33643

Сетевые анализаторы и снифферы

Доклад

Информатика, кибернетика и программирование

Главный недостаток технологии Ethernet незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов подключенных к сети непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию адресованную своим соседям. В общем смысле слово сниффер обозначает устройство подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным жучкам записывающим телефонные разговоры. В то же время сниффером программа запущенная на подключенном к сети узле и...

Русский

2013-09-06

63 KB

107 чел.

7. Сетевые анализаторы и "снифферы"

Физический уровень определяет электрические, функциональные и другие параметры физической связи.

Канальный уровень обеспечивает надежную передачу данных через физический канал.

Конкретные реализации функций канального и физического уровней зависят от сетевой технологии.

В настоящее время самой распространённой сетевой технологией является Ethernet (около 80% сетей). Все популярные операционные системы и стеки протоколов поддерживают Ethernet.

Главный недостаток технологии Ethernet - незащищенность передаваемой информации Метод доступа положенный в основу этой технологии требует от узлов, подключенных к сети, непрерывного прослушивания всего трафика. Узлы такой сети могут перехватывать информацию, адресованную своим соседям. Данная уязвимость делает возможным проведение атак, использующих механизм «пассивного прослушивания» Средства для проведения таких атак - это анализаторы протоколов или снифферы.

В общем смысле, слово сниффер" обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным "жучкам", записывающим телефонные разговоры. В то же время «сниффером» - программа, запущенная на подключенном к сети узле и просматривающая весь трафик сетевого сегмента.

Работа "сниффера" использует основной принцип технологии Ethernet - общую среду передачи, то есть любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах:

- селективном (non-promiscuous). Принимаются только сообщения предназначенные только данному узлу. Фильтрация осуществляется на основе MAC-адреса фрейма.

- неселективном (promiscuous). Фильтрация не осуществляется, и узел принимает все фреймы, передаваемые по сегменту.

«Снифферы» переводят сетевой адаптер в неселективный режим и собирают весь трафик сети для последующего анализа. Собранный трафик сегмента может быть отображен на экране, записан в файл и т. п. Так как обмен информации происходит обычно в двоичном формате, в обязанности "сниффера" обычно входит расшифровка (декодирование) и вывод информации в удобном (читаемом) виде.

Тот же принцип пассивного прослушивания трафика лежит в основе работы средств обнаружения атак.

С помощью анализатора протоколов перехват информации в случае нахождения злоумышленника в другом сегменте осуществить невозможно, однако для этого используются другие методы, позволяющие перенаправить трафик из другого сегмента на узел нарушителя и реализующие атаки типа «создание ложного объекта-посредника» на сетевом и транспортном уровнях модели OSI

В сети Internet можно найти множество анализаторов протоколов для различных операционных систем. Для операционных систем семейства Windows одним из лучших является анализатор протоколов "SnifferPro" компании Network Associate. Кроме огромного количества функций по перехвату пакетов, он поддерживает и возможность генерации пакетов.

Анализатор протоколов Network Monitor входит в состав операционной системы Windows NT Server 4.0. Однако он позволяет просматривать не весь трафик, а только его часть, относящуюся к узлу, на котором он установлен. Полнофункциональная версия Network Monitor входит в состав System Management Server и обладает всеми возможностями классических анализаторов протоколов.

Можно отметить также анализатор протоколов Lan Explorer компании Intellimax.

Так как сниффер - это пассивное устройство, обнаружить его достаточно сложно. Обычно присутствие сниффера можно обнаружить по каким-либо косвенным признакам, свойственным конкретному снифферу или по неселективному режиму работы сетевой карты на узле.

Меры защиты от снифферов следуют из принципа их работы и цели атак:

1. Шифрование информации.

2. Построение сетей на основе интеллектуальных коммутаторов (switches).

3. Использование сетевых адаптеров, не поддерживающих неселективный режим.

4. Обнаружение несанкционированно используемых на компьютерах анализаторов протоколов.

ПЕРЕДАЧА ДАННЫХ ПО СЕТИ. ТЕХНОЛОГИЯ ETHERNET. КАДР. ПОДУРОВНИ.

Передача данных по физическому каналу, обеспечивает надежность.

Основные функции(задачи):

- проверка доступности среды передачи

- реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в фреймы(кадры), обеспечивается корректность передачи каждого кадра, помещая специальную последовательность бит в начало и в конец каждого кадра, чтобы отметить его, а также вычисляет контрольную сумму.

- управляет параметрами связи (скорость, метод передачи, повтор).

В протоколах канального уровня, используемых в локальных сетях, заложена структура связей и способы их адресации только для сетей с определенной топологией. Протоколами канального уровня является и Ethernet.

Выделяют два подуровня(802,3IЕЕЕ):

- LLC(Logical Link Control) – управление логическим каналом. Выполняет передачу данных между станциями, отвечает за исправление ошибок.

- MAC(Medium Access Control) -  управление доступом к среде. Осуществляет управление доступом к передающей среде, реализует адресацию станций.

MAC адрес содержит  48 бит:

---------------------------------------------------------------------------------

|тип адреса – 2бита | код фирмы – 22 бита | код сетевого адаптера - 24 бита |

---------------------------------------------------------------------------------

Определяется 3 типа:

00 – индивидуальный адрес

01 – групповой

11 – широковещательный

По соглашению широковещательный адрес зарезервирован для одновременной посылки всем станциям. Групповые адреса обеспечивают ограниченную форму широковещания, при которой группа компьютеров в сети согласна отвечать на групповой адрес. Каждый компьютер в такой группе может получать сообщения одновременно с другими компьютерами этой группы, при этом остальные машины в сети ничего не получают.

Ethernet можно представлять как соединение канального уровня между машинами. Поэтому имеет смысл рассматривать передаваемые данные как кадры(фреймы. Кадры Ethernet’а имеют переменную длину в пределах от 64 октетов(октетом называется блок из 8 бит, чаще называемый байтом) до 1518 октетов (заголовок, данные, ЦКС). Как и во всех сетях с коммутацией пакетов, кадр должен идентифицироваться свое назначение.

Помимо идентификации отправителя и получателя, каждый кадр, , содержит преамбулу, поле типа, поле данных и циклическую контрольную сумму(CRC) или ЦКС. Преамбула состоит из 64 битовой последовательности 1 и 0 и служит для облегчения синхронизации при приеме. 32-битовая ЦКС помогает интерфейсу обнаружить ошибки передачи: отправитель вычисляет ЦКС как функцию от данных, передаваемых в кадре, а получатель заново вычисляет ЦКС для того, чтобы быть уверенным в том, что пакет принят без ошибок.

Поле типа кадра содержит 16-битовое целое число, которое идентифицирует тип данных, передаваемых в кадре. С точки зрения Интернета поле типа кадра очень важно, так как это означает, что кадры Ethernetа являются самоидентифицирующимися. Когда кадр приходит на данную машину, операционная система использует тип кадра, чтобы определить, какой программный модуль обработки протоколов должен обработать это кадр. Главные преимущества самоидентифицирующихся кадров заключаются в том, что они позволяют одновременно использовать несколько протоколов на одной машине и в том, что они позволяют нескольким протоколам смешиваться при работе в одной физической сети. Например, кто-то может иметь прикладную программу, использующую Интернетовские протоколы, а кто-то использовать локальный экспериментальный протокол. Операционная система будет определять, кому послать приходящие пакеты, основываясь на значении поля типа кадра.

                   адрес           адрес            тип

преамбула получателя отправителя кадра    данные                ЦКС  

 --------------------------------------------------------------------------

| 64 бита |  48 бит  |   48 бит  |16 бит|368-12000 бит| 32 бита|

 --------------------------------------------------------------------------

9. СЕТЕВЫЕ АНАЛИЗАТОРЫ И СНИФФЕРЫ. КАК РАБОТАЮТ. МЕРЫ ЗАЩИТЫ.

   Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам сети одного сегмента. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако если какая-то машина в сети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной сети информация о паролях передается в виде простого текста, но для хакера не сложно перевести одну из машин подсети в promiscuous режим (предварительно получив на ней права root'a) и, вытягивая и анализируя пакеты, проходящие по сети, получить пароли к большинству компьютеров сети.

   Если сниффер запускается на машине, то он переводит сетевой интерфейс в promiscuous mode (смешанный режим), при котором машина принимает все пакеты, передаваемые по сети. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединиения только с той машиной, на которой он запущен.

Заметим, что сетевые анализаторы, перехватывая трафик могут также осуществлять и сборку пакетов. При этом передаваемая конфиденциальная инфомация может попасть к злоумышленнику полностью и не искаженной.  

Методы предотвращения перехвата информации

1) Построение сети на маршрутизаторах и коммутаторах.

2) Метод, который не позволит начинающим хакерам запустить sniffer : перекомпилирование ядра систем Unix, которые стоят в сети, без поддержки BPF (Packet Filter support).

3) Полная шифровка трафика

4) Использования системы KERBEROS для создания защищенного соединения.  Так в Win2003 реализована служба KERBEROS v5. Она позволяет не только шифровать трафик, но поддерживает аутентификацию хостов, сертифицирование, делегирование прав и установку доверительных отношений между доменами. Все это снижает возможность перехвата.

5) Реализации защищенных протоколов SSH и SSL для сеансов TCP соединений

6) Технологии одноразовых паролей SKEY.

Есть широковещательная рассылка защита вилланы

Базовые принципы сетевого взаимодействия. Модель OSI

Для организации обмена данными между компьютерами сетевое программное обеспечение должно иметь широкий набор функций, таких как, например, перенаправление ввода/вывода, межпроцессные коммуникации и т.п. Для того, чтобы уменьшить сложность разработки сетей, эти функции организованы в несколько групп, находящихся на различных уровнях. Каждый уровень предоставляет сервис вышележащему уровню и использует сервис, предоставляемый нижележащим уровнем (рис. 2.1).

Многоуровневая архитектура сетевого взаимодействия

Рис. 2.1

Одноимённые уровни на различных компьютерах сообщаются с использованием определённых протоколов. Например, уровень 2 на одном компьютере общается с уровнем 2 на другом компьютере.

Протокол – совокупность правил и соглашений, используемых при взаимодействии между одноимёнными уровнями (рис 2.2) взаимодействующих систем.

Взаимодействие с использованием протоколов

Рис. 2.2

Каждый уровень взаимодействует с одноимённым уровнем на другом компьютере, но данные не перемещаются между уровнями напрямую. Вместо этого данные передаются на смежный нижележащий уровень до тех пор, пока не достигнут самого низкого уровня, откуда они передаются в сетевую среду.

На принимающем компьютере данные также передаются от уровня к уровню, только снизу вверх. Правила взаимодействия между смежными уровнями называются интерфейсом.

Для успешного обмена данными между различными компьютерными системами разработана модель взаимодействия открытых систем (Open Systems Interconnection - OSI), в которой средства сетевого взаимодействия делятся на семь уровней, для которых определены стандартные названия и функции.


 

А также другие работы, которые могут Вас заинтересовать

83813. Анализ действующей налоговой системы, современного налогового законодательства и направления налоговой реформы 40.05 KB
  Основные направления налоговой политики принимаются ежегодно Основные направления бюджетной политики на 2015 год и на плановый период 2016 и 2017 годов принимаются и рассматриваются одновременно с проектом закона о федеральном бюджете на текущий период 3 года и утверждаются на заседании правительства РФ. Политики: Поддержка инвестиций Развитие человеческого капитала Повышение предпринимательской активности.
83814. Правовое регулирование налога на добавленную стоимость: налогоплательщики и основные элементы налога 44.09 KB
  НДС это косвенный налог. Плательщиками НДС признаются: организации в том числе некоммерческие предприниматели Условно всех налогоплательщиков НДС можно разделить на две группы: налогоплательщики внутреннего НДС т. НДС уплачиваемого при реализации товаров работ услуг на территории РФ налогоплательщики ввозного НДС т. НДС уплачиваемого при ввозе товаров на территорию РФ Освобождение от исполнения обязанностей плательщиков НДС Организации и предприниматели у которых за 3 предшествующих последовательных календарных месяца сумма...
83815. Правовое регулирование акцизов: налогоплательщики, основные элементы налога. Обязанности взимания акциза при ввозе и вывозе подакцизных товаров Таможенного союза 47.79 KB
  Обязанности взимания акциза при ввозе и вывозе подакцизных товаров Таможенного союза. Налогоплательщики: 1 организации; 2 индивидуальные предприниматели; 3 лица признаваемые налогоплательщиками в связи с перемещением товаров через таможенную границу Таможенного союза определяемые в соответствии с таможенным законодательством Таможенного союза и законодательством Российской Федерации о таможенном деле. Объектом налогообложения признаются следующие операции: 1 реализация на территории Российской Федерации лицами произведенных ими...
83816. Правовое регулирование налога на доходы физических лиц: налогоплательщики, основные элементы налогообложения, особенности налоговых льгот 46.1 KB
  Налогоплательщиками признаются физические лица являющиеся налоговыми резидентами Российской Федерации а также физические лица получающие доходы от источников в Российской Федерации не являющиеся налоговыми резидентами Российской Федерации. Налоговыми резидентами признаются физические лица фактически находящиеся в Российской Федерации не менее 183 календарных дней в течение 12 следующих подряд месяцев. Налоговыми резидентами в 2015 году признаются физические лица фактически находящиеся в Российской Федерации на территориях Республики...
83817. Правовое регулирование налога на прибыль организаций: налогоплательщики, основные элементы налогообложения, особенности определения доходов и расходов у разных налогоплательщиков 49.15 KB
  Расходы. Группировка расходов Расходы это обоснованные и документально подтвержденные затраты предприятия. Они делятся на расходы связанные с производством и реализацией зарплата сотрудников покупная стоимость сырья и материалов амортизация основные средств и пр. и на внереализационные расходы отрицательная курсовая разница судебные и арбитражные сборы и пр.
83818. Правовое регулирование сборов за пользование объектами животного мира и за пользование объектами водных биологических ресурсов: налогоплательщики, основные элементы налога 43.06 KB
  Плательщики сбора Граждане индивидуальные предприниматели и юридические лица получающие в установленном порядке лицензию разрешение на пользование объектами животного мира на территории Российской Федерации.3 НК РФ ставки сбора устанавливаются за каждый объект животного мира отдельно. Порядок и сроки уплаты сбора Сбор необходимо уплатить за предоставление разрешения на добычу объектов животного мира охотничьих ресурсов на территории Российской Федерации. Уплата сбора за пользование объектами животного мира производится плательщиками по...
83819. Правовое регулирование водного налога: налогоплательщики, основные элементы налогообложения 39.3 KB
  Кроме того плательщиками водного налога признаются организации и индивидуальные предприниматели которые пользуются подземными водными объектами на основании лицензий по Закону РФ от 21. Налогоплательщик исчисляет сумму налога самостоятельно. Сумма налога по итогам каждого налогового периода исчисляется как произведение налоговой базы и соответствующей ей налоговой ставки.
83820. Правовое регулирование государственной пошлины: плательщики государственной пошлины; порядок и сроки уплаты; особенности уплаты 44.22 KB
  Плательщиками государственной пошлины далее в настоящей главе плательщики признаются: 1 организации; 2 физические лица. Указанные лица признаются плательщиками в случае если они: 1 обращаются за совершением юридически значимых действий предусмотренных настоящей главой; 2 выступают ответчиками в судах общей юрисдикции Верховном Суде Российской Федерации арбитражных судах или по делам рассматриваемым мировыми судьями и если при этом решение суда принято не в их пользу и истец освобожден от уплаты государственной пошлины в...
83821. Правовое регулирование налога на добычу полезных ископаемых: налогоплательщики, основные элементы налога 39.84 KB
  Объект налогообложения Являются: полезные ископаемые добытые из недр на территории РФ; полезные ископаемые извлеченные из отходов потерь добывающего производства если такое извлечение подлежит отдельному лицензированию; полезные ископаемые добытые за пределами территории РФ. Не признаются: общераспространенные полезные ископаемые и подземные воды не числящиеся на государственном балансе запасов полезных ископаемых добытые индивидуальным предпринимателем и используемые им непосредственно для личного потребления; добытые...