Иллюстрированный самоучитель по Secure Web


Анализ пакетов на коммутаторе сети - часть 7


Address family identifier = 2 (IP)

IP address = [10.45.33.0]

Metric = 3

Routing data frame 2

Address family identifier = 2 (IP)

IP address = [10.45.33.0]

Metric = 1

3. Определите наилучшее направление атаки. Тип атаки ограничивается лишь фантазией взломщика, однако в данном примере мы перенаправим весь трафик на определенный узел через наш собственный компьютер, чтобы можно было проанализировать все пакеты и, не исключено, извлечь из них информацию о паролях. Для этого на маршрутизатор RIP (192.168.51.102) необходимо добавить следующий маршрут.

IP-адрес = 10.45.33.10 

Маска подсети =255.255.255.255

Шлюз = 172.16.41.200 

Метрика = 1

4. Добавьте маршрут. Для этого с помощью утилиты srip передайте маршрутизатору ложный пакет со статическим маршрутом.

[root#] srip -2 -n 255.255.255.255 172.16.41.200 192.168.51.102 10.45.33.10 1

5. Теперь все пакеты, предназначенные для узла 10.45.33.1 (который может быть любым сервером, содержащим конфиденциальную информацию), будут перенаправляться на наш компьютер (172.16.41.200) для последующей передачи. Конечно, для дальнейшей передачи этих пакетов необходимо воспользоваться утилитой fragrouter или любым другим средством уровня ядра.

Утилита fragrouter

[root*] ./fragrouter -Bl

Передача пакетов на уровне ядра

[roottt] vi /proc/sys/net/ipv4/ip_forward (change 0 to 1)

6. Установите свой любимый анализатор пакетов для системы Linux (например, программу dsnif f), а затем приступите к просмотру "на лету" имен пользователей и паролей.

Как видно из следующего рисунка, обычный поток сообщений с узла DIANE можно без проблем перенаправить через компьютер взломщика (PAUL) и лишь затем передать их дальше на узел назначения (FRASIER).



 Контрмеры: защита от ложных пакетов RIP

  •  Запретите поддержку протокола RIP на своем маршрутизаторе. В протокол OSPF (Open Shortest Path First) встроены более защищенные механизмы аутентификации, которые ограничивают возможности взломщика по использованию ложных пакетов RIP.
  •  Если это возможно, вообще запретите на пограничном маршрутизаторе обработку входящих пакетов RIP (порты 521 TCP/UDP). Требуйте использования лишь статических маршрутов.






Начало  Назад  Вперед



Книжный магазин