| Пароли на блюдечке: dsniff
Конечно, с помощью утилиты tcpdump можно без проблем определить тип используемой
сети, однако что вы скажете о получении главных жемчужин компьютерного мира —
паролей? Для этих целей можно приобрести чудовищный по предоставляемым возможностям
программный пакет SnifferPro или воспользоваться более дешевыми средствами, например,
CaptureNet, разработанным Лаврентием Никулой (Laurentiu Nicula). Однако лучше
всего прибегнуть к программе Дага Сонга (Dug Song). Он разработал одно из наиболее
сложных средств перехвата паролей — программу dsniff.
Зачастую можно встретить
приложения, в которых в качестве паролей используется незашифрованный текст. Кроме
того, подобная конфиденциальная информация хранится далеко не в лучшем месте.
Примерами таких приложений могут послужить следующие: FTP, telnet, POP, SNMP,
HTTP, NNTP, ICQ, IRC, Socks, NFS (сетевая файловая система— Network File System),
mountd, rlogin, IMAP, AIM, XI1, CVS, Napster, Citrix ICA, pcAnywhere, NAI Sniffer,
Microsoft SMB и Oracle SQL. В большинстве перечисленных выше приложений либо используются
незашифрованные пользовательские имена и пароли, либо применяются упрошенные алгоритмы
шифрования, сокрытия и декодирования, которые нельзя рассматривать как серьезную
преграду для взломщиков. Именно в этом случае можно ощутить всю мощь программы
dsniff.
С помощью программы dsniff можно прослушать трафик любого сетевого
сегмента независимо от того, относится ли он к сети с множественным доступом или
же к сети с коммутацией пакетов. Эту программу можно получить по адресу http://naughty.monkey.org/~dugsong/dsniff/,
а затем выполнить ее компиляцию. С Web-узла компании еЕуе (http://www.eeye.com)
можно также загрузить и попробовать в действии версию этой программы для платформы
Win32. В этом случае потребуется установить также и библиотеку WinPcap, которая,
однако, может вызвать некоторые проблемы в системах с конфликтом драйверов. Эту
библиотеку можно найти по адресу http://netgroup-serv.polito.it/winpcap/.
При запуске программы dsnif f в системе Linux будут получены все незашифрованные
или простые пароли сетевого сегмента.
[root@mybox dsniff-1.8]
dsniff
---------------
05/21/00 10:49:10 bob
-> unix-server (ftp)
USER bob
PASS dontlook
---------------
05/21/00 10:53:22 karen -> lax-cisco (telnet)
karen
supersecret
---------------
05/21/00 11:01:11 karen -> lax-cisco
(snmp)
[version 1]
private
Кроме средства перехвата паролей dsnif f, в состав пакета входят разнообразные
средства поиска других слабых мест, такие как mailsnarf и webspy. mailsnarf представляет
собой небольшое приложение, позволяющее собирать все почтовые сообщения и отображать
их содержимое на экране, как если они были написаны вами лично, webspy — это мощная
утилита, которая окажется полезной, если требуется определить, какие страницы
в Web посетили пользователи. При этом в Web-броузере автоматически будут отображаться
Web-страницы, которые были просмотрены определенным пользователем.
[root]# mailsnarf
From stu@hackingexposed.com
Mon May 29 23:19:10 2000
Message-ID: 0017Olbfca02$790cca90$6433a8cO@foobar.com
Reply-To: "Stuart McClure" stu@hackingexposed.com
From: "Stuart
McClure" stu@hackingexposed.com
To: "George Kurtz" george@hackingexposed.com
References: 0022Olbfc729$7d7ffe70$ab8dOb!8@JOC
Subject: Re: conference call
Date: Mon, 29 May 2000 23:44:15 -0700
MIME-Version: 1.0
Content-Type:
multipart/alternative;
boundary="———=_NextPart_000_0014_01BFC9C7.CC970F30"
X-Priority: 3 X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express
5.00.2919.6600
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6600
This is a multi-part message in MIME format.
---=_NextPart_000_0014_01BFC9C7.CC970F30
Content-Type: text/plain;
charset="iso-8859-l"
Content-Transfer-Encoding:
quoted-printable
Have you heard the latest one about the...
[content censored
here]
- Stu
Чтение почтовых сообщений ваших соседей
может показаться забавным занятием, однако не забывайте о том, что подобные действия
вряд ли можно назвать законными.
Контрмеры: защита от dsniff
Традиционным способом
защиты от перехвата незашифрованных паролей является переход от сетевой топологии
Ethernet с множественным доступом к сети с коммутацией пакетов. Однако как вы
узнали из предыдущих разделов, такая мера практически не способна предотвратить
атаки с применением программы dsniff.
В этом случае ко всему сетевому трафику
лучше всего применить один из алгоритмов шифрования. Воспользуйтесь преимуществами
SSH для туннелирования всего трафика или возможностями средств, в которых реализованы
алгоритмы шифрования по открытому ключу (PKI — Public Key Infrastructure), например
продуктами компании Entrust Technologies. Это позволит выполнить сквозное шифрование
всего потока сетевых данных.
| 
