Samouczek Wireshark: Sieć & Sniffer haseł

Spisie treści:

Anonim

Komputery komunikują się za pomocą sieci. Sieci te mogą znajdować się w sieci lokalnej LAN lub mieć dostęp do Internetu. Sniffery sieciowe to programy, które przechwytują dane pakietów niskiego poziomu, które są przesyłane przez sieć. Osoba atakująca może przeanalizować te informacje, aby znaleźć cenne informacje, takie jak identyfikatory użytkowników i hasła.

W tym artykule przedstawimy typowe techniki podsłuchiwania sieci oraz narzędzia używane do podsłuchiwania sieci. Przyjrzymy się również środkom zaradczym, które możesz zastosować, aby chronić poufne informacje przesyłane przez sieć.

Tematy omówione w tym samouczku

  • Co to jest podsłuchiwanie sieci?
  • Wąchanie aktywne i pasywne
  • Działania hakerskie: Sniff Network
  • Co to jest zalewanie kontroli dostępu do mediów (MAC)

Co to jest podsłuchiwanie sieci?

Komputery komunikują się, emitując wiadomości w sieci przy użyciu adresów IP. Po wysłaniu wiadomości w sieci komputer odbiorcy z pasującym adresem IP w odpowiedzi przekazuje swój adres MAC.

Sniffing sieci to proces przechwytywania pakietów danych przesyłanych przez sieć. Można to zrobić za pomocą specjalistycznego oprogramowania lub sprzętu. Można przyzwyczaić się do wąchania;

  • Przechwytuj poufne dane, takie jak dane logowania
  • Podsłuchaj wiadomości na czacie
  • Pliki przechwytywania zostały przesłane przez sieć

Poniżej wymieniono protokoły podatne na podsłuchiwanie

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • MUZYKA POP
  • FTP
  • IMAP

Powyższe protokoły są podatne na ataki, jeśli dane logowania są wysyłane w postaci zwykłego tekstu

Wąchanie pasywne i aktywne

Zanim przyjrzymy się pasywnemu i aktywnemu podsłuchiwaniu, przyjrzyjmy się dwóm głównym urządzeniom używanym do komputerów w sieci; koncentratory i przełączniki.

Koncentrator działa, wysyłając komunikaty rozgłoszeniowe do wszystkich portów wyjściowych, z wyjątkiem tego, który wysłał emisję . Komputer adresata odpowiada na wiadomość rozgłoszeniową, jeśli adres IP jest zgodny. Oznacza to, że podczas korzystania z koncentratora wszystkie komputery w sieci mogą zobaczyć komunikat rozgłoszeniowy. Działa w warstwie fizycznej (warstwie 1) modelu OSI.

Poniższy diagram ilustruje sposób działania koncentratora.

Przełącznik działa inaczej; mapuje adresy IP / MAC na fizyczne porty . Wiadomości rozgłoszeniowe są wysyłane do portów fizycznych, które są zgodne z konfiguracją adresów IP / MAC komputera odbiorcy. Oznacza to, że wiadomości rozgłoszeniowe są widoczne tylko na komputerze odbiorcy. Przełączniki działają w warstwie łącza danych (warstwa 2) i warstwie sieciowej (warstwa 3).

Poniższy diagram ilustruje sposób działania przełącznika.

Sniffowanie pasywne to przechwytywanie pakietów przesyłanych przez sieć korzystającą z koncentratora . Nazywa się to pasywnym wąchaniem, ponieważ jest trudne do wykrycia. Jest to również łatwe do wykonania, ponieważ koncentrator wysyła wiadomości rozgłoszeniowe do wszystkich komputerów w sieci.

Active sniffing to przechwytywanie pakietów przesyłanych przez sieć korzystającą z przełącznika . Istnieją dwie główne metody wykrywania połączonych sieci przełączania: ARP Poisoning i MAC flooding.

Działania hakerskie: podsłuchuj ruch sieciowy

W tym praktycznym scenariuszu zamierzamy użyć Wireshark do podsłuchiwania pakietów danych, które są przesyłane przez protokół HTTP . W tym przykładzie podsłuchamy sieć za pomocą programu Wireshark, a następnie zalogujemy się do aplikacji internetowej, która nie korzysta z bezpiecznej komunikacji. Zalogujemy się do aplikacji internetowej pod adresem http://www.techpanda.org/

Adres do logowania to Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie obsługi JavaScript. , a hasło to Password2010 .

Uwaga: zalogujemy się do aplikacji internetowej wyłącznie w celach demonstracyjnych. Technika ta może również podsłuchiwać pakiety danych z innych komputerów, które są w tej samej sieci, co ten, którego używasz do sniffowania. Sniffing nie ogranicza się tylko do techpanda.org, ale także sniffuje wszystkie pakiety danych HTTP i innych protokołów.

Sniffing sieci za pomocą Wireshark

Poniższa ilustracja przedstawia kroki, które wykonasz, aby wykonać to ćwiczenie bez nieporozumień

Pobierz Wireshark z tego łącza http://www.wireshark.org/download.html

  • Otwórz Wireshark
  • Pojawi się następujący ekran
  • Wybierz interfejs sieciowy, który chcesz podsłuchać. Uwaga na potrzeby tej demonstracji używamy bezprzewodowego połączenia sieciowego. Jeśli jesteś w sieci lokalnej, powinieneś wybrać interfejs sieci lokalnej.
  • Kliknij przycisk Start, jak pokazano powyżej
  • Otwórz przeglądarkę internetową i wpisz http://www.techpanda.org/
  • Adres e-mail logowania to Ten adres e-mail jest chroniony przed robotami spamującymi. Aby go zobaczyć, konieczne jest włączenie obsługi JavaScript. a hasło to Password2010
  • Kliknij przycisk Prześlij
  • Pomyślne logowanie powinno dać następujący pulpit nawigacyjny
  • Wróć do Wireshark i zatrzymaj przechwytywanie na żywo
  • Filtruj wyniki protokołu HTTP tylko przy użyciu pola tekstowego filtru
  • Znajdź kolumnę Info i poszukaj wpisów z czasownikiem HTTP POST i kliknij ją
  • Tuż pod wpisami dziennika znajduje się panel z podsumowaniem przechwyconych danych. Poszukaj podsumowania, które mówi, że dane tekstowe oparte na wierszach: application / x-www-form-urlencoded
  • Powinieneś być w stanie wyświetlić wartości w postaci zwykłego tekstu wszystkich zmiennych POST przesłanych do serwera za pośrednictwem protokołu HTTP.

Co to jest zalewanie adresów MAC?

Zalewanie adresów MAC to technika wykrywania sieci, która zalewa tablicę adresów MAC przełącznika fałszywymi adresami MAC . Prowadzi to do przeciążenia pamięci przełącznika i sprawia, że ​​działa on jako koncentrator. Gdy przełącznik zostanie przejęty, wysyła komunikaty rozgłoszeniowe do wszystkich komputerów w sieci. Umożliwia to podsłuchiwanie pakietów danych wysyłanych w sieci.

Środki zaradcze przeciwko zalewaniu adresów MAC

  • Niektóre przełączniki mają funkcję zabezpieczenia portu . Tej funkcji można użyć do ograniczenia liczby adresów MAC na portach. Może być również używany do utrzymywania bezpiecznej tablicy adresów MAC oprócz tabeli zapewnianej przez przełącznik.
  • Serwery uwierzytelniania, autoryzacji i obsługi kont mogą być używane do filtrowania wykrytych adresów MAC.

Wąchanie środków zaradczych

  • Ograniczenie do fizycznych nośników sieciowych znacznie zmniejsza prawdopodobieństwo zainstalowania sniffera sieciowego
  • Szyfrowanie wiadomości przesyłanych przez sieć znacznie zmniejsza ich wartość, ponieważ są trudne do odszyfrowania.
  • Zmiana sieci do bezpiecznego powłoki (SSH) sieci również zmniejsza prawdopodobieństwo sieci zostały nosem.

Podsumowanie

  • Sniffowanie sieci polega na przechwytywaniu pakietów podczas ich przesyłania przez sieć
  • Wąchanie pasywne odbywa się w sieci korzystającej z koncentratora. Trudno to wykryć.
  • Aktywne podsłuchiwanie odbywa się w sieci korzystającej z przełącznika. Łatwo to wykryć.
  • Zalewanie adresów MAC działa na zasadzie zalewania listy adresów w tablicy MAC fałszywymi adresami MAC. To sprawia, że ​​przełącznik działa jak HUB
  • Opisane powyżej środki bezpieczeństwa mogą pomóc chronić sieć przed podsłuchiwaniem.