Spis treści
Czym jest sniffing?
Tłumacząc z angielskiego sniffing to węszenie. To słowo może kojarzyć się pejoratywnie,
bo często używamy wyrażenia „węszyć spisek”. Kiedyś – zakradanie się, przystawianie
szklanki lub stetoskopu do ściany, aż w końcu montowanie mikrofonów w otoczeniu lub
ubraniu, a następnie bezpośrednio w urządzeniu. Współcześnie – to samo plus cała sfera
cyberprzestrzeni. Podsłuchiwać w kategoriach IT można różne rzeczy i w różnych miejscach
i nawet trudno jednoznacznie wskazać jakiego narzędzia do tych celów się używa. A zatem
sniffing to jedna z technik wykorzystywanych do pozyskiwania informacji
przetwarzanych przez ofiarę. Dzielimy go na aktywny i pasywny.
Kto podsłuchuje?
No właśnie, kto może podsłuchiwać, a kto rzeczywiście podsłuchuje? Wszystko zależy od
prawa obowiązującego w tym zakresie, jednak jak można łatwo wydedukować nielegalnie
podsłuchują atakujący. Innym przypadkiem są operatorzy internetowi, bo i oni czasami
(albo zawsze) podsłuchują komunikację, którą wykonują ich abonenci. Często dzieje się to
pod pretekstem badania jakości usług oraz ich poprawy. Innym argumentem jest
bezpieczeństwo, ponieważ większa część ruchu jest zaszyfrowana i należy ją najpierw
odszyfrować a następnie sprawdzić czy nie kryje się tam jakieś malware albo rozmowy
cyberterrorystów. Takie działania naruszają prywatność użytkownika. Innym przykładem
są państwa – Kazachstan deszyfruje ruch HTTPS pod pretekstem dobra obywateli1
.
Zmusza do tego poprzez instalację odpowiedniego certyfikatu. To sprawia, że oprócz
podsłuchu użytkownicy są skazani na cenzurę Internetu.
Jak wykonuje się skuteczny sniffing?
Większość ataków opiera się na tzw. man-in-the-middle, czyli umieszczeniu w komunikacji
pomiędzy punktem A a B innego elementu, który tę komunikację usłyszy, albo – w innym
scenariuszu – w nią zaingeruje. O ile sniffing paswyny polega na ustawieniu na trasie
biernego urządzenia, np. huba o tyle snifing aktywny jest bardziej wymagający i przez to
ciekawszy. Poniżej kilka sposób jak wykonać sniffing aktywny.
MAC Flooding
Zalewanie adresami MAC to technika wykorzystywana przeciwko przełącznikom
sieciowym, które łączą segmenty sieci lub urządzenia. Atakujący wykorzystują tę
metodę, aby zmusić przełącznik do działania w trybie awaryjnym jako koncentrator
(hub), dzięki czemu mogą łatwo podsłuchiwać ruch.
DNS Poisoning
Technika zatruwania DNS służy m.in. do sniffowania ruchu DNS w sieci docelowej.
Korzystając z tej techniki atakujący może uzyskać ID żądania DNS i wysyła złośliwą
odpowiedź do nadawcy zanim odpowie rzeczywisty serwer DNS. Osoba atakująca
nakłania serwer DNS do przekonania, że otrzymał autentyczne informacje, podczas
gdy w rzeczywistości tak nie jest. Atakujący próbuje przekierować ofiarę na złośliwy
serwer zamiast na ten legalny. W ten sposób ofiara łączy się z serwerem
atakującego nawet nie zdając sobie z tego sprawy.
ARP Spoofing
To metoda atakowania sieci Ethernet LAN. Użytkownik inicjuje sesję w tej samej
domenie, następnie przełącznik rozgłasza żądanie ARP przy użyciu adresu IP
odbiorcy, podczas gdy nadawca czeka, aż odbiorca odpowie adresem MAC. Osoba
atakująca podsłuchująca tę komunikacje może odpowiedzieć na żądanie
rozgłoszeniowe ARP i odpowiedzieć nadawcy, podszywając się pod adres IP
zamierzonego odbiorcy. Atakujący uruchamia sniffer i przełącza kartę sieciową
komputera.
DHCP Attacks
W ataku na DHCP dla przykładu napastnik zalewa serwer, wysyłając wiele żądań i
wykorzystuje wszystkie dostępne adresy IP, które są wystawione. W rezultacie
serwer nie może nadać więcej adresów IP, co prowadzi do ataku DoS. Użytkownicy
nie otrzymują adresu a atakujący wysyła żądania DHCP z fałszywymi adresami
MAC. Do tego typu działań można wykorzystać np. oprogramowanie Yersinia.
Switch Port Stealing
To technika polegająca na zalaniu adresami MAC przełącznika oraz
nieuzasadnionymi pakietami ARP z docelowym adresem MAC jako źródłem i jego
własnym adresem MAC jako miejscem docelowym. W momencie „wyścigu
pakietów” przełącznik zmienia swój MAC, aby łączyć się pomiędzy dwoma portami.
Jeśli atak się powiedzie to pakiety trafią do przejętego portu.
Spoofing Attack
W tym ataku atakujący najpierw pobiera adresy MAC klientów, którzy są aktywnie
skojarzeni z portem przełącznika. Następnie atakujący fałszuje adres MAC z
adresem MAC legalnego klienta. Jeśli to działanie się powiedzie atakujący może
odebrać cały ruch przeznaczony dla klienta. W ten sposób atakujący uzyskuje dostęp
do sieci i przejmuje czyjąś tożsamość.
Co zrobić, aby wykryć i uniknąć podsłuchiwania?
O tym w kolejnym blogu!