МЕТОДЫ ПЕРЕХВАТА ИНФОРМАЦИОННОГО ТРАФИКА В ЛОКАЛЬНЫХ СЕТЯХ

На данном этапе развития общества в век информации, огромные объемы данных могут передаваться на другой конец земного шара за несколько минут, однако новые технологии несут и новые опасности.

На сегодняшний день в сети существует множество угроз безопасности. Одна из таких угроз– атака класса «человек по середине». В статье дается детальный анализ подобных атак, а также методов борьбы с ними. Основным отличием статьи является то что, атаки осуществляются с помощью Pythoh(Scapy) что позволяет гибко манипулировать пакетами в отличии от использования готового ПО.

Но для проведения этой атаки нужно рассказать о параметрах работы сети в разных операционных системах. В Unix-подобных системах для этих целей используется утилита ifconfig, в операционных системах семейства Windows для этого служит команда ipconfig (которая выполняет те же функции что и ее аналог в Unix.

Самым просты способом проведения атаки «человек по середине» является способ, основанный на изменении IP адреса на машине жертвы. Это изменение можно осуществить локально, используя ПО для удаленного администрирования, или используя вирусное ПО. Для изменения IP адреса в Unix необходимо удалить старый адрес шлюза затем добавить новый адрес, вWindows системах необходимо открыть окно свойство TCP/IP протокола и заполнить нужное поле.[1, c. 265]

У каждого узла в IP-сети есть как МАС-адрес, так и IP-адрес. Чтобы отправлять данные, узел должен использовать оба адреса. Узел должен использовать собственные МАС- и IP-адреса в полях источника, а также предоставить МАС- и IP-адреса для назначения.

Несмотря на то, что IP-адрес назначения будет предоставлен более высоким уровнем OSI, отправляющему узлу необходим способ найти MAC-адрес назначения для данного канала Ethernet. В этом заключается назначение протокола ARP. Так как ARP протокол не производит никакой проверки на корректность данных злоумышленник может подменить MAC Адрес Шлюза на не обходимый ему MAC.

В настоящее время существует несколько инструментов для выполнения ARP-spoofing'а, работающие как в ОС Linux, так и в ОС Windows, и ОС Android.[2, c. 345]

Наиболее известные:

1. ettercap;
2. cain&abel;
3. dsniff;
4. arp-sk.

Также можно выполнить данную атаку вручную собрав ARP пакет, используя для этого Python c набором библиотек Scapy. Что, на мой взгляд, является лучшим решением так как позволяет, тонко настраивать пакеты для отправки, и при этомоставаясь анонимны. Кроме того работая со Scapy необходимы и обширные знания работы с сетей и сетевых протоколов.

Также того используя Scapy можно отправить ARP пакет с несуществующим MAC, из-за чего на атакуемом компьютере перестанет работать сеть, помимо этого с помощью Scapy можно перенаправить трафик на определенных компьютер что может послужить отказом этого узла сети. Все эти функциине позволяют сделать выше перечисленные утилиты.

 Используя Scapy можно легко реализовать также такую атаку как MacFlooding (Рисунок 1)результатом которой будет то что switch начинает работать как Hub, тем самым предоставляя злоумышленнику много ценной информации. Так же MacFlooding может привести в негодность и сам switch.Используя Scapy можно легко проводить DOS атаки в пределах одной сети (Рисунок 2) после чего атакуемый компьютер отправляет все пакеты на несуществующий сетевой адрес.

Рисунок 1. Пример скрипта для осуществления MAC flooding

Рисунок 2. Пример скрипта для осуществления DOS атаки

Еще одной интересной техникой является подмена MAC адреса. С помощью этого способа пакеты, предназначенные для атакуемого компьютера, будут приниматься и на компьютере с измененным MAC адресом.

Рисунок 3. Пример изменения MAC адреса Linux

Протокол DHCP осуществляет динамическое назначение IP-адреса компьютеру-клиенту, который временно подключается к сети. Для этого компьютер-клиент посылает в сеть широковещательное DHCP сообщение. DHCP-сервер, получив такое сообщение, выделяет компьютеру временный IP-адрес из пула адресов и определяет срок его аренды. Но так как запрос на получение настроек происходит широковещательно злоумышленник может претворится DHCP сервером и выдать настройки с поддельными адресами Шлюза и DNS.

В сети Интернет существует протокол ICMP (InternetControlMessageProtocol), одной из функцией которого является информирование хостов о смене текущего маршрутизатора. Данное управляющее сообщение носит название redirect. Существует возможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост.[3, c.437] В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост, отославший ложное redirect-сообщение. Таким образом, возможно, осуществить активное навязывание ложного маршрута внутри одного сегмента сети Интернет.

В статье дан обзор способов проведения атак «человек по середине», а также даны примеры скриптов для осуществления этих атак, с помощью которых злоумышленник остается анонимным. Представлены основные методы выявления этих атак. Скрипты приведенные в этой статья написаны на языке Python с использованием набора библиотек Scapy, что позволяет тонко настраивать отсылаемые пакеты, но работа с данным ПО требует понимания работы сети и сетевых протоколов. Приведены примеры использования NMAP для сканирования сети и подбора паролей. Опираясь на вышесказанное, хотелось бы отменить, что угрозы связанные и перехватом трафика являются серьезной проблемой информационный безопасности и существует необходимость решения этой проблемы на программном и аппаратном уровнях.

Список Литературы:

1. Олифер В. Г. ОлиферН. А. Компьютерные сети. Принципы, технологии, протоколы: учеб. пособие Мн.: Питер  2010.-855 c.
2. Таненбаум Э. Остин Т. Структурированная Компьютерная Организация ОРАН учеб. пособие Мн.: Питер  2010.-946 c.
3. Шахнович И.А. Современные технологии беспроводной связи учеб. пособие Мн.: Техносфера 2006.-646 c.