Инструменты для проведения сниффинга и спуфинга
Сниффинг (Sniffing) - это перехват пакетов, передающихся между двумя компьютерами. Перехват может произойти в любой точке маршрута данных. В локальной сети перехватчиком может быть любой узел сети, в интернет - провайдер.
В сетях, построенных на основе TCP/IP, вся информация передается, в основном, в открытом виде (в том числе и всякие секретные данные - пароли и логины). Поэтому очень выгодно бывает настроить на одной машине софт, который будет просматривать все пакеты, проходящие по сети, и проверять, не содержится ли в них каких-нибудь паролей. Это и есть сниффинг. А такой софт называется сниффером.
Перехватить пакет в Ethernet-сети очень просто. В Ethernet-сети любой отправленный пакет предназначается каждому компьютеру. Компьютер смотрит поле адреса получателя и сравнивает его со своим адресом. Если адреса совпадают, пакет будет принят, иначе - отброшен. Это в сети с концентраторами. Концентратор сети - это устройство, которое просто повторяет принятый от машины пакет на все свои порты. Если компьютер определит, что пакет предназначен для него, он его примет. Если пакет не предназначен для него, он будет отброшен. Но если перевести сетевой плату в специальный режим (promiscuous mode), то она будет принимать все полученные пакеты, независимо от того, кому они предназначались.
Самая большая угроза сниффинга состоит в перехвате паролей часто используемых протоколов - Telnet, FTP, POP3, HTTP, которые передают информацию о пароле в сети в открытом виде. С помощью сниффинга можно перехватывать даже передаваемые по сети файлы, прикрепленные к какому-нибудь письму.
Популярный сниффер пакетов для Linux - программа Ethereal. Программа обладает удобным графическим интерфейсом, позволяет просматривать как список всех перехваченных пакетов, так и отдельно содержимое каждого пакета. Имеется версия Ethereal и для Windows.
- Spoofing — общее название для сетевых атак, когда один участник маскируется под другого. Наиболее распространённые spoofing-атаки:
- MAC-spoofing — атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог;
- ARP-spoofing — атака, эксплуатирующая слабость протокола ARP, позволяющая разместить в ARP-кэше жертвы ложную запись о соответствии IP-адреса другой жертвы MAC-адресу атакующего;
- IP-spoofing — атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, IP-адресов хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях;
- DNS-spoofing — атака, базирующаяся на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса атакующего.
В большинстве своём spoofing-атаки направлены на то, чтобы заставить жертву отправлять трафик не легитимному получателю напрямую, а атакующему, который затем уже ретранслирует трафик дальше. При этом атакующий получает возможность модификации трафика или, как минимум, его просмотра. В случае IP-spoofing'а преследуется другая цель — заставить жертву поверить, что трафик приходит от легитимного отправителя и поверить ему (или как минимум, пропустить его).
Ettercap — это всеобъемлющий набор для атаки "человек посередине" (MitM). Он умеет сниффить (прослушивать) живые соединения, фильтровать на лету содержимое передаваемых данных и многие другие трюки. Он поддерживает активное и пассивное вскрытие многих протоколов и включает многие функции для анализа сети и хостов.
