Kismet как система обнаружения вторжений
Kismet можно настроить как беспроводную систему обнаружения вторжений, перехватывающую входящие сигналы и обнаруживающую беспроводной трафик, ассоциированный с агрессивным объездом или иной подозрительной беспроводной активностью. Kismet обнаруживает около 10 различных видов трафика, включая опросы NetStumbler, а также активность Airjack и других беспроводных хакерских средств. В настоящее время эти возможности Kismet довольно ограничены, но можно ожидать их развития в будущем. И поскольку исходные тексты открыты, всегда можно расширить функциональность самостоятельно, запрограммировав собственные сигналы тревоги. Еще одна возможность - передать по каналу данные Kismet традиционным системам обнаружения вторжений, таким как Snort, для более детального анализа. Функции обнаружения вторжений задаются в файле kismet.conf и по умолчанию отключены. Kismet можно настроить и для сбора известных криптографически слабых ключей для такой программы, как AirSnort, - следующего средства, представленного в этой лекции, которое анализирует беспроводные пакеты и пытается взломать шифрование WEP.
|
AirSnort Исходные авторы/основной контакт: Jeremy Bruestle и Blake Hegerle Web-сайт: http://schmoo.airsnort.org Платформы: Большинство Linux Лицензия: GPL Рассмотренная версия: 2.4.22 |
Авторы разработали AirSnort как практическое приложение для демонстрации слабых мест в WEP - протоколе шифрования для беспроводных сетей. В статье, озаглавленной "Слабые места алгоритма генерации ключей RC4", написанной специалистами по криптографии Флюхрером, Мартином и Шамиром, детализированы теоретические слабости алгоритма WEP и показано, что некоторые векторы инициализации будут слабыми. Пакеты, зашифрованные с помощью слабых векторов инициализации, можно собрать и со временем накопится достаточно данных для экстраполяции разделяемого секретного ключа. Это позволяет легко расшифровывать пакеты. Вскоре после опубликования статьи были выпущены два средства, AirSnort и WEPCrack, эксплуатирующие описанные слабости для восстановления ключей WEP, фактически - взламывающие WEP. Оба средства хороши, но AirSnort обладает некоторой дополнительной функциональностью как беспроводной сетевой анализатор. AirSnort сейчас - проект с открытыми исходными текстами, базирующийся по адресу SourceForge.net, с момента своего появления он существенно расширен и улучшен. Поскольку на платформе Windows подобных средств нет, для тестирования WEP в настоящее время имеется лишь два жизнеспособных варианта - AirSnort и WEPCrack.
