Сетевая атака на концентратор

Концентратор — это простейшее сетевое устройство, который получая пакет на один из своих портов ретранслирует его на все остальные. При этом все машины подключённые к этому концентратору получают отправленный пакет. При использования этих устройств существенно снижается пропускная способность сегмента сети. Но что гораздо важнее с точки зрения информационной безопасности, то что любой из желающих может прослушать трафик подключившись к нему. Как происходит атака на концентратор?

Атака на концентратор

Для этого можно просто подключить к концентратору несколько машин и запустить загрузочный диск Back Track или любой другой дистрибутив Linux, хоть OpenSuse.

И с помощью программы Wireshark указываем интерфейс и нажимаем старт…

Атака на концентратор

Если этой программы нет, то её можно установить через терминал введя команды:

  • команда — sudo apt-get install wireshark;
  • sudo apt-get update;
  • sudo add-apt-repository ppa:wireshark-dev/stable.

Для проверки, чтобы убедиться в этом заходим с любой машины подключенной к данному концентратору. И пробуем зайти на какой нибудь социальный сайт. Ну и авторизируемся и лучше вводим данные (не настоящие). Получаем ответ с сервера что неверный электронный адрес или пароль, но мы здесь не за этим.

Переходим в окно Wirehark и просматриваем трафик http, который передавался с локальной машины на веб сервер. И там можно увидеть логин и p@ssw0rd.

В логе @ заменён шестнадцатеричным кодом UTF-8. Но и его можно расшифровать, это вопрос лишь времени и необходимости. Безусловно социальные сети используют шифрование при передачи данных. Но тем не менее при помощи прослушивания трафика хакер может получить много для себя полезной информации.

В логе @ заменён шестнадцатеричным кодом UTF-8. Но и его можно расшифровать, это вопрос лишь времени и необходимости. Безусловно социальные сети используют шифрование при передачи данных. Но тем не менее при помощи прослушивания трафика хакер может получить много для себя полезной информации …

Атака — passive fingerprint

Например по тем серверам, к которым обращался компьютер, какая OS установлена. Какие обновления были установлены, не говоря уже о приложениях. Такие атаки называются «passive fingerprint«

Но и у концентратора есть хорошая сторона, например использование концентраторов для внутреннего подключения узлов кластера. Дело в том, что узлам кластера постоянно нужно обмениваться сообщениями (Im alive). «Я живой» эти сообщения передаются узлами друг-другу.

Так как концентратор не составляет САМ-таблицы, которые обладают некоторым временем жизни. И при выходе из строя одного узла, второй узел узнаёт об этом по истечении жизни 1 узла.

Для критичных бизнес-приложений, таких как электронная почта. Корпоративная база данных, веб сайт, простой продолжительностью в несколько секунд крайне вреден. А для карьеры системного администратора просто опасен. Так, что использование концентратора в кластерных системах вполне оправданно…

Для того, чтобы данных угроз, необходимо использовать коммутаторы. О которых мы как то уже рассказывали — коммутатор.

В случае, если же в вашей сети есть концентраторы и пока вы от них не можете отказаться. То можно в целях безопасности — заблокировать программными средствами возможность прослушивания трафика.

Проще всего это лишить пользователей административных привилегий на рабочих станций. Так же необходимо запретить работу сетевой карты в режиме получать весь трафик, а не для данной машины …

Рейтинг: 8.5 из 10.

Поделиться ссылкой: