Wykrywanie sniffingu
w sieciach przełączanych
Daniel Kaczorowski, Maciej Szmit
Podsłuch w sieciach
przełączanych prowadzi się
głównie dwiema metodami:
MAC-flooding oraz ARP-
spoofing. Jednak
 w przeciwieństwie do
klasycznego sniffingu w sieciach
zbudowanych w oparciu
o koncentratory  oba ataki są
atakami aktywnymi. Detekcja
tych metod zwykle nie jest
prosta, choć możliwa.
odróżnieniu od koncentratora (hu- my, jak tego dokonać  zaczniemy od prost-
ba), przełącznik (switch) przesyła szego przypadku, czyli MAC-floodingu.
Wramki tylko pomiędzy odpowiedni-
mi portami  tymi, do których przyłączeni są Uwaga  powódz
!
odpowiednio nadawca i odbiorca wiadomo- MAC-Flooding polega na zalaniu sieci ram-
ści. Decyzje o przesłaniu nadchodzącej por- kami ze sfałszowanymi adresami z
ródłowy-
cji danych do właściwego portu podejmowa- mi. Zazwyczaj ramki te kierowane są przez
ne są na podstawie przechowywanej w pa- intruza na adres rozgłoszeniowy lub adres
mięci switcha tablicy adresów sprzętowych nie istniejący w sieci. Ramki takie dotrą do
MAC powiązanych z numerami jego portów. naszej karty w obu przypadkach  niezale-
Switch przez cały czas swojej pracy uczy się żnie od tego, czy atak będzie udany czy nie
(na podstawie adresu nadawcy umieszczo- (jeśli agresor skieruje je do naszego sąsiada,
nego w przychodzących doń ramkach) adre- to dotrą one do nas wyłącznie w przypadku
sów sprzętowych urządzeń przyłączanych do skutecznego zalania przełącznika). Jeżeli za-
poszczególnych portów. tem ramki odbierane przez naszą kartę będą
Ze względu na taki sposób pracy swit- posiadały adres nadawcy, którego w rzeczy-
cha, tradycyjne metody podsłuchu nie mo-
gą być wykorzystywane w sieciach prze-
Z artykułu nauczysz się...
łączanych  ramki nie dochodzą do innych
użytkowników. Stosuje się w nich dwie inne
" w jaki sposób intruzi prowadzą podsłuch w sie-
metody: MAC-flooding i ARP-spoofing. Za-
ciach przełączanych,
pewne każdy administrator prędzej czy póz
- " jak wykryć sniffing w systemach Windows.
niej będzie miał do czynienia ze script kiddie,
Powinieneś wiedzieć...
uparcie próbującym przechwytywać ruch sie-
" powinieneś znać podstawy programowania
ciowy za pomocą tych metod (patrz Ramka
w języku C dla Windows.
MAC-flooding i ARP-spoofing). Takie węsze-
nie jest jednak możliwe do wykrycia. Zobacz-
70 www.hakin9.org Hakin9 Nr 6/2004
Obrona
Wykrywanie sniffingu
Do wykrywania MAC-floodingu
posłuży nam program MACMani-
MAC-flooding i ARP-spoofing
Przez krótki czas po włączeniu lub zresetowaniu switcha ramki przesyłane są na pulator (zamieszczony na CD dołą-
wszystkie porty (podobnie jak ma to miejsce w przypadku huba). Póz
niej, gdy
czonym do numeru), przeznaczone
switch zapamięta już wszystkie powiązania adresów fizycznych z portami, ramki
dla środowiska Windows darmowe
będą trafiały wyłącznie do portu powiązanego z odpowiednim adresem. Kiedy prze-
narzędzie realizujące opisane za-
pniemy jakieś urządzenie z jednego portu do innego, nie będzie ono mogło odbie-
dania. Na dodatek MACManipula-
rać ramek, dopóki samo nie wyśle jakiejś informacji, na podstawie której switch zo-
tor umożliwia przeprowadzenie sy-
rientuje się, że jest przyłączone do innego portu.
mulowanego ataku typu MAC-flo-
MAC-flooding polega na zalewaniu przełącznika bardzo dużą liczbą ramek
oding  każdy może zbadać, czy
z różnymi, nieistniejącymi w sieci z
ródłowymi adresami MAC, tak aby zapełnić pa-
używane przezeń przełączniki są
mięć przeznaczoną na przypisanie adresów do poszczególnych portów. Zalany
podatne na taką agresję. Narzę-
przełącznik zaczyna zachowywać się jak zwykły koncentrator  przesyła otrzyma-
dzie wymaga zainstalowanej biblio-
ne ramki na wszystkie swoje porty. Metoda ta jest skuteczna tylko w odniesieniu do
tańszych przełączników, w których pamięć na odwzorowania MAC-numer portu jest teki WinPcap (patrz Ramka W Sie-
mała i wspólna dla wszystkich portów.
ci)  w zestawie jest jednak dołą-
ARP-spoofing jest metodą bardziej skuteczną, nie atakuje bowiem przełącz-
czona jej wersja 3.0. W celu prze-
nika, ale samą ofiarę, która wysyła informacje pod niewłaściwy adres fizyczny.
prowadzenia testu wykrywające-
Atak ten polega na podszywaniu się agresora pod jeden z komputerów w sieci
go atak należy wybrać podprogram
lokalnej (często, z oczywistych względów, pod bramę do Internetu) poprzez wy-
AntyMACflooding. Główne okno
syłanie sfałszowanych pakietów ARP-Reply zawierających podrobione odwzoro-
podprogramu przedstawione jest
wanie (czyli powiązanie adresów IP z adresami MAC), które informuje ofiarę, że
na Rysunku 1.
fizyczny adres owej bramy to adres w rzeczywistości należący do maszyny agre-
Przystępując do testu musimy
sora. W ten sposób to, co powinno trafić do bramy, trafia do intruza, który  aby
wybrać kartę sieciową (jeśli w kom-
atak pozostał niezauważony  powinien przesłać otrzymane pakiety do prawdzi-
puterze występuje więcej niż jedna
wej bramy.
Warto zauważyć, że odwzorowania ARP przechowywane w pamięci pod- karta), przez którą będzie prowadzo-
ręcznej (ARP-cache) switcha uaktualniane są przez system nawet w przypad- na analiza. Wyboru dokonujemy po-
ku, gdy odbierze on pakiet ARP-reply. Dzieje się tak nawet mimo tego, że switch
przez zaznaczenie jednego z pól li-
nie wysyłał zapytania ARP-request. Znacznie ułatwia to działanie włamywa-
sty, w której są widoczne identyfika-
czom.
tory wszystkich dostępnych w sys-
Dokładne informacje na temat obu rodzajów ataków można znalez
ć w Artyku-
temie interfejsów sieciowych. Użyt-
le Sniffing w sieciach przełączanych dostępnym w wersji elektronicznej na dołączo-
kownik ma także możliwość poda-
nym Hakin9 Live.
nia czasu zbierania danych (czyli ad-
resów fizycznych MAC) komputerów
wistości nie ma w naszej sieci, bę- co gorsza  wiele ramek) nie zaadre- znajdujących się w sieci oraz cza-
dzie to oznaczało, że ktoś próbuje sowaną do nas, to możemy podejrze- su analizowania odbieranych przez
zalać (ang. flood) przełącznik. Po- wać, że nasz przełącznik jest zalany, kartę ramek  dłuższy czas bada-
zostaje tylko sprawdzić, jakie adre- czyli że mamy do czynienia z udanym nia zwiększa dokładność pracy na-
sy MAC rzeczywiście znajdują się atakiem typu MAC-Flooding. rzędzia.
w naszej sieci. Wykrycie ataku prowadzo- Po zebraniu informacji o adre-
Może się też zdarzyć, że w sie- nego z wykorzystaniem metody sach fizycznych program rozpocznie
ci pojawi się ramka zaadresowana MAC-flooding polega na przeana- przechwytywanie i analizę nadcho-
do komputera nieznanego przełącz- lizowaniu wszystkich ramek docie- dzących ramek. Po upłynięciu okre-
nikowi  wówczas switch zachowa rających do naszej karty sieciowej. ślonego wcześniej czasu wyświetla-
się jak zwyczajny koncentrator i bę- W nieatakowanej sieci przełączanej na jest statystyka. Odbierane ramki
dzie tę ramkę wysyłał na wszystkie powinny do niej trafiać ramki roz- przyporządkowywane są do odpo-
swoje porty. Taka sytuacja nie po- głoszeniowe (broadcast), grupowe wiednich grup:
winna jednak mieć miejsca  prze- (multicast) oraz ramki zaadreso-
cież zanim ktoś wyśle ramkę do ja- wane do naszego komputera. Każ- " ramek rozgłoszeniowych (broad-
kiegoś komputera, zapyta go o ad- dy administrator powinien mieć go- cast),
res fizyczny (w przypadku stosu pro- tową odpowiednią listę adresów fi- " ramek grupowych (multicast),
tokołów TCP/IP za pomocą broad- zycznych komputerów w sieci, ale " ramek adresowanych do konkret-
castowego zapytania ARP-request), zapominalskim przydałby się pro- nej karty sieciowej,
a ten odpowie odpowiednią ramką gram pytający (przy użyciu proto- " ramek adresowanych do innych
ARP-reply, z której przełącznik na- kołu ARP) wszystkie adresy IP sie- użytkowników.
uczy się lokalizacji komputera o tym- ci lokalnej o ich adresy fizyczne,
że adresie MAC. Tak więc jeśli nasz a następnie analizujący ruch przy- Ramki z adresem fizycznym nie na-
interfejs sieciowy odbierze ramkę (a chodzący do naszej karty. leżącym do żadnego z komputerów
2004 Hakin9 Nr 6/2004 www.hakin9.org
71