xml version="1.0" encoding="windows-1251"?> SaTaNiC Team [STNC] -> Защита от снифера в локальной сети
Security Teams



» ДРУЗЬЯ: ::: ::: Protocols.Ru ::: Damage Lab ::: [-=DaGo=-] ::: Networks Research ::: Madnet.name ::: ANTICHAT.RU ::: SLOVNET.RU ::: Exploit.IN ::: ::: Ynks.net ::: black c0de'z paGe :::WEB-HACK.ru ::: .:[KZ TeaM]:. ::: X-Hack Team ::: ТурКлуб "Mangup" :::
  Ответ РІ темуСоздание РЅРѕРІРѕР№ темыСоздание РѕРїСЂРѕСЃР°

> Р—ащита РѕС‚ снифера РІ локальной сети
vic
Дата 19.04.2007 - 12:00
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 53
Пользователь №: 27
Регистрация: 21.02.2005



Рейтинг:
(0%) -----


Срочно нужно решить проблему по защите локальной сети от снифера.

Сеть одноранговая, ~ 100 машин в сети. есть сервер шлюз и контролер домена.
Запустил для пробы примитивный ICQSniff, отснифал все, icq сообщения, пароли на мыло, ftp и прочее.
Сейчас остро встал вопрос о защите локальных машин от снифера. Прошу совета у всех.
PM
Top
Boffin
Дата 19.04.2007 - 12:18
Цитировать сообщение
Offline



[> absolvitur <]
******

Профиль
Группа: -root-
Сообщений: 3204
Пользователь №: 2
Регистрация: 17.02.2005



Рейтинг:
(0%) -----


От меня вот такая вот статейка:
-------------------------------------

0x00 . Ethernet

Пакетные сниферы - частое явление в локальных сетях и если ты заботишься о безопасности передаваемых данных - эта статья для тебя.Я попытаюсь расмотреть все возможные способы отлова нюхачей,включая софт и другие методы шифрации трафика.

Самый распространенная технология построения локальных сетей лежит на протоколе Ethernet.Снифинг становится возможным из-за отсутсвующей маршрутизации на протокольном уровне,те пакеты доставляются до всех компьютеров сети.В заголовке ethernet-пакета содежится mac-address карточки,которая должна обработать пакет,но это вовсе не значит что другой компьютер не сможет обработать эти данные.На основе протоколе Ethernet мы и будем обнаружать сниферы в сети.

0x01 . Активные и пассивные сниферы

Как известно,сети бывают двух видов - на свитчах и хабах.Последнии виды сетей уже не так распространены,однако являются самым лакомым куском для "сетевых рыбаков".Самым простым способом отлова данных в сетях такого типа - перевод сетевой карточки в "promisc mode".После этого карта начинает принимать абсолютно все пакеты в локальном сегменте без разбора адресата ( promisc mode можно перевести как неразборчивый режим,интересно еще и второе толкование этого слова - промискуальный,что подразумевает человека,занимающегося проституцией ) .Но в настоящий момент таких сетей уже все меньше - сетевые администраторы ставят свитчи.В этом случае пакеты будут доставлять только до адресатов.
Первый способ снифа является пассивным,те не предпринимает никаких усилий для ловли пакетов,все происходит на уровне протокола.Второй метод снифа называется Man-In-The-Middle ( человек посередине ) .Он является активным,тк для ловли пакетов надо нужным образом "засорить" ARP-таблицы.При этом происходит спуфинг arp-таблиц и пакеты проходят через третье лицо ( буквально forwarding ) .

0x02 . Man-In-The-Middle

sanitize_url('<img src', 'https://img213.imageshack.us/img213/6681/untitled2xz4.jpg') alt="" border="0">

Атака,как я уже сказал, возникает при отравлене ARP-таблиц таким образом,чтобы заставить трафик идти через посредника,который может делать все что угодно с пакетами,в том числе и изменять их.Допустим,компьютер #1 отправляет широковещательный (broadcast) ARP-запрос на поиск в сети компьютера #2 те его ip-адреса.В этот момент хакер,сидящий за машиной #3 выдает себя за нужный компьютер,его IP записывается в кеше и пакеты до номера 2 будут идти через него..Углу***ться в суть не надо,наша задача обнаружить снифер,а не самим провести эту атаку ( если неймется можешь посмотреть релиз sn0w - https://forum.antichat.ru/thread21282.html )

Обнаружить такой снифер представляется маловозможным и самый действенный способ - использование более защищенных протоколов, либо утилит вроде IPsec,которая поддерживает проверку целостности данных,используя MD5,SHA-1 и AES.Если передаваемая информация имеет не такую секретность,вполне можно обойтись утилитой ARPwatch.Работает по схеме хукинга всех ARP запросом и разборов первых 6 байт ( mac адреса ).Если такой мак уже был в системе,программа.Пакеты логируются и в дальнейшем отправляются администратору сети.В договорах,заключаемых между абонентом и провайдером часто присутствует запись о снифинге сетей и его последствиях,рекомендую ознакомиться тем,кто захотел украсть чужую информацию.

Существует и другой метод обнаружение нюхача - после получения пакета на обновление мак адреса отправляется широковещательный пакет с целью подтвердить,что пакет не является ложным.Этот способ является универсальным,но утилит,реализующих это еще нет.

0x03 . Ударь по пассивам

Обнаружение пассивного снифера является более легким и существует несколько вариантов вылова нюхача

Самым распространенным является метод пинга.Вспоминаем - в режиме promisc сетевуха принимает абсолютно все запросы,даже некорректные.Попробуем пингануть подозреваемую машину и в случае ответа мы получим ECHO_REPLY,что обозначает присутствие снифера.В ином случае после сравнение мака по ARP-таблицам система не найдет связку ip-mac и не ответит на этот запрос.Недостаток метода в том,что все чаще и чаще встречаются сниферы с возможность фильтарции Mac адресов.Как вариант послать широковещательный пакет ( 255.255.255.255 ).Машины не должны на него ответить,ответит только снифер.

Еще один метод заключается в логировании DNS запросов.Снифер после получения пакеты пытается перегнать из ip в hostname,используя для этого DNS запросы.Отследить снифер можно включим перехват пакетов на своем компьютере и поиск DNS запросов.Если ты увидишь запросы на резолв не со своего ip,значит в сети есть снифер.Минус этого способа - резолв ip2host можно отключить во всех популярных сниферах.

0x04 . Снифер на локальном компьютере

Часто с целью получения нужных данных снифера ставятся после взлома целевого оборудования.Обнаружение таких сниферов становится возможным после выполнение команды ifconfig с флагом a.Она выдаст тебе информацию о сетевой карте со всеми выставленными флагами через запятую.Обнаружить снифер можно по флагу PROMISC.

Пример выполненной команды ifconfig -a без присутствующего снифера

eth0 Link encap:Ethernet HWaddr 00:0D:61:04:98:3D
inet addr:70.86.67.170 Bcast:70.86.67.175 Mask:255.255.255.248
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4241006186 errors:0 dropped:0 overruns:0 frame:0
TX packets:3176290000 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2580012615 (2460.4 Mb) TX bytes:4191294474 (3997.1 Mb)
Interrupt:11 Base address:0xf000

Однако утилиту ifconfig можно подменить и лучше воспользоваться сторонними средствами.

0x05 . Защищаем свой трафик

Если информация представляет немалую ценность стоит взглянуть на другие методы антиснифа,такие как шифрация трафика.

Лучше всего с этим всправляется VPN ( Virtual Private Network ) и позволяет скрыть не только трафик,но и ip.Стоит он относительно недорого и по карману любой компании.

Если VPN не устраивает по каким - либо причинам, можно использовать более защищенные протоколы - все знаменитые протоколы вроде SMTP\POP\IRC имеют свои более защищенные аналоги.Для IM-клиентов можно использовать плагины шифрации сообщений или юзать более секуьюрые аналоги вроде SST Messenger.Просто,а главное бесплатно.

Сниф в таких условиях возможен только если на локальной машине стоит нюхач.

0x06 . Обзор боевого софта

L0pht's antisniff [ https://packetstormsecurity.nl/sniffers/antisniff/ ]

Самая распространенная и функциональная програма,работающая как из командной строки,так и имеющая GUI версию.С легкостью обнаруживает пассивные сниферы всеми возможными методами ( DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test ).

sanitize_url('<img src', 'https://img206.imageshack.us/img206/3175/antisniffhr8.png') alt="" border="0">

arp_antidote [ https://www.securitylab.ru/_tools/antidote.diff.gz ]

Представляет из себя патч для ARP протокола в NIX-системах,который мониторит arp-запросы и отбрасывает фейковые.Работает только на ядрах 2.4

Neped [ https://kalug.lug.net/coding/nettools...-libnet.tar.gz ]

Unix - утилита,поддерживает множество видов обнаружений вроде arp method и ping method

sentinel [ https://www.packetfactory.net/Projects/sentinel/ ]

�спользование програмы крайне просто sentinel [options] [methods] [-c <x.x.x>] [-f <filename>] [host]

methods:
-a arp test
-d dns test
-e icmp etherping test

options:
-c <x.x.x> class c to scan
-f <file> file of ip addresses
-i <device> network interface
-n <number> number of packets to send

Example usage:
# ./sentinel -aed -c 10.2.2


источник статьи: https://mini-rinok.ru/showthread.php?t=67


--------------------

[Da tua dum tua sunt, post mortem tunc tua non sunt] - отдай твое, пока оно твое, после смерти оно не твое (лат.)
PMСайт пользователяICQ
Top
elf
Дата 19.04.2007 - 13:35
Цитировать сообщение
Offline



.:Вечный:.
****

Профиль
Группа: -experts-
Сообщений: 733
Пользователь №: 37
Регистрация: 25.02.2005



Рейтинг:
(60%) XXX--


ставиш себе управляемый свитч с привязками мак+порт+ип (дорогой вариант - цисковская каталиста) и как минимум значительнейше усложниш снифакам жизнь... естевственна при правильной настройке... smile.gif
ну а дальше играешся с шифрацией...


--------------------
наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета
PMСайт пользователяICQ
Top
elf
Дата 20.04.2007 - 01:59
Цитировать сообщение
Offline



.:Вечный:.
****

Профиль
Группа: -experts-
Сообщений: 733
Пользователь №: 37
Регистрация: 25.02.2005



Рейтинг:
(60%) XXX--


Цитата (elf @ 19.04.2007 - 12:35)
ставиш себе управляемый свитч с привязками мак+порт+ип (дорогой вариант - цисковская каталиста) и как минимум значительнейше усложниш снифакам жизнь... естевственна при правильной настройке... smile.gif
ну а дальше играешся с шифрацией...

посоветовали AT-8524M
неплохая игрушка... smile.gif


--------------------
наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета
PMСайт пользователяICQ
Top
mulder
Дата 20.04.2007 - 09:56
Цитировать сообщение
Offline



.:in root we trust:.
*****

Профиль
Группа: -experts-
Сообщений: 1174
Пользователь №: 1151
Регистрация: 9.08.2005



Рейтинг:
(70%) XXXX-


elf
Согласен и главное в ней все реализовано !!
PM
Top

Опции темы Ответ в темуСоздание новой темыСоздание опроса

 





Frenzy, FreeBSD LiveCD