Получение информации из компьютерных сетей
Как уже говорилось ранее, источниками информации в компьютерных сетях являются сетевые ресурсы станций сети и данные, передаваемые по линиям связи. Соответственно получение информации из компьютерных сетей реализуется путем получения информации из одного из этих источников
Перехват передаваемой информации
Перехват данных, передаваемых по сети, заключается в регистрации сетевых пакетов, передаваемых в контролируемой среде передачи, их фиксации на устройствах хранения для последующего анализа. Перехват относится к пассивным методам разведки, когда все действия сводятся к приему информации из сети, а передача информации в сеть при этом исключается, поэтому противник не может обнаружить такие действия.
В рамках компьютерной разведки основными задачами перехвата являются мониторинг содержимого передаваемой информации, а также накопление и анализ статистики сеансов обмена.
Для реализации перехвата обязательно требуется наличие доступа к среде передачи. При этом доступ к среде передачи может быть осуществлен как штатными средствами, с использованием стандартного способа подключения, так и нестандартными способами: с физическим либо бесконтактным подключением. При нестандартном подключении требуется использование специальных аппаратных и программных средств.
В сетях, в которых используется общая среда передачи (например Ethernet), посланные станцией-отправителем пакеты принимаются всеми станциями, подключенными к этой среде передачи. Протоколы канального уровня каждой станции обрабатывают полученный пакет и проверяют адрес получателя. Если в пакете указан адрес данного компьютера, то пакет передается протоколам более высокого уровня, в противном случае пакет должен быть проигнорирован. Однако, применение специального программного обеспечения позволяет не игнорировать а принимать и соответствующим образом обрабатывать такие пакеты, то есть осуществлять перехват всех пакетов пересылаемых в данном фрагменте сети. Таким образом, в сетях с общей средой передачи для реализации перехвата требуется только специальное программное обеспечение.
Оценка возможности перехвата информации
Следует отметить, что для перехвата информации важен не только факт подключения к сети, но и место подключения, так как возможность перехвата информации определяется возможностью доступа к среде передачи того фрагмента компьютерной сети, в котором осуществляется передача интересующей информации. Очевидно, что наибольшими возможностями для перехвата обладают узловые компьютеры сети, подключенные одновременно к нескольким сегментам.
Для более детального рассмотрения возможности перехвата информации в сети можно ввести понятие зоны перехвата станции сети, под которой понимается фрагмент сети, в котором распространяется информация, передаваемая этой станцией, вне зависимости от адресата и принимаемая станцией, вне зависимости от источника. Можно сформулировать следующие правила формирования зоны перехвата:
1.Среда передачи, подключенная к контролируемому компьютеру, входит в зону перехвата.
2.Среда передачи, подключенная к зоне при помощи повторителя, также входит в зону перехвата.
Границы зоны перехвата зависят от технологии передачи информации, реализованной в данной сети, применяемого оборудования и текущих режимов работы оборудования.
В сетях Ethernet с шинной топологией зона перехвата распространяется на весь сегмент шины, которому подключен контролируемый компьютер, а также на другие сегментами сети, подключенными через повторители. В сетях Ethernet звездообразной топологии границы зоны определяются типом концентратора сети. В случае использования повторителей (хабов) зона охватывает всю звезду, в случае использования коммутаторов (свичей) она ограничена одним лучом звезды. Следует отметить, что в некоторые моменты времени коммутаторы работают как повторители, например, непосредственно после включения и в случае переполнения таблиц адресов коммутатора. В эти периоды границы зона увеличивается.
Способы перехвата
В зависимости от целей перехвата программное обеспечение может быть настроено на сбор всей информации, передаваемой по контролируемому каналу, либо на отбор информации по определенным критериям. Отбор производится при помощи системы фильтров. В качестве критериев отбора может выступать адресная информация (контроль конкретных абонентов), содержимое сообщений (контроль содержимого), информация протоколов высокого уровня (контроль определенной деятельности) и т.д.