Некоторая часть трафика может оказаться зашифрованной. Это касается таких протоколов, как HTTPS, SSH, SMTP/TLS, IPSec и других. В некоторых случаях весь трафик между определенными узлами или сетями подвергается шифрованию – это называется VPN-туннель. Во всех протоколах, даже простейших, сейчас используются стойкие алгоритмы шифрования, дешифровать которые без знания ключа не стоит даже пытаться.
Столкнувшись с зашифрованным трафиком, можно узнать немногое: установить сам факт сетевой активности, ее приблизительный объем, а также установить IP-адреса взаимодействующих узлов (кроме случая VPN-туннеля).
Для решения указанной задачи следует установить, где именно производится шифрование, и перехватывать трафик в том месте, где он идет открытым.
Например, производя перехват трафика на внешнем интерфейсе «vr0» сервера доступа, мы увидели следующую картину:
Столкнувшись с зашифрованным трафиком, можно узнать немногое: установить сам факт сетевой активности, ее приблизительный объем, а также установить IP-адреса взаимодействующих узлов (кроме случая VPN-туннеля).
Для решения указанной задачи следует установить, где именно производится шифрование, и перехватывать трафик в том месте, где он идет открытым.
Например, производя перехват трафика на внешнем интерфейсе «vr0» сервера доступа, мы увидели следующую картину:
По контенту пакетов очевидно, что мы имеем дело с шифрованным трафиком. Это подтверждается характерным номером порта (5000), который часто используется для организации VPN-туннелей. Перехватывать такой VPN-трафик бессмысленно. Нужно перехватывать его до входа в туннель или после выхода из него. В данном случае, поскольку туннель терминируется на этом же компьютере, достаточно изменить интерфейс перехвата – вместо физического интерфейса «vr0» взять виртуальный интерфейс «tun0», соответствующий программному VPN-туннелю. То есть запустить снифер «tcpdump» с параметром «-i tun0».
И мы увидим тот же трафик, но уже вне VPN-туннеля. Из шести видимых пакетов 3-й относится к протоколу NETBIOS, 4-й – к протоколу ICMP, 5-й и 6-й пакеты – к протоколу SMTP. А контент первых двух пакетов по прежнему зашифрован: эти пакеты относятся к протоколу SSH со встроенным шифрованием. Получить их в открытом виде перехватом трафика в ином месте нельзя, поскольку шифрование здесь происходит на более высоком уровне.
Кстати, этот пример еще раз подтверждает высказанный ранее тезис, что при перехвате сетевого трафика необходимо знать сопутствующую конфигурацию оборудования. В данном примере – конфигурацию интерфейсов сервера доступа. Только благодаря знанию этой конфигурации мы определили, где следует перехватывать трафик, чтобы получить его в нешифрованном состоянии.
Кстати, этот пример еще раз подтверждает высказанный ранее тезис, что при перехвате сетевого трафика необходимо знать сопутствующую конфигурацию оборудования. В данном примере – конфигурацию интерфейсов сервера доступа. Только благодаря знанию этой конфигурации мы определили, где следует перехватывать трафик, чтобы получить его в нешифрованном состоянии.
Комментариев нет:
Отправить комментарий