Перехват данных при их перемещении по ка­налам связи

Опишем, как осуществляется пассивная атака — перехват дан­ных в Ethernet. (Ethernet - это физическая среда передачи инфор­мации в интрасети, реализующая множественный доступ к ней.) Обмен данными по протоколу Ethernet подразумевает посылку па­кетов всем абонентам одного сегмента интрасети. Заголовок паке­та содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако, если какой-то ПК в интрасети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Так как в обычной интра­сети информация о паролях передается в виде простого текста [в открытом виде пароли передаются по сети в реализация протоко­лов ТСР/IР: Теlпеt (23 порт); РорЗ (110); Ftр (21); Рор2 (109); Imap2 (143); Rlogin (513); Рорраsswd (106); netbios (139); icq (1024-2000 UDP)], но для злоумышленника не сложно перевести один из ПК подсети в promiscuous mode (предварительно получив на ней права root) и, вытягивая и анализируя пакеты, проходящие по ка­налам связи, получить пароли к большинству компьютеров ин­трасети.

В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в интрасети исполь­зуется средство — сетевой анализатор или средство инспекции по­токов данных, называемое sniffer ("ищейка"). Даже если по­тенциальный злоумышленник не имеет доступа к некоторому ком­пьютеру, он может перехватить данные, посылаемые ему, в мо­мент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер, подключенный к сети, аналогичен телефонному аппарату, подключенному к общему номеру. Любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Грани­цы существования данной возможности определяются архитекту­рой сети. Она может распространяться как на компьютеры, при­надлежащие данному сегменту сети, так и на всю сеть в целом (ес­ли сеть не разделена на сегменты). Отличительной особенностью перехвата данных является то, что эта атака относится к типу внутрисегментных.

Главная проблема sniffer заключается в том, чтобы он успевал перерабатывать весь трафик, который проходит через интерфейс. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соедине­ния только с тем ПК, на котором он запущен.