0 знаков
15. Дополнительно про захват сетевого трафика (сниффинг)
Кратко- Умение захватывать сетевой трафик полезно на этапе разведки.
- Коммутаторы отправляют пакеты на нужный порт, а не на все порты, как концентраторы.
- Для захвата пакетов в такой сети можно использовать SPAN или TAP.
- Сетевая карта компьютера имеет MAC-адрес, который определяет, какие кадры она принимает.
- В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.
- Захват трафика лучше производить устройством, настроенным в режиме listen only.
- Сетевая карта отбрасывает кадры, у которых не сходится контрольная сумма или имеющие неправильный размер.
В предыдущем уроке мы научились захватывать трафик с помощью Wireshark и tcpdump и разобрались, почему это было так просто сделать на виртуальном стенде GOAD.
Умение захватывать сетевой трафик для его последующего анализа является полезным навыком на этапе разведки, поэтому продолжим разбираться в тонкостях.
После хабов появились коммутаторы. Коммутаторы, в отличии от концентраторов, при получении пакета отправляют его на нужный, а не на все порты. То есть все остальные порты никогда не увидят этот пакет (если он не широковещательный (broadcast) или многоадресный (multicast)), включая устройство захвата трафика. Напомню, коммутатор - устройство второго уровня и работают с MAC-адресами устройств.
Что же делать, чтобы захватить пакеты в такой сети? Хотя бы часть сетевого трафика? Поговорим об этом далее
SPAN и TAP
Если у вас есть доступ к коммутатору и у него есть функция SPAN, то проблем с захватом сетевого трафика, проходящего через этот коммутатор у вас не возникнет.
Другим способом захвата является использование ответвителя сетевого трафика (TAP) - аппаратное устройство для перехвата, дублирования и передачи в аналитические системы.
Мы ушли немного в сторону. Как правило, доступ у нас есть только к сетевой розетке или компьютеру, подключённому к ней. Вернёмся назад.
Сетевая карта
Сетевая карта компьютера имеет уникальный (почти) физический адрес, который называется MAC-адресом. Проблема захвата сетевого трафика состоит в том, что в нормальном режиме работы сетевая карта принимает только те кадры, которые адресованы ей. Тогда как работает захват трафика при помощи Wireshark и tcpdump, которые мы рассмотрели ранее?
Было бы неплохо отключить фильтр MAC-адресов. И это возможно. Такой режим работы сетевой карты называется неразборчивым (Promiscuous Mode).
В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.
Такие программы как Wireshark и tcpdump по умолчанию включают Promiscuous Mode при захвате трафика.
Что ещё важно при захвате сетевого трафика? Захват трафика лучше производить устройством не участвующем в обмене данными и настроенном в режиме listen only - прием кадров.
То что сетевая карта выкидывает все кадры, которые ей не адресованы мы выяснили. Но и это не все. Она также отбрасывает все кадры, у которых не сходится контрольная сумма, слишком большого или маленького размера.
По этому вопросу, думаю, хватит. Если хотите углубиться в данный материал, то рекомендую прочитать следующий цикл статей.
Статьи для самостоятельного изучения- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
- [ссылка доступна авторизованным пользователям]
Далее мы будем учиться сканировать порты найденных активных хостов.
Тест
Похожие уроки Codebra
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ
Подписывайся на наш Telegram-канал!
Новости, полезный материал,
программирование и ИБ