Еще один способ наблюдения за коммутируемыми сетями заключается в изменении МАС-адресов сетевых адаптеров Ethernet в анализируемой системе. В Linux и множестве других Unix-подобных ОС это можно сделать с помощью команды ifconfig: # /sbin/ifconfig ethl ethl Link encap: Ethernet HWaddr 00:EO:81:03:D8:8F BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 col 1isions:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:11 Base address:0xlc80 # /sbin/ifconfig ethO hw ether 00:DE:AD:BE:EF:00 # /sbin/ifconfig ethl ethl Link encap .-Ethernet HWaddr 00:DE:AD:BE:EF:00 BROADCAST MULTICAST MTU:1500 Metric:l RX packets:0 errors:0 dropped:0 overruns:0 frame:0

ТХ packets:0 errors:0 dropped:0 overruns:0 carrier;0 collision$:0 txqueuelen:100 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:11 Base address:0xlc80

Основная цель этой операции — обмануть коммутатор и заставить его отправлять трафик на два различных узла сегмента. Иногда это делается «на авось», поскольку различные коммутаторы ведут себя по-разному, когда в сети обнаруживаются два одинаковых МАС-адреса. Коммутатор может переслать трафик на оба порта, непредсказуемо распределить трафик между ними, вообще прекратить передачу трафика или сгенерировать ошибку. Все эти методы обнаруживаются и блокируются коммутаторами с более развитой системой управления, которые позволяют указать, какие МАС-адреса допустимы для каждого отдельного порта. Эта функция иногда называется защитой порта (port security). Однако даже если взломщик не станет прибегать к этим методам, он по-прежнему может собирать крупицы сведений, просто переключив сетевой адаптер в «беспорядочный режим». Например, широковещательный трафик DHCP- и ARP-запросов все так же будет посылаться на все порты коммутатора.

Этот трафик не очень легко обнаружить, если только вы не знакомы с инфраструктурой. Одним из средств, помогающих обнаружить сетевые адаптеры, работающие в «бес- порядочном режиме» как в коммутируемых, так и в некоммутируемых сетях, является sniffdet (http://sniffdet.sourceforge.net). Для средства, которое служит только одной цели, sniffdet является многосторонним, так как может обнаружи- вать «шпионов» различными способами. Основное отличие sniffdet от средств типа Arpwatch заключается в том, что sniffdet ищет «разведчиков» активно, то есть если предполагается, что на машине запущен анализатор, то можно запустить sniffdet и задать проверку режима адаптера именно на этой машине. Для компоновки и установки sniffdet необходимо иметь библиотеку инжекции пакетов libnet (http://www.packetfactory.net/projects/libnet/). Обязательно загрузи- те последнюю версию 1.0.x, поскольку libnet версии 1.1 несовместима с программами, написанными для версий 1.0.x.

8-3

На заметку: Если Вам необходим интернет магазин под ключ по выгодным ценам, тогда рекомендуем обратить внимание на сайт http://intertale.ru/.

Для компиляции libnet распакуйте исходный код и перейдите в каталог, создан- ный при распаковке. После этого запустите команду $ ./configure && make После завершения компиляции получите root-полномочия и введите make install. Компоновка sniffdet также обычна. Как и при установке libnet, необходимо распаковать исходный дистрибутив и перейти в созданный каталог, после этого скомпоновать и установить его. Sniffdet имеет несколько методов определения того, что целевая машина работает в качестве анализатора («вынюхивателя»). Однако только два из них будут работать с повторяющимися и предсказуемыми результатами — ARP- и DNS-тесты. ARP-тест основан на том, как стек протокола «вынюхивающей» системы поступает с ARP-запросами, находясь в «беспорядочном режиме».

При запуске этого теста sniffdet отправляет ARP-запрос на целевую машину. Этот запрос имеет неверные МАС-адреса источника и пункта назначения, но использует верный IP-адрес проверяемой машины. Если целевая машина находится в «беспорядочном режиме», ARP-запрос с ложным МАС-адресом пройдет через стек протокола, и эта машина пошлет отклик. Если машина не в «беспорядочном режиме», то этот запрос будет спокойно сброшен. Такой метод эффективен как в коммутируемых, так и в некоммутируемых сетях.

DNS-тест работает подобным образом, особенно в сетях с совместно используемой средой (на основе концентраторов либо в беспроводных сетях). Однако он основан на разрешении имен, включенном у «вынюхивателя». При выполнении DNS-теста sniffdet посылает лавину пакетов, содержащих IP-адрес, не используемый в данной сети. Если разрешение имен включено, то «шпион» попытается выполнить обратный поиск с целью определения имени узла, соответствующего этому IP-адресу. А поскольку эти адреса не существуют, sniffdet определит, что целевая машина, просматривающая DNS-запросы, находится в «беспорядочном режиме». Этот тест может выполняться так же, как и ARP-тест, но вместо ключа -t arp используется -t dns.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *