|
Forside Profil IT sikkerhed Søgemaskineoptimering Reference Ressourcer |
|||||||
Midlertidige links: vidensbankHackernes værktøj #3Sniffer.En sniffer er altid (hvis den kun er en sniffer) et passivt og Non-intrusivt værktøj, der ikke agere med det netværk der sniffes på og ikke ændre noget i den data der sniffes. En sniffer vil derfor kunne sættes ind uden betænkeligheder i forhold til retslige overvejelser om sikring af beviser og ændring af data når der sker uforklarlige ting og sager i vores netværk. Ofte når vi taler produktionssystemer, der ikke uden meget store omkostninger kan stoppes eller afbrydes, er snifferen eneste mulighed for at kikke på hvad der sker på nettet. Promiskuøst modeNår vi bevæger os nede på de fysiske kabler, så sker alt håndtering på de to nederste lag i OSI modellen og udvekslingen sker via arp protokollen og på MAC adresser. Under normale omstændigheder vil et netkort tage en datapakke der kommer forbi, åbne for de yderste lag og se på modtager MAC adressen. Hvis denne matcher dens egen, så vil den sende pakken videre op i OSI modellens lag og pakke videre ud for at kunne behandle pakken indternt på den maskine netkortet sidder i. Hvis MAC adressen ikke matcher netkortets adresse, så dumpes pakken uden videre. Sådan er det standard, men sættes netkortet i promiskuøst mode, så tages alle pakker og sendes videre op i OSI modellens lag, uden hensyn til hvad modtagerens MAC adresse er og dette benytter ethvert sniffer program sig af. I virkeligheden udskifter sniffer programmet computerens normale IP stac med sin egen, modificerede IP stac, der naturligvis er i promiskuøst mode. Der findes en del forskellige sniffer værktøjer på markedet, som dels blot sniffer, altså opfanger trafik og præsenterer dette i mere eller mindre rå form, men også sniffere, der behandler det opsniffede og enten leverer statistik eller f.eks. alarmerer via forskellige signature. Netværksovervejelser.For at kunne sniffe trafik, så er trafikken nøst til atk omme forbi sniffermaskinens netkort. Udfordringen er at moderne netværk altid er switchede, hvilket opdeler netværket i kollisionsdomæner hvor trafikken kun befinder sig på de segmenter den er høre til. Der findes værktøjer som f.eks. Ettacap, der kan sniffe på switchede net, men den betjener sig af metoder som vi ikke nødvendigvis vil tage i brug på et professionelt netværk, hvor vi ikke bare uden videre kan forstyrre det der foregår. En løsning på ovenstående udfordring er at bruge huber. På en hub er alle tilsluttede enheder i samme kollisions domæne, hvorfor alle netkort høre trafikken til ale de andre. Hvis man f.eks. skal sniffe trafikken til firmaets web server, der normalt sidder i en port på switchen, så forbindes switchen til hubben og web serveren og sniffer maskinen sættes i hver sin hub port. Sniffer maskinen vil nu kunne opfange den trafik der kommer til og fra web serveren. Det er meget vigtigt at have styr på båndbredden. Hvis man sætter sin sniffermaskine i nettet et sted hvor den kan opfange en masse trafik, skal man sikre sig at den faktisk kan nå at opfange den trafik der kommer forbi. Det nytter f.eks. ikke noget at samle 5 stk. 100 Mbit forbindelser på en 100 Mbit hub. det vil resulterer i mistede netværkspakker. TCPDump og WINDumpTCPDump og WINDump er noget af det mest grundlæggende man finder når vi taler sniffere Ethereal eller Wireshark
Hackere, Hacking med mere
Hacking - Hvordan gøres det Læs også disse serier
Søgemaskineoptimering |
|
||||||
|
Copyright 2006 BufferZone.dk. All Rights Reserved. |
|
||||||
 |
|
|
|
|
|||