АНАЛИЗ ФУНКЦИЙ WIRESHARK И ИХ ПРИМЕНЕНИЕ

АНАЛИЗ ФУНКЦИЙ WIRESHARK И ИХ ПРИМЕНЕНИЕ

Нурлыбаев Талгат Абдурахманович

ассистент профессора кафедры Компьютерной Инженерии и Информационной Безопасности, Международный Университет Информационных Технологий,

Республика Казахстан, г. Алматы

Тайкибаев Бекжан Мейрамбекович

магистрант Международного Университета Информационных Технологий,

Республика Казахстан, г. Алматы

ANALYSIS OF WIRESHARK FUNCTIONS AND THEIR APPLICATION

Talgat Nurlybayev

assistant Professor of the Department of Computer Engineering and Information Security, International University of Information Technologies,

Republic of Kazakhstan, Almaty

Taikibayev Bekzhan Meirambekovich

Master's student of the International University of Information Technologies,

Republic of Kazakhstan, Almaty

АННОТАЦИЯ

В то время как ПО безопасности такие как брандмауэры и инструменты семейства IDS/IPS, ориентируются на мониторинге вертикального трафика, который пересекает границы сетевого домена, инструменты для анализа трафика сети специализируются на всех обменах независимо от происхождения типа TCP/IP, “трафик виртуальной системы”, идущий сквозь коммутатор, в/вне облачных систем а также  в API части приложений SaaS. Данные механизмы основываются на передовых инновациях и систем IoT (Интернет вещей), которые зачастую незримы для группы мониторинга безопасности. Усовершенствованные устройства анализа имеют в себе интегрированные шифровальные механизмы сетевого трафика. Чем старее “железо” тем более уязвим сетевой трафик для злоумышленников, но добиться безопасности можно и путем логического изменения настроек сети, для тестирования и выявления уязвимостей можно использовать “open source” решение Wireshark.

ABSTRACT

While security software such as firewalls and IDS/IPS family tools focus on monitoring vertical traffic that crosses the boundaries of the network domain, network traffic analysis tools specialize in all exchanges regardless of the origin of the TCP/IP type, “virtual system traffic” going through the switch, in/out of cloud systems and also in the API part of SaaS applications. These mechanisms are based on advanced innovations and IoT (Internet of Things) systems, which are often invisible to the security monitoring group. Advanced analysis devices have integrated encryption mechanisms for network traffic. The older the hardware, the more vulnerable network traffic is to intruders, but it is also possible to achieve security by logically changing network settings, for testing and identifying vulnerabilities, you can use the “open source” Wireshark solution.

Ключевые слова: мониторинг, анализ, сниффер, сетевой трафик.

Keywords: monitoring, analysis, sniffer, network traffic.

Wireshark

Wireshark это сетевой продукт (сниффер) доступный в открытом доступе на веб – сайте Wireshark.  Его назначение заключается в анализе структуры различных системных соглашений и в раскрытии инкапсуляции.  Сетевой протокол работает на семействе операционных систем Linux и Microsoft Windows и использует GTK+ для захвата пакетов. Инструменты на основе терминалов такие как Wireshark и Tshark выпускаются под общей лицензией GNU. Wireshark имеет много общих атрибутов с tcpdump, но главным атрибутом является функция фильтрации данных. Более того, Wireshark позволяет мониторить весь сетевой трафик. Wireshark имеет следующий список функций такие как: глубокий анализ разных протоколов, захват сетевого трафика в реальном времени, стандартный трехпанельный браузер пакетов. [1]

В Wireshark имеется широкий спектр инструментов которые могут быть полезны при построение безопасности сети. Рассмотрим основные функции Wireshark и потенциальные действия злоумышленников.

Анализ Ping sweep запросов

Данная проверка применима в определении IP-адресов, которые в системе являются динамическими. Проверка Ping может быть реализована благодаря использованию протоколов ICMP, TCP или UDP. Наиболее популярным из данных протоколов является ICMP Ping Sweep. В ICMP тип 8 echo-запрос отслеживается ICMP тип 0 echo-ответными пакетами, в то же время как в TCP/UDP ping sweep пакеты привязаны к TCP/UDP порту 7, который является echo-портом. В случае, если целевой хост не поддерживает службу echo, то в тот же момент текущая область проверки TCP/UDP не будет работать. В связи с этим основная часть используется в качестве развертки пинга ICMP. Однако, если имеется брандмауэр, то проверка пинга ICMP становится бесполезной.[2]

Анализ шаблонов и сигнатур нулевых сканирований

В данном типе мониторинга реализовывается сценарий при котором злоумышленник отправляет пакет данных типа TCP, без конфигурации какого-либо баннера на нем, и если обратно он получает RST (TCP Reset)  в ответ, то это означает что порт закрыт, в случае если в ответ приходят ICMP пакеты третьего уровня с кодами 1, 2, 3, 9, 10 или 13, то в этот момент порт скорее всего находится под защитой брандмауэра.  Для того чтобы выполнить идентификацию нулевых сканирований в Wireshark можно использовать пакетный фильтр tcp.flags со значением 0x000. Данная фильтрация покажет все перемещаемые TCP пакеты не имеющих флага. [3]

Анализ шаблонов и сигнатур UDP-сканирований

При проверке UDP злоумышленник направляет на сервер пакет типа UDP на порт целевого назначение, и если в ответ приходит пакет ICMP третьего уровня то порт становится недоступным, в противном случае если ответа нет, но порт остается отфильтрованным и открытым. 

После захвата пакетов в Wireshark, если в ответ получено большое количество пакетов ICMP типа 3 Code 3, то это означает проверку UDP. В Wireshark используется фильтр “icmp.type==3 и icmp.code==3” для определения UDP-сканирований. [4]

Анализ шаблонов и сигнатур сканирования IP-протокола

Мониторинг IP-протокола может иметь смысл для обнаружения протоколов, работающих по экрану IP. Злоумышленник отправляет пакеты с различными номерами протоколов, если он в ответ получает Type 3 Code 2 то это значит что протокол не запущен в objective framework и наоборот в отсутствие ответа указывает на имеющийся протокол или его фильтрацию. Чтобы отличить эту развертку в Wireshark необходимо применить фильтр “icmp.type==3 и icmp.code==2”. Данная функция представляет собой некоторую индикаторную информацию для дальнего вида атаки. [5]

Анализ шаблонов и сигнатур DoS-атак

DoS - это вид атаки используемый для предотвращения доступа клиентам к серверу, например закрыть доступ к сайту, сетевому ресурсу, электронной почте и тому подобным ресурсам. Когда ресурс достаточно ресурсоемкий, можно добиться по крайней мере ограничения пропускной способности сервиса. Обычно подобного рода атаки осуществляются путем создания огромного количества одновременных запросов. Это приводит к неспособности сервера ответить всем, в том числе и реальным пользователям. Результатом может стать полный отказ сервера и сбой работы серверов, вызова автоматических резервных копий, отладок и диагностик в попытке стабилизировать работу сервера. В Wireshark есть инструмент под названием “macof” который входит в семейство инструментов “Dsniff Suite” используемый для заполнения коммутатора в соседней системе MAC адресами. Данная функция поможет определить критическую пропускную способность сервера, что в дальнейшем должно послужить исходной информацией для конфигурации пропускной загруженности к тому или иному ресурсу. [6]

Анализ SYN подобных атак и запросов

TCP SYN флуд (также известный как SYN flood) - это тип определенной атаки злоумышленников типа "Отказ в обслуживании" (DDoS), которая частично использует принцип “тройного рукопожатия” TCP для нагрузки ресурсов сервера в частности оперативной памяти и потоков процессора в холостую. Принцип работы следующий : злоумышленник отправляет бесчисленно большое количество SYN пакетов в запросе на сервер, используется при этом поддельные IP-адреса с использованием прокси технологий, данные действия вынуждает сервер отправлять SYN + ACK подобные ответа, при этом оставляет часть портов полуоткрытыми, ожидая обратной связи от несуществующего конечного устройства под замаскированным IP-адресом. Есть и более простой способ, без подмены IP-адресов, но большинство сервисов имеют иммунитет к подобному роду атак, по этой причине данный способ не эффективен. В результате получаем увеличение загрузки процессора и памяти, к конечном итоге приводящее в исчерпанию ресурсов серверной и неспособность обработки запросов реальных пользователей. Одним из решением может стать внедрение авторизации до получения доступа к запросам, также хорошим решением может стать CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) проверки на то является ли запрос действительно от человека. [7]

Анализ шаблонов и сигнатур ARP-подмены

Протокол разрешения адресов (ARP) - это протокол, который позволяет сетевым коммуникациям достигать определенного устройства в сети. ARP преобразует адреса Интернет-протокола (IP) в адрес управления доступом к MAC адресу и наоборот.

Подмена ARP адресов представляет собой генерацию поддельных ответов ARP.  Отправляя подложные ARP можно встать в доверенный список к конечному устройству, отправлять пакеты, также отправлять запросы к связанным конечным устройствам в сетевом окружении. Такой способ обычно требует физического взаимодействия с маршрутизатором либо непосредственной географической близости злоумышленника если сеть является беспроводной. Такой способ распространен как “отравление”, подделка ARP для получения доступа и прав объективного конечного устройства. [8]

Мониторинг логинов и паролей

Wireshark имеет функционал отслеживания пакетов информации при передаче их по протоколу HTTP. Для примера можно использовать любой веб сайт с авторизационной формой без шифрования. Для этого нужно фильтровать данные по “HTTP” для просмотра всего HTTP трафика. Далее в столбце “Info” нужно найти записи HTTP verb POST и нажать на них. Под записями журнала находится информационная панель со сводкой собранных данных. Данная функция будет полезна в целях тестирования и поиска уязвимостей существующей сети или системы. Именно таким способом злоумышленники помимо фишинга могут получить доступ к учетным записям авторизованных пользователей. [9]

Заключение

Чтобы избежать обнаружения, злоумышленники прибегают к хитроумным уловкам фишинга, чтобы заполучить легитимные учетные записи сотрудников, что достаточно сильно усложняет работу мониторинговых систем которые уже развернуты над сетевым доменом рабочей организации. Мониторинговой системе сложно ассоциировать такие аккаунты со сторонними. В связи с данными явлениями были разработаны новые функции систем анализа и мониторинга сети, предлагая решения и способы борьбы с креативными злоумышленниками. Помимо прочего с широким внедрением в предприятия облачных решений, процессов DevOps а также IoT поддержание надежности и безопасности сети стало представлять очень тяжелой и трудоемкой процедуру. Продукты для анализа сетевого трафика могут служить и быть единственно правильным и достоверным решением для отображения реальной картины трафика в сети.

Список литературы:

1. Электронный ресурс: https://www.oreilly.com/library/view/wireshark-2-quick/9781789342789/d91f3f81-e149-41f7-b2f1-f6bfc198f358.xhtml;
2. Электронный ресурс: https://osqa-ask.wireshark.org/questions/17164/difference-between-rstack-and-rst-responses-in-a-null-scan/;
3. Электронный ресурс: https://www.hackingarticles.in/understanding-nmap-scan-wireshark/;
4. Электронный ресурс: https://www.comparitech.com/net-admin/wireshark-ip-address-unknown-host/;
5. Электронный ресурс: https://www.e3s-conferences.org/articles/e3sconf/pdf/2020/62/e3sconf_icenis2020_15003.pdf;
6. Электронный ресурс: https://www.firewall.cx/general-topics-reviews/network-protocol-analyzers/1224-performing-tcp-syn-flood-attack-and-detecting-it-with-wireshark.html;
7. Электронный ресурс: https://media.neliti.com/media/publications/263063-arp-spoofing-detection-via-wireshark-and-9a79ced5.pdf;
8. Электронный ресурс: https://www.infosecmatter.com/capture-passwords-using-wireshark/;