Sniffovanie

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 9.7.2004
Hodnocení/Hlasovalo: 0/0

Popis sniffovani. Co to sniffovani vlastne je? Co je to MAC adresa? A co s tím?

SNIFFOVANIE
[ N0st@lg|a ]

Co je to  packet sniffer ?
Tak ako sa moze odpocuvat telefonicky rozhovor dvoch osob, tak aj v pocitacovej sieti sniffovaci program umozni odpocuvat "konverzaciu" pocitacov. Pri sniffovani v pocitacovej sieti sa nemusime vsak "naburavat" do komunikacneho vedenia - existuje na to jednoduchsi sposob.

Na co sa sniffovanie pouziva ?
Da sa vyuzivat dvoma sposobmi. Prvy pomaha udrziavat siet a ten druhy sluzi na naburanie sa do pocitacov. 
Mozeme ho teda vyuzivat na :
- odpocuvanie hesiel a prihlasovacich mien v sieti
- pre zistovanie prienikov hackerov
- na odhalovanie problem napr. preco nedochadza ku komunikacii medzi dvoma pocitacmi
- pre sledovanie sietovej premavky a jej zapisovanie (logovanie) a tak sa mozu vytvorit logy, ktore hacker nezmaze a problem je na svete

Ako funguje odpocuvanie na lokalnej sieti ?
Lokalna pocitacova siet vyuziva pre vsetky pocitace jedno zapojenie. To znaci, ze vsetky pocitace mozu sledovat prevadzku. Preco tomu tak nie je je zapricinene tym, ze sietove karty maju akysi filter, ktory ignoruje informacie, ktore nepatria danemu pocitacu. Zistuje sa to pomocou MAC adresy. Odpocuvacie programy tento filter vypnu a nastavia tak sietovu kartu do tzv. promiskuitneho rezimu.

Co je to Ethernetova MAC adresa ?
Pretoze na jednom zapojeni moze byt viacero pocitacov, kazdy musi mat vlastny jedinecny identifikator. Takyto identifikator nie je potrebny pri pripojeny cez dial-up modem, pretoze vsetky udaje sa prenasaju na druhu stranu telefonnej linky. Pri zapojeni pocitacov do lokalnej siete je potrebne presne vediet, pre ktory pocitac su udaje vysielane. Takto zapojene pocitace sa identifikuju pomocou jedinecneho 12 miestneho hexadecimalneho cisla, ktory je ulozene v sietovej karte. Toto cislo nazyvame MAC (Media Access Control) adresa. Moze vyzerat napr. takto 00-00-C0-BC-C9-AC. MAC adresa je teda 48 bitove cislo, ktore je rozdelene na dve casti. Prvych 24 bitov identifikuje vyrobcu sietovej karty a zvysok je seriove cislo priradene vyrobcom (OUI - Organizationally Unique Identifier). Toto je zarukou, ze dve sietove karty nebudu mat dve rovnake MAC adresy. Zoznam vyrobcov a ich OUI kodov si mozete pozriet na adrese http://standards.ieee.org/regauth/oui/

Ako zistit vlastnu MAC adresu ?
vo Win 9x : spustenim programu "winipcfg.exe"
vo WinNT : spustenim programu "ipconfig /all"
v UNIXE : spustenim programu "ifconfig"

Je mozne zmenit vlastnu MAC adresu ?
Ano, existuje na to par sposobov.
1.) Pred vyslanim udajov do siete prepisat i vysielanu MAC adresu.
2.) Niektore karty umoznuju i prekonfigurovanie MAC adresy napr. v Ovladacich panelov Windowsu.
3.) A nakoniec prepalenim adresy ulozenej v karte, co je dost nevhodny sposob, ale funkcny.

Ako je mozne ochranit udaje pred sniffovanim ?
Najlepsi sposob je kodovanie udajov. Napr. pomocou SSL (Secure Sockets Layer), ktory je zabudovany v webovych prezeracoch i serveroch. Umoznuje kodovane surfovanie a pouziva sa napr. pri zadavani udajov kreditnej karty.
V Unixe sa stava standardom pre prihlasovanie na ine pocitace cez Internet program ssh (Secure Shell). Je vhodne si nahradit telnet s touto sluzbou.
Takisto je vyhodne pouzivat kodovanie e-mailov napr. pomocou PGP.

Ako sa da zistit sniffovanie ?
Je prakticky nemozne zistit sniffovacie programy za behu, pretoze zbieraju iba niektore druhy udajov a nic nevysielaju. 
Ak chcu hackery sniffovat musia sniffovacie programy nainstalovat na vybrany pocitac. Je to sanca ako zabranit sniffovaniu. Takisto na internete existuje niekolko programov, ktore dokazu zistit, ci je karta nastavena v promiskuitnom rezime. Medzi jeden z nich patri i AntiSniff http://www.l0pht.com/antisniff/

Ake protokoly sa casto sniffuju ?

Http : mnoho web siteov pouziva jednoduche overenie totoznosti, ktore posiela hesla v nezakodovanom tvare.
Telnet a rlogin : sniffovanie moze zistovat ake klavesy stlacal uzivatel a tak zistit jeho prihlasovacie meno a heslo.
POP,FTP,IMAP : takisto sa hesla posielaju v nezakodovanom tvare.