лаб.4 (1085586), страница 2
Текст из файла (страница 2)
Былазапущена программа CAPTURNET. Поскольку на упомянутом в предыдущем домашнемэксперименте компьютере программа работала некорректно, она была установленанепосредственно на компьютер, трафик которого анализировался. Это не совсем чистыйэксперимент, однако он поможет понять что происходило во время выполнения лабораторнойработы. На почтовый ящик, адрес не упоминается в интересах конфиденциальности было высланотестовое письмо с заголовком tst и текстом сообщения tstыыыtst.
В программе CAPTURNET былнастроен фильтр на перехват сообщений проходящих через 110 порт. Был запущен перехват (StartCapture). Программой Microsoft Outlook Express было получено тестовое письмо. Перехват былостановлен.Теперь посмотрим, как выглядел сеанс получения тестового письма:ктоC:S:C:S:C:S:S:C:S:S:сообщение..XHB....g{^..E..0.A@...M2.....C.f.(.n.C......p...._.............g{^..XHB...E..0Z...4....C.f.....n.(.6.N.C..p..../.....P......XHB....g{^..E..(.B@...M9.....C.f.(.n.C...6.OP....o.....g{^..XHB...E...[;..4..:.C.f.....n.(.6.O.C..P.......+OK ....XHB....g{^..E..A.G@...M......C.f.(.n.C...6.UP.......USER □□□□□□□□□@inbox.ru.....g{^..XHB...E..([h..4....C.f.....n.(.6.U.C..P...+............g{^..XHB...E..[[r..4....C.f.....n.(.6.U.C..P...Q...+OK Password required for user □□□□□□□□□@inbox.ru....XHB....g{^..E..:.L@...M......C.f.(.n.C...6..P.......PASS ☺☺☺☺☺☺☺☺☺☺☺.....g{^..XHB...E..([...4....C.f.....n.(.6...C..P...+;...........g{^..XHB...E..f[...4..L.C.f.....n.(.6...C..P.O2..+OK □□□□□□□□□@inbox.ru maildrop has 1 messages (2048 octets)..Смысл:тук-тукда-да!работаете?угая Васяугуугу, чемдокажешь?пароль «муха»ну проходитебе конвертс однимписьмом5C:S:S:..XHB....g{^..E....Q@...M$.....C.f.(.n.C...6..P....u..STAT.....g{^..XHB...E..(\...4..c.C.f.....n.(.6...C..P...*............g{^..XHB...E..4\...4..S.C.f.....n.(.6...C..P.OK 1 2048..C:..XHB....g{^..E....V@...M......C.f.(.n.C...6..P..|.u..LIST..S:S:...g{^..XHB...E..(\L..4../.C.f.....n.(.6...C..P...*............g{^..XHB...E..F\O..4....C.f.....n.(.6...C..P....N..+OK 1messages (2048 octets)..С:S:..XHB....g{^..E..(.Z@...M!.....C.f.(.n.C...6..P..^.o.....g{^..XHB...E..3e...4....C.f.....n.(.6...C..P...S...1 1502.....С:S:S:S:C:S:S:C:C:S:S:C:S:S:S:C:C:S:конверт?угу, с однимписьмом,вместе 2048битогласите весьсписокугу, значит содним письмом- всего 2048битпервое письмо- 1502..XHB....g{^..E..0._@...M......C.f.(.n.C...6..P..S.w..RETRчитай первое1.....g{^..XHB...E..(f...4....C.f.....n.(.6...C..P...*.........письмо...g{^..XHB...E..9g...4..\.C.f.....n.(.6...C..P....M..+OK 1502угу, сейчас яoctets..тебе 1502 битзачитаю...g{^..XHB...E..(g ..4..[.C.f.....n.(.6...C..P....@..ответ пишиReturn-path: <□□□□□□□□□@inbox.ru>..туда-то,Received: from [78.106.45.95] (port=3744 helo=■■■■■■■■■■)...письмоby x33.mail.ru with psmtp...привезлиid 1LGM4J-000LmV-00...оттуда-тоfor □□□□□□□□□@inbox.ru;Sat, 27 Dec 2008 02:26:11 +0300..Messageтогда-то.
оноID: <001c01c967b1$4e6c6a10$0300a8c0@■■■■■■■■■■>..от Васи Васе.From:=?koi8-r?B?7cnby8E=?= <□□□□□□□□□@inbox.ru>..тема: tstTo:< □□□□□□□□□@inbox.ru>..дата иSubject: tst..прочее..Date: Sat, 27 Dec 2008 02:25:50 +0300..MIME-Version: 1.0..Content- остальноеType: multipart/alternative;...чуть позжеboundary="----=_NextPart_000_0017_01C967CA.6F70FBE0"..таким-тоX-Priorityкуском...g{^..XHB...E..+g!..4..W.C.f.....n.(.6...C..P....f..: 3.....XHB....g{^..E..(.b@...M......C.f.(.n.C...6..P..?.o..угу...g{^..XHB...E..(g...4..M.C.f.....n.(.6...C..P...s.....продолжение:X-MSMail-Priority: Normal..приоритетX-Mailer: Microsoft Outlook Express 6.00.2900.3138..нормальный,X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198..отправлено 6мX-Spam: Not detected..X-Mras: Ok....экспрессом,This is a multi-part message in MIME format.....-----без спама.=_NextPart_000_0017_01C967CA.6F70FBE0..Все обычнымContent-Type: text/plain;...текстом вcharset="koi8-r"..koi8-r.Content-Transfer-Encoding: quoted-printable....текстtst=D9=D9=D9tst..tstыыыtst------=_NextPart_000_0017_01C967CA.6F70FBE0..Это такой-тоContent-Type: text/html;...кусокcharset="koi8-r"..большогоContent-Transfer-Encoding: quoted-printable.письма...g{^..XHB...E..)g/..4..K.C.f.....n.(.6...C..P...............XHB....g{^..E..(.c@...M......C.f.(.n.C...6..P..>.o..угу..XHB....g{^..E..0.v@...L......C.f.(.n.C...6..P.A ...w..удали письмоDELE 1.....g{^..XHB...E..(j...4....C.f.....n.(.6...C..P...$............g{^..XHB...E..?j...4....C.f.....n.(.6...C..P..."]..всё! удалил!+OK message 1 deleted....XHB....g{^..E....{@...L......C.f.(.n.C...6..P....u..QUIT..ну я пойду...g{^..XHB...E..(kD..4..7.C.f.....n.(.6...C..P...$............g{^..XHB...E..(kD..4..7.C.f.....n.(.6...C..P...$............g{^..XHB...E..(kq..4....C.f.....n.(.6.+.C..P...$d........угу..XHB....g{^..E..(..@...L......C.f.(.n.C...6.,P....o..уходит..XHB....g{^..E..(..@...L......C.f.(.n.C...6.,P....o.....g{^..XHB...E..(k...4....C.f.....n.(.6.,.C..P...$d........закрываетдверь6В результате мы получили исходное сообщение tstыыыtst (в виде tst=D9=D9=D9tst, в кодировкеKOI8-R).За счет выделения цветом достаточной просто определить назначение определенныхфрагментов каждого из пакетов:канальный уровень стэка TCP/IP0000:0010:0020:0030:000017FF1E3A66C65813089A484C288142400000FE006E000080BD5013064341межсетевой уровень стэка TCP/IP000017FF1E3A66C65813089A484C2881671DAB537B 5E 08 00 45 00C0 A8 00 03 C2 438C 36 0D 88 50 1820MAC адрес источникаMAC адрес получателя01 1E 58 48 42 FE –00 13 D4 67 7B 5E -0000:0010:0020:0030:D44D8A5342400000FE006E000080BD5013064341D44D8A53671DAB537B 5E 08 00 45 00C0 A8 00 03 C2 438C 36 0D 88 50 1820C0 A8 00 03 (192.168.0.3) – IP адрес источникаC2 43 17 66 (194.67.23.102) – IP адрес получателятранспортный уровень стэка TCP/IP0000:0010:0020:0030:000017FF1E3A66C65813089A484C288142400000FE006E000080BD5013064341D44D8A53671DAB537B 5E 08 00 45 00C0 A8 00 03 C2 438C 36 0D 88 50 1820идентификатор протокола (TCP)06 –прикладной уровень стэка TCP/IP0000:0010:0020:0030:000017FF1E3A66C65813089A484C288142400000FE006E000080BD5013064341D44D8A53671DAB537B 5E 08 00 45 00C0 A8 00 03 C2 438C 36 0D 88 50 18200828 – порт источника (2088)006E – порт получателя (110)7Вернемся к описанию лабораторной работы.Перехват логина и пароля ICQ-аккаунта при помощи перехвата трафика между клиентом QIP исервером ICQ.
Перехват удался. Правда, пароль для ICQ был не в открытом виде, а в двухбитнойкодировке. Контакт-лист был перехвачен, но он был пуст.Часть 2. Взлом WindowsДля взлома пароля используется парольная база и программа LCP.На компьютере зарегистрировано 5 пользователей:Administrator – пароль больше 14 знаковGuest – нет пароляUser – меньше 8 знаковUser1 – меньше 8 знаковUser2 – от 8 до 14 знаков, его длина - десять знаков и последние 3 цифры JKLБыла выполнена одна словарная атака:User – пароль User – подобран менее чем за секунду,User1 – пароль 123 – подобран менее чем за секунду,User2 – пароль fjhvbnajkl подобран за 3 мин.
40 сек.Задача №1. Скорость подбора семизначного пароля захэшированного LM хэшем 700 000комбинаций в секунду (среднее время подбора 3 часа 15 минут). Сколько времени потребуется,чтобы подобрать семизначный пароль, состоящий из 26 латинских букв и 10 цифр?Решение:Число возможных вариантов определяется, как (26+10)7 = 78 364 164 096 комбинаций.78 364 164 096Тогда время подбора равно=111 948,806 сек. = 1865,8 мин.
= 31 час 6 мин.700 000Другими словами обе части LM хэша пароля могут быть подобраны за разумное время.Далее проводим попытку подбора администратора пароля 13 символов (более длинные паролине позволяет подобрать используемая версия программы), захэшированного NT-хэшем.4-значный NT-хэш взламывается со скоростью 34000 комбинации в секунду5-значный NT-хэш взламывается со скоростью 16000 комбинации в секунду13-значный NT-хэш взламывается со скоростью 39 комбинации в секундуЗадача №2. Сколько компьютеров потребуется, чтобы подобрать 14 из 26 латинских букв заодин год при скорости 20 комбинаций в секунду.Решение:ЧисловозможныхвариантовдляпаролявLM-хэшеопределяется,как2·267=6 450 997 470 3297 150 976 комбинаций.2 ⋅ 26 7 803 181 017,6 секТогда время подбора равно:== 25,45 лет.60 ⋅ 60 ⋅ 24 ⋅ 365,2420Значит, для подбора пароля в течение года потребуется 26 компьютеров при условии, что упароля есть LM-хэш.Если существует только NT-хэш, то нужно также учитывать целостность пароля и регистрбукв.ЧисловозможныхвариантовдляпаролявNT-хэшеопределяется,как14(26+26) =6 450 997 470 3297 150 976 комбинаций.52846571276941026079539,2 сек5214Тогдавремяподбораравно:==60 ⋅ 60 ⋅ 24 ⋅ 365,242016 746 067 912 940 472,68 лет.Значит, для подбора пароля захэшированного NT-хэшем в течение года потребуется16 746 067 912 940 473 компьютера.8Задача №3.
Сколько компьютеров потребуется, чтобы подобрать 17 из 26 латинских букв заодин год при скорости 3 комбинации в секунду.Решение:Число возможных вариантов определяется, как (26+26)17=6 450 997 470 3297 150 976комбинаций.49537671294054158633278985557,33 сек5217Тогдавремяподбора==60 ⋅ 60 ⋅ 24 ⋅ 365,2531 569 754 078 068 489 322 168,95 лет.Значит, для подбора пароля потребуется 1 569 754 078 068 489 322 169 компьютеров.Как видно из решения Задач 2 и 3 подбор пароля администратора простым перебором являетсяочень долгим, а потому бессмысленным.Часть 3.
Методы защиты от перехвата пользовательских данных по сети в условияхограниченных прав.Для защиты данных от перехвата следует создать защищенный канал связи междупользователем и используемым им сервисом. Наиболее универсальной в данном случае являетсяиспользование криптографического протокола SSL и основанного на нем расширения протоколаHTTP, поддерживающего шифрования - HTTPS.Один из известнейших бесплатных почтовых сервисов, поддерживающих https и sslаутентификацию при работе с почтовыми клиентами является сервис mail.google.com.На почтовых сервисах, не поддерживающих https и ssl (например, mail.ru) зачастую естьфункция пересылки писем. Таким образом можно заменить почтовый ящик на более безопасный и небояться потерять письма, приходящие на старый почтовый ящик.Защитить доступ к icq можно двумя способами.1. Соединение клиента (QIP, Miranda IM) через HTTPS прокси-сервер;2.
Использование ICQ веб-сервиса www.meebo.com или аналогичнго в сочетании Webплатформеннымипроксисерверами,такимикакhttps://proxify.com/илиhttps://megaproxy.com (их недостатком является их медлительность и платность).HTTPS — расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемыепо протоколу HTTP, «упаковываются» в криптографический протокол SSL или TLS, тем самымобеспечивается защита этих данных. В отличие от HTTP, для HTTPS по умолчанию используетсяTCP-порт 443. Эта система была разработана компанией Netscape Communications Corporation, чтобыобеспечить аутентификацию и защищённое соединение.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
