LANeye intrångsdetektering i nätverk

Hindra oönskade datorer från att ansluta till ditt trådlösa nätverk

 
Kontakt  |  Sitemap  |  Language:

Hur nätverk fungerar - Hur datorer ansluter och blir en del av nätverket.

Hur datorer ansluter och blir en del av nätverket - Det i dag förhärskande protokoll som enheter på ett nätverk kommunicerar med varandra med är så kallad IP. Ofta används namnet TCP/IP vilket är något missvisande. IP delen av namnet är rätt men det finns en uppsjö andra protokoll än TCP på dagens nätverk. Lika vanligt som TCP är UDP protokollet. Men vi börjar med att bara diskutera IP paketen. Det är här IP-adresser kommer in.

Om två datorer känner till varandras IP-adresser och båda datorerna sitter på samma Ethernet nätverk kan dom inte börja prata med varandra eftersom dom behöver MAC-adresserna till varandra för att kunna skicka ethernetpaket.


ARP protokollet - För att ta reda på MAC-adressen som en annan dator har skickar datorn ut ett så kallat ARP paket. ARP (Address Resoluting Protocol) används för att para ihop IP-adresser med MAC-adresser. ARP paket skickas som broadcast och tas emot av alla datorer. Skickar man en så kallad ARP förfrågan som säger "vem har IP-adress x.x.x.x" hör alla datorer på nätverket det. Den dator som har IP-adress x.x.x.x svarar med en ARP respons som säger att "IP-adressen x.x.x.x finns på MAC-adress YY-YY-YY-YY-YY-YY".

Nu kan datorn som vill kontakta datorn med IP-adress x.x.x.x komponera ett ethernetpaket med rätt destinations MAC-adress och som innehåller ett IP paket och skicka det till den andra datorn.


ARP tabellen - För att slippa fråga alla datorer varje gång vilken MAC-adress dom har upprättar varje datorer en så kallad ARP tabell över vilka MAC-adresser som har vilka IP-adresser. Men eftersom en dators IP-adress inte nödvändigtvis är statisk och kan ändras så nollställer datorer sina ARP tabeller med jämna mellanrum (ca var 20:de minut).


MAC-adresser och IP-adresser är unika - Det får inte finnas flera MAC-adresser med samma IP-adress. För då vet inte datorer vem som är vem. Det betyder samtidigt att två datorer inte kan ha samma IP-adress utan varje dator måste ha en i nätverket unik IP-adress. Det får heller inte finnas flera datorer med samma MAC-adress för då kommer ju flera datorer att svara på ett och samma Ethernet paket. MAC-adresser är inte bara unika i ditt nät utan unika i hela världen (skall vara i alla fall och är det i mycket hög utsträckning). Tillverkare av utrustning som kan kopplas till nätverk ansöker om MAC-adress områden från IEEE (Institute of Electrical and Electronics Engineers).


Utan IP-adress kan en dator inte prata IP trafik. Innan en dator kan börja prata IP trafik behöver den veta vilken IP-adress den skall använd. Man kan manuellt ange en IP-adress. Det fungerar bra om datorn alltid används i samma nätverk och bäst om den är aktiv eller påslagen hela tiden. Men om datorn behöver byta nätverk då och då och den har en så kallad statisk (manuellt tilldelad) IP adress så vet den inte om den statiska IP-adressen redan används av en annan dator eller om IP-adressen är i rätt adressrymd när den kommer in på ett nytt nätverk.


DHCP (Dynamic Host Configuration Protocol) - För att lösa problemet med att få en IP-adress tilldelad automatiskt finns en mekanism för att be om en ledig IP-adress. Mekanismen kallas slarvigt för DHCP (Dynamic Host Configuration Protocol) som är protokollet som används men inbegriper också en server funktion. Man brukar säga att nätverket har en DHCP server och dessa servrar är oftast inbyggda i en router. En router kan vara en enkel bredbandsdelare eller en server dator eller en vanlig dator i nätverket med en nätverkservice som är själva DHCP servern. För att få en IP-adress av en DHCP server behöver den anslutande datorn be DHCP servern om en IP-adress som kan användas.


DHCP IP-adress tilldening


DHCP Server - När en dator ansluter till nätverket och behöver en dynamiskt tilldelad IP-adress behöver den fråga om det finns några "snälla" DHCP servrar på nätverket som är villiga att dela ut en IP-address i rätt adressrymd. Det gör den anslutande datorn genom att skicka ut ett så kallat DHCP-DISCOVER paket. DHCP protokollet använder ett broadcast paket (närmare bestämt ett så kallat BOOT-P paket) för detta som då når alla datorer i nätverket. Den eller de datorer (eller routers) som har en DHCP server igång kommer då att svara med ett DHCP-OFFER paket.

I vissa nät kan det finnas flera DHCP servrar och samtliga som är villiga att dela ut IP-adresser kommer skicka var sitt DHCP-OFFER paket. Den anslutande datorn väljer fritt bland de inkomna erbjudandena från de olika DHCP servrarna och skicka till en av dem ett så kallat DHCP-REQUEST paket. Då kommer DHCP servern att svara med ett DHCP-ACK paket som berättar för den anslutande datorn vilken IP-adress som den kan använda.


Gratuitous ARP - Den anslutande datorn kan inte vara helt säker på att IP-adressen den fick från DHCP servern kan användas innan övriga datorer tillfrågats. Detta på grund av att DHCP server inte har kontroll över datorer med statiskt tilldelad adress. Den anslutande datorn måste fråga nätverkets övriga datorer om den får använda IP-adressen den fått från DHCP servern. Det gör den anslutande datorn genom att skicka ut ett "provocerande" ARP paket (ett så kallat Gratuitous ARP) där den anslutande datorn påstår att IP-adressen tillhör den anslutande datorns MAC-adress. Om någon av datorerna redan innehar och använder IP-adressen så måste den datorn skicka ett försvarande ARP (också kallat nekande ARP) tillbaka där den säger nej, IP-adressen är redan upptagen.


ARP probe - Ett "Gratuitous ARP" är ett starkt sätt för en nypåloggande enhet att säga att den önskar sig efterfrågad IPadress. Enheter kan också använda en "snällare" varinat som kallas ARP probe. En enhet som innehar den efterfrågade adressen skickar då tillbaka att den redan innehar IP-adressen och på så sätt hindras den nya enheten från att använda adressen som redan är upptagen.


Om IP-adressen redan är upptagen - Är IP-adressen upptagen så måste den anslutande datorn fråga DHCP-servern igen efter en IP-adress. Den anslutande datorn brukar också innan den frågar DHCP serven på nytt, skicka ett DHCP-DECLINE för att på så sätt berätta för DHCP-servern att den IP-adress den fick inte kunde användas.


Att dela ut kataloger och dela med sig av skrivare på nätverket. Det som hitintills beskrivits är att beteckna som fundamentala funktioner och byggstenar för att få modern kommunikation att fungera på ett ethernetnätverk. När en IP-adress delats ut och blivit accepterad av nätverkets abonnenter kan den anslutande datorn sätta upp andra funktioner som att se andra datorers utdelade resurser och själv dela ut "sig" och sina filer.


NetBios (Network Basic Input Output System) - En mekanism för att dela filer och skrivare på nätverk som har funnits länge är NetBios (Network Basic Input Output System). Den utvecklades tidigt av IBM. Grundfunktionen i NetBios kräver inte IP trafik men idag har den migrerat över till IP trafik (kallat NetBT NetBios over TCP) och bäddats in i något som kallas SMB (Server Message Block) och senare utökats av Microsoft till CIFS (Common Internet File System).


CIFS är det protokoll som idag används för att rada upp och räkna ner datorer och utdelade resurser i nätverket. När du i utforskaren i Windows klickar på "Mina Nätverksplatser" - "Hela Nätverket" - "Microsoft Windows-nätverk" är det CIFS protokollet och dess funktioner som används för att visa vilka datorer som finns på ditt nätverk.


Namngivning - En av de grundläggande funktionerna som att få namngivning av datorer i CIFS att fungera använder fortfarande namnregistreringsfunktionen från NetBios/NetBT protokollet. Det finns likheter i förfarandet mellan hur man med ARP talar om för nätverket vilken IP-adress man har med hur man talar om för nätverket vilket nätverksnamn man har eller vill ha. När den anslutande datorn vill berätta för nätverket vilken namn den har skickar den ut Netbios Namnregistreringspaket. Paketen broadcastas ut så att alla datorer på nätverket hör dessa. Även här finns en mekanism för att neka den anslutande datorn dess föreslagna namn genom att skicka namnförsvarande Netbiospaket. När den anslutande datorn får veta att namnet den uppger sig ha redan innehas av en annan dator får den inte fortsätta att använda det namnet.



Vilken nytta drar LANeye av det som beskrivits?

LANeye använder försvarande ARP för att blockera anslutande datorer en fungerande IP-adress. LANeye lyssnar på nätverkstrafiken och hör alla ARP paket. Om en anslutande dator skickar ut ett "provocerande" ARP och den anslutande datorns MAC-adress inte finns med på listan över kända datorer skickar LANeye ut ett "försvarande" ARP och hävdar att IP-adressen den anslutande datorn efterfrågar redan är används (även om så inte är fallet).

LANeye bryr sig inte om vilken IP-adress som efterfrågas. Så länge datorn inte är med på listan över kända datorer fortsätter LANeye skicka försvarande ARP.

Då LANeye skickar försvarande ARP paket använder LANeye en påhittad MAC-adress. När försvarande ARP skickas för att hindra IP-adress tilldelning måste det försvarande paketet innehålla en MAC-adress för att identifiera datorn som försvarar sig. I LANeye "Advancerade Inställningar" finns något som kallas "Twilight zone" där finns den MAC-adress som LANeye använder när LANeye skickar försvarande ARP.


Försvarande paket skickas bara när datorer försöker ansluta till nätverket. Så snart en dator upprättat en fungerande nätverksanslutning kommer LANeye inte kasta ut någon dator från nätverket.


LANeye använder försvarande NetBIOS packet för att blockera anslutande datorer från att bli en del av det lokala nätverket. Utan namn kan en dator inte använda CIFS funktioner och datorer och andra utdelande filer/foldrar och skrivare kommer inte visas i Windows File Explorer eller kunna utnyttjas. Om IP-adress blockeringen är avslagen men NetBIOS blockeringen är påslagen kommer den anslutande datorn få en fungerande IP-adress men inte ett fungerande NetBIOS namn. Den anslutande datorn kommer kunna surfa på Internet men kommer inte komma åt utdelade filer/foldrar, skrivare eller datorer på nätverket.




Läs mer om detta ämne

4.   HUR NÄTVERK FUNGERAR - Hur datorer blir en del av nätverket

Hur datorer ger sig till känna på nätverk genom att skicka broadcasts.

Andra Webbplatser

OUI assignment by IEEE

IEEE tilldelar MAC-adress områden

DHCP spec RFC2131

DHCP Spec RFC2131 (RFC-Editior.org)

ARP spec RFC826

ARP Spec RFC826 (RFC-Editior.org)

NetBT spec RFC1001

NetBT Spec RFC1001 (RFC-Editior.org)

NetBT spec RFC1002

NetBT Detalj Spec RFC1002 (RFC-Editior.org)

Intrångsdetektering i nätverk

Testa gratis

Pris: 387:- SEK

Testa gratis

Pris: 864:- SEK

Registrera dig och håll dig informerad

Registrera dig och få LANeye nyheter med epost. För att registrera dig, ladda ner och installera LANeye. I programmet väljer du att registrera dig i registreringsdialogen.


TIPSA EN VÄN OM LANeye
Copyright © 2003-2017 ProPrat, Stockholm Sweden  |  www.proprat.se  |