Как и во всех сетях с коммутацией пакетов, кадр должен идентифицироваться свое назначение.

Помимо идентификации отправителя и получателя, каждый кадр, , содержит преамбулу, поле типа, поле данных и циклическую контрольную сумму(CRC) или ЦКС. Преамбула состоит из 64 битовой последовательности 1 и 0 и служит для облегчения синхронизации при приеме. 32-битовая ЦКС помогает интерфейсу обнаружить ошибки передачи: отправитель вычисляет ЦКС как функцию от данных, передаваемых в кадре, а получатель заново вычисляет ЦКС для того, чтобы быть уверенным в том, что пакет принят без ошибок.

Поле типа кадра содержит 16-битовое целое число, которое идентифицирует тип данных, передаваемых в кадре. С точки зрения Интернета поле типа кадра очень важно, так как это означает, что кадры Ethernetа являются самоидентифицирующимися. Когда кадр приходит на данную машину, операционная система использует тип кадра, чтобы определить, какой программный модуль обработки протоколов должен обработать это кадр. Главные преимущества самоидентифицирующихся кадров заключаются в том, что они позволяют одновременно использовать несколько протоколов на одной машине и в том, что они позволяют нескольким протоколам смешиваться при работе в одной физической сети. Например, кто-то может иметь прикладную программу, использующую Интернетовские протоколы, а кто-то использовать локальный экспериментальный протокол. Операционная система будет определять, кому послать приходящие пакеты, основываясь на значении поля типа кадра.

                   адрес           адрес            тип

преамбула получателя отправителя кадра    данные                ЦКС  

 --------------------------------------------------------------------------

| 64 бита |  48 бит  |   48 бит  |16 бит|368-12000 бит| 32 бита|

 --------------------------------------------------------------------------

9. СЕТЕВЫЕ АНАЛИЗАТОРЫ И СНИФФЕРЫ. КАК РАБОТАЮТ. МЕРЫ ЗАЩИТЫ.

   Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам сети одного сегмента. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако если какая-то машина в сети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной сети информация о паролях передается в виде простого текста, но для хакера не сложно перевести одну из машин подсети в promiscuous режим (предварительно получив на ней права root'a) и, вытягивая и анализируя пакеты, проходящие по сети, получить пароли к большинству компьютеров сети.

   Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode (смешанный режим), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен.

Заметим, что сетевые анализаторы, перехватывая трафик могут также осуществлять и сборку пакетов. При этом передаваемая конфиденциальная инфомация может попасть к злоумышленнику полностью и не искаженной.  

Методы предотвращения перехвата информации

1) Построение сети на маршрутизаторах и коммутаторах.

2) Метод, который не позволит начинающим хакерам запустить sniffer : перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF (Packet Filter support).

3) Полная шифровка трафика

4) Использования системы KERBEROS для создания защищенного соединения.  Так в Win2003 реализована служба KERBEROS v5. Она позволяет не только шифровать трафик, но поддерживает аутентификацию хостов, сертифицирование, делегирование прав и установку доверительных отношений между доменами. Все это снижает возможность перехвата.

5) Реализации защищенных протоколов SSH и SSL для сеансов TCP соединений

6) Технологии одноразовых паролей SKEY.

Есть широковещательная рассылка защита вилланы

Базовые принципы сетевого взаимодействия. Модель OSI

Для организации обмена данными между компьютерами сетевое программное обеспечение должно иметь широкий набор функций, таких как, например, перенаправление ввода/вывода, межпроцессные коммуникации и т.п. Для того, чтобы уменьшить сложность разработки сетей, эти функции организованы в несколько групп, находящихся на различных уровнях. Каждый уровень предоставляет сервис вышележащему уровню и использует сервис, предоставляемый нижележащим уровнем (рис. 2.1).

Многоуровневая архитектура сетевого взаимодействия

Рис. 2.1

Одноимённые уровни на различных компьютерах сообщаются с использованием определённых протоколов. Например, уровень 2 на одном компьютере общается с уровнем 2 на другом компьютере.

Протокол – совокупность правил и соглашений, используемых при взаимодействии между одноимёнными уровнями (рис 2.2) взаимодействующих систем.

Взаимодействие с использованием протоколов

Рис. 2.2

Каждый уровень взаимодействует с одноимённым уровнем на другом компьютере, но данные не перемещаются между уровнями напрямую. Вместо этого данные передаются на смежный нижележащий уровень до тех пор, пока не достигнут самого низкого уровня, откуда они передаются в сетевую среду.

На принимающем компьютере данные также передаются от уровня к уровню, только снизу вверх. Правила взаимодействия между смежными уровнями называются интерфейсом.

Для успешного обмена данными между различными компьютерными системами разработана модель взаимодействия открытых систем (Open Systems Interconnection - OSI), в которой средства сетевого взаимодействия делятся на семь уровней, для которых определены стандартные названия и функции.


 

А также другие работы, которые могут Вас заинтересовать

35913. Экология как наука 73.5 KB
  Все живые и неживые объекты окружающие растения животные и другие организмы непосредственно взаимодействующие с ними называются средой обитания. Световой режим оказывает прямое влияние в первую очередь на растения. По отношению к освещенности выделяют следующие экологические группы растений: – гелиофиты – светолюбивые растения растения открытых пространств постоянно хорошо освещаемых местообитаний. – сциофиты – тенелюбивые растения которые плохо переносят интенсивное освещение растения нижних ярусов тенистых лесов.
35914. Государственное регулирование экономики: сущность, средства, объекты. Институционализм 75.5 KB
  Какие же проблемы не может решить рынок 1. А поскольку сегодня практически во всех странах мира преобладает рынок несовершенной конкуренции то регулирующая роль государства значительно возрастает. Оно должно обеспечивать условия для эффективного развития производства; перераспределять доходы хозяйствующих субъектов и населения в целом; оказывать поддержку малообеспеченным; регулировать рынок рабочей силы; смягчать цикличность развития экономики; проводить антиинфляционную и антикризисную политику; способствовать развитию конкуренции...
35915. Советский плакат 71.12 KB
  Политический плакат Основная статья: Советский плакат Виды искусства способные жить на улицах в первые годы после революции играли важнейшую роль в формировании общественного и эстетического сознания революционного народа. Он оказался самым мобильным и оперативным видом искусства[4]. В его плакатах заметна символикоаллегорическая тенденция советского искусства той поры.
35917. Тепловые эффекты растворения веществ 68.5 KB
  Определение энтальпии растворения соли кислоты или основания. Получить у преподавателя соль энтальпию растворения которой нужно определить при определении энтальпии растворения кислоты или основания необходимо соблюдать технику безопасности. Для определения энтальпии растворения соли используется калориметр схема которого показана на рисунке.
35918. Строение и метаболизм клеток животных. Строение и функции митохондрий. Клеточное дыхание 68 KB
  Ещё особенность внй мембраны очень высе содержание белков до 70 по весу предсх транспми белками ферментами дых цепи а также крупными АТФсинтетазными комплексами. Внуя мембрана в отличие от внешней не имеет спецх отверстий для транспорта мелких молекул и ионов; на ней на стороне обращенной к матриксу распся особые молекулы АТФсинтазы состоящие из головки ножки и основания. При прохождении через них протонов происходит синтез АТФ. Синтез АТФ унивей формы химй энергии в любой живой клетке.
35919. Основы экономики 65.8 KB
  Понятие и формы собственности. Владение – возможность определять судьбу объекта собственности продать подарить передать по наследству Распоряжение – управление объектом собственности с целью эффективного его использования можно сдать в аренду в пользование Пользование извлечение полезных свойств объекта собственности.лицу Формы собственности различаются в зависимости от того кто является собственником и осуществляет присвоение. В ГК РФ есть 4 формы собственности: 1.
35921. Функциональная стилистика 65.5 KB
  возникает много споров Функциональный стиль – разновидность литературного стиля предназначенный для функционирования в определенной сфере человеческой деятельности; общественно осознанная объединенная определена функциональным назначением в общ. Стиль художественной речи 2. Публицистический стиль 3. Научный стиль 5.