Анализатор протоколов как он есть

Как уже было сказано, сетевой адаптер каждого компьютера в сети Ethernet как правило "слышит" все, о чем "толкуют" между собой его соседи по сег­менту этой сети. Но обрабатывает и помещает в свою локальную память он только те порции (так называемые кадры) данных, которые содержат его уникальный сетевой адрес.

В дополнение к этому подавляющее большинство современных Ethernet-адаптеров допускают функционирование в особом режиме, называемом бес­порядочным (promiscuous). При использовании данного режима адаптер ко­пирует в локальную память компьютера все без исключения передаваемые по сети кадры данных.

Специализированные программы, переводящие сетевой адаптер в беспоря­дочный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов. Администраторы сетей широко при­меняют анализаторы протоколов для осуществления контроля за работой этих сетей и определения их перегруженных участков, отрицательно влияющих на скорость передачи данных. К сожалению, анализаторы прото­колов используются и злоумышленниками, которые с их помощью могут перехватывать чужие пароли и другую конфиденциальную информацию.

Надо отметить, что анализаторы протоколов представляют серьезную опас­ность. Само присутствие в компьютерной сети анализатора протоколов ука­зывает на то, что в ее защитных механизмах имеется брешь. Установить анализатор протоколов мог посторонний человек, который проник в сеть извне (например, если сеть имеет выход в Internet). Но это могло быть и Делом рук доморощенного злоумышленника, имеющего легальный доступ к сети. В любом случае к сложившейся ситуации нужно отнестись со всей серьезностью. Специалисты в области компьютерной безопасности относят атаки на ком­пьютеры при помощи анализаторов протоколов к так называемым атакам второго уровня. Это означает, что компьютерный взломщик уже сумел про­никнуть сквозь защитные барьеры сети и теперь стремится развить свой ус­пех. При помощи анализатора протоколов он может попытаться перехватить регистрационные имена и пароли пользователей, их секретные финансовые данные (например, номера кредитных карточек) и конфиденциальные со­общения (к примеру, электронную почту). Имея в своем распоряжении дос­таточные ресурсы, компьютерный взломщик в принципе может перехваты­вать всю информацию, передаваемую по сети.

Анализаторы протоколов существуют для любой платформы. Но даже если окажется, что для какой-то платформы анализатор протоколов пока еще не написан, с угрозой, которую представляет атака на компьютерную систему при помощи анализатора протоколов, по-прежнему приходится считаться. Дело в том, что анализаторы протоколов исследуют не конкретный компью­тер, а протоколы. Поэтому анализатор протоколов может обосноваться в любом узле сети и оттуда перехватывать сетевой трафик, который в резуль­тате широковещательных передач попадает в каждый компьютер, подклю­ченный к сети.

Одна из первых атак, проведенных при помощи анализаторов протоколов, была зафиксирована в 1994 г. в США. Тогда неизвестный злоумышленник разместил анализатор протоколов на различных хостах и магистральных уз­лах сетей Internet и Milnet, в результате чего ему удалось перехватить более 100 тыс. регистрационных имен и паролей пользователей. Среди пострадав­ших от атаки оказались Калифорнийский государственный университет и Ракетная лаборатория министерства обороны США.

Наиболее частыми целями атак компьютерных взломщиков, которые те осуществляют, используя анализаторы протоколов, являются университеты. Хотя бы из-за огромного количества различных регистрационных имен и паролей, которые могут быть украдены в ходе такой атаки. Да и сами сту­денты отнюдь не брезгуют возможностями анализаторов протоколов. Неред­ким является случай, когда несколько студентов, заняв компьютер, подклю­ченный к локальной сети университетской библиотеки, быстро устанавливают с нескольких дискет анализатор протоколов. Затем они про­сят ничего не подозревающую жертву, сидящую за соседним компьютером: "Вы не могли бы заглянуть в свой почтовый ящик, а то у нас почему-то электронная почта не работает?" Несколько минут спустя вся эта группа компьютерных взломщиков-любителей, перехватив регистрационное имя и пароль доступа соседа к почтовому серверу, с удовольствием знакомится с содержимым его почтового ящика и посылает письма от его имени.

Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться от него хоть какой-то пользы, компьютерный взломщик должен хорошо знать сетевые техноло­гии- Просто установить и запустить анализатор протоколов нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров трафик составляет тысячи и тысячи пакетов в час. И следовательно, за короткое время выходные данные анализатора протоколов заполнят жесткий диск полностью.

Поэтому компьютерный взломщик обычно настраивает анализатор протоко­лов так, чтобы он перехватывал только первые 200—300 байт каждого паке­та, передаваемого по сети. Обычно именно в заголовке пакета размещается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распо­ряжении взломщика имеется достаточно пространства на жестком диске, то увеличение объема перехватываемого трафика пойдет ему только на пользу. В результате он может дополнительно узнать много интересного.

На серверах в сети Internet есть множество анализаторов протоколов, кото­рые отличаются лишь набором доступных функций. Например, поиск по запросам protocol analyzer и sniffer на сервере www.softseek.com сразу дает ссылки на добрый десяток программных пакетов. Для компьютеров, работающих под управлением операционных систем Win­dows, одними из лучших являются анализаторы протоколов Lan Explorer компании Intellimax и NetXRay компании Network Associates. NetXRay (в переводе с английского — Сетевой рентген) обладает обширным набором функций, которые позволяют делать моментальный снимок "внутренностей" сети Ethernet, определять, какие ее узлы и сегменты несут наибольшую на­грузку, составлять отчеты и строить диаграммы на основе полученных дан­ных (рис. 4.4). Бесплатная версия NetXRay доступна в Internet по адресу http://www.nai.com/asp_set/products/tnv/snifferbasic_intro.asp. Анализатор про­токолов Lan Explorer (в переводе с английского — Анализатор ЛВС) не усту­пает по своей функциональности NetXRay, имеет очень хороший пользова­тельский интерфейс, удобен и прост в использовании (рис. 4.5). Пробная 15-дневная версия Lan Explorer доступна по адресу http:// www.intellimax.com/ftpsites.htm.

Анализатор протоколов Network Monitor (рис. 4.6) входит в состав операци­онной системы Windows NT 4.0 Server корпорации Microsoft. Для его уста­новки следует в Панели управления (Control Panel) дважды щелкнуть на пиктограмме Сеть (Network), затем перейти на вкладку Службы (Services), нажать кнопку Добавить (Add) и в появившемся диалоговом окне выбрать Network Monitor Tools and Agent. После установки Network Monitor можно запустить из папки Network Analysis Tools раздела Администрирование (Administrative Tools) в меню Программы (Programs). Защита от анализаторов протоколов

Дата добавления: 2014-01-07; Просмотров: 799; Нарушение авторских прав?; Мы поможем в написании вашей работы!