- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Анализ сетевых пакетов и dsniff
Dsniff — это набор программ для анализа сетевых пакетов, созданных группой Dug Song и используемых для проверки безопасности сети. Программа dsniff позволяет проводить перехват и декодирование данных аутентификации разных протоколов. Если использовать dsniff вместе с методами подмены ARP и DNS, можно добиться потрясающих результатов в области взлома и получения паролей как из обычных сетей, так и сетей на основе коммутаторов.
Программы анализа сетевых пакетов работают в сетях на основе широковещательного Ethernet. Информация в таких сетях пересылается посредством пакетов, которые состоят из разных частей. Первые несколько байтов пакета Ethernet содержат адреса отправителя и получателя. Пакет может быть считан любым компьютером в сети. Обычно пакет принимается только компьютером, который имеет МАС-адрес, совпадающий с адресом в поле получателя. Программы анализа пакетов пользуются тем, что пакеты передаются всем устройствам в сети, и настраивают сетевую карту так, чтобы она принимала все пакеты.
Пакет dsniff является одним из наиболее полных и функциональных бесплатных пакетов перехвата данных аутентификации. Функциональность и большое количество утилит данного пакета сделали его одним из наиболее часто используемых средств перехвата информации в сетях. Данный пакет является идеальным средством перехвата информации, поскольку может обрабатывать очень большое количество протоколов и выделять данные аутентификации.
Первая версия пакета dsniff появилась в 1998 году, и являлась одним из многих пакетов утилит, использующих библиотеку libpcap для перехвата и обработки сетевых пакетов. Dsniff основывается на возможностях своих предшественников (TCPDump и Sniffer), которые использовали библиотеку libpcap для перенастройки сетевой карты и перехвата всех пакетов в широковещательной сети. Популярность dsniff привела к тому, что лучшие взломщики потратили много сил и времени на доработку данного пакета. Недавно пакет dsniff переписан под другие платформы, включая Win32.
Одним из наиболее очевидных преимуществ dsniff является способность перехватывать и расшифровывать любые данные аутентификации в сети. Пакет dsniff был разработан для обнаружения, перехвата и фильтрации распространенных протоколов аутентификации. При этом программа может игнорировать всю остальную информацию. Это позволяет взломщику сэкономить много времени, поскольку анализ всей информации в сети является довольно трудоемкой задачей. В дополнение к этому dsniff позволяет декодировать данные аутентификации многих известных протоколов, а также перехватывать много типов TCP-соединений.
Помимо возможности перехвата и протоколов, dsniff включает в себя утилиты перехвата и сохранения электронной почты, URL-запросов HTTP и файлов, передаваемых через сеть. Некоторые из утилит, которые входят исостав данного набора, приведены ниже.
-
Arpredirect. Позволяет перехватывать пакеты, предназначенные для другого компьютера, методом подделки ответов ARP. Это дает взломщику возможность подделывать МАС-адрес другой машины.
-
TCPnice. Замедляет указанные TCP-соединения методом ограничения трафика. Данная утилита позволяет взломщику замедлить скорость передачи указанного соединения в быстрой сети.
-
FindGW. Утилита поиска шлюза сети методами пассивного перехвата пакетов.
-
Macof. Позволяет засорить локальную сеть пакетами, имеющими указанные МАС-адреса (позже читатель поймет, зачем нужна данная утилита).
-
TCPKill. Позволяет закрыть активные TCP соединения.
-
Mailsnarf. Позволяет перехватывать и выводить SMTP-пакеты, которые есть в сети.
-
WebSpy. Позволяет перехватывать URL и отсылать их броузеру в реальном времени.
-
UrlSnarf. Перехватывает и выводит все запрошенные URL-адреса, полученные в результате считывания информации HTTP. Urlsnarf сохраняет данные в формате Common Log Format (CLF), который используется большинством Web-серверов. Формат CLF удобен для последующего анализа (для этого можно воспользоваться программами wwwstat, analog и т.д.).
Использование пакета dsniff и его утилит
Утилиты из пакета dsniff могут запускаться на любых платформах UNIX, Linux или Win32. Процесс компиляции и запуска dsniff достаточно прост, однако если библиотеки libpcap, libnet или libnids на компьютере взломщика настроены неправильно, возможности пакета будет ограничены.
Одним из способов повышения безопасности сетей является переход от широковещательной сети к архитектуре с использованием коммутаторов. Коммутатор не пересылает пакеты всем компьютерам сети и действует как устройство управления каналами информации, пересылая пакеты только тем компьютерам, которым они предназначаются. Это повышает производительность сети, а также уровень безопасности. Коммутируемая среда исключает перехват пакетов с помощью программ, подобных dsniff
Коммутаторы, маршрутизаторы или активные концентраторы анализируют проходящие через них пакеты и передают их только компьютерам, которые имеют МАС-адрес, указанный в поле получателя. Коммутатор производит просмотр таблицы доступных МАС-адресов и сопоставляет МАС-адрес компьютера с его IP-адресом. Поскольку в этой ситуации анализатор сетевых пакетов не может перехватывать пакеты, взломщик должен найти способ обмануть коммутатор и сделать так, чтобы его компьютер считался компьютером получателя. Для этого следует иметь некоторую информацию о сети, в которой нужно перехватывать пакеты. Кроме того, взломщик должен иметь возможность перенастроить коммутатор таким образом, чтобы он пересылал все пакеты в сети на его машину для ретрансляции. Этот метод называется подменой ARP.
Подмена ARP
Метод подмены ARP использует недостаток, который был унаследован от широковещательных сетей. Этот недостаток заключается в методе, которым сетевые устройства собирают информацию о ближайших компьютерах. В методе подмены ARP используются поддельные MAC- и IP-адреса, для того чтобы выдать компьютер взломщика за машину жертвы. Таблица сопоставления MAC- и IP-адресов называется таблицей ARP. Когда один компьютер хочет связаться с другим, он просматривает таблицу ARP и сопоставляет IP-адрес физический и МАС-адрес сетевой карты. Если локальная таблица ARP содержит нужную запись, открывается сеанс связи. Однако если указанного IP-адреса нет в таблице, компьютер производит ARP-запрос всем компьютерам в данном сегменте сети. В нормальных условиях только компьютер, имеющий указанный МАС-адрес, ответит пакетом со своим iP-адресом. После этого в таблице ARP будет создана соответствующая запись и открыт сеанс связи. Недостаток этого метода заключается в том, что после создания такой записи, все пакеты по указанному IP-адресу будут передаваться без повторной проверки. Кроме того, ARP-запросы перехватываются остальными компьютерами в сегменте, и заносятся в их таблицы ARP.
При соответствующей настройке коммутатор может сопоставлять один физический порт с несколькими МАС-адресами. Именно благодаря этому существует возможность ARP-подмены, которая может быть проведена посредством пакета dsniff. Взломщик может обмануть коммутатор и добавить дополнительный МАС-адрес в таблицу ARP. Тогда коммутатор будет перенаправлять пакеты для указанного IP-адреса в тот сегмент сети, где расположен компьютер взломщика. После этого достаточно воспользоваться dsniff для перехвата пакетов.
Проведение взлома
Теперь, когда мы знаем о некоторых дополнительных возможностях dsniff и методах подмены ARP, можно объединить их и использовать для перехвата пакетов в коммутируемой среде. В данном случае мы будем считать, что взломщик получил пользовательскую учетную запись на сервере, и теперь пытается получить дополнительные права доступа к сетевым ресурсам, чтобы получить администраторский доступ и установить в системе люк. С этой целью взломщик проводит разведку сети и определяет, какие машины нужно подслушивать. Для этого можно воспользоваться такими утилитами, как nmap, или просканировать сеть на наличие работающих компьютеров и служб, используя ping. Можно также воспользоваться утилитой FindGW из пакета dsniff. Взломщик использует все эти утилиты для сбора информации о всех службах и функциях серверов сети.
После того как взломщик определил, какие компьютеры нужно прослушивать, он начинает процедуру подмены, посылая для этого поддельные ARP-ответы коммутатору. В результате коммутатор направляет пакеты, предназначенные для жертвы в тот же сегмент.