Wireshark Tutorial: Netzwerk- und Passwort-Sniffer

Computer kommunizieren über Netzwerke. Diese Netzwerke können sich in einem lokalen Netzwerk (LAN) befinden oder mit dem Internet verbunden sein. Netzwerk-Sniffer sind Programme, die Daten auf niedriger Ebene von Datenpaketen erfassen, die transmitted über ein Netzwerk. Ein Angreifer kann diese Informationen analysieren, um wertvolle Informationen wie Benutzer-IDs und Passwörter zu entdecken.

In diesem Artikel stellen wir Ihnen gängige Netzwerk-Sniffing-Techniken und -Tools vor. Wir betrachten außerdem Gegenmaßnahmen, die Sie zum Schutz sensibler Informationen ergreifen können. transmitted über ein Netzwerk.

Was ist Netzwerk-Sniffing?

Computer kommunizieren, indem sie Nachrichten über IP-Adressen in einem Netzwerk senden. Sobald eine Nachricht in einem Netzwerk gesendet wurde, antwortet der Empfängercomputer mit der passenden IP-Adresse mit seiner MAC-Adresse.

Unter Netzwerk-Sniffing versteht man das Abfangen von Datenpaketen, die über ein Netzwerk gesendet werden. Dies kann durch ein spezielles Softwareprogramm oder Hardware erfolgen. Schnüffeln kann man nutzen;

• Erfassen Sie sensible Daten wie Anmeldeinformationen
• Chat-Nachrichten abhören
• Die Aufzeichnungsdateien wurden transmitüber ein Netzwerk

Die folgenden Protokolle sind anfällig für Sniffing

• Telnet
• RLogin
• HTTP
• SMTP
• NNTP
• POP
• fTP
• IMAP

Die oben genannten Protokolle sind anfällig, wenn Anmeldedaten im Klartext gesendet werden

Passives und aktives Schnüffeln

Bevor wir uns mit passivem und aktivem Sniffing befassen, schauen wir uns zwei wichtige Geräte an, die zur Vernetzung von Computern verwendet werden. Hubs und Switches.

Ein Hub funktioniert, indem er Broadcast-Nachrichten an alle darauf befindlichen Ausgangsports sendet, mit Ausnahme des Ports, der den Broadcast gesendet hat. Der Empfängercomputer antwortet auf die Broadcast-Nachricht, wenn die IP-Adresse übereinstimmt. Das bedeutet, dass bei Verwendung eines Hubs alle Computer in einem Netzwerk die Broadcast-Nachricht sehen können. Er arbeitet auf der physischen Schicht (Schicht 1) des OSI-Modell.

Das Diagramm unten zeigt, wie der Hub funktioniert.

Ein Schalter funktioniert anders; Es ordnet IP/MAC-Adressen physischen Ports zu. Broadcast-Nachrichten werden an die physischen Ports gesendet, die den IP/MAC-Adresskonfigurationen für den Empfängercomputer entsprechen. Das bedeutet, dass Broadcast-Nachrichten nur vom Empfängercomputer gesehen werden. Switches arbeiten auf der Datenverbindungsschicht (Schicht 2) und der Netzwerkschicht (Schicht 3).

Das folgende Diagramm zeigt, wie der Schalter funktioniert.

Passives Sniffing bedeutet das Abfangen von Paketen transmitüber ein Netzwerk, das einen Hub verwendet. Man nennt es passives Schnüffeln, weil es schwer zu erkennen ist. Dies ist auch einfach durchzuführen, da der Hub Broadcast-Nachrichten an alle Computer im Netzwerk sendet.

Aktives Sniffing fängt Pakete ab transmitüber ein Netzwerk, das einen Schalter verwendet. Es gibt zwei Hauptmethoden zum Aufspüren von Switch-verbundenen Netzwerken: ARP-Vergiftungund MAC-Flooding.

Hacking-Aktivität: Netzwerkverkehr ausspionieren

In diesem praktischen Szenario werden wir Folgendes tun - Wireshark um Datenpakete abzufangen, während sie transmitted über das HTTP-Protokoll. In diesem Beispiel werden wir das Netzwerk mithilfe von „schnüffeln“. Wireshark, und melden Sie sich dann bei einer Webanwendung an, die keine sichere Kommunikation verwendet. Wir werden uns bei einer Webanwendung anmelden http://www.techpanda.org/

Die Login-Adresse lautet admin@google.com, und das Passwort ist Password2010.

Hinweis: Wir werden uns nur zu Demonstrationszwecken bei der Web-App anmelden. Die Technik kann auch Datenpakete von anderen Computern abhören, die sich im selben Netzwerk befinden wie der, den Sie zum Abhören verwenden. Das Sniffing beschränkt sich nicht nur auf techpanda.org, sondern schnüffelt auch alle Datenpakete von HTTP und anderen Protokollen.

Erste Wahl

ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer ist eine robuste Lösung für Richtlinienmanagement und Auditing, die die Netzwerksicherheit und -transparenz verbessert. Sie bietet Echtzeit-Einblicke in den Firewall-Datenverkehr und hilft dabei, …ping Administratoren identifizieren Sicherheitslücken, optimieren Regelsätze und überwachen die Bandbreitennutzung.

Besuchen Sie ManageEngine

Das Netzwerk mit schnüffeln Wireshark

Die folgende Abbildung zeigt Ihnen die Schritte, die Sie ausführen müssen, um diese Übung ohne Verwirrung abzuschließen

Herunterladen Wireshark von diesem Link http://www.wireshark.org/download.html

• Öffne Wireshark
• Sie erhalten den folgenden Bildschirm

• Wählen Sie die Netzwerkschnittstelle aus, die Sie ausspionieren möchten. Beachten Sie, dass wir für diese Demonstration eine drahtlose Netzwerkverbindung verwenden. Wenn Sie sich in einem lokalen Netzwerk befinden, sollten Sie die lokale Netzwerkschnittstelle auswählen.
• Klicken Sie wie oben gezeigt auf die Schaltfläche „Start“.

• Öffnen Sie Ihren Webbrowser und geben Sie ein http://www.techpanda.org/

• Die Login-E-Mail lautet admin@google.com und das Passwort ist Password2010
• Klicken Sie auf die Schaltfläche Senden
• Nach einer erfolgreichen Anmeldung sollte Ihnen das folgende Dashboard angezeigt werden

• Gehen Sie zurück zu Wireshark und stoppen Sie die Live-Aufnahme

• Filtern Sie nur nach HTTP-Protokollergebnissen mithilfe des Filtertextfelds

• Suchen Sie in der Spalte „Info“ nach Einträgen mit dem HTTP-Verb „POST“ und klicken Sie darauf

• Direkt unter den Protokolleinträgen befindet sich ein Bereich mit einer Zusammenfassung der erfassten Daten. Suchen Sie nach der Zusammenfassung mit der Aufschrift Zeilenbasierte Textdaten: application/x-www-form-urlencoded

• Sie sollten in der Lage sein, die Klartextwerte aller POST-Variablen anzuzeigen, die über das HTTP-Protokoll an den Server übermittelt werden.

Was ist ein MAC-Flooding?

MAC-Flooding ist eine Netzwerk-Sniffing-Technik, die die MAC-Tabelle des Switches mit gefälschten MAC-Adressen überflutet. Dies führt zu einer Überlastung des Switch-Speichers und lässt ihn als Hub fungieren. Sobald der Switch kompromittiert wurde, sendet er die Broadcast-Nachrichten an alle Computer in einem Netzwerk. Dadurch ist es möglich, Datenpakete beim Senden im Netzwerk abzuhören.

Gegenmaßnahmen gegen MAC-Überschwemmungen

• Einige Switches verfügen über die Port-Sicherheitsfunktion. Mit dieser Funktion kann die Anzahl begrenzt werden MAC-Adressen auf den Häfen. Es kann auch verwendet werden, um zusätzlich zu der vom Switch bereitgestellten eine sichere MAC-Adresstabelle zu verwalten.
• Authentifizierungs-, Autorisierungs- und Buchhaltungsserver kann zum Filtern erkannter MAC-Adressen verwendet werden.

Schnüffel-Gegenmaßnahmen

• Beschränkung auf physische Netzwerkmedien Reduziert die Wahrscheinlichkeit, dass ein Netzwerk-Sniffer installiert wurde, erheblich
• Nachrichten verschlüsseln wie sie sind transmitDie Übertragung über das Netzwerk verringert ihren Wert erheblich, da sie schwer zu entschlüsseln sind.
• Ändern des Netzwerks in eine Secure Shell (SSH)Netzwerk verringert auch die Wahrscheinlichkeit, dass das Netzwerk ausgespäht wird.

Zusammenfassung

• Netzwerk-Sniffing fängt Pakete ab, während sie gesendet werden. transmitüber das Netzwerk
• Passives Sniffing erfolgt in einem Netzwerk, das einen Hub verwendet. Es ist schwer zu erkennen.
• Aktives Sniffing erfolgt in einem Netzwerk, das einen Switch verwendet. Es ist leicht zu erkennen.
• MAC-Flooding funktioniert, indem die MAC-Tabellen-Adressliste mit gefälschten MAC-Adressen überflutet wird. Dadurch funktioniert der Switch wie ein HUB
• Die oben beschriebenen Sicherheitsmaßnahmen können dazu beitragen, das Netzwerk vor Sniffing zu schützen.