книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

*В случае Windows XP и Windows Server 2003 их системные ядра отвечали только на поддельные широковещательные MAC-адреса Br47 и Br16. Следовательно, программные фильтры определяют широковещательный MAC-адрес, проверяя только первые 2 байта. Следовательно, адреса Br47 и Br16 могут использоваться для идентификации того, работает ли сетевой адаптер в случайном режиме.

*В случае Windows 2000 / NT ядра системы реагировали только на ложные широковещательные MAC-адреса Br47 и Br16. Следовательно, программные фильтры Windows 2000 / NT идентифицируют широковещательный MAC-адрес, проверяя только первые 2 байта. Важно отметить, что когда сетевая карта работает в обычном режиме, Windows 2000 / NT также отвечала на ложную трансляцию MAC Br16. Следовательно, только поддельный широковещательный MAC-адрес Br47 может быть использован для идентификации того, работает ли NIC в случайном режиме.

4.2.4Средства обнаружения случайного режима

Доступен ряд готовых к использованию инструментов для обнаружения случайных ошибок, таких как PMD (http://webteca.altervista.org/ index.htm), PromiScan (http://www.securityfriday.com),

Nmap (http://www.nmap.org), и NetScanTools Pro (http://www.netscantools.com).. Инструменты используются для определения наличия устройства, прослушивающего пакеты, которое не должно прослушивать пакеты. Большинство из этих инструментов основаны на вышеописанной методике обнаружения. Например, на следующих двух снимках экрана показаны результаты сканирования случайного режима целевого хоста с использованием инструментов NetScanTools Pro и PromiScan соответственно. MAC-адреса, используемые этими двумя инструментами, также показаны. В NetScanTools Pro поддельная трансляция B31 соответствует поддельной трансляции Br47

(FF:FF:FF:FF:FF:FE).

Основное ограничение этого метода обнаружения состоит в том, что, если узел перехвата перестает отвечать на сообщения запроса ARP во время перехвата сетевого трафика, используя, например, локальный межсетевой экран, тогда метод становится бесполезным, поскольку он опирается на сообщения ответа ARP, сгенерированные анализатором хоста.

Поскольку эта книга имеет образовательную цель, в следующем эксперименте описывается, как вручную генерировать пакеты запросов ARP-ловушек для идентификации сетевых адаптеров, работающих в случайном режиме в локальной сети.

4.2.6 Архитектура сети

Архитектура сети, использованная в эксперименте, показана на следующем рисунке. Два хоста, A и B, подключены к коммутатору и работают под управлением операционной системы Windows 7.

4.2.7 Эксперимент

Эксперимент состоит из следующих этапов:

Шаг 1: Назначьте статические IP-адреса хостам сети. Шаг 2: Запустите NIC хоста B в случайном режиме. Шаг 3: Сгенерируйте пакеты запроса ARP прерывания. Шаг 4: Анализ пакетов ответа ARP.

4.2.7.1 Шаг 1. Назначьте статические IPадреса хостам сети

Обратитесь к Главе 1.

Установите сниффер CommView (или любой доступный инструмент сниффера) на хосте B, чтобы его сетевой адаптер работал в случайном режиме.

4.2.7.3 Шаг 3. Создание пакетов запросов ARP-ловушек

На хосте A проводятся тесты, чтобы определить, работает ли сетевой адаптер хоста B в случайном режиме. Следовательно, хост A продолжит отправку нескольких пакетов запроса ARP с перехватом на хост B, используя поддельные широковещательные MAC-адреса Br47 и Br16 и многоадресные MAC-адреса M0, M2 и M3. Пакеты запроса прерывания ARP будут выглядеть следующим образом:

Используя любой инструмент построения пакетов, вышеупомянутые запросы ARP могут быть легко созданы. CommView Visual Packet Builder

предоставляет очень удобный графический интерфейс для создания пакетов ARP. Три снимка экрана, которые следуют, показывают содержание примеров пакетов запроса ARP-прерывания с MAC-адресами назначения Br47, Br16 и M0 соответственно.

4.2.7.4 Шаг 4: Анализ пакетов ответа ARP

Узел A использует анализатор CommView для сбора любых пакетов ответа ARP, сгенерированных узлом B после получения пакетов запросов ARP прерывания. На следующем снимке экрана анализатора CommView показано содержимое сгенерированного пакета запроса ARP прерывания с MAC-адресом назначения Br47. И следующий снимок экрана ясно показывает, что пакет ответа ARP был получен от хоста B после отправки вышеупомянутого пакета запроса ARP прерывания.

На следующем снимке экрана показано содержимое сгенерированного пакета запроса ARP прерывания с MACадресом назначения Br16. И на следующем снимке экрана

показано, что ответный пакет ARP был получен от хоста B после отправки вышеупомянутого пакета запроса прерывания ARP.

Следовательно, ядро системы хоста B отвечало на ложные широковещательные MAC-адреса Br47 и Br16 и не отвечало на многоадресные MAC-адреса M0, M1 и M2. Следовательно, основываясь на результатах, показанных в таблицах 4.1 и 4.2, сетевая карта хоста B работает в беспорядочном режиме, а операционная система хоста B в основном представляет собой систему на базе Windows.

4.2.8 Сниффинг беспроводной сети

В беспроводных локальных сетях (WLAN) беспроводные сетевые карты не поддерживают случайный режим, но могут работать в шести режимах: Master (действующий как точка доступа), Managed/управляемый (клиент, также известный как станция), Ad-hoc, Mesh, Повторитель(Repeater) и

режим RF Monitor.

Режим RF Monitor позволяет беспроводным сетевым картам захватывать пакеты без необходимости предварительно связываться с точкой доступа или специальной сетью. Режим RF Monitor также позволяет беспроводной сетевой карте пассивно захватывать пакеты без передачи каких-либо пакетов. Анализатор беспроводной сети может начать мониторинг беспроводных сетей только после установки