УДК 004.056

Сниффинг пакетов и обнаружение сниффера в сети

Шашин Михаил Антонович – студент Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч‑Бруевича.

Аннотация: Сниффинг пакетов – это процесс мониторинга и перехвата всех пакетов данных, проходящих через заданную сеть, с помощью программного приложения или аппаратного устройства. Снифферы могут использоваться для мониторинга всех видов трафика, как защищенного, так и незащищенного. Используя снифферы, злоумышленник может получить информацию, которая может быть полезна для дальнейших атак. В данной статье рассматриваются основы работы сниффера пакетов, сетевые протоколы, уязвимые для сниффера, различное программное обеспечение, которое может быть использовано для сниффера. Также описываются возможные методы защиты от атак сниффера. Наконец, в конце статьи описываются некоторые методы обнаружения снифферов. Снифферы не являются инструментами взлома, но они могут помочь хакеру в проведении дальнейших атак, таких как перехват сеанса, DOS-атаки, MITM-атаки и т.д.

Ключевые слова: сниффер, анализ трафика, MITM-атака, мониторинг сетевого трафика.

Введение

Сниффер – это программа или устройство, которое подслушивает сетевой трафик, перехватывая информацию, проходящую по сети. По сути, снифферы представляют собой технологию "перехвата данных". Они работают потому, что Ethernet построен по принципу совместного использования. Большинство сетей используют широковещательную технологию, при которой сообщения для одного компьютера могут быть прочитаны другим компьютером в этой сети. На практике все остальные компьютеры, кроме того, которому предназначено сообщение, будут его игнорировать. Однако можно заставить компьютеры принимать сообщения, даже если они не предназначены для них. Это делается с помощью сниффера.

Используя сниффинг, злоумышленник может перехватить такие пакеты, как Syslog-трафик, DNS-трафик, веб-трафик, Email и другие типы трафика данных. Перехватывая эти пакеты, злоумышленник может раскрыть такую информацию, как данные, имя пользователя и пароли от таких протоколов, как HTTP, POP, IMAP, SMTP, FTP и Telnet. Процесс сниффинга осуществляется с использованием портов Promiscuous. В данной статье рассматриваются основные принципы работы пакетного сниффера, протоколы, уязвимые для сниффинга, различные типы инструментов, используемых для сниффинга, методы защиты от сниффинг- атак и методы обнаружения сниффинга.

В процессе сниффинга злоумышленник подключается к целевой сети для перехвата пакетов. Используя снифферы, которые переводят сетевую карту (NIC) атакующей системы в режим promiscuous, злоумышленник перехватывает пакет. Перехватив пакет, злоумышленник может расшифровать его для извлечения информации. Снифферы могут использоваться для взлома системы или сети.

Протоколы, уязвимые для сниффинг

Следующие сетевые протоколы уязвимы для сниффинга. Основной причиной взлома этих протоколов является получение конфиденциальных данных, например паролей.

Telnet и Rlogin

Telnet – это протокол, используемый для связи с удаленным хостом (через порт 23) в сети с помощью терминала командной строки. Rlogin позволяет злоумышленнику удаленно войти в сетевую машину через TCP-соединение. Оба протокола не обеспечивают шифрования. Поэтому данные, проходящие между клиентами, подключенными по любому из этих протоколов, находятся в открытом виде и уязвимы для перехвата. Злоумышленники могут перехватывать нажатия клавиш, включая имена пользователей и пароли.

HTTP

Из-за уязвимостей в стандартной версии HTTP сайты, использующие HTTP, передают пользовательские данные по сети в виде открытого текста, который злоумышленники могут прочитать и похитить учетные данные пользователя.

SNMP

SNMP – это протокол на базе TCP/IP, используемый для обмена управляющей информацией между устройствами, подключенными к сети. Первая версия SNMP (SNMPv1) не обеспечивает надежной защиты, что приводит к передаче данных в открытом текстовом формате. Злоумышленники используют уязвимости этой версии для получения паролей в открытом виде.

NNTP

Network News Transfer Protocol (NNTP) распространяет, запрашивает, извлекает и размещает новостные статьи, используя надежную потоковую передачу новостей среди сообщества ARPA-Internet. В протоколе отсутствует шифрование данных, что дает злоумышленнику возможность перехватить конфиденциальную информацию.

POP

Протокол Post Office Protocol (POP) позволяет рабочей станции пользователя получать доступ к почте с сервера почтовых ящиков. Пользователь может отправлять почту с рабочей станции на почтовый сервер по протоколу Simple Mail Transfer Protocol (SMTP). Из-за слабой защиты протокола злоумышленники могут легко перехватывать данные, проходящие по сети POP в виде открытого текста.

FTP

Протокол передачи файлов (FTP) позволяет клиентам обмениваться файлами между компьютерами в сети. Этот протокол не обеспечивает шифрования. Поэтому злоумышленники перехватывают данные, а также учетные данные пользователей, используя такие инструменты, как Cain&Abel.

IMAP

Протокол Internet Message Access Protocol (IMAP) позволяет клиенту получать доступ к электронным почтовым сообщениям на сервере и манипулировать ими. Этот протокол не обладает достаточной степенью защиты, что позволяет злоумышленникам получать данные и учетные данные пользователей открытым текстом.

Защита от сниффинга

В этом разделе описаны контрмеры и возможные методы защиты, которые могут быть использованы для защиты целевой сети от атак типа sniffing. Ниже перечислены некоторые контрмеры, которые можно использовать для защиты от сниффинга.

  • Ограничьте физический доступ к сетевым носителям, чтобы исключить возможность установки пакетного сниффера.
  • Для защиты конфиденциальной информации используйте сквозное шифрование. Постоянно добавлять MAC-адрес шлюза в ARP-кэш.
  • Отключите широковещательную передачу идентификации сети и, по возможности, ограничьте доступ к сети авторизованным пользователям, чтобы защитить сеть от обнаружения средствами сниффинга.
  • Использование протокола IPv6 вместо протокола IPv4
  • Для защиты пользователей беспроводной сети от атак сниффинга используйте зашифрованные сеансы, например SSH вместо Telnet, SecureCopy (SCP) вместо FTP, SSL для подключения к электронной почте и т.д.
  • Для защиты имен пользователей и паролей используйте HTTPS вместо HTTP.
  • Используйте коммутатор вместо концентратора, поскольку коммутатор доставляет данные только тому, кому они предназначены.
  • Для безопасной передачи файлов используйте протокол Secure File Transfer Protocol (SFTP) вместо FTP.
  • Используйте PGP и S/MIME, VPN, IPSec, SSL/TLS, SecureShell (SSH) и одноразовые пароли (OTP).
  • Всегда шифруйте беспроводной трафик с помощью надежного протокола шифрования, например WPA и WPA2.
  • Получение MAC-адреса непосредственно из сетевой карты, а не из ОС; это предотвращает подмену MAC-адреса.
  • Используйте концепцию ACL (Access Control List) для разрешения доступа только к фиксированному диапазону доверенных IP-адресов в сети.
  • Избегайте широковещательной рассылки SSID (Session Set Identifier).
  • Реализуйте на маршрутизаторе механизм фильтрации MAC-адресов.

Методы обнаружения снифферов

Обнаружить сниффер в сети непросто, поскольку он перехватывает и работает только в режиме promiscuous. Промискуитетный режим позволяет сетевому устройству перехватывать и читать каждый поступающий в сеть пакет целиком. Сниффер не оставляет следов, поскольку не передает данные. Чтобы найти снифферы, проверьте системы, работающие в режиме promiscuous mode, который позволяет сетевой карте пропускать все пакеты (трафик) без проверки адреса назначения. Автономные снифферы трудно обнаружить, поскольку они не передают трафик данных. Обнаружить нештатные снифферы можно с помощью метода обратного DNS-поиска. Существует множество инструментов, таких как Nmap, которые можно использовать для обнаружения promiscuous mode. Запустите IDS и обратите внимание, изменился ли MAC-адрес определенных машин (пример: MAC-адрес маршрутизатора). IDS может обнаружить действия по сниффингу в сети. Она уведомляет или предупреждает администратора о подозрительных действиях, таких как сниффинг или подмена MAC-адресов. Сетевые инструменты, такие как Capsa Network Analyzer, отслеживают сеть на предмет странных пакетов, например пакетов с поддельными адресами. Этот инструмент позволяет собирать, консолидировать, централизовать и анализировать данные о трафике различных сетевых ресурсов и технологий.

Ниже перечислены методы обнаружения сниффинга.

Обнаружение при помощи Ping

Для обнаружения сниффера в сети необходимо определить систему в сети, работающую в режиме promiscuous. Метод ping позволяет обнаружить систему, работающую в режиме promiscuous, что, в свою очередь, помогает обнаружить установленные в сети снифферы.

Просто отправьте на подозреваемую машину запрос ping с указанием ее IP-адреса и неправильного MAC-адреса. Адаптер отклонит его, так как MAC-адрес не совпадает, а подозреваемая машина, на которой работает сниффер, ответит на него, так как не отклоняет пакеты с другим MAC-адресом. Таким образом, этот ответ позволит идентифицировать сниффер в сети.

Обнаружение при помощи DNS

Обратный поиск DNS является противоположностью метода поиска DNS. Снифферы, использующие обратный поиск DNS, увеличивают сетевой трафик. Такое увеличение сетевого трафика может свидетельствовать о наличии в сети сниффера.

Пользователи могут выполнять обратный поиск DNS удаленно или локально. Мониторинг DNS- сервера организации для выявления входящих обратных DNS-поисков. Метод отправки ICMP- запросов на несуществующий IP-адрес также позволяет отслеживать обратный поиск DNS. Компьютер, выполняющий обратный поиск DNS, будет отвечать на запрос ping, что позволит определить, что на нем установлен сниффер.

Обнаружение при помощи ARP

Эта техника посылает нешироковещательный ARP всем узлам сети. Узел, работающий в сети в режиме promiscuous, кэширует локальный ARP-адрес. Затем он передаст в сеть сообщение ping с локальным IP-адресом, но другим MAC-адресом. В этом случае на ваш широковещательный запрос ping сможет ответить только тот узел, который имеет MAC-адрес (кэшированный ранее). Машина в режиме promiscuous отвечает на ping-сообщение, так как имеет в своем кэше корректную информацию об узле, посылающем ping-запрос; остальные машины посылают ARP-зонд для определения источника ping-запроса. Это позволит обнаружить узел, на котором работает сниффер.

Список литературы

  1. Казанцев А. А. и др. Создание и управление Security Operations Center для эффективного применения в реальных условиях // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). – 2019. – С. 590-595.
  2. Сахаров Д. В. и др. Использование математических методов прогнозирования для оценки нагрузки на вычислительную мощность IOT-сети // Научно-аналитический журнал «Вестник Санкт-Петербургского университета Государственной противопожарной службы МЧС России». – 2020. – №. 2. – С. 86-94.
  3. Гельфанд А. М., Гвоздев Ю. В., Штеренберг С. И. Исследования недостатков языков высокоуровнего программирования для осуществления скрытого вложения в исполнимые файлы // Актуальные проблемы инфотелекоммуникаций в науке и образовании. – 2015. – С. 295-297.
  4. Шемякин С. Н. и др. Теоретическая оценка использования математических методов прогнозирования загрузки виртуальной инфраструктуры // Наукоемкие технологии в космических исследованиях Земли. – 2021. – Т. 13. – №. 4. – С. 66-75.
  5. Гельфанд А. М. и др. Интернет вещей (IoT): угрозы безопасности и конфиденциальности // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 215-220.

Интересная статья? Поделись ей с другими: