Pacote Que Sniffing: Métodos Da Prevenção Da Deteção Das Ferramentas Sniffing

1. Introdução:

Homepage | Submit an article | Contact us

High Performance File System

Arquivo tabela de alocação

Como recuperar o acesso aos dados anteriores armazenados em Pen Drive

SumoW para uma melhor saúde do seu site

Por que você deve optar pelo PDF Password Encryption

Como remover vírus manualmente

Informações gerais de segurança de dados

Equívocos comuns quando se trata de segurança do PC

Fechaduras biométricas Mistérios: O que é DPI

O tubo aspirador de pacote é um programa que monitore o tráfego da rede que passa através de seu computador. Um tubo aspirador de pacote que funcionasse em seu PC conectou ao Internet usando um modem, pode dizer-lhe seu IP address atual as.well.as os endereços do IP dos usuários da correia fotorreceptora cujos locais você está visitando.
Você pode prestar atenção a todos os dados un-encrypted que viajam de seu computador, no Internet. Isto inclui senhas e outros dados sensíveis que não são fixados pelo encryption. Ponha um tubo aspirador de pacote sobre um router no Internet, e você pode prestar atenção a todo o tráfego da rede que passa através desse router. Isto inclui absolutamente qualquer um cujos os dados acontecem à passagem através desse router.
Os tubos aspiradores são bàsicamente programas do interception dos dados. Trabalham porque o Ethernet foi construído em torno de um princípio de compartilhar. A maioria de uso das redes o que é sabido como a tecnologia da transmissão, significando que cada mensagem transmitida por um computador em uma rede pode ser lida por todo o outro computador nessa rede. Na prática, todos os computadores restantes, a não ser que esse para que a mensagem é significada, ignorarão essa mensagem. Entretanto, os computadores podem ser feitos para aceitar mensagens, mesmo se não são significados para elas, por meio de um tubo aspirador.
Um tubo aspirador é geralmente passivo, ele coleta somente dados. Daqui, torna-se extremamente difícil detectar o tubo aspirador. Quando instalado em um computador, um tubo aspirador gerará algum pouco de tráfego, embora, e é conseqüentemente detectável.

2. Funcionamento do tubo aspirador de pacote

Um tubo aspirador de pacote trabalha olhando cada pacote emitido na rede, including os pacotes não pretendidos para se. Isto é realizado em uma variedade das maneiras. Estes métodos sniffing serão descritos abaixo. Os tubos aspiradores trabalham também diferentemente dependendo do tipo de rede que estão dentro

Ethernet Compartilhado:
Em um ambiente compartilhado do Ethernet, todos os anfitriões são conectados à mesma barra-ônibus e competem com a uma outra para a largura de faixa. Em tais pacotes de um ambiente significados para uma máquina são recebidos por todas as máquinas restantes. Assim, toda a máquina em tal ambiente colocado na modalidade promiscuous poderá capturar os pacotes significados para outras máquinas e pode conseqüentemente escutar todo o tráfego na rede.

Ethernet Comutado:
Um ambiente do Ethernet em que os anfitriões são conectados a um interruptor em vez de um cubo é chamado um Ethernet comutado. O interruptor mantem uma tabela que mantem-se a par do MAC address de cada computador e entrega pacotes destined para uma máquina particular ao porto em que essa máquina é conectada. O interruptor é um dispositivo inteligente que emita pacotes ao computador destined somente e não os transmita a todas as máquinas na rede, como no caso precedente. Este ambiente comutado do Ethernet foi pretendido para o desempenho melhor da rede, mas porque um benefício adicionado, uma máquina na modalidade promiscuous não trabalhará aqui. Em conseqüência deste, a maioria de administradores da rede supõem que os tubos aspiradores não trabalham em um ambiente comutado.

3. Usos de tubos aspiradores de pacote

Os programas sniffing são encontrados em dois formulários. Os tubos aspiradores de pacote comerciais estão usados ajudar manter redes, quando os tubos aspiradores de pacote subterrâneos forem usados por atacantes ganhar acesso desautorizado aos anfitriões remotos. São alistados abaixo alguns usos comuns de sniffing programas:

• Procurarando por usernames e por senhas do clear-text da rede.
• Conversão do tráfego da rede no formulário readable humano.
• Análise de rede para encontrar bottlenecks.
• Deteção do intrusion da rede ao monitor para atacantes.

Usando um tubo aspirador em uma maneira illegitimate é considerado um ataque passivo. Diretamente não conectara nem não conecta a nenhuns outros sistemas na rede. Entretanto, o computador que o tubo aspirador está instalado sobre poderia ter sido comprometido usando um ataque ativo. A natureza passiva dos tubos aspiradores é o que faz detectando os assim difícil. A seguinte lista descreve algumas razões porque os intruders estão usando tubos aspiradores na rede:

Usernames e senhas capturando do clear-text
Informação proprietária comprometendo
Capturando e replaying a voz sobre conversações de telefone do IP
Traçando uma rede
Fingerprinting passivo do OS

Obviamente, estes são usos ilegais de um tubo aspirador, a menos que você for um verificador da penetração cujo trabalho seja encontrar estes tipos de fraquezas e as relatar a uma organização. Para que sniffing ocorra, um intruder deve primeiramente ganhar o acesso ao cabo de uma comunicação dos sistemas que são do interesse. Isto significa estar no mesmo segmento compartilhado da rede, ou bater no cabo em algum lugar entre os trajetos das comunicações. Se o intruder não estiver fisicamente atual no sistema de alvo ou no ponto de acesso das comunicações, há umas maneiras imóveis sniff o tráfego da rede. Estes incluem:

Quebrar em um computador do alvo e instalando o software remotamente controlado sniffing.
Quebrando em um ponto de acesso das comunicações, tal como um Internet Service Provider (ISP) e instalar o software sniffing.
Locating/finding que um sistema no ISP que tem já o software sniffing instalou.
Usando a engenharia social ganhar o acesso físico em um ISP para instalar um tubo aspirador de pacote.
Tendo um cúmplice do insider na organização do computador do alvo ou no ISP instale o tubo aspirador.
Dirigindo de novo comunicações para fazer exame de um trajeto que inclua o computador’do intruder s.

4. Ferramentas Sniffing

tcpdump: Tcpdump é uma ferramenta poderosa que permita que nós sniff pacotes da rede e façam alguma análise estatística fora daqueles dumps. Um inconveniente principal ao tcpdump é o tamanho da lima lisa que contem a saída do texto. Mas o tcpdump permite que nós v precisamente todo o tráfego e permite-nos de criar certificados de monitoração estatísticos.
sniffit: Tubo aspirador de pacote robust com filtrar bom.
Ethereal: Um analisador livre do protocolo de rede para UNIX e Windows. Permite que você examine dados de uma rede viva ou de uma lima da captação no disco.
Caça: O objetivo principal do projeto da CAÇA é desenvolver ferramentas para explorar fraquezas well-known no suite do protocolo de TCP/IP.
Dsniff: Dsniff é uma coleção das ferramentas para a rede que examina e o dsniff, o filesnarf, o mailsnarf, o msgsnarf, o urlsnarf, e webspy testando da penetração monitoram passiva uma rede para os dados interessantes (senhas, E-mail, limas, etc.). o arpspoof, o dnsspoof, e o macof facilitam o interception do tráfego da rede normalmente unavailable a um atacante (por exemplo, devido ao switching layer-2). o sshmitm e o webmitm executam ataques macaco-em-$$$-MÉDIOS ativos de encontro às sessões dirigidas de novo de SSH e de HTTPS explorando emperramentos fracos em PKI ad hoc.

5. Métodos sniffing

Há três tipos de métodos sniffing. Alguns métodos trabalham em redes non-switched quando outros trabalharem em redes comutadas. Os métodos sniffing são: sniffing IP-BASEADO, sniffing MAC-baseado, e sniffing ARP-baseado.

sniffing IP-BASEADO 5.1

Esta é a maneira original do pacote que sniffing. Trabalha pondo o cartão da rede na modalidade promiscuous e sniffing todos os pacotes que combinam o filtro do IP address. Normalmente, o isn t do filtro’do IP address ajustou-se assim que pode capturar todos os pacotes. Este método trabalha somente em redes non-switched.

sniffing MAC-baseado 5.2

Este método trabalha pondo o cartão da rede na modalidade promiscuous e sniffing todos os pacotes que combinam o filtro do MAC address.

sniffing ARP-baseado 5.3
Este método trabalha um pouco diferente. O doesn’t pôs o cartão da rede na modalidade promiscuous. Este isn’t necessário porque os pacotes do ARP nos serão emitidos. Isto acontece porque o protocolo do ARP é stateless. Por causa deste, sniffing pode ser feito em uma rede comutada. Para executar este tipo de sniffing, você primeiramente tem que envenenar o ARP cache1 dos dois anfitriões que você quer sniff, identificando você mesmo como o outro anfitrião na conexão. Uma vez que os esconderijos do ARP são envenenados, os dois anfitriões começam sua conexão, mas em vez da emissão o tráfego diretamente ao outro anfitrião começa emitido a nós. Nós então registramos o tráfego e enviamo-lo ao anfitrião pretendido real no outro lado da conexão. Isto é chamado um ataque homem-em-$$$-MÉDIO.

6. Deteção de um tubo aspirador de pacote

Na teoria, é impossível detectar programas sniffing porque são passivos: coletam somente pacotes, eles não transmitem qualquer coisa. Entretanto, na prática é às vezes possível detectar programas sniffing.
Vista geral geral de métodos de deteção

método de 6.1 sibilos

O truque usado aqui deve emitir um pedido do sibilo com o IP address da máquina suspeita mas de não seu MAC address. Idealmente, nenhuma máquina deve ver este pacote, porque cada adaptador do Ethernet o rejeitará desde que não combina seu próprio MAC address. Se a máquina suspeita estiver funcionando um tubo aspirador, responderá desde que não rejeita pacotes com um MAC address diferente do destino. Este é um método velho e um de confiança não mais longo.
A maioria de "de funcionamento dos tubos aspiradores pacote" em máquinas normais com uma pilha normal de TCP/IP. Isto significa que se você emitir um pedido a estas máquinas, responderão. O truque deve emitir um pedido ao IP address da máquina, mas não a seu adaptador do Ethernet.

6.2 Método do ARP

O método do ARP é similar ao método do sibilo, mas um pacote do ARP é usado preferivelmente. O método o mais simples do ARP transmite um ARP ao non-transmitiu o endereço. Se uma máquina responder a tal ARP de seu IP address, então deve estar na modalidade promiscuous.
Uma variação desta técnica faz exame vantagem do fato esse de máquinas "esconderijo" ARPs. Cada ARP contem a informação completa de ambos o remetente as.well.as a informação desejada do alvo. Ou seja quando eu emito para fora um único ARP ao endereço da transmissão, eu incluo meu próprio traçar de endereço do IP-À-Ethernet. Todos mais no fio recorda esta informação para poucos minutos seguintes. Conseqüentemente, você poderia fazer algo como a emissão para fora do non-transmitiu o ARP, a seguir um sibilo da transmissão. Qualquer um que responde a seu sibilo sem ARPing você poderia somente ter começado o MAC address de um frame sniffed do ARP. (para fazer dobro-certo, use um MAC address diferente da fonte no sibilo).

6.3 Método do DNS

Muitos programas sniffing fazem os lookups reverso-Reverse-DNS automáticos nos endereços que do IP vêem. Conseqüentemente, uma modalidade promiscuous pode ser detectada prestando atenção para o tráfego do DNS que gera.
Este método pode detectar máquinas homed duplas e pode trabalhar remotamente. Você necessita monitorar os lookups inverso-Inverse-DNS entrantes no usuário do DNS em sua organização. Faça simplesmente uma varredura do sibilo durante todo a companhia de encontro às máquinas que são sabidas para não existir. Qualquer um que faz lookups reversos do DNS naqueles endereços está tentando ao lookup os endereços do IP vistos nos pacotes do ARP, que somente os programas sniffing .

6.4 Fonte-distribuem o método

Uma outra técnica envolve a configuração fonte-distribui a informação dentro do encabeçamento do IP. Isto pode ser usado detectar tubos aspiradores de pacote em outros, segmentos próximos.

Críe um pacote do sibilo, mas ponha uma rota da frouxo-fonte para forçá-la por uma outra máquina no mesmo segmento. Esta máquina deve ter o roteamento incapacitado, de modo que não no fato para a frente ele ao alvo.
Se você começar uma resposta, então é provável o alvo sniffed o pacote fora do fio.
Na resposta, o doublecheck o campo do TTL a encontra para fora se ' voltar devido a sniffing (melhor que sendo distribuído corretamente)

No fonte-roteamento frouxo, uma opção é adicionada ao encabeçamento do IP. Os routers ignorarão o IP address do destino e para enviar preferivelmente ao IP address seguinte no fonte-distribua a opção. Isto meios quando você emite o pacote, você pode dizer que "emita por favor o pacote a Anoushka, mas o distribua através do aryan primeiramente".
Neste scenario, o "aryan" e "Anoushka" estão no segmento. O aryan não distribui, e conseqüentemente deixará cair o pacote quando recebido. Conseqüentemente, "Anoushka" responderá somente se sniffed o pacote do fio.
No fora chance que o aryan distribui certamente (em que caso Anoushka responderá), então o campo do TTL pode ser usado verificar que Anoushka respondeu da distribuição através do aryan, ou respondendo diretamente.

6.5 O método do decoy

Visto que o sibilo e os métodos do ARP trabalham somente na rede local, o método do decoy trabalha em toda parte.
Desde que assim muitos protocolos permitem "senhas do texto liso", e os hackers funcionam os sifters que procuram aquelas senhas, o método do decoy satisf simplesmente a essa necessidade. Consiste simplesmente em ajustar acima um cliente e um saque em um ou outro lado da rede, que o cliente funciona um certificado para logon ao usuário usando o telnet, o PNF, o IMAP, ou o algum outro protocolo do plain-text. O usuário é configurarado com clientes especiais que não têm nenhuma direita real, ou o usuário é completamente virtual (em que caso, os clientes não existe realmente).

6.6 Método do anfitrião

Quando os hackers quebram em seus sistemas, sairão frequentemente atrás wiretap os programas que funcionam no fundo a fim sniff senhas e o usuário explica fora do fio. Estes são encaixados frequentemente (como um Trojan) em outros programas, assim que a única maneira encontrar se algo como esta estiver funcionando deve perguntar as relações para ver se estiverem funcionando na modalidade promiscuous.

6.7 Método da latência

Este método é baseado na suposição que a maioria de tubos aspiradores fazem algum analisar gramaticalmente. Posto simplesmente, neste método, uma quantidade enorme de dados é emitido na rede, e a máquina suspeita é sibilada antes e durante do flooding dos dados. Se a máquina estiver na modalidade promiscuous, analisará gramaticalmente os dados, aumentando a carga nela. Fará exame conseqüentemente do tempo extra responder ao pacote do sibilo. Esta diferença em tempos de resposta pode ser usada como um indicador de se ou não uma máquina está na modalidade promiscuous. Um ponto worth anotar é os pacotes pode ser atrasado por causa da carga no fio, tendo por resultado positivos falsos.
Este é um método mais evil. Em uma mão, pode significativamente degradar o desempenho da rede. Na outra mão, pode ' cegar ' tubos aspiradores de pacote emitindo demasiado tráfego.
Este método funciona emitindo quantidades enormes do tráfego da rede no fio. Isto não tem nenhum efeito em máquinas non-non-promiscuous, mas tem um efeito enorme em máquinas sniffing, especial aqueles protocolos de camada da aplicação analisar gramaticalmente para senhas. Sibila simplesmente a máquina antes que a carga e durante a carga e testar a diferença no tempo de resposta possa indicar se a máquina estiver sob a carga.
Um problema com esta técnica é que os pacotes podem ser atrasados simplesmente por causa da carga no fio, que pode encaixotar intervalos de parada e conseqüentemente positivos falsos. Na outra mão, muitos programas sniffing são do "modalidade usuário" visto que os sibilos são respondidos da "na modalidade semente", e são conseqüentemente independent da carga do processador central em uma máquina, causando desse modo negativos falsos.

6.8 Refletômetros Do TDR(Time-Domínio)

Um TDR é bàsicamente RADAR para o fio. Emite um pulso abaixo o fio, representa graficamente então as reflexões que voltam. Um perito pode olhar o gráfico da resposta e da figura para fora se algum dispositivo for unido ao fio que não deve ser. Também dizem aproximadamente onde, nos termos da distância ao longo do fio, a torneira é ficada situada.
Isto pode detectar os tubos aspiradores de pacote da ferragem que puderam ser unidos ao fio, mas que seja completamente silencioso de outra maneira. TDRs usou-se ser usado muito nos dias velhos do Ethernet co-axial a fim detectar torneiras do vampire, mas estes dias com topologias da estrela, são usadas muito raramente. Existe também equipamento de OTDR, mas este é realmente somente para truely o paranoid.

6.9 Luzes do cubo

Você pode manualmente verificar cubo-luzes para ver se houver alguma conexão que você não esperar. Ajuda ter etiquetado cabos para figurar para fora onde (fisicamente) um tubo aspirador de pacote pôde ser encontrado.

6.10 Monitoração do SNMP

Os cubos espertos com gerência do SNMP podem fornecer monitroning automatizado de cubos do Ethernet (e o outro). Alguns consoles da gerência deixaram-no mesmo registrar connections/disconnections a todos seus portos. Se você configurarar o sistema com a informação onde todos os cabos terminam, você pode às vezes seguir para baixo onde um tubo aspirador de pacote pôde esconder.

7. Há diversas ferramentas que podem ser usadas detectar tubos aspiradores em sua rede.

Muitos deles são mantido ativamente outdated e não mais longo, e às vezes apenas duro encontrar. Também, uns tubos aspiradores mais novos foram reescritos para evade sua deteção. Entretanto, estão aqui alguns deles.

7.1. PromiScan Ver 0.27: Este é um programa livre por Segurança sexta-feira que é moderna e mantida ativamente. Funciona em Windows 2000 e XP e requer o excitador de WinPcap. Pode fazer a varredura da rede local que procura adaptadores de modalidade promiscuous remotos, usando pacotes do ARP.

7.2. AntiSniff este programa foi escrito originalmente por L0pht, mas é suportado não mais longo ou mantido.

7.3. Guarde este programa livre executa a deteção promiscuous remota, e funciona-a em várias versões do DEB e do Linux. Requer as bibliotecas do libpcap e do libnet operar-se.

7.4. O detetor promiscuous do Ethernet da rede de Neped é um programa UNIX-baseado livre escrito originalmente pelo grupo de Apostols para detectar remotamente cartões de relação promiscuous da rede da modalidade em computadores de Linux. Detecta somente em um subconjunto de sistemas de Linux com unpatched sementes antes da versão 2.0.36. O Web site de Apostols não mais por muito tempo existe e neped pode ser difícil de encontrar.

7.5. A modalidade promiscuous da verificação (CPM) isto é um programa UNIX-baseado livre desenvolvido por CERT/CC em resposta à rede aumentada que sniffing.

7.6. Ifstatus isto é um programa UNIX-baseado livre para detectar relações promiscuous da modalidade em sistemas de Solaris e de AIX.

7.7. Promisc.c isto é um programa UNIX-baseado livre para detectar relações promiscuous da modalidade em Linux e em alguns sistemas de SunOS.

8. Prevenção de tubos aspiradores de pacote

A mais melhor maneira fixá-lo de encontro a sniffing deve usar o encryption. Quando este t’ganhado impedir que um tubo aspirador funcione, assegurar-se-á de que que tubo aspirador lê é a sucata pura.

Felizmente há alguns métodos que você pode usar em sua rede que oferece a proteção de encontro ao ataque passivo sabido como sniffing.

Algumas técnicas para a prevenção são:

8.1. PGP e S/MIME

O E-mail pode sniffed em muitas maneiras alternativas. Passa através dos guarda-fogos incorporados, que podem monitorar o tráfego. Começa frequentemente registrado e conservado por períodos de tempo prolongados. Pode começar acidentalmente misdirected, e extremidade acima em alguém caixa postal outra. A mais melhor maneira manter tal segredo do E-mail deve cifrá-lo. As duas maneiras comuns de fazer isto são com PGP (privacidade boa bonita) e S/MIME (MIME seguro). O PGP pode ser comprado como um add-on a muitos produtos. S/MIME é construído em programas do E-mail por Netscape e por Microsoft.

8.2. Fixe O Escudo (SSH)

SSH é um aplicação-nível VPN que os funcionamentos TCP excedente para fixar transações do cliente-à-usuário. Isto é usado frequentemente para inícios de uma sessão gerais e para administrar remotamente usuários. É usado tipicamente substituir o telnet, o ftp, e os comandos dos serviços “r” de Berkley. Entretanto, desde que todo o protocolo arbitrário do TCP pode ser tunneled através de uma conexão de SSH, ele pode ser usado para numeroso outras aplicações. SSH fornece o authentication por pares chaves asymmetric de RSA ou de DSA. Os encabeçamentos em uma sessão de SSH não são cifrados, assim que um intruder poderá ainda ver a fonte e os endereços de destino.

8.3. VPNs (Redes Confidenciais Virtuais)

VPNs fornece o tráfego cifrado através do Internet. Entretanto, se um hacker comprometer os extremidade-nós de uma conexão de VPN, podem ainda sniff o tráfego. Um scenario típico é um end-user que surfs o Internet normalmente e o comece comprometido com um acesso remoto Trojan (RATO) que contenha um encaixe sniffing. Quando o usuário estabelece a conexão de VPN, o programa sniffing pode ver não somente o tráfego cifrado que pode ser visto no Internet, mas também o tráfego unencrypted antes que comece emitido através da pilha ao VPN.

8.4. Fixe A Camada Dos Soquetes (Segurança Da Camada De SSL)/Transport (TLS)

O SSL foi desenvolvido originalmente por Netscape Communications Para fornecer a segurança e a privacidade às sessões do Internet. Foi substituído por TLS como indicado em RFC 2246.TLS fornece a segurança na camada de transporte e supera algumas introduções de segurança do SSL. É usado encapsulate o tráfego da rede de aplicações higher-level tais como LDAP, HTTP, ftp, NNTP, POP3, e IMAP. Fornece o authentication e a integridade através dos certificados digitais e das assinaturas digitais.

8.5. Segurança do IP (IPSec)

IPSec é um protocolo do rede-nível que incorpore a segurança no IPv4 e IPv6 protocole diretamente no nível do pacote estendendo o encabeçamento do pacote do IP. Isto permite a abilidade de cifrar todo o protocolo de camada mais elevado. Está sendo incorporado atualmente em dispositivos, em guarda-fogos, e em clientes do roteamento para fixar redes confiadas a uma outras. IPSEC fornece diversos meios para o authentication e o encryption, suportando algumas cifras chaves públicas do authentication e cifras chaves symmetric do encryption. Pode operar-se na modalidade do túnel para fornecer um encabeçamento novo do IP que mascare a fonte e os endereços de destino originais.

8.6. Senhas one-time (OTP)

As senhas one-time são um outro método a proteger de encontro a sniffing. S/key, as senhas one-time em tudo (OPIE), e outras técnicas one-time da senha protegerão de encontro à coleção e reusar das senhas. Operam-se usando um método da desafi-resposta, e uma senha diferente é transmitida cada vez que o authentication é needed. As senhas que um tubo aspirador coleta serão inúteis desde que são usadas somente uma vez. Os cartões espertos são um método popular de executar a proteção one-time de passwords.E-mail são um tópico quente para companhias e indivíduos. Dois métodos de proteger o E-mail, cifrando o no trânsito e no armazenamento, são bonitos.

9. Referências

www.securitysoftwaretech.com
www.robertgraham.com
www.fernando.org.uk
www.linuxjournal.com
http://cs.baylor.edu
www.tldp.org
www.zurich.ibm.com
www.robertgraham.com
www.linuxsecurity.com

Suhas Um Desai:
Suhas que um Desai está trabalhando com Mahindra Ltd. Pune do tech como um colaborador do software. É ativo na comunidade aberta da fonte. Foi o autor de muitos papéis, artigos e características para conferências internacionais e nacionais reputed, jornais e continuações de pesquisa. Escreve características para www.linuxsecurity.com. Em seu tempo livre conduz lectures, oficinas para profissionais do software e estudantes.

este é um artigo adicionado por Suhas Um Desai