ВУЗ:
Составители:
Рубрика:
- 5 -
1. Лабораторная работа № 1. Анализ трафика компьютерной сети
c помощью снифферов
Цель работы – приобретение практических знаний и навыков в перехвате
и анализе трафика сегмента компьютерной сети.
Теоретическая часть. Снифферы (дословный перевод - ‘вынюхиватели’)
являются специализированным ПО, предназначенным для анализа потока со-
общений (трафика) компьютерной сети передачи информации [4]. Известны-
ми системами подобного
рода (но глобального уровня) являются ЭШЕЛОН
(североамериканский проект, назначением которого является анализ содер-
жимого линий связей Европы) и СОРМ (тотальное протоколирование трафи-
ка русскоязычной Сети). Большинство программ и сервисов (ICQ, TelNet,
FTP, HTTP, POP3 и т.д.) пересылают пароль и логин пользователя открытым
текстом (без всякой кодировки и шифровки), и работающий сниффер без
труда позволит перехватывать такие сессии.
К простым ПО подобного класса относится, например комплект SpyNet
(simik.lgg.ru/spynet312.exe); в штатную поставку Windows’NT Server и др.
входит утилита Network Monitor (устанавливается добавлением сервиса Net-
work Monitor Tools & Agent).
Обычно сетевая карта, работающая в сегменте некоммутируемой Ethernet
в принципе ‘прослушивает’ весь трафик своего сегмента; однако в нормаль-
ном (без
PROMISCUOUS MODE) режиме анализируются лишь первые 48 бит
заголовка пакета и, если не найден собственный MAC-адрес, карта перестает
читать ‘чужой’ пакет. Функциональность сниффера достигается переводом
сетевой карты в режим
PROMISCUOUS MODE, обеспечивающий перехват всех
сообщений, циркулирующих в данном сегменте сети безотносительно MAC-
адресов (достигается программной установкой соответствующего бита
управляющего регистра карты). В случае коммутируемого Ethernet перевод
карты в
PROMISCUOUS MODE не позволяет прослушивать ‘чужие’ сообще-
ния, в этом случае используется технология ‘ARP-спуфинга’ (путем соответ-
ствующей подделки ARP-сообщений данная сетевая карта ‘притворяется’
маршрутизатором с MAC-адресом, однако, данной карты), при этом трафик
всех составляющих сегмент сети насильственно направится в сторону карты-
обманщика.
Ниже приведен максимально упрощенный исходный текст небольшой про-
граммы - сниффера
для Unix/Linux.
/* cниффер пишет на stdout все, что захватывает */
#include <sys/socket.h>
#include <netinet/in.h>
#include <net/if.h>
1. Лабораторная работа № 1. Анализ трафика компьютерной сети
c помощью снифферов
Цель работы – приобретение практических знаний и навыков в перехвате
и анализе трафика сегмента компьютерной сети.
Теоретическая часть. Снифферы (дословный перевод - ‘вынюхиватели’)
являются специализированным ПО, предназначенным для анализа потока со-
общений (трафика) компьютерной сети передачи информации [4]. Известны-
ми системами подобного рода (но глобального уровня) являются ЭШЕЛОН
(североамериканский проект, назначением которого является анализ содер-
жимого линий связей Европы) и СОРМ (тотальное протоколирование трафи-
ка русскоязычной Сети). Большинство программ и сервисов (ICQ, TelNet,
FTP, HTTP, POP3 и т.д.) пересылают пароль и логин пользователя открытым
текстом (без всякой кодировки и шифровки), и работающий сниффер без
труда позволит перехватывать такие сессии.
К простым ПО подобного класса относится, например комплект SpyNet
(simik.lgg.ru/spynet312.exe); в штатную поставку Windows’NT Server и др.
входит утилита Network Monitor (устанавливается добавлением сервиса Net-
work Monitor Tools & Agent).
Обычно сетевая карта, работающая в сегменте некоммутируемой Ethernet
в принципе ‘прослушивает’ весь трафик своего сегмента; однако в нормаль-
ном (без PROMISCUOUS MODE) режиме анализируются лишь первые 48 бит
заголовка пакета и, если не найден собственный MAC-адрес, карта перестает
читать ‘чужой’ пакет. Функциональность сниффера достигается переводом
сетевой карты в режим PROMISCUOUS MODE, обеспечивающий перехват всех
сообщений, циркулирующих в данном сегменте сети безотносительно MAC-
адресов (достигается программной установкой соответствующего бита
управляющего регистра карты). В случае коммутируемого Ethernet перевод
карты в PROMISCUOUS MODE не позволяет прослушивать ‘чужие’ сообще-
ния, в этом случае используется технология ‘ARP-спуфинга’ (путем соответ-
ствующей подделки ARP-сообщений данная сетевая карта ‘притворяется’
маршрутизатором с MAC-адресом, однако, данной карты), при этом трафик
всех составляющих сегмент сети насильственно направится в сторону карты-
обманщика.
Ниже приведен максимально упрощенный исходный текст небольшой про-
граммы - сниффера для Unix/Linux.
/* cниффер пишет на stdout все, что захватывает */
#include
#include
#include
-5-
Страницы
- « первая
- ‹ предыдущая
- …
- 3
- 4
- 5
- 6
- 7
- …
- следующая ›
- последняя »
