Аналізатор протоколів як він є

На додаток до цього переважна більшість сучасних Ethernet-адаптерів допускають функціонування в особливому режимі, що називаєтьсябезладним(promiscuous). При використанні цього режиму адаптер копіює в локальну пам'ять комп'ютера всі кадри даних, що передаються через мережу.

Спеціалізовані програми, що переводять мережевий адаптер у безладний режим і збирають весь трафік мережі для подальшого аналізу, називаютьсяаналізаторами протоколів.Адміністратори мереж широко застосовують аналізатори протоколів для здійснення контролю за роботою цих мереж та визначення їх перевантажених ділянок, що негативно впливають на швидкість передачі даних. На жаль, аналізатори протоколів використовуються і зловмисниками, які з їхньою допомогою можуть перехоплювати чужі паролі та іншу конфіденційну інформацію.

Слід зазначити, що аналізатори протоколів становлять серйозну небезпеку. Сама присутність у комп'ютерній мережі аналізатора протоколів свідчить, що у її захисних механізмах є пролом. Встановити аналізатор протоколів могла стороння людина, який проник у мережу ззовні (наприклад, якщо мережа має вихід у Internet). Але це могло бути і справою рук доморощеного зловмисника, який має легальний доступ до мережі. У будь-якому випадку до ситуації, що склалася, потрібно поставитися з усією серйозністю.

Фахівці в галузі комп'ютерної безпеки відносять атаки на комп'ютери за допомогою аналізаторів протоколів до так званих атак другого рівня. Це означає, що комп'ютерний зломщик вже зумів проникнути крізь захисні бар'єри мережі і тепер прагне розвинути свій успіх. За допомогою аналізатора протоколів він може спробувати перехопити реєстраційні імена та паролі користувачів, їх секретні фінансові дані(наприклад, номери кредитних карток) та конфіденційні повідомлення (наприклад, електронну пошту). Маючи у своєму розпорядженні достатні ресурси, комп'ютерний зломщик, в принципі, може перехоплювати всю інформацію, що передається по мережі.

Аналізатори протоколів є для будь-якої платформи. Але навіть якщо виявиться, що для якоїсь платформи аналізатор протоколів поки не написаний, з загрозою, яку представляє атака на комп'ютерну систему за допомогою аналізатора протоколів, як і раніше, доводиться рахуватися. Річ у тім, що аналізатори протоколів досліджують конкретний комп'ютер, а протоколи. Тому аналізатор протоколів може влаштуватися у будь-якому вузлі мережі і звідти перехоплювати мережевий трафік, який у результаті широкомовних передач потрапляє у кожен комп'ютер, підключений до мережі.

Одна з перших атак, проведених за допомогою аналізаторів протоколів, була зафіксована у 1994 р. у США. Тоді невідомий зловмисник розмістив аналізатор протоколів на різних хостах та магістральних вузлах мереж Internet та Milnet, внаслідок чого йому вдалося перехопити понад 100 тис. реєстраційних імен та паролів користувачів. Серед постраждалих від атаки опинилися Каліфорнійський державний університет та Ракетна лабораторія міністерства оборони США.

Використання аналізатора протоколів на практиці не є таким вже й легким завданням, як це може здатися. Щоб домогтися від нього хоч якоїсь користі, комп'ютерний хакер повинен добре знати мережеві технології. Просто встановити та запустити аналізатор протоколів не можна, оскільки навіть у невеликій локальній мережі з п'яти комп'ютерів трафік становить тисячі та тисячі пакетів на годину. Отже, за короткий час вихідні дані аналізатора протоколів заповнять жорсткий диск повністю.

Тому комп'ютерний зломщик зазвичай налаштовує аналізатор протоколів те щоб він перехоплював лише перші 200—300 байт кожного пакета, передається по мережі. Зазвичай саме в заголовку пакета розміщується інформація про реєстраційне ім'я та пароль користувача, які, як правило, найбільше цікавлять зломщика. Тим не менш, якщо в розпорядженні зломщика є достатньо простору на жорсткому диску, то збільшення обсягу трафіку, що перехоплюється, піде йому тільки на користь. У результаті може додатково дізнатися багато цікавого.

На серверах мережі Internet є безліч аналізаторів протоколів, які відрізняються лише набором доступних функций. Наприклад, пошук за запитами protocol analyzer і sniffer на сервері www.softseek.com відразу дає посилання на добрий десяток програмних пакетів.

мережі

Мал. 4.4. Основне робоче вікно аналізатора протоколів NetXRay

Аналізатор протоколів Network Monitor (рис. 4.6) входить у складі операційної системи Windows NT 4.0 Server корпорації Microsoft. Для його встановлення слід уПанелі управління (Control Panel) двічі клацнути на піктограміМережа (Network), потім перейти на вкладкуСлужби (Services), натиснути кнопкуДодати (Add) і в діалоговому вікні вибрати Network Monitor Tools and Agent. Після встановлення Network Monitor можна запустити з папки Network Analysis Tools розділуАдміністрування (Administrative Tools) у менюПрограми (Programs).

протоколів

Мал. 4.5. Основне робоче вікно аналізатора протоколів Lan Explorer

мережі

Мал. 4.6. Основне робоче вікно аналізатора протоколів Network Monitor