Горюнов М.С., Овчаренко М.А., Токмакова М.В.

Национальный горный университет, Украина

Анализ трафика в локальной сети

 

            Анализатор трафика, или сниффер — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

            Для большинства организаций угроза сниффинга является в значительной степени внутренней угрозой.

         В последнее время наметилась тенденция обновления сетевой инфраструктуры, при которой хабы (концентраторы) заменяются на свитчи (коммутаторы). При этом часто приводится довод, что локальная сеть на коммутаторах будет обладать и повышенной безопасностью. Однако, уязвимы и такие сети. Любой, имея ноутбук и соответствующее программное обеспечение, может, подключившись к свободному порту коммутатора, перехватывать пакеты передаваемые от одного компьютера к другому.

         Утилиты для сниффинга появились с первых дней появления самих локальных сетей и предназначались для облегчения сетевого администрирования. Однако в соответствующих руках эти утилиты - снифферы - стали мощным инструментом хакеров, позволяющие перехватывать пароли и другую информацию, передаваемую по локальной сети.

         Традиционно снифферы считаются довольно сложными утилитами, требующими определенного умения для работы с ними, зачастую еще и с непростыми руководствами. Все это изменилось в последние несколько лет, когда появились и стали широко применяться легкие в использовании специализированные снифферы паролей. Многие из этих утилит нового поколения свободно доступны в Интернет. Имея встроенную базу данных, позволяющую понимать многие сетевые протоколы, снифферы фильтруют сетевой трафик на лету, выделяя только требуемую информацию (такую как связку usernames - passwords).

           

 

            Перехват трафика может осуществляться:

·        обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

·        подключением сниффера в разрыв канала;

·        ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

·        через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

·        через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

         Сниффинг в локальной сети без коммутаторов - хорошо проработанная технология. Большое количество коммерческих и некоммерческих утилит делает возможным прослушивание сетевого трафика и извлечение необходимой информации. Идея заключается в том, что для прослушивания сетевого трафика, сетевая карта компьютера переводится в специальный режим "promisc mode". После этого весь сетевой трафик (несмотря на его предназначение), достигший сетевой карты, может быть доступен снифферу.

         В локальной сети с коммутаторами для прослушивания сетевого трафика потребуется больше изобретательности, поскольку коммутатор направляет только тот трафик, который предназначен для конкретного компьютера. Однако существует ряд технологий, которые позволяют преодолеть это ограничение.

         Снизить угрозу сниффинга пакетов можно с помощью таких средств как:

·         Аутентификация

·         Криптография

·         Антиснифферы

·         Коммутируемая инфраструктура

            Аутентификация  — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

         Текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Всё большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт и биометрических устройств, например, сканеров радужной оболочки глаза, отпечатков пальцев или ладони.

         Антиснифферы — это работающие в сети аппаратные или программные средства, которые помогают распознать снифферы. Они измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик. Антиснифферы не могут полностью ликвидировать угрозу сниффинга, но они очень важны при построении комплексной системы защиты. Однако наиболее эффективной мерой, по мнению ряда специалистов, будет просто сделать работу снифферов бессмысленной. Для этого достаточно защитить передаваемые по каналу связи данные современными методами криптографии. В результате хакер перехватит не сообщение, а зашифрованный текст, то есть непонятную для него последовательность битов.

 

Литература:

1.     Советов Б. Я. Информационные технологии: Учеб. для вузов/Б. Я. Советов, В. В. Цехановский. — 3-е изд., стер. — М.: Высш. шк., 2006

2.     Фридланд А. Я. Информатика и компьютерные технологии: Основные термины: Толков, слов.: Более 1000 базовых понятий и терминов. — 3-е изд., испр. и доп. / А. Я. Фридланд, Л .С. Ханамирова, И. А. Фридланд. — М.: ООО «Издательство Астрель»: ООО «Издательство ACT», 2003

3.     http://ru.wikipedia.org