Hlavní navigace

Odposloucháváme data na přepínaném Ethernetu (1.)

13. 6. 2006
Doba čtení: 4 minuty

Sdílet

 Autor: 29
Tento seriál se bude věnovat způsobům, jakými se dají zjistit hesla a komunikace lidí sídlících ve stejné LAN. Budu zde vysvětlovat různé používané techniky a také nastíním praktické použití. Předem ale varuji, že odposlouchávání cizí komunikace může být trestné a nemorální. Před zkoušením některých technik je navíc třeba zjistit, zda jimi nebudete porušovat smlouvu se svým poskytovatelem připojení.

Základy

Co je to odposlouchávání dat na ethernetu?

Jedná se o proces zachytávání všech dat, která se pohybují po síti. V angličtině je tento termín označován jako sniffing.

K čemu je to dobré?

Zachycená data můžeme použít pro analýzu provozu na síti, například kvůli vytížení nebo zjištění používaných služeb a protokolů. Dá se třeba odhalit aktivita nějakého trojského koně nebo spyware. Můžeme je použít pro porozumění nějakému protokolu, který nemá dostupnou dokumentaci. V neposlední řadě se odposlouchávání dat využívá k získávání cizích uživatelských jmen a hesel. Kromě hesel nás také může zajímat cizí komunikace.

Jak se adresují data? (pouze Ethernet a IPv4)

Existuje spousta typů sítí, ale v článku budu rozebírat pouze síť nejpoužívanější, tu, kterou téměř všichni využíváme, a tou je síť Ethernet (s použitím protokolu IPv4). Pro více informací navštivte stránky o Ethernetu a IP na Wikipedii.

Chceme-li doručit někomu nějaká data, musíme ho umět něčím identifikovat. V Ethernetu se k identifikaci používá MAC adresa a IP adresa zároveň. Každá z těchto adres ale leží v jiné vrstvě.

MAC adresa je dlouhá šest bytů a je hardwarově svázaná se síťovým zařízením, které pracuje na linkové vrstvě; není to ovšem pravidlo. Každá tato adresa by měla být jedinečná. Její hlavní význam je na lokálních sítích, kde jsou spojovacími prvky switche nebo huby. Tuto adresu můžeme ale lehce zfalšovat.

IP adresa má délku čtyři byty a jedná se pouze o logickou adresu, která je přiřazena počítači nebo zařízení pracujícímu na síťové vrstvě. Tuto adresu nastavujeme například v operačním systému a její hlavní role je v rozsáhlých sítích – například v Internetu.

Veškerá poslaná data jsou tedy opatřena čtyřmi adresami. Jedná se o adresy IP a MAC cílového PC (může být i zařízení) a IP a MAC adresy zdrojového PC (také může být i zařízení). Adresujeme-li data mimo lokální síť určenou maskou podsítě, adresa MAC ztrácí na významu, jelikož se v průběhu putování paketu mění.

Znáte svoji MAC adresu?

Chcete-li s někým komunikovat, musíte znát jeho MAC a IP adresu. Naštěstí ale stačí znát jenom jeho IP adresu a o překlad na MAC adresu se postará protokol ARP. Je to stejné, jako když chcete komunikovat se serverem wikipedia.com: stačí vám znát jen jeho jméno, protože o překlad jména www.wikipedia.com na IP adresu se postará protokol DNS.

Jaký je rozdíl mezi přepínaným a nepřepínaným Ethernetem?

Název přepínaný a nepřepínaný vznikl ze způsobu zpracování dat spojovacími prvky. Pro vysvětlení použijeme hub jako zástupce prvku nepřepínaného Ethernetu a switch jako jeho protějšek. Hub dostane na jeden svůj port data, ale nezajímá se, pro koho jsou, a jednoduše je rozešle na všechny ostatní porty. Switch se zachová k příchozím datům tak, že se podívá na adresu MAC cílového počítače a podle toho, na který port je počítač připojen, jsou data odeslána.

komunikace po Ethernetu

Hub je tedy nebezpečný?

Ano, jsou vám k dispozici data všech počítačů připojených k hubu. Ovšem i switche jsou nebezpečné, ale vyžadují použití pokročilejších technik, kterým se budeme věnovat v dalších dílech seriálu.

Jaká je praxe a odposlouchávání dat na nepřepínaném Ethernetu?

Ze všeho nejdříve je potřeba nastavit síťovou kartu do promiskuitního režimu. Síťová karta v normálním režimu propouští dále pouze data, která jsou pro ni určena. Jestliže MAC adresa našeho PC = MAC adrese PC, kterému jsou data určena, propustí je dále a předá operačnímu systému. Jinak jsou data ignorována. V promiskuitním režimu síťová karta propouští veškerá data.

Pro zachytávání paketů je potřeba nějaký program. V tomto článku si to zkusíme s programem Ethereal. Program slouží k zachytávání a prohlížení zachycených dat. Práce s ním je jednoduchá a sám přepne síťovou kartu do promiskuitního režimu. Síla tohoto programu je hlavně v přehledném prohlížení a filtrování zachycené komunikace. Sám sice nenabízí pokročilé techniky pro zachytávání dat na přepínané sítí, ale slouží k následné analýze zachycených dat, což většina programů neumožňuje. Program existuje jak ve variantě pro Linux, tak i pro Windows. Je-li váš počítač připojen do hubu, zachytíte veškerá data, která jdou přes hub. Je-li váš počítač připojen do switche, budou zachycena pouze data, která jsou určena pro váš počítač, a data, která jsou z něj odesílána.

BRAND24

Ethereal

Závěr

Dnes jsme si vysvětlili základní věci, které budou potřebné pro pochopení dalších článků. Pokud jste zde nějakému tématu příliš neporozuměli, zkuste použít vyhledávač. O těchto základních věcech najdete spoustu informací v češtině. Jestli ale víte, jak se adresují data v LAN, jaký je rozdíl mezi MAC a IP adresou, víte, co to je referenční model ISO OSI, a znáte základní síťové prvky, pak pro vás další díly nebudou problém.

Těm znalejším, kteří přeskočili celý článek a čtou jen závěr, a nebo budou psát příspěvek v tom smyslu, že tento článek je o ničem, se omlouvám. Příští články už budou více pro vás. Chtěl bych zde například rozebrat tyto techniky: ARP Cache poisoning, MAC Flooding, DNS Spoofing, DHCP Spoofing a jiné. Máte-li nějaké připomínky nebo návrhy, rád si je přečtu a budu na ně reagovat.

K čemu je připojen váš počítač?

Byl pro vás článek přínosný?

Autor článku

Autor je spolumajitelem firmy PATRON-IT a celým srdcem technik. Specializuje se na kybernetickou bezpečnost a má zkušenosti etického hackera. Věří, že aby mohl síť dobře zabezpečit, musí ji nejprve umět prolomit.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).