O que sniffing

Share

|

Sniffing é uma outra técnica a usar-se internamente. Uma utilidade da captação do tubo aspirador ou do pacote pode capturar todo o tráfego que viaja ao longo do segmento da rede a que é conectado. Nós ajustamos normalmente acima tubos aspiradores durante todo a organização para capturar o tráfego da rede, esperando identificar a informação valiosa tal como o usuário IDs e as senhas. Nós usamos sniffing para capturar passiva os dados que estão sendo emitidos através da rede interna. Os laptops são geralmente a plataforma ideal desde que são portáteis e fáceis de esconder. O sistema não necessita mesmo um IP address desde que captura passiva o tráfego. A máquina sniffing copía os dados sem modificar seus índices e é difícil de detectar mesmo com software sofisticado da deteção do intrusion. Há os programas, tais como AntiSniff, que têm algum sucesso em detectar tubos aspiradores.

Os ambientes comutados do Ethernet reduzem o risco da captação do pacote. Desde que o tubo aspirador pode capturar o tráfego somente em seu mesmo segmento da rede, um tubo aspirador em um ambiente comutado pode ver somente tráfego destined para ele. Entretanto, em um ambiente compartilhado ou em ambiente misturado, os tubos aspiradores podem ser muito úteis para capturar o tráfego valioso. Além, o dsniff, escrito pela canção escavada, pode sniff através dos interruptores. Os usos do dsniff das técnicas sniff em segmentos comutados podem causar condições do negação-$$$-SERVIÇO e devem conseqüentemente ser usados cautelosamente durante testar da penetração.

Todo o tráfego da rede que for transmitido no texto desobstruído é suscetível a sniffing. O telnet, o ftp, e outras sessões do clear-text fornecem a informação valiosa. O tubo aspirador pode capturar um telnet completo e a sessão do ftp, including o nome do usuário e a senha. Além, o E-mail sniffed e o tráfego do HTTP podem render as senhas ou os indícios reais que permitem senhas de ser supostos. O E-mail sniffed pode também render o material confidential, matérias legais, ou a outra informação que deve normalmente ser cifrada.

Se o pensamento que esta informação pode ser capturada de sua rede o concernir, o tubo aspirador da captação de L0phtCrack's SMB concerni-lo-á certamente. O tubo aspirador da senha do NT, captação de SMB, dentro de L0phtCrack pode sniff senhas do NT diretamente da rede. Se as senhas forem fracas (para o exemplo, a palavra do dicionário, o short, o um número na extremidade), L0phtCrack poderá rachar as senhas dentro dos minutos. Se as senhas fossem fortes (mistura de letras caixas e lowercase, de caráteres especiais) poderia fazer exame de meses para que sejam rachados. O fato que a maioria de senhas do uso LANMAN das redes do NT fazem a matérias mais mau uniforme. As senhas de LANMAN estão requeridas para ser emitidas quando os clientes non-NT (Windows 9x) necessitam authenticate aos usuários do NT. As senhas de LANMAN não são caso sensível e são conseqüentemente mais fáceis de rachar. No início do scenario testando interno, comece a captação de SMB começar a capturar e rachar as senhas do NT.

Normalmente nós ajustamos acima um tubo aspirador no quarto de teste onde nós somos ficados situados durante testar. Além, nós tentamos encontrar um outro segmento da rede com dados críticos ou tráfego high-volume da rede em que para colocar um tubo aspirador. Frequentemente, os segmentos da rede que são conectados ao centro de dados, as áreas de trabalho de administradores de sistema, os departamentos legais, os departamentos humanos das relações, ou a gerência sênior fazem alvos excelentes para tubos aspiradores. A chave deve encontrar uma posição em que para colocar o tubo aspirador onde não se observará. Se os armários da rede pudessem ser alcançados, você poderia plug o tubo aspirador diretamente em um porto do interruptor ou do cubo e tentar esconder de algum modo o tubo aspirador. Desde que a maioria de armários da rede são locked, nós terminamos geralmente acima de esconder o tubo aspirador em um escritório, em um cubicle, ou em um quarto de conferência vazio. Na ocasião, nós escondemos tubos aspiradores sob podiums em quartos de conferência. Frequentemente há assim muitos fios que saem do podium, ninguém observa um acréscimo.

Uma vez que o tubo aspirador é ajustado acima na posição remota, você necessita encontrar uma maneira recuperar os dados dela. Você pode ir para trás e escolher acima o tubo aspirador mais tarde e ler os dados, usar um certificado ao ftp ele em intervalos regulares, ou usar um programa de controle remoto ir para trás e recuperar os dados e configurarar o sistema como necessitado. O uso de programas de controle remoto nestes tubos aspiradores escondidos é completamente eficaz. Estes programas permitem que você periòdicamente verifique os dados que você está recebendo do tubo aspirador e faça mudanças à configuração enquanto você aprende mais sobre a rede. Por exemplo, se você vir as sessões do início de uma sessão que usam o passwd “da sintaxe,” você pode filtrar o tráfego sniffed usando o ngrep ou um outro comando filtrando capturar este tráfego em uma lima. Mais filtros que você pode colocar no tubo aspirador, mais fácil será analisar os dados. Entretanto, tenha cuidado para não fazer seus filtros demasiado restritivos ou você pode faltar dados críticos.

Testar interno é bem como uma série de vulnerabilities ligados. Uma vez que você ganha o acesso do administrador em um sistema, os sistemas adicionais começam cair. Felizmente para o verificador e infelizmente para a organização, as senhas do administrador em muitos sistemas tendem a estar as mesmas dentro da organização. Adicionalmente, há geralmente ao menos um cliente de cada sistema comprometido que trabalhará em um outro sistema. De modo a você começa a rachar sistemas, constrói uma lista da informação que possa ser útil em atacar outros sistemas: nomes de cliente, senhas, limas que podem oferecer sugestões da senha, serviços vulneráveis, e assim por diante. Além, procure relacionamentos da confiança entre sistemas. Frequentemente um sistema que nós fizemos a varredura previamente de um laptop que mostrasse que nenhuma vontade aberta dos portos tem de repente muitos portos abertos quando feita a varredura de um sistema comprometido. Isto é devido ao fato que o sistema pode ter relacionamentos da confiança ou pode usar filtrar para permitir que somente determinados anfitriões conectem a estes serviços. , seja conseqüentemente certo carregar seu jogo do hacker no anfitrião comprometido e começar a fase da descoberta nos sistemas restantes.