Wireshark Урок: Снифър за мрежи и пароли

по: Оливър Джоунс Оливър Джоунс
Hours Обновено

Компютрите комуникират чрез мрежи. Тези мрежи може да са в LAN локална мрежа или да са изложени на интернет. Network Sniffers са програми, които улавят пакетни данни от ниско ниво, които се предават по мрежа. Нападателят може да анализира тази информация, за да открие ценна информация като потребителски идентификатори и пароли.

В тази статия ще ви запознаем с често срещаните техники за подслушване на мрежи и инструменти, използвани за подслушване на мрежи. Ще разгледаме и мерките за противодействие, които можете да приложите, за да защитите поверителна информация, предадена по мрежа.

Какво е Network Sniffing?

Компютрите комуникират чрез излъчване на съобщения в мрежа, използвайки IP адреси. След като съобщението бъде изпратено в мрежа, компютърът получател със съвпадащия IP адрес отговаря със своя MAC адрес.

Снифингът на мрежата е процес на прихващане на пакети с данни, изпратени по мрежа.Това може да стане чрез специализирана софтуерна програма или хардуерно оборудване. Смъркането може да се използва за;

  • Заснемане на чувствителни данни, като идентификационни данни за вход
  • Подслушвайте чат съобщения
  • Захванатите файлове са предадени по мрежа

По-долу са протоколи, които са уязвими за подслушване

  • Telnet
  • Влизам
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Горните протоколи са уязвими, ако данните за вход се изпращат в обикновен текст

Снифиране на мрежата

Пасивно и активно смъркане

Преди да разгледаме пасивното и активното подслушване, нека разгледаме две основни устройства, използвани за мрежови компютри; хъбове и комутатори.

Хъбът работи, като изпраща съобщения за излъчване до всички изходни портове на него, с изключение на този, който е изпратил излъчването. Компютърът получател отговаря на излъченото съобщение, ако IP адресът съвпада. Това означава, че когато използвате хъб, всички компютри в мрежата могат да видят излъченото съобщение. Той работи на физическия слой (слой 1) на OSI Модел.

Диаграмата по-долу илюстрира как работи хъбът.

Пасивно и активно смъркане

Превключвателят работи по различен начин; той картографира IP/MAC адресите към физическите портове на него. Излъчваните съобщения се изпращат до физическите портове, които съответстват на конфигурациите на IP/MAC адреса за компютъра получател. Това означава, че излъчваните съобщения се виждат само от компютъра на получателя. Превключвателите работят на ниво връзка за данни (слой 2) и мрежов слой (слой 3).

Диаграмата по-долу илюстрира как работи превключвателят.

Пасивно и активно смъркане

Пасивното снифиране е прихващане на пакети, предавани през мрежа, която използва хъб. Нарича се пасивно надушване, защото е трудно да се открие. Освен това е лесно за изпълнение, тъй като хъбът изпраща разпръснати съобщения до всички компютри в мрежата.

Активното снифиране е прихващане на пакети, предавани по мрежа, която използва комутатор. Има два основни метода, използвани за надушване на превключване на свързани мрежи, ARP отравянеи MAC наводняване.

СВЪРЗАНИ СТАТИИ

Хакерска дейност: Надушете мрежовия трафик

В този практически сценарий ние ще направим употреба Wireshark за надушване на пакети данни, докато се предават по HTTP протокол. За този пример ще надушим мрежата, използвайки Wireshark, след това влезте в уеб приложение, което не използва защитена комуникация. Ще влезем в уеб приложение на http://www.techpanda.org/

Адресът за вход е admin@google.com, а паролата е Парола 2010.

Забележка: ние ще влезем в уеб приложението само за демонстрационни цели. Техниката може също да надушва пакети с данни от други компютри, които са в същата мрежа като тази, която използвате за надушване. Надушването не е ограничено само до techpanda.org, но също така надушва всички HTTP и други пакети с данни на протоколи.

Снифиране на мрежата с помощта на Wireshark

Илюстрацията по-долу ви показва стъпките, които ще изпълните, за да завършите това упражнение без объркване

Снифиране на мрежата с помощта на Wireshark

Изтегли Wireshark от тази връзка http://www.wireshark.org/download.html

  • отворено Wireshark
  • Ще получите следния екран

Снифиране на мрежата с помощта на Wireshark

  • Изберете мрежовия интерфейс, който искате да подушите. Забележка за тази демонстрация, ние използваме безжична мрежова връзка. Ако сте в локална мрежа, тогава трябва да изберете интерфейса на локалната мрежа.
  • Щракнете върху бутона за стартиране, както е показано по-горе

Снифиране на мрежата с помощта на Wireshark

Снифиране на мрежата с помощта на Wireshark

  • Имейлът за вход е admin@google.com и паролата е Парола 2010
  • Кликнете върху бутона за изпращане
  • Успешното влизане трябва да ви даде следното табло

Снифиране на мрежата с помощта на Wireshark

  • Върни се обратно Wireshark и спрете записа на живо

Снифиране на мрежата с помощта на Wireshark

  • Филтрирайте за резултати от HTTP протокол само с помощта на текстовото поле за филтър

Снифиране на мрежата с помощта на Wireshark

  • Намерете колоната Информация и потърсете записи с HTTP глагола POST и щракнете върху него

Снифиране на мрежата с помощта на Wireshark

  • Точно под записите в дневника има панел с обобщение на заснетите данни. Потърсете резюмето, което казва Базирани на ред текстови данни: application/x-www-form-urlencoded

Снифиране на мрежата с помощта на Wireshark

  • Трябва да можете да видите стойностите в обикновен текст на всички POST променливи, изпратени до сървъра чрез HTTP протокол.

Какво е MAC Flooding?

MAC flooding е техника за мрежово снифиране, която наводнява MAC таблицата на комутатора с фалшиви MAC адреси. Това води до претоварване на паметта на комутатора и го кара да действа като хъб. След като превключвателят бъде компрометиран, той изпраща излъчваните съобщения до всички компютри в мрежата. Това прави възможно надушването на пакети с данни, докато се изпращат по мрежата.

Мерки за противодействие срещу наводняване на MAC

  • Някои комутатори имат функция за защита на порта. Тази функция може да се използва за ограничаване на броя MAC адреси на портовете. Може също да се използва за поддържане на защитена таблица с MAC адреси в допълнение към тази, предоставена от комутатора.
  • Сървъри за удостоверяване, авторизация и счетоводство може да се използва за филтриране на открити MAC адреси.

Надушване на контрамерки

  • Ограничение до мрежови физически носители значително намалява шансовете за инсталиране на мрежов снифер
  • Шифроване на съобщения тъй като се предават по мрежата, значително намалява стойността им, тъй като са трудни за дешифриране.
  • Промяна на мрежата към Secure Shell (SSH)мрежа също така намалява шансовете мрежата да бъде проучена.

Oбобщение

  • Снифингът на мрежата е прихващане на пакети, докато се предават по мрежата
  • Пасивното снифиране се извършва в мрежа, която използва хъб. Трудно се открива.
  • Активното подслушване се извършва в мрежа, която използва комутатор. Лесно се открива.
  • MAC наводняването работи чрез наводняване на списъка с адреси на таблицата с MAC с фалшиви MAC адреси. Това прави превключвателя да работи като HUB
  • Мерките за сигурност, както е описано по-горе, могат да помогнат за защитата на мрежата срещу подслушване.