Paquete Que huele: Métodos De la Prevención De la Detección De las Herramientas El Oler

1. Introducción:

Homepage | Submit an article | Contact us

De alto rendimiento del sistema de archivos

Tabla de Asignación de Archivo

Cómo recuperar el acceso a los datos almacenados en el anterior Pen Drive

SumoW para mejorar la salud de su sitio web

¿Por qué optar por cifrado de PDF Password

Cómo quitar manualmente virus

Datos generales Seguridad de la Información

Malentendidos Comunes Cuando se trata de seguridad para PC

Cerraduras biométricas de misterios: ¿Qué es el Departamento de Información Pública

Cerraduras biométricas de misterios: ¿Qué es el FAR / FMR

Problemas comunes de Informática y Reparaciones

Cerraduras biométricas de misterios: ¿Qué es la huella digital de la capacidad

Cerraduras biométricas de misterios, ¿Qué es un sensor

El succionador de paquete es un programa que supervisa el tráfico de la red que pasa a través de su computadora. Un succionador de paquete que funciona en su PC conectó con el Internet usando un módem, puede decirle su IP address actual así como las direcciones del IP de los servidores de la tela que sitios usted está visitando.
Usted puede mirar todos los datos un-encrypted que viajan de su computadora, sobre el Internet. Esto incluye contraseñas y otros datos sensibles que no sean asegurados por el cifrado. Ponga un succionador de paquete en una rebajadora en el Internet, y usted puede mirar todo el tráfico de la red que pasa a través de esa rebajadora. Esto incluye absolutamente cualquier persona que datos sucedan al paso a través de esa rebajadora.
Los succionadores son básicamente programas de la interceptación de los datos. Trabajan porque Ethernet fue construida alrededor de un principio de compartir. La mayoría del uso de las redes qué se conoce como tecnología de la difusión, significando que cada mensaje transmitido por una computadora en una red se puede leer por cualquier otra computadora en esa red. En la práctica, el resto de computadoras, a menos que la para el cual se significa el mensaje, no harán caso de ese mensaje. Sin embargo, las computadoras se pueden hacer para aceptar mensajes, incluso si no se significan para ellos, por medio de un succionador.
Un succionador es generalmente pasivo, él recoge solamente datos. Por lo tanto, llega a ser extremadamente difícil detectar el succionador. Cuando está instalado en una computadora, un succionador generará una cierta cantidad pequeña de tráfico, aunque, y es por lo tanto perceptible.

2. Funcionamiento del succionador de paquete

Un succionador de paquete trabaja mirando cada paquete enviado en la red, incluyendo los paquetes no previstos para sí mismo. Esto se logra en una variedad de maneras. Estos métodos el oler serán descritos abajo. Los succionadores también trabajan diferentemente dependiendo del tipo de red que están adentro

Ethernet Compartida:
En un ambiente compartido de Ethernet, todos los anfitriones están conectados con el mismo autobús y compiten el uno con el otro para la anchura de banda. En tales paquetes de un ambiente significados para una máquina son recibidos por el resto de máquinas. Así, cualquier máquina en tal ambiente puesto en modo promiscuo podrá capturar los paquetes significados para otras máquinas y puede por lo tanto escuchar todo el tráfico en la red.

Ethernet Cambiada:
Un ambiente de Ethernet en el cual los anfitriones están conectados con un interruptor en vez de un cubo se llama Ethernet cambiada. El interruptor mantiene una tabla que no pierde de vista el MAC address de cada computadora y entrega los paquetes destinados para una máquina particular al puerto en el cual esa máquina está conectada. El interruptor es un dispositivo inteligente que envía los paquetes a la computadora destinada solamente y no difunde a todas las máquinas en la red, como en el caso anterior. Este ambiente cambiado de Ethernet fue pensado para un funcionamiento mejor de la red, pero como una ventaja agregada, una máquina en modo promiscuo no trabajará aquí. Como resultado de esto, la mayoría de los administradores de la red asumen que los succionadores no trabajan en un ambiente cambiado.

3. Aplicaciones de los succionadores de paquete

Los programas el oler se encuentran en dos formas. Los succionadores de paquete comerciales se utilizan para ayudar a mantener redes, mientras que los succionadores de paquete subterráneos son utilizados por los atacantes para tener el acceso desautorizado a los anfitriones alejados. Se enumeran abajo algunas aplicaciones comunes de oler programas:

• Buscar para los usernames y las contraseñas del clear-text de la red.
• Conversión del tráfico de la red en forma legible humana.
• Análisis de red para encontrar embotellamientos.
• Detección de la intrusión de la red al monitor para los atacantes.

Usando un succionador en una manera ilegítima se considera un ataque pasivo. No interconecta ni conecta directamente con ninguna otra sistemas en la red. Sin embargo, la computadora que el succionador está instalado encendido se habría podido comprometer usando un ataque activo. La naturaleza pasiva de succionadores es qué hace detectándolos tan difícil. La lista siguiente describe algunas razones por las que los intrusos están utilizando succionadores en la red:

Usernames y contraseñas del clear-text que capturan
Información propietaria de compromiso
Capturando y jugando de nuevo voz sobre conversaciones de teléfono del IP
Traz una red
Huella dactilar pasiva del OS

Obviamente, éstas son aplicaciones ilegales de un succionador, a menos que usted sea un probador de la penetración que trabajo es encontrar estos tipos de debilidades y divulgarlas a una organización. Para que el oler ocurra, un intruso debe primero acceder al cable de la comunicación de los sistemas que están de interés. Esto significa estar en el mismo segmento compartido de la red, o golpear ligeramente en el cable en alguna parte entre las trayectorias de comunicaciones. Si el intruso no está físicamente presente en el sistema de blanco o el punto de acceso de las comunicaciones, hay maneras inmóviles de oler tráfico de la red. Éstos incluyen:

El romperse en una computadora de la blanco e instalación de software remotamente controlado el oler.
Rompiéndose en un punto de acceso de las comunicaciones, tal como un Internet Service Provider (ISP) e instalación de software el oler.
Locating/finding que un sistema en la ISP que tiene ya software el oler instaló.
Usar la ingeniería social para tener el acceso físico en una ISP para instalar un succionador de paquete.
Teniendo un cómplice del iniciado en la organización de la computadora de la blanco o la ISP instale el succionador.
Volviendo a dirigir comunicaciones para tomar una trayectoria que incluye la computadora’del intruso s.

4. Herramientas El Oler

tcpdump: Tcpdump es una herramienta de gran alcance que permite que olamos los paquetes de la red y que hagamos un cierto análisis estadístico fuera de esas descargas. Una desventaja importante al tcpdump es el tamaño del fichero "plano" que contiene la salida del texto. Pero el tcpdump permite que consideremos exacto todo el tráfico y nos permite crear las escrituras de supervisión estadísticas.
sniffit: Succionador de paquete robusto con la buena filtración.
Etéreo: Un analizador libre del protocolo de red para UNIX y Windows. Permite que usted examine datos de una red viva o de un archivo de la captura en disco.
Caza: La meta principal del proyecto de la CAZA es desarrollar las herramientas para explotar debilidades bien conocidas en la habitación del protocolo de TCP/IP.
Dsniff: Dsniff es una colección de las herramientas para la red que revisa y el dsniff, el filesnarf, el mailsnarf, el msgsnarf, el urlsnarf, y webspy de prueba de la penetración supervisan pasivo una red para los datos interesantes (contraseñas, E-mail, archivos, etc.). el arpspoof, el dnsspoof, y el macof facilitan la interceptación del tráfico de la red normalmente inasequible a un atacante (e.g, debido a la conmutación layer-2). el sshmitm y el webmitm ponen ataques en ejecucio'n mono-en-$$$-MEDIOS activos contra sesiones vueltas a dirigir de SSH y de HTTPS explotando atascamientos débiles en PKI ad hoc.

5. Métodos el oler

Hay tres tipos de métodos el oler. Algunos métodos trabajan en redes non-switched mientras que otros trabajan en redes cambiadas. Los métodos el oler son: el oler IP-BASADO, el oler MAC-basado, y el oler ARP-basado.

el oler IP-BASADO 5.1

Ésta es la manera original del paquete que huele. Trabaja poniendo la tarjeta de la red en modo promiscuo y oliendo todos los paquetes que emparejan el filtro del IP address. Normalmente, el isn t del filtro’del IP address fijó así que puede capturar todos los paquetes. Este método trabaja solamente en redes non-switched.

el oler MAC-basado 5.2

Este método trabaja poniendo la tarjeta de la red en modo promiscuo y oliendo todos los paquetes que emparejan el filtro del MAC address.

el oler ARP-basado 5.3
Este método trabaja un poco diferente. El doesn’t puso la tarjeta de la red en modo promiscuo. Este isn’t necesario porque los paquetes del ARP nos serán enviados. Esto sucede porque el protocolo del ARP es apátrida. Debido a esto, el oler se puede hacer en una red cambiada. Para realizar esta clase de oler, usted primero tiene que envenenar el ARP cache1 de los dos anfitriones que usted desea para oler, identificando usted mismo como el otro anfitrión en la conexión. Una vez que se envenenen los escondrijos del ARP, los dos anfitriones comienzan su conexión, pero en vez de enviar el tráfico directamente al otro anfitrión consigue enviado a nosotros. Después registramos el tráfico y le transmitimos el anfitrión previsto verdadero en el otro lado de la conexión. Esto se llama un ataque hombre-en-$$$-MEDIO.

6. Detección de un succionador de paquete

En teoría, es imposible detectar programas el oler porque son pasivos: recogen solamente los paquetes, ellos no transmiten cualquier cosa. Sin embargo, es en la práctica a veces posible detectar programas el oler.
Descripción general de los métodos de detección

método de 6.1 silbidos de bala

El truco usado aquí es enviar una petición del silbido de bala con el IP address de la máquina sospechada pero de no su MAC address. Idealmente, ninguna máquina debe ver este paquete, pues cada adaptador de Ethernet lo rechazará puesto que no empareja su propio MAC address. Si la máquina sospechada está funcionando un succionador, responderá puesto que no rechaza los paquetes con un diverso MAC address de la destinación. Éste es un viejo método y un confiable no más largo.
La mayoría "del funcionamiento de los succionadores de paquete" en las máquinas normales con un apilado normal de TCP/IP. Esto significa que si usted envía una petición a estas máquinas, responderán. El truco es enviar una petición al IP address de la máquina, pero no a su adaptador de Ethernet.

6.2 Método del ARP

El método del ARP es similar al método del silbido de bala, pero un paquete del ARP se utiliza en lugar de otro. El método más simple del ARP transmite un ARP a no-difundio' la dirección. Si una máquina responde a tal ARP de su IP address, entonces debe estar en modo promiscuo.
Una variación de esta técnica se aprovecha del hecho ese las máquinas "escondrijo" ARPs. Cada ARP contiene la información completa de ambos el remitente así como la información deseada de la blanco. Es decir cuando envío un solo ARP a la dirección de la difusión, incluyo mi propio traz de dirección de IP-A-Ethernet. Cada uno en el alambre recuerda esta información para los minutos próximos. Por lo tanto, usted podría hacer algo como enviar no-difundio' ARP, entonces un silbido de bala de la difusión. Cualquiera que responde a su silbido de bala sin ARPing usted habría podido conseguir solamente el MAC address de un marco olido del ARP. (para hacer doble-seguro, utilice un diverso MAC address de la fuente en el silbido de bala).

6.3 Método del DNS

Muchos programas el oler hacen las operaciones de búsqueda automáticas reverso-Reverse-DNS en las direcciones del IP que consideran. Por lo tanto, un modo promiscuo puede ser detectado mirando para el tráfico del DNS que genera.
Este método puede detectar las máquinas dirigidas duales y puede trabajar remotamente. Usted necesita supervisar las operaciones de búsqueda entrantes inverso-Inverse-DNS en el servidor del DNS en su organización. Haga simplemente un barrido del silbido de bala a través de la compañía contra las máquinas que se saben para no existir. Cualquiera que hace operaciones de búsqueda reversas del DNS en esas direcciones está procurando a las operaciones de búsqueda las direcciones del IP vistas en los paquetes del ARP, que solamente lo hacen los programas el oler.

6.4 Fuente-encaminan método

Otra técnica implica el configuración fuente-encamina la información dentro del jefe del IP. Esto se puede utilizar para detectar los succionadores de paquete en otro, segmentos próximos.

Cree un paquete del silbido de bala, pero ponga una ruta de la flojo-fuente para forzarla por otra máquina en el mismo segmento. Esta máquina debe tener encaminamiento inhabilitada, de modo que no en hecho adelante él a la blanco.
Si usted consigue una respuesta, entonces es probable la blanco olió el paquete del alambre.
En la respuesta, el doublecheck el campo de la TTL a descubre si ' se volvió debido a oler (más bien que siendo encaminado correctamente)

En la fuente-encaminamiento floja, una opción se agrega al jefe del IP. Las rebajadoras no harán caso del IP address de la destinación y en lugar de otro remitir al IP address siguiente en fuente-encamine la opción. Esto los medios cuando usted envía el paquete, usted puede decir que "envíe por favor el paquete a Anoushka, pero que encamínelo a través de aryan primero".
En este panorama, el "aryan" y "Anoushka" están en el segmento. El aryan no encamina, y por lo tanto caerá el paquete cuando está recibido. Por lo tanto, "Anoushka" responderá solamente si ella ha olido el paquete del alambre.
En el apagado chance que el aryan encamina de hecho (en qué caso Anoushka responderá), entonces el campo de la TTL se puede utilizar para verificar que Anoushka respondió de encaminar a través de aryan, o contestando directamente.

6.5 El método de la trampa

Mientras que el silbido de bala y los métodos del ARP trabajan solamente en la red local, el método de la trampa trabaja por todas partes.
Puesto que tan muchos protocolos permiten contraseñas del "texto llano", y los hackers funcionan los tamices que buscan esas contraseñas, el método de la trampa satisface simplemente esa necesidad. Consiste simplemente en setting-up un cliente y un servicio de cualquier lado de la red, que el cliente funciona una escritura para abrir una sesión al servidor usando el telnet, el ESTALLIDO, el IMAP, o un cierto otro protocolo del plain-text. El servidor se configura con las cuentas especiales que no tienen ninguna derecha verdadera, o el servidor es totalmente virtual (en qué caso, las cuentas realmente no existe).

6.6 Método del anfitrión

Cuando los hackers se rompen en sus sistemas, se irán a menudo detrás wiretap los programas que funcionan en el fondo para oler contraseñas y el usuario considera del alambre. Éstos se encajan a menudo (como Trojan) en otros programas, así que la única manera de encontrar si algo como esto está funcionando es preguntar los interfaces para considerar si están funcionando en modo promiscuo.

6.7 Método del estado latente

Este método se basa en la asunción que la mayoría de los succionadores hacen un cierto análisis. Puesto simplemente, en este método, una cantidad enorme de datos se envía en la red, y la máquina sospechada se silba como una bala antes y durante del flooding de los datos. Si la máquina está en modo promiscuo, analizará los datos, aumentando la carga en ella. Por lo tanto tomará tiempo adicional para responder al paquete del silbido de bala. Esta diferencia en tiempos de reacción se puede utilizar como indicador de si o no una máquina está en modo promiscuo. Un punto digno de la observación es los paquetes se puede retrasar debido a la carga en el alambre, dando por resultado positivos falsos.
Esto es un método más malvado. En una mano, puede degradar perceptiblemente funcionamiento de la red. Por otra parte, puede ' cegar ' succionadores de paquete enviando demasiado tráfico.
Este método funciona enviando cantidades enormes de tráfico de la red en el alambre. Esto no tiene ningún efecto en las máquinas no-promiscuas, sino tiene un efecto enorme en las máquinas el oler, especialmente esos protocolos de capa de uso del análisis para las contraseñas. Silba como una bala simplemente la máquina antes de que la carga y durante la carga y la prueba de la diferencia en tiempo de reacción pueda indicar si la máquina está bajo carga.
Un problema con esta técnica es que los paquetes se pueden retrasar simplemente debido a la carga en el alambre, que puede encajonar descansos y por lo tanto positivos falsos. Por otra parte, muchos programas el oler son "modo del usuario" mientras que los silbidos de bala se responden en al "modo del núcleo", y son por lo tanto independiente de la carga de la CPU en una máquina, de tal modo causando negativas falsas.

6.8 Reflectómetros Del TDR(Time-Dominio)

Un TDR es básicamente RADAR para el alambre. Envía un pulso abajo del alambre, entonces representa las reflexiones gra'ficamente que se vuelven. Un experto puede mirar el gráfico de la respuesta y de la figura hacia fuera si algunos dispositivos se unen al alambre que no debe ser. También dicen áspero donde, en términos de la distancia a lo largo del alambre, el golpecito está situado.
Esto puede detectar los succionadores de paquete del hardware que se pudieron unir al alambre, pero que sea totalmente silencioso de otra manera. TDRs era utilizado mucho en los viejos días de Ethernet coaxil para detectar golpecitos del vampiro, pero actualmente con topologías de la estrella, se utilizan muy raramente. También existen equipo de OTDR, pero éste está realmente solamente para truely el paranoico.

6.9 Luces del cubo

Usted puede comprobar manualmente cubo-luces para ver si hay algunas conexiones que usted no espere. Ayuda a haber etiquetado los cables para calcular hacia fuera donde (físicamente) un succionador de paquete pudo ser localizado.

6.10 Supervisión del SNMP

Los cubos elegantes con la gerencia del SNMP pueden proporcionar monitroning automatizado de los cubos de Ethernet (y otra). Algunas consolas de la gerencia incluso le dejaron registrar connections/disconnections a todos sus puertos. Si usted ha configurado el sistema con la información donde todos los cables terminan, usted puede seguir a veces abajo donde un succionador de paquete pudo ocultar.

7. Hay varias herramientas que se pueden utilizar para detectar succionadores en su red.

Muchos de ellos son haber mantenido activamente anticuado y no más largo, y a veces apenas duro encontrar. También, succionadores más nuevos se han reescrito para evadir su detección. Sin embargo, aquí están algunos de ellos.

7.1. PromiScan Ver 0.27: Esto es un programa libre por Security viernes que sea actualizada y mantenida activamente. Funciona en Windows 2000 y XP y requiere el conductor de WinPcap. Puede explorar la red local que busca los adaptadores de modo promiscuos alejados, usando los paquetes del ARP.

7.2. AntiSniff este programa fue escrito originalmente por L0pht, pero es haber apoyado no más largo o mantenido.

7.3. Haga centinela este programa libre realiza la detección promiscua alejada, y funciona en varias versiones del DEB y de Linux. Requiere las bibliotecas del libpcap y del libnet funcionar.

7.4. El detector promiscuo de Ethernet de la red de Neped es un programa UNIX-basado libre escrito originalmente por el grupo de Apostols para detectar remotamente tarjetas de interfaz promiscuas de la red del modo en las computadoras de Linux. Detecta solamente en un subconjunto de los sistemas de Linux con unpatched núcleos antes de la versión 2.0.36. El Web site de Apostols existe y neped no más de largo puede ser difícil de encontrar.

7.5. El modo promiscuo del cheque (CPM) esto es un programa UNIX-basado libre desarrollado por CERT/CC en respuesta a red creciente que huele.

7.6. Ifstatus esto es un programa UNIX-basado libre para detectar interfaces promiscuos del modo en los sistemas de Solaris y de AIX.

7.7. Promisc.c esto es un programa UNIX-basado libre para detectar interfaces promiscuos del modo en Linux y algunos sistemas de SunOS.

8. Prevención de los succionadores de paquete

La mejor manera de asegurarle en contra de oler es utilizar el cifrado. Mientras que este t’ganado evita que funcione un succionador, se asegurará de que un qué succionador lee es la chatarra pura.

Hay afortunadamente algunos métodos que usted puede utilizar en su red que ofrece la protección contra el ataque pasivo conocido como oliendo.

Algunas técnicas para la prevención son:

8.1. PGP y S/MIME

El E-mail se puede oler de muchas maneras alternativas. Pasa a través de los cortafuegos corporativos, que pueden supervisar el tráfico. Consigue a menudo registrado y ahorrado por períodos del tiempo extendidos. Puede conseguir accidentalmente misdirected, y extremo para arriba en alguien caja otra. La mejor manera de guardar tal secreto del E-mail es cifrarlo. Las dos maneras comunes de hacer esto están con PGP (aislamiento bastante buena) y S/MIME (MIME seguro). El PGP se puede comprar como agregación a muchos productos. S/MIME es construido en programas del E-mail por Netscape y Microsoft.

8.2. Asegure La Cáscara (SSH)

SSH es un uso-nivel VPN que los funcionamientos TCP excesivo para asegurar transacciones del cliente-a-servidor. Esto se utiliza a menudo para las conexiones generales y administrar los servidores remotamente. Se utiliza típicamente para substituir el telnet, el ftp, y comandos de los servicios “r” de Berkley. Sin embargo, puesto que cualquier protocolo arbitrario del TCP puede ser tunneled a través de una conexión de SSH, él puede ser utilizado para numeroso otros usos. SSH proporciona la autentificación por los pares dominantes asimétricos de RSA o de DSA. Los jefes en una sesión de SSH no se cifran, así que un intruso todavía podrá visión la fuente y las direcciones de destinación.

8.3. VPNs (Redes Privadas Virtuales)

VPNs proporciona tráfico cifrado a través del Internet. Sin embargo, si un hacker compromete los extremo-nodos de una conexión de VPN, pueden todavía oler el tráfico. Un panorama típico es un usuario final que practica surf el Internet normalmente y consigue comprometido con un acceso alejado Trojan (RATA) que contenga un plug-in el oler. Cuando el usuario establece la conexión de VPN, el programa el oler puede considerar no solamente el tráfico cifrado que se puede considerar en el Internet, pero también el tráfico unencrypted antes de que consiga enviado a través del apilado al VPN.

8.4. Asegure La Capa De los Zócalos (Seguridad De la Capa De SSL)/Transport (TLS)

El SSL fue desarrollado originalmente por las Netscape Communications Para proporcionar seguridad y aislamiento a las sesiones del Internet. Ha sido substituido por TLS como indicado en RFC 2246.TLS proporciona seguridad en la capa de transporte y supera algunas aplicaciones de seguridad el SSL. Se utiliza encapsula el tráfico de la red de usos de alto nivel tales como LDAP, HTTP, ftp, NNTP, POP3, e IMAP. Proporciona la autentificación y la integridad vía certificados digitales y firmas digitales.

8.5. Seguridad del IP (IPSec)

IPSec es un protocolo del red-nivel que incorpora seguridad en el IPv4 e IPv6 protocola directamente en el nivel del paquete extendiendo el jefe del paquete del IP. Esto permite la capacidad de cifrar cualquier protocolo de capa más alto. Se está incorporando actualmente en los dispositivos, los cortafuegos, y los clientes de la encaminamiento para asegurar las redes confiadas en a una otras. IPSEC proporciona varios medios para la autentificación y el cifrado, apoyando bastantes cifras dominantes públicas de la autentificación y cifras dominantes simétricas del cifrado. Puede funcionar en modo del túnel para proporcionar un jefe nuevo del IP que enmascare la fuente y las direcciones de destinación originales.

8.6. Contraseñas de una sola vez (OTP)

Las contraseñas de una sola vez son otro método a proteger en contra de oler. S/key, las contraseñas de una sola vez en todo (OPIE), y otras técnicas de una sola vez de la contraseña protegerán contra la colección y la reutilización de contraseñas. Funcionan usando un método de la desafiar-respuesta, y se transmite una diversa contraseña cada vez que la autentificación es necesaria. Las contraseñas que un succionador recoge serán inútiles puesto que se utilizan solamente una vez. Las tarjetas elegantes son un método popular de poner la protección de una sola vez de passwords.E-mail en ejecucio'n son un asunto caliente para las compañías y los individuos. Dos métodos de proteger E-mail, cifrándolo en tránsito y en almacenaje, son bonitos.

9. Referencias

www.securitysoftwaretech.com
www.robertgraham.com
www.fernando.org.uk
www.linuxjournal.com
http://cs.baylor.edu
www.tldp.org
www.zurich.ibm.com
www.robertgraham.com
www.linuxsecurity.com

Suhas Un Desai:
Suhas que un Desai está trabajando con Mahindra Ltd. Pune del tech como revelador del software. Él es activo en comunidad abierta de la fuente. Él ha sido autor de muchos papeles, los artículos y las características para las conferencias internacionales y nacionales reputadas, los diarios y los procedimientos de investigación. Él escribe las características para www.linuxsecurity.com. En su tiempo libre él conduce a conferencias, a los talleres para los profesionales del software y a estudiantes.

esto es un artículo agregado por Suhas A Desai