Анализ трафика

Злоумышленник при помощи анализатора трафика (сниффер) в состоянии перехватывать пользовательский трафик с целью получения паролей и другой информации, в том числе cookie, которые могут содержать данные авторизации сторонних ресурсов, таких как почтовые сервисы и социальные сети.

Анализатор трафика, или сниффер (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, предназначенного для других узлов. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, поэтому сниффер может анализировать, что проходит через его интерфейс.

Перехват трафика может осуществляться:

1. обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

2. подключением сниффера в разрыв канала;

3. ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

4. через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

5. через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде.

Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

1. обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи;

2. выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие;

3. перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации;

4. Локализовать неисправность сети или ошибку конфигурации сетевых агентов.

На примере программной среды анализа трафика dSploit под управлением операционной системой Android было проведено исследование уровня безопасности беспроводного сегмента сети ТНУ.

Подключившись к Wi-Fi используя общедоступные данные авторизации SSID, получили список возможных манипуляций с сетью, в том числе и атаки Man in the middle (рисунок 3.1).

Рисунок 3.1. Подключение к TNU Wi-Fi в интерфейсе dSploit

Атака MITM в общем случае представляет собой термин в криптографии, обозначающий ситуацию, когда криптоаналитик (атакующий) способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.

Используя методы MITM, произвели анализ трафика на предмет выявления паролей стандартных протоколов и сервисов (рисунок 3.2).

Рисунок 3.2. Поиск паролей средствами MITM

Получили список данных пользователей, большей частью являющихся авторизацией прокси (рисунок 3.3).

Рисунок 3.3. Список пользовательских данных

Учитывая тот факт, что обычно пользователи используют однотипные пароли для различных сервисов, есть возможность их взлома и хищения личных данных путем перебора. В дополнение, подключившись к одной точке, можно получить данные со всех точек сети с целью проведения целенаправленной атаки и сбора данных (рисунок 3.4).

Рисунок 3.4. Доступ к точкам доступа

Снизить угрозу сниффинга пакетов данных можно при помощи настройки коммутируемой инфраструктуры сети, другими словами вынести весь беспроводной сегмент в одну независимую от локальной подсеть.