Иллюстрированный самоучитель по Secure Web


Контрмеры: защита от прослушивания сети


Поскольку прослушивание сети в лучшем случае может вызывать раздражение, то очень важно выявлять все попытки таких действий. В зависимости от принятой в организации политики обеспечения безопасности можно также заблокировать прохождение пакетов, передаваемых при ping-прослушивании. В этом разделе рассматриваются обе возможности.

Выявление факта прослушивания


Как уже говорилось, ICMP- и TCP-прослушивание является общепринятым методом исследования сети перед непосредственной попыткой проникновения в сеть. Поэтому выявление факта прослушивания очень важно с точки зрения возможности получения информации о потенциальном месте проникновения и источнике угрозы. Один из основных методов выявления прослушивания состоит в использовании сетевой программы выявления вторжений, такой как Network Flight Recorder (NFR), или программы, установленной на исследуемом взломщиком узле. Ниже приведен алгоритм, который можно реализовать в программе, предназначенной для выявления факта прослушивания.

# Обнаружение прослушивания с помощью ICMP/Ping

# Автор — Стюарт Мак-Клар (Stuart McClure)

# Эта программа предназначена для выявления
ping-сканера, изучающего вашу сеть

# Для получения наилучших результатов

# установите нужные значения maxtime и maxcount.

ping_schema = library_schema::new(1,["time", "ip",
"ip","ethmac", "ethmac" ],

scope());

count = 0;

maxtime =10; # Время в секундах

maxcount =5; # Количество ICMP-запросов ECHO или запросов ARP,

# которое рассматривается как допустимое

dest = 0;

source = 0;

ethsrc = 0;

ethdst = 0;

time = 0;

filter icmp_paskets icmp( )

{

if (icmp.type == 0x08) # Проверка на ICMP-пакеты ECHO.

{

if ((source == ip.src) && (dest != ip.dst)) # Попался!

{

count = count + 1;

time = system.time;

}

else

count = 1;

dest = ip.dest;

source = ip.src;

ethsrc = eth.src;

ethdst = eth.dst;

} .

on tick = timeout ( sec: maxtime, repeat) call checkit;

}

func checkit;

{

if (count >= maxcount)



Начало  Назад  Вперед



Книжный магазин