Oppdage nettverkssniffere

O

Oversikt

En pakkesniffer er et program eller en enhet som avlytter nettverkstrafikk og samler data fra pakker. Noen ganger utføres slike avlyttinger av nettverksadministratoren for fordelaktige formål (som inntrengningsdeteksjon, ytelsesanalyse, etc.). På den annen side kan ondsinnede inntrengere installere pakkesniffere for å hente klartekst brukernavn og passord fra det lokale nettverket eller annen viktig informasjon som overføres på nettverket. Sårbare protokoller (med klartekstpassord) inkluderer: telnet, pop3, imap, ftp, smtp-auth og nntp. Sniffere fungerer fordi ethernet ble designet for å deles. De fleste nettverk bruker kringkastingsteknologi – meldinger for én datamaskin kan leses av en annen datamaskin på det nettverket. I praksis ignorerer datamaskiner meldinger bortsett fra de som ble sendt direkte til dem (eller kringkastet til alle verter på nettverket). Imidlertid kan datamaskiner settes i promiskuøs modus og gjøres til å akseptere meldinger selv om de ikke er ment for dem — dette er hvordan en Sniffer fungerer.

Folk antar at datamaskiner koblet til en bryter er trygge mot snusing – men dette er egentlig ikke tilfelle. Datamaskiner koblet til brytere er like sårbare for sniffere som de som er koblet til en hub.

Hvordan en Sniffer fungerer

En datamaskin koblet til et LAN har 2 adresser — den ene er MAC-adressen som unikt identifiserer hver node i et nettverk og som er lagret på nettverkskortet. MAC-adressen brukes av ethernet-protokollen når du bygger rammer for å overføre data. Den andre er IP-adressen, som brukes av applikasjoner. Data Link Layer (lag 2 i OSI-modellen) bruker en Ethernet-header med MAC-adressen til destinasjonsmaskinen. Nettverkslaget (lag 3 i OSI-modellen) er ansvarlig for å kartlegge IP-nettverksadresser til MAC-adressen som kreves av Data Link Protocol. Lag 3 prøver å slå opp MAC-adressen til destinasjonsmaskinen i en tabell, kalt ARP-cachen. Hvis ingen MAC-oppføring blir funnet for IP-adressen, kringkaster Address Resolution Protocol en forespørselspakke (ARP-forespørsel) til alle maskiner på nettverket. Maskinen med den IP-adressen svarer på kildemaskinen med sin MAC-adresse. Denne MAC-adressen blir deretter lagt til kildemaskinens ARP Cache. Denne MAC-adressen brukes deretter av kildemaskinen i all kommunikasjon med destinasjonsmaskinen.

Det er to grunnleggende typer Ethernet-miljøer – delt og byttet. I en delt ethernet-miljø alle verter er koblet til samme buss og konkurrerer med hverandre om båndbredde. I et slikt miljø mottas pakker ment for én maskin av alle de andre maskinene. Alle datamaskinene på det delte Ethernet-nettverket sammenligner rammens destinasjons-MAC-adresse med sin egen. Hvis de to ikke stemmer overens, blir rammen stille kastet. En maskin som kjører en sniffer bryter denne regelen og godtar alle rammer. En slik maskin skal ha blitt satt inn i promiskuøs modus og kan effektivt lytte til all trafikken på nettverket. Sniffing i et delt Ethernet-miljø er passivt og derfor vanskelig å oppdage.

I en byttet om miljøet vertene er koblet til en svitsj i stedet for en hub. Svitsjen opprettholder en tabell som holder styr på hver datamaskins MAC-adresse og den fysiske porten på svitsjen som MAC-adressen er koblet til. Svitsjen er en intelligent enhet som bare sender pakker til destinasjonsdatamaskinen. Som et resultat fungerer ikke prosessen med å sette en maskin i promiskuøs modus for å samle pakker. Dette betyr imidlertid ikke at byttede nettverk er sikre og ikke kan sniffes.

Selv om en switch er sikrere enn en hub, kan du bruke følgende metoder for å snuse på en switch:

· ARP-spoofing — ARP-en er statsløs, det vil si at du kan sende et ARP-svar selv om ingen ikke er bedt om, og et slikt svar vil bli akseptert. For eksempel er en teknikk å ARP Spoof gatewayen til nettverket. ARP-bufferen til den målrettede verten vil nå ha en feil oppføring for gatewayen og sies å være Forgiftet. Fra dette tidspunktet vil all trafikk som er bestemt for gatewayen passere gjennom sniffermaskinen. Et annet triks som kan brukes er å forgifte en verts ARP-cache ved å sette gatewayens MAC-adresse til FF:FF:FF:FF:FF:FF (også kjent som broadcast-MAC).

· MAC-flom — Svitsjer holder en oversettelsestabell som tilordner MAC-adresser til fysiske porter på svitsjen. Dette lar dem rute pakker intelligent fra en vert til en annen. Bryteren har en begrenset mengde minne for dette arbeidet. MAC-flooding bruker denne begrensningen for å bombardere en bryter med falske MAC-adresser til bryteren ikke kan følge med. Svitsjen går deretter inn i det som er kjent som en “failopen-modus”, på hvilket tidspunkt den begynner å fungere som et knutepunkt ved å kringkaste pakker til alle maskinene på nettverket. Når det skjer, kan sniffing enkelt utføres.

Oppdage sniffere på nettverket

En sniffer er vanligvis passiv — den samler bare inn data — og er spesielt vanskelig å oppdage når den kjører i et delt Ethernet-miljø. Det er imidlertid lett å oppdage en sniffer når den er installert på et byttet nettverk. Når den er installert på en datamaskin, genererer en sniffer en liten mengde trafikk – noe som gjør det mulig å oppdage den ved å bruke følgende typer teknikker:

· Pingmetode — en ping-forespørsel sendes med IP-adressen til den mistenkte maskinen, men ikke dens MAC-adresse. Ideelt sett bør ingen se denne pakken, siden hver Ethernet-adapter vil avvise den siden den ikke samsvarer med MAC-adressen. Men hvis den mistenkte maskinen kjører en sniffer, vil den svare siden den godtar alle pakker.

· ARP metode — denne metoden er avhengig av det faktum at alle maskiner cacher ARP-er (dvs. MAC-adresser). Her sender vi en ARP som ikke er kringkastet, så bare maskiner i promiskuøs modus vil cache ARP-adressen vår. Deretter sender vi en kringkastingsping-pakke med vår IP, men en annen MAC-adresse. Bare en maskin som har vår korrekte MAC-adresse fra den sniffede ARP-rammen vil kunne svare på vår kringkastingsping-forespørsel.

· På lokal vert — Hvis en maskin har blitt kompromittert, kan en hacker ha latt en sniffer kjøre. Det finnes hjelpeprogrammer som kan kjøres som rapporterer om den lokale maskinens nettverksadapter er satt til promiskuøs modus.

· Latensmetode — er basert på antagelsen om at de fleste sniffere utfører en slags parsing, og øker dermed belastningen på den maskinen. Derfor vil det ta ekstra tid å svare på en ping-pakke. Denne forskjellen i responstider kan brukes som en indikator på om en maskin er i promiskuøs modus eller ikke.

· ARP Watch — For å forhindre at en hacker forfalsker gatewayen, er det verktøy som kan brukes til å overvåke ARP-cachen til en maskin for å se om det er duplisering for en maskin.

Slik beskytter du deg mot snusing

Den beste måten å sikre et nettverk mot sniffing er å bruke kryptering. Selv om dette ikke forhindrer sniffere i å fungere, vil det sikre at dataene som samles inn av sniffere ikke kan tolkes. Også på et byttet nettverk er sjansen stor for at ARP-spoofing vil bli brukt til sniffingformål. Maskinen som hackeren mest sannsynlig vil ARP-spoof er standard gateway. For å forhindre at dette skjer, foreslås det at MAC-adressen til gatewayen legges permanent til hver verts ARP-cache.

Ytterligere forslag inkluderer:

· Bruk SSH i stedet for telnet.

· Bruk HTTPS i stedet for HTTP (hvis nettstedet støtter det).

· Hvis du er bekymret for personvern for e-post, prøv en tjeneste som Hushmail (www.hushmail.com), som bruker SSL for å sikre at data ikke leses under transport. Dessuten kan Pretty Good Privacy (www.gnupg.org) brukes til å kryptere og signere e-poster for å hindre andre i å lese dem.

· Bruk en sniffer detektor. For eksempel programvarepakken PromiScan regnes som standard sniffing node-deteksjonsverktøy og anbefales av SANS (SysAdmin, Audit, Network, Security) Institute. Det er en applikasjonspakke som brukes til å fjernovervåke datamaskiner på lokale nettverk for å finne nettverksgrensesnitt som opererer i en promiskuøs modus.

About the author

Add comment

By user

Recent Posts

Recent Comments

Archives

Categories

Meta