ВУЗ:
Составители:
Рубрика:
- 5 -
1. Лабораторная работа № 1. Анализ трафика компьютерной сети
c помощью снифферов
Цель работы – приобретение практических знаний и навыков в перехвате
и анализе трафика сегмента компьютерной сети.
Теоретическая часть. Снифферы (дословный перевод - ‘вынюхиватели’)
являются специализированным ПО, предназначенным для анализа потока со-
общений (трафика) компьютерной сети передачи информации [4]. Известны-
ми системами подобного
рода (но глобального уровня) являются ЭШЕЛОН
(североамериканский проект, назначением которого является анализ содер-
жимого линий связей Европы) и СОРМ (тотальное протоколирование трафи-
ка русскоязычной Сети). Большинство программ и сервисов (ICQ, TelNet,
FTP, HTTP, POP3 и т.д.) пересылают пароль и логин пользователя открытым
текстом (без всякой кодировки и шифровки), и работающий сниффер без
труда позволит перехватывать такие сессии.
К простым ПО подобного класса относится, например комплект SpyNet
(simik.lgg.ru/spynet312.exe); в штатную поставку Windows’NT Server и др.
входит утилита Network Monitor (устанавливается добавлением сервиса Net-
work Monitor Tools & Agent).
Обычно сетевая карта, работающая в сегменте некоммутируемой Ethernet
в принципе ‘прослушивает’ весь трафик своего сегмента; однако в нормаль-
ном (без
PROMISCUOUS MODE) режиме анализируются лишь первые 48 бит
заголовка пакета и, если не найден собственный MAC-адрес, карта перестает
читать ‘чужой’ пакет. Функциональность сниффера достигается переводом
сетевой карты в режим
PROMISCUOUS MODE, обеспечивающий перехват всех
сообщений, циркулирующих в данном сегменте сети безотносительно MAC-
адресов (достигается программной установкой соответствующего бита
управляющего регистра карты). В случае коммутируемого Ethernet перевод
карты в
PROMISCUOUS MODE не позволяет прослушивать ‘чужие’ сообще-
ния, в этом случае используется технология ‘ARP-спуфинга’ (путем соответ-
ствующей подделки ARP-сообщений данная сетевая карта ‘притворяется’
маршрутизатором с MAC-адресом, однако, данной карты), при этом трафик
всех составляющих сегмент сети насильственно направится в сторону карты-
обманщика.
Ниже приведен максимально упрощенный исходный текст небольшой про-
граммы - сниффера
для Unix/Linux.
/* cниффер пишет на stdout все, что захватывает */
#include <sys/socket.h>
#include <netinet/in.h>
#include <net/if.h>
1. Лабораторная работа № 1. Анализ трафика компьютерной сети c помощью снифферов Цель работы – приобретение практических знаний и навыков в перехвате и анализе трафика сегмента компьютерной сети. Теоретическая часть. Снифферы (дословный перевод - ‘вынюхиватели’) являются специализированным ПО, предназначенным для анализа потока со- общений (трафика) компьютерной сети передачи информации [4]. Известны- ми системами подобного рода (но глобального уровня) являются ЭШЕЛОН (североамериканский проект, назначением которого является анализ содер- жимого линий связей Европы) и СОРМ (тотальное протоколирование трафи- ка русскоязычной Сети). Большинство программ и сервисов (ICQ, TelNet, FTP, HTTP, POP3 и т.д.) пересылают пароль и логин пользователя открытым текстом (без всякой кодировки и шифровки), и работающий сниффер без труда позволит перехватывать такие сессии. К простым ПО подобного класса относится, например комплект SpyNet (simik.lgg.ru/spynet312.exe); в штатную поставку Windows’NT Server и др. входит утилита Network Monitor (устанавливается добавлением сервиса Net- work Monitor Tools & Agent). Обычно сетевая карта, работающая в сегменте некоммутируемой Ethernet в принципе ‘прослушивает’ весь трафик своего сегмента; однако в нормаль- ном (без PROMISCUOUS MODE) режиме анализируются лишь первые 48 бит заголовка пакета и, если не найден собственный MAC-адрес, карта перестает читать ‘чужой’ пакет. Функциональность сниффера достигается переводом сетевой карты в режим PROMISCUOUS MODE, обеспечивающий перехват всех сообщений, циркулирующих в данном сегменте сети безотносительно MAC- адресов (достигается программной установкой соответствующего бита управляющего регистра карты). В случае коммутируемого Ethernet перевод карты в PROMISCUOUS MODE не позволяет прослушивать ‘чужие’ сообще- ния, в этом случае используется технология ‘ARP-спуфинга’ (путем соответ- ствующей подделки ARP-сообщений данная сетевая карта ‘притворяется’ маршрутизатором с MAC-адресом, однако, данной карты), при этом трафик всех составляющих сегмент сети насильственно направится в сторону карты- обманщика. Ниже приведен максимально упрощенный исходный текст небольшой про- граммы - сниффера для Unix/Linux. /* cниффер пишет на stdout все, что захватывает */ #include#include #include -5-
Страницы
- « первая
- ‹ предыдущая
- …
- 3
- 4
- 5
- 6
- 7
- …
- следующая ›
- последняя »