книги хакеры / журнал хакер / 098_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
|
o |
|
P |
D |
|
|
|
|
|
|
|
o |
||
|
|
NOW! |
r |
|
|
|
|
NOW! |
r |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
to BUY |
|
>> ХАКЕР.PRO |
|
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
|
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Сергей «grinder» Яремчук |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/ grinder@ua.fm / |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IDS |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
настраже |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
периметра |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
Snort: мощный инструмент обнаружения сетевых атак |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Защита компьютерных сетей, как обычных, так и беспроводных, - тема острая и злобод- |
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
невная. Сегодня информацию с описаниями взломов, а также готовых программ, |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
реализующих их, найти легко, и любой может испытать на тебе весь доступный |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
арсенал. Чтобы обезопасить себя от неожиданных сюрпризов, следует реализовать |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
защиту в комплексе: межсетевой экран, фильтрация MAC-адресов и шифрование |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
трафика. Особое место в этом списке занимают системы обнаружения атак, своевре- |
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
менно сигнализирующие о появлении хакера. К таким средствам относится сетевая |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
СОА Snort — мощный инструмент с открытым исходным кодом. |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ВозможностиSnort |
к такомуустройствусможетинтерпретировать |
сайтедоступенпатчдляSnort2.4.3(требующий |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
Snortявляетсясетевойсистемойобнаружения |
полученнуюинформацию.СегодняшнийSnort, |
прикомпиляцииопции'--enable-wireless'), |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
атак(IDS)с открытымисходнымкодом,кото- |
в принципе,неделаетразличияв том,с каким |
такжеимеетсяи ужепатченаяверсияSnort. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
раяспособнавыполнитьв реальномвремени |
типомсетионимеетдело,никакихспецифи- |
ФункциональноSnort-Wirelessмалоотличается |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
анализIP-пакетов,передаваемыхнаконтро- |
ческихопцийприустановкетакжезадавать |
отSnort,дополнительнов егосоставвключен |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
лируемыхинтерфейсах.Snortобнаруживает |
ненадо.Как обычно,указываеминтерфейс'-i', |
наборправилwifi.rules,содержащийописание |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
атаки,комбинируядваметода:сигнатурный |
и Snortначинаетанализпакетовв режимеraw |
специфическихуязвимостейи рядпрепроцес- |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
и анализпротоколов. |
monitoring(RFMON),безпривязкик специфи- |
соров.В настоящеевремяреализованопять |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
ВсюсобраннуюинформациюдетекторSnort |
ческойсети,собираявсепакеты,попадающие- |
препроцессоров: |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
позволяетсохранитьв файлахжурналов,кото- |
сяв радиоэфире.Чтобыконтролироватьтолько |
1. AntiStumbler(spp_antistumbler)—распоз- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
рыемогутиметьразличныйформат:обычный |
своюсеть,необходимосоответствующим |
наетрассылкубольшогоколичестванулевых |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
текстовыйASCIIилибинарный,совместимый |
образомнастроитьWi-Fiустройствоилисисте- |
SSIDс одногоMAC-адреса,чтоиспользуют |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
с tcpdump. Кроме того, для удобства |
муфильтров.СетиIEEE802.11используюттри |
NetStumblerи MacStumblerдляобнаружения |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
анализаинформациюможнозанестив базу |
видапакетов:управления,контроляи данных. |
точекдоступа; |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
данных:Postgresql,MySQL,unixODBCи некото- |
Чтобыотслеживатьпервыедватипа,необходи- |
2. DeauthFlood(spp_deauth_flood)—подсчи- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
рыедругие. |
модобавитьв строкузапускапараметр'-w'. |
тываетколичествокадровдеаутентификации |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
Система,построеннаянаSnort,способнасоби- |
Для болееэффективнойзащитыможно |
и припревышениипорогаподнимаеттревогу; |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
ратьи обрабатыватьинформациюс несколь- |
использоватьорудиенападения—Kismet |
3. AuthFlood(spp_auth_flood)—определяетко- |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
кихразнесенныхдатчиков.Всев делов произ- |
(www.kismetwireless.net),которыйумеет |
личествопопытокаутентификации,чтоможет |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
водительностикомпьютеров,используемых |
отличносканироватьэфир,а значит,егоможно |
свидетельствоватьо возможнойDOS-атаке; |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
в качествесенсоров.Для тогочтобыулучшить |
применятьдляпоискапостороннихустройств. |
4. MacSpoof(spp_macspoof)—отслеживает |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
производительность,разделяябыструюработу |
Анализируяданныес различныхточекдоступа |
попыткиподменыМАС-адреса; |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
IDSпозахватупакетови относительномедлен- |
и Wi-Fiкартв связкес Snort,можнодатьотпор |
5. RogueAP(spp_rogue_ap)—егозадачасооб- |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
нуюпозанесениюинформации,необходимо |
дажеопытномухакеру. |
щатьо присутствиидругихточекдоступа. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
использоватьBarnyard,которыйдоступенна |
СуществуетспециальноеответвлениеSnort |
ВSnortтакихпрепроцессоровнет,поэтому |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
страницезакачкипроектаSnort.В этомслучае |
—Snort-Wireless(snort-wireless.org),какраз |
длязащитыбеспроводнойсетиимеетсмысл |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Snortсоздаетспециальныйдвоичныйвыход- |
предназначенноедляобнаруженияатак,направ- |
использоватьименноSnort-Wireless. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
ной«унифицированный»формат,с которым |
ленныхнасетистандарта802.11.Snort-Wireless |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
в дальнейшеми работаетBarnyard. |
обратносовместимс Snort2.0,приэтомсодержит |
УстановкаSnort |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
некоторыеспецифическиеправилаобработки |
Намоментнаписаниястатьиактуальнойбыла |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SnortandWireless |
пакетов,настроенныхнауязвимостии типич- |
версия2.6.1.2.В репозитарииUbuntu,который |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
Snortнепосредственнонеумеетработатьс бес- |
ныеатакибеспроводныхсетей.Последние |
использовалсяпринаписаниистатьи,—2.3.3. |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
проводнымисетями802.11,ноподключенный |
обновлениядатированыноябрем2005 года,на |
Хотелось быотметить,чтоподкаталогcontrib, |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
/ 150 |
|
xàêåð 02 /98/ 07 |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|