■snifferingとは?
現行のIPv4ではIPパケットは暗号化されていないため、sniffering(スニッフィング用のプログラムを仕掛けることさえできれば、通信の内容を見ることができます。(次世代のIPv6では、標準でパケットの暗号化と送信者の認証が行われます。詳細は、IPv6 Document Projectを参照してください。)
スニッファは、プロトコルアナライザとも呼ばれています。
■スニッファプログラム
プログラムは、Internet上から簡単に手に入ります。ただし、ネットワーク管理者がアナライザとして使用するものであるので、root権限が必要です(root権限の取りかたは、他の講座を参照してください)。
この場合、盗聴(sniffering)者が仕掛けるのは、そのネットワークに属するうちのたった1台で良いのです。Ethernetはバス型のネットワーク構造を持っているので、LAN上を流れるパケットは全てブロードキャストされます。1台のマシンで傍受プログラムを動かす権限を手に入れさえすれば、簡単にパケットを読むことが可能となります。もちろん、暗号化されていないパケットには、Passwd情報もありますね。
■スニファの利点
スニファの利点は、次のようなものが考えられます。
■無防備なトラフィックに対するスニッファーリング(盗聴)
●共有メディア
従来型のイーサネットではそのセグメントを流れるトラフィックを見るためには、スニッファをそのネットワーク上に置くだけで可能でした。これは多くの企業がスィッチング・イーサネットを使うようになってきているので、だんだんと難しくなってきています。
●サーバ・スニッファリング(Server sniffing)
しかしながら、スィッチングされたネットワークにおいて、もしサーバ上にスニッファ・プログラムを設置することができたなら(特にルータとして機能しているもの)、その情報をクライアントマシンや信頼関係にあるマシンへ侵入することに利用できるでしょう。例えば、ユーザのパスワードを知らない場合でもログインする時のTelnetセッションをスニッフ(盗み見)することで、パスワードを手にいれることができるでしょう。
●リモート・スニッファリング(Remote sniffing)
多くのコンピュータは RMONが可能な状態で設定されています。帯域幅は狭いのですが(全てのトラフィックをスニッフすることはできません。)ここにも多くの可能性が潜んでいます。
■対策
snifferingに限らず通信内容の盗聴を防ぐには、通信内容を暗号化すてしまうことが重要であります。例えば、sshが有効。
また、スニファ攻撃の発見は難しい。なぜならば、スニッファが受身のプログラムだからである。スニッファを追い詰める昔からの手段は、ネットワークで使われているネットワークインターフェイスの中にプロミスキャスモードになっているかどうかを確認することである。確認には、以下のツールを使う。
●ifconfig
ローカルホストでプロミスキャスモードにあるインターフェイスをすばやく見つけるには、コマンドifconfigを使いましょう。これは、Linuxのネイティブなユーテリティです。
$ ifconfig
打ちこんでみましたか?何か、ずらずらっと表示されませんでしたか?でないって?rootで打ちこまないとだめです・・・。
表示された中身をみてみましょう。eth0の3行目当たりに、以下のようなものがあったらEthernetインターフェースがプロミスキャスモードになっているので気をつけましょう。
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
●ifstatus(詳細は、特別講座<ifstatus編>を参考にせよ)
ifstatusは、システム全体のネットワークインターフェースをチェックし、デバックモードやプロミスキャスモードにあるインターフェースを報告するツールである。
■終わりに
タッピング(詳細は、特別講座<タッピング編>を参照せよ)と併用することも可能です。
■関連リンク・参考文献
|
|||
|
|