W tym artykule omówimy, czym jest sniffing i jak można uchronić siebie lub organizację przed takim atakiem. Omówimy również narzędzia, które można wykorzystać do przeprowadzenia sniffingu i odzyskania informacji przechowywanych w wysyłanych pakietach.

Czym Jest Sniffing?

Sniffing w ogólnym znaczeniu oznacza potajemne badanie czegoś w celu znalezienia poufnych informacji. Z punktu widzenia bezpieczeństwa informacji, sniffing odnosi się do podsłuchiwania ruchu sieciowego lub kierowania go do celu, gdzie może zostać przechwycony, przeanalizowany i monitorowany. Sniffing zwykle wykonuje się w celu analizowania wykorzystania sieci, rozwiązywania problemów z siecią, monitorowania sesji w celach rozwojowych i testowych.

Technologia ta może być wykorzystana do testowania linii telefonicznych i określania jakości połączeń, ale przestępcy używają jej do własnych, nielegalnych celów. W świecie Internetu sniffing może być przeprowadzany za pomocą aplikacji, urządzeń sprzętowych zarówno na poziomie sieci, jak i hosta. Każdy pakiet sieciowy zawierający informacje w postaci jawnego tekstu może zostać przechwycony i odczytany przez napastników. Mogą to być nazwy użytkowników, hasła, tajne kody, dane bankowe lub inne informacje, które mają wartość dla atakującego. Atak ten jest technicznym odpowiednikiem fizycznego szpiega.

Motywy sniffowania:

• Zdobywanie nazw użytkowników i haseł;
• Wykradanie informacji związanych z bankami/transakcjami;
• Szpiegowanie poczty elektronicznej i wiadomości na czacie;
• Kradzież tożsamości.

Rodzaje sniffingu

Wyróżniamy dwa rodzaje sniffingu – aktywny pasywny. Sniffing aktywny polega na wykonywaniu pewnych czynności lub interakcji przez atakującego w celu zdobycia informacji.
Jeśli zaś chodzi o pasywny sniffing, atakujący po prostu ukrywa się w uśpieniu i zdobywa informacje.

Sniffing pasywny:

Ten rodzaj sniffowania odbywa się w centrum sieci. Koncentrator to urządzenie, które odbiera ruch na jednym porcie, a następnie retransmituje go na wszystkie pozostałe porty. Nie bierze pod uwagę, że ruch ten nie jest przeznaczony do innych miejsc docelowych. W takim przypadku, jeśli urządzenie sniffera zostanie umieszczone w centrum, cały ruch sieciowy może zostać bezpośrednio przechwycony przez sniffer. Sniffer może tam siedzieć niewykryty przez długi czas i szpiegować sieć. Ponieważ koncentratory nie są obecnie zbyt często używane, tego rodzaju atak będzie starą sztuczką. Koncentratory zastępuje się przełącznikami i to właśnie w tym miejscu pojawia się aktywne sniffowanie.

Sniffing aktywny:

W skrócie, przełącznik uczy się tabeli CAM, która zawiera adresy Mac miejsc docelowych. Na podstawie tej tabeli przełącznik jest w stanie zdecydować, który pakiet sieciowy ma być wysłany i gdzie. W aktywnym sniffingu sniffer zasypuje przełącznik fałszywymi żądaniami, tak aby tablica CAM się zapełniła. Po zapełnieniu tablicy CAM przełącznik będzie działał jak przełącznik i będzie wysyłał ruch sieciowy do wszystkich portów. Jest to legalny ruch, który rozsyła się wszystkich portów. W ten sposób atakujący może podsłuchiwać ruch z przełącznika.

Na czym polega atak sniffingu?

Hakerzy mogą wykorzystywać ataki sniffingowe do przechwytywania poufnych danych przesyłanych przez sieć. Poniżej kilka sposobów jak działa sniffing w sieci:

• MAC flooding

Zalewanie przełącznika adresami MAC w taki sposób, że tablica CAM przepełnia się i można sniffować.

• Zatruwanie pamięci podręcznej DNS

Zmiana rekordów pamięci podręcznej DNS w taki sposób, że przekierowuje ona żądanie do złośliwej witryny, na której atakujący może przechwycić ruch. Złośliwa witryna może wyglądać na prawdziwą, zazwyczaj atakujący tworzy ją tak, aby ofiary jej zaufały. Użytkownik może wprowadzić dane logowania, które od razu są wykrywane.

• Atak typu Evil Twin

Atakujący używa złośliwego oprogramowania do zmiany DNS ofiary. Atakujący ma już ustawiony bliźniaczy DNS (evil twin), który będzie odpowiadał na żądania. Można to łatwo wykorzystać do podsłuchiwania ruchu sieciowego i przekierowania go na stronę, którą chce zaatakować.

• MAC spoofing

Atakujący ma możliwość zebrania adresów MAC, które są podłączone do przełącznika. Urządzenie sniffujące ustawia się na ten sam adres MAC, dzięki czemu wiadomości przeznaczone dla oryginalnej maszyny dostarcza się do maszyny sniffera, ponieważ ma ona ustawiony ten sam adres MAC.

Narzędzia

• Wireshark

Opensource’owy program do przechwytywania i analizowania pakietów. Obsługuje systemy Windows, Linux itp. i jest narzędziem opartym na graficznym interfejsie użytkownika (alternatywa dla Tcpdump). Wykorzystuje on pcap do monitorowania i przechwytywania pakietów z interfejsu sieciowego. Pakiety można filtrować na podstawie IP, protokołu i wielu innych parametrów. Pakiety mogą się grupować lub oznaczać na podstawie ich istotności. Każdy z nich można wybrać i przeanalizować zgodnie z potrzebami (warto również sprawdzić ten doskonały przewodnik do certyfikacji cyberbezpieczeństwa).

• dSniff

Używa się go do analizy sieci i sniffowania haseł z różnych protokołów sieciowych. Może analizować różne protokoły (FTP, Telnet, POP, rLogin, Microsoft SMB, SNMP, IMAP itd.) w celu uzyskania informacji.
Monitor sieci Microsoft: Jak sama nazwa wskazuje, służy do przechwytywania i analizowania sieci. Używa się go do rozwiązywania problemów z siecią. Niektóre z cech tego oprogramowania to grupowanie, duża pula obsługiwanych protokołów (300+), tryb monitora bezprzewodowego, ponowne gromadzenie pofragmentowanych wiadomości itp.

Jak chronić się przed sniffingiem w sieci?

Wiadomo, że sieć działa w sposób warstwowy, a każda warstwa ma przypisane zadanie, które uzupełnia się przez kolejną. Do tej pory nie omawialiśmy, na jakiej warstwie dochodzi do ataków sniffingowych. Ataki sniffingowe działają na różnych warstwach, w zależności od motywu ataku. Sniffery mogą przechwytywać jednostki PDU z różnych warstw, ale kluczowe znaczenie mają warstwy 3 (sieć) i 7 (aplikacja). Spośród wszystkich protokołów niektóre są podatne na ataki sniffingowe. Dostępne są również zabezpieczone wersje protokołów, ale jeśli niektóre systemy nadal używają niezabezpieczonych wersji, ryzyko wycieku informacji staje się wtedy znaczniejsze.

Ochrona przed sniffingiem – podstawowe działania

1. Łącz się z zaufanymi sieciami: Czy masz zaufanie do darmowej sieci Wi-Fi oferowanej przez kawiarnię obok? Łączenie się z każdą publiczną siecią wiąże się z ryzykiem, że ruch sieciowy może być sniffowany. Atakujący wybierają takie publiczne miejsca, wykorzystując niewiedzę użytkowników. Sieci publiczne są konfigurowane, a następnie mogą, ale nie muszą być monitorowane pod kątem włamań lub błędów. Atakujący mogą albo sniffować tę sieć, albo stworzyć nową sieć o podobnej nazwie, tak aby użytkownicy podstępnie przyłączyli się do niej. Atakujący na lotnisku może utworzyć sieć Wi-Fi o nazwie “Free Airport Wi-Fi”, a użytkownicy znajdujący się w pobliżu mogą się do niej podłączyć, przesyłając wszystkie dane przez węzeł sniffera atakującego. Należy uważać, aby łączyć się tylko z tymi sieciami, do których mamy zaufanie – siecią domową, biurową itd.
2. Szyfruj!: Szyfruj cały ruch, który opuszcza system. Dzięki temu, nawet jeśli ruch ten byłby przechwycony, atakujący nie będzie w stanie go odczytać. Należy pamiętać, że bezpieczeństwo działa na zasadzie obrony w głąb. Zaszyfrowanie danych nie oznacza, że teraz wszystko jest bezpieczne. Napastnik może być w stanie przechwycić wiele danych i przeprowadzić ataki kryptograficzne, aby coś z nich wyciągnąć. Stosowanie bezpiecznych protokołów zapewnia szyfrowanie i bezpieczny ruch. Witryny korzystające z protokołu HTTPS są bezpieczniejsze od tych, które używają protokołu HTTP – jak to osiągnąć? Szyfrowanie.
3. Skanowanie i monitorowanie sieci: Sieci muszą być skanowane w poszukiwaniu wszelkiego rodzaju prób włamania lub nieuczciwych urządzeń, które mogą być skonfigurowane w trybie span w celu przechwytywania ruchu. Administratorzy sieci muszą również monitorować sieć, aby zapewnić higienę urządzeń. Zespół IT może także stosować różne techniki w celu wykrycia obecności snifferów w sieci. Jedną z nich jest monitorowanie przepustowości, audyt urządzeń, które ustawia się w trybie ogólnym itp.

Źródło: https://web.archive.org/web/20221003010559/https://www.greycampus.com/blog/information-security/what-is-a-sniffing-attack-and-how-can-you-defend-it

Karolina Błasiak