Wykład 3 Sniffing cz. 3. OBRONA przed sniffingiem

Podobne dokumenty
Metody zabezpieczania transmisji w sieci Ethernet

Przesyłania danych przez protokół TCP/IP

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Problemy z bezpieczeństwem w sieci lokalnej

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Laboratorium Sieci Komputerowych - 2

BEZPIECZEŃSTWO W SIECIACH

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Metody ataków sieciowych

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

ARP Address Resolution Protocol (RFC 826)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

Ping. ipconfig. getmac

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Router programowy z firewallem oparty o iptables

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Spoofing. Wprowadzenie teoretyczne

Protokoły zdalnego logowania Telnet i SSH

z paska narzędzi lub z polecenia Capture

Przyczyny awarii systemów IT

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

Narzędzia diagnostyczne protokołów TCP/IP

Protokoły sieciowe - TCP/IP

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

Bezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Sieci komputerowe - administracja

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Narzędzia do diagnozowania sieci w systemie Windows

Zdalne logowanie do serwerów

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Laboratorium 6.7.1: Ping i Traceroute

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Problemy z bezpieczeństwem w sieci lokalnej

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Laboratorium Protokoły sieci teleinformatycznych

Podstawy działania sieci komputerowych

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz Grupa 20 IiE

Snifery wbudowane w Microsoft Windows

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Translacja adresów - NAT (Network Address Translation)

Wykaz zmian w programie SysLoger

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Konfigurowanie interfejsu sieciowego może być wykonane na wiele sposobów.

MODEL OSI A INTERNET

Zasady powstałe na bazie zasad klasycznych

1 Moduł Diagnostyki Sieci

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Sieci komputerowe Warstwa transportowa

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Wykaz zmian w programie SysLoger

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

7. zainstalowane oprogramowanie zarządzane stacje robocze

Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony 2. Sniffing pasywny

Instrukcja inteligentnego gniazda Wi-Fi współpracującego z systemem Asystent. domowy

Test sprawdzający wiadomości z przedmiotu Systemy operacyjne i sieci komputerowe.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Instrukcja konfiguracji funkcji skanowania

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Sieci komputerowe i bazy danych

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Laboratorium Badanie protokołu ARP w wierszu poleceń systemu Windows oraz w programie Wireshark

Sieci komputerowe. Wykład 7: Transport: protokół TCP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

9. Internet. Konfiguracja połączenia z Internetem

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

0. Stanowisko laboratoryjne

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Laboratorium - Przeglądanie tablic routingu hosta

Internet Control Message Protocol (ICMP) Łukasz Trzciałkowski

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

pasja-informatyki.pl

Transkrypt:

Wykład 3 Sniffing cz. 3 OBRONA przed sniffingiem 1. Ograniczanie sniffingu obrona pasywna Teoretycznie wykrycie sniffingu jest niemożliwe, ponieważ sniffer jest z założenia czymś, co działa pasywnie - jedynym jego zadaniem jest zbieranie informacji. Często jednak udaje się wykryć sniffery - mimo że sniffer jest programem pasywnym, często ma dołączone oprogramowanie, ułatwiające analizę zbieranych danych... W celu wykrycia snifferów wykorzystuje się też błędy w implementacji jądra Linuxa, BSD oraz Windows. Całkowite wyeliminowanie sniffingu nie jest możliwe. Co najwyżej można znacząco go ograniczyć. Można zastosować następujące najprostsze, pasywne metody: Segmentacja sieci Sniffer ma możliwość podsłuchania jedynie danych z jego własnego ethernetowego segmentu sieciowego. Tak więc im będzie on tym mniejszy, im większa będzie ilość segmentów i mniejsza ilość danych zagrożonych podsłuchaniem. Elementem rozdzielającym dwa segmenty może być także switch lub bridge, które przesyłają odpowiednie ramki do odpowiednich swoich interfejsów, zgodnie z tablicą adresów CAM. I właśnie to ich zachowanie uniemożliwia snifferom podsłuchanie sąsiednich segmentów. Jednak jak już wiemy przełączniki switch i bridge mają pewną wadę, która w pewnych okolicznościach redukuje ich funkcjonalność do poziomu zwykłego huba. Sytuacja ta ma miejsce wtedy, gdy nastąpi przepełnienie tablicy CAM. Efekt ten można uzyskać poprzez wysyłanie ramek z nowymi, nieprawdziwymi adresami MAC. W takim momencie urządzenia te nie filtrują ramek, i co za tym idzie przesyłają wszystkie dane do wszystkich swoich interfejsów. Segmentacja sieci zapewnia nam przynajmniej, że nie będą nas podsłuchiwać zupełni amatorzy. Obserwacja wzmożonego ruchu sieciowego Jest to dość prosta ale skuteczna metoda wykrywania sniffingu. Jest też łatwa w zastosowaniu. ponieważ komputer sniffujący na samym początku tworzy sobie obraz sieci wysyłając na wszystkie adresy IP zapytania ARP - zatem generuje nagle dość duży ruch w sieci podmienia też adres MAC ofiary na swój własny adres sprzętowy na serwerze lub komputerze docelowym zatem musi przekierować pakiety swojej ofiary do niej lub od niej, tak, aby nie odizolować ofiary od sieci, ale ponieważ podmienienie adresów MAC nie jest trwałe, komputer sniffujący musi co pewien czas wysyłać pakiety informujące komputer docelowy, że ofiara ma jego adres IP, zatem sniffer działający w sieci segmentowanej nie jest programem pasywnym, a co za tym idzie, dużo łatwiej go wykryć. Karty sieciowe bez trybu promiscuous Inną możliwością ograniczenia sniffingu jest stosowanie kart nie pracujących w trybie promiscuous. Jest to trudne, gdyż od paru lat w ogóle się już kart z wyłączaniem trybu promiscuous nie wytwarza. Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 1/5

Szyfrowanie danych Najlepszą metodą walki ze sniffingiem jest szyfrowanie danych, które nawet przechwycone, nie mają żadnej wartości dla potencjalnego włamywacza. Należy unikać niebezpiecznych protokołów z jawnym tekstem ftp, telnet, na rzecz tych używających szyfrowania ssh (przy pomocy ssh można tunelować dowolny inny protokół). Często wykorzystywana jest para szyfrów RSA oraz IDEA. Za pomocą RSA szyfrowany jest klucz algorytmu IDEA, który to algorytm z kolei używany jest do szyfrowania danych. Jest to też próba uniemożliwienia podsłuchiwania w sieci lokalnej, jak również poza nią. Zabezpieczanie danych przy pomocy protokołów szyfrujących to wyścig - jeden zespół tworzy nowy protokół, drugi zespół go łamie. Złamanie każdego protokołu szyfrującego jest tylko kwestią czasu należy posiadać najnowsze dostępne wersje protokołów w najnowszych wersjach oprogramowania systemowego i sieciowego. Uważany za bezpieczny SSH został już złamany sniffer Ettercap deszyfruje ten szyfr w locie Ettercap radzi sobie również SSH 2... Nie przemęcza się i nie łamie go..., wymusza na serwerze ( negocjuje?... ) stosowanie protokołu SSH 1 (jedynym ostrzeżeniem, jakie dostajemy, jest wiadomość o niepewnym kluczu serwera - większość użytkowników i tak zignoruje taki komunikat i poleci kontynuować...komunikację z szyfrowaniem SSH 1... ) Bezpieczna metoda przesyłania poczty stosowanie PGP (klucze osobiste)... Poczta niezaszyfrowana wiadomości na pewno przechwytywane... Względnie do niedawna bezpieczny protokół SSL prawie na pewno już został złamany... Najbezpieczniejsza metoda zabezpieczenia własnych haseł... - unikanie korzystania z publicznie dostępnych komputerów dużych lub w podejrzanych sieciach (internetowe kafejki...?). 2. Metody wykrywania i oszukiwania snifferów obrona aktywna Wykrywanie snifferów podobnie jak przy protokołach szyfrujących wymyślana jest metoda wykrycia sniffera, a tuż potem wymyślana jest metoda obrony przed tą metodą wykrycia. Wykrywanie to aktywne scenariusze: - przesłuchiwania - wprowadzania w błąd - prowokacji. Wiele snifferów jest odpornych na najprostsze metody wykrywania, zatem żeby wykryć komputer sniffujący, musimy mieć podejrzanego w dużych sieciach jest to poważne utrudnienie... Prawie wszystkie metody wykrycia sniffingu opierają się na sprawdzeniu, czy karta sieciowa działa w trybie promiscuous (wychwytuje wszystkie pakiety z sieci, czyli ma wyłączone filtrowanie po adresie MAC). Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 2/5

3. Metody oszukiwania snifferów obrona aktywna W pewnych sytuacjach nie ma innego wyjścia jak tylko zaakceptowanie faktu, iż na pewnym hoście w sieci działa sniffer. Jednakże nawet w tej sytuacji, przy odrobinie szczęścia, wiedzy i po przećwiczeniu kilku scenariuszy wykrywania i oszukiwania snifferów istnieje możliwość uniknięcia podsłuchu. Można zastosować następujące metody: Metoda sfałszowania ania numeru SYN Technika ta wykorzystuje to, że sniffery zwykle nie śledzą komunikatów kontrolnych i numerów sekwencyjnych połączenia TCP w pakietach TCP. Umożliwia to wtrącenie w aktywne połączenia pakietów, które zostaną odrzucone przez drugą stronę połączenia, ale sniffery zinterpretują je jako poprawne. Dzieje się tak na przykład przy wtrącaniu pakietów z zapaloną flagą FIN lub RST, ale niepoprawnym numerem sekwencyjnym. Zdalny system oczekujący na pakiet z konkretnym numerem sekwencyjnym odrzuci pakiet jako uszkodzony. Sniffer natomiast przyjmie pakiet i zinterpretuje go zgodnie z zapaloną flagą. Metoda rozsynchronizowania numeru SYN Aby ukryć połączenie przed snifferem, który śledzi numery sekwencyjne połączenia TCP, trzeba poszukać bardziej zaawansowanych rozwiązań niż już przedstawione. Pierwsza metoda polega na rozsynchronizowaniu numeru sekwencyjnego akceptowanego przez sniffer i zdalny system. Jeśli uda się doprowadzić do stanu, w którym sniffer oczekiwać będzie innego numeru sekwencyjnego niż zdalny host, to połączenie takie nie będzie logowane. Pomysł polega na wysłaniu poprawnego pakietu TCP z zapaloną flagą SYN w środku nawiązanego już połączenia. Maszyna docelowa zignoruje taki pakiet jako uszkodzony, bowiem dotyczy on ustanowionego już połączenia. Jednak istnieje duże prawdopodobieństwo, że sniffer zsynchronizuje się z nowym numerem ISN (Initial Sequence Number) z pakietu SYN, ignorując dalsze pakiety ze starego połączenia, które nie będą zawierały według niego poprawnych numerów sekwencyjnych. Aby nie wzbudzać podejrzeń generowaniem nowych połączeń, które nie są zamykane, można wysłać pakiet TCP z flagą RST i numerem sekwencyjnym pasującym do drugiego połączenia. Metoda niepoprawnej sumy kontrolnej Metoda idąca o krok dalej. Polega na wysłaniu przed zainicjowaniem właściwego połączenia pakietu z ustawioną flagą SYN, ale niepoprawną sumą kontrolną. Zdalna maszyna odrzuci taki pakiet. Jeśli sniffer jest wystarczająco sprytny, żeby pominąć drugi pakiet SYN, ale nie dość, aby sprawdzić sumę kontrolną pierwszego, to w ten sposób można uzyskać połączenie zsynchronizowane z docelową maszyną, ale nie ze snifferem. Metoda TTL Ta metoda ma zastosowanie gdy pakiety przechodzą przez sniffer, a następnie po kilku skokach (na kilku routerach) docierają do odległej maszyny. W takiej sytuacji można, ustawiając odpowiednio wartość pola TTL (Time To Live - czas życia pakietu), sprawić, by pakiety docierały do systemu podsłuchującego, ale nie do hosta docelowego zbyt niska wartość TTL. Dzięki temu można wysłać w pełni poprawny pakiet z zapaloną flagą RST lub FIN bez obawy utraty połączenia. Sniffer odbierze pakiet i uzna, że połączenie zostało zamknięte. Metoda Ping była już krótko omówiona. w tej metodzie musimy mieć podejrzany komputer Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 3/5

(1) wysyłamy do sieci żądanie ping do naszego podejrzanego, (2) w żądaniu używamy właściwego adresu IP komputera docelowego, ale (3) zmieniamy nieznacznie adres MAC jeżeli nasze podejrzenia są niesłuszne i komputer nie sniffuje, to (4a) żądanie zostanie zatrzymane na karcie sieciowej i nie obsłużone, w tym wypadku (5a) nie dostaniemy żadnej odpowiedzi jeżeli jednak na komputerze uruchomiony jest sniffer, to (4b) nasze żądanie zostanie przepuszczone przez kartę sieciową, mimo niewłaściwego adresu sprzętowego i w takim wypadku (5b) otrzymamy odpowiedź. Metodę tę można usprawnić na wiele sposobów, np. można użyć każdego protokołu, który generuje odpowiedź, np. żądanie echo (protokół UDP) wywołującego żądanie połączenia TCP i odpowiedź. Metoda ARP była już krótko omówiona. w tej metodzie również musimy mieć podejrzanego jest podobna do metody ping jedyną różnicą jest użycie pakietu ARP zamiast ping w najprostszej metodzie ARP (1) wysyłamy zapytanie ARP na adres nierozgłoszeniowy jeżeli komputer odpowie na takie zapytanie swoim IP, to znaczy, że (2) jest w trybie promiscuous. Bardziej zaawansowana wersja tej metody wykorzystuje fakt przechowywania w pamięci tablicy adresów IP wraz z adresami MAC: (1) należy się upewnić, że przynajmniej przez ostatnie 14 minut nie zachodziła komunikacja pomiędzy naszym komputerem a podejrzanym (2) wysyłamy zapytanie ARP na nierozgłoszeniowy adres, po czym (3) wysyłamy zapytanie ping na adres rozgłoszeniowy (4) każdy, kto odpowie na to żądanie, bez sprawdzenia wcześniej naszego adresu MAC, mógł uzyskać nasz adres MAC jedynie wychwytując wcześniejszy pakiet ARP. (5) aby uzyskać większą pewność, można również umieścić fałszywy adres MAC w żądaniu ping. Metoda DNS była już krótko omówiona. w tej metodzie wykorzystuje się fakt, że wiele programów sniffujących dokonuje automatycznej konwersji adresów IP na nazwy domenowe generując pewien dodatkowy ruch w sieci a dokładniej zapytania DNS obserwując ten ruch w sieci możemy stwierdzić, czy w sieci są zainstalowane sniffery (1) wysyłamy żądanie ping (ramka echo request protokołu ICMP) na adres IP, o którym (2) wiemy, że nie ma go w sieci (3) obserwujemy serwer DNS w naszej sieci, jeżeli jakiś komputer wyśle zapytanie DNS o ten adres, (4) to znaczy, że jest na nim zainstalowane oprogramowanie sniffujące. Ta metoda działa również dla komputerów w sieci lokalnej bez serwera DNS. (1) musimy wtedy przestawić naszą kartę sieciową w tryb promiscuous, (2) wysłać pakiet z fałszywym IP i (3) obserwować, czy nasza karta wyłapie z sieci zapytanie DNS o ten adres, jeśli tak, to (3a) ktoś snifuje. Metoda (wymuszania) ścieżki routowania była już krótko omówiona. ta metoda wymaga podejrzanego metoda polega na (1) wysłaniu pakietu ping do podejrzanego, (2) w nagłówku IP tego pakietu ustawia się opcję loose route wtedy routery (2a) ignorują adres docelowy pakietu, a (2b) zamiast tego wysyłają pakiet na kolejny, określony w ścieżce routowania adres Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 4/5

(3) jako adres, przez który chcemy, żeby nasz pakiet został przesłany, (3a) podajemy adres komputera, o którym wiemy, że ma wyłączone routowanie - wtedy (3b) mamy pewność, że dany komputer nie przekaże naszego pakietu dalej jeśli w takiej sytuacji otrzymamy odpowiedź na nasze żądanie ping, to znaczy, że (4) docelowy komputer wychwycił pakiet z sieci, mimo, że nie był on przeznaczony dla niego (miał inny adres MAC), oznacza to, że (4a) jego karta jest w trybie promiscuous i sniffuje. Metoda obserwacji opóźnienia była już krótko omówiona. jest to najbardziej niepewna ze wszystkich metod wykrywania sniffingu polega na (1) wypingowaniu podejrzanego komputera i (2) zapamiętaniu czasu odpowiedzi potem (3) wysyłamy w sieć mnóstwo pakietów z fałszywymi adresami MAC komputery w sieci z włączonym filtrowaniem pakietów na karcie sieciowej (3a) nie powinny w ogóle tego odczuć komputery z kartą sieciową w trybie promiscuous natomiast (3b) będą musiały przetworzyć wszystkie napływające pakiety (4) drugi raz pingujemy komputer w trakcie wysyłania pakietów do sieci, jeżeli różnica w czasie odpowiedzi jest znaczna, (5) możemy podejrzewać, że karta sieciowa podejrzanego jest w trybie promiscuous i może sniffować. Problematyczność tej metody polega na tym, że opóźnienie może być wywołane po prostu przeciążeniem sieci. Wtedy mamy wynik pozytywny badania, jednak nie możemy na nim polegać. Odwrotnie, możemy dostać odpowiedź bardzo szybko, co nie dowodzi, że komputer sniffuje, ale nie musi to oznaczać, że podejrzany jest niewinny. Równie dobrze może to znaczyć, że odpowiedź została wygenerowana automatycznie, bez angażowania procesora. Metoda Decoy wystawienie przynęty. Metoda ta korzysta z przynęty, którą jest konto użytkownika, który łączy się z serwerami za pomocą protokołów, które nie wykorzystują szyfrowania. Po pewnym czasie konto to jest likwidowane. Jeżeli w logach pojawią się informacje o próbach logowania na to konto, to w prosty sposób można zlokalizować szpiegującego hosta (oczywiście próby logowania na maszynę decoy mogą być połączone ze spoofingiem, co bardzo utrudnia identyfikację agresora). 4. Narzędzia do aktywnej obrony przed sniffingiem są bardzo potrzebne! Reasumując można stwierdzić, że obrona przed sniffowaniem jest możliwa, aczkolwiek wymaga dużej wiedzy, która musi być wsparta przez odpowiednie oprogramowanie. Przydatnymi narzędziami obrony są antisniffery. Najpopularniejszy z nich antisniff jest dostępny tylko w wersji unixowej lub dla Windows 9x. Antisniffery mają w sobie zaimplementowaną pewną ilość testów wykrywających sniffery. Testy są oparte na scenariuszach, które już poznaliśmy. Inną grupę przydatnych narzędzi tworzą programy pozwalające na ręczne preparowanie pakietów testowych, które używane są w poznanych przez nas metodach wykrywania i oszukiwania snifferów. Większość tych narzędzi jest tworzona z myślą o systemach unixowych. Inżynieria bezpieczeństwa sieciowego i internetowego wykonanych w sem. zimowym 2003/04 i 2004/05. 5/5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres