86 89 monitoring

CD-ROM
Ettercap NG 0.7.3
(dla Windows i Linuksa)
freeware
LIBPCAP 0.9.4 (dla Linuksa)
freeware
WinPcap 3.1 (dla Windows)
freeware
Ethereal 0.10.14
(dla Windows i Linuksa)
freeware
Sieć pod kontrolą
Odpowiedzialny administrator nie ogranicza się tylko do naprawiania awarii.
Do jego zadań musi również należeć ciągłe monitorowanie wydarzeń w sieci
dministrator sieci jest zazwyczaj od-
Sposoby monitorowania w LAN-ie
powiedzialny za działania jej użyt-
kowników. Gdy na przykład zaata-
sieć lokalna sieć lokalna
Komputer monito- Komputer monito-
Akują jakiś komputer lub będą rozsy-
rujący podłączony rujący pełniący
łać spam, skargi trafią do administratora lub
do huba rolę bramki
osoby, ktora wykupiła usługę dostępu do
internetu. Dlatego jeżeli założyliśmy sieć uży-
waną przez wiele osób, na przykład blokową
koncentrator
lub firmową, warto regularnie monitorować,
(hub)
w jaki sposób użytkownicy korzystają z sieci
ruter koncentrator
(bramka do internetu) (hub) ruter (bramka do internetu)
LAN i co się w niej dzieje. Administrator po-
komputer administratora i jednocześnie komputer administratora
winien też umieć sprawdzić, czy z jego sieci
widoczne dane przesyłane do/z internetu widoczne dane przesyłane do/z internetu
widoczne dane przesyłane między użytkownikami widoczne dane przesyłane między użytkownikami
nie korzystają osoby nieautoryzowane, które
nie trzeba stosować żadnych dodatkowych mechanizmów nie trzeba stosować żadnych dodatkowych mechanizmów
uzyskały do niej dostęp w nielegalny sposób.
Ekspert pokaże, jak monitorować sieć za
sieć lokalna sieć lokalna
Monitrowanie Komputer monito-
pomocą programu Ettercap NG (działającego
zwykorzystaniem rujący pełniący
zarówno w systemie Windows, jak i Linux).
ARP spoofing rolę bramki
Komputer do monitorowania
Na początku musimy wybrać komputer,
na którym zainstalowane zostanie oprogra- przełącznik
(switch)
mowanie służące do przechwytywania da-
ruter przełącznik
(bramka do internetu) (switch)
nych krążących w LAN-ie i ich analizy.
ruter (bramka do internetu)
komputer administratora
Możliwe są różne rozwiązania, przedsta- i jednocześnie komputer administratora
widoczne dane przesyłane do/z internetu widoczne dane przesyłane do/z internetu
wione przez Eksperta na schemacie .
widoczne dane przesyłane między użytkownikami niewidoczne dane przesyłane między użytkownikami
W zależności od tego, czy nasz LAN jest
trzeba stosować metodę ARP spoofing (ARP poisoning) nie trzeba stosować żadnych dodatkowych mechanizmów
zbudowany na przełącznikach (jak większość
sieć lokalna sieć lokalna
sieci), czy też na koncentratorach, monitoro-
Komputer monito- Prosty system
wać będziemy na różne sposoby . Pamiętaj-
rujący podłączony monitorowania
między ruterem z dodatkowym
Ekspert radzi
aswitchem hubem
eśli w naszej sieci panuje duży ruch i chcemy, aby do programu przełącznik
przełącznik
(switch)
(switch)
JEttercap NG dochodziły tylko określone pakiety danych (aby na przykład mo-
nitorować wysyłanie poczty czy obecność konkretnego wirusa), z menu
wybieramy .
ruter
W polu wprowadzamy parametry ruter
(bramka do internetu)
(bramka do internetu) koncentrator
komputer administratora
wformacie pcap, opisanym na stronie
(hub)
komputer administratora
widoczne dane przesyłane do/z internetu
, anastępnie klikamy na . Na
Ś'
niewidoczne dane przesyłane między użytkownikami widoczne dane przesyłane do/z internetu
przykład po wpisaniu: tcp dst port 80 and src host 192.168.1.3, analizowa-
trzeba stosować tryb Bridged Sniffing w Ettercap NG niewidoczne dane przesyłane między użytkownikami
ne będą tylko pakiety TCP wysyłane na port 80 z peceta o adresie 192.168.1.3. konieczne są dwie karty sieciowe w komputerze administratora nie trzeba stosować żadnych dodatkowych mechanizmów
CZERWIEC 2006
86
BEZPIECZECSTWO
MONITORUJEMY SIEĆ LAN
AS
FOT. :E
TNEWS/montaż KOMPUTER ŚWIAT EKSPERT
Koncentrator
Przełącznik
ruch między innymi komputerami). Z opcji
Opinia prawnika
Ekspert radzi
tej można zrezygnować tylko na komputerze
pełniącym funkcję bramy, gdy chcemy anali-
Paweł Józwiak o uruchomieniu sieci lokalnej warto od razu sprawdzić i spisać adresy MAC
zować jedynie pakiety wymieniane między
radca prawny Pposzczególnych komputerów w sieci. W przyszłości, jeśli któryś z adresów
komputerami w LAN-ie i internetem.
będzie inny niż pierwotnie, można w ten sposób zidentyfikować ewentualnego in-
truza (ale może to też znaczyć, że właściciel komputera zmienił kartę sieciową).
Monitorowanie sieci lokalnej wiąże się ze śledzeniem poczy-
Z menu wybieramy mechanizm pod-
nań użytkowników. Czy jest to legalne?
3 słuchu mamy do wyboru sprawdzić adresy MAC komputerów użytkow-
Wszystko zależy od treści regulaminu lub umowy, które zawieramy,
podłączając się do lokalnych sieci komputerowych. Generalnie jed- lub . Zwykle należy wskazać ników z listą i zablokować nieznane pecety,
nak takie działanie administratora powinno być:
. wybieramy, jeśli modyfikując ustawienia rutera.
zastrzeżone w umowie lub co najmniej regulaminie świadczenia usług,
nasz komputer ma dwie karty sieciowe i jest Jeśli chcemy zapisać listę, klikamy na me-
niezbędne do prawidłowego świadczenia usług przez providera.
wpięty pomiędzy podsłuchiwane systemy (na nu i polecenie .
Innymi słowy, administrator nie może śledzić użytkowników,
przykład bramę do internetu i pozostałe kom-
powodowany osobistą ciekawością, ale jego działanie musi być uza-
putery). nie wolno stosować na Zaznaczamy host, który chcemy monito-
sadnione i potrzebne do zapewnienia systemowi informatycznemu
niezakłóconego działania. W tych okolicznościach możliwe jest uzy- pecetach pełniących funkcję bramy. Po wy- 3 rować, i klikamy na . Czyn-
skanie listy komputerów podłączonych do sieci i ewentualnie śle- braniu tej opcji widzimy okno, w którym kli- ność powtarzamy, jeśli chcemy moni-
dzenie rodzaju działań wykonywanych w sieci (na przykład czy użyt- kamy na , i wybieramy interfejs, na którym torować więcej niż jeden komputer
kownik korzysta z poczty, na jakich serwerach, jakie strony WWW
program ma nasłuchiwać. Klikamy na . naraz. Aby zobaczyć listę hostów, któ-
ogląda i tak dalej).
re są monitorowane , z menu
Natomiast uważam, że administrator nie ma prawa śledzenia danych
wybieramy . Klikając
przesyłanych przez użytkownika (na przykład treści wysyłanych wia-
na lub , możemy ręcznie dodawać
domości), bo naraża się na odpowiedzialność cywilną (narusza do-
lub usuwać hosty z listy monitorowanych.
bro osobiste użytkownika prawo do zachowania tajemnicy kore-
spondencji), a nawet karną (jego działanie może nawet zostać uzna- Wyszukiwanie hostów
ne za przestępstwo).
Zanim zaczniemy monitorować ruch w sie- Jeśli chcemy określić protokół, który bę-
ci, musimy dowiedzieć się, jakie działają 4 dzie monitorowany (TCP, UDP lub oba),
my, że rutery sprzętowe zwykle zawierają w niej hosty (pecety i inne urządzenia z inter- możemy to zrobić, wybierając menu
wbudowany przełącznik, a nie hub, i należy fejsem sieciowym). Dzięki temu będziemy i . W polu wpisujemy protokół
w ich przypadku stosować ARP spoofing (wię- mogli między innymi wykryć użytkowników, (małymi literami: tcp, usp, all). Jeżeli chce-
cej informacji w dalszej części tekstu). którzy podłączyli się do sieci bez naszej zgody. my monitorować wszystkie protokoły, pozo-
stawiamy wartość domyślną.
Instalacja i wstępna konfiguracja W programie Ettercap NG z menu
Zanim zainstalujemy program Ettercap NG 1 wybieramy . Ettercap NG
w systemie Windows, musimy zainstalować przeszukuje sieć za pomocą protokołu ARP .
bibliotekę WinPcap . Umożliwia ona pobie- W ten sposób żaden komputer nie ukryje się
�'
ranie pakietów z sieci, które Ettercap NG na- przed poszukiwaniem (ponieważ gdyby od-
stępnie analizuje. Jest wykorzystywana prak- mawiał odpowiedzi na zapytania ARP, nie Obserwacja ruchu w sieci
tycznie przez każde narzędzie do analizy ru- mógłby w ogóle korzystać z sieci). Kiedy już wyszukaliśmy hosty w sieci
chu w sieci. Jeśli instalujemy Ettercap NG na i wybraliśmy te mające podlegać monitoro-
Linuksie, zamiast WinPcapa musimy użyć waniu, możemy uruchomić mechanizm
LIBPCAP-a . Po uruchomieniu programu podsłuchiwania pakietów w programie
�'
Ettercap NG musimy skonfigurować opcje: Ettercap
NG. Zanim
Jeśli Ettercap NG jest uruchomiony na Z menu wybieramy . Wy- to zrobimy,
1 komputerze, który jest bramą do inter- 2 świetlona zostanie zakładka z listą ho- przygotuj-
netu, wybieramy z menu i . stów przy każdym z nich widać adresy IP my się do
oraz odpowiadające im adresy MAC . Jeżeli monitoro-
Upewniamy się, że w menu zazna- wykryjemy zbyt dużo pecetów, oznacza to, że wania.
2 czone jest . Nasza karta siecio- jeden z użytkowników udostępnia sieć oso-
wa będzie odczytywała pakiety niezaadreso- bom trzecim albo ktoś bez pozwolenia przyłą- Z menu wybieramy opcję
wane do niej (co jest konieczne, by widzieć czył się do LAN-u. W takim wypadku należy 1 . Wyświetlona zostanie za-
Monitorowanie w sieciach z przełącznikami
onitorowanie w sieciach opartych na koncentratorach (hubach) jest się za pomocą protokołu
Jak działa ARP spoofing
Mbardzo proste. Koncentrator działa bowiem w ten sposób, że wszyst- ARP pod inne urządzenie
szpieg
Etap 1
kie pakiety wysyłane do niego są rozsyłane do pozostałych podłączonych (na przykład bramę do
IP: 10.0.0.20
Zatrucie ARP cache
komputerów, a karta sieciowa danego peceta wybiera tylko te przeznaczone internetu) i przełącznik
MAC: 00:00:00:00:00:20
wkomputerach w sieci
dla niej. W przypadku sieci opartych na przełącznikach (switchach) jest to oraz inne pecety w sieci
o wiele trudniejsze, ponieważ przełącznik uczy się, do których gniazd podłą- wysyłają wszystkie pakiety do nas. Z kolei Ettercap NG przekazuje te pakiety do
Odpowiedz ARP:
czone są poszczególne komputery (rozpoznawane po adresach MAC) i pa- prawdziwego adresata, by nie przerwać komunikacji i uniknąć wykrycia.
Adres IP 10.0.0.10 ma komputer
kiety wysyła tylko do adresata . Dlatego też bez stosowania specjalnych Aby uruchomić ARP spoofing w Ettercap NG, z menu wybieramy o adresie MAC 00:00:00:00:00:20
(podszywa się pod ofiarę)
technik nie będziemy w stanie odebrać pakietów przeznaczonych do innych opcję . Wyświetlone zostaje okno . Zaznaczamy opcję
komputerów. , która umożliwi śledzenie połączeń prze-
Odpowiedz ARP:
Metodą stosowaną w programie Ettercap NG jest ARP poisoning (inaczej ARP chodzących przez bramę, opcję zaś pozosta-
Adres IP 10.0.0.1
ma komputer
spoofing ). W uproszczeniu polega to na tym, że nasz komputer podszywa wiamy wyłączoną. Następnie klikamy na .
o adresie MAC
00:00:00:00:00:20
koncentrator (podszywa się
koncentrator
Pierwsze Dalsze brama do internetu
pod bramę)
(hub)
(hub)
IP: 10.0.0.01
pakiety pakiety
do 10.10.10.3 do 10.10.10.3 MAC: 00:00:00:00:00:01
ofiara
IP: 10.0.0.10
IP: 10.10.10.1 IP: 10.10.10.1
MAC: 00:00:00:00:00:10
MAC: 00:00:00:00:00:01 MAC: 00:00:00:00:00:01
Etap 2
szpieg
Pośredniczenie w komunikacji
IP: 10.0.0.20
MAC: 00:00:00:00:00:20
i podsłuchiwanie
IP: 10.10.10.2 IP: 10.10.10.3 IP: 10.10.10.2 IP: 10.10.10.3
brama przekazuje pakiet do szpiega,
MAC: 00:00:00:00:00:02 MAC: 00:00:00:00:00:03 MAC: 00:00:00:00:00:02 MAC: 00:00:00:00:00:03
myśląc, że to ofiara
przełącznik przełącznik
Pierwsze Dalsze
(switch) (switch)
pakiety do 10.10.10.3 pakiety do 10.10.10.3
szpieg
szpieg przekazuje
przekazuje
pakiet do bramy,
pakiet do ofiary,
switch pamięta, że
podszywając się
switch uczy się, że switch uczy się, że
podając się
10.10.10.3
pod ofiarę
10.10.10.2 10.10.10.3
za bramę
IP: 10.10.10.1 IP: 10.10.10.1 ma adres MAC
ma adres MAC ma adres MAC
MAC: 00:00:00:00:00:01 MAC: 00:00:00:00:00:01 00:00:00:00:00:03
00:00:00:00:00:02 00:00:00:00:00:03
brama do internetu
ofiara przekazuje pakiet
IP: 10.0.0.01
do szpiega, myśląc,
MAC: 00:00:00:00:00:01
że to brama
ofiara
IP: 10.10.10.2 IP: 10.10.10.3 IP: 10.10.10.2 IP: 10.10.10.3 IP: 10.0.0.10
MAC: 00:00:00:00:00:02 MAC: 00:00:00:00:00:03 MAC: 00:00:00:00:00:02 MAC: 00:00:00:00:00:03 MAC: 00:00:00:00:00:10
�'
CZERWIEC 2006
87
Koncentrator
Przełącznik
ga ona na rozpoznaniu połączeń związanych
Ekspert radzi
z normalnym użytkowaniem komputera
ttercap NG może pracować w dwóch jak przesyłanie e-maili, odwiedzanie stron
Etrybach. W pierwszym (opisanym
WWW. Gdy je znajdziemy, pozostanie nam
wtym poradniku) pakiety monitorujemy na
o wiele mniej danych do sprawdzenia.
bieżąco. W drugim zachowujemy pakiety na
Ekspert przygotował tabelę , która pomo-
dysku, a ich analizę przeprowadzamy w try-
że nam rozpoznać niegrozne połączenia. Na-
bie offline.
leży porównać zawarte w niej informacje
Aby zachować pakiety, po uruchomieniu
o portach oraz charakterystycznych ce-
programu z menu wybieramy opcję
i podajemy nazwę pliku (jeśli
nie podamy ścieżki, dane zostaną zachowa-
ne w katalogu programu Ettercap NG). Aby
analizować wcześniej zachowane pakiety,
chach połączeń z danymi pokazywanymi
z menu wybieramy
przez Ettercap NG w kolumnach oraz
i wskazujemy wcześniej zachowany plik. Za-
i . W ten sposób możemy się na
chowanie pliku umożliwia nam także przej-
przykład zorientować, że połączenia są wy-
rzenie go pózniej za pomocą innych progra-
konywane przez program eMule świadczy
mów do monitorowania .
otym fakt, że dane są przysyłane do hosta na
Dane zgromadzone za pomocą
porty TCP 4462 ( ) i UDP 4472 ( ).
Ettercapa NG możemy przeglądać
na przykład za pomocą wygodne-
Gdy już wyeliminujemy połączenia na-
go programu Ethereal
6 wiązywane przez popularne aplikacje,
cji bramy nie spełnia ruter bezprzewodowy musimy jeszcze sprawdzić wszystkie pozosta-
wtedy monitorowanie nie będzie możliwe). łe. W ustaleniu, jakie usługi korzystają z nie-
znanych portów, warto użyć znakomitej wy-
Aby rozpocząć monitorowanie, z menu szukiwarki internetowej pod adresem .
ć'
3 wybieramy opcję . Niestety, jest do żmudna i trudna praca. Eks-
pert przygotował tabelę , dzięki której rozpo-
Na liście widoczne są połączenia na- znamy najpopularniejsze zagrożenia.
4 wiązywane przez poszczególne pecety.
Każde opisane jest kilkoma parametrami,
Ekspert radzi
jak czy . Informacje o ich znaczeniu
eśli mamy podejrzenia co do jakiegoś połączenia i chcemy
znajdziemy w ramce .
Jsprawdzić, do kogo należy zewnętrzny (internetowy) adres IP,
zktórym łączy się nasz użytkownik, wpiszmy ten adres w wyszuki-
Tabela połączeń zawiera informacje o ope-
warce na stronie .
Ź'
kładka , w której po uruchomie- 5 racjach przeprowadzanych w naszej sieci.
niu nasłuchu widoczne będą pakiety. Ale jak znalezć wśród nich te potencjalnie
grozne? Zastosujmy metodę eliminacji. Pole- Obserwacja treści połączeń
W przypadku sieci bezprzewodowych Ettercap NG umożliwia nie tylko wyszuka-
2 opartych na protokole WEP z menu nie hostów, obserwację ruchu, ale także ana-
Oznaczenia pakietów
wybieramy opcję . Wprowa- lizowanie treści wykonywanych połączeń.
dzamy klucz WEP do odszyfrowywania pakie- Host każde połączenie ma dwa hosty komputery, między który- Dzięki narzędziu do podglądania transmito-
tów, a następnie klikamy na . W przy- mi przesyłane są informacje. Lewy host to komputer wysyłający da- wanych danych możemy na przykład spraw-
ne, a prawy odbierający.
padku sieci bezprzewodowych opartych na dzić, czy duża liczba połączeń na port 25 jest
Port port, na którym nawiązywane jest połączenie. Dla każdego
protokole WPA/WPA2 niestety nie będziemy próbą rozesłania spamu, czy też użytkownik
połączenia podawany jest odrębny port.
mogli odszyfrować pakietów wysyłanych po prostu wysyła dużo prywatnych e-maili.
Proto protokół połączenia (T TCP, U UDP).
przez inne osoby. Takie sieci należy więc mo- Wystarczy uruchomić pogląd i obejrzeć treść
State stan połączenia (active aktywne, closing zamykane,
nitorować, umieszczając dodatkowy kompu- przechwyconego listu elektronicznego.
idle nieaktywne, killed przerwane, opening otwierane).
ter między przełącznikiem a urządzeniem Możliwości wykorzystania podglądu pa-
Bytes liczba bajtów danych przesłanych podczas połączenia.
stanowiącym bramę do internetu (o ile funk- kietów jest wiele musimy jednak uwa-
Niegrozne, często spotykane transmisje danych
Porty docelowe Usługa lub program Typowa liczba połączeń Typowa ilość danych Uwagi
20, 21 TCP FTP (przesyłanie plików) niewielka (jedno połączenie niewielka (tylko połączenie, dane prócz połączenia widoczne będzie również przesyłanie danych
na serwer) przesyłane są na różne, wysokie porty) (na różne, wysokie porty)
22 TCP SSH (sterowanie innymi komputerami) niewielka (jedno połączenie na serwer) niewielka (chyba że przesyłane są pliki) połączenie szyfrowane
23 TCP Telnet (sterowanie innymi komputerami) niewielka (jedno połączenie na serwer) niewielka używane obecnie bardzo rzadko, głównie do gier typu MUD
25 TCP SMTP (poczta wychodząca) niewielka (jedno połączenie średnia (duża przy listach z załącznikami) duża liczba połączeń SMTP zazwyczaj oznacza, że komputer
na serwer) jest zainfekowany przez robaka wysyłającego spam
53 UDP DNS (serwer nazw) średnia (co najmniej jedno połączenie bardzo mała w sporadycznych przypadkach zamiast protokołu UDP
na próbę uzyskania nazwy) używany jest TCP (ten sam port)
67, 68 UDP DHCP (nadawanie adresów IP niewielka (zazwyczaj jedno połączenie bardzo mała informacje o zapytaniach DHCP są też widoczne w dolnej
w sieci) co 15 minut do godziny) części okna Ettercapa NG
80 TCP HTTP (strony WWW) średnia (kilka połączeń na stronę) dość duża (szczególnie przy dużej ilości niektóre programy p2p (na przykład Kazaa) używają często tego
grafiki lub multimediów na stronie) portu do przesyłania plików. Świadczy o tym bardzo duża liczba
połączeń z różnymi adresami IP
110, 143 TCP POP3 i IMAP (pobieranie poczty) niewielka (jedno połączenie średnia (duża przy listach z załącznikami, szczegóły połączeń POP3 są widoczne w dolnej części okna
na konto) mała przy braku nowych listów) Ettercapa NG
119 TCP NNTP (grupy dyskusyjne) niewielka (jedno połączenie średnia duża ilość danych przesyłanych na tym porcie oznacza,
na serwer) że użytkownik pobiera pliki (często pirackie) ze specjalnych
(binarnych) grup dyskusyjnych
137-139, 445 TCP NetBIOS (sieć Windows) niewielka dość duża (przy przesyłaniu plików w sieci) połączenia tylko w sieci lokalnej; połączenia poza siecią lokalną
zazwyczaj oznaczają, że komputer jest zainfekowany robakiem
443 TCP HTTPS (szyfrowane strony), niewielka dość duża w przypadku pobierania stron, połączenia szyfrowane
komunikatory (np. Tlen, Gadu-Gadu) niewielka w przypadku komunikatorów
465 TCP SMTPS (szyfrowane SMTP) patrz SMTP patrz SMTP połączenie szyfrowane
993, 995 TCP IMAPS i POP3S (szyfrowany IMAP i POP3) patrz POP3 i IMAP patrz POP3 i IMAP połączenie szyfrowane
1214 TCP Kazaa bardzo duża bardzo duża programy zazwyczaj umożliwiają wybranie innego portu lub
wybierają go same, jeśli domyślny jest zablokowany
2234 TCP SoulSeek (p2p) duża bardzo duża najnowsze wersje programu umożliwiają wybór dowolnego portu
4012, 4013 TCP Direct Connect (DC++) duża bardzo duża program DC++ umożliwia wybranie dowolnego portu
4662 TCP, 4672 UDP eMule (ed2k) bardzo duża bardzo duża program umożliwia wybranie dowolnego portu, ale użytkownicy
rzadko z tego korzystają
5222, 5223 TCP Jabber (komunikator) niewielka (pojedyncze połączenia) niewielka port 5223 to połączenia szyfrowane
5900 VNC (zdalny pulpit) niewielka (pojedyncze połączenia) duża -
6881 BitTorrent duża duża programy umożliwiają zazwyczaj wybranie innych portów
6667 IRC niewielka niewielka wykorzystywany przez botnety
8074 Gadu-Gadu niewielka niewielka tylko w starszych wersjach GG lub przy zablokowanym porcie 443
CZERWIEC 2006
88
BEZPIECZECSTWO
MONITORUJEMY SIEĆ LAN
się jednak, że jeden ze
Trudne terminy
Dodatkowe informacje
współużytkowników LAN
rogram Ettercap NG w dolnej części okna wyświetla dodatkowe informacje. Domyślnie wy- próbuje podglądać, co ro- ARP ang. Address Resolution Protocol protokół służący do spraw-
dzania powiązań między adresem sprzętowym MAC (adresem karty sieciowej)
Pświetlane są tam wszelkie żądania DHCP (czyli, w uproszczeniu, prośby o przydzielenie adre-
bią inni. Wykrycie takiej
a adresem IP. Komputer wysyła do całej sieci zapytanie ARP o treści: kto ma
su IP), a także próby logowania się do różnych usług (na przykład POP3, SMB). Uwaga! Program
działalności nie jest pro-
adres IP X.X.X.X?, a następnie komputer, do którego przypisany jest ten adres,
może przez to wyświetlać poufne informacje takie, jak identyfikatory i hasła.
ste szczególnie jeśli sieć
odpowiada: ja mam ten adres IP, mój adres MAC to YY:YY:YY:YY:YY:YY.
jest oparta na koncentra-
NMB i SMB ang. Network Message Block i Server Message Block.
torach (hubach). Ekspert
Protokoły stosowane w sieci Microsoft Windows (NetBIOS). SMB służy do
pokaże, jak wykryć w na-
uzyskiwanie dostępu do plików i przesyłania ich, NMB zaś do nazywania kom-
szym LAN-ie domorosłego
puterów w sieci Windows.
hakera, korzystając z Et-
promiscuous ang. bezładny, rozwiązły specjalny tryb działania
tercap NG.
karty sieciowej, w którym przekazuje ona do komputera wszystkie dane, a nie
żać, by nie naruszyć czyjejś prywatności,
tylko te przeznaczone dla jej adresu IP.
przeglądając na przykład rozmowy prowa-
dzone za pomocą komunikatora (więcej in-
SSH ang.Secure Shell usługa i protokół umożliwiające zdalny dostęp
formacji na stronie 87 w ramce Opinia spe- do innych komputerów z linii poleceń.
cjalisty).
Ekspert pokaże, jak w praktyce analizo- kładzie adres
wać treść danych. 192.168.1.6 poda-
je się za
Z menu wybieramy opcję 192.168.1.1, czyli
1 . W oknie wybiera- stosuje ARP poi-
my metodę wizualizacji (według porad Z menu wybieramy opcję soning.
z ramki ), a następnie klikamy na . 1 . W nowej zakładce wi-
dzimy listę dostępnych W sieci LAN opartej na przełącznikach
rozszerzeń. 4 również przydatne będzie uaktywnienie
plug-inu . Będzie on informował nas
W sieci opartej na kon- w dolnej części okna o wszelkich próbach ARP
2 centratorach jedynym poisoningu.
mechanizmem, który po- W poniższym
może nam wykryć pod- przykładzie
słuch, jest plug-in . Klikamy widzimy, że
Metody wizualizacji
dwukrotnie na , aby
go uruchomić. W dolnej części
hex dane są wyświetlane w formacie szesnastkowym, co
okna Ettercapa widzimy, które
umożliwia bardzo dokładne ich przejrzenie (wyświetlane są
adresy IP mają najprawdopodob-
wszystkie znaki). Dobra metoda do analizy niewielkich pakietów
niej karty działające w trybie
lub też dokładnej budowy pakietów na przykład w celu określe-
promiscuous , czyli umożli-
nia, jaka usługa lub jaki program z nich korzystają.
wiającym odbiór informacji nie- sieciowy adres
ascii wyświetlane są tylko znaki czytelne (litery, cyfry, znaki
przeznaczonych dla nich. Z oso- 192.168.1.6 próbuje
przestankowe itp.), pozostałe zastępowane są kropkami. Metoda
bą podejrzewaną o szpiegowanie podszyć się pod
domyślna, uniwersalna.
w naszej sieci najlepiej szybko wiele innych adre-
text wyświetlane są tylko znaki czytelne, pozostałe są pomija-
przeprowadzić rozmowę ostrze- sów . Ta i po-
ne. Metoda gorsza od ascii, rzadko używana.
gawczą lub też zastosować inne przednia metoda
ebcdic kody EBCDIC (używane na komputerach mainframe
sankcje wynikające z regulami- praktycznie ze stu-
firmy IBM) są zamieniane na znaki ASCII (używane w kompute-
nu korzystania z LAN-u. procentową pew-
rach PC). Metoda praktycznie nieużywana.
nością pozwalają
html usuwane są wszystkie znaczniki HTML. Metoda użytecz-
W sieci opartej na przełącz- wykryć użytkowni-
na do podglądania treści odbieranych stron HTML.
3 nikach możemy zastosować ka podsłuchujące-
utf8 umożliwia przekonwertowanie znaków z dowolnej strony
plug-in . Po jego uru- go dane metodami
kodowej na UTF. Metoda używana rzadko, może być użyteczna,
chomieniu w dolnej części okna stosowanymi
jeśli jeden z komputerów to na przykład Macintosh i używa zu-
otrzymamy informacje, czy wy- w sieciach opar-
pełnie innego kodowania polskich znaków.
kryto stosowanie techniki ARP tych na koncentra-
poisoning. W poniższym przy- torach. TN %
Na liście pakietów klikamy na połącze-
2 nie, którego treść chcemy podejrzeć,
a następnie wciskamy klawisz . Wy-
świetlona zostanie zakładka ,
w której widzimy zawartość połączenia.
Przykładowo, połączenie z serwerem tlen.pl
może wyglądać tak , pobieranie pliku
z wp.pl zaś - tak .
Wykrywanie nielegalnego
monitorowania
Użytkownikom sieci LAN zwykle nie
przeszkadza, że administrator ją monitoru-
je o ile tylko są o tym powiadomieni i nie
zagląda się do ich poufnych danych. Zdarza
Zwiastuni niepożądanych działań Warto zajrzeć...
Zaobserwowane zjawisko Prawdopodobny powód
Adresy WWW:
Bardzo duża liczba połączeń z portem 25 TCP z różnych Komputer w sieci jest zainfekowany robakiem rozsyłającym spam lub
www.winpcap.org
�'
serwerów jest świadomie wykorzystywany do rozsyłania spamu
www.tcpdump.org
�'
Stałe połączenie z portem 6667 TCP oraz duża liczba Komputer jest używany do przeprowadzania ataków DDoS w ramach botnetu
www.winpcap.org/docs/docs31/html/group__language.html
Ś'
innych połączeń w stanie opening
www.ports-services.com
ć'
Duża liczba połączeń lub prób połączenia z portem 135 TCP Komputer może być zainfekowany robakiem Blaster
www.ethereal.com
�'
Duża liczba połączeń lub prób połączeń z portem 445 TCP Komputer może być zainfekowany robakiem Sasser
www.whois-search.com
Ź'
Bardzo duża liczba połączeń z portem 1434 UDP Komputer może być zainfekowany robakiem Slammer
www.xatrix.org/dload.php?id=18
Bardzo duża liczba połączeń z wysokimi portami, na przykład Duża liczba jednoczesnych połączeń (i wynikająca z niej również duża
http://ettercap.sourceforge.net
1214, 4662, 4672 itp. liczba połączeń DNS) świadczy zazwyczaj o tym, że użytkownik
www.grc.com/nat/arp.htm
korzysta z oprogramowania p2p
www.sans.org/rr/whitepapers/tools/1406.php
Połączenia z różnymi serwerami na porcie 22 TCP Użytkownik może próbować włamać się do innych serwerów (przez SSH)
http://kolos.math.uni.lodz.pl/art79/zajecia/sieci/
Bardzo duża ilość danych przesyłana na port oraz Użytkownik najprawdopodobniej używa tunelowania SSH, aby obchodzić
podyplomowe_12_monitoring_d.pdf
z portu 22 TCP ograniczenia administratora (na przykład korzystać z zablokowanych usług)
http://en.wikipedia.org/wiki/List_of_well-known_ports
Bardzo duża ilość danych przesyłanych z portu 119 TCP Użytkownik najprawdopodobniej pobiera pirackie pliki z binarnych
www.hacking.pl
grup dyskusyjnych
CZERWIEC 2006
89

Wyszukiwarka

Podobne podstrony:
Audyt wewnętrzny 2014 86 95
Okulary do pracy przy monitorze
MonitorInfo
Monitory studyjne porównanie 15
monitor 40 5 strana
Monitoring Wilka szarego
consultants howto 86
06 S Wronka System monitorowania i kontroli wiązki
Monitoring w szkołach
Monitor interfejsu Centronics
S M A R T Technologia monitoringu i raportowania stanu dysku
smart monitoring
Prolonged intracranial pressure (ICP) monitoring
wyniki monitoringu

więcej podobnych podstron