При підключенні до локальної мережі надзвичайно важливо забезпечити її стабільність та безпеку. Wireshark і tcpdump – це два потужних інструменти, які допомагають аналізувати та контролювати мережевий трафік, забезпечуючи надійність та безпеку вашої локальної мережі. У цьому SEO тексті ми розглянемо важливі аспекти підключення до локальних мереж і використання Wireshark і tcpdump для забезпечення їхньої надійності та безпеки. Ви дізнаєтеся, як ці інструменти дозволяють виявляти аномалії у мережевому трафіку, виявляти потенційні загрози безпеці та вдосконалювати продуктивність вашої мережі. Наша стаття надасть вам глибоке розуміння ролі Wireshark і tcpdump у підключенні до локальних мереж і допоможе вам використовувати їх для забезпечення ефективного та безпечного середовища.
Не дайте мережевим проблемам завадити вашій продуктивності – довіряйте Wireshark і tcpdump для найкращого результату. Забезпечення стабільного та безпечного підключення до локальних мереж стає все важливішим завданням у сучасному цифровому світі. Часті збої мережі або загрози безпеці можуть призвести до серйозних проблем, включаючи втрату даних або доступ до важливих ресурсів. Wireshark і tcpdump стали невід’ємними інструментами для фахівців у галузі мережевої безпеки та адміністрування мережі. У цій частині ми поглиблено розглянемо можливості Wireshark і tcpdump та їхню роль у забезпеченні надійності локальних мереж. Ми розкриємо, як ці інструменти дозволяють аналізувати мережевий трафік, виявляти аномалії, ідентифікувати потенційні загрози та вживати необхідні заходи для покращення ефективності мережі. Наша стаття також надасть корисні поради щодо оптимального використання Wireshark і tcpdump, а також важливі практичні поради щодо забезпечення безпеки мережі. Ви дізнаєтеся, як виявляти та реагувати на потенційні загрози, що можуть виникнути в вашій локальній мережі. За допомогою Wireshark і tcpdump ви зможете підтримувати надійну та безпечну мережу, що сприяє ефективній роботі вашої організації або дому. Не допустіть, щоб мережеві проблеми стали перешкодою на вашому шляху до успіху – довіряйте Wireshark і tcpdump для забезпечення найкращої продуктивності та безпеки вашої мережі.
Основне рішення для ефективного сніфінгу пакетів полягає у фізичному розташуванні сніфера пакетів для правильного збору даних. Нерідкі випадки, коли сніфери пакетів називають розташування сніффера пакетів прослуховуванням в мережі або підключенням до мережі.
На жаль, сніффінга пакетів недостатньо для підключення ноутбука до мережевого порту і перехоплення трафіку. Насправді іноді набагато складніше розмістити сніффер пакетів в мережі, ніж реально розібрати пакети. Розташувати сніффер пакетів непросто, оскільки пристрої можуть бути підключені до мережі за допомогою найрізноманітнішого мережевого обладнання. Типова ситуація для сніффінга пакетів показана на рис. 2.1. Кожен з пристроїв в сучасній мережі (роз’єми і маршрутизатори) обробляє мережевий трафік по-різному, в зв’язку з чим необхідно враховувати фізичну організацію аналізованої мережі.
Мета цієї глави – допомогти вам краще зрозуміти порядок нюхання пакетів в мережах з найрізноманітнішими топологіями. Але для початку давайте розглянемо, як ми можемо побачити проходження всіх пакетів через мережу, до якої підключаємося для пакетного аналізу.
Перш ніж аналізувати пакети в мережі, потрібно мати мережну інтерфейсну плату (NIC), також відому як мережний адаптер, яка підтримує драйвер безладного режиму для прослуховування в мережі. У змішаному режимі мережевий адаптер може переглядати всі пакети, що проходять через мережу.
Як пояснюється в главі 1 «Packet Sniffing and Networking Basics», пристрої зазвичай отримують пакети з широкомовного мережевого трафіку, які насправді не призначені для них. Наприклад, протокол Address Resolution Protocol (ARP) є вкрай важливим інструментом в будь-який досліджуваної мережі для визначення MAC-адрес, відповідних конкретному 1P-адресою. Щоб знайти відповідну MAC-адресу, пристрій відправляє широкомовний пакет по мережевому протоколу ACP кожному пристрою в своєму широкомовному домені, в надії, що правильний пристрій відреагує на пакет.
Широкомовний домен (тобто сегмент мережі, де будь-який комп’ютер може передавати дані безпосередньо на будь-який інший комп’ютер без допомоги маршрутизатора) може складатися з декількох пристроїв. Але тільки правий приймач в цьому домені повинен бути зацікавлений в отриманні широкомовного пакета, переданого по мережевому протоколу ARP. І було б абсолютно неефективно, якби кожен пристрій в мережі обробляло широкомовний пакет, переданий по мережевому протоколу ARP. Навпаки, якщо упаковка призначена не для пристрою, а отже це не потрібно, мережевий адаптер цього пристрою скине пакет замість того, щоб передати його центральному процесору (ЦП) для обробки.
Скидання пакетів, не призначених для приймаючого хоста, підвищує ефективність обробки даних в мережі, але такий режим роботи мережевого адаптера не підходить для сніфінгу пакетів. Сніфферам пакетів зазвичай потрібно перехоплювати кожен пакет, відправлений по мережі, щоб не пропустити будь-яку важливу інформацію.
Використовуючи мережний адаптер змішаного режиму, можна забезпечити перехоплення всього мережевого трафіку. Коли мережевий адаптер знаходиться в змішаному режимі, він передає кожен виявлений ним пакет хост-процесору, незалежно від адреси призначення. І як тільки пакет надійде на центральний процесор для обробки, додаток, яке аналізує пакети, зможе взяти його на аналіз.
Змішаний режим підтримується більшістю сучасних мережевих адаптерів, а Wireshark містить драйвер libpcap/WinPcap, який дозволяє переключати мережний адаптер безпосередньо в змішаний режим із графічного інтерфейсу Wireshark. (Докладніші відомості про драйвер libpcap/WinPcap див. у розділі H, “Вступ до Wireshark”.)
У більшості операційних систем, включаючи Windows, заборонено використовувати мережний адаптер у змішаному режимі, якщо немає розширених прав користувача. Якщо у вас немає законних підстав для отримання таких повноважень у вашій системі, ви, швидше за все, не зможете виконати такого роду аналіз пакетів в цій конкретній мережі.
Аналіз пакетів в мережі, де встановлені концентратори – мрія будь-якого сніффера пакетів. Як пояснюється в главі 1 «Основи нюхання пакетів і мережі», мережевий трафік, який проходить через концентратор, надходить до кожного порту, підключеного до цього концентратора. Тому для аналізу трафіку, який проходить через комп’ютер, підключений до хаба, достатньо підключити сніффер пакетів до порожнього порту хаба. Це дозволить переглядати весь зв’язок з цим комп’ютером, а також з будь-якими іншими пристроями, підключеними до цього ж хаба. Як показано на рис. 2.2, межі видимості безмежні при підключенні сніффера пакетів до мережі на базі концентратора.
Але зараз, на жаль, мережі дуже рідко будуються на базі хабів, так як їх адміністрування дуже утруднено. У таких мережах одночасно через хаб може передавати дані лише один пристрій, а тому всі під’єднані до нього пристрої повинні змагатися за право передавання даних з усіма іншими пристроями в мережі. Якщо дані передаються двома і більше пристроями одночасно, то виникає так зване явище стиснення пакетів, як показано на рис. 2.3.
В результаті може статися втрата пакетів, і щоб вийти з цієї ситуації, передавальним пристроям потрібно буде їх ретранслювати, що призводить до падіння пропускної здатності мережі.
Оскільки рівень трафіку та зіткнення збільшуються, пристроям, можливо, доведеться повторити спробу пакетів три або чотири рази, що значно знизить продуктивність мережі. Таким чином, неважко зрозуміти, чому більшість сучасних мереж будь-якого масштабу використовують комутатори. Але, незважаючи на те, що концентратори рідко використовуються в сучасних мережах, іноді вони все ж зустрічаються в тих мережах, де підтримується застаріле обладнання або спеціалізовані пристрої, наприклад, в мережах автоматизованих систем управління технологічними процесами (АСУ ТП).
Щоб дізнатися, чи є концентратор у вашій мережі, найпростіше заглянути в серверну кімнату або мережну шафу для проводки, де більшість концентраторів мають спеціальну позначку. Якщо це не допомогло, загляньте в найтемніший кут серверної кімнати, де мережеве обладнання зазвичай покрито товстим шаром пилу.
Комутатори найчастіше використовуються в якості з’єднувальних пристроїв в сучасних мережах. Вони забезпечують ефективний порядок передачі даних по широкомовному, багато- і одноадресному трафіку. Комутатори дозволяють повнодуплексну передачу даних, що означає, що машини можуть передавати і отримувати дані одночасно.
На жаль, комутатори ускладнюють роботу дослідників пакетів. Підключивши свій пакетний сніффер до порту комутатора, ви зможете переглядати тільки частину широкомовного трафіку, а також трафік, відправлений і прийнятий пристроєм, на якому встановлений сніффер пакетів (рисунок 2.4). Для перехоплення трафіку з цільового пристрою в комутованої мережі доведеться зробити додаткові кроки. Існує чотири способи перехоплення такого трафіку: дзеркальне відображення портів, сніффінг пакетів концентратора, використання мережевого відгалужувача та зараження ARP кеша.
Дзеркальне відображення порту, інакше зване розширенням порту (ran sPanning), вважається, мабуть, найпростішим способом перехоплення мережевого трафіку з цільового пристрою в комутованій мережі. Для цього необхідно мати доступ до командного рядка або веб-інтерфейсу управління комутатора, до якого підключений цільовий комп’ютер. Крім того, пасажир повинен підтримувати дзеркальне відображення портів і мати порожній порт, до якого можна підключити сніффер пакетів.
Щоб увімкнути дзеркальне відображення порту, видайте команду, яка змушує перемикач копіювати весь трафік з одного порту на інший. Наприклад, щоб перехопити весь трафік, який передає і приймає пристрій, підключений до порту Z комутатора, підключіть сніффер пакетів до його порту 4, а дзеркальний порт Z – до порту 4. Процес дзеркального відображення пор’гів наочно показаний на рис.. 2.5.
Порядок організації дзеркального відображення портів залежить від конкретної моделі перемикача. Для більшості промислових комутаторів доведеться пройти реєстрацію через інтерфейс командного рядка і налаштувати дзеркальне відображення портів спеціальною командою.
При дзеркальному відображенні портів слід враховувати їх пропускну здатність. Деякі виробники комутаторів дозволяють дзеркально відображати кілька портів до одного порту, і ця функція може бути корисною при аналізі передачі даних між двома або більше пристроями на одному комутаторі. Розглянемо, однак, що може вийти з цього випадку, зробивши прості математичні обчислення. Якщо, наприклад, є комутатор на 24 порти, де 23 порти дзеркально відображаються на один порт для дуплексної передачі даних зі швидкістю 100 Мбіт / с, то дані повинні надходити в цей порт зі швидкістю 4600 Мбіт / с. якщо мережевий трафік досягає певного рівня. Іноді таку ситуацію називають перепідпискою. У таких випадках перемикачі, як відомо, пропускають непотрібні пакети або зовсім порушують роботу внутрішніх електричних ланцюгів, що повністю перешкоджає передачі даних. Тому обов’язково переконайтеся, що, перехоплюючи пакети розглянутим тут способом, ви не викличете подібних ускладнень в мережі.
Дзеркальне відображення портів може бути привабливим, недорогим рішенням для корпоративних мереж і в тих випадках, коли потрібно моніторити окремі сегменти мережі, наприклад, під час постійного моніторингу мережевої безпеки. Але ця техніка, як правило, недостатньо надійна для такого застосування. Дзеркальне відображення портів може давати суперечливі результати, особливо при високих рівнях трафіку в мережі, що призводить до втрати даних, яку важко відстежити. У таких випадках рекомендується використовувати мережевий відгук vitel, як belt.nyaets.ya далі у відповідному розділі.
Ще одним способом перехоплення трафіку, що проходить через цільовий пристрій в комутованої мережі, є захоплення пакетів через хаб. У цій техніці цільовий пристрій і сніффер пакетів розміщуються на одному сегменті комутованої мережі та підключаються безпосередньо до хаба. Багато хто вважає обманом обнюхування пакетів через хаб, але насправді це цілком виправдане рішення, коли дзеркальне відображення порту виконати неможливо, але при цьому є фізичний доступ до комутатора, до якого підключено цільовий пристрій. Щоб організувати захоплення пакетів через хаб, достатньо мати у своєму розпорядженні концентратор і кілька мережевих кабелів. Якщо є.
Є таке обладнання, підключають його наступним чином.
Знайдіть комутатор, до якого підключено цільовий пристрій, і від’єднайте останній від мережі.
Підключіть мережний кабель цільового пристрою до концентратора.
Підключіть ще один кабель, що з’єднує ваш аналізатор пакетів із концентратором.
Підключіть мережний кабель, що йде від концентратора, до мережного комутатора, щоб приєднати концентратор до мережі.
Наразі ви розмістили цільовий пристрій і аналізатор пакетів в одному домені широкомовної трансляції. В результаті весь мережевий трафік з цього пристрою буде транслюватися в режимі трансляції. В результаті сніффер пакетів може перехопити з нього всі пакети, як показано на рис. 2.6.
У більшості випадків захоплення пакетів через хаб зменшує повнодуплексну (тобто двонаправлену) передачу даних на цільовому пристрої до напівдуплексної (тобто односпрямованої). Хоча цей метод не найкращий метод для сніфінгу пакетів, він все ж є єдино можливим прийомом у випадках, коли дзеркальне відображення портів не підтримується на комутаторі. Однак слід враховувати, що хаб також потрібно буде підключити до електричної розетки, яку буває важко знайти.
Всім відомий вислів «Навіщо мені курка, якщо я можу з’їсти стейк?» А якщо ви родом з півдня США, вам знайомий такий вислів: «Навіщо мені печінковий хліб, якщо я можу з’їсти бутерброд з підсмаженою болонською ковбасою?» Те ж саме стосується вибору між концентратором і мережевим з’єднувачем для перехоплення і аналізу пакетів.
Гілка мережі – це обладнання, яке може бути встановлено між двома мережевими кабельними пунктами для перехоплення пакетів, що проходять між цими точками. І в цьому випадку, як і у випадку з перехопленням пакетів через концентратор, в мережі встановлюється обладнання, що дозволяє перехоплювати пакети, необхідні для аналізу. Відмінність розглянутого тут способу полягає в тому, що замість концентратора в цьому випадку використовується обладнання, спеціально призначене для аналізу мережевого трафіку.
Існує два основних типи мережевих муфт: агреговані і неагреговані. Обидва типи мережевих муфт встановлюються між двома пристроями для аналізу зв’язку між ними. Основна відмінність неагрегованого мережевого відгалужувача від агрегованого полягає в тому, що він має чотири порти, як показано на рис. 2.7, і вимагає окремих інтерфейсів для моніторингу поточного мережевого трафіку в обох напрямках. Агрегована мережева муфта має всього три порти, але вона дозволяє контролювати поточний мережевий трафік в обох напрямках за допомогою єдиного інтерфейсу. Крім того, мережеві муфти зазвичай повинні бути підключені до розетки, хоча деякі з них також працюють від акумулятора, що дозволяє проводити короткостроковий аналіз пакетів.
Найпростішим способом є використання агрегованої мережевої муфти, яка має тільки один фізичний порт управління для аналізу двонаправленого мережевого трафіку. Щоб використовувати агрегований мережний відгалужувач для перехоплення всього вхідного та вихідного мережевого трафіку з одного комп’ютера, підключеного до комутатора, виконайте такі дії:
Від’єднайте утиліту від вимикача.
Підключіть один кінець першого мережевого кабелю до комп’ютера, а інший кінець до вхідного порту мережевої муфти.
Підключіть один кінець другого мережевого кабелю до вихідного порту мережевої муфти, а інший кінець до комутатора.
Підключіть один кінець третього мережевого кабелю до порту управління мережевої муфти, а інший кінець – до комп’ютера-нюхача пакетів.
Агрегована мережева муфта повинна бути підключена до мережі так, як показано на рис. 2.8. В результаті сніффер пакетів повинен перехопити весь вхідний і вихідний трафік комп’ютера, підключеного до цієї муфти.
Неагрегована мережева муфта трохи складніша, ніж агрегована. Однак це дозволяє забезпечити більшу зручність при перехопленні мережевого трафіку. Замість одного порту управління, який використовується для прослуховування двонаправленого зв’язку, неагрегований мережевий відгалужувач забезпечує два порти управління. Один порт управління використовується для аналізу мережевого трафіку в одному напрямку (від комп’ютера, підключеного до мережевого крана), а інший порт використовується для аналізу мережевого трафіку в іншому напрямку (на комп’ютер, підключений до мережевого крана).
Щоб перехопити весь вхідний і вихідний мережевий трафік з підключеного до комутатора комп’ютера, виконайте наступні дії:
Від’єднайте комп’ютер від комутатора.
Підключіть один кінець першого мережевого кабелю до комп’ютера, а інший кінець до вхідного порту мережевої муфти.
Підключіть один кінець другого мережевого кабелю до вихідного порту мережевої муфти, а інший кінець до комутатора.
Підключіть один кінець третього мережевого кабелю до порту керування A мережевої муфти, а інший кінець мережевого кабелю до того самого мережного адаптера на комп’ютері, який виконує роль сніффера пакетів.
Підключіть один кінець четвертого мережевого кабелю до порту управління B мережевої муфти, а інший кінець до іншого мережевого адаптера на комп’ютері-нюхачі пакетів.
В результаті неагрегована мережева муфта повинна бути підключена до мережі так, як показано на рис. 2.9.
Наведені вище приклади можуть припустити, що за допомогою мережевої муфти можна керувати лише одним пристроєм. Але насправді багатьма пристроями можна керувати, творчо підходячи до розміщення мережевої муфти. Так, якщо ви хочете повністю контролювати обмін даними між усім сегментом мережі та Інтернетом, мережеву муфту можна встановити між приміським транспортним пристроєм, до якого підключені всі інші пристрої, і маршрутизатор вище за течією в мережі. Таке розташування в мережі вузького місця дозволяє збирати необхідний мережевий трафік. Така стратегія зазвичай використовується при поточному контролі мережевої безпеки.
Який тип мережевої муфти краще? Загалом, слід віддавати перевагу агрегованим мережевим з’єднувачам, оскільки вони вимагають меншої кількості кабелів і не вимагають встановлення двох мережевих адаптерів на комп’ютері-нюхачі пакетів. Однак, якщо ви хочете перехопити великі обсяги мережевого трафіку або контролювати трафік, який рухається тільки в одному напрямку, краще вибрати неагреговану мережеву муфту.
Купити мережеві муфти будь-яких розмірів: від простих муфт Ethernet можна за 150 доларів. до волоконних муфт корпоративного класу, оцінених у шість цифр. Я особисто використовував мережеві з’єднувачі корпоративного рівня від Ixia (раніше Net 0ptics), Dualcomrn і Fluke Networks, і я був дуже задоволений ними, хоча є багато інших чудових мережевих муфт. Якщо ви плануєте використовувати мережеву муфту на рівні підприємства, переконайтеся, що вона досить відмовостійка. Це означає, що якщо мережева муфта функціонує неправильно або виходить з ладу, то вона все одно повинна пропускати пакети, не порушуючи підключення мережі на своїй ділянці розгалуження.
Забруднення
Один з моїх найбільш бажаних методів перехоплення мережевого трафіку – зараження Мережевий протокол ARP більш детально буде розглянуто в главі 7 «Протоколи мережевого рівня», а ось лише короткий його опис, яке необхідно для розуміння особливостей даної методики.
Як згадувалося в главі 1 «Основи нюхання пакетів і роботи в мережі» в моделі OSI, адресація пакетів може здійснюватися на двох рівнях, другому і третьому. Адреси другого рівня або MAC-адреси використовуються спільно з обраною вами системою адресації третього рівня. У цій книзі система адресації третього рівня іменується системою ІР-aREs відповідно до стандартної термінології, прийнятої в галузі.
Всі пристрої в мережі з’єднані між собою ІР-адресами на третьому рівні моделі OSI. А так як комутатори працюють на другому шарі цієї моделі, то їм відомі тільки MAC-адреси другого шару. Тому, щоб обмінюватися пакетами один з одним, пристрої повинні включати в себе інформацію про MAC-адреси. Якщо MAC-адреса. невідомо, він повинен бути отриманий з відомого ІР-адреси третього рівня, щоб мати можливість пересилати мережевий трафік на відповідний пристрій. І цей процес адресної трансляції виконується за допомогою мережевого протоколу ARP на другому рівні моделі OSI.
Для комп’ютерів, підключених до мереж Ethernet, він запускається, коли одному комп’ютеру потрібно встановити зв’язок з іншим. Спочатку комп’ютер-відправник перевіряє свій власний комп’ютер, щоб дізнатися, чи вже він має MAC-адресу, пов’язану з ІР-адресою комп’ютера-одержувача. Якщо такої адреси немає, комп’ютер-відправник надсилає ARP-3anpoc за адресою трансляції ff : ff : ff : ff : EE : ff канального рівня, в якому вказана адреса ІР приймача, як пояснюється в главі 1 “Основи нюхання пакетів і мережі”. Отриманий широкомовний пакет приймається всіма комп’ютерами на цьому конкретному сегменті Ethernet. По суті, цей пакет містить наступний запит: “Який MAC-адреса має комп’ютер із зазначеним ІР-адресою?”
Ті пристрої, які не відповідають ІР-адресою одержувача, вказаним в запиті, просто ігнорують це А комп’ютер, ІР-адреса якого збігся з заданим в, формує відповідь ARP-nakeT, в якому вказує свою MAC-адресу. Таким чином, комп’ютер-передавач отримує адресаційну інформацію канального рівня, необхідну йому для зв’язку з віддаленим комп’ютером. І цю інформацію він зберігає самостійно для швидкого пошуку.
Інфекція, іноді звана AT-режимом, є вдосконаленою формою підключення до комутованої мережі з метою її прослуховування. Принцип його роботи полягає у відправці ARP-c006 на комутатор Ethernet або маршрутизатор з підробленими MAC-адресами (другий шар) для перехоплення мережевого трафіку іншого комп’ютера, як наочно показано на рис. 2.10.
Цей метод зазвичай використовується зловмисниками для відправки помилково адресованих пакетів клієнтським системам, щоб перехопити певний мережевий трафік або викликати атаку типу «відмова в обслуговуванні» (DoS) на цільовий комп’ютер. Але цей прийом може бути використаний і цілком законно для перехоплення пакетів з цільового комп’ютера по комутованої мережі.
Перш ніж намагатися використовувати інфекцію, слід придбати необхідні інструменти і зібрати деяку інформацію. Для того, щоб продемонструвати цю техніку, ми скористаємося загальним засобом захисту Cain 8c Abel від оксиду. it (http: / /www.oxid. it/), який підтримує операційні системи Windows. Завантажте та встановіть цей інструмент, дотримуючись інструкцій на веб-сайті за вищевказаною адресою.
Перш ніж використовувати Cain &; Abel, вам потрібно буде зібрати певну інформацію, включаючи 1P-адресу вашої системи нюхання пакетів, віддалену систему, з якої ви хочете перехопити мережевий трафік, і маршрутизатор, з якого віддалена система отримує дані вниз.
Коли ви вперше відкриєте Cain &; Avel, ви помітите серію вкладок у верхній частині головного вікна. Зрештою, інфекція є лише однією з функцій Каїна та Авеля. Для цілей, розглянутих тут, виберіть вкладку Snifer. При натисканні на цю вкладку ви повинні побачити порожню таблицю (рисунок 2.11).
Щоб заповнити цю таблицю, вам потрібно буде активувати вбудований нюхач пакетів Cain &; Abel і просканувати хости у вашій мережі.
Для цього виконайте такі дії:
Натисніть на другу іконку зліва із зображенням мережевого адаптера на панелі інструментів.
Вам буде запропоновано вибрати інтерфейс для сніффінга пакетів. Виберіть інтерфейс, підключений до мережі, де ви будете виконувати зараження Якщо це ваша перша спроба використання інструментів Каїна та Авеля, виберіть цей інтерфейс і натисніть кнопку OK. А якщо інтерфейс в Cain Abel ви вибрали раніше, то результат вашого вибору зберігся, і вам потрібно лише знову натиснути на іконку із зображенням мережевого адаптера, , щоб вибрати відповідний інтерфейс. (Переконайтеся, що кнопка з цим значком натиснута, щоб активувати вбудований нюхач пакетів Cain &; Abel.)
Щоб створити список хостів у вашій мережі, натисніть кнопку плюс (+). Відкриється діалогове вікно MAC Address Scanner, як показано на рис. 2.12. У цьому вікні повинна бути обрана перемикач хостів AlI в цій підмережі, або ви можете вказати діапазон адрес.
Натисніть кнопку OK, щоб продовжити.
Деякі користувачі Windows 10 скаржаться на те, що Cain 8c Abel не здатний визначити 1P-адресу їх мережевих інтерфейсів, що заважає завершити цей процес. Якщо у вас виникли подібні труднощі, то при налаштуванні ваших мережевих інтерфейсів ви виявите, що їх 1Р-адреса дорівнює 0. 0 . 0 . 0.
Щоб вийти з цієї труднощі, виконайте наступні дії:
Якщо інструмент «Каїн і Авель» відкритий, закрийте його.
Введіть cpa. cpl у рядку пошуку на робочому столі операційної системи, щоб відкрити діалогове вікно Мережеві підключення.
Спочатку клацніть правою кнопкою миші мережевий інтерфейс, з якого потрібно виконати нюхання пакетів, а потім натисніть кнопку Властивості.
Двічі клацніть параметр lnternet ProtocoI версії 4 (TCP/lPv4).
Натисніть кнопку Advanced (Додатково) і виберіть вкладку DNS.
Установіть прапорець поруч із пунктом Використовувати DNS suflX цього підключення під час реєстрації DNS , щоб увімкнути це підключення.
Натисніть кнопку OK, щоб вийти з відкритих діалогових вікон, а потім перезапустіть Каїна та Авеля.
В результаті таблиця повинна бути заповнена списком всіх хостів, підключених до вашої мережі, разом з їх MAC-адресами, 1P-адресами та інформацією про виробників. Саме з цим списком доведеться працювати при налаштуванні зараження.
У нижньому краю робочого вікна Cain &; Abel має з’явитися ряд вкладок для переходу до інших вікон під заголовком Snifer. Отже, після того, як ви склали список хостів, натисніть на вкладку APR, щоб почати працювати над технікою зараження у відповідному діалоговому вікні.
У діалоговому вікні APR з’являться дві пусті таблиці. Наприкінці наведених нижче кроків налаштування верхня таблиця покаже пристрої, які беруть участь у зараженні кешу ACR, а нижня таблиця покаже весь зв’язок між зараженими машинами.
Щоб налаштувати інфекцію, виконайте наступні дії:
Клацніть спочатку на порожню область у верхній частині екрана, а потім на кнопку плюс (+) стандартної панелі інструментів Cain &; Abel.
У вікні, що відкриється, з’являться дві панелі виділення. Зліва ви побачите список всіх хостів, присутніх у вашій мережі. Якщо ви натиснете на адресу IP цільового комп’ютера, на панелі праворуч з’явиться список усіх хостів у вашій мережі, крім хоста, який має адресу IP цільового комп’ютера.
На правій панелі спочатку клацніть на IP адресу маршругізагора, який безпосередньо спрямовує потік даних, що походить з цільового комп’ютера (рисунок 2.13), а потім натисніть кнопку OK. В результаті IP-адреси обох пристроїв повинні з’явитися у верхній таблиці в головному вікні прикладної програми.
Щоб завершити процес, натисніть на чорно-жовтий знак випромінювання, який знаходиться на стандартній панелі інструментів. Це активує інструменти зараження Cain &; Abel і дозволить вашій системі нюхання пакетів опосередковувати всі комунікації між цільовою системою та маршрутизатором вище за течією.
Тепер ви повинні мати можливість запустити свій нюхач пакетів і почати процес їх аналізу. Коли ви закінчите перехоплення мережевого трафіку, натисніть чорно-жовтий знак випромінювання ще раз, щоб зупинити інфекцію.
Попередження про інфекцію
В якості заключного зауваження про зараження хотілося б сказати, що слід враховувати призначення тих систем, для яких реалізується цей процес. Цю методику не слід використовувати, зокрема, для пристроїв з дуже високим ступенем використання мережі.
Прикладом тому може служити файловий сервер, який має мережеве з’єднання 1 Гбіт / с, особливо коли система сніффінга пакетів підключена зі швидкістю всього 100 Мбіт / с.
Коли мережевий трафік маршрутизується за допомогою методики, представленої в даному прикладі, весь трафік, відправлений і прийнятий цільовою системою, повинен спочатку пройти через систему сніффінга пакетів, а отже, стати вузьким місцем в процесі зв’язку. Така зміна маршрутизації може мати такий ефект, як відмова в обслуговуванні на аналізованій машині, що в кінцевому підсумку призводить до зниження продуктивності мережі і отримання помилкових даних аналізу. Затори на дорогах також можуть перешкоджати нормальному зв’язку SSL.
Всі способи підключення до комутованих мереж також доступні для маршрутизованих мереж. Для роботи в маршрутизованих середовищах потрібно лише звертати особливу увагу на розташування сніффера пакетів при усуненні несправностей, які охоплюють кілька сегментів мережі.
Як ви вже повинні знати, домен трансляції цільового пристрою простягається аж до маршрутизатора, де мережевий трафік передається до наступного маршрутизатора вище за течією. Якщо дані потрібно пройти через кілька маршрутизаторів, то дуже важливо проаналізувати мережевий трафік з усіх боків роутера.
Як приклад розглянемо складність, яка може виникнути в мережі з декількома сегментами, з’єднаними через ряд маршрутизаторів. У такій мережі кожен сегмент спілкується з висхідним сегментом для зберігання та отримання даних. Складність, яку ми намагаємося вирішити, полягає в тому, що підмережа нижче за течією (тобто мережа D на малюнку 2.14) не може зв’язатися ні з одним з пристроїв мережі А.
Якщо проаналізувати трафік пристрою в мережі D, який має труднощі зі сполученням із пристроями в інших мережах, можна явно виявити дані, які надсилаються в інший сегмент мережі, але, можливо, не вдасться виявити дані, що повертаються. Якщо змінити положення сніффера пакетів і приєднатися до аналізу мережевого трафіку в наступному висхідному сегменті мережі (тобто мережі B), можна виявити, що мережевий трафік передається або неправильно маршрутизується маршрутизатором маршрутизатора. Хоча справа тут кілька загальне, з нього можна зробити важливий висновок: при роботі з декількома маршрутизаторами і сегментами мережі сніффер пакета доведеться встановлювати в різних місцях мережі, щоб отримати повну картину того, що відбувається і точно визначити виниклу в ній складність.
Ми розглянули чотири способи перехоплення мережевого трафіку в комутованому середовищі. До них можна додати ще одне, для чого досить розглянути можливість установки програми для сніффінга пакетів на один пристрій, з якого потрібно перехопити мережевий трафік (такий прийом називається прямою установкою). З цих п’яти способів не так-то просто вибрати найбільш підходящий. Тому в табл. 2.2 узагальнюються основні положення для кожного методу і відповідний метод пакетного аналізу.
Провідники пакетів повинні бути максимально прихованими. В ідеалі:
Переходячи до практичних сценаріїв у наступних розділах, ми обговоримо найкращі способи перехоплення необхідних даних у кожному конкретному випадку. А поки зверніть увагу на рис. 2.15, де показаний блок, покликаний допомогти вибрати оптимальну техніку перехоплення мережевого трафіку в конкретній ситуації. Ця блок-схема враховує безліч факторів, починаючи з того, чи хочете ви захопити пакети вдома або на роботі, але вона служить лише загальним орієнтиром і не охоплює всі можливі сценарії підключення до мережі з метою прослуховування та аналізу пакетів.
Ми використовували матеріали з книги “PRACTICAL РАСКЕТ ANALYSIS ”, яку написав Кріс Сандерс.