ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

7.3 Анализ пакетов

 

Прослушивание соединений незашифрованных беспроводных сетей является простой задачей. Для прослушивания таких беспроводных сетей требуется антенна со стандартными инструментами, а также анализатор трафика (анализатор сетевых пакетов). Анализатор сетевых пакетов - это программа, с помощью которой сетевой интерфейс переводится в режим прослушивания. Это означает, что интерфейс будет принимать и обрабатывать весь поступающий трафик, а не только тот, который для него предназначен. Анализатор сетевых пакетов предоставляет пользователю все сетевые пакеты в удобном для чтения виде. Весь открытый трафик в текстовом виде легко читается, а для поиска определенных ключевых слов или значений можно применять фильтры. Существует несколько протоколов и сервисов открытого текста. Примерами могут служить протоколы: HTTP, POP, IMAP, SMTP, FTP и ICQ. С помощью анализатора трафика можно получить имена пользователей, пароли и частные данные из почты и сообщений

Для выявления атак, связанных с анализом пакетов, разработаны специальные инструменты. Эти инструменты для выявления анализаторов беспроводной сети обычно отслеживают сетевой трафик или сканируют сетевые интерфейсы в режиме прослушивания. Примерами инструментов для анализа трафика беспроводных сетей (анализаторов пакетов) являются Wireshark и Snoop.

Использование технически сложных антенн в сетях Wi-Fi и других беспроводных сетях (например, Bluetooth) повышает уровень сигнала, но при этом облегчает прослушивание и увеличивает дальность прослушивания. Хотя прослушивание и является пассивным видом деятельности, на его основе могут развиваться другие виды атак, такие как, например, перехват сессии или атака через посредника, при которых происходит перехват и изменение сообщений между пользователем и точкой беспроводного доступа с целью получения несанкционированного доступа к информации или устройству.

На начальном этапе своего развития сотовые и мобильные сети были подвержены прослушиванию. Однако по мере развития сетевых функций и расширения использования этих сетей, что подразумевало передачу через них информации ограниченного доступа, для интерфейсов точек доступа таких сетей были разработаны спецификации шифрования данных.

Однако у нарушителей имеются более простые пути, по сравнению со взломом сложных кодов шифрования. В некоторых случаях многорежимный мобильный телефон может быть переключен на небезопасную устаревшую сеть радиодоступа, что значительно облегчает задачу прослушивания трафика. В некоторых стандартах эта угроза известна как принудительное переключение на устаревшую технологию радиодоступа.