 |
 |
 |
|
 |
||
 |
|
|||||
 |
| Заказные курсы | |||
|
|
|
|
| Официальные курсы | |||
|
|
|
|
| Модули к курсам | |||
|
|
|
|
| Книги | |||
|
|
|
|
| Расписание | |||
|
|
|
|
| Контакты | |||
|
|||
 |
 |
Главная / Заказные курсы / Безопасность сетей Windows для профессионалов |  |
Получить учебные материалы по этому курсу |
||
| <-- Назад | Читать дальше --> | |
1.3 Активная защита от перехвата трафика: выявление снифферов в локальной сети
Выявление снифферов в локальной сети, тесты операционной системы, сетевой задержки и обратных просмотров DNS, утилиты AntiSniff и ProDetect
Часто бывает так, что лучшая защита - это нападение. Помимо того, что можно просто защищать данные при передаче по сети, можно также обнаруживать в сети работающие снифферы, и если прослушивание сети производится несанкционированно (сниффер установлен пользователем или работает троянская программа), можно принять необходимые меры.
При выявлении снифферов в сети обычно используются тесты трех разновидностей:
· тесты операционной системы. Это - обычный ICMP Ping, в пакете которого указан "левый" MAC-адрес и реальный IP-адрес проверяемого компьютера. Компьютеры, которые работают в promiscuous mode, примут такие пакеты и отзовутся на них (обычные компьютеры отбросят их еще на уровне сетевого адаптера);
· тесты сетевой задержки. Основаны на том, что обработка пакетов в системе, работающей в promiscuous mode, занимает больше времени (поскольку аппаратные фильтры на сетевом адаптере отключены). Это - наиболее ресурсоемкие и продолжительные тесты;
· тесты просмотров DNS. Многие снифферы, обнаружив новый IP-адрес в сети, выполняют обратный DNS-запрос, чтобы выяснить его имя. Можно сымитировать появление новых компьютеров в сети и перехватить трафик обратных запросов DNS, который идет с определенных компьютеров в сети.
Существует множество утилит, которые позволяют выявлять снифферы в сети (некоторые снифферы в ответ научились обходить тесты операционной системы). Эти утилиты собраны в каталоге Антисниффинг на компакт-диске. Самая мощная и полнофункциональная из них - Antisniff производства фирмы LopthCrack, однако эта утилита платная и у нее есть проблемы с запуском на компьютерах Widnows 2000/XP/2003 (часто не обнаруживаются сетевые адаптеры на компьютере и программа не может начать работу). Из бесплатных утилит можно посоветовать утилиту ProDetect. Кроме того, часто средства обнаружения снифферов встроены в корпоративные Intrusion Detection Systems (IDS, системы обнаружения проникновений, например, фирмы ISS).
В большинство антиснифферов (в том числе AntiSniff и ProDetect) встроена возможность выполнения проверок по расписанию и оповещения администратора, например, по электронной почте. На практике в большинстве организаций обнаруживаются устройства, которые работают в promiscuous mode, но в их работе нет ничего криминального - например, порты свитчей. Такие устройства можно исключить из просмотра.
| <-- Назад | Читать дальше --> |
Получить учебные материалы по этому курсу
|
© 2004-2008, Академия Специальных Курсов по Информационным Технологиям. Все права защищены. Разработка NevaStudio |
|
|
г. Санкт-Петербург, Васильевский остров, 20-я линия, д. 7 Офис 101, 2-й этаж Телефон: 8(812)922-47-60 E-mail: info@askit.ru |
 |
|
 |