МІНІСТЕРСТВО ОСВІТИ І НАУКИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
/
З В І Т
до лабораторної роботи №10
з курсу «Безпека інформації в інформаційно-комунікаційних системах»
на тему:
«Дослідження мережних протоколів та сканування TCP/IP мереж за допомогою програми NMap»
�
Мета роботи: Набуття практичних навиків аналізу мережевого трафіку, який проходить у мережі.
Теоретичні відомості
Аналізатор трафіку (сніфер). Іноді буває необхідно або корисно виконати моніторинг мережевого трафіку на комп'ютері, адже ми можемо стежити за усіма даними, що входять в комп'ютер, та виходять з нього. Тобто ми може перехоплювати трафік та прослідковувати ви- конані операції, для чого існують спеціальні програми аналізатори трафіку (сніфе- ри). Аналізатор трафіку або сніфер — програма або програмно-апаратний прист- рій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мере- жного трафіку, призначеного для інших вузлів.
Перехоплення трафіку може здійснюватися:
( звичайним «прослуховуванням» мережевого інтерфейсу (метод ефек- тивний при використанні в сегменті концентраторів (хабів) замість комутаторів (світчей), інакше метод малоефективний, оскільки на сніфер потрапляють лише окремі фрейми); ( підключенням сніфера в розрив каналу;
( відгалуженням (програмним або апаратним) трафіку і спрямуванням його копії на сніфер; ( через аналіз побічних електромагнітних випромінювань і відновлення трафіку, що таким чином прослуховується;
( через атаку на канальному (2) (MAC-spoofing) або мережевому (3) рів- ні (IP-spoofing), що приводить до пере направлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу. На початку 1990-х широко застосовувався хакерами для захоплення призна- чених для користувача логінів і паролів, які у ряді мережевих протоколів переда- ються в незашифрованому або слабо-зашифрованому вигляді. Широке розповсю- 8 дження хабів дозволяло захоплювати трафік без великих зусиль у великих сегмен- тах локальної мережі практично без ризику бути виявленим. Сніфери застосовуються як в благих, так і в деструктивних цілях. Аналіз тра- фіку, що пройшов через сніфер, дозволяє:
( виявити паразитний, вірусний і закільцьований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку (сніфери тут малоефективні; як правило, для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз). ( виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це заз- вичай роблять за допомогою спеціалізованих сніферів — моніторів мережної активності).
( Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інфор- мації.
( Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністрато- рами)
Оскільки в «класичному» сніфері аналіз трафіку відбувається вручну, із зас- тосуванням лише простих засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.
Як не дивно, в природі існує безліч сніферів, тому їх поділяють на категорії :
( HTTP сніфери (HTTP Analyzer, IEWatch Professional, EffeTech HTTP Sniffer), перехоплюють HTTP заголовки
; ( принт-сніфери (O & K PrintWatch , PrintMonitor , PrintInspector ) , доз- воляють контролювати і керувати процесом друку в мережі;
( аналізатори протоколів (Wireshark, TracePlus32 WebDetective, CommView );
( сніфери IM систем (MSN Shiffer, ICQ Sniffer, AIM Sniff, IM- Sniffer), надають перехоплену переписку у зручно читається вигляді ;
( парольні сніфери (Cain&Abel, AcePasswordSniffer), перехоплюють і контролюють різноманітні паролі;
( сніфери бездротових мереж (Kismet, airodump - ng, CommViewforWiFi), перехоплюють трафік бездротових мереж навіть без підключен...
