Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2013
Тип роботи:
Звіт
Предмет:
Основи наукових досліджень
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра БІТ
ЗВІТ
до практичних робіт
з дисципліни:
«ОСНОВИ НАУКОВИХ ДОСЛІДЖЕНЬ»
Львів – 2013
ЗМІСТ
Актуальність теми дослідження
Мета дослідження
Об’єкт дослідження
Предмет дослідження
Методика дослідження
Практичне значення роботи та новизна
Рекомендована література
Практичне заняття № 1
Понятійний апарат наукового дослідження
Мета: навчити студентів виділяти об’єкт, предмет, мету, актуальність дослідження за власною темою науково-дослідної роботи, обирати методи та способи дослідження.
Хід практичної роботи
Форма наукового твору не залежить від його виду: будь-то курсова, кваліфікаційна, дипломна, або дисертаційна робота. Вони мають єдину мову і розрізнюються тільки обсягами виконаної роботи.
Для даного дослідження я вибрав бакалаврську кваліфікаційну роботу на тему: «Дослідження методів виявлення аналізаторів мережі», яку я виконав у 2013р. на кафедрі безпеки інформаційних технологій.
Під час оформлення результатів науково-дослідної роботи необхідною вимогою є подання понятійного апарату: актуальності дослідження, його мети та задач, об’єкта, предмета, методів, новизни, практичного значення, апробації одержаних результатів, а також структури та обсягу роботи.
АКТУАЛЬНІСТЬ ТЕМИ ДОСЛІДЖЕННЯ
Завдяки розповсюдженню різних мобільних комп’ютерних пристроїв та розвитку сучасних технологій безпровідного зв’язку, стало можливим користуватись Інтернетом у будь-якому місці. В повсякденній мові слово INTERNET найчастіше вживається в значенні Всесвітньої павутини і доступної в ній інформації, а не у значенні самої фізичної мережі. Сьогодні до Інтернету підключаються навіть такі “домашні” пристрої як телевізори, медіапрогравачі, холодильники. 5 січня 2011 року кількість інтернет-користувачів у світі сягнула 2 мільярдів.[3] Порівняно з іншими країнами на середину 2012 року Україна входить до першої десятки країн Європи за кількістю інтернет-користувачів[25] — доступ до всесвітньої павутини мають до 15 млн. українців.
Сучасний Інтернет має також дуже багато соціальних та культурних
граней. Він є універсальним середовищем для спілкування, розваг та навчання. Так, за результатами дослідження Оксфордського університету підлітки, які мали доступ до Інтернету, отримували вищі оцінки за тих, хто не мав доступу до інтернету. За допомогою Інтернету стало можливо робити покупки та оплачувати послуги. Для багатьох людей Інтернет — це спосіб заробітку. А в цілому Інтернет - це віддзеркалення сучасного суспільства та світосприйняття.
Зазвичай пересічні користувачі не замислюються над тим, чи вся інформація яку вони передають в Інтернет справді захищена від стороннього доступу. Звичайно, кожен користувач хоче бути впевненим у своїй безпеці, що його персональні дані не будуть використовуватись без його дозволу, що йому самому не буде нанесено ні матеріального ні морального збитку, що його пристрої та його складові не будуть використовуватися кимось іншим без дозволу користувача. Але насправді на даний час поки мало сервісів в інтернеті, котрі дійсно забезпечують повний захист інформації. Особливо це стосується офісів великих установ, корпорацій чи підприємств, де комп’ютерні мережі використовуються для спільного доступу до інтернету. Тому питання безпеки в Інтернеті залишається ,без сумніву, актуальним.
У даній роботі будуть розглянуті найбільш популярні атаки в комп’ютерних мережах так і на користувачів зокрема. Особлива увага приділена сніффінгу, бо з його допомогою зловмисник може заволодіти як персональною інформацією (логіни, паролі та ін.) так і номерами банківських рахунків, кредитних карт. А також, згідно з звітом по вразливостях, цей вид займає 10,8% від усіх вразливостей за версією SecurityLab за 4 місяці 2012 року. Також будуть розглянуті методи боротьби з даними атаками, виявлення зловмисника-сніффера та різноманітні способи забезпечення безпеки.
МЕТА ДОСЛІДЖЕННЯ
Метою даної бакалаврської роботи є вивчити найпоширеніші види атак в комп’ютерних мережах, показати їхній вплив на роботу мережі та можливість втрати конфіденційних даних. Після дослідження атак,основною ціллю було,описати методи виявлення та різні види протидії цим атакам.
ОБ’ЄКТ ДОСЛІДЖЕННЯ
Об’єктом даного дослідження стали атаки в комп’ютерних мережах і самі процеси, які відбуваються підчас атак. А саме такі атаки як sniffing,spoofing, MITM та ін.,включаючи різноманітні методи їх виявлення та протидії.
Розглянемо можливість прослуховування каналу зв'язку (sniffing) в локальній мережі організації. Для прослуховування трафіку необхідно перевести мережевий адаптер в «безладний» (promiscuous) режим. У даному режимі адаптер перехоплює всі мережеві пакети, що проходять через нього, а не тільки призначені даному адресою, як у нормальному режимі функціонування. Якщо локальна мережа побудована на концентраторах, то для зловмисника виявляється доступним весь мережевий трафік в межах сегмента локальної мережі. У мережі побудованої на комутаторах, трафік прямує тільки того комп'ютера, якій він призначений. Тобто якщо комп'ютер "A" обмінюється пакетами з комп'ютером "B", то комп'ютер "С" не здатен перехоплювати цей трафік. Однак, існує ряд технологій що дозволяють обійти обмеження, що накладаються комутаторами. Ці технології - ARP Spoofing (ARP-poisoning), MAC Flooding і MAC Duplicating [17].
Метод ARP-Spoofing заснований на атаці «людина посередині» (man-in-the-middle). Дана атака можлива через уразливість в реалізації протоколу ARP. Протокол дозволу адрес ARP (Address Resolution Protocol) призначений для з'ясування MAC-адреси хоста за його IP-адресою. Для обміну інформацією двом хостам в мережі Ethernet, кожному з них необхідно отримати MAC-адресу іншого. Ця процедура здійснюється з використанням протоколу ARP. Хост «А», бажаючий встановити з'єднання з хостом «В», спочатку перевіряє наявність MAC-адреси хоста «В» у своєму ARP-кеші. У разі його відсутності в кеші, здійснюється розсилка широкомовного запиту з метою виявити MAC-адресу, відповідний IP-адресою хоста «В». Хост «В», порівнявши IP-адреса в запиті зі своїм IP-адресою, посилає відповідь (ARP-reply), в який поміщає свій MAC-адресу. Обидва хоста «А» і «В» поміщають отримані MAC-адреси в свої ARP-кеші, щоб мінімізувати кількість широкомовних запитів. Тепер хости можуть обмінюватися даними, використовуючи MAC-адреси.
Рис. 1.5. Демонстрація атаки ARP-spoofing (джерело: www.oxid.it)
Атака MAC-duplicating полягає в установці на хості зловмисника «С» MAC-адреси, що збігається з MAC-адресою іншого хоста в мережі, наприклад «В». Тепер всі пакети, що направляються хосту «В» будуть також надіслані і хосту «С». Завдання зловмисника не відповідати на ці пакети, а тільки приймати їх.
Атака MAC-flooding заснована на особливості роботи комутаторів. Посилка на комутатор величезного числа ARP-запитів на неіснуючі IP-адреси, викличе переповнення пам'яті комутатора і його перехід в режим функціонування концентратора. Для зворотного переходу в нормальний режим функціонування необхідно перевантажити живлення комутатора.
Таким чином, реалізуючи атаки ARP-Spoofing і MAC-duplicating, можна прослуховувати трафік між будь-якими хостами в локальній мережі корпорації, побудованої на концентраторах і комутаторах без використання шифрування.
Досліджуємо, до яких наслідків може призвести прослуховування мережевого трафіку. Сучасні мережеві протоколи локальних і глобальних мереж розроблялися, коли проблеми інформаційної безпеки не були першочерговими. Відповідно, в даних протоколах практично відсутні механізми захисту. Це справедливо для багатьох широко-використовуваних протоколів - TCP / IP, ARP, HTTP, FTP, SMTP, POP3 і т.д. Тому в останні 5-10 років були розроблені вдосконалені версії протоколів передачі даних, здатних протистояти загрозам безпеки. Буквально недавно відбувся перехід від використання в Інтернет протоколу IPv4 до IPv6, що включає специфікацію IPSec для захисту переданих даних.Розглянемо уразливості цих протоколів важливі стосовно до корпоративних мереж.
Основними слабкостями мережевих протоколів є відсутність засобів забезпечення конфіденційності даних. Так, за наявності у корпоративній мережі поштового сервера з доступом по POP3, SMTP і IMAP, зловмисник, що перехоплює трафік між поштовим сервером і будь-яким вузлом мережі, може заволодіти аутентифікаціми даними користувача. Це можливо, оскільки згідно специфікації протоколу POP3 [18] аутентифікаційні дані передаються у відкритому вигляді.
Багато користувачів мають безкоштовні поштові скриньки в Інтернеті, такі як mail.ru, ukr.net і т.д. Доступ до цих скриньок здійснюється з використанням web-інтерфейсу або за допомогою поштових програм, таких як Microsoft Outlook або The Bat. У більшості випадків користувачі, не бажаючи запам'ятовувати безліч паролів, вибирають один і той же пароль для безлічі служб .Таким чином, перехоплений зловмисником пароль до поштової серверу до Інтернету, може надати йому доступ до ресурсів корпоративної мережі.
ПРЕДМЕТ ДОСЛІДЖЕННЯ
Аналіза́тор тра́фіку, або сні́фер (від англ. to sniff — нюхати) — програма або програмно-апаратний пристрій, призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку, призначеного для інших вузлів.
Сніффери застосовуються як в благих, так і в деструктивних цілях. Оскільки в «класичному» сніффері аналіз трафіку відбувається вручну, із застосуванням лише простих засобів автоматизації (аналіз протоколів, відновлення TCP-потоку), то він підходить для аналізу лише невеликих його обсягів.
Підчас дослідження я користувався найбільш поширеними аналізаторами мережі для ОС Windows XP, 7 на даний час: Wireshark , LanGrabber , Microsoft Network Monitor 3.4, Windump(аналог tcpdump з Unix), Cain & Abel та Ettercap, tsshark для Linux.
Wireshark (безплатне ПЗ)
Wireshark - це аналізатор мережевого трафіку. Його завдання полягає в тому, щоб перехоплювати мережевий трафік і відображати його в детальному вигляді. Аналізатор мережевого трафіку можна порівняти з вимірювальним пристроєм, який використовується для перегляду того, що відбувається всередині мережевого кабелю, як наприклад вольтметр використовується електриками для того щоб дізнатися що відбувається всередині електропроводки (але, звичайно, на більш високому рівні). У минулому такі інструменти були дуже дорогими і пропрієтарними. Однак, з моменту появи такого інструменту як Wireshark ситуація змінилася.
Wireshark - це один з кращих аналізаторів мережевого трафіку, доступних на сьогоднішній момент. Wireshark працює на основі бібліотеки pcap. Для Unix-подібних систем використовують libpcap бібліотеку, а для Microsoft Windows використовують WinPcap бібліотеку.Системні адміністратори використовують його для вирішення проблем в мережі. Аудитори безпеки використовують його для виявлення проблем в мережі. Звичайні користувачі використовують його для вивчення внутрішнього устрою мережевих протоколів.
Рис. 2.3.Інтерфейс головного вікна програми
Можливості Wireshark :
Працює на більшості сучасних ОС (Microsoft Windows, Mac OS X, UNIX). Wireshark - продукт з відкритим вихідним кодом, який поширюється на підставі ліцензії GPL.
Перехоплення трафіку мережевого інтерфейсу в режимі реального часу. Wireshark може перехоплювати трафік різних мережевих пристроїв, відображаючи його ім'я (включаючи бездротові пристрої).
Безліч протоколів декодувальнику (TELNET, FTP, POP, RLOGIN, ICQ, SMB, MySQL, HTTP, NNTP, BGP, IMAP 4, NFS, SNMP та інші).
Збереження і відкриття раніше збереженого мережевого трафіку.
Імпорт та експорт файлів з інших пакетних аналізаторів. Wireshark може зберігати перехоплені пакети в велику кількість форматів інших пакетних аналізаторів, наприклад: libpcap, tcpdump, Sun snoop, atmsnoop тощо.
Дозволяє фільтрувати пакети по безлічі критерій, шукати пакети по безлічі критеріїв.
Дозволяє підсвічувати захоплені пакети різних протоколів і створювати різноманітну статистику.
Cain & Abel (безплатне ПЗ)
Якщо шукаєш утиліту для відновлення всіляких паролів, то кращого інструменту тобі, мабуть, не знайти. Цей універсальний солдат в буквальному сенсі готовий на все,включаючи вбудований сніффер. Правда, для цього знадобиться драйвер WinPcap, але не біда - у разі необхідності Cain & Abel заінсталює його прямо під час установки.. Зауважу, що справа не обмежується одним лише перехопленням паролів від всіляких сервісів, починаючи від банальних FTP/POP3 і закінчуючи екзотикою, на зразок ключів для Radius-серверів. Щоб не було проблем з комутаторами, програма відмінно володіє прийомом ARP-спуфінгу. Умілі маніпуляції з MAC-адресами і заголовками пакетів призводять до результатів: сніффер працює майже безвідмовно. Cain & Abel може зламати 25 типів хеш, провести дослідження бездротової мережі, а також виконати ще цілий ряд унікальних дій, націлених насамперед на підбір або розшивку паролів, за допомогою 15 вбудованих утиліт. У списку найкорисніших утиліт для захисту в мережах, крім легендарніших Nmap, Nessus, Ethereal є і Cain & Abel. А це багато про що говорить.
Що нового в Cain & Abel:
У новій версії програми розробники прискорили працездатність програми. Крім того, була реалізована підтримка функуції ARP Poison Routing (отруєння ARP маршрутизатора). Сніффер в цій версії може також аналізувати зашифровані протоколи, такі як SSH-1 і HTTPS, а також містить фільтри для захоплення облікових даних з широкого діапазону механізмів аутентифікації. Нова версія також містить словники для всіх поширених алгоритмів хешування. Також було додано декілька утиліт, пов'язаних з комп'ютерними мережами і системами безпеки.
МЕТОДИКА ДОСЛІДЖЕННЯ
Реалізація сніффінгу. Перехоплення даних
Аналіз трафіку, що пройшов через сніффер, дозволяє:
Виявити паразитний, вірусний і закольцований трафік, наявність якого збільшує завантаження мережного устаткування і каналів зв'язку .
Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад, мережеві сканери, флудери, троянські програми, клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніфферів — моніторів мережної активності).
Перехопити будь-який незашифрований (а деколи і зашифрований) призначений для користувача трафік з метою отримання паролів і іншої інформації.
Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніффери часто застосовуються системними адміністраторами)
Рисунок 2.9. Перехоплення логіна та пароля при вході на електронну пошту.
Методи виявлення аналізаторів мережі
Існують певні технології, які можуть бути використані для визначення комп’ютерів, з МА, які працюють в promiscuous режимі, що вказує на імовірний сніффінг локальної мережі. Ці технології використовують специфічні особливості TCP/IP-стеку. Розглянемо деякі існуючі методи визначення наявності запущеного сніффера в локальній мережі.
Метод пінгу (Ping method)
Більшість сніфферів працюють на комп’ютерах зі звичайним стеком TCP/IP. Це означає, що якщо відправляється запит на ці комп’ютери, вони відгукнуться.
Метод пінгу використовує прийом, що полягає у відсиланні «ICMP Echo request» (Ping-запиту) не на MAC-адресу машини, а на її IP-адресу. Проілюструємо використання даного методу на прикладі.
1. Припустимо, хост, який підозрівається на використання сніффера, має IP-адресу 10.1.1.1 і MAC-адресу 00-40-05-A4-79-32.
2. Комп’ютер адміністратора повинен знаходитися в тому ж сегменті мережі, що і підозрюваний комп'ютер.
3. Адміністратор посилає «ICMP Echo request», вказавши в запиті IP-адресу підозрюваного хоста і його злегка змінену MAC-адресу, наприклад, 00-40-05-A4-79-33.
4. Кожен хост, одержавши даний запит, порівнює вказану в запиті MAC-адресу з своєю MAC-адресою. У разі збігу MAC-адрес, хост відповідає відправнику за допомогою «ICMP Echo Reply», інакше пакет ігнорується. В даному випадку, жоден з хостів мережі не повинен побачити даний пакет.
5. Якщо ж одержана відповідь від якого-небудь хоста, це означає що у нього не використовується фільтр MAC-адрес, тобто його мережевий адаптер знаходиться в «хаотичному режимі». Отже на даному хості використовується сніффер.
Метод пінгу може бути перенесений на інші протоколи, які генерують відповіді на запити (запит на встановлення TCP-з’єднання або запит по протоколу UDP на порт 7 – echo), та протоколи які можуть генерувати помилку на цільову машину (наприклад, неправильні значення в заголовку IP можуть бути використані для генерації помилки ICMP).
Метод ARP-тесту (ARP method)
Метод ARP використовує схожу техніку, а також особливості реалізації протоколу ARP в Windows і Linux. Розглянемо дію даного методу на прикладі визначення хоста під управлінням Windows із запущеним сніффером.
1. Ви підозрюєте, що на хості (А) з IP-адресою 192.168.86.19 запущений сніффер. Якщо ви розішлете широкомовний ARP-запит, з Ethernet-адресою FF:FF:FF:FF:FF:FF, з метою з'ясування MAC-адреси хоста (А), всі хости повинні одержати ваш запит, але відповість тільки той, чия IP-адреса вказана в ARP-запиті (тобто підозрюваний). У таблиці приведені поля пакету ARP-запиту, що розсилається.
Ethernet-адреса хоста-одержувача: FF:FF:FF:FF:FF:FF
Ethernet-адреса хоста-відправника: Власна MAC–адрес
IP-адреса хоста-відправника: Власна IP-адреса
IP-адреса хоста-одержувача: IP-адреса хоста (А)
Проте якщо на хості запущений сніффер, то в деяких випадках він неправильно обробляє ARP-запити.
2. Потрібно послати такий самий ARP-запит, але замість широкомовної адреси FF:FF:FF:FF:FF:FF вказати адресу FF:FF:FF:FF:FF:FE (помилкова широкомовна адреса). Оскільки адреса не є широкомовною, теоретично жоден з хостів не повинен відповісти на такий запит.
Рис.2.10. Розсилка ARP-запиту на помилкову широкомовну адресу FF:FF:FF:FF:FF:FE
Рис.2.11.Хост (А) надсилає ARP-відповідь на помилковий широкомовний ARP-запит, видаючи тим самим, що на ньому запущений сніффер
Проте Windows 2000/XP/2003 за умови, що мережевий адаптер, працює в безладному режимі, порахує такий запит широкомовним. Відповідно хост (A), на якому запущений сніффер, порівнявши IP-адресу в запиті з своєю IP-адресою, надішле відповідь ARP-reply. Таким чином, хост (A) видасть, що він прослуховує весь мережевий трафік. Ситуацію ілюструють наступні екранні знімки, зроблені з аналізатора протоколів Sniffer Pro:
Відзначимо, що дані методи в більшості випадків дозволяють лише з деякою ймовірністю визначити наявність сніффера. Програм, що визначають їх наявність, не так багато. Розглянемо найбільш популярні з таких програм в пункті 3.2 цього розділу.
Метод DNS-тесту
DNS-тест працює схожим чином. Проте він базується на дозволі імен, включеному на сніффері. При виконанні DNS-тесту посилається лавина пакетів, які містять ІР-адрес, що не використовується в даній мережі від імені неіснуючої МАС-адреси. Якщо дозвіл імен включено, то сніффер спробує виконати зворотний пошук з метою визначення імені вузла, з відповідним ІР-адресом. Таким чином, визначається що цільова машина, яка переглядає DNS-запити знаходиться в хаотичному режимі, а режим сніффінгу може бути виявлений при допомозі перегляду DNS-трафіку, який він створює. Для цього потрібно переглядати вхідні запити до DNS сервера організації.
Метод пастки
В той час як ping – або ARP-методи працюють тільки у внутрішній мережі, метод пастки працює всюди. Він просто полягає в настройці клієнта і сервера на будь-якій частині мережі, яка використовується клієнтом для виконання підключення використовуючи Telnet, POP або інший незашифрований протокол. Сервер настроєний з акаунтами, які не мають реальних привілегій, або ж сервер повністю віртуальний (в цьому випадку акаунти просто не існують).
Як тільки ЗЛ відфільтрує імена користувачів/паролі, він спробує підключитися, використовуючи цю інформацію. Звичайні IDS або відстеження аудитом можуть бути настроєні на те, щоб записувати в файли реєстрації такі явища і давати сигнал про те, що ЗЛ спробував використати цю інформацію.
Метод хоста (визначення сніффера на локальному комп’ютері)
У багатьох Unix-системах є команда “ifconfig -a”, або аналогічна, яка повідомляє вам інформацію про всі мережеві інтерфейси, і про їх стан. Інформація виглядає наступним чином:
# ifconfig -a
hme0: flags=863<UP, BROADCAST, NOTRAILERS, RUNNING, PROMISC, MULTICAST> mtu 1500
inet 192.0.2.99 netmask ffffff00 broadcast 192.0.2.255 ether 8:0:20:9c:a2:98
Прапорець PROMISC говорить про те, що інтерфейс знаходиться в хаотичному режимі.
ПРАКТИЧНЕ ЗНАЧЕННЯ РОБОТИ ТА НОВИЗНА
Показавши як працюють дані атаки ми можемо дослідити програмні методи для запобігання аналізу трафіку в мережі. Ці програми можна буде використовувати на персональних комп’ютерах адміністраторів та спеціалістів у сфері безпеки на конкретному підприємстві зі своєю локальною мережею.
Програмне забазпечення для виявлення сніфферів та їх використанння:
Cain & Abel
Про основні функції даної утиліти я вже згадував вище, у Розділі 2.Ця універсальна програма може не тільки бути сніффером чи інструментом для
Рис.2.20.Визначення сніффера на хості з IP-адресою 192.168.86.19 з використанням розсилки помилкового широкомовного ARP-запиту типу B31(FF:FF:FF:FF:FF:FE)
взлому паролів, а також виконувати функцію виявлення аналізаторів мережі.
У своїй роботі ця сучасна утиліта використовує, найбільш надійний на даний час метод – метод ARP. На рис.2.20. зображено , як можна виявити аналізатором мережевого трафіку.
NetScanTools Demo
Даний пакет утиліт дозволяє робити практично все що завгодно з пакетами у локальній мережі. В комплекті включена утиліта під назвою : Promiscuous Mode Scanner, яка сканує локальну мережу на наявність аналізаторів мережі , тобто мережевих адаптерів із включеним режимом : “promiscuous”.
Даний сканер використовую метод ARP для виявлення сніфферів. Дослідження роботи даної утиліти зображено в Додатку А на рисунках.
Порівняльна характеристика програм
Проаналізувавши статистичну інформацію з літератуних та інтернет ресурсів я можу зробити певну характеристику та порівняння представлених в даній роботі програм, які виконують виявлення аналізаторів мережі. Дослідивши найбільш поширені на даний час операційні системи(Windows XP,Windows 7,Linux BackTrack5, Linux Ubuntu та ін.), ми бачимо , що на даний час для виявлення сніффера в локальній мережі найбільше використовується так званий метод ARP. Інші методи на сучасній техніці та програмному забезпеченні не можуть показати нам наявність аналізаторів у внутрішній мережі, а якщо можуть – то з малою імовірністю, точністю та потребують неабиякого вміння та навичок програмування для мережевого адміністратора.
Тому у даній роботі я проаналізував та дослідив на практиці роботу таких антисніфферів: Cain & Abel, NetScanTools Demo, Promiscan 3.0. Дані, зібрані під час практичних випробувань, відображені в порівняльній Таблиці 2.
Назва
програми
Опції,
можливості
Cain&Abel
NetScanTools
Promiscan
Ettercap
Доступність для завантаження
безплатна
комерційна,
демо-версія на 30дн.
безплатна
безплатна
Мова інтерфейсу
English
English
English
English
Підтримка в операційних системах
Windows
XP/7
Windows 8/7/Vista/2008/ 2003/XP
Windows
XP/2000
Windows 7/Vista/XP/ Linux
Необхідність установки додаткових бібліотек
так
ні,зазвичай включені в
ОС
так
ні,зазвичай включені в ОС
Можливість налашту-вання автоматичного сканування
ні
так
ні
ні
Наявність інших утиліт для роботи в мережі
так
так
ні
так
Можливість
ARP-spoofing
так
так
ні
так
Наявність плагінів для спрощення роботи
ні
ні
ні
так
Виведення на дисплей миттєвого аналізу сканування
ні
так
так
так
Можливість хибного виявлення(інколи маршрутизатора)
так
ні, не була замічена
так
рідко
Час потрібний,для виявлення сніффера
(у моєму досліді)
до 3хв.
до 2 хв.
до 4 хв.
до 2 хв.
Таблиця 2.Порівняльна характеристика антисніфферів.
Отже, за даними з Таблиці 2 я можу зробити висновок, що найбільш точним та надійним на даний час(підчас моїх дослідів) антисніффером є програма NetScanTools Demo, хоча вона має один суттєвий недолік. Демонстраційний період триває всього 30 днів, а після його закінчення необхідно придбати ліцензію.
Якщо дивитися зі сторони універсальності - рекомендую програму Cain & Abel.Адже вона містить не тільки дуже хороший антисніффер, а ще сніффер, брутер паролів та багато інших хакерських утиліт для роботи в мережі.
СТРУКТУРА ТА ОБСЯГ РОБОТИ
Структура роботи: робота складається із змісту, вступу, основної частини, представленої трьома розділами, списку використаної літератури, джерел, загальних висновків, рекомендацій та додатку. Загальний обсяг роботи становить 59 сторінок, обсяг роботи без додатків – 54 сторінок. Список використаної літератури налічує 29 джерел, в тому числі іноземних - 21. Бакалаврська робота містить 2 таблиці та 13 рисунків.
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
Х.Остерлох. TCP/IP. Семейство протоколов передачи данных в сетях компьютеров. «ДиаСофтЮП», 576 стр., 2002 г.
Л.Г Осовецкий., О.Ф Немолочнов.Основы корпоративной теории информации. СПб: СПбГУ ИТМО, 2004
А. Астахов «Анализ защищенности корпоративных автоматизированных систем», Москва, информационный бюллетень JetInfo N7-2002
В. Зима, А. Молдовян, Н. Молдовян .Безопасность глобальных
сетевых технологий, БХВ-Санкт-Петербург, 368 стр., 2002 г.
А.В. Лукацкий Обнаружение атак, БХВ-Санкт-Петербург, 596стр., 2003 г.
А. Ю. Щеглов Защита компьютерной информации от несанкционированного доступа, Наука и Техника, 384 стр., 2004 г.
В. В. Домарев . Безопасность информационных технологий.
Методология создания систем защиты, ТИД "ДС", 688 стр., 2002 г.
Блэк У. Интернет: протоколы безопасности. Учебный курс. – СПб.: Питер, 2001. – 288 с.
М.Левин PGP: Кодирование и шифрование информации с открытым ключом. – М.: Бук-пресс, 2006. – 166 с.
С.Манн, Э. Митчелл, М.Крелл Безопасность Linux. – М.: Издательский дом “Вильямс”, 2003. – 624 с.
Whalen, Sean. "An Introduction to ARP Spoofing". Revision 1. April2001
RFC 1734 POP3 Authentication command
Internet URL http://securityfriday.com Daiji Sanai Detection of
Promiscuous Nodes Using ARP Packets 31.08.2001тації
Internet URL http://www.securitylab.ru/33493.html arp_antidote -средство для активной борьбы с атаками типа arpoison
Internet URL http://www.xarep.ru,
Internet URL http://www.internetworldstats.com/stats4.htm.
Скачек Л.М. Підвищення ефективності функціонування системи захисту інформації на підприємстві./Автореферат дисертації на здобуття наукового ступеня кандидата технічних наук. – Львів.2011. ДСК
27.05.2014 23:05-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора