Jump to content
ghici

Sniffing - Analiza, protectie. © Salieri 2006 :P

By ghici, in Tutoriale in romana

Recommended Posts

ghici Newbie

ghici

Posted
Posted

Sa incepem cu inceputul - Ce sunt snifferele ?

Pai snifferele sunt niste aplicatii (sau uneori dispozitive hardware) ce nu fac nimic altceva decat sa inregistreze pachetele de date ce se vehiculeaza prin retzea. Odata instalat pe un PC, un sniffer poate lucra in 2 moduri: In cel normal, in care captureaza doar pachetele de date vehiculate pe sistemul pe care este instalat, si in mod PROMISCOUS, in care va captura TOATE pachetele de date vehiculate prin retzea, chiar daca nu au fost trimise pt PC-u pe care se afla instalat. Motivul pt care poate functiona si in mod promiscous este legat de modul in care functzioneaza retzelele Ethernet. De fiecare data cand un Pc transmite un pachet de date, acestea sunt transmise in mod broadcast. Chestia asta inseamna ca orice pc din retea poate vedea aceste pachete (in mod normal toate pc-urile cu exceptzia celui caruia ii sunt destinate ar trb sa le ignore - dar spre norocu nostru nu o fac).

Snifferele pot fi folosite atat de utilizatorii bine intetntionati cat si de cei "rau intentionati"... adica stiti voi ... - chestia asta inseamna ca puteti sa vedeti ce vorbeste un tip din retea cu voi pe messenger, sa vedeti pe unde mai umbla cu browser-ul etc ... fara ca el sa stie ... si nu trebuie nici keylogger nici nik.

Conversatiile realizate intre computere snt reprezentate de siruri de date binare. Pentru a putea fi interpretate cu succes, de obicei programele sniffer au incluse si functii de analiza a acelor date, denumite "protocol analysys" si care decodeaza pachetele capturate pt a le da un sens (n-ar fi deloc fain sa vedeti pe ecranul vostru o succesiune doar de 1 si 0). In functie de protocolu folosit si de porturile de la care au venit informatiile binare sunt interpretate si afisate conform criteriilor celui care le analizeaza. Exista progame separate (si filtre pt snifferle existente) ce interpreteaza datele si le prezinta in formatul lor original. Spre exemplu Ysniff este un snifer ce captureaza doar pachetele trimise de clientii de Mess... si le prezinta ca si cum ai participa tu la discutie

Detectia:

De cele mai multe ori detectia unui sniffer este o treaba destul de delicata si care necesita cunostintze avansate in retzelistica. Exista 2 modalitatzi de detectie de genu ping si ambele pleaca de la permisia ca un sistem ce asculta traficul din retea va raspunde fff greu la o cerere de tip ping. Exista si o metoda de tip ARP, f asemanatoare de cea de tip ping. Se transmit niste pachete (pachetele sa nu fie transmise prin broadcast) catre o anumita adresa. Daca o alta masina va raspunde la aceste pachete atunci ea are un sniffer instalat in modul promiscious.

Metoda DNS pleaca de la permisia ca majoritatea programelor de tip sniffer realizeaza automat de tip DNS lookup pt adresele IP pe care nu le vad in retzea. Deci un sistem ce functzioneaza in modul promiscious poate fi detectat atunci cand dinspre el se inregistreaza f multe cereri de tip DNS lookup

Protocoale vulnerabile:

Telnet & Rlogin - Un sniffer poate captura apasarile de taste pe masure ce utilizatoru le opereaza, incluzand nume de conturi si parole

HTTP - Versiune standard de HTTP are destul de multe gauri de securitate. Foarte multe site-uri folosesc setarile de securitate minimale de tipul "Basic auth" ceeace face ca parolele sa fie transmise in mod PLAIN TEXT (!!!). Alte site-uri folosesc tehnici de autentificare prin care sunt cerute numele de utilizatori si parola dar si acestea fiind transmise in mod plain text

SNMP - Majoritatea traficului de SNMP este SNMP v1 care nu beneficiaza de un nivel de securitate crescut. Parolele SNMP pot fi usor citite.

NNTP- Parolele si datele sunt transmise in mod clear text si nu prezinta dificultati la citire.

POP - Datele si parolele pot fi citite usor, fiind transmise prin clear text

FTP - Datele si parolele pot fi citite usor, is transmise prin modu clear text

IMAP - Datele si parolele pot fi citite usor, is transmise la fel prin clear text mode

Sper ca nu am avut un vocabular criptat si ca ati inteles cat de cat ce vreau sa spun eu mai sus: Deci pe scurt: Cu un sniffer poti sa vezi ce face vecinu pe net. Daca vrei sa faci asta, tre sa instalezi sniferu in modu promiscious si sa apelezi la urmatoarele protocoale: Telnet, HTTP, SNMP, NNTP, POP, FTP si IMAP - k is cele mai vulnerabile.

Pentru cel mai bun sniffer existent, intrati pe http://ethereal.com

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...