Cómo detectar y prevenir a los rastreadores
Intenta utilizar un método de cifrado de alto nivel para la comunicación diaria, como acceder a sitios que admitan https. La contraseña del enrutador de la computadora debe cambiarse periódicamente y el sistema debe rehacerse para evitar el robo de información. Si efectivamente hay rastreadores, tenga cuidado. Sin embargo, mi método puede llevar tu nivel de defensa a un nivel superior. ¡Échales un vistazo a continuación!
Sniffer (sniffer) es un método comúnmente utilizado para recopilar datos útiles. Estos datos pueden ser cuentas de usuario y contraseñas, algunos datos comerciales confidenciales, etc. Sniffer se puede utilizar como un dispositivo que puede capturar paquetes de red. ISS define Sniffer de la siguiente manera: Sniffer es una herramienta que utiliza la interfaz de red de una computadora para interceptar paquetes de datos destinados a otras computadoras.
El uso legítimo de Sniffer es principalmente analizar el tráfico de la red para encontrar posibles problemas en la red en cuestión. Por ejemplo, supongamos que una determinada sección de la red no funciona muy bien, el envío de mensajes es lento y no sabemos dónde radica el problema. En este momento, podemos utilizar un rastreador para hacer un juicio preciso. el problema. En una red razonable, la existencia de rastreadores es de vital importancia para los administradores de sistemas. Los administradores de sistemas pueden diagnosticar una gran cantidad de problemas difusos invisibles a través de rastreadores. Estos problemas implican una comunicación anormal entre dos o incluso varias computadoras, y algunos incluso involucran varios protocolos. Con la ayuda de los administradores del sistema sniffer%2C, se puede determinar fácilmente cuánto tráfico pertenece a qué protocolo de red, qué host representa el protocolo de comunicación principal y qué host es el destino de la mayoría de las comunicaciones, cuánto tiempo se tarda en enviar mensajes o el intervalo. entre transmisiones de mensajes entre hosts, etc. Esta información proporciona información muy valiosa para que los administradores juzguen los problemas de la red y administren áreas de la red.
Los rastreadores son diferentes de los programas generales de captura de teclado. Los programas de captura de teclado capturan los valores clave ingresados en el terminal, mientras que los rastreadores capturan mensajes de red reales.
Para tener una comprensión profunda del principio de funcionamiento del sniffer, primero presentamos brevemente los principios del HUB y la tarjeta de red.
Conocimientos preliminares
Cómo funciona HUB
Dado que muchas redes como Ethernet (intranets comunes que comparten conexiones HUB) se basan en métodos de bus, físico Se transmite , es decir, cuando una máquina envía datos a otra máquina, el Sharing HUB los recibe primero y luego envía los datos que recibió a otra (el puerto entrante no enviará) a cada puerto. Por lo tanto, las tarjetas de red de todas las máquinas en el. El mismo segmento de red bajo el *** HUB compartido puede recibir datos.
El programa interno de un solo chip del HUB de conmutación puede recordar la dirección MAC de cada puerto. En el futuro, la enviará a qué máquina debe recibirla, en lugar de enviarla a todos como si fuera compartida. HUB, por lo que bajo el HUB de conmutación, solo la tarjeta de red de la máquina que recibe los datos puede recibir los datos. Por supuesto, el paquete de transmisión aún se envía a todos los puertos. Obviamente, el modo de trabajo del HUB compartido hace que las otras máquinas ocupen otros puertos cuando dos máquinas están transmitiendo datos. Por lo tanto, el HUB compartido determina que solo dos máquinas pueden comunicarse entre sí en el mismo segmento de red al mismo tiempo. dos máquinas que intercambian HUB transmiten datos, otros puertos no están ocupados, por lo que otros puertos también pueden transmitir datos al mismo tiempo. Estas son las dos diferencias entre compartir HUB e intercambiar HUB. Sharing HUB solo puede enviar datos a una máquina al mismo tiempo y todas las máquinas pueden recibirlos. Siempre que los datos no se transmitan, el HUB de intercambio puede enviar datos al HUB. máquina al mismo tiempo. Los datos se transfieren y los datos son privados.
El principio de funcionamiento de la tarjeta de red
Hablemos del principio de funcionamiento de la tarjeta de red. Cuando la tarjeta de red recibe los datos transmitidos, el programa de un solo chip en la tarjeta de red primero recibe la dirección MAC de destino del encabezado de datos y determina si debe recibirse según el modo de recepción establecido por el controlador de la tarjeta de red en la computadora. Si se considera que se recibe la recepción, se genera una señal de interrupción después de la recepción. Notifique a la CPU y deséchela si cree que no debe recibirse. Por lo tanto, la tarjeta de red corta los datos que no deben recibirse. y la computadora no lo sabe en absoluto. La CPU recibe una señal de interrupción y genera una interrupción. El sistema operativo llama al controlador para recibir datos de acuerdo con la dirección del programa de interrupción de la tarjeta de red configurada en el controlador de la tarjeta de red. Después de recibir los datos, el controlador los coloca en la pila de señales. sistema operativo a procesar.
Cómo funciona LAN
Los datos se transmiten en la red en pequeñas unidades llamadas tramas. Las tramas se componen de varias partes, y diferentes partes realizan diferentes funciones. (Por ejemplo, los primeros 12 bytes de Ethernet almacenan las direcciones de origen y destino. Estos bits le dicen a la red: el origen y el destino de los datos. Las otras partes de la trama Ethernet almacenan los datos reales del usuario y los encabezados TCP/IP. O encabezado IPX, etc.).
El marco se forma mediante un controlador de red específico y luego se envía al cable de red a través de la tarjeta de red. Llegue a sus máquinas de destino a través de cables de red y realice el proceso inverso en un extremo de la máquina de destino. La tarjeta Ethernet de la máquina receptora captura estas tramas y avisa al sistema operativo de su llegada, que luego las almacena. Es durante este proceso de transmisión y recepción cuando los rastreadores pueden causar problemas de seguridad.
Por lo general, todas las interfaces de red en el mismo segmento de red en una red de área local (LAN) tienen la capacidad de acceder a todos los datos transmitidos en medios físicos, y cada interfaz de red también debe tener una dirección de hardware. es diferente de las direcciones de hardware de otras interfaces de red presentes en la red. Al mismo tiempo, cada red también necesita al menos una dirección de transmisión. (Representando todas las direcciones de interfaz), en circunstancias normales, una interfaz de red legal solo debe responder a estos dos tipos de tramas de datos:
1. El área de destino de la trama tiene hardware que coincide con la red local dirección de interfaz.
2. El área de destino del marco tiene una "dirección de transmisión".
Al recibir los paquetes de datos en las dos situaciones anteriores, la tarjeta de red genera una interrupción de hardware a través de la CPU, que puede atraer la atención del sistema operativo y luego transferir los datos contenidos en la trama al sistema para su posterior procesamiento.
Cuando se utiliza el HUB compartido, cuando el usuario envía un mensaje, estos mensajes se enviarán a todas las máquinas disponibles en la LAN. En circunstancias normales, todas las máquinas de la red pueden "escuchar" el tráfico que pasa, pero no responderán a los paquetes que no les pertenecen (en otras palabras, la estación de trabajo A no capturará los datos que pertenecen a la estación de trabajo B, sino que simplemente los ignorará). estos datos).
Si la interfaz de red de una máquina en la LAN está en modo promiscuo (es decir, la tarjeta de red puede recibir todos los paquetes de datos que recibe, lo cual se discutirá en detalle a continuación), entonces puede capturar los datos en la red Todos los paquetes y tramas, si una máquina está configurada de esta manera, (incluido su software) es un rastreador.
Sniffer
Principio del Sniffer
Con los principios de funcionamiento del HUB y la tarjeta de red, podemos empezar a hablar de SNIFFER. En primer lugar, debes saber que lo que SNIFFER quiere capturar debe ser información del mensaje que pueda recibirse mediante señales físicas. Obviamente, siempre que se notifique a la tarjeta de red que reciba todos los paquetes que recibe (generalmente llamado modo promiscuo: significa que todos los dispositivos de la red escuchan los datos transmitidos en el bus, no solo sus propios datos), en* **Puede recibir todos los paquetes en este segmento de red en Xiang HUB, pero en Switch HUB, solo puede recibir sus propios paquetes más los paquetes de transmisión.
Si desea recibir paquetes de otras personas en el HUB de intercambio, debe enviarlos al puerto donde se encuentra su máquina. El HUB de conmutación recuerda la MAC de un puerto al recibir datos de este puerto y recordar su MAC de origen, al igual que la lista ARP correspondiente a la IP y MAC de una máquina. El HUB de conmutación mantiene un puerto físico (es decir, el cable de red). enchufe en el HUB, todos los puertos HUB mencionados después de esto se refieren al enchufe del cable de red) y la tabla MAC, por lo que puede engañar al HUB de conmutación. Puede enviar un paquete y configurar la MAC de origen para que sea la MAC de la máquina que desea recibir. Luego, el HUB de conmutación hará coincidir el puerto físico donde está conectado el cable de red de su máquina con esa MAC. esa MAC se enviará a su toma de cable de red, es decir, su tarjeta de red puede SNIFFER. Tenga en cuenta que el puerto físico y la tabla MAC se actualizan dinámicamente como la tabla ARP de la máquina. Después de que la máquina envía el paquete, el HUB recordará su puerto nuevamente, por lo que en realidad hay dos compitiendo por él. Esto solo se puede usar cuando se escucha. una pequeña cantidad de paquetes es suficiente.
La comunicación basada en IP en la intranet puede usar ARP para engañar a las máquinas de otras personas para que las envíen a su máquina. Si no desea afectar la comunicación original entre las dos partes, puede engañar a ambas. para enviarlos a la suya, la máquina luego la reenvía, lo que equivale a actuar como intermediario. Esto se logra fácilmente usando ARP y programación.
Y muchos dispositivos ahora admiten la administración remota. Hay muchos concentradores de conmutación que pueden configurar un puerto para monitorear otros puertos, pero esto requiere permisos de administración.
Utilizando esto, la conexión de red de una computadora se puede configurar para aceptar datos en todos los buses Ethernet, implementando así rastreadores. Sniffer es un software que puede configurar el estado de la tarjeta de red local en el estado "varios". Cuando la tarjeta de red está en este modo "varios", la tarjeta de red tiene una "dirección de transmisión" y genera una "dirección de transmisión" para cada cuadro. que encuentra. Las interrupciones de hardware se utilizan para alertar al sistema operativo para que procese cada paquete que fluye a través de los medios físicos. (La mayoría de las tarjetas de red tienen la capacidad de configurarse en modo misceláneo)
Se puede ver que los rastreadores trabajan en la capa inferior del entorno de red, interceptarán todos los datos que se transmiten en la red y los pasarán. a través del software correspondiente, Processing puede analizar el contenido de estos datos en tiempo real y luego analizar el estado de la red y el diseño general. Vale la pena señalar: los rastreadores son extremadamente silenciosos y constituyen un ataque de seguridad pasivo.
Los rastreadores varían en funcionalidad y diseño. Algunos sólo pueden analizar un protocolo, mientras que otros pueden analizar cientos de protocolos. En general, la mayoría de los rastreadores pueden analizar al menos los siguientes protocolos: Ethernet estándar, TCP/IP, IPX, DECNet.
El daño causado por los rastreadores
El rastreo actúa en la capa inferior de la infraestructura de la red. Normalmente, los usuarios no tratan directamente con esta capa y algunos ni siquiera son conscientes de su existencia. Por tanto, hay que decir que el daño de los sniffers es considerable. Normalmente, el uso de sniffers es el comienzo del engaño en la red. Posible daño:
Los rastreadores pueden capturar contraseñas. Esta es probablemente la razón por la que se utilizan la mayoría de los rastreadores ilegales. El rastreador puede registrar el ID de usuario y la contraseña transmitidos en texto claro.
Capacidad para capturar información privada o confidencial. Por ejemplo, en el caso de las cuentas financieras, muchos usuarios se sienten seguros al utilizar su tarjeta de crédito o su cuenta de efectivo en línea. Sin embargo, los rastreadores pueden interceptar fácilmente nombres de usuario, contraseñas, números de tarjetas de crédito, fechas de vencimiento, números de cuenta y PIN transmitidos en línea. Por ejemplo, para espiar datos de información confidencial o sensible, al interceptar paquetes de datos, el intruso puede registrar fácilmente la transmisión de información sensible entre otros, o simplemente interceptar todo el proceso de conversación por correo electrónico.
Puede utilizarse para comprometer la seguridad de los vecinos de la red o para obtener mayores niveles de acceso.
Snoop información del protocolo de bajo nivel.
Esto es algo terrible al registrar el protocolo de información subyacente, como registrar la dirección de la interfaz de red entre dos hosts, la dirección IP de la interfaz de red remota, la información de enrutamiento IP y el orden de bytes del número de conexión TCP. etc. Cuando esta información es controlada por intrusos ilegales, causará un gran daño a la seguridad de la red. Por lo general, solo hay una razón por la que alguien usa rastreadores para recopilar esta información: está a punto de realizar una suplantación de identidad (por lo general, la suplantación de dirección IP requiere que usted la inserte con precisión). el número de secuencia de bytes de la conexión TCP), si a alguien le importa este problema, entonces el sniffer es solo un preludio para él y el problema será mucho mayor en el futuro. (Para los hackers avanzados, creo que esta es la única razón para usar rastreadores)
De hecho, si tienes un rastreador no autorizado en la red, significa que tu sistema ha estado expuesto frente a otros.
Generalmente, Sniffer solo detecta los primeros 200 a 300 bytes de cada mensaje. Tanto el nombre de usuario como la contraseña están incluidos en este apartado, que es la parte real que nos importa. Los trabajadores también pueden rastrear todos los mensajes en una interfaz determinada. Si hay suficiente espacio para almacenamiento y procesamiento, encontrará otras cosas muy interesantes...
Simple: Colocar un rastreador y colocarlo en cualquier lugar no es suficiente. mucho bien. Coloque el rastreador cerca de la máquina o red atacada, de modo que se capturen muchas contraseñas. Otro método mejor es colocarlo en la puerta de enlace. Sniffer normalmente se ejecuta en un enrutador o en un host con función de enrutador. Esto permite monitorear grandes cantidades de datos. Sniffer es un ataque de segundo nivel. Por lo general, el atacante ya ha ingresado al sistema objetivo y luego utiliza el método de ataque rastreador para obtener más información.
Si se hace esto, se puede capturar el proceso de autenticación de identidad entre la red y otras redes