Програма дозволяє подивитися пароль будь-якого користувача в локальній мережі, в т.ч. і відокремленого світча, якщо:
Програма написана не для того, щоб комусь нашкодити, а щоб адміни не думали, що всі користувачі такі кретини і можна зовсім забити болта на питання захисту.
Алгоритм роботи програми такий:
3) Після цього весь трафік між атакується машиною і проксі проходить через нас. ми його дзеркально відображаємо куди слід - якщо пакет прийшов від проксі, відправляємо його атакується машині, і навпаки - якщо пакет прийшов від атакується машини, відправляємо його проксі.
4) Переглядаємо кожен пакет від атакується машини до проксі - коли користувач вийде в інтернет або просто перейде до наступного посилання, до проксі піде запит на отримання нової сторінки, в якому буде міститися в т.ч. і пароль.
В результаті користувач на атакований машині навіть не помітить, що його пароль стягнули.
Якщо використовується мережа Microsoft і proxy теж на базі Microsoft, то в цьому випадку зазвичай використовується схема аутентифікації NT Lan Manager (NTLM), тоді пароль в чистому вигляді через мережу вже не передається, і визначити його можна тільки на базі різного роду угадивальщіков типу LC3 і пр.
Те ж саме відбувається і в разі, коли використовується мережа Unix і проксі-Unix. Тоді можливі найрізноманітніші способи аутентифікації, коли пароль в чистому вигляді також не передається.
Але найтиповіший випадок, на мій погляд, це коли мережа - Microsoft, а proxy і firewall (тобто вихід в інтернет) - на базі Unix. І ось в цьому випадку часто у адміністраторів виникає завдання визначати, хто виходить в інтернет, скільки і чого викачує, і тут адміністратори починають використовувати аутентифікацію. Оскільки в якості проксі в такому випадку найчастіше використовується Squid, а в версіях до 2.5 в ньому не було підтримки NTLM (а в 2.5 ще піди настрій NTLM :-)) - використовують просту аутентифікацію, коли пароль передається в чистому вигляді без шифрування. Ось тут-то і з'являються
можливості цей пароль підглянути.
Якщо в мережі не використовуються світчери (інтелектуальні хаби), то можна просто слухати весь мережевий
трафік і гребти паролі оберемком. Але в разі наявності світчер ми можемо почути тільки
трафік від нас, до нас і широкомовний. Тоді простим прослуховуванням нічого не домогтися, доводиться йти манівцями. Саме один з таких шляхів і демонструє дана програма. Їй не страшні будь-які свитчи - всю інформацію вона отримає і так.
Програма тестувалася на працездатність саме в такій мережі - результати вражають :-). Думаю, що ці результати ще більш вразили б адміна цієї мережі.
Архів з програмою і
кодами
Покажи цю статтю друзям: