Особености на sniffing атаките и как да се предпазим от тях

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА

ЦЕНТЪР “МАГИСТЪРСКО ОБУЧЕНИЕ”

Р Е Ф Е Р А Т

по

“Безопасност и защита”

на тема: “Особености на sniffing атаките и как да се

предпазим от тях”

Разработил:

Йоанна Слетланова Георгиева,

специалност “Информатика”,

5 курс, 61 група,

фак.н: 11577

Проверил:

Доц. Д-р Стефан Дражев

Ас. Радка Начева

Варна 2014

Особености на sniffing атаките и как да се предпазим от тях

2

Йоанна Светланова Георгиева, фак.н: 11577

Съдържание

1. Въведение .......................................................................... 3

2. Същност и предназначение на sniffing атаките ...................... 4

3. Видове атаки ...................................................................... 8

4. Инструментални средства за извършване на sniffing атаки ... 12

5. Защита срещу атаки .......................................................... 15

6. Заключение ...................................................................... 17

7. Използвана литература ..................................................... 19


3


1. Въведение

В динамичните времена, в които живеем, използването на Интернет

е неизменна част от нашето ежедневие. Било то заради нашата работа или

просто, за да разтоварим след дългия работен ден, понякога прекарваме в

мрежата повече време отколкото е полезно за нас самите. Разглеждайки

поредният интернет сайт или изтегляйки необходимото ни за момента

приложение, ние изпадаме в ситуации, които биха могли да застрашат

нашата сигурност. Истината е, че повечето интернет потребители дори не

подозират какво би могло да се случи, ако бъде реализирана една

евентуална заплаха. Това е причината и поради, която трябва да

предприемем по-сериозни мерки, чрез които да се чувстваме и по-

защитени, когато сме в необятното Интернет пространство. Но дори и

стоейки на топло вкъщи, с чаша от любимия ни билков чай или ароматно

кафе, е възможно да станем жертви на редица престъпления, свързани с

изземането на личните ни данни, следенето на съобщенията ни или други

противозаконни дейности.

Известно е, че редица от Интернет престъпленията се извършват

само, защото хакерите желаят да се докажат като професионалисти.

Разбира се, някои от тях трудно биха могли да бъдат спрени своевременно,

но все пак добре известната фраза, че “за всяка отрова си има

противодействие”, тук важи с пълна сила.

Целта на този реферат е да се проучат, систематизират и представят

особеностите на sniffing атаките. За постигането на поставената цел е

необходимо да се реализират следните задачи:

- Да се изясни същността, предназначението и видовете sniffing

атаки;

- Да се проучат и анализират някои от наличните

инструментални средства, с които те се извършват;

- Да се представят решения за защита при нападения.


4


2. Същност и предназначение на sniffing атаките

Преди да пристъпим към по-задълбоченото разглеждане на sniffing

атаките, е необходимо да изясним какво представлява самият термин

“кибератака”. Кибератаката представлява умишлено използване на

компютърни системи, технологично-зависими организации и мрежи. Тези

атаки използват злонамерен код, за да променят компютърния код, логика

или данни, като резултатът е разрушителни последици, чрез които могат да

бъдат компрометирани тези данни. Кибератаките водят до кибер

престъпления, като например кражба на информация или дори изземане на

самоличност. Кибератаката е известна още като атака на компютърната

мрежа. Има много и различни видове атаки, като някои от тях са свързани

дори изнудване, malware, фарминг, фишинг, спам, spoofing, троянски коне

и вируси, кражба на хардуер (преносими компютри или мобилни

устройства), атаки от вида “отказ от обслужване” (DoS) и разпределени

DoS атаки, нарушение на достъпа, sniffing атаки, заличаване на уебсайтове,

частични и публични разработени уеб браузъри, злоупотреба със

съобщения, кражба на интелектуална собственост, неоторизиран достъп и

още много други.

От изброените до тук разновидности на кибератаките, ще

акцентираме единствено върху sniffing, тъй като те са предмет на

изследване в този реферат. Според дефиницията им, представляват

програма или устройство, улавящо от мрежовия трафик специфична за

дадената мрежа информация.1 Sniffing атаките още могат да се нарекат и

технология за прихващане на данни. Тяхната цел е да откраднат нещо,

например пароли (от електронна поща, от Интернет, SMB, FTP, SQL или

Telnet), текст от имейл, прехвърлящи се файлове по мрежата (файлове по

електронна поща, FTP файлове или SMB). Разбира се, sniffing има и други

цели, например поддръжка на мрежата.

1 http://site.iugaza.edu.ps/jdahdooh/wp-content/uploads/lab1-packet-sniffing.pdf Достъпно на 05.03.2014г.


5


Казано по друг начин, sniffing е технологията за прихващане на

данни, а именно софтуерът, преминаващ от един компютър към друг, като

тези машини трябва да са свързани към определена мрежа, с цел отнемане

на някаква информация по трафика. Важно е да споменем, че хакерите

много лесно могат да се сдобият с паролите на даден потребител, а още и с

неговата конфигурационна информация. Чрез използването на един

обикновен пакет от данни, атакуващият може да прочете цялата

информация, която преминава по трафика. Тази процедура е опасна и

поради факта, че по този начин може да се кракнат (crack) криптираните

пакети на някои от хеширащите алгоритми, а може и да се разчете

информацията, която се пренася, и която се смята че е в безопасност, а

всъщност не е. Можем да обобщим, че sniffing на пакети изисква пакет,

който да извършва “подслушването” на информацията, която се прехвърля

по пътя, по който се осъществява комуникацията между сървъра и

клиента.2

Реализирането на sniffing заплахите, се осъществява по няколко

начина3. Първият, както вече споменахме, е свързан с поставяне на sniffing

пакет в мрежата, който да служи за улавяне (подслушване) на постъпилата

информация. Тук подслушването е възможно, но само ако тези пакети се

вмъкнат в свободен (promiscious) режим4. По този начин атакуващият

може да улавя и анализира целия мрежови трафик. Другият начин е

свързан с откриване на пробив в сигурността на жертвата и тъй като много

от портовете на суича по-подразбиране са отворени, това разбира се би

довело до безпроблемно осъществяване на sniffing атаката. Особеност при

тези атаки е, че пакетът, който служи за подслушване може да долови само

информационен пакет, който е в рамките на дадената подмрежа.

2 http://msdn.microsoft.com/en-us/library/ff648641.aspx Достъпно на 15.03.2014г.

3 http://luizfirmino.blogspot.com/2011/09/sniffing-threats.html Достъпно на 15.03.2014г.

4 Това е режим свързан с контролерите на мрежовия интерфейс и безжичния мрежови интерфейс. Целта

на контролера е да пропуска целият трафик до преминаването му към централния процесор.


6


Обикновено всеки един лап топ може да бъде включен в мрежата и да

получи достъп до нея.

На фиг. 1 може да бъде разгледана информация за начините, по

които може да бъде осъществена една sniffing атака.

Фиг. 1. Начини за реализиране на sniffing заплахи

Чрез осъществяване на подслушването контролерът на мрежовия

интерфейс на компютъра превключва към свободен режим, така че да

може да “слуша” абсолютно всички данни, които се предават по

съответния сегмент. Друга особеност е, че чрез sniffing цялата информация

по мрежата е достъпна във всеки един момент, като тя се извлича на

компютъра на атакуващия чрез вече споменатият контролер на мрежовия

интерфейс, като това се осъществява посредством декодиране на

информацията, която е капсулирана в пакети.

Относно протоколите, които са уязвими към sniifing атаки, някои от

тях включват Telnet и Rloging с т.нар. keystrokes5, които включват

потребителски имена и пароли, SMTP, NNTP, POP, IMAP, FTP – за

5 http://en.wikipedia.org/wiki/Keystroke_logging#Keystroke_logging_in_Writing_Process_Research Достъпно

на 15.03.2014г.


7


изпращане на пароли и данни в чист текст и HTTP, за изпращане само на

данни в чист текст6.

От гледна точка на OSI модела на компютърните мрежи, добре е да

споменем, че sniffing атаките функционират на Data Link слоя, който

служи за прехвърляне на данни между съседни мрежови възли в WAN или

между възли от един и същ сегмент на локалната мрежа7. Тези атаки не се

придържат към правилата, които се отнасят към приложенията и услугите,

а по-скоро се осъществяват както на Data Link слоя, така и над него. Това

може да бъде разгледано на фиг. 2. Казано с други думи, до достигане на

Application слоя, потребителят се намира в опасност от sniffing атака, т.е

той е изложен на съвсем реален риск. От фиг. 2 става ясно, че такива атаки

не могат да бъдат реализирани на първото, физическо ниво (Physical layer)

от OSI модела. От Data Link нататък, достъпването на информация относно

IP адреси, протоколи, портове на жертвата на атаката, става съвсем

възможно.

Фиг. 2. Слоеве, на които е възможно реализирането на sniffing атака

6 http://www.docstoc.com/docs/72070764/CEH-v5-Module-07-Sniffers Достъпно на 15.03.2014г.

7 http://en.wikipedia.org/wiki/Data_link_layer Достъпно на 26.03.2014г.


8


3. Видове атаки

Съществуват два основни вида sniffing атаки, на които можем да

станем жертви. Съответно, това са активните и пасивните атаки8.

Пасивни са тези, които реализират дейността си чрез/през хъб. По

конкретно, при тях имаме даден хъб, чрез който трафикът се изпраща до

абсолютно всички портове. Пасивните sniffing атаки включват

изпращането и проследяването на пакети, изпратени от други такива.

Бихме могли да наречем пасивните sniffing атаки именно по този начин,

тъй като е много трудно те да бъдат проследени по мрежата. При тях е

необходимо атакуващият да свърже персоналния си компютър (лап топ)

към хъба и да започне да “слуша”. Използването им вече е сравнително

отшумяло, тъй като хъбовете вече нямат толкова широко приложение,

отколкото някога са имали.

Активните sniffing атаки включват изпращане на множество пакети

с цел изследване и идентифициране на точките за достъп по мрежата.

Активните sniffing атаки се извършват по комутируема мрежа. При тях се

разчита на инжектирането на ARP пакети в мрежата, които предизвикват

трафик. Освен че чрез тях се подслушва посредством използването на

суич, можем да заключим и следното, а именно че чрез използването им е

по-трудно да се извърши самото подслушване. Друга важна особеност,

свързана с тях е, че лесно могат да бъдат открити, и че в себе си съдържат

няколко допълнителни техники за реализиране на атаката. Едната от тях се

нарича ARP spoofing, а другата - MAC flooding.

Преди да спрем по-подробно на първата техника, е добре да

изясним какво представлява ARP (Address Resolution Protocol). Това е

протокол, който се използва за конвертиране на IP адреси към техните

кореспондиращи физически мрежови адреси (MAC). ARP е мрежови

протокол от ниско ниво, който се намира на Network layer (мрежовия слой)

8 http://luizfirmino.blogspot.com/2011/09/types-of-sniffing.html Достъпно на 15.03.2014г.


9


в OSI модела.9 За да получи физически адрес, хостът разпространява ARP

заявка към TCP/IP мрежата.10

Добре е да споменем, че при ARP spoofing атаките са известни

следните факти:

- ARP се използва за разрешаване на IP адреси към MAC адреси

на интерфейса, като това е насочено към данните, които се изпращат;

- ARP пакетите могат да бъдат поправени, за да се изпратят

данни към машините на атакуващите;

- ARP “отравянето” се използва с цел атакуващият да се намеси

в мрежовия трафик между двете машини в мрежата, които обменят

информация една с друга.

Посредством втората техника MAC Flooding, ARP таблицата на

суича се подменя. По този начин атакуващият може да го пренатовари и

интересното в този случай, е че чак тогава пакетът започва да подслушва

мрежата. За целта суича трябва да е във forwarding състояние11

.

На фиг. 3 може да бъде разгледана и процедурата по подслушване на

трафика чрез използването на MAC Flooding техниката. А именно, както

вече споменахме, чрез използване на суич атакуващият пуска голям брой

заявки към него. От там нататък ролята на суича се ограничава до работата

му като хъб и от споменатото до тук стана ясно, че хъбовете се много по-

лесни за подслушване на трафика, преминаващ през него. За целта се

използват фалшиви MAC адреси, чрез които всички портове на суича

стават пренаситени с трафик.

9 http://compnetworking.about.com/od/networkprotocols/g/bldef_arp.htm Достъпно на 15.03.2014г.

10 http://site.iugaza.edu.ps/jdahdooh/wp-content/uploads/lab1-packet-sniffing.pdf Достъпно на 15.03.2014г.

11 http://www.intel.com/support/express/switches/sb/cs-014410.htm Достъпно на 15.03.2014г.


10


Фиг. 3. Подслушване на трафика чрез MAC Flooding

Следва да разберем и какви могат да са заплахите на ARP

“отравянето”. На първо място е необходимо да споменем, че вътрешните

мрежови атаки обикновено се експлоатират чрез вече споменатото ARP

“отравяне”. Всеки един потребител, който ползва Интернет и съответно

генерира мрежови трафик е способен да изтегли какъвто и да е злонамерен

софтуер от виртуалното пространство, който да бъде използван за ARP

spoofing атаки. Посредством използването на фалшиви ARP съобщения,

атакуващият може да отклони цялата комуникация между две машини,

така че целият трафик да минава през неговия компютър. По-специално,

чрез MITM12

атаки, хакерът може да стартира DoS13

атаки, да заглуши

сигнала на предаваните по мрежата данни, да ги управлява, като в процеса

може както да събере наличните пароли, така и да осъществи VOIP

телефонни разговори от името на жертвата.

12

http://en.wikipedia.org/wiki/Man-in-the-middle_attack Достъпно на 15.03.2014г. 13

http://en.wikipedia.org/wiki/Denial-of-service_attack Достъпно на 15.03.2014г.


11


Следващата разновидност на sniffing атаките, това са DHCP

атаките, които се наричат още “гладуващи” атаки. Те работят чрез

излъчване на DHCP заявки с поправените MAC адреси. Реализират се

лесно с определено инструментално средство, което се нарича gobbler.

Особеност при тези атаки е, че ако са изпратени достатъчно заявки,

атакуващият мрежата може да изчерпи адресното пространство, което е на

разположение на DHCP сървърите за определен период от време. След

това нападателят е способен да създаде фалшив DHCP сървър в неговата

система и да отговори на новите DHCP заявки от клиентите на мрежата.

Чрез поставянето на фалшив DHCP сървър в мрежата, атакуващият може

да предоставя на клиентите си адреси и друга информация за мрежата. Тъй

като DHCP отговорите обикновено включват шлюз по подразбиране и

информация за DNS сървъра, хакерът може да предостави собствената си

система като шлюз по подразбиране и DNS сървър, което да е в резултат на

MITM атаката.

Тъй като вече се запознахме с основните видове sniffing атаки,

които се използват за “слушане” на данни по мрежата, следва накратко да

разгледаме и DNS техниките, които се използват за “отравяне” на мрежата.

Първата техника е свързана със заместването на реалния с фалшив

интернет адрес на ниво DNS, например когато уеб адресите са

конвертирани в IP адреси. Друга техника е, когато DNS сървърът “вярва”,

че е получил достоверна информация, когато в действителност това

въобще не е така.

Накратко можем да споменем, че видовете DNS “отравяния“ могат

да бъдат класифицирани на Интранет DNS spoofing (за локални мрежи),

Интернет DNS spoofing (за отдалечени мрежи), DNS “отравяне“ на proxy

сървъра и DNS Cache “отравяне“.


12


4. Инструментални средства за извършване на sniffing

атаки

Тъй като вече се запознахме със същността на sniffing атаките и ги

класифицирахме по видове, е време да се разгледаме и инструментариума,

чрез който осъществяването на една такава атака е напълно постижима

цел. След направеното проучване на инструменталните средства,

предназначени за реализиране на sniffing атаки, е добре да изброим и

характеризираме особеностите, които всяко едно от тях притежава14

.

Ще започнем краткия анализ с Interactive TCP Relay. Характерно

за него е, че оперира като прост TCP канал, който има ролята на

“подслушвател” на определен порт и връща целия трафик към отдалечения

хост и порт. Програмата може да залавя и редактира всичкия трафик, който

преминава през мрежата, като той може да бъде и редактиран чрез

специализирани за целта HEX редактор.

HTTP Sniffer: EffeTech. HTTP е протокол, който се използва за

подслушване на пакети и анализ на мрежата. Вече уловените IP пакети

съдържат този протокол. Това позволява на атакуващия да види

съдържанието, докато следи и анализира движението по мрежата. Тази

програма служи за интерпретиране и декодиране на HTTP протокола и за

генериране на отчет за уеб трафика, който да служи за справка.

Ace Password Sniffer. Много мощно инструментално средство.

Чрез него може да се следят и улавят пароли непосредством през FTP,

POP3, HTTP, SMTP, Telnet и още някои други мейл пароли. Възможно е и

да слуша от LAN и да улавя пароли от други потребители в мрежата. Ace

Password Sniffer работи пасивно и е много трудно да бъде засечен. Ако

мрежата е свързана посредством използването на суич, “слушателят” може

14

http://www.slideshare.net/minafaw/ceh-v5-module-07-sniffers Достъпно на 19.03.2014г.


13


да избяга през шлюза по подразбиране или от прокси сървъра, който може

да получи и целия мрежови трафик.

MSN Sniffer. Служи за улавяне на MSN чат в мрежата и записва

MSN разговорите автоматично. Всички засечени съобщения могат да

бъдат запазени в HTML файлове, откъдето по-късно да бъдат разгледани и

анализирани. Чрез MSN Sniffer всичко може да бъде записано без да бъде

засечена никаква следа.

SmartSniff. Служи за улавяне на TCP/IP пакети, които позволяват

да се инспектира целия мрежови трафик, който преминава през мрежовия

адаптер. SmartSniff е ценен инструмент за проверка на това какви пакети се

изпращат от даден компютър.

Session Capture Sniffer: NetWitness. NetWitness е най-мощното

инструментално средство за осъществяване на sniffing атаки на пазара до

момента. Това е патентована технология, която пресъздава сесии и ги

показва на екрана. Програмата се използва дори от FBI. NetWitness

поддържа аудит и следене на целия трафик по мрежата. Засечените

дейности се преобразуват във формат, който както мрежовите инженери,

така и хора с по-малко познания в областта, веднага могат да ги разгадаят

и разберат. Програмата записва всички дейности и трансформира вече

набавената информация в солиден модел, който описва мрежата,

приложението и съдържанието на тези дейности по нива.

Cain and Abel. Служи за извличане на аудио разговори, които са

базирани на SIP/RTP протоколи и ги запазва в WAV файлове.

SMAC. Това е инструментално средство за редактиране на MAC

адреси, нарича се още “spoofer”. Предназначен е за Windows 2000,

Windows XP и Windows Server 2008. SMAC дава информация за

свободните мрежови адаптери и позволява да се проследят дейностите на

MAC адресите.


14


NetSetMan. Позволява бързо превключване между предварително

конфигурираните мрежови настройки. Това инструментално средство е

идеалният вариант за хакери, които имат себе си за “етични” и които все

пак трябва да се свържат към различни мрежи едновременно и имат нужда

от постоянно актуализиране на техните настройки. NetSetMan позволява

създаването на 6 профила включващи IP адрес настройки, мрежова маска,

шлюз по подразбиране и DNS сървъри.

Други sniffing инструментални средства. Съществуват и някои не

толкова добри средства за осъществяване на sniffing атаки. Особеност при

тях е, че данните могат да бъдат уловени от разстояние за текущата

интернет връзка, като те могат да бъдат прочетени от уловения файл. Тези

средства могат да четат и уловените файлове от tcpdump15

. Командният ред

превключва на editcap16

програма, която позволява редактиране или

обръщане към уловените файлове. Тези инструментални средства имат

изобразен филтър, който служи за позволяване на данните да се

усъвършенстват. Такива средства са Sniffit, Aldebaran, Hunt, NGSSniff, Ntop,

pf, IPTraf, Etherape, Snort, Windump/tcpdump, Etherpeek, Mac Changer, Iris,

Netlinercept, WinDNSSpoof и т.н.

От направения до тук анализ на инструменталните средства,

установихме че съществува не малък брой от начини, чрез които е напълно

възможно да се извършат неправомерни деяния над набелязана мрежа. От

разгледаните до момента средства, заедно с кратките им

характеристиките17

, можем да обобщим, че за човек, който има за цел да

извърши подобно нападение, не би следвало има някакви затруднения в

реализирането на това свое начинание, като за неговите специфични цели

се предлагат и голям набор от възможни алтернативи за действие.

15

http://en.wikipedia.org/wiki/Tcpdump Достъпно на 19.03.2014г. 16

http://www.wireshark.org/docs/man-pages/editcap.html Достъпно на 19.03.2014г. 17

Голяма част от инструментариума е събран и синтезиран на следния адрес, където при интерес може да бъде разгледан - http://luizfirmino.blogspot.com/search/label/Sniffers Достъпно на 19.03.2014г.


15


5. Защита срещу атаки

След запознаването ни със същността на щетите, които могат да

нанесат sniffing атаките на един потребител, би следвало да знаем и как да

се предпазим от тях. Разбира се, добре е да вземем превантивни мерки

срещу евентуални посегателства, като някои от тях могат да бъдат

следните18

:

- да се наложи ограничение на физическия достъп до мрежата, за

да се гарантира, че “подслушващите” пакети не могат да бъдат

инсталирани;

- добре е да се използва криптиране, с цел да се запази

непокътната и цялостна личната информация. Това е най-добрият

начин за осъществяване на добра сигурност срещу sniffing атаки,

въпреки че чрез него не може да се предотврати цялостно

процедурата, но може да се подсигури важната информация;

- непрекъснато да се добавя MAC адрес на шлюза по

подразбиране към ARP кеша;

- да се използва статичен IP адрес и статична ARP таблица, за да

се предотвратят атаки от добавяне на фалшиви ARP единици за

машините в мрежата;

- да се изключи идентификационното предаване по мрежата и

ако е възможно достъпът до нея да бъде ограничен, така че само

оторизирани потребители да могат да работят с нея. Това се прави с

цел защита от установяване на sniffing инструментални средства по

мрежата;

- да се използва IPv6 вместо IPv4;

- да се използват криптирани сесии, като SSH, SCP и SSL;

- да се използва PGP и S/MIPE, VPN, IPSec, TLS и OTP;

18

http://luizfirmino.blogspot.com/search/label/Sniffers Достъпно на 19.03.2014г.


16


- да се използва HTTPS за защита на потребителските имена и

пароли;

- да не се използват услуги на незащитени мрежи, например

вход в системи от летища, гари и т.н;

- да се взема под внимание мрежовото устройство, което ще се

използва. Хъбът да се замести със суич, тъй като сигурността на

суича е много важна част при изграждане на защита на една мрежа,

тъй като предпазва от вътрешни хакерски атаки;

- да се внимава, когато се споделят папки и услуги по мрежата.

Най-добре е да им се слага защита с пароли.

Освен тези препоръки към потребителя, препоръчително е и

използването на инструментални средства, с които да се следи мрежовия

статус. На първо място, за да засечем една sniffing атака трябва

предварително да проверим кои машини са стартирани в свободен режим.

За редуциране на атаките предлагаме използването на програмата

Trafscrambler. Тя представлява анти-sniffer/IDS LKM (мрежово Kernel

разширение) за OSX. Използва се за инжектиране на пакети с фалшиви

данни и с произволно избран лош TCP checksum или лоши TCP

последователности. Има възможност за нулиране на атака, изпращане на

синхронизации с грешни TCP checksum и др. За целта може да се използва

и Sniff joke. Това е приложение за Linux, което се справя с прозрачността

на TCP връзката, забавянето, промяната и инжектирането на фалшиви

пакети вътре в предаването на трафик на съответната машина. Целта е да

се направи така, че правилното прочитане на тези пакети от пасивна

подслушвателна технология, като IDS или sniffer, да бъде почти

невъзможно. Друга алтернатива е Kitty-Litter. Това е едно сравнително

малко по размери инструментално средство, което може да бъде

конфигурирано и инсталирано от абсолютно всички видове потребители.

Kitty-Litter е предназначено за защита от изтичане на данни от уеб сайтове


17


и онлайн банкиране. И не на последно място по-полезност е ACiD (ARP

Change intrusion Detector). ACID е инструментално средство за

мониторинг на мрежата, което засича аномалии в IP относно MAC двойки.

Програмата е разработена за доказване на аномалиите, които се дължат на

активните атаки в мрежата. Например, когато е възможно да се установят

подобни на arpspoof атаки.

Тези и още много други инструментални средства, чрез които може

да се вземе превантивна мярка за сигурността на данните на всеки един

потребител, малко или много намират приложение в нестихващата борба

срещу неправомерното посегателство над личните данни.

6. Заключение

В нестихващото време на постоянно развиващите се информационни

технологии, човек не може да бъде напълно защитен от всичко. Въпреки

това, неговата осведоменост би могла драстично да намали вероятността

от това да стане жертва на “безпощадни” хакери.

Като основна цел на реферата бе да се проучат, систематизират и

представят особеностите на sniffing атаките, като тя бе успешно изпълнена.

За постигането й беше изяснена същността и предназначението на sniffing

атаките, бяха класифицирани видовете атаки, бяха проучени и анализирани

някои от наличните инструментални средства, с които се извършват те и

бяха представени адекватни решения за защита от евентуални нападения.

От разгледаното до тук, можем да направим заключение, че sniffing

атаките не са толкова безобидни, колкото изглеждат на пръв поглед. Чрез

тях може да се извлече доста важна информация за конкретния потребител.

Институтът за сигурност на изследваните технологиите към университета

в Дартмут, най-добрият в тази област до момента, до ден днешен се

занимава с проучване и разследване на проблеми свързани с кибератаките,

като се среща и с разследванията на правните органи, фокусира се върху


18


непрекъснатото развитие на IP проследяването, работи както по анализа на

данни в реално време, така и по прихващането на тези данни. Работата по

тази проблематика никога няма да стане по-малко, а по-скоро точно

обратното, би следвало да става все по-сложна, прецизна и задълбочена,

защото сигурността е един от най-важните фактори в живота на всеки един

човек.


19


7. Използвана литература

1] http://site.iugaza.edu.ps/jdahdooh/wp-content/uploads/lab1-packet-sniffing.pdf

Достъпно на 05.03.2014г.

2] http://msdn.microsoft.com/en-us/library/ff648641.aspx Достъпно на 15.03.2014г.

3] http://luizfirmino.blogspot.com/2011/09/sniffing-threats.html Достъпно на

15.03.2014г.

4] http://en.wikipedia.org/wiki/Keystroke_logging#Keystroke_logging_in_Writing_P

rocess_Research Достъпно на 15.03.2014г.

5] http://www.docstoc.com/docs/72070764/CEH-v5-Module-07-Sniffers Достъпно

на 15.03.2014г.

6] http://luizfirmino.blogspot.com/2011/09/types-of-sniffing.html Достъпно на

15.03.2014г.

7] http://compnetworking.about.com/od/networkprotocols/g/bldef_arp.htm


8] http://site.iugaza.edu.ps/jdahdooh/wp-content/uploads/lab1-packet-sniffing.pdf


9] http://www.intel.com/support/express/switches/sb/cs-014410.htm Достъпно на

15.03.2014г.

10] http://en.wikipedia.org/wiki/Man-in-the-middle_attack Достъпно на

15.03.2014г.

11] http://en.wikipedia.org/wiki/Denial-of-service_attack Достъпно на

15.03.2014г.

12] http://www.slideshare.net/minafaw/ceh-v5-module-07-sniffers Достъпно на

19.03.2014г.

13] http://en.wikipedia.org/wiki/Tcpdump Достъпно на 19.03.2014г.

14] http://www.wireshark.org/docs/man-pages/editcap.html Достъпно на

19.03.2014г.

15] http://luizfirmino.blogspot.com/search/label/Sniffers Достъпно на 19.03.2014г.

16] http://en.wikipedia.org/wiki/Data_link_layer Достъпно на 26.03.2014г.

Education

Особености на sniffing атаките и как да се предпазим от тях