Docstoc

TALLINNA TEHNIKAüLIKOOL

Document Sample
TALLINNA TEHNIKAüLIKOOL Powered By Docstoc
					           TALLINNA TEHNIKAÜLIKOOL
               Automaatikainstituut




               Kodutöö nr 2 aines
              LAP3731, Arvutivõrgud

Ethernetis liikuva info jälgimine ja analüüs




                                               Eero Ringmäe
                                                      010636
                                                       LAP42
                                      Juhendaja: Rein Paluoja,
                                                 Andres Rähni




                  Tallinn 2003
Autorideklaratsioon
Käesolevaga kinnitan, et olen antud praktilise töö teostanud vastavalt eeskirjale
ning iseseisvalt ja aruande koostanud omal käel.

Eero Ringmäe          ...............................
Uuritava sessiooni valik, põhjendus
Et kõik ausalt ära rääkida, pean alustama sellest, et kasutasin käesoleva kodutöö
tegemiseks küll WinPcap versioon 3.0 ajurit, kuid mitte WinDumpi käsurea-
keskkonda, vaid alternatiivset vabavarana levitatavat graafilist kasutajaliidest
nimega Ethereal. Leidsin kolmanda alternatiivina veel ärivarana müüdava
võrguinfo pealtkuulamise ning graafilise esitamise programmi Sniff'em.
Esialgu uurisin võrgusessiooni TTÜ ekstranetiga aadressil http//ois.va.ttu.ee, kuid
osutus, et sealne tugev krüpteerimine ja turvakontroll tegid sessiooni arusaadava
jälgimise ja analüüsi liiga keeruliseks (ois.va.ttu.ee-ga suhtlemise pealtkuulamise
kindlist hindan seega enese jaoks piisavaks :).

Teise valikuna uurisin sessiooni ühe Eestis suhteliselt populaarse e-posti
teenusepakkujaga http://www.mail.ee [IP aadress: 212.107.32.204].
Saatsin oma postkasti eelnevalt kirja parameetritega:
Teema --> 'Nõudmiseni, Muhvilt'
Sisu --> 'Tere, hr Ringmäe'
Uurisin sessiooni nelja aspakti – lehe avamist, sisselogimist, kirja avamist ning
väljalogimist.
Minupoolne arvuti asus Eesti Telefoni 'dial-up ADSL' ühenduse taga DHCP-l
töötavas switchiga kommuteeritud kohtvõrgus.

Sessiooni käik
Kokku liikus sessiooni jooksul edasi-tagasi tervenisti 378 paketti (plain text
vormingus 214kB andmeid). Enamik pakette kandsid infona kas minu arvuti
suunas liikuvate failide sisu või teenusepakkuja poole liikuvaid pakettide
kättesaamise kinnitusi (acknowledgement).
NB! alltoodud tabelites on paketi iseloomustavas 'info' osas toodud sageli vaid
kirjeldus, millist infot pakett sisaldas, kuna HTML failide ning piltide
kahendkoodide siin toomine oleks osutunud liiga pikaks.

Tervikliku logi sessioonist leiate siit..

Lehe avamine
Kuna viimasest päringust võrku oli möödas suhteliselt kaua, saatis minu arvuti
kõigepealt broadcast aadressile Address Resolution Protocol päringu, saamaks
teed lüüsina (default gateway) märgitud arvutini, vastuseks pakett 2
marsruuteriks oleva arvuti MAC aadressiga:

No   Time       Source            Destination       Prot   Info                        Pikkus
                                                    ocol                               (B)
                                                           Who has 192.168.0.1? Tell
1    0.000000   eero.mshome.net      Broadcast      ARP                                  42
                                                                192.168.0.200
                                                               192.168.0.1 is at
2    0.000587   m2rt.mshome.net   eero.mshome.net   ARP                                  60
                                                                0:40:f4:60:2d:f3
Saanud teada tee välisvõrku, saatis minu arvuti (eero.mshome.net -->
192.168.0.200) TCP ühenduse alustamiseks sünkronisatsioonipaketid mail.ee-
sse (212.107.32.204), sai kinnitused:

No   Time       Source             Destination       Prot   Info                           Pikkus
                                                     ocol                                  (B)
                                                                 1783 > 80 [SYN]
3    0.000782   eero.mshome.net     212.107.32.204   TCP      Seq=1974653968 Ack=0           62
                                                                 Win=16384 Len=0
                                                                 80 > 1783 [SYN,
                                                               ACK]Seq=4097473050
4    0.050738    212.107.32.204    eero.mshome.net   TCP                                     60
                                                            Ack=1974653969 Win=5840
                                                                      Len=0
                                                                 1783 > 80 [ACK]
                                                                 Seq=1974653969
5    0.051878   eero.mshome.net     212.107.32.204   TCP                                     54
                                                            Ack=4097473051 Win=17280
                                                                      Len=0


Ülaltoodu on standardne TCP ühenduse loomise protseduur. Päringut sooritav
arvuti saadab välja sünkronisatsioonisignaali, saab vastuseks sünkronisatsiooni
kinnituse ja vastusünkro. Seejärel kinnitab päringu saatja kättesaamist
omapoolse acknowledgementiga.

Seejärel saatis minu arvuti HTTP-päringu, milles märkis ära loodava ühenduse
põhiparameetrid, iseenese operatsioonisüsteemi, vastuvõetavad failitüübid jpm:

No   Time       Source             Destination       Prot   Info                           Pikkus
                                                     ocol                                  (B)
6    0.000782   eero.mshome.net     212.107.32.204   HTTP     GET / HTTP/1.0                 433




Vastuseks tuli index.html fail ning hulgaliselt pildifaile (IE temp kataloogi) ..
näiteks:

No   Time       Source             Destination       Prot   Info                           Pikkus
                                                     ocol                                  (B)
17   0.512734    212.107.32.204    eero.mshome.net   HTTP          .. HTML kood..           1494
                                                                   .. pildi URL-iga
54   4.714798    reklaam.www.ee    eero.mshome.net   HTTP   /reklaam/img/rek/ed_sisu.gif    1494
                                                                 kahendkoodi osa..
81   5.216595    reklaam.www.ee    eero.mshome.net   HTTP         HTTP/1.1 200 OK           1494




Mille igale fragmendile saadeti kinnitus:

No   Time       Source             Destination       Prot   Info                           Pikkus
                                                     ocol                                  (B)
                                                                 1783 > 80 [ACK]
                eero.mshome.net
                                                                 Seq=1974654348
10   0.286403     (nüüd ja alati    212.107.32.204   TCP                                     54
                                                            Ack=4097475931 Win=17280
                 198.162.0.200)
                                                                     Len=0


Reklaambannerid laeti lehelt http://reklaam.www.ee.
Kokku kulus lehe laadimiseks 101 paketti (palju graafikat, html-faili integreeritud
stiilileht jms) ning ~6 sekundit (5.825331s).
TCP ühenduse lõpetamiseks kasutati (täiesti ootuspäraselt) kolme (TCP) paketti:
     - eero.mshome.net --> tavaline acknowledgement
     - eero.mshome.net --> kutse lõpetamisele – FIN (eriline acknowledgement
         pakett)
     - 212.107.32.204 --> lõpetamise kinnitus -> acknowledgement

Sisselogimine
HTML fail ja pildid jõudsid õnnelikult kohale.
Peale lehel asuvasse vormi kasutajatunnuse ning parooli sisestamist ning vormi
saatmist (submit) ja eeltooduga sarnaseid TCP sünkronisatsioonipakette, läks
teele päring paketina:

No     Time          Source              Destinatio       Prot   Info                                    Pikkus
                                         n                ocol                                           (B)
                                                                       POST /? HTTP/1.0
                                                                  Accept: image/gif, image/x-xbitmap,
                                                                       image/jpeg, image/pjpeg,
                                                                    application/vnd.ms-powerpoint,
                                                                       application/vnd.ms-excel,
                                                                        application/msword, */*
                                                                      Referer: http://www.mail.ee/
                                                                         Accept-Language: et
                                                                 Content-Type: application/x-www-form-
                                                                               urlencoded
                                                                  User-Agent: Mozilla/4.0 (compatible;
                                                                  MSIE 6.0; Windows 98; Win 9x 4.90;
                                                                     (R1 1.1); .NET CLR 1.0.3705)
                                                                           Host: www.mail.ee
                                                                          Content-Length: 81
                                                                        Connection: Keep-Alive
                                                                           Pragma: no-cache
105     12.955479     eero.mshome.net    212.107.32.204   HTTP                   Cookie:                   633
                                                                 PHPSESSID=3408ae8dd64f1aa6dee2
                                                                             07ba7f37586d
                                                                   Eelnev on HTTP protokolli
                                                                  spetsiifilised andmed saatja
                                                                   arvuti võrguvõimete kohta

                                                                  Järgnev on edasikantavad
                                                                      kasutajaandmed
                                                                 uname=eero96&pass=XXX
                                                                 XXXXXXXXXXXXXX&Submi
                                                                 t=++Logi+sisse++&op=logi
                                                                 n&do=mail&challenge=&ha
                                                                        sh=HTTP/1.1


Osutub, et kasutajaandmed saadeti teele HTTP protokolli POST meetodiga.

Millele saadi kättesaamise kinnitus ning vastuseks HTML fail kasutaja kirjadega
ning hulgaliselt pildifaile:

No    Time          Source              Destination       Prot   Info                                    Pikkus
                                                          ocol                                           (B)
                                                                      80 > 1789 [ACK]
10                                                                   Seq=4109927978
      13.047518      212.107.32.204     eero.mshome.net   TCP                                              60
 6                                                               Ack=1978151844 Win=6948
                                                                            Len=0
                                                                 HTTP/1.1 200 OK + serveris
10
      13.220475      212.107.32.204     eero.mshome.net   HTTP     kokkupandud html-faili                 1494
 7
                                                                       esimene lõik ..
xxx      ...         212.107.32.204     eero.mshome.net   HTTP        .. jätk failidele ..                1494
Osa vajalikke elemente (kirjade päised ja lingid kirjadele) laeti HTTP GET
meetodiga alla alternatiivsest serverist (cs3.tele2.ee), millega loodi ühendus
peale mail.ee serverist failide kättesaamist:

No   Time         Source            Destination       Prot   Info                           Pikkus
                                                      ocol                                  (B)
                                                                          GET
12                                                           /etrack.phtml/mailee/eday/EE
     14.080372    eero.mshome.net     cs3.tele2.ee    HTTP                                    400
 7                                                           /PP4GT9RrIMsAAFS7OBk21
                                                                      2/ HTTP/1.0


Leht kätte saadud, toimus juba eelnevast tuttav kolmepaketiline TCP ühenduse
lõpetamine.

Kokku vahetati 89 paketti.
Ühenduse loomisest kuni lõpetamiseni kulus ~16 sekundit (16.305961s).

E-kirja allalaadimine
Kõigepealt kolme sünkronisatsiooni-acknowledgementi-paketiga TCP ühenduse
loomine.

Peale kirja päise lingil klikkimist saadeti HTTP-GET meetodiga päring mail.ee
põhiserverisse (212.107.32.204), osa infot laeti ka juba enne figureerinud
serverist cs3.tele2.ee.
Näitena:

No   Time         Source            Destination       Prot   Info                           Pikkus
                                                      ocol                                  (B)
                                                                          GET
19
     29.238933    eero.mshome.net    212.107.32.204   HTTP    /?op=mail&f=read&msgid=0        487
 5
                                                                       HTTP/1.0
                                                                          GET
21                                                           /etrack.phtml/mailee/eday/EE
     29.2985473   eero.mshome.net     cs3.tele2.ee    HTTP                                    422
 6                                                           /PP4GT9RrIMsAAFS7OBk21
                                                                      2/ HTTP/1.0


Op – operatsioon? (everyday.com portaali põhine funktsioonide hulk?? a la
'peiler', 'sms')
f – funktsioon? (read – loe, new - kirjuta)
Kirjakastis oli vaid üks kiri – sellest ka msgid=0

Iga kahe andmetega HTTP paketi järel tulid vastavatele pakettidele TCP tasemel
acknowledgementid.

Laeti alla HTML leht ning hulgaliselt pildifaile. Reklaambannerid, nagu tavaliselt
aadressilt http://reklaam.www.ee.

Lõpuks eeltoodud viisil kolme paketi vahetamise teel TCP ühenduse lõpetamine.
Kirja avamiseks kasutati 95 paketti.
Ühenduse loomisest lõpetamiseni kulus ~3 sekundit (2.701831s).

Välja logimine

Minu arvuti lõi eestoodud kujul TCP-ühenduse mail.ee serveriga.

Arvuti saatis HTTP-GET päringu tegevuse 'logout' algatamiseks mail.ee serveris,
mis resulteerus mail.ee avalehe kuvamisega:

No    Time        Source            Destination         Prot   Info                      Pikkus
                                                        ocol                             (B)
29                                                             GET /?do=mail&op=logout
      33.345135   eero.mshome.net    212.107.32.204     HTTP                               504
 1                                                                    HTTP/1.0


Minu arvuti lõpetas eeltoodud viisil TCP ühenduse mail.ee serveriga.

Välja logimiseks kasutati 89 paketti
TCP ühenduse loomisest lõpetamiseni kulus ~3 sekundit (2.752573s).


...
42. sekundil jõudis koduse LAN-i DHCP serverilt minu arvutini üks lisapakett, mis
nõudis DHCP operatsiooni nr 0x46364275 teostamist (DHCP Request -
Transaction ID 0x46364275).

Sessiooni analüüs
Kasutatud protokollid
Kõigepealt loodi saatis päringut sooritav arvuti ARP (Address Resolution
Protocol) päringu sisevõrgu broadcast aadressil, et saada välisvõrgu lüüsi MAC
aadressi.
Siis loodi kasutaja poolt päritud aadressiga (nimeserverst IP aadressi pärimine
toimus eelnevalt) serveriga TCP (Transmission Control Protocol) ühendus
Seejärel vahetati üle TCP hulganisti HTTP (HyperText Transfer Protocol)
vormingus päringuid ja andmeid.
Ühendus lõpetati TCP standardi kohaselt
Lõpuks küsis DHCP (Dynamic Host Configuration Protocol) server mingit
spetsiifilist tegevust.

Pakettide arv protokolliti:
protkoll                                              arv                    %
ARP                                                   2                      0.53
TCP                                                   375                    99.21
DHCP                                                  1                      0.26
xXx                                                   378                    100
Paketi keskmine pikkus: 510B
Kogu sessiooniks kulus 42.3 sekundit
Keskmiselt võeti vastu 8.9 paketti / sec (kasutaja mõttepausid kaasa arvatud)

Kasutajainfo vahetamine
Kasutajainfo saadeti serverisse kasutades HTTP protokolli POST meetodit,
krüpteerimata ning kasutades sisendvormis väga tavalisi identifikaatoreid
(uname ja pass).
Sisseloginuna identifitseeriti kasutaja POST meetodiga (võimalik, et ka IP
aadressiga serveri poolt), kirjadega tehtavad operatsioonid saadeti veebilehitseja
aadressireal (kättesaadavad HTTP protokolli GET meetodiga).

Hinnang pealtkuulamiskindlusele
Kuna tegemist on tasuta internetis pakutava meiliteenusega, mis orienteeritud
inimeste igapäevasuhtluseks ning pigem meelelahutuse kui äri eesmärkide
täitmiseks, on arusaadav, et andmete turvalisuse ning kättesaamatuse
tagamiseks pole tehtud eriti palju.
Pea igaüks, kel oleks võimalik arvutis toimuvat TCP sessiooni jälgida, saaks
kasutajaandmetele järele.
Võrreldes http://ois.va.ttu.ee-sse sisselogimise jälgimisega sai isegi minusugune
esmakordne eksperimentaator siin täpselt aru,mis toimus.
Samas ei tähenda selline kasutaajandmetega ümber käimine minu arvates otsest
ohtu või turvariski. Olen kindel, et palju suurema tõenäosusega unustavad või
annavad edasi oma id ja parooli kasutajad ise. Arvan, et inimfaktorist tulenev risk
on suurem, kui see, et keegi LAN-is raali võrgusuhtlust pealt kuulab.
----------
Ainukese soovitusena oskaksin pakkuda, et HTML sisendvormis oleksid uname
ja pass ümber nimetatud mõnede teiste,mitte nii üldarusaadavate
identifikaatoritega – see võimaldaks vast vähemalt osade sessiooni-sniffijate
segadusse ajamist.
----------

Järeldused
WinPcap ja selle graafilised kasutajaliidesed, näiteks Ethereal on suhteliselt
lihtsasti kasutatavad ning efektiivsed vahendid võrgusuhtluse pealtkuulamiseks
ühisesse võrku ühendatud arvutite vahel.
Pakettide filtreerimise ning TCP ühenduste jälgimise võimalused päästavad
võrgusuhtluse logija väga suuremahulise infomüriaadi käest, mis võrgus voolab,
ning võimaldavad pöörata tähelepanu spetsiifilistele tegevustele ning pakettidele.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:6
posted:12/12/2011
language:
pages:8