Антихакинг в сети

Ethernet-анализаторы (sniffers) — один из самых мощных инструментов в арсенале защиты сети. Однако в «плохих» руках они могут стать весьма серьезной угрозой безопасности сети. Анализаторы могут быть как внутренними, так и злонамеренными внешними нарушителями, но тем не менее после обнаружения системы они, скоре всего, приступают к анализу («вынюхиванию») локальной сети. Такая сетевая разведка помогает этим «шпионам» находить следующую цель или просто собирать лакомые кусочки информации (например, имена и пароли пользователей, адреса электронной почты и другие важные сведения).
Еще не так давно было распространенно мнение, что только Ethernet-сети с совместно используемой средой (shared-medium) уязвимы перед анализаторами. Эти сети использовали центральный концентратор, который осуществлял повторное вещание каждого передаваемого пакета на каждый порт концентратора. При таком типе настройки каждый фрейм, посылаемый любым узлом сети, принимался каждым узлом локального сегмента сети. После этого каждый сетевой адаптер узла (интерфейс) быстро проверял, является ли он пунктом назначения. Если нет, то фрейм отвергался, если да, то фрейм проходил через стек сетевого протокола и обрабатывался приложением. По этой причине анализ трафика другой сети был довольно простым делом. Поскольку весь трафик попадал на каждую систему, надо было лишь отключить проверку, выполняемую сетевым адаптером, и система получала доступ к трафику, предназначенному для других. Обычно это называлось переводом сетевого адаптера в беспорядочный режим и выполнялось привилегированным пользователем.