Анализ пакетов на коммутаторе сети
В результате в таблицу ARP компьютера twister будет помещен физический адрес соответствующих узлов, которые понадобятся при запуске утилиты arpredirect.
[twister] arpredirect – t 10.1.1.18 10.1.1.1 intercepting traffic from 10.1.1.18 to 10.1.1.1 (^С to exit)…
После выполнения этой команды весь поток сообщений, передаваемый с узла shadow на используемый по умолчанию шлюз crush, будет перенаправляться на компьютер взломщика, twister. На этом узле необходимо также включить режим последующей передачи IP-пакетов (forwarding IP traffic), чтобы он функционировал в качестве маршрутизатора и после перехвата сообщений с узла shadow перенаправлял их на узел crush. На компьютере twister режим передачи пакетов можно активизировать на уровне ядра, однако делать этого не рекомендуется, поскольку в этом случае могут передаваться также пакеты ICMP, что может привести к нарушению всего процесса. Вместо этого воспользуемся утилитой fragrouter (http://www.anzen.com/research/nidsbench/fragrouter.html) и активизируем обычный режим передачи IP-пакетов с помощью следующей команды.
[twister] fragrouter – Bl fragrouter: base-1: normal IP forwarding 10.1.1.18.2079 > 192.168.20.20.21: S 592459704:592459704(0) 10.1.1.18.2079 > 192.168.20.20.21: P 592459705:592459717(12) 10.1.1.18.2079 > 192.168.20.20.21: .ack 235437339 10.1.1.18.2079 > 192.168.20.20.21: P 592459717:592459730(13) <вывод сокращен>
И наконец, на узле twister нужно активизировать простую программу анализа пакетов, чтобы иметь возможность перехватывать все ценные данные. Для получения более подробной информации об анализаторах сетевых пакетов читайте главы 6 и 8.
[twister] linsniff Linux Sniffer Beta v. 99 Log opened. -----[SYN] (slot 1) 10.1.1.18 › 192.168.20.20 [21] USER saumil PASS lamDaman!! PORT 10.1.1.18.8.35 NLST QUIT -----[SYN] (slot 1) 10.1.1.18 › 192.168.20.20 [110] USER saumil PASS lamOwned [FIN] (1)
Теперь посмотрим, что же произойдет. После запуска утилиты arpredirect узел twister будет передавать фальшивые ARP-ответы узлу shadow и выдавать себя за узел crush. Узел shadow успешно обновит свою таблицу ARP и поместит в нее "новый" физический адрес узла crush. После этого пользователь компьютера shadow начнет сеанс FTP и POP с узлом 192.168.20.20. Однако вместо передачи пакетов на компьютер crush, реальный используемый по умолчанию шлюз, узел shadow будет введен в заблуждение, поскольку в его таблицу ARP были внесены соответствующие изменения. Через узел twister весь трафик будет перенаправляться на узел 192.168.20. 20, поскольку с помощью утилиты fragrouter мы активизировали режим перенаправления IP-пакетов. Другими словами, узел twister будет играть роль маршрутизатора.
В рассмотренном примере мы просто перенаправили все сетевые пакеты, передаваемые с узла shadow на узел crush. Однако вполне возможно перенаправить весь трафик на узел twister, опустив параметр -t.
[twister] arpredirect 10.1.1.1 intercepting traffic from LAN to 10.1.1.1 (ЛС to exit)…
Нетрудно догадаться, что в сети с интенсивным трафиком это приведет к настоящему хаосу.
Если вы не очень хорошо знакомы с системой UNIX, то у вас может возникнуть закономерный вопрос: можно ли утилиту arpredirect использовать в системе Windows. К сожалению, утилита arpredirect не перенесена на эту платформу, но ничто не мешает нам воспользоваться альтернативными вариантами. Для некоторых коммутаторов можно установить сетевое подключение к порту простого концентратора. Затем к этому концентратору можно подключить компьютер с системой UNIX, на котором запущена утилита arpredirect, а также компьютер под управлением Windows, на котором запущена выбранная вами программа-анализатор. Система UNIX будет успешно перенаправлять весь трафик, тогда как система Windows будет его перехватывать на локальном концентраторе.