Wireshark Kurz: Network & Passwords Sniffer

โšก Chytrรฉ shrnutรญ

Wireshark Nรกvody na pouลพรญvรกnรญ snifferลฏ hesel ukazujรญ, jak รบtoฤnรญci zachycujรญ pล™ihlaลกovacรญ รบdaje pล™enรกลกenรฉ po sรญti a jak jim to obrรกnci zabrรกnรญ. Tato pล™รญruฤka vรกs provede... Wireshark zachycenรญ, analรฝza HTTP v prostรฉm textu, zahlcenรญ MAC adres a ลกifrovacรญ ovlรกdacรญ prvky, kterรฉ neutralizujรญ sniffing.

  • ๐Ÿ”Ž Co je ฤichรกnรญ: Sniffery ฤtou nรญzkoรบrovลˆovรก paketovรก data v mรญstnรญ sรญti nebo na internetu, aby shromaลพฤovaly pล™ihlaลกovacรญ รบdaje, soubory a provoz chatu.
  • ๐Ÿงญ Pasivnรญ vs. aktivnรญ: Huby umoลพลˆujรญ tichรฉ pasivnรญ zachycenรญ; pล™epรญnanรฉ sรญtฤ› potล™ebujรญ aktivnรญ techniky, jako je poisoning ARP nebo MAC flooding.
  • ๐Ÿฆˆ Wireshark prลฏchod: instalovat Wireshark 4.x, vyberte ลพivรฉ rozhranรญ, zachyลฅte a potรฉ filtrujte HTTP POST pro ฤtenรญ dat formulรกล™e v prostรฉm textu.
  • ๐Ÿ›ก๏ธ Obrany: Pouลพรญvejte HTTPS, SSH, VPN, silnรฉ ลกifrovรกnรญ Wi-Fi a zabezpeฤenรญ portลฏ pล™epรญnaฤลฏ k prolomenรญ hodnoty snifferu.
  • ๐Ÿค– รšhel umฤ›lรฉ inteligence: Modernรญ platformy IDS a SIEM vyuลพรญvajรญ strojovรฉ uฤenรญ k odhalovรกnรญ pล™รญznakลฏ, poisoningu ARP a pล™eteฤenรญ tabulky MAC adres bฤ›hem nฤ›kolika sekund.

Wireshark pล™ehled snifferu hesel

Poฤรญtaฤe komunikujรญ pomocรญ sรญtรญ. Tyto sรญtฤ› mohou bรฝt v mรญstnรญ sรญti (LAN) nebo pล™ipojenรฉ k internetu. Sรญลฅovรฉ sniffery jsou programy, kterรฉ zachycujรญ nรญzkoรบrovลˆovรก paketovรก data. transmitpล™enรกลกeno pล™es sรญลฅ. รštoฤnรญk mลฏลพe tyto informace analyzovat a zjistit cennรฉ podrobnosti, jako jsou uลพivatelskรก jmรฉna a hesla.

V tomto ฤlรกnku se dozvรญte o bฤ›ลพnรฝch technikรกch sรญลฅovรฉho sniffingu, nรกstrojรญch, kterรฉ รบtoฤnรญci a etiฤtรญ hackeล™i pouลพรญvajรญ k sniffingu sรญtรญ, a o protiopatล™enรญch, kterรก chrรกnรญ citlivรฉ informace v sรญti. Wireshark Nรญลพe uvedenรฝ nรกvod je poskytovรกn pouze pro vzdฤ›lรกvacรญ รบฤely a autorizovanรฉ testovรกnรญ.

Co je Network Sniffing?

Poฤรญtaฤe komunikujรญ vysรญlรกnรญm zprรกv v sรญti pomocรญ IP adres. Jakmile je zprรกva odeslรกna v sรญti, pล™ijรญmajรญcรญ poฤรญtaฤ s odpovรญdajรญcรญ IP adresou odpovรญ svou MAC adresou.

Network sniffing je proces zachycovรกnรญ datovรฝch paketลฏ odeslanรฝch pล™es sรญลฅ. Lze to provรฉst pomocรญ specializovanรฉho softwaru, hardwarovรฉho tapu nebo nakonfigurovanรฉho zrcadla portลฏ. Sniffing lze pouลพรญt k:

  • Zachyลฅte citlivรก data, jako jsou pล™ihlaลกovacรญ รบdaje
  • Odposlouchรกvejte chatovรฉ zprรกvy
  • Zachyลฅte soubory, kterรฉ byly transmitpล™es sรญลฅ

Nรกsledujรญcรญ protokoly jsou zranitelnรฉ vลฏฤi sniffingu, kdyลพ se pล™ihlaลกovacรญ รบdaje pล™enรกลกejรญ v prostรฉm textu:

  • Telnet
  • Pล™ihlaลกuji se
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Modernรญ ekvivalenty (HTTPS, SMTPS, IMAPS, SFTP, SSH) ลกifrujรญ datovรฝ obsah, takลพe sniffer vidรญ ลกifrovanรฝ text, nikoli pล™ihlaลกovacรญ รบdaje.

Pasivnรญ a aktivnรญ ลกลˆupรกnรญ

Neลพ se podรญvรกme na pasivnรญ a aktivnรญ sniffing, podรญvejme se na dvฤ› zaล™รญzenรญ bฤ›ลพnฤ› pouลพรญvanรก k propojenรญ poฤรญtaฤลฏ v sรญti: rozboฤovaฤe a pล™epรญnaฤe.

Hub funguje tak, ลพe odesรญlรก zprรกvy vลกesmฤ›rovรฉho vysรญlรกnรญ na kaลพdรฝ vรฝstupnรญ port kromฤ› toho, kterรฝ vลกesmฤ›rovรฉ vysรญlรกnรญ odeslal. Pล™ijรญmajรญcรญ poฤรญtaฤ reaguje na vysรญlรกnรญ, pokud se IP adresa shoduje. Kaลพdรฝ poฤรญtaฤ v segmentu zaloลพenรฉm na hubu proto mลฏลพe vidฤ›t kaลพdรฝ rรกmec. Hub pracuje na fyzickรฉ vrstvฤ› (vrstva 1) segmentu. Model OSI.

Nรญลพe uvedenรฝ diagram ukazuje, jak hub funguje.

Pasivnรญ a aktivnรญ ลกลˆupรกnรญ

Pล™epรญnaฤ funguje jinak; mapuje IP a MAC adresy na fyzickรฉ porty. Rรกmce jsou pล™eposรญlรกny pouze na port, kterรฝ odpovรญdรก MAC adrese pล™รญjemce, takลพe ostatnรญ hostitelรฉ v sรญti LAN provoz nevidรญ. Pล™epรญnaฤe pracujรญ na datovรฉ vrstvฤ› (vrstva 2) a s funkcemi smฤ›rovรกnรญ i na sรญลฅovรฉ vrstvฤ› (vrstva 3).

Nรญลพe uvedenรฝ diagram ukazuje, jak pล™epรญnaฤ funguje.

Pasivnรญ a aktivnรญ ลกลˆupรกnรญ

Pasivnรญ sniffing zachycuje pakety transmitpล™enรกลกeno pล™es sรญลฅ, kterรก pouลพรญvรก rozboฤovaฤ. ล˜รญkรก se tomu pasivnรญ, protoลพe รบtoฤnรญk nevklรกdรก provoz, coลพ ztฤ›ลพuje jeho detekci. Je takรฉ snadno proveditelnรฝ, protoลพe hub odesรญlรก vลกesmฤ›rovรฉ zprรกvy vลกem hostitelลฏm v sรญti.

Aktivnรญ sniffing zachycuje pakety transmitpล™enรกลกeno pล™es sรญลฅ, kterรก pouลพรญvรก pล™epรญnaฤ. Pro sniffing pล™epรญnanรฝch sรญtรญ se pouลพรญvajรญ dvฤ› hlavnรญ techniky: Otrava ARP a zahlcenรญ MAC adres.

Hacking Activity: Sniff Network Traffic

V tomto praktickรฉm scรฉnรกล™i se chystรกme pouลพitรญ Wireshark prohledรกvat datovรฉ pakety transmitpล™es HTTP protokolZachytรญme provoz na lokรกlnรญm rozhranรญ a potรฉ se pล™ihlรกsรญme do ukรกzkovรฉ webovรฉ aplikace, kterรก nepouลพรญvรก zabezpeฤenou komunikaci, tj. Guru99 vรฝcvikovรฝch mรญst na adrese http://www.techpanda.org/.

Pล™ihlaลกovacรญ adresa je admin@google.com a heslo je Heslo2010.

Poznรกmka: Do webovรฉ aplikace se pล™ihlรกsรญme pouze pro demonstraฤnรญ รบฤely a v sรญti, kterou vlastnรญme. Stejnรก technika mลฏลพe takรฉ odhalit datovรฉ pakety od jinรฝch hostitelลฏ ve stejnรฉ sรญti jako sniffer, a proto je nutnรฉ pล™ed spuลกtฤ›nรญm zรญskat pรญsemnรฉ povolenรญ. Wireshark v jakรฉkoli sรญti, kterou neovlรกdรกte. ฤŒmuchรกnรญ se neomezuje pouze na techpanda.org; Wireshark zachycuje HTTP a dalลกรญ protokolovรฝ provoz protรฉkajรญcรญ pล™es rozhranรญ.

Nejlepลกรญ vรฝbฤ›r
ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer je robustnรญ ล™eลกenรญ pro sprรกvu a audit politik urฤenรฉ ke zvรฝลกenรญ zabezpeฤenรญ a transparentnosti sรญtฤ›. Poskytuje pล™ehled o provozu firewallu v reรกlnรฉm ฤase a pomรกhรก...ping administrรกtoล™i identifikujรญ bezpeฤnostnรญ mezery, optimalizujรญ sady pravidel a monitorujรญ vyuลพitรญ ลกรญล™ky pรกsma.

Nรกvลกtฤ›va ManageEngine

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

Nรญลพe uvedenรฝ obrรกzek ukazuje kroky, kterรฉ budete muset provรฉst, abyste toto cviฤenรญ dokonฤili bez zmatku.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

Ke staลพenรญ Wireshark od wireshark.org/download.htmlAktuรกlnรญ stabilnรญ vฤ›tev je Wireshark 4.x, kterรก bฤ›ลพรญ na Windows, macOSa Linux.

  • Otevล™enรก Wireshark
  • Zobrazรญ se vรกm nรกsledujรญcรญ uvรญtacรญ obrazovka

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Vyberte sรญลฅovรฉ rozhranรญ, kterรฉ chcete prohledat. Tento nรกvod pouลพรญvรก bezdrรกtovรฉ pล™ipojenรญ; v kabelovรฉ sรญti LAN zvolte mรญsto toho ethernetovรฝ adaptรฉr.
  • Kliknฤ›te na tlaฤรญtko Start (ลพraloฤรญ ploutev) zobrazenรฉ vรฝลกe.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Pล™ihlaลกovacรญ email je admin@google.com a heslo je Heslo2010.
  • Kliknฤ›te na tlaฤรญtko Odeslat.
  • รšspฤ›ลกnรฉ pล™ihlรกลกenรญ by mฤ›lo zobrazit nรกsledujรญcรญ ล™รญdicรญ panel.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Pล™epnout zpฤ›t na Wireshark a zastavit ลพivรฉ nahrรกvรกnรญ.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Filtrovat HTTP provoz pouze podle typuping http do panelu filtrลฏ zobrazenรญ.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Vyhledejte sloupec Informace a vyhledejte poloลพku s HTTP slovesem POST, potรฉ na ni kliknฤ›te.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Pod poloลพkami protokolu se nachรกzรญ panel se shrnutรญm zaznamenanรฝch dat. Hledejte ล™รกdek ล˜รกdkovรก textovรก data: application/x-www-form-urlencoded.

Snรญmรกnรญ sรญtฤ› pomocรญ Wireshark

  • Nynรญ byste mฤ›li bรฝt schopni ฤรญst hodnoty prostรฉho textu kaลพdรฉ promฤ›nnรฉ POST odeslanรฉ na server pล™es HTTP, vฤetnฤ› polรญ pro e-mail a heslo.

Co je to zahlcenรญ MAC adres?

Zahlcenรญ MAC adresami je technika sรญลฅovรฉho sniffingu, kterรก zaplavรญ tabulku CAM (MAC adres) pล™epรญnaฤe faleลกnรฝmi MAC adresami. Jakmile je tabulka plnรก, pล™epรญnaฤ se jiลพ nedokรกลพe nauฤit legitimnรญ cรญle a zaฤne pล™eposรญlat rรกmce na kaลพdรฝ port, ฤรญmลพ se chovรก jako rozboฤovaฤ. รštoฤnรญk pak mลฏลพe zachytit datovรฉ pakety, kterรฉ prochรกzejรญ sรญtรญ.

Protiopatล™enรญ proti zรกplavรกm MAC

  • Zabezpeฤenรญ portu pล™epรญnaฤe. Omezit poฤet MAC adresy povoleno na port, trvale zjistit prvnรญ vidฤ›nou MAC adresu a v pล™รญpadฤ› pล™ekroฤenรญ limitu port uzamknout nebo vypnout.
  • Servery pro ovฤ›ล™ovรกnรญ, autorizaci a รบฤtovรกnรญ (AAA) lze pouลพรญt s 802.1X k filtrovรกnรญ zjiลกtฤ›nรฝch MAC adres a akceptovรกnรญ pouze ovฤ›ล™enรฝch zaล™รญzenรญ.
  • Dynamickรก inspekce ARP a odposlech DHCPping zmรญrnit souvisejรญcรญ รบtok ARP poisoning, kterรฝ se ฤasto vyskytuje spoleฤnฤ› se zahlcenรญm MAC adres.

Opatล™enรญ proti ฤichรกnรญ

  • Omezte pล™รญstup k fyzickรฝm mรฉdiรญm. Uzamฤenรฉ patch panely, nรกstฤ›nnรฉ zรกsuvky s deaktivovanรฝmi porty a segmentovanรฉ VLAN sniลพujรญ pravdฤ›podobnost instalace snifferu.
  • ล ifrujte provoz bฤ›hem pล™enosu. Protokoly HTTPS (TLS 1.3), SSH, IPsec a modernรญ VPN znemoลพลˆujรญ รบtoฤnรญkovi ฤรญst zachycenรฉ pakety.
  • Nahraฤte nezabezpeฤenรฉ protokoly. Pล™echod z Telnetu na SSH, z FTP na SFTP nebo FTPS a z HTTP na HTTPS v rรกmci celรฉho webu.
  • Zpevnฤ›te Wi-Fi. Pouลพijte WPA3 nebo WPA2-AES se silnรฝm heslem, abyste zabrรกnili bezdrรกtovรฉmu snickovรกnรญ ve vzduchu.
  • Monitorujte pomocรญ IDS. Nรกstroje jako Suricata, Zeek a Snort vyvolat upozornฤ›nรญ, kdyลพ se objevรญ otrava ARP, pล™eteฤenรญ tabulky MAC adres nebo promiskuitnรญ rozhranรญ.

Jak umฤ›lรก inteligence posiluje obranu proti sรญลฅovรฉmu sniffingu

Modernรญ platformy pro detekci naruลกenรญ a SIEM nynรญ vyuลพรญvajรญ strojovรฉ uฤenรญ nad zachycovรกnรญm paketลฏ, aby detekovaly aktivity souvisejรญcรญ se sniffingem rychleji neลพ samotnรฉ sady pravidel. Umฤ›lรก inteligence modeluje zรกkladnรญ normรกlnรญ chovรกnรญ tabulky ARP, DHCP a MAC adres a potรฉ signalizuje odchylky, jako je neobvyklรฝ objem vysรญlรกnรญ nebo duplicitnรญ mapa IP-MAC.pingnebo nรกhlรฉ zmฤ›ny v tabulce CAM, kterรฉ ukazujรญ na otravu ARP nebo zahlcenรญ MAC adres.

Rozsรกhlรฉ jazykovรฉ modely takรฉ pomรกhajรญ analytikลฏm s tล™รญdฤ›nรญm Wireshark a protokoly Zeek shrnutรญm podezล™elรฝch tokลฏ v jednoduchรฉm jazyce, nรกvrhem filtrลฏ a kล™รญลพovรฝm odkazovรกnรญm pozorovanรฝch IOC s informaฤnรญmi kanรกly o hrozbรกch. Obrรกnci by i nadรกle mฤ›li ovฤ›ล™ovat zjiลกtฤ›nรญ umฤ›lรฉ inteligence oproti nezpracovanรฝm datลฏm, ale v ruลกnรฉ sรญti je to znaฤnรฉ.

Shrnutรญ

  • Sniffing v sรญti zachycuje pakety bฤ›hem jejich pล™enosu po sรญti a mลฏลพe odhalit pล™ihlaลกovacรญ รบdaje v prostรฉm textu.
  • Pasivnรญ sniffing probรญhรก v sรญtรญch zaloลพenรฝch na uzlech a je obtรญลพnรฉ jej odhalit; aktivnรญ sniffing cรญlรญ na pล™epรญnaฤe a je snรกze odhalitelnรฝ.
  • Wireshark 4.x je standardnรญ open-source analyzรกtor pouลพรญvanรฝ v tomto nรกvodu ke ฤtenรญ dat HTTP POST.
  • Zahlcenรญ MAC adres pล™etรญลพรญ tabulku CAM pล™epรญnaฤe, takลพe se pล™epรญnaฤ chovรก jako rozboฤovaฤ.
  • ล ifrovรกnรญ (HTTPS, SSH, VPN), zabezpeฤenรญ portลฏ pล™epรญnaฤลฏ, Wi-Fi s WPA3 a monitorovรกnรญ s pomocรญ umฤ›lรฉ inteligence spoleฤnฤ› neutralizujรญ vฤ›tลกinu รบtokลฏ sniffingem.

Nejฤastฤ›jลกรญ dotazy

Pouze v sรญtรญch, kterรฉ vlastnรญte nebo k jejichลพ testovรกnรญ mรกte pรญsemnรฉ oprรกvnฤ›nรญ. Odposlech cizรญho provozu je ve vฤ›tลกinฤ› zemรญ poruลกenรญm zรกkonลฏ o odposlechu a zneuลพitรญ poฤรญtaฤe, proto vลพdy pracujte v laboratoล™i nebo s podepsanรฝm povolenรญm vlastnรญka sรญtฤ›.

Ve vรฝchozรญm nastavenรญ ne. HTTPS ลกifruje datovou ฤรกst pomocรญ TLS, takลพe Wireshark zobrazuje zaลกifrovanรฝ text. Deลกifrovรกnรญ je moลพnรฉ pouze tehdy, pokud ovlรกdรกte soukromรฝ klรญฤ serveru nebo importujete klรญฤe relace SSLKEYLOGFILE z prohlรญลพeฤe klienta.

Pouลพijte http.request.method == โ€žPOSTโ€œ izolovat odeslanรฉ formulรกล™e nebo je zkombinovat s http obsahuje โ€žhesloโ€œ odhalit pravdฤ›podobnรฝ provoz s pล™ihlaลกovacรญmi รบdaji na strรกnkรกch s otevล™enรฝm textem bฤ›hem autorizovanรฉho testu.

Umฤ›lรก inteligence modeluje zรกkladnรญ normรกlnรญ chovรกnรญ ARP, DHCP a pล™epรญnaฤลฏ a potรฉ oznaฤuje anomรกlie, jako je duplicitnรญ MAC mapa.pings, nรกhlรฉ zmฤ›ny CAM tabulek nebo promiskuitnรญ rozhranรญ, odhalujรญ otravu ARP a zahlcenรญ MAC adres mnohem rychleji neลพ pravidla zaloลพenรก pouze na podpisech.

Ano. Rozsรกhlรฉ jazykovรฉ modely mohou shrnout exporty pcap, navrhnout filtry zobrazenรญ a vysvฤ›tlit neobvyklรฉ protokoly, ale i tak byste mฤ›li ovฤ›ล™it zjiลกtฤ›nรญ oproti nezpracovanรฝm datลฏm, neลพ budete jednat na zรกkladฤ› jakรฝchkoli rozhodnutรญ o reakci na incident.

Zachycenรญ dat pล™es Wi-Fi vyลพaduje reลพim monitorovรกnรญ a podporovanรฝ adaptรฉr pro ฤtenรญ snรญmkลฏ ve vzduchu, zatรญmco ethernetovรฉ sniffing se spolรฉhรก na zrcadlenรญ portลฏ, sรญลฅovรฝ odposlech nebo aktivnรญ รบtok, jako je ARP poisoning, aby vidฤ›l provoz jinรฉho hostitele.

ล ifrovรกnรญ typu end-to-end. Vynucujte HTTPS v celรฉm webu, upล™ednostลˆujte SSH pล™ed Telnetem, vyลพadujte WPA3 na Wi-Fi a smฤ›rujte vzdรกlenรฉ relace pล™es modernรญ VPN, aby kaลพdรฝ zachycenรฝ paket obsahoval ลกifrovanรฝ text, nikoli pouลพitelnรฉ pล™ihlaลกovacรญ รบdaje.

Shrลˆte tento pล™รญspฤ›vek takto: