Hlavní navigace

Odposloucháváme data na přepínaném Ethernetu (1.)

 Autor: 29
Martin Haller 13. 6. 2006

Tento seriál se bude věnovat způsobům, jakými se dají zjistit hesla a komunikace lidí sídlících ve stejné LAN. Budu zde vysvětlovat různé používané techniky a také nastíním praktické použití. Předem ale varuji, že odposlouchávání cizí komunikace může být trestné a nemorální. Před zkoušením některých technik je navíc třeba zjistit, zda jimi nebudete porušovat smlouvu se svým poskytovatelem připojení.

Základy

Co je to odposlouchávání dat na ethernetu?

Jedná se o proces zachytávání všech dat, která se pohybují po síti. V angličtině je tento termín označován jako sniffing.

K čemu je to dobré?

Zachycená data můžeme použít pro analýzu provozu na síti, například kvůli vytížení nebo zjištění používaných služeb a protokolů. Dá se třeba odhalit aktivita nějakého trojského koně nebo spyware. Můžeme je použít pro porozumění nějakému protokolu, který nemá dostupnou dokumentaci. V neposlední řadě se odposlouchávání dat využívá k získávání cizích uživatelských jmen a hesel. Kromě hesel nás také může zajímat cizí komunikace.

Jak se adresují data? (pouze Ethernet a IPv4)

Existuje spousta typů sítí, ale v článku budu rozebírat pouze síť nejpoužívanější, tu, kterou téměř všichni využíváme, a tou je síť Ethernet (s použitím protokolu IPv4). Pro více informací navštivte stránky o Ethernetu a IP na Wikipedii.

Chceme-li doručit někomu nějaká data, musíme ho umět něčím identifikovat. V Ethernetu se k identifikaci používá MAC adresa a IP adresa zároveň. Každá z těchto adres ale leží v jiné vrstvě.

MAC adresa je dlouhá šest bytů a je hardwarově svázaná se síťovým zařízením, které pracuje na linkové vrstvě; není to ovšem pravidlo. Každá tato adresa by měla být jedinečná. Její hlavní význam je na lokálních sítích, kde jsou spojovacími prvky switche nebo huby. Tuto adresu můžeme ale lehce zfalšovat.

IP adresa má délku čtyři byty a jedná se pouze o logickou adresu, která je přiřazena počítači nebo zařízení pracujícímu na síťové vrstvě. Tuto adresu nastavujeme například v operačním systému a její hlavní role je v rozsáhlých sítích – například v Internetu.

Veškerá poslaná data jsou tedy opatřena čtyřmi adresami. Jedná se o adresy IP a MAC cílového PC (může být i zařízení) a IP a MAC adresy zdrojového PC (také může být i zařízení). Adresujeme-li data mimo lokální síť určenou maskou podsítě, adresa MAC ztrácí na významu, jelikož se v průběhu putování paketu mění.

Znáte svoji MAC adresu?

Chcete-li s někým komunikovat, musíte znát jeho MAC a IP adresu. Naštěstí ale stačí znát jenom jeho IP adresu a o překlad na MAC adresu se postará protokol ARP. Je to stejné, jako když chcete komunikovat se serverem wikipedia.com: stačí vám znát jen jeho jméno, protože o překlad jména www.wikipedia.com na IP adresu se postará protokol DNS.

Jaký je rozdíl mezi přepínaným a nepřepínaným Ethernetem?

Název přepínaný a nepřepínaný vznikl ze způsobu zpracování dat spojovacími prvky. Pro vysvětlení použijeme hub jako zástupce prvku nepřepínaného Ethernetu a switch jako jeho protějšek. Hub dostane na jeden svůj port data, ale nezajímá se, pro koho jsou, a jednoduše je rozešle na všechny ostatní porty. Switch se zachová k příchozím datům tak, že se podívá na adresu MAC cílového počítače a podle toho, na který port je počítač připojen, jsou data odeslána.

komunikace po Ethernetu

Hub je tedy nebezpečný?

Ano, jsou vám k dispozici data všech počítačů připojených k hubu. Ovšem i switche jsou nebezpečné, ale vyžadují použití pokročilejších technik, kterým se budeme věnovat v dalších dílech seriálu.

Jaká je praxe a odposlouchávání dat na nepřepínaném Ethernetu?

Ze všeho nejdříve je potřeba nastavit síťovou kartu do promiskuitního režimu. Síťová karta v normálním režimu propouští dále pouze data, která jsou pro ni určena. Jestliže MAC adresa našeho PC = MAC adrese PC, kterému jsou data určena, propustí je dále a předá operačnímu systému. Jinak jsou data ignorována. V promiskuitním režimu síťová karta propouští veškerá data.

Pro zachytávání paketů je potřeba nějaký program. V tomto článku si to zkusíme s programem Ethereal. Program slouží k zachytávání a prohlížení zachycených dat. Práce s ním je jednoduchá a sám přepne síťovou kartu do promiskuitního režimu. Síla tohoto programu je hlavně v přehledném prohlížení a filtrování zachycené komunikace. Sám sice nenabízí pokročilé techniky pro zachytávání dat na přepínané sítí, ale slouží k následné analýze zachycených dat, což většina programů neumožňuje. Program existuje jak ve variantě pro Linux, tak i pro Windows. Je-li váš počítač připojen do hubu, zachytíte veškerá data, která jdou přes hub. Je-li váš počítač připojen do switche, budou zachycena pouze data, která jsou určena pro váš počítač, a data, která jsou z něj odesílána.

CIF16

Ethereal

Závěr

Dnes jsme si vysvětlili základní věci, které budou potřebné pro pochopení dalších článků. Pokud jste zde nějakému tématu příliš neporozuměli, zkuste použít vyhledávač. O těchto základních věcech najdete spoustu informací v češtině. Jestli ale víte, jak se adresují data v LAN, jaký je rozdíl mezi MAC a IP adresou, víte, co to je referenční model ISO OSI, a znáte základní síťové prvky, pak pro vás další díly nebudou problém.

Těm znalejším, kteří přeskočili celý článek a čtou jen závěr, a nebo budou psát příspěvek v tom smyslu, že tento článek je o ničem, se omlouvám. Příští články už budou více pro vás. Chtěl bych zde například rozebrat tyto techniky: ARP Cache poisoning, MAC Flooding, DNS Spoofing, DHCP Spoofing a jiné. Máte-li nějaké připomínky nebo návrhy, rád si je přečtu a budu na ně reagovat.

Anketa

K čemu je připojen váš počítač?

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír