W A R S Z A W S K A

W Y S Z A S Z K O A I N F O R M A T Y K I





P RACA DY P L OMOWA
S T U D I A P O D Y P L O M O W E



mgr in. Leszek IGNATOWICZ
Numer albumu 110/EFS


Analizator Wireshark w procesie wykrywania zagroe
bezpieczestwa sieci teleinformatycznej



Promotor:
dr in. Krzysztof RANOWSKI




W A R S Z A W A 2008


2
Spis treci:
1. Wprowadzenie........................................................................................................................ 3
1.1. Proces bezpieczestwa sieci teleinformatycznej ............................................................. 3
1.2. Monitorowanie bezpieczestwa sieci teleinformatycznej ............................................... 4
1.3. Wykrywanie zagroe bezpieczestwa sieci teleinformatycznej.................................... 5
2. Charakterystyka analizatorw sieci (snifferw) ..................................................................... 5
2.1. Analiza sieci i sniffing..................................................................................................... 5
2.2. Charakterystyka najczciej spotykanych analizatorw sieci (snifferw) ...................... 6
2.3. Zastosowanie analizatorw sieci jako narzdzi administratorskich................................ 6
2.4. Sniffer jako narzdzie wykorzystywane do atakw sieciowych ..................................... 7
2.5. Ochrona przed pasywnymi atakami sieciowymi wykorzystujcymi sniffery................ 7
3. Analizator sieci Wireshark ..................................................................................................... 9
3.1. Krtka historia analizatora Wireshark........................................................................... 10
3.2. Zalety analizatora Wireshark......................................................................................... 10
3.3. Instalacja Wiresharka na platformie Windows.............................................................. 10
3.4. Instalacja Wiresharka w systemach Linuxowych.......................................................... 11
3.5. Charakterystyka analizatora Wireshark......................................................................... 11
3.6. Przegld niektrych protokow przechwytywanych przez Wiresharka - przykady ... 16
4. Wykrywanie i analizowanie zagroe bezpieczestwa........................................................ 20
4.1. Wykrywanie systemu operacyjnego (ang. OS fingerprinting) ...................................... 21
4.2. Skanowanie portw....................................................................................................... 23
4.3. Ataki sieciowe ............................................................................................................... 26
4.3.1. Ping of Death.......................................................................................................... 26
4.3.2. Teardrop Attack...................................................................................................... 27
4.3.3. Land Attack ............................................................................................................ 27
4.3.4. Smurf ...................................................................................................................... 28
4.3.5. ICMP Destination Unreachable.............................................................................. 28
5. Analiza ruchu sieciowego w usugach publicznych bez mechanizmw zabezpiecze........ 29
5.1. Telnet ............................................................................................................................. 29
5.2. FTP ................................................................................................................................ 33
6. Podsumowanie...................................................................................................................... 34
7. Wykaz literatury ................................................................................................................... 35


3
1. Wprowadzenie
Zapewnienie bezpieczestwa sieci teleinformatycznej jest jednym z najwaniejszych
zada administratora sieci. Zadowalajce wywizanie si z tego zadania wymaga
potraktowania bezpieczestwa jako procesu, a nie jako ustalonego, niezmiennego stanu.
Proces ten skada z kilku podprocesw, miedzy innymi z monitorowania bezpieczestwa sieci
teleinformatycznej.
1.1. Proces bezpieczestwa sieci teleinformatycznej
Proces utrzymania bezpieczestwa sieci teleinformatycznej, przy zaoonym
akceptowalnym poziomie ryzyka skada si z czterech podprocesw (procesw skadowych):
A. Ocena (ang. Assessment) proces ten obejmuje odniesienie do polityki
bezpieczestwa, ustalenie obowizujcych zasad bezpieczestwa (ang.
policies), procedur, regulacji prawnych oraz innych funkcji dotyczcych
pozostaych podprocesw.
B. Ochrona (ang. Protection) traktowana nie tylko jako podany stan, ale
proces stosowania odpowiednich rodkw zabezpieczajcych przed
skompromitowaniem sieci teleinformatycznej.
C. Wykrywanie (ang. Detection) proces identyfikacji (monitorowania)
narusze zasad bezpieczestwa oraz innych nieautoryzowanych dziaa w
sieci teleinformatycznej temat ten bdzie rozwinity w dalszej czci
niniejszej pracy.
D. Reakcja (ang. Response) obejmuje dziaania wynikajce z informacji
uzyskanych w poprzednim podprocesie, ktre dotycz utrzymania
skutecznego dziaania rodkw ochrony zastosowanych w procesie B oraz
likwidacj skutkw naruszenia bezpieczestwa sieci [2].

Proces bezpieczestwa sieci teleinformatycznej mona zilustrowa graficznie w
sposb pokazany na rysunku 1. Warto zwrci uwag, e podprocesy pokazane na tym
rysunku tworz zamknity cykl, co obrazuje cigo procesu utrzymania bezpieczestwa
sieci teleinformatycznej (po Reakcji nastpuje powrt do Oceny [6]).



Rys. 1. Proces bezpieczestwa sieci teleinformatycznej [2].

1.2. Monitorowanie bezpieczestwa sieci teleinformatycznej
Monitorowanie bezpieczestwa sieci teleinformatycznej (ang. network security
monitoring NSM) obejmuje gromadzenie rnorodnych danych o zdarzeniach w sieci, a
nastpnie ich filtrowanie, korelowanie i analizowanie w celu wykrycia i odpowiedniej reakcji
na incydenty naruszenia ochrony sieci. Proces monitorowania wykrywania narusze i
zagroe bezpieczestwa sieci wykracza poza to, co oferuj systemy wykrywania wama
(ang. Intrusion Detection System IDS), ktre na og poprawnie wykrywaj uprzednio
zdefiniowane (na przykad przez odpowiednie sygnatury) ataki [6]. Przy uyciu
odpowiedniego oprogramowania mona wykrywa bardzo rne anomalie ruchu sieciowego,
ktre podane dogbnej analizie przez administratora sieci umoliwiaj wyrycie nieznanych
atakw i zagroe bezpieczestwa. Mog to by ataki wykorzystujce nie wykryte podatnoci
systemw operacyjnych, oprogramowania lub sprztu sieciowego (na przykad tzw. zero-day
exploits). Wykorzystanie monitorowania sieci jest istotnym elementem procesu utrzymania
bezpieczestwa sieci teleinformatycznej.


4

5
1.3. Wykrywanie zagroe bezpieczestwa sieci teleinformatycznej
Wykrywanie zagroe bezpieczestwa jest procesem przechwytywania ruchu
sieciowego, jego identyfikacji, walidacji oraz eskalacji zdarze odbiegajcych od normy.
Przechwytywanie polega na uyciu odpowiednich sensorw (moe to by karta sieciowa oraz
tzw. sterownik przechwytywania ang. capture driver) w celu wychwycenia i zapisania
pakietw w sieci dla celw ich analizy i archiwizacji. W fazie identyfikacji administrator
dzieli przechwycony ruch sieciowy na trzy grupy: normalny, podejrzany oraz wskazujcy na
dziaania zoliwe. Potem nastpuje walidacja w celu okrelenia kategorii incydentu, z czego
wynikaj wskazania i ostrzeenia. Ostatni faz jest eskalacja incydentu, w celu podjcia
decyzji majcych na celu likwidacj jego skutkw [6].

2. Charakterystyka analizatorw sieci (snifferw)
2.1. Analiza sieci i sniffing
Analiza sieci (ang. network analysis) polega na przechwyceniu ruchu w sieci oraz
okreleniu na podstawie analizy zapisanych pakietw tworzcych ten ruch jakie zdarzenie
zaistniao w sieci. Uywa si w tym celu analizatorw sieci (ang. network analyzers), ktre
potrafi nie tylko przechwyci ruch sieciowy, ale take zdekodowa pakiety typowych
protokow sieciowych i wywietli je w formie czytelnej dla czowieka. Nastpnym
krokiem jest szczegowa analiza tak uzyskanych wynikw, ktra umoliwia
dowiadczonemu administratorowi sieci wykrycie zdarze stanowicych zagroenie
bezpieczestwa sieci teleinformatycznej.
Termin analiza sieci jest uywany zamiennie z kilkoma innymi:
sniffing, co oznacza podsuch ruchu (pakietw) w sieci w przeszoci mia
negatywne konotacje, bowiem oznacza podsuch w sieci wykorzystywany
przez napastnikw w zoliwych celach
analiza ruchu sieciowego (ang. traffic analysis)
analiza pakietw (ang. packet analysis)
analiza protokow (ang. protocol analysis)
Warto zaznaczy, e terminy analiza sieci, a zwaszcza sniffing, w szerokim sensie, s
uywane obecnie najczciej [4]. W niniejszej pracy oba wyej wymienione terminy uywane
s jako synonimy.


6

2.2. Charakterystyka najczciej spotykanych analizatorw sieci (snifferw)
Analizator sieci moe by samodzielnym urzdzeniem wyposaonym w
wyspecjalizowane oprogramowanie lub programowym analizatorem zainstalowanym na
komputerze stacjonarnym, czy te laptopie. Dostpne s programowe analizatory sieci
(sniffery) komercyjne oraz bezpatne, czsto jako Open Source Software, GNU GPL.
Sniffer jest to program komputerowy, ktrego zadaniem jest przechwytywanie i
ewentualne analizowanie danych przepywajcych w sieci. Wspln cech wielu takich
analizatorw jest przeczenie karty sieciowej w tryb promiscuous, w ktrym urzdzenie
odbiera wszystkie ramki z sieci, take te nie adresowane bezporednio do niego; sniffery
mog jednak by uruchamiane take na routerze lub na komputerze bdcym jedn ze stron
komunikacji sieciowej - i w tych przypadkach, tryb promiscuous nie jest konieczny.
1

Sniffery rni si miedzy sob takimi cechami jak liczba obsugiwanych protokw,
interfejsem, moliwociami graficznej i statystycznej prezentacji przechwyconych pakietw,
a take jakoci dekodowania pakietw i zawansowanymi moliwociami ich analizy [4].
2.3. Zastosowanie analizatorw sieci jako narzdzi administratorskich
Analizatory sieci s uywane jako narzdzia diagnostyczne przez administratorw
sieci oraz administratorw bezpieczestwa, a nawet czasami przez programistw. S one
bardzo uyteczne w procesie usuwania problemw z wydajnym funkcjonowaniem sieci, a
take umoliwiaj analiz zjawisk wskazujcych na zagroenia bezpieczestwa sieci.
Przykadowo su one do:
konwersji binarnych pakietw do formy czytelnej dla czowieka
rozwizywania problemw dziaania sieci
analizy wydajnoci sieci w celu wykrycia wskich garde
wykrywania atakw sieciowych
analizy dziaania aplikacji
wykrywania uszkodzonych kart sieciowych
wykrywania rda atakw typu Denial of Service (DoS)
wykrywania zoliwego oprogramowania
wykrywania skompromitowanych stacji roboczych w sieci
edukacji w dziedzinie protokw sieciowych [4].

1
http://pl.wikipedia.org/wiki/Sniffer

7

2.4. Sniffer jako narzdzie wykorzystywane do atakw sieciowych
Sniffery wykorzystywane we wrogich celach stanowi powane zagroenie
bezpieczestwa sieci. Napastnicy sieciowi uywaj ich w celu przechwycenia wartociowych,
poufnych informacji. Jest to nazywane pasywnym atakiem, bowiem nie wystpuje tu
bezporednie oddziaywanie na systemy sieciowe. Sniffer jest zwykle instalowany na
skompromitowanym, w wyniku aktywnego ataku, komputerze dziaajcym w sieci. Moe by
programem samodzielnym, jak rwnie czci zoliwych programw typu ko trojaski
uywanych w celu przechwycenia specyficznych informacji, takich jak na przykad hasa,
ktre nastpnie mog by przesane przez sie do napastnika.
Sniffery s najczciej wykorzystywane przez napastnikw sieciowych w celu:
przechwycenia identyfikatorw i hase uytkownikw przesyanych w postaci
otwartego tekstu
pasywnego wykrywania systemu operacyjnego hosta (ang. passive OS
fingerprinting)
uzyskiwania informacji o topologii sieci i konfiguracji urzdze dostpowych
przechwytywania i odtwarzania rozmw VoIP (ang. Voice over IP) [4].
2.5. Ochrona przed pasywnymi atakami sieciowymi wykorzystujcymi sniffery
Pasywne ataki przeprowadzane przy pomocy snifferw s trudne do wykrycia,
bowiem nie wchodz one w jakiekolwiek interakcje z urzdzeniami dziaajcymi w sieci, ani
nie generuj adnego ruchu sieciowego [4]. Mimo tego wykrywanie snifferw jest moliwe.
Najprostsza metod jest sprawdzenie, czy w sieci nie ma interfejsw dziaajcych w trybie
niewybirczym (ang. promiscuous mode). W systemach UNIX-owych wykorzystujemy do
tego celu polecenie ifconfig a. Ustawiony znacznik PROMISC zdradza tryb niewybirczy
wylistowanego interfejsu, jak w poniszym przykadzie:
[root@localhost root]# ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:02:B3:06:5F:5A
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:204 errors:0 dropped:0 overruns:0 frame:0
TX packets:92 errors:0 dropped:0 overruns:0 carrier:0

2

2
[4]

8

Mona uy rwnie polecenia ip link, jak w poniszym przykadzie:
[root@localhost root]# ip link
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen
100 link/ether 00:02:b3:06:5f:5a brd ff:ff:ff:ff:ff:ff
3

Wykrywanie trybu niewybirczego w systemach Windowsowych jest duo
trudniejsze, bowiem nie ma standardowych polece, ktre zwracaj informacj o takim trybie
pracy karty sieciowej. Mona jednak uy w tym celu bezpatnego programu narzdziowego
o nazwie PromiscDetect autorstwa Arne Vidstroma, ktre wykrywa tryb niewybirczy karty
sieciowej w systemach Windows NT, 2000 i XP. Mona go pobra pod adresem:
http://ntsecurity.nu/toolbox/promiscdetect. Poniszy przykad pokazuje wynik dziaania tego
programu:
C:\>promiscdetect
PromiscDetect 1.0 - (c) 2002, Arne Vidstrom (arne.vidstrom@ntsecurity.nu)
- http://ntsecurity.nu/toolbox/promiscdetect/
Adapter name:
- D-Link DWL-650 11Mbps WLAN Card
Active filter for the adapter:
- Directed (capture packets directed to this computer)
- Multicast (capture multicast packets for groups the computer is a member of)
- Broadcast (capture broadcast packets)
Adapter name:
- Intel(R) PRO/100 SP Mobile Combo Adapter
Active filter for the adapter:
- Directed (capture packets directed to this computer)
- Multicast (capture multicast packets for groups the computer is a member of)
- Broadcast (capture broadcast packets)
- Promiscuous (capture all packets on the network)
WARNING: Since this adapter is in promiscuous mode there could be a sniffer
running on this computer!
4

3
[4]
4
[4]

9

Niektre sniffery mog jednak ukrywa znacznik trybu niewybirczego, jak rwnie
instalowa si w systemie przy pomocy rootkita, ktry moe zamieni polecenia, takie jak
ifconfig, tak aby nie wskazyway trybu niewybirczego [4]. Mona wic uy innych metod
wykrywania snifferw. Nie jest to jednak przedmiotem mniejszej pracy. Wicej informacji na
ten temat mona znale w poz. [4] oraz w zasobach Internetu.
Jak to ju powiedziano wyej, wykrywanie snifferw jest trudne i nie zawsze
skuteczne. Mona jednak chroni si przed negatywnymi skutkami ich dziaania. Ju samo
uywanie w sieci przecznikw zamiast koncentratorw mocno utrudni sniffing, aczkolwiek
nie wyeliminuje go cakowicie. Najlepsz ochron przed skutkami sniffingu jest zastosowanie
szyfrowania ruchu sieciowego, bowiem z przechwyconych pakietw nie da si uzyska
informacji, ktre s celem napastnika. Niektre metody szyfrowania pozostawiaj nagwki w
formie otwartego tekstu, co pozwala na odczytanie adresw pakietw, jednak przesyane dane
s zaszyfrowane, a przez to niedostpne dla napastnika [4].
Inn metod ochrony przed podsuchem w sieci jest zastosowanie technologii VLAN
(ang. Virtual LAN). Polega ona na tworzeniu wirtualnych (logicznych) sieci poprzez
przypisanie do nich okrelonych portw przecznikw, dla wydzielonych grup
uytkownikw. W efekcie nastpuje podzia sieci na rozdzielne domeny broadcastowe [3].
Podzia sieci na VLANy znaczco redukuje naraenie na podsuch, a take umoliwia
wydzielenie szczeglnie chronionych wirtualnych sieci. Mona utworzy oddzielny VLAN
dla serwerw, oddzielny dla stacji administratorskich i ograniczy dostp do nich przy
pomocy odpowiednio zdefiniowanych, restrykcyjnych list dostpu (Access Control Lists)
5
.

3. Analizator sieci Wireshark
Analizator Wireshark wczeniej znany jako Ethereal jest snifferem i analizatorem
pakietw z moliwoci dekodowania wielu protokow. Funkcjonalno Ethereala jest
bardzo podobna do tcpdumpa, lecz Ethereal posiada GUI i duo wicej opcji sortowania i
filtrowania. Pozwala uytkownikowi zobaczy cay ruch w sieci przez przeczenie karty
sieciowej w tryb promiscuous.
Ethereal rozpowszechniany jest jako FOSS (ang. Free Libre/Open Source Software,
take FOSS, F/OSS), jest dostpny na nastpujce platformy: Windows, Linux, Solaris,
FreeBSD, NetBSD, OpenBSD, Mac OS X.
6

5
http://www.securitydocs.com/library/2829
6
http://pl.wikipedia.org/wiki/Wireshark

10
3.1. Krtka historia analizatora Wireshark
Wireshark ma ciekaw histori, ktra zacza si w 1998 roku. Wtedy to Gerald
Combs, absolwent informatyki University of Missouri w Kansas City stworzy oryginaln
wersj oprogramowania do analizy sieci pod nazw Ethereal, ktre udostpni publicznie na
zasadach licencji GNU General Public License (GNU GPL). Osiem lat pniej Gerald Combs
zmieni prac w poszukiwaniu rozwoju swojej kariery zawodowej, natomiast prawa do nazwy
Ethereal pozostay wasnoci poprzedniego pracodawcy, z ktrym w tej sprawie nie mg
doj do porozumienia. Dlatego te Combs z reszt zespou w poowie 2006 roku uruchomi
kontynuacj projektu rozwoju analizatora Ethereal pod nazw Wireshark. Od tego czasu
popularno Wiresharka bardzo wzrosa i aktualnie jest on nadal rozwijany przez zesp
okoo 500 wsppracownikw, natomiast analizator Ethereal nie jest ju rozwijany. [1]
3.2. Zalety analizatora Wireshark
Analizator Wireshark charakteryzuje si kilkoma zaletami, ktre umieszczaj go w
gronie najlepszych snifferw, zarwno bezpatnych jak i komercyjnych. Najwaniejsze z
nich wymieniano poniej:
Ilo obsugiwanych protokow 879 (Wireshark w wersji 0.99.6a), poczwszy od
podstawowych, takich jak TCP/IP i DHCP do specyficznych jak BitTorrent i VNC. Watro
zauway, e poniewa Wireshark jest rozwijany jako Open Source, w kadej jego nowej
wersji s doczane kolejne protokoy.
atwo obsugi Wireshark jest wyposaony w interfejs graficzny (GUI), bardzo
jasno zaprojektowane menu kontekstowe, a take czytelne zaznaczenie protokow kolorami
oraz szczegowe graficzne odwzorowanie przechwytywanych danych [1].
Wireshark jest dostpny bezpatnie zarwno do osobistego jak i komercyjnego
uytku na zasadach licencji GNU General Public License version 2.
3.3. Instalacja Wiresharka na platformie Windows
Wireshark moe by zainstalowany w systemach Windowsowych poczwszy od
Windows 2000 i nie stawia szczeglnych wymaga sprztowych (zale one od iloci
przechwytywanego ruchu sieciowego). Wymaga uycia sterownika przechwytujcego pakiety
WinPcap capture driver jest on zwarty w pakiecie instalacyjnym Wiresharka.
Instalacja przebiega typowo za pomoc kreatora, jasno objaniajcego dostpne opcje
i uatwiajcego ich wybr (proponuje instalacj drivera WinPcap, jeli nie wykryje go w
systemie).
3.4. Instalacja Wiresharka w systemach Linuxowych
Pierwszym krokiem przy instalacji Wiresharka w systemach Linuxowych jest
uzyskanie waciwej dla danej dystrybucji Linuxa wersji pakietu instalacyjnego (moe by
niedostpny dla niektrych wersji Linuxa). Nastpnie w zalenoci od typu systemu Linux
naley uy polecenia :
Dla systemw opartych na RPM, takich jak RedHat
rpm -ivh wireshark-0.99.3.i386.rpm
7
Dla systemw opartych na DEB, takich jak Debian lub Ubuntu
apt-get install wireshark
8

3.5. Charakterystyka analizatora Wireshark
Gwne okno aplikacji Wireshark zwierajce wszystkie elementy suce do
przechwycenia i analizy pakietw przedstawiono na rysunku 2.


Rys. 2. Gwne okno analizatora Wireshark w wersji 0.99.6a

7
[1] strona 31
8
[1] strona 31

11
Interfejs uytkownika okrela sposb prezentacji danych przez Wiresharka. Wikszo
jego opcji moe by konfigurowana w zalenoci od potrzeb lub upodoba.
Preferencje przechwytywania pozwalaj na ustawienie domylnego trybu dziaania
karty sieciowej czy ma by ustawiona w tryb niewybirczy (domylnie zaznaczone).
Preferencje protokow okrelaj sposb ich przechwytywania i wywietlania.
Szczegln zalet Wiresharka jest oznaczanie kadego protokou okrelonym kolorem, co
bardzo uatwia ich identyfikacj i analiz. Predefiniowane kolory mona modyfikowa, jeli
zachodzi taka potrzeba - rysunek 3.


Rys. 3. Okno dialogowe Regu Oznaczania Kolorami
Podstawow funkcj analizatora sieci jest przechwytywanie pakietw oraz
przedstawienie ich w formie dogodnej do analizy. Ilo przechwytywanych danych moe by
bardzo dua, co utrudnia analiz. W celu rozwizania tego problemu w Wiresharku
zastosowano filtrowanie pakietw. Dostpne s dwa rodzaje filtrw: filtry przechwytywania
oraz filtry wywietlania. Zastosowanie pierwszego rodzaju filtra ogranicza ilo
przechwytywanych pakietw, co moe by czasami korzystne, choby ze wzgldu na
ograniczone zasoby stacji roboczej, na ktrej jest zainstalowany Wireshark. Wad jest to, e
wykluczona przy pomocy filtra przechwytywania cz ruchu sieciowego moe zwiera
przydatne do analizy pakiety, ktre jednak nie zostay zapisane. Takiej wady nie wykazuj
filtry wywietlania, bowiem mona je dowolnie modyfikowa, czy nawet usuwa uzyskujc
dostp do wszystkich przechwyconych pakietw. Filtry wywietlania, poczone z
moliwoci wyszukiwania i zaznaczania pakietw bardzo uatwiaj analiz ruchu sieciowego
i wykrywanie wszelkich jego anomalii.

12
Filtry przechwytywania pozwalaj na podsuch tylko okrelonego ruchu sieciowego,
na przykad ruchu na wybranym interfejsie oraz na wybranym porcie. Na rysunku 4 pokazano
okno dialogowe pozwalajce na ustawienie filtra w celu przechwycenia ruchu na porcie,
przykadowo 12223 (Hack99 KeyLogger). W polu obok przycisku Capture Filter mona
wpisa wyraenie definiujce warunki filtrowania lub uy w tym celu kreatora
wywoywanego tym przyciskiem.


Rys. 4. Okno dialogowe Opcje Przechwytywania umoliwiajce utworzenie filtra.
Filtry wywietlania s czsto uywane w celu wyeliminowania z analizy nie
relewantnych pakietw, na przykad broadcastu ARP. Oczywicie, te pakiety mog by
przydatne w dalszej analizie. Nie ma problemu z ich przeanalizowaniem, poniewa s
przechwycone wystarczy zmieni ustawienie filtra wywietlania i stan si widoczne.
Na rysunku 5 pokazano okno dialogowe Wyraenia Filtrujcego, umoliwiajce atwe
i szybkie ustawienie filtra. O wiele bardziej elastyczn, aczkolwiek trudniejsz metod

13
ustawiania filtra wywietlania jest rczne wpisanie wyraenia filtrujcego, tak jak dla filtra
przechwytywania. Przykadowe wyraenia filtrujce zostay zamieszczone w tabeli 1.


Rys. 5. Okno dialogowe Wyraenie Filtrujce pozwalajce na atwe utworzenie filtra.
Tabela 1.
Przykadowe wyraenia filtrujce dla filtrw przechwytywania i filtrw wywietlania [1].
Wyraenie filtrujce Opis
host www.example.com Wywietla/przechwytuje cay ruch sieciowy z hosta
www.example.com
host www.example.com and not
(port 80)
Wywietla/przechwytuje cay ruch sieciowy z hosta
www.example.com za wyjtkiem WWW
!dns Pokazuje/przechwytuje cay ruch za wyjtkiem DNS
not broadcast and not multicast Pokazuje/przechwytuje tylko ruch unicastowy
ip.dst==192.168.0.1 Pokazuje/przechwytuje cay ruch wysyany na adres
192.168.0.1

Wireshark posiada wbudowane dekodery protokow (ang. protocol dissectors), ktre
identyfikuj i formatuj przechwycone pakiety w dogodny dla celw analizy sposb. Na og
identyfikacja protokou jest poprawna, poniewa Wireshark uywa w tym celu kilku

14
dekoderw jednoczenie, aczkolwiek zdarzaj si bdne rozpoznania. W takim przypadku
mona wymusi dany sposb dekodowania pakietw rysunek 6.


Rys. 6. Okno dialogowe Dekoduj Jako umoliwiajce zmian dekodowania protokou.
Jedn z najbardziej uytecznych cech analizatora Wireshark jest opcja ledzenia
Strumienia TCP (ang. Following TCP Stream), ktra umoliwia zobrazowanie ruchu TCP w
taki sposb, jaki jest adekwatny dla warstwy aplikacji. Cecha to pozwala na poczenie
wszystkich informacji zawartych w pakietach i ukazanie danych zawartych w tych pakietach
w takiej formie, w jakiej s widoczne w aplikacjach przez uytkownika. Umoliwia to, na
przykad przechwycenie i odczytanie informacji przekazywanych przez komunikatory, co
wida na rysunku 8.
Na zakoczenie charakterystyki sniffera Wireshark warto wspomnie o jego
moliwociach rozwizywania nazw, co nie rzadko moe bardzo uatwi analiz incydentu.
Wireshark obsuguje trzy typy rozwizywania nazw: ARP, DNS i portu warstwy
transportowej rysunek 7.


Rys. 7. Okno dialogowe ustawienia Rozwizywania Nazw [1].

15

Rys. 8. Okno ledzenia Strumienia TCP z przechwyconymi informacjami [1].
3.6. Przegld niektrych protokow przechwytywanych przez Wiresharka - przykady
Wireshark ma wbudowane dekodery protokow, ktre bardzo przejrzycie, w formie
graficznej pokazuj zawarto przechwyconych pakietw. Poniej przedstawiono przykady
kilku podstawowych protokow (pliki z zapisami przechwyconych pakietw pobrano z
http://www.nostarch.com/frameset.php?startat=packet) oraz dwch bardziej zoonych VNC i
BitTorrent (pliki z zapisami przechwyconych pakietw pobrano z
http://wiki.wireshark.org/SampleCaptures).
Jednym z najprostszych protokow jest ARP (Address Resolution Protocol),
ktrego zadaniem jest konwersja adresw IP Warstwy 3 na adresy fizyczne Warstwy 2
(adresy MAC). Dziaanie tego protoku ilustruje rysunek 9. Jak wida, wystpuj tu tylko
dwa rodzaje pakietw: danie ARP, rozgoszeniowy (broadcast ff:ff:ff:ff:ff:ff) oraz
odpowied na adres wysyajcego danie.
Kolejny rysunek 10 obrazuje dziaanie protokou DHCP. Widoczne s pakiety:
rozgoszeniowy DHCP Discover (odkrycie DHCP), unicastowy DHCP Offer (oferta
DHCP), rozgoszeniowy DHCP Request (danie DHCP) oraz unicastowy DHCP ACK
(potwierdzenie DHCP).

16

Rys. 9. Pakiety protokou ARP.

Rys. 10. Pakiety protokou DHCP.
Przykad na rysunku 11 obrazuje protokoy TCP/IP oraz HTTP. W przechwyconym
ruchu wida zestawion sesj TCP/IP (standardowy 3-etapowy handshake), nastpnie danie
GET transmisji danych HTTP. Warto zwrci uwag na okienko Szczegw Pakietu (w
rodku okna gwnego) wida w nim, e docelowym portem jest Dst Port: http (80).


17

Rys. 11. Protoky TCP/IP oraz DHCP.

Rys. 12. Zobrazowanie ruchu sieciowego zwizanego z protokoem VNC.
Na zakoczenie przegldu wybranych protokow dekodowanych przez Wiresharka
pokazano dwa bardziej zoone protokoy VNC rysunek 12 i BitTorrent rysunek 13. S to
protokoy, ktrych wykrycie w sieci moe oznacza zagroenie jej bezpieczestwa. Dlatego
poniej podano ich krtkie charakterystyki:

18
VNC (ang. Virtual Network Computing) - system przekazywania obrazu z
wirtualnego, bd fizycznego rodowiska graficznego. Prosty pakiet serwer+klient jest
dostpny pod najpopularniejsze systemy operacyjne z trybem graficznym. Domylnie VNC
korzysta z portw TCP 5900 - 5906, gdzie kady z portw oznacza odrbn sesj (:0 do :6),
lecz zarwno klient jak i serwer mog zosta przekonfigurowane.
9
BitTorrent protok wymiany i dystrybucji plikw przez Internet, ktrego celem
jest odcienie czy serwera udostpniajcego pliki. Jego najwiksz zalet w porwnaniu do
protokou HTTP jest podzia pasma pomidzy osoby, ktre w tym samym czasie pobieraj
dany plik. Oznacza to, e uytkownik w czasie pobierania wysya fragmenty pliku innym
uytkownikom.
10


Rys. 13. Protok BitTorrent zdekodowany w Wiresharku.
Powyszy przegld protokow ilustruje sposb graficznego przedstawienia
dekodowanych pakietw, a take daje moliwo zaobserwowania jak wyglda normalny,
prawidowy ruch sieciowy. Jest to niezwykle istotne dla zbudowania w administrowanej sieci
tzw. linii bazowej (ang. baseline), ktra umoliwi zauwaenie wszelkich anomalii (odstpstw
od znanego, ustalonego stanu) ruchu sieciowego, co jest podstaw wykrywania incydentw
stanowicych zagroenie bezpieczestwa sieci.

9
http://pl.wikipedia.org/wiki/VNC
10
http://pl.wikipedia.org/wiki/Bittorrent

19

20
4. Wykrywanie i analizowanie zagroe bezpieczestwa
Skuteczne wykrywanie i usuwanie zagroe bezpieczestwa sieci teleinformatycznej
wymaga znajomoci podstawowych scenariuszy atakw stosowanych przez napastnikw
sieciowych, nazywanych potocznie, lecz niepoprawnie hackerami. Faktycznym zagroeniem
s ci, ktrych okrelamy mianem crackers lub Black Hats, wykorzystujcy swoj wiedz o
systemach komputerowych w celu osignicia korzyci, w sposb nie tylko nieetyczny, ale
te najczciej niezgodny z prawem.
Ataki na sieci teleinformatyczne, aczkolwiek wykorzystujce bardzo rne techniki
maj w oglnych zarysach powtarzalny scenariusz, obejmujcy niej wymienione
podstawowe fazy:
Rozpoznanie jest to faza pocztkowa przed waciwym atakiem, podczas ktrej
napastnik zbiera jak najwicej informacji o interesujcym go celu. Informacje te wykorzystuje
podczas waciwego ataku. Zbieranie informacji ma czsto pasywny charakter, std te takie
dziaania s trudne do wykrycia. Z drugiej strony wykrycie napastnika na tym etapie z reguy
gwarantuje jego skuteczne unieszkodliwienie. Std te w punkcie 4.1 niniejszej pracy
omwiono wykrywanie systemu operacyjnego, ktre z reguy jest etapem wstpnym ataku.
Skanowanie jest to aktywna metoda uzyskania informacji o urzdzeniach i usugach
dostpnych w sieci bdcej przedmiotem ataku. Wykrycie napastnika w tej fazie rwnie daje
due szanse jego zneutralizowania, zanim poczyni jakie szkody.
Uzyskanie dostpu jest to kluczowa faza ataku. Jeli si powiedzie, napastnik moe
narazi zasoby sieci na powane szkody, w zalenoci od tego jakie uzyska uprawnienia w
systemie.
Utrzymanie dostpu w tym celu napastnik moe wykorzysta rootkita, bd te
trojana lub backdoora. Im duej napastnik utrzyma dostp do systemu, tym wiksza groba
penetracji zasobw. Jak najszybsze wykrycie i zneutralizowanie intruza jest wic niezwykle
istotne dla zminimalizowania strat.
Zacieranie ladw jest to dziaanie napastnika majce zapobiec wykryciu jego
dziaa w systemie, co daje mu spore szanse pozostania bezkarnym.
Z powyszego opisu wynika, e atak sieciowy jest procesem rozwijajcym si w
pewnym okresie czasu. Daje to administratorowi sieci szans na wdroenie skutecznych
metod wykrywania, analizowania i neutralizowania napastnikw zanim uda im si uzyska
dostp do chronionych zasobw, pod warunkiem, e dysponuje on wiedz oraz dobrym
oprogramowaniem monitorujcym sie. Jednym z takich programw jest Open Sourceowy
sniffer Wireshark, ktry daje szerokie moliwoci analizowania rnych protokow w sieci.
4.1. Wykrywanie systemu operacyjnego (ang. OS fingerprinting)
Wykrywanie systemu operacyjnego zdalnego komputera moe by przeprowadzone
nastpujcymi metodami:
Pasywn w ktrej nie wysya si do maszyny docelowej adnych pakietw
sondujcych, za wyjtkiem, zupenie poprawnego poczenia z usug sieciow uruchomion
na zdalnym hocie. Polega ona na pasywnym analizowaniu stosu TCP/IP oraz identyfikacji
wykorzystujcej warstw 7 aplikacji modelu OSI [3].
Aktywn polegajc na wysyaniu ze zdalnego hosta do docelowego komputera
odpowiednio spreparowanych pakietw i analizowaniu odpowiedzi na nie w oparciu o
okrelone wzorce. Na tej podstawie mona wycign wnioski, co do systemu operacyjnego
zainstalowanego na docelowym komputerze [1].


Rys. 14. Pakiety ICMP sodujce komputer w celu rozpoznania jego systemu operacyjnego.
Rysunek 14 przedstawia przechwycone pakiety ICMP, ktre nie wystpuj w
prawidowym ruchu sieciowym. Wskazuj one na rozpoznawanie systemu operacyjnego
docelowego komputera metod skanowania pakietami ICMP. Napastnik wysya takie pakiety
po to, aby na podstawie reakcji (bd braku reakcji) docelowego komputera okreli jego
system operacyjny. W celu atwiejszego zauwaenia pakietw sondujcych ICMP mona
zastosowa filtr, co zostao pokazane na rysunku nr 15.

21

Rys. 15. Pakiety ICMP sondujce komputer wyselekcjonowane przy pomocy filtra.
Sondowanie ICMP (ang. ICMP probing) wykorzystuje nastpujce typy pakietw:
Type 8 (echo request), Type 13 (timestamp request), Type 15 (information request) oraz Type
17 (subnet address mask request) [5].
W tabeli 2 przedstawiono odpowied rnych systemw operacyjnych na wyej
wymienione typy pakietw wysanych jako bezporednie, nie rozgoszeniowe. Natomiast w
tabeli 3 przedstawiono odpowied tych samych systemw na te same typy pakietw ICMP,
ale wysanych jako nie bezporednie, rozgoszeniowe.
Tabela 2.
Sondowanie pakietami ICMP wysanymi jako bezporednie, nie rozgoszeniowe [5].
System operacyjny ICMP bezporednie, nie rozgoszeniowe

8 13 15 17
Linux Tak Tak Nie Nie
BSD Tak Tak Nie Nie
Solaris Tak Tak Nie Tak
HP-UX Tak Tak Tak Nie
AIX Tak Tak Tak Nie
Ultrix Tak Tak Tak Tak
Windows 95, 98 i ME Tak Tak Nie Tak
Windows NT 4.0 Tak Nie Nie Nie
Windows 2000 Tak Tak Nie Nie
Cisco IOS Tak Tak Tak Nie

22

23
Tabela 3.
Sondowanie pakietami ICMP wysanymi jako nie bezporednie, rozgoszeniowe [5].
System operacyjny ICMP nie bezporednie, rozgoszeniowe

8 13 15 17
Linux Tak Tak Nie Nie
BSD Nie Nie Nie Nie
Solaris Tak Tak No Nie
HP-UX Tak Tak Tak Nie
AIX Nie Nie Nie Nie
Ultrix Nie Nie No Nie
Windows95,98 i ME Nie Nie Nie Nie
Windows NT 4.0 Nie Nie Nie Nie
Windows 2000 Nie Nie Nie Nie
Cisco IOS Nie Nie Tak Nie

4.2. Skanowanie portw
Skanowanie jest zwykle kolejn po rozpoznaniu faz ataku. Ma ono na celu uzyskanie
informacji o usugach dostpnych na wykrytych wczeniej maszynach, najczciej poprzez
skanowanie portw. Odnalezienie otwartych portw umoliwia identyfikacj dostpnych
usug, ktre mog by celem ataku.
Najpopularniejszym skanerem jest nmap
11
, dostpny na wielu platformach, w tym na
najpopularniejszych: Unix/Linux i Windows.
Nmap (z ang. Network mapper), program komputerowy autorstwa Fyodora (Gordon
Lyon), sucy do skanowania portw. Program implementuje wiele rnych technik
testowania portw TCP, w tym niestandardowe podejcia wynikajce ze specyfiki
implementacji stosw sieciowych, ktre potencjalnie mog omija zapory sieciowe lub
platformy Intrusion Detection System.
12
W wersji podstawowej nmap jest obsugiwany z linii polece rysunek 16.
Umoliwia wybieranie trybu skanowania, oraz ustawianie wielu opcji. Potrafi nie tylko
stwierdzi jakie komputery dziaaj w sieci, ale take z duym prawdopodobiestwem
okreli ich system operacyjny, a nawet poda wersje usug uruchomionych na
poszczeglnych portach. Nmap jest aktywnym skanerem, a przez to stosunkowo atwo
wykrywalnym.

11
www.insecure.org/nmap/
12
http://pl.wikipedia.org/wiki/Nmap
Podstawowe techniki skanowania portw polegaj na wysyaniu pakietw TCP lub
UDP do badanego hosta. Skanowanie TCP-connect, skanowanie TCP SYN, skanowanie TCP
FIN, skanowanie TCP ACK, skanowanie TCP NULL, skanowanie TCP XMAS oraz
skanowanie TCP-bounce, a take skanowanie UDP s szczegowo omwione w pozycji [3].


Rys. 16. Nmap 4.20 uruchomiony z linii polece Windows.
Na rysunku 17 przedstawiono ruch sieciowy przechwycony przez Wiresharka.
Widoczne s pakiety przesyane miedzy lokalnym komputerem o adresie 10.100.25.14 oraz
zdalnym hostem o adresie 10.100.18.12. Warto zauway, e kady pakiet wysany ze
zdalnego hosta jest przeznaczony dla innego portu lokalnego komputera, na przykad porty
telnet, ftp, smtp, sunprc, finger i inne okrelone tylko numerami. Mona z duym
prawdopodobiestwem podejrzewa, e jest to skanowanie portw jako przygotowanie do
ataku. Przedstawiony przykad to do proste, atwe do zauwaenie skanowanie portw.
Bardziej wyrafinowane metody s trudniejsze do wykrycia. Bardzo pomocne moe by
zastosowanie filtrw, jednak ostateczny rezultat zaley to od wiedzy i dowiadczenia
administratora analizujcego podejrzany ruch w sieci.


24

Rys. 17. Przykad skanowania portw.
Pliki z zapisem przechwyconego ruchu sieciowego ( ang. trace files), obrazujcego
rne metody skanowania portw mona wyszuka w Internecie i poprzez ich analiz
doskonali swoje umiejtnoci. Na rysunku 18 przedstawiono plik portscan.cap pobrany z
http://www.packet-level.com/traces/ zaadowany do analizatora Wireshark.


Rys. 18. Przykad skanowania TCP SYN.

25

26

4.3. Ataki sieciowe
Najczciej wykorzystywanym rodzajem atakw sieciowych s rne odmiany atakw
odmowy usugi (ang. Denial of Service, DoS). Podstawowym celem takich atakw jest
zablokowanie dostpu do okrelonej usugi lub zasobu. Ataki odmowy usugi mona
podzieli na dwa podstawowe rodzaje, a mianowicie na ataki powodujce zawieszanie si
usug oraz ataki przepenienia. Ataki DoD powodujce zawieszanie si usug zwykle s cile
powizane z konkretnymi programami. Przypominaj one bardziej prby wamania do
programw ni typowe ataki sieciowe. Odmienne s ataki przepenienia bufora, bowiem ich
celem jest przekierowanie pracy systemu do wasnego fragmentu kodu. Nie zawsze si to
udaje i taki atak rwnie czsto si koczy zawieszeniem caego programu.
Wikipedia podaje nastpujc definicj: DoS, czyli Denial of Service (ang. odmowa
usugi) - atak na system komputerowy lub usug sieciow w celu uniemoliwienia dziaania
poprzez zajcie wszystkich wolnych zasobw. Atak polega zwykle na przecieniu aplikacji
serwujcej okrelone dane czy obsugujcej danych klientw (np. wyczerpanie limitu
wolnych gniazd dla serwerw FTP czy WWW), zapenienie caego systemu plikw tak, by
dogrywanie kolejnych informacji nie byo moliwe (w szczeglnoci serwery FTP), czy po
prostu wykorzystanie bdu powodujcego zaamanie si pracy aplikacji.
13
Ataki DoS wykorzystuj saboci specyfikacji TCP/IP okrelonego systemu
operacyjnego (Ping of Death, Teardrop), saboci standardu TCP/IP Land, czy te tzw.
brutaln si (ang. brute force) Smurf [3].

4.3.1. Ping of Death
Atak Ping of Death polega na wykorzystaniu protokou ICMP niezgodne z jego
specyfikacj. Komunikaty echa ICMP mog zawiera maksymalnie 2
16
, czyli 65 536 bajtw
w obszarze danych pakietu. Okazuj si jednak, e specjalnie spreparowane pakiety o
dugoci przekraczajcej wyej przytoczony limit mog spowodowa zawieszenie si wielu
systemw operacyjnych. Proces wysyania komunikatw echa ICMP (znany jako ping) o
bardzo duej wielkoci zosta nazwany atakiem Ping of Death. Jest to bardzo prosta technika
ataku, obecnie czsto ju nieskuteczna, bowiem wikszo systemw operacyjnych jest na ni
uodporniona. W przypadku, kiedy z jakich powodw nie mona zaktualizowa systemu,
zapewniajc jego niewraliwo na tego typu ataki, naley ustawi odpowiedni regu na
zaporze (ang. firewall) odrzucajc zbyt dugie pakiety ICMP.

13
http://pl.wikipedia.org/wiki/DoS

27
4.3.2. Teardrop Attack
Teardrop jest popularnym typem ataku DoS, ktry powoduje zawieszenie si usugi.
Wykorzystuje on luki w implementacji procedur czenia pofragmentowanych pakietw, jakie
s wykorzystywane przez wielu dostawcw oprogramowania. Dane przesyane w sieci
publicznej przechodz przez wiele routerw i rnych podsieci, czasami takich w ktrych
maksymalny rozmiar ramki moe by mniejszy ni rozmiar przesyanego pakietu. W takiej
sytuacji konieczne jest jego podzielenie na mniejsze fragmenty. Przesunicia fragmentw
pakietu, zapisywane s w przesyanych nagwkach (offset field), nie mog si nakada, co
umoliwia odtworzenie pakietu.
Podczas ataku Teardrop wysyane s fragmenty pakietw z nakadajcymi si
przesuniciami, co powoduje zawieszanie sie programw, ktre nie sprawdzaj odbieranych
pakietw pod tym wzgldem. Zaktualizowane systemy operacyjne radz sobie z tym typem
ataku. Mona rwnie zastosowa odpowiedni regu w systemie typu IDS (ang. Intrusion
Detection System) potraficym wykrywa tego typu atak. Moe to by darmowy Snort.

4.3.3. Land Attack
Atak Land naley do klasycznej kategorii atakw DoS polegajcej na masowym
wysyaniu pakietw pod adres ofiary (ang. packet flooding). W swojej najprostszej postaci
ataki tego typu polegaj na zwikszaniu ruchu sieciowego do momentu, w ktrym atakowane
cze lub serwer nie s w stanie go obsuy oznacza to faktyczne odcicie dostpu do
zasobw legalnym uytkownikom.
Land jest modyfikacj ataku TCP SYN (SYN flood) wykorzystujcego mechanizm
standardowego poczenia TCP. Rozpoczyna je host inicjujcy poczenie wysaniem do
hosta docelowego pakietu SYN, ktry odpowiada pakietem SYN ACK i oczekuje na pakiet
ACK od hosta, ktry to poczenie zainicjowa. Parametry do tego poczenia s zapisywane
w kolejce. Ma ona z gry okrelon dugo i w normalnej sytuacji szybko si oprnia,
bowiem odpowied ACK powinna nadej w przecigu kilku milisekund. Jednak tak si nie
stanie, jeli w pakiecie inicjujcym SYN zostanie umieszczony sfaszowany, losowo
wygenerowany adres rdowy, jak to ma miejsce w ataku TCP SYN. Oczekiwana
odpowied ACK nigdy nie nadejdzie i proces nawizywania poczenia, nie zostanie nigdy
ukoczony. Wpis w kolejce pocze oczekujcych pozostaje okoo minuty, co jak atwo
przewidzie doprowadzi do przepenienia kolejki. W takiej sytuacji kolejne nadchodzce
poczenia nie bd obsugiwane, rwnie te pochodzce od legalnych uytkownikw.

28
W przypadku ataku Land adres rdowy jest rwnie sfaszowany, ale w szczeglny
sposb. Mianowicie adres rdowy jest identyczny z adresem docelowym. Wyglda to tak,
jakby atak pochodzi z wntrza sieci. Zarwno atak TCP SYN, jak i Land jest skuteczny,
jeeli napastnik znajdzie otwarte porty, na przykad port 13 (daytime) lub 37(time), jak to si
dzieje w wielu dystrybucjach Linuxa.
Najlepszym zabezpieczeniem przed atakami tego typu jest uaktualnienie sytemu
operacyjnego. Mona rwnie skonfigurowa filtracj pakietw z poziomu cian ogniowych
lub routerw.

4.3.4. Smurf
Atak Smurf stanowi odmian ataku ICMP flood, ktry polega na wysaniu masowej
liczby pakietw echo request (ping) do atakowanego hosta. Wykorzystuje on wysyanie
pakietw ICMP (echo request) na adres broadcastowy sieci poredniczcej w ataku, ze
sfaszowanym adresem rdowym jest to adres ofiary. Pakiet ICMP (echo request) wysany
na adres broadcastowy dotrze go kadego komputera sieci poredniczcej i wywoa
odpowied echo replay wysan na adres ofiary (nie dotyczy to systemw Windows, ktre nie
odpowiadaj na broadcastowe ICMP echo request). Rezultatem takiej masowej odpowiedzi
moe by zator, albo przerwa w dziaaniu sieci. Oczywicie host bdcy celem ataku zostanie
przeciony zlewem pakietw, co z reguy zblokuje dostp do niego. Moliwe jest
wzmocnienie ataku Smurf przez synchroniczne wysanie broadcastowych pakietw ICMP
do wielu sieci poredniczcych.

4.3.5. ICMP Destination Unreachable
Atak ICMP Destination Unreachable wykorzystuje waciwoci protokou ICMP,
ktry niestety nie ma wbudowanych adnych procedur sprawdzania wiarygodnoci
otrzymanych pakietw i do atwo moe by zmanipulowany. Brak takich procedur stwarza
moliwoci resetowania pocze TCP oraz zmniejszania MTU (Maximum Transmission
Unit) maksymalnego rozmiaru pakietw do drastycznie maych wartoci.
Komunikaty ICMP mog by generowane zarwno przez routery poredniczce jak i
hosty. Kiedy router wykrywa problem wysya do nadawcy pakietu komunikat ICMP, ktry
zostaje obsuony przez odpowiedzialny za pakiet protok, ktry moe prbowa naprawi
problem, zignorowa go lub zerwa poczenie.
Komunikaty ICMP dziel si na tzw. soft errors i hard errors. Po otrzymaniu hard
error TCP musi zerwa poczenie, natomiast po soft error komunikacja moe by

29
kontynuowana (RFC 1222). Rodzaj bdu jest zapisany w nagwku ICMP, w opcjonalnym
kodzie, ktry okrela w czym dokadnie tkwi problem.
Kody bdw dla Destination Unreachable to:
0 net unreachable: (brak trasy do sieci) soft error
1 host unreachable: (brak trasy do hosta) soft error
2 protocol unreachable: (nieobsugiwany protok) hard error
3 port unreachable: (nieobsugiwany port) hard error
4 fragmentation needed and DF bit set: (pakiet jest zbyt duy, eby go przetworzy
i ma ustawion flag zabraniajc fragmentacji) hard error
5 source route failed: (nie udao si ustawi rcznej trasy do hosta) soft terror
Do zerwania poczenia TCP przy pomocy komunikatu Destination Unreachable
wystarczy znajomo rdowego i docelowego IP oraz portu jednego z hostw. Aby zerwa
poczenie atakujcy musi wysa do ktrejkolwiek ze stron pasujcy do numerw portw
komunikat ICMP rodzaju hard error.
Przeciwdziaanie atakowi polega na zmianie reakcji TCP na hard error.
Mianowicie na traktowaniu hard errors jako soft errors dla nawizanego poczenia i
poleganiu na mechanizmach warstwy wyszej do wykrywania problemw z poczeniem. Tak
si zachuje wikszo aktualnych systemw operacyjnych.

5. Analiza ruchu sieciowego w usugach publicznych bez mechanizmw
zabezpiecze
Ostatni rozdzia niniejszej pracy zwiera praktyczne przykady wykorzystania sniffera
Wireshark do analizy ruchu sieciowego w usugach publicznych bez mechanizmw
zabezpiecze na przykadzie Telnetu i FTP. Analiza uwidoczniona na zaczonych rysunkach
obrazuje wyranie, e z powodu uwierzytelniania posugujcego si otwartym tekstem s to
usugi zapewniajce wprawdzie minimaln kontrol dostpu, ale bardzo atwe do
skompromitowania. Std te mog one by uywane tylko w przypadku niskich wymaga
bezpieczestwa, bd w rodowisku, ktre zapewnia dany poziom bezpieczestwa.
5.1. Telnet
Telnet jest jednym z pierwszych protokow TCP/IP (obecna specyfikacja jest zawarta
w RFC 854). Jest to standardowy protok aplikacyjny Internetu obsugujcy logowanie do
zdalnych hostw. Poczenia usugi Telnet musz by stabilne i niezawodne, dlatego
posuguje si ona protokoem transportowym TCP, wykorzystujc port 23.
Przechwycenie sesji usugi Telnet zrealizowano w pracowni WWSI wykorzystujc do
tego celu dwie stacje robocze dziaajce w sieci uczelni. Na jednej z nich (IP: 172.17.212.17)
zainstalowano analizator Wireshark oraz uruchomiono usug Telnet na koncie
administratora. Nastpnie uruchomiono Wiresharka z ustawionym filtrem przechwytywania
jak na rysunku 19. Na drugiej stacji roboczej (IP: 172.20.212.20) uruchomiono klienta
Telnetu (HyperTerminal) i przeprowadzono sesj poczenia z pierwsza stacj.


Rys. 19. Okno dialogowe Opcji Przechwytywania z ustawiony filtrem dla Telnetu.
Na rysunku 20 przedstawiono przechwycon sesj Telnetu. W oknie gwnym sniffera
Wireshark wida pakiety inicjujce standardowe nawizanie poczenia TCP oraz pakiety
protokou Telnet Src Port: telnet (23). Na kolejnym rysunku 21 pokazano okno ledzenia
Strumienia TCP. Wida w nim login (administrator) oraz haso (na rysunku zaczernione ze
wzgldw bezpieczestwa). Mona rwnie odczyta wynik przykadowych polece: net
users oraz net share.

30

Rys. 20. Okno gwne Wiresharka z przechwycon sesj Telnetu.

Rys. 21. Okno ledzenia Strumienia TCP z przechwycon sesj Telnetu.

31
Protok Telnet, jak to wida na rysunku 20, podobnie jak Rlogin w systemach
Unixowych jest tak atwy do podsuchania, e jego uywanie jest ryzykowne. Jak ju
wspomniano poprzednio najskuteczniejsz metoda ochrony przed skutkami podsuchu jest
zastosowanie szyfrowania ruchu sieciowego. Dla wykazania skutecznoci takiej ochrony w
zamieszczonym poniej przykadzie wykorzystano protok SSH (ang. secure shell). Jako
serwer SSH wykorzystano WinSSHD (http://www.bitvise.com/download-area) zainstalowany
na tej samej stacji roboczej, na ktrej uruchomiono usug Telnet. Klientem by program
PuTTy (http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html).
Na rysunku 22 pokazano przechwycon sesj SSH. W oknie gwnym sniffera
Wireshark wida pakiety inicjujce standardowe nawizanie poczenia TCP oraz pakiety
protokou SSH. Na kolejnym rysunku 23 pokazano okno ledzenia Strumienia TCP.
Oczywicie wida zawarto przechwyconych pakietw, ale jedyne co mona odczyta to
dane dotyczce serwera i klienta SSH. Wszystkie inne dane, a zwaszcza login uytkownika i
haso s niedostpne. Tak wic, pomimo, i szyfrowanie nie zabezpiecza przed sniffingiem, to
zdecydowanie zabezpiecza przed jego negatywnymi skutkami, bowiem napastnik nic nie jest
w stanie odczyta z przechwyconych danych.


Rys. 22. Okno gwne Wiresharka z przechwycon sesj SSH.

32

Rys. 23. Okno ledzenia Strumienia TCP z przechwycon sesj SSH.
5.2. FTP
Protok FTP jest standardem przesyania plikw w sieci TCP/IP zdefiniowanym w
RFC 959. Wykorzystuje protok transportowy TCP oraz dwa porty 20 dla danych i 21 do
sterowania.

Rys. 24. Okno ledzenia Strumienia TCP z przechwycon sesj FTP.

33
Na rysunku 25 pokazano przechwycon przy pomocy Wiresharka (ustawiony filtr
przechwytywania: tcp port 21) sesj FTP. Natomiast na rysunku 24 pokazano okno ledzenia
Strumienia TCP. Wida w nim login (l_ignatowicz) oraz haso (na rysunku zaczernione ze
wzgldw bezpieczestwa). Podobnie jak Telnet, FTP nie jest bezpiecznym protokoem i
podobne jest rwnie rozwizanie tego problemu. Tak jak zamiast Telnetu warto uywa
szyfrowanego SSH, tak zamiast FTP mona uy szyfrowanego SFTP (ang. SSH File
Transfer Protocol) w przypadku, kiedy wymagaj tego wzgldy bezpieczestwa.


Rys. 25. Okno gwne Wiresharka z przechwycon sesj FTP.

6. Podsumowanie
Poruszony w niniejszej pracy temat monitorowania bezpieczestwa sieci zosta
zawony, ze wzgldu na zaplanowan objto pracy, do tematyki wykrywania zagroe
bezpieczestwa przy pomocy Open Source'owego sniffera Wireshark. Trzeba podkreli, e
nie zastpuje on systemw typu IDS (ang. Intrusion Detection System) bd IPS (ang.
Intrusion Prevention System), lecz moe by ich wartociowym uzupenieniem.
Zaprezentowane w pracy cechy i waciwoci analizatora Wireshark, poparte
praktycznymi przykadami jego dziaania, pozwalaj na stwierdzenie, e jest to narzdzie
przydatne dla administratora sieci, zarwno do celw pogbiania wiedzy na temat cigle
ewoluujcych zagroe bezpieczestwa sieci teleinformatycznych, nabywania umiejtnoci
w dziedzinie ich analizy, a przede wszystkim do skutecznego ich wykrywania.

34

35

7. Wykaz literatury
1. C. Sanders, Practical Packet Analysis: Using Wireshark to Solve Real-World Network
Problems, San Francisco 2007, No Starch Press, Inc.
2. B. R. Jones, Network Security: An Open-Source Approach, Internet 2005
www.infosecwriters.com/text_resources/pdf/Open-Source-Approach.pdf
3. M. Szmit, M. Gusta, M. Tomaszewski, 101 zabezpiecze przed atakami w sieci
komputerowej, Gliwice 2005, Wydawnictwo HELION
4. A. Orebaugh, Ethereal Packet Sniffing, Rockland 2004, Syngress Publishing, Inc.
5. C. McNab, Network Security Assessment, Sebastopol, CA 2004, O'Reilly Media, Inc.
6. R. Bejtlich, The Tao of Network Security Monitoring Beyond Intrusion Detection,
Indianapolis, Indiana 2004, Addison Wesley