fbpx

Czy dzisiaj ktoś podsłuchuje? Kilka słów o sniffingu

Udostępnij

Spis treści

Czym jest sniffing?

Tłumacząc z angielskiego sniffing to węszenie. To słowo może kojarzyć się pejoratywnie, bo często używamy wyrażenia „węszyć spisek”. Kiedyś – zakradanie się, przystawianie szklanki lub stetoskopu do ściany, aż w końcu montowanie mikrofonów w otoczeniu lub ubraniu, a następnie bezpośrednio w urządzeniu. Współcześnie – to samo plus cała sfera cyberprzestrzeni. Podsłuchiwać w kategoriach IT można różne rzeczy i w różnych miejscach i nawet trudno jednoznacznie wskazać jakiego narzędzia do tych celów się używa. A zatem sniffing to jedna z technik wykorzystywanych do pozyskiwania informacji przetwarzanych przez ofiarę. Dzielimy go na aktywny i pasywny.

Kto podsłuchuje?

No właśnie, kto może podsłuchiwać, a kto rzeczywiście podsłuchuje? Wszystko zależy od prawa obowiązującego w tym zakresie, jednak jak można łatwo wydedukować nielegalnie podsłuchują atakujący. Innym przypadkiem są operatorzy internetowi, bo i oni czasami (albo zawsze) podsłuchują komunikację, którą wykonują ich abonenci. Często dzieje się to pod pretekstem badania jakości usług oraz ich poprawy. Innym argumentem jest bezpieczeństwo, ponieważ większa część ruchu jest zaszyfrowana i należy ją najpierw odszyfrować a następnie sprawdzić czy nie kryje się tam jakieś malware albo rozmowy cyberterrorystów. Takie działania naruszają prywatność użytkownika. Innym przykładem są państwa – Kazachstan deszyfruje ruch HTTPS pod pretekstem dobra obywateli1 . Zmusza do tego poprzez instalację odpowiedniego certyfikatu. To sprawia, że oprócz podsłuchu użytkownicy są skazani na cenzurę Internetu.

Jak wykonuje się skuteczny sniffing?

Większość ataków opiera się na tzw. man-in-the-middle, czyli umieszczeniu w komunikacji pomiędzy punktem A a B innego elementu, który tę komunikację usłyszy, albo – w innym scenariuszu – w nią zaingeruje. O ile sniffing paswyny polega na ustawieniu na trasie biernego urządzenia, np. huba o tyle snifing aktywny jest bardziej wymagający i przez to ciekawszy. Poniżej kilka sposób jak wykonać sniffing aktywny.

MAC Flooding

Zalewanie adresami MAC to technika wykorzystywana przeciwko przełącznikom sieciowym, które łączą segmenty sieci lub urządzenia. Atakujący wykorzystują tę metodę, aby zmusić przełącznik do działania w trybie awaryjnym jako koncentrator (hub), dzięki czemu mogą łatwo podsłuchiwać ruch.

DNS Poisoning

Technika zatruwania DNS służy m.in. do sniffowania ruchu DNS w sieci docelowej. Korzystając z tej techniki atakujący może uzyskać ID żądania DNS i wysyła złośliwą odpowiedź do nadawcy zanim odpowie rzeczywisty serwer DNS. Osoba atakująca nakłania serwer DNS do przekonania, że otrzymał autentyczne informacje, podczas gdy w rzeczywistości tak nie jest. Atakujący próbuje przekierować ofiarę na złośliwy serwer zamiast na ten legalny. W ten sposób ofiara łączy się z serwerem atakującego nawet nie zdając sobie z tego sprawy.

ARP Spoofing

To metoda atakowania sieci Ethernet LAN. Użytkownik inicjuje sesję w tej samej domenie, następnie przełącznik rozgłasza żądanie ARP przy użyciu adresu IP odbiorcy, podczas gdy nadawca czeka, aż odbiorca odpowie adresem MAC. Osoba atakująca podsłuchująca tę komunikacje może odpowiedzieć na żądanie rozgłoszeniowe ARP i odpowiedzieć nadawcy, podszywając się pod adres IP zamierzonego odbiorcy. Atakujący uruchamia sniffer i przełącza kartę sieciową komputera.

DHCP Attacks

W ataku na DHCP dla przykładu napastnik zalewa serwer, wysyłając wiele żądań i wykorzystuje wszystkie dostępne adresy IP, które są wystawione. W rezultacie serwer nie może nadać więcej adresów IP, co prowadzi do ataku DoS. Użytkownicy nie otrzymują adresu a atakujący wysyła żądania DHCP z fałszywymi adresami MAC. Do tego typu działań można wykorzystać np. oprogramowanie Yersinia.

Switch Port Stealing

To technika polegająca na zalaniu adresami MAC przełącznika oraz nieuzasadnionymi pakietami ARP z docelowym adresem MAC jako źródłem i jego własnym adresem MAC jako miejscem docelowym. W momencie „wyścigu pakietów” przełącznik zmienia swój MAC, aby łączyć się pomiędzy dwoma portami. Jeśli atak się powiedzie to pakiety trafią do przejętego portu.

Spoofing Attack

W tym ataku atakujący najpierw pobiera adresy MAC klientów, którzy są aktywnie skojarzeni z portem przełącznika. Następnie atakujący fałszuje adres MAC z adresem MAC legalnego klienta. Jeśli to działanie się powiedzie atakujący może odebrać cały ruch przeznaczony dla klienta. W ten sposób atakujący uzyskuje dostęp do sieci i przejmuje czyjąś tożsamość.

Co zrobić, aby wykryć i uniknąć podsłuchiwania?

O tym w kolejnym blogu!