Сети Ethernet относятся к так называемым широковещательным сетям. Метод доступа, положенный в основу этой технологии, требует от узлов, подключѐнных к сети, непрерывного прослушивания всего сетевого трафика. Это означает, что узлы такой сети могут перехватывать информацию, адресованную своим соседям. Данная особенность
технологии Ethernet делает возможным проведение атак, использующих механизм «пассивного прослушивания». Средства для проведения таких атак – это анализаторы протоколов или снифферы.

Что такое “сниффер”?, изображение №2

Термин ―сниффер («нюхач») впервые был использован компанией Network Associates в названии известного продукта “Sniffer (r) Network Analyzer”. В самом общем смысле, слово ― сниффер обозначает устройство, подключенное к компьютерной сети и записывающее весь ее трафик подобно телефонным ―жучкам, записывающим телефонные разговоры.
Однако чаще всего ―сниффером называют программу, запущенную на подключенном к сети узле и просматривающую весь трафик сетевого сегмента.

Как работает “сниффер”?
Работа ―сниффера использует основной принцип технологии Ethernet – общую среду передачи. Это означает, что любое устройство, подключенное к сетевому сегменту, может слышать и принимать все сообщения, в том числе предназначенные не ему. Сетевые адаптеры Ethernet могут работать в двух режимах: селективном (non-promiscuous) и неселективном (promiscuous). В первом случае, принимаются только сообщения, предназначенные данному узлу. Выбор осуществляется на основе МАС-адреса фрейма.

Во втором случае фильтрация не осуществляется, и узел принимает все фреймы, передаваемые по сегменту.

Что такое “сниффер”?, изображение №4

Схема алгоритма работы сетевого адаптера при приѐме данных (селективный режим) приведена на следующем рисунке.

Что такое “сниффер”?, изображение №5

Таким образом, в неселективном режиме сетевые адаптеры принимают все фреймы, в том числе и не предназначенные данному узлу, единственное проверяемое условие – целостность фрейма.

Специализированные программы, переводящие сетевой адаптер в неселективный режим и собирающие весь трафик сети для последующего анализа, называются анализаторами протоколов или «снифферами». Собранный трафик сегмента может быть отображен на экране, записан в файл и т.п. Так как компьютеры обмениваются по сети двоичной информацией, в обязанности ―сниффера обычно входит так называемый структурный
анализ протоколов (включающий разбиение пакета на заголовки и данные) и вывод информации в удобном (читаемом) виде.
Анализатор протоколов – программный продукт ―двойного применения. Он может быть использован специалистами и администраторами сетей для анализа происходящих в сети процессов и диагностики неисправностей. С другой стороны, снифферы используются злоумышленниками для проведения атак (механизм атаки -―пассивное прослушивание).
Кроме того, тот же принцип пассивного прослушивания трафика лежит в основе работы средств обнаружения сетевых атак.
Итак, анализаторы протоколов позволяют злоумышленнику просматривать весь трафик сетевого сегмента. Возможен ли перехват информации в случае нахождения злоумышленника в другом сегменте? С помощью анализатора протоколов это осуществить невозможно, однако для этого используются другие методы, позволяющие перенаправить трафик из другого сегмента на узел нарушителя и реализующие атаки типа «создание ложного объекта-посредника» на сетевом и транспортном уровнях модели OSI.
В сети Internet можно найти множество анализаторов протоколов для различных операционных систем. Далее перечислены некоторые из них:
# CommView
# Network Monitor
# Ethereal (Wireshark)
# tcpdump
Все они, обладая похожим функционалом, работают по изложенным выше принципам.

Просмотры: 3
Прокрутить вверх