Сетевой мониторинг

В Linux есть утилита tcpdump, которая перехватывает сетевые пакеты, переводя сетевой интерфейс в беспорядочный режим. Обычно сетевой интерфейс игнорирует пакеты, не адресованные данной системе. В беспорядочном режиме принимаются все пакеты независимо от их адресата. Команда tcpdump отображает их заголовки. Это очень удобно при отладке, но столь же заманчиво и для хакеров, собирающих информацию о сети и работающих в ней компьютерах. Если не используются системы шифрования, такие как SSH (описана в главе 11), CFS или TCFS (описаны в приложении Г), все данные передаются по сети в открытом виде.

Мини-картинка

Другая утилита, ethereal (имеется в Red Hat 7.2), тоже позволяет перехватывать сетевые пакеты, но, в отличие от tcpdump, отображает не только заголовки, но и содержимое пакетов. Сюда входят пароли, передаваемые в незашифрованном виде, почтовые сообщения, пересылаемые файлы и т.д. С помощью этой утилиты удобно выполнять сетевую отладку и проверять, шифруются ли передаваемые данные. Опятьтаки, необходимо следить за тем, чтобы утилитой не воспользовались хакеры. Существует много других аналогичных программ сетевого мониторинга, которые обобщенно называются сетевыми анализаторами. Подробнее данная тема рассматривается в главе 17.

Чтобы не допустить злоупотребление утилитами типа tcpdump и ethereal, следует предпринять ряд мер. Прежде всего необходимо использовать концентраторы, а не повторители. Это изолирует сетевой трафик, вследствие чего анализатор видит только тот трафик, который проходит через определенный порт коммутатора. Существуют также детекторы, позволяющие находить интерфейсы, работающие в беспорядочном режиме. Одна из таких утилит — neped(http: //www. apostols. org/pojectz/neped). Другой пример — программа AntiSniff.

Можно удалить средства сетевого мониторинга из тех систем, где такой мониторинг запрещен. Но это относится только к системам, находящимся под контролем администратора локальной сети. Лучшая защита от анализаторов пакетов — применение систем шифрования.

Дополнительная информация по протоколам TCP/IP Прикладная литература

Graham, Buck. TCP/IP Addressing, 2nd Edition. Boston, MA: AP Professional, 2000.

Hunt, Craig. TCP/IP Network Administration, 3rd Edition. Sebastopol, CA: O'Reilly & Associates, 2002.

Mann, Scott. Linux TCP/IP Network Administration. Upper Saddle River, NJ: Prentice Hall, 2001.

Miller, C. Kenneth. Multicast Networking and Applications. Reading, MA: Addison Wesley, 1999.

Miller, C. Kenneth. Troubleshooting TCP/IP, 2d ed. New York, NY: M&T Books, 1996.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок