Что такое анализ сетевого трафика или как найти потенциальный канал утечки информации?

Всем доброго времени суток!


В этой статье мы поговорим о том, что такое анализ сетевого трафика, и на основе небольшого домашнего теста сделаем выводы о необходимости использования данных мер.


Анализ сетевого трафика — это совокупность информационно-технологических и инженерно-технических мер по приёму и обработке трафика. Анализ может использоваться для борьбы с угрозами ИБ, а может — и в противоправных целях. В настоящее время подготавливаются новые законопроекты, предусматривающие ужесточение наказания за компьютерные атаки. В частности, в статью 272 Уголовного кодекса РФ («Неправомерный доступ к компьютерной информации») предложено внести целую новую часть (пятую), которая предусмотрит ответственность за преступления, если они «повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления». Наказание — лишение свободы на срок до десяти лет (сегодня самое суровое наказание — до семи лет).


В рамках конкретного программного обеспечения может быть реализовано получение сетевых пакетов. На этом этапе мы получаем необработанный сетевой пакет, разделенный на разделы по границам пакетов. Если мы используем анализатор трафика (под анализатором трафика мы будем подразумевать программное обеспечение), то в итоге мы должны получить результат в читаемом формате. Для этого используется декодирование пакетов.

Например, был получен сетевой пакет, посредством анализатора трафика:

анализ сетевого трафика

Полученный материал состоит из трех колонок: смещение каждой линии, данные в шестнадцатеричном формате и их ASCII-эквивалент.


В некоторых случаях для получения нужной нам информации достаточно и такого представления, но гораздо удобнее, чтобы пакет был декодирован и проанализирован на всех уровнях сетевой модели OSI (Open Systems Interconnection Basic Reference Model).


Например, следующий вид информации:


ETHER: Destination address: 0000BA5EBA11

ETHER: Source address: 00A0C9B05EBD

ETHER: Frame Length: 1514 (0x05EA)

ETHER: Ethernet Type: 0x0800 (IP)

IP: Version = 4 (0x4)

IP: Header Length = 20 (0x14)

IP: Service Type = 0 (0x0)

IP: Precedence = Routine

И т.д.


Виды анализа/анализаторов (снифферов) трафика.


Анализ трафика по месторасположению, анализатор трафика может работать:


На маршрутизаторе (шлюзе).

В данном случае мы можем получать трафик, проходящий через интерфейсы данного шлюза. Следовательно, если установить анализатор трафика на маршрутизаторе провайдера Интернет, мы можем просматривать трафик его пользователей.


На оконечном узле сети.

Если применять анализатор трафика к Ethernet мы будем иметь два варианта получения сетевого трафика. Классический, некоммутируемый Ethernet предполагает, что каждый сетевой интерфейс просматривает весь трафик своего сегмента. В обычном режиме мы можем получать и анализировать только собственный трафик. Для получения пакетов всех станций сегмента требуется перевести сетевую карту в режим прослушивания, чтобы она продолжала просматривать не предназначенные ей пакеты. Анализаторы трафика общего использования отличаются в основном функциональными возможностями, и предназначены для анализа собственного трафика.

Анализаторы трафика широко используются системными администраторами для обнаружения проблем и узких мест сети. В прослушивающем режиме, когда анализатор работает в некоммутируемом сегменте или на шлюзе, мы можем получить полную информацию обо всех событиях, происходящих в нашей сети.

Для решения задачи анализа сетевого трафика было разработано ПО для получения сетевых пакетов. Программное обеспечение разработано в ОС Linux (Ubuntu) и написано на языке программирования Python, с использованием Linux API и графической библиотеки Tkinter.


Следующим этапом стало тестирование разработанного ПО. Приведем небольшую иллюстрацию работы простейшего анализатора трафика. Для запуска программы используем “Терминал”:

Открываем директорию, где находится наша программа. Используем команду “chmod” для изменения режима доступа к файлу. Запускаем:

Результат. Получение сетевых пакетов:

анализ сетевого трафика

При дальнейшем тестировании (в домашней сети) были обнаружены входящие и исходящие сетевые пакеты проигрывателя мультимедиа “Apple TV”:

сетевой трафик

В процессе дешифрования были получены следующие данные:


· Отправитель: 192.168.1.134, порт 233

· Получатель: 224.0.0.251, порт 233


В документе RFC 1700 есть информация о том, что 233 порт зарезервирован, но неизвестно за кем, в чем и состоит проблема, связанная с возможной утечкой информации.

снифферы

Использование анализатора трафика позволяет выявлять причину и источник компьютерных атак и возможные (потенциальные!) каналы утечки информации, которые требуют дальнейшего исследования!


Исходник сниффера:

https://github.com/CyberDen1/SnifferPy

Курс по этичному хакингу: cyberden.pw/kurs

Сайт нашей команды: cyberteam.tech/pentest

TG-канал: https://t.me/cyberden_team


hack@cyberden.pw