Иллюстрированный самоучитель по Secure Web

       

Пароли на блюдечке: dsniff


Конечно, с помощью утилиты tcpdump можно без проблем определить тип используемой сети, однако что вы скажете о получении главных жемчужин компьютерного мира — паролей? Для этих целей можно приобрести чудовищный по предоставляемым возможностям программный пакет SnifferPro или воспользоваться более дешевыми средствами, например, CaptureNet, разработанным Лаврентием Никулой (Laurentiu Nicula). Однако лучше всего прибегнуть к программе Дага Сонга (Dug Song). Он разработал одно из наиболее сложных средств перехвата паролей — программу dsniff.

Зачастую можно встретить приложения, в которых в качестве паролей используется незашифрованный текст. Кроме того, подобная конфиденциальная информация хранится далеко не в лучшем месте. Примерами таких приложений могут послужить следующие: FTP, telnet, POP, SNMP, HTTP, NNTP, ICQ, IRC, Socks, NFS (сетевая файловая система— Network File System), mountd, rlogin, IMAP, AIM, XI1, CVS, Napster, Citrix ICA, pcAnywhere, NAI Sniffer, Microsoft SMB и Oracle SQL. В большинстве перечисленных выше приложений либо используются незашифрованные пользовательские имена и пароли, либо применяются упрошенные алгоритмы шифрования, сокрытия и декодирования, которые нельзя рассматривать как серьезную преграду для взломщиков. Именно в этом случае можно ощутить всю мощь программы dsniff.

С помощью программы dsniff можно прослушать трафик любого сетевого сегмента независимо от того, относится ли он к сети с множественным доступом или же к сети с коммутацией пакетов. Эту программу можно получить по адресу http://naughty.monkey.org/~dugsong/dsniff/, а затем выполнить ее компиляцию. С Web-узла компании еЕуе (http://www.eeye.com) можно также загрузить и попробовать в действии версию этой программы для платформы Win32. В этом случае потребуется установить также и библиотеку WinPcap, которая, однако, может вызвать некоторые проблемы в системах с конфликтом драйверов. Эту библиотеку можно найти по адресу http://netgroup-serv.polito.it/winpcap/.

При запуске программы dsnif f в системе Linux будут получены все незашифрованные или простые пароли сетевого сегмента.



[root@mybox dsniff-1.8] dsniff

---------------

05/21/00 10:49:10 bob -> unix-server (ftp)

USER bob

PASS dontlook

---------------

05/21/00 10:53:22 karen -> lax-cisco (telnet)

karen



supersecret

---------------

05/21/00 11:01:11 karen -> lax-cisco (snmp)

[version 1]

private

Кроме средства перехвата паролей dsnif f, в состав пакета входят разнообразные средства поиска других слабых мест, такие как mailsnarf и webspy. mailsnarf представляет собой небольшое приложение, позволяющее собирать все почтовые сообщения и отображать их содержимое на экране, как если они были написаны вами лично, webspy — это мощная утилита, которая окажется полезной, если требуется определить, какие страницы в Web посетили пользователи. При этом в Web-броузере автоматически будут отображаться Web-страницы, которые были просмотрены определенным пользователем.

[root]# mailsnarf

From stu@hackingexposed.com Mon May 29 23:19:10 2000

Message-ID: 0017Olbfca02$790cca90$6433a8cO@foobar.com

Reply-To: "Stuart McClure" stu@hackingexposed.com

From: "Stuart McClure" stu@hackingexposed.com

To: "George Kurtz" george@hackingexposed.com

References: 0022Olbfc729$7d7ffe70$ab8dOb!8@JOC

Subject: Re: conference call

Date: Mon, 29 May 2000 23:44:15 -0700

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="———=_NextPart_000_0014_01BFC9C7.CC970F30"

X-Priority: 3 X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 5.00.2919.6600

X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6600

This is a multi-part message in MIME format.

---=_NextPart_000_0014_01BFC9C7.CC970F30

Content-Type: text/plain;

charset="iso-8859-l"

Content-Transfer-Encoding: quoted-printable

Have you heard the latest one about the...

[content censored here]

- Stu

Чтение почтовых сообщений ваших соседей может показаться забавным занятием, однако не забывайте о том, что подобные действия вряд ли можно назвать законными.

Контрмеры: защита от dsniff

Традиционным способом защиты от перехвата незашифрованных паролей является переход от сетевой топологии Ethernet с множественным доступом к сети с коммутацией пакетов. Однако как вы узнали из предыдущих разделов, такая мера практически не способна предотвратить атаки с применением программы dsniff.

В этом случае ко всему сетевому трафику лучше всего применить один из алгоритмов шифрования. Воспользуйтесь преимуществами SSH для туннелирования всего трафика или возможностями средств, в которых реализованы алгоритмы шифрования по открытому ключу (PKI — Public Key Infrastructure), например продуктами компании Entrust Technologies. Это позволит выполнить сквозное шифрование всего потока сетевых данных.


Содержание раздела