Wireshark Kurz: Network & Passwords Sniffer

Počítače komunikují pomocí sítí. Tyto sítě mohou být v místní síti LAN nebo vystaveny internetu. Network Sniffers jsou programy, které zachycují data balíčků nízké úrovně, která jsou přenášena po síti. Útočník může tyto informace analyzovat, aby zjistil cenné informace, jako jsou uživatelská jména a hesla.

V tomto článku vás seznámíme s běžnými technikami a nástroji sniffování sítí, které se používají k sniffování sítí. Podíváme se také na protiopatření, která můžete zavést k ochraně citlivých informací přenášených po síti.

Co je Network Sniffing?

Počítače komunikují vysíláním zpráv v síti pomocí IP adres. Jakmile je zpráva odeslána v síti, přijímající počítač s odpovídající IP adresou odpoví svou MAC adresou.

Network sniffing je proces zachycování datových paketů odeslaných přes síť.To lze provést pomocí specializovaného softwarového programu nebo hardwarového vybavení. Čichání lze použít k;

• Zachyťte citlivá data, jako jsou přihlašovací údaje
• Odposlouchávejte chatové zprávy
• Zachycené soubory byly přeneseny po síti

Následují protokoly, které jsou citlivé na čichání

• Telnet
• Přihlašuji se
• HTTP
• SMTP
• NNTP
• POP
• FTP
• IMAP

Výše uvedené protokoly jsou zranitelné, pokud jsou přihlašovací údaje odeslány jako prostý text

Pasivní a aktivní šňupání

Než se podíváme na pasivní a aktivní sniffing, podívejme se na dvě hlavní zařízení používaná k síťovému propojení počítačů; rozbočovače a přepínače.

Rozbočovač funguje tak, že odesílá zprávy všesměrového vysílání na všechny výstupní porty na něm kromě toho, který vysílání odeslal. Počítač příjemce odpoví na zprávu všesměrového vysílání, pokud se adresa IP shoduje. To znamená, že při použití rozbočovače mohou všechny počítače v síti vidět vysílanou zprávu. Funguje na fyzické vrstvě (vrstva 1). Model OSI.

Níže uvedený diagram ukazuje, jak hub funguje.

Přepínač funguje jinak; mapuje IP/MAC adresy na fyzické porty na něm. Vysílané zprávy jsou odesílány na fyzické porty, které odpovídají konfiguraci adresy IP/MAC pro počítač příjemce. To znamená, že vysílané zprávy vidí pouze přijímající počítač. Přepínače pracují na vrstvě datového spojení (vrstva 2) a síťové vrstvě (vrstva 3).

Níže uvedený diagram ukazuje, jak přepínač funguje.

Pasivní sniffování je zachycování balíčků přenášených přes síť, která používá rozbočovač. Nazývá se pasivní šňupání, protože je obtížné jej odhalit. Je to také snadné, protože rozbočovač posílá zprávy všesměrového vysílání všem počítačům v síti.

Aktivní sniffing zachycuje balíčky přenášené přes síť, která používá přepínač. Existují dvě hlavní metody používané k čichání přepínání propojených sítí, Otrava ARPa zahlcení MAC.

Hacking Activity: Sniff Network Traffic

V tomto praktickém scénáři se chystáme použití Wireshark k čichání datových paketů při jejich přenosu přes protokol HTTP. Pro tento příklad budeme síť čichat pomocí Wiresharka poté se přihlaste do webové aplikace, která nepoužívá zabezpečenou komunikaci. Přihlásíme se do webové aplikace na http://www.techpanda.org/

Přihlašovací adresa je admin@google.coma heslo je Heslo2010.

Poznámka: do webové aplikace se přihlásíme pouze pro demonstrační účely. Technika může také čichat datové pakety z jiných počítačů, které jsou ve stejné síti jako ten, který používáte k čichání. Sniffování není omezeno pouze na techpanda.org, ale také sniffuje všechny datové pakety HTTP a dalších protokolů.

Snímání sítě pomocí Wireshark

Níže uvedený obrázek ukazuje kroky, které provedete k dokončení tohoto cvičení bez zmatku

Ke stažení Wireshark z tohoto odkazu http://www.wireshark.org/download.html

• Otevřená Wireshark
• Zobrazí se následující obrazovka

• Vyberte síťové rozhraní, které chcete čichat. Poznámka pro tuto ukázku, používáme bezdrátové připojení k síti. Pokud jste v místní síti, měli byste vybrat rozhraní místní sítě.
• Klikněte na tlačítko Start, jak je znázorněno výše

• Otevřete webový prohlížeč a zadejte http://www.techpanda.org/

• Přihlašovací email je admin@google.com a heslo je Heslo2010
• Klikněte na tlačítko Odeslat
• Úspěšné přihlášení by vám mělo poskytnout následující řídicí panel

• Jít zpět k Wireshark a zastavit živé snímání

• Filtrujte výsledky protokolu HTTP pouze pomocí textového pole filtru

• Vyhledejte sloupec Informace a vyhledejte položky se slovesem HTTP POST a klikněte na něj

• Hned pod položkami protokolu se nachází panel se souhrnem zachycených dat. Podívejte se na souhrn, který říká Textová data založená na řádcích: application/x-www-form-urlencoded

• Měli byste být schopni zobrazit hodnoty prostého textu všech proměnných POST odeslaných na server prostřednictvím protokolu HTTP.

Co je MAC Flooding?

MAC flooding je technika síťového sniffingu, která zaplavuje MAC tabulku přepínače falešnými MAC adresami. To vede k přetížení paměti přepínače a působí jako rozbočovač. Jakmile byl přepínač kompromitován, odešle zprávy všesměrového vysílání všem počítačům v síti. To umožňuje čichání datových paketů odeslaných v síti.

Protiopatření proti záplavám MAC

• Některé přepínače mají funkci zabezpečení portu. Tuto funkci lze použít k omezení počtu MAC adresy na portech. Může být také použit k udržování bezpečné tabulky MAC adres kromě tabulky poskytované přepínačem.
• Autentizační, autorizační a účetní servery lze použít k filtrování zjištěných MAC adres.

Opatření proti čichání

• Omezení na síťová fyzická média výrazně snižuje šance na instalaci síťového snifferu
• Šifrování zpráv protože jsou přenášeny po síti, výrazně snižuje jejich hodnotu, protože je obtížné je dešifrovat.
• Změna sítě na Secure Shell (SSH)síť také snižuje šance, že síť byla přičichnuta.

Shrnutí

• Síťové sniffování zachycuje balíčky, které jsou přenášeny po síti
• Pasivní sniffování se provádí v síti, která používá rozbočovač. Je těžké to odhalit.
• Aktivní sniffování se provádí v síti, která používá přepínač. Je snadné to odhalit.
• Zahlcení MAC funguje tak, že zahltí seznam adres MAC tabulky falešnými MAC adresami. Díky tomu bude přepínač fungovat jako HUB
• Výše popsaná bezpečnostní opatření mohou pomoci chránit síť před sniffováním.