FAQ sobr sniffers

Started by _Dr4k0_, 01 de August , 2006, 09:28:33 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

_Dr4k0_

01 de August , 2006, 09:28:33 PM
Aqui tem uma pequena FAQ sobre Sniffer escrito por Chri

stopher William Klaus que trabalha no sistema de segurança de computadores.



1. O que é sniffer e como ele funciona?

   Computadores em rede compartilham canais de comunicação. Isso é, obviamente, muito

mais barato que passar um cabo para cada par de computadores e usar um switch (hub) pra co

mutar as conexões. Neste canais compartilhados, computadores podem receber informações env

iadas a outros computadores. A ação de capturar informações destinadas a uma outra máquina

é chamada sniffing.

   O padrão Ethernet envia um pacote para todas as máquinas em um mesmo segmento. O c

abecalho do pacote contem o endereço da máquina destino. Supoe-se que somente a máquina qu

e tenha o endereço contido no pacote receba-o. Diz-se que um computador está em modo promí

scuo quando o mesmo captura todos os pacotes, independentemente de serem ou não destinados

a ele.

   Em um ambiente de rede normal, os nomes e as senhas dos usuários sao passadas atra

ves da rede em claro, ou seja, texto não criptografado. Não é dificil, portanto, um intrus

o utilizando uma máquina com interface de rede em modo promíscuo, obter qualquer senha,

inclusive a do root, usando um sniffer.



2. Como detectar um ataque de um sniffer?

   Para detectar um dispositivo sniffer que somente coleta dados e não responde a nen

huma solicitacao, é necessario o exame fisico de todas as conexões ethernet e a verificaçã

o individual das interfaces.

   Um sniffer, rodando em uma máquina, coloca a interface de rede em modo promíscuo

com o intuito de capturar todos os pacotes de um determindado segmento. Na maioria dos si

stemas Unix é possivel detectar uma interface promiscua.

   Note que é possivel usar um sniffer em modo não promíscuo, porem somente poderao

ser capturados os pacotes enderecados para a máquina onde ele está rodando.

   Para SunOs, NetBSD, e diversos derivados de BSD Unix systems, o comando "ifconfig

 -a" mostrará informações relativas a todas as interfaces.

   A utilização do comando "ifconfig" no DEC OSF/1, IRIX e em alguns outros Unix,

requer que o dispositivo seja especificado. Uma maneira de saber o nome deste dispositivo

 é utilizar o comando "netstat -r"

   Assim, para testar a interface utiliza-se o comando "ifconfig le0".

   No Ultrix é possivel detectar o uso de sniffer com os comandos pfstat e pfconfig.

   pfconfig mostra quem está rodando o sniffer e o pfstat mostra se a interface está

ou não em modo promíscuo.

   Em sistemas como Solaris, SCO e algumas versoes do Irix, não existe indicação de

 modo promíscuo, não havendo, portanto, maneiras de detectar o uso do sniffer.

   Como o volume de informações que trafegam em uma rede tente a ser grande, grande

 também sera o tamanho do log gerado pelo programa sniffer. Pacotes como o tigger tentam

encontrar arquivos de log, com esta característica.

   É altamente recomendado o uso da ferramenta lsof

(disponível em ftp://coast.cs.purdue.edu/pub/Purdue/lsof) para procurar arquivos de log e

programas acessando dispositivos como o /dev/nit (no caso do SunOS).

   Não são conhecidos comandos para detectar um IBM PC compativel em modo promíscuo.



3. Bloqueando ataques de sniffer

   Hubs ativos e switches enviam um pacote somente para a máquina destino, tornando a

 ação no sniffer sem efeito. Note que isto somente funciona em circuitos 10 base T.





  (texto enviado por «« Gµ§†åVø »» - ICQ UIN: 99269252)



  (Autor desconhecido)

Fonte:txt.org
100% Livre!!!Livre para escolher o que há de melhor no Windows e Linux. Livre de preconceito direto ou inverso!
Adote essa filosofia e tenha mais chance de sucesso profissional.
Print
Go Up Pages1
User actions