Для начала инженеру электросвязи стоит провести анализ пробегающего мимо него сетевого трафика с помощью любого сетевого анализатора в "неразборчивом" режиме работы сетевой карты (promiscuous mode).
В качестве сетевого анализатора для подобных целей замечательно подходит Wireshark или CommView. Чтобы выполнить этот этап, хватит и пары часов работы сетевого анализатора. По прошествии этого времени накопится достаточно данных для проведения анализа перехваченного трафика. И в первую очередь при его анализе следует обратить внимание на следующие протоколы:
В качестве сетевого анализатора для подобных целей замечательно подходит Wireshark или CommView. Чтобы выполнить этот этап, хватит и пары часов работы сетевого анализатора. По прошествии этого времени накопится достаточно данных для проведения анализа перехваченного трафика. И в первую очередь при его анализе следует обратить внимание на следующие протоколы:
- протоколы коммутации (STP, PVST+, CDP, DTP, VTP, и им подобные)
- протоколы маршрутизации (RIP, BGP, EIGRP, OSPF, IS-IS и другие)
- протоколы динамической конфигурации узла (DHCP, BOOTP)
- открытые протоколы (telnet, rlogin и подобные)
Что касается открытых протоколов, – вероятность того, что они попадутся во время сбора пакетов проходящего мимо трафика в коммутируемой сети, достаточно мала. Однако, если такого трафика много, то в обследуемой сети явно наблюдаются проблемы в настройках сетевого оборудования.
Во всех остальных случаях присутствует возможность проведения красивых атак:
- классической атаки MITM (Man in the middle) в случае, когда используется DHCP, RIP
- получение роли корневого узла STP (Root Bridge), что позволяет перехватывать трафик соседних сегментов
- перевод порта в магистральный режим с помощью DTP (enable trunking); позволяет перехватывать весь трафик своего сегмента
Для реализации атак на протоколы коммутации доступен замечательный инструмент Yersinia.
Предположим, что в процессе анализа трафика были выявлены пролетающие мимо DTP-пакеты (смотри скриншот). Тогда отправка пакета DTP ACCESS/DESIRABLE может позволить перевести порт коммутатора в магистральный режим. Дальнейшее развитие этой атаки позволяет прослушивать свой сегмент.
Предположим, что в процессе анализа трафика были выявлены пролетающие мимо DTP-пакеты (смотри скриншот). Тогда отправка пакета DTP ACCESS/DESIRABLE может позволить перевести порт коммутатора в магистральный режим. Дальнейшее развитие этой атаки позволяет прослушивать свой сегмент.
После тестирования канального уровня стоит переключить внимание на третий уровень OSI. Дошла очередь и до проведения атаки ARP-poisoning. Тут все просто, выбираем инструмент Ettercap NG. Все дело в том, что в случае успешной реализации атаки ARP-poisoning в отношении всего своего сегмента может наступить ситуация, когда компьютер атакующего не справится с потоком поступающих данных и, в конечном счете, это может стать причиной отказа в обслуживании целого сегмента сети. Поэтому наиболее правильным будет выбрать единичные цели, например, рабочие места администраторов и/или разработчиков, какие-либо определенные серверы (возможно контроллер домена, СУБД, терминальный сервер, и другие важные элементы сети).
Успешно проведенная атака ARP-poisoning позволяет получить в открытом виде пароли к различным информационным ресурсам – СУБД, каталогу домена (при понижении проверки подлинности NTLM), SNMP-community string, пароли для сетевого оборудования с уровнем доступа level 15 и другие приятные вещи. В менее удачном случае могут быть получены хеш-значения от паролей к различным системам, которые нужно будет постараться восстановить по радужным таблицам (rainbow tables), по словарю или атакой "в лоб". Перехваченные пароли могут использоваться где-то еще, и впоследствии это также необходимо подтвердить или опровергнуть.
Кроме того, стоит проанализировать весь перехваченный трафик на присутствие данных учётных записей входа в платёжные сервисы, передаваемых в открытом виде. Для этого можно пропустить сохраненный cap-файл через NetResident и/или 0x4553-Intercepter. Второй, кстати, замечательно подходит для анализа накопленного трафика в целом.
Comments
Post a Comment