Wireshark Selvstudium: Netværks- og adgangskodesniffer

Af: Oliver Jones Oliver Jones
Hours Opdateret

Computere kommunikerer ved hjælp af netværk. Disse netværk kan være på et lokalt netværk LAN eller udsat for internettet. Network Sniffer er programmer, der fanger pakkedata på lavt niveau, der transmitteres over et netværk. En angriber kan analysere disse oplysninger for at finde værdifuld information såsom bruger-id'er og adgangskoder.

I denne artikel vil vi introducere dig til almindelige netværkssniffningsteknikker og værktøjer, der bruges til at sniffe netværk. Vi vil også se på modforanstaltninger, som du kan træffe for at beskytte følsomme oplysninger, der er transmitteret over et netværk.

Hvad er netværkssniffing?

Computere kommunikerer ved at udsende beskeder på et netværk ved hjælp af IP-adresser. Når en besked er blevet sendt på et netværk, svarer modtagercomputeren med den matchende IP-adresse med sin MAC-adresse.

Netværkssniffing er processen med at opsnappe datapakker sendt over et netværk.Dette kan gøres af det specialiserede softwareprogram eller hardwareudstyr. At snuse kan bruges til at;

  • Indfang følsomme data såsom login-legitimationsoplysninger
  • Aflyt chatbeskeder
  • Capture-filer er blevet transmitteret over et netværk

Følgende er protokoller, der er sårbare over for sniffning

  • Telnet
  • Log på
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Ovenstående protokoller er sårbare, hvis loginoplysninger sendes i almindelig tekst

Netværkssniffing

Passiv og aktiv snusning

Før vi ser på passiv og aktiv sniffning, lad os se på to store enheder, der bruges til at netværke computere; hubs og switches.

En hub fungerer ved at sende broadcast-beskeder til alle output-porte på den undtagen den, der har sendt broadcasten. Modtagercomputeren svarer på broadcast-meddelelsen, hvis IP-adressen matcher. Det betyder, at når du bruger en hub, kan alle computere på et netværk se broadcast-meddelelsen. Det fungerer på det fysiske lag (lag 1) af OSI Model.

Diagrammet nedenfor illustrerer, hvordan navet fungerer.

Passiv og aktiv snusning

En switch fungerer anderledes; den kortlægger IP/MAC-adresser til fysiske porte på den. Broadcast-meddelelser sendes til de fysiske porte, der matcher IP/MAC-adressekonfigurationerne for modtagercomputeren. Det betyder, at udsendelsesmeddelelser kun ses af modtagerens computer. Switche fungerer på datalinklaget (lag 2) og netværkslaget (lag 3).

Diagrammet nedenfor illustrerer, hvordan kontakten fungerer.

Passiv og aktiv snusning

Passiv sniffing er at opsnappe pakker, der sendes over et netværk, der bruger en hub. Det kaldes passiv snusning, fordi det er svært at opdage. Det er også nemt at udføre, da hub'en sender broadcast-beskeder til alle computere på netværket.

Aktiv sniffning er at opsnappe pakker, der sendes over et netværk, der bruger en switch. Der er to hovedmetoder, der bruges til at sniffe switch-linkede netværk, ARP -forgiftning, og MAC-oversvømmelser.

RELATEREDE ARTIKLER

Hacking aktivitet: Sniff netværkstrafik

I dette praktiske scenarie skal vi brug Wireshark at opsnuse datapakker, når de transmitteres over HTTP-protokol. For dette eksempel vil vi sniffe netværket vha Wireshark, og log derefter på en webapplikation, der ikke bruger sikker kommunikation. Vi logger på en webapplikation på http://www.techpanda.org/

Login-adressen er admin@google.com, og adgangskoden er Password2010.

Bemærk: vi logger kun ind på webappen til demonstrationsformål. Teknikken kan også sniffe datapakker fra andre computere, der er på samme netværk som den, du bruger til at snuse. Sniffningen er ikke kun begrænset til techpanda.org, men sniffer også alle HTTP og andre protokollers datapakker.

Sniffing netværket ved hjælp af Wireshark

Illustrationen nedenfor viser dig de trin, du vil udføre for at fuldføre denne øvelse uden forvirring

Sniffing netværket ved hjælp af Wireshark

Hent Wireshark fra dette link http://www.wireshark.org/download.html

  • Åbne Wireshark
  • Du får følgende skærmbillede

Sniffing netværket ved hjælp af Wireshark

  • Vælg den netværksgrænseflade, du vil snuse. Bemærk til denne demonstration, vi bruger en trådløs netværksforbindelse. Hvis du er på et lokalnetværk, skal du vælge det lokale netværksinterface.
  • Klik på startknappen som vist ovenfor

Sniffing netværket ved hjælp af Wireshark

Sniffing netværket ved hjælp af Wireshark

  • Login-e-mailen er admin@google.com og adgangskoden er Password2010
  • Klik på knappen Send
  • Et vellykket logon skulle give dig følgende dashboard

Sniffing netværket ved hjælp af Wireshark

  • Gå tilbage til Wireshark og stop live-optagelsen

Sniffing netværket ved hjælp af Wireshark

  • Filtrer kun for HTTP-protokolresultater ved hjælp af filtertekstboksen

Sniffing netværket ved hjælp af Wireshark

  • Find kolonnen Info, og se efter poster med HTTP-verbet POST, og klik på det

Sniffing netværket ved hjælp af Wireshark

  • Lige under logindtastningerne er der et panel med en oversigt over opsamlede data. Se efter oversigten, der siger Linjebaserede tekstdata: application/x-www-form-urlencoded

Sniffing netværket ved hjælp af Wireshark

  • Du bør være i stand til at se klartekstværdierne for alle POST-variabler, der sendes til serveren via HTTP-protokol.

Hvad er en MAC Flooding?

MAC flooding er en netværkssniffing-teknik, der oversvømmer switch-MAC-tabellen med falske MAC-adresser. Dette fører til overbelastning af switch-hukommelsen og får den til at fungere som en hub. Når switchen er blevet kompromitteret, sender den broadcast-meddelelserne til alle computere på et netværk. Dette gør det muligt at sniffe datapakker, efterhånden som de sendes på netværket.

Modforanstaltninger mod MAC-oversvømmelser

  • Nogle switche har portsikkerhedsfunktionen. Denne funktion kan bruges til at begrænse antallet af MAC-adresser på havnene. Den kan også bruges til at vedligeholde en sikker MAC-adressetabel ud over den, der leveres af switchen.
  • Autentificering, autorisation og regnskabsservere kan bruges til at filtrere opdagede MAC-adresser.

Sniffende modforanstaltninger

  • Begrænsning til fysiske netværksmedier reducerer i høj grad chancerne for, at en netværkssniffer er installeret
  • Kryptering af beskeder da de transmitteres over netværket reducerer deres værdi i høj grad, da de er svære at dekryptere.
  • Ændring af netværket til en Secure Shell (SSH)netværk reducerer også chancerne for, at netværket bliver snuset.

Resumé

  • Netværkssniffing er at opsnappe pakker, når de transmitteres over netværket
  • Passiv sniffning udføres på et netværk, der bruger en hub. Det er svært at opdage.
  • Aktiv sniffning udføres på et netværk, der bruger en switch. Det er nemt at opdage.
  • MAC flooding fungerer ved at oversvømme MAC-tabellens adresseliste med falske MAC-adresser. Dette får kontakten til at fungere som en HUB
  • Sikkerhedsforanstaltninger som skitseret ovenfor kan hjælpe med at beskytte netværket mod sniffning.