Autor: .cCuMiNn. | 9.7.2004 |
SNIFFOVANIE
[ N0st@lg|a
]
Co je to packet sniffer
?
Tak ako sa moze odpocuvat telefonicky rozhovor dvoch osob, tak
aj v pocitacovej sieti sniffovaci program umozni odpocuvat "konverzaciu"
pocitacov. Pri sniffovani v pocitacovej sieti sa nemusime vsak "naburavat" do
komunikacneho vedenia - existuje na to jednoduchsi sposob.
Na co sa sniffovanie pouziva ?
Da sa vyuzivat
dvoma sposobmi. Prvy pomaha udrziavat siet a ten druhy sluzi na naburanie sa do
pocitacov.
Mozeme ho teda vyuzivat na :
- odpocuvanie hesiel a
prihlasovacich mien v sieti
- pre zistovanie prienikov hackerov
- na
odhalovanie problem napr. preco nedochadza ku komunikacii medzi dvoma
pocitacmi
- pre sledovanie sietovej premavky a jej zapisovanie (logovanie) a
tak sa mozu vytvorit logy, ktore hacker nezmaze a problem je na
svete
Ako funguje odpocuvanie na lokalnej sieti
?
Lokalna pocitacova siet vyuziva pre vsetky pocitace jedno
zapojenie. To znaci, ze vsetky pocitace mozu sledovat prevadzku. Preco tomu tak
nie je je zapricinene tym, ze sietove karty maju akysi filter, ktory ignoruje
informacie, ktore nepatria danemu pocitacu. Zistuje sa to pomocou MAC adresy.
Odpocuvacie programy tento filter vypnu a nastavia tak sietovu kartu do tzv.
promiskuitneho rezimu.
Co je to Ethernetova MAC
adresa ?
Pretoze na jednom zapojeni moze byt viacero pocitacov,
kazdy musi mat vlastny jedinecny identifikator. Takyto identifikator nie je
potrebny pri pripojeny cez dial-up modem, pretoze vsetky udaje sa prenasaju na
druhu stranu telefonnej linky. Pri zapojeni pocitacov do lokalnej siete je
potrebne presne vediet, pre ktory pocitac su udaje vysielane. Takto zapojene
pocitace sa identifikuju pomocou jedinecneho 12 miestneho hexadecimalneho cisla,
ktory je ulozene v sietovej karte. Toto cislo nazyvame MAC (Media Access
Control) adresa. Moze vyzerat napr. takto 00-00-C0-BC-C9-AC. MAC adresa je teda
48 bitove cislo, ktore je rozdelene na dve casti. Prvych 24 bitov identifikuje
vyrobcu sietovej karty a zvysok je seriove cislo priradene vyrobcom (OUI -
Organizationally Unique Identifier). Toto je zarukou, ze dve sietove karty
nebudu mat dve rovnake MAC adresy. Zoznam vyrobcov a ich OUI kodov si mozete
pozriet na adrese http://standards.ieee.org/regauth/oui/
Ako zistit vlastnu MAC adresu ?
vo Win 9x :
spustenim programu "winipcfg.exe"
vo WinNT : spustenim programu "ipconfig
/all"
v UNIXE : spustenim programu "ifconfig"
Je mozne zmenit vlastnu MAC adresu ?
Ano,
existuje na to par sposobov.
1.) Pred vyslanim udajov do siete prepisat i
vysielanu MAC adresu.
2.) Niektore karty umoznuju i prekonfigurovanie MAC
adresy napr. v Ovladacich panelov Windowsu.
3.) A nakoniec prepalenim adresy
ulozenej v karte, co je dost nevhodny sposob, ale funkcny.
Ako je mozne ochranit udaje pred sniffovanim
?
Najlepsi sposob je kodovanie udajov. Napr. pomocou SSL (Secure
Sockets Layer), ktory je zabudovany v webovych prezeracoch i serveroch. Umoznuje
kodovane surfovanie a pouziva sa napr. pri zadavani udajov kreditnej karty.
V
Unixe sa stava standardom pre prihlasovanie na ine pocitace cez Internet program
ssh (Secure Shell). Je vhodne si nahradit telnet s touto sluzbou.
Takisto je
vyhodne pouzivat kodovanie e-mailov napr. pomocou PGP.
Ako sa da zistit sniffovanie ?
Je prakticky
nemozne zistit sniffovacie programy za behu, pretoze zbieraju iba niektore druhy
udajov a nic nevysielaju.
Ak chcu hackery sniffovat musia sniffovacie
programy nainstalovat na vybrany pocitac. Je to sanca ako zabranit sniffovaniu.
Takisto na internete existuje niekolko programov, ktore dokazu zistit, ci je
karta nastavena v promiskuitnom rezime. Medzi jeden z nich patri i AntiSniff http://www.l0pht.com/antisniff/
Ake protokoly sa casto sniffuju ?
Http :
mnoho web siteov pouziva jednoduche overenie totoznosti, ktore posiela hesla v
nezakodovanom tvare.
Telnet a rlogin : sniffovanie moze zistovat ake klavesy
stlacal uzivatel a tak zistit jeho prihlasovacie meno a heslo.
POP,FTP,IMAP :
takisto sa hesla posielaju v nezakodovanom tvare.