Wireshark Εκμάθηση: Network & Passwords Sniffer
Οι υπολογιστές επικοινωνούν χρησιμοποιώντας δίκτυα. Αυτά τα δίκτυα μπορεί να βρίσκονται σε τοπικό δίκτυο LAN ή να είναι εκτεθειμένα στο Διαδίκτυο. Τα Network Sniffers είναι προγράμματα που καταγράφουν δεδομένα πακέτων χαμηλού επιπέδου που μεταδίδονται μέσω δικτύου. Ένας εισβολέας μπορεί να αναλύσει αυτές τις πληροφορίες για να ανακαλύψει πολύτιμες πληροφορίες, όπως αναγνωριστικά χρήστη και κωδικούς πρόσβασης.
Σε αυτό το άρθρο, θα σας παρουσιάσουμε τις κοινές τεχνικές και τα εργαλεία ανίχνευσης δικτύου που χρησιμοποιούνται για την ανίχνευση δικτύων. Θα εξετάσουμε επίσης τα αντίμετρα που μπορείτε να εφαρμόσετε για την προστασία ευαίσθητων πληροφοριών που μεταδίδονται μέσω δικτύου.
Τι είναι το Network Sniffing;
Οι υπολογιστές επικοινωνούν μεταδίδοντας μηνύματα σε ένα δίκτυο χρησιμοποιώντας διευθύνσεις IP. Μόλις σταλεί ένα μήνυμα σε ένα δίκτυο, ο υπολογιστής παραλήπτης με την αντίστοιχη διεύθυνση IP απαντά με τη διεύθυνση MAC του.
Το sniffing δικτύου είναι η διαδικασία υποκλοπής πακέτων δεδομένων που αποστέλλονται μέσω ενός δικτύου.Αυτό μπορεί να γίνει από το εξειδικευμένο πρόγραμμα λογισμικού ή εξοπλισμό υλικού. Το sniffing μπορεί να χρησιμοποιηθεί για να?
- Καταγράψτε ευαίσθητα δεδομένα, όπως διαπιστευτήρια σύνδεσης
- Υποκλοπή μηνυμάτων συνομιλίας
- Τα αρχεία λήψης έχουν μεταδοθεί μέσω δικτύου
Τα παρακάτω είναι πρωτόκολλα που είναι ευάλωτα στο sniffing
Τα παραπάνω πρωτόκολλα είναι ευάλωτα εάν τα στοιχεία σύνδεσης αποστέλλονται σε απλό κείμενο
Παθητικό και Ενεργό Μυρισμό
Πριν εξετάσουμε το παθητικό και το ενεργό sniffing, ας δούμε δύο κύριες συσκευές που χρησιμοποιούνται για τη δικτύωση υπολογιστών. διανομείς και διακόπτες.
Ένας διανομέας λειτουργεί στέλνοντας μηνύματα εκπομπής σε όλες τις θύρες εξόδου σε αυτό, εκτός από αυτήν που έχει στείλει τη μετάδοση. Ο υπολογιστής παραλήπτης αποκρίνεται στο μήνυμα μετάδοσης εάν η διεύθυνση IP ταιριάζει. Αυτό σημαίνει ότι όταν χρησιμοποιείτε έναν διανομέα, όλοι οι υπολογιστές σε ένα δίκτυο μπορούν να δουν το μήνυμα μετάδοσης. Λειτουργεί στο φυσικό στρώμα (στρώμα 1) του Μοντέλο OSI.
Το παρακάτω διάγραμμα δείχνει πώς λειτουργεί ο διανομέας.
Ένας διακόπτης λειτουργεί διαφορετικά. αντιστοιχίζει διευθύνσεις IP/MAC σε φυσικές θύρες σε αυτό. Τα μηνύματα εκπομπής αποστέλλονται στις φυσικές θύρες που ταιριάζουν με τις διαμορφώσεις διεύθυνσης IP/MAC για τον υπολογιστή παραλήπτη. Αυτό σημαίνει ότι τα μηνύματα εκπομπής φαίνονται μόνο από τον υπολογιστή παραλήπτη. Οι διακόπτες λειτουργούν στο επίπεδο σύνδεσης δεδομένων (επίπεδο 2) και στο επίπεδο δικτύου (επίπεδο 3).
Το παρακάτω διάγραμμα δείχνει πώς λειτουργεί ο διακόπτης.
Το παθητικό sniffing είναι η υποκλοπή πακέτων που μεταδίδονται μέσω ενός δικτύου που χρησιμοποιεί έναν διανομέα. Ονομάζεται παθητικό sniffing γιατί είναι δύσκολο να εντοπιστεί. Είναι επίσης εύκολο να εκτελεστεί καθώς ο διανομέας στέλνει μηνύματα εκπομπής σε όλους τους υπολογιστές του δικτύου.
Ενεργό sniffing είναι η υποκλοπή πακέτων που μεταδίδονται μέσω ενός δικτύου που χρησιμοποιεί διακόπτη. Υπάρχουν δύο κύριες μέθοδοι που χρησιμοποιούνται για την ανίχνευση συνδεδεμένων δικτύων με μεταγωγή, Δηλητηρίαση ARP, και πλημμύρες MAC.
Δραστηριότητα Hacking: Sniff Network Traffic
Σε αυτό το πρακτικό σενάριο, πρόκειται να χρήση Wireshark για να μυρίσετε πακέτα δεδομένων καθώς μεταδίδονται μέσω πρωτοκόλλου HTTP. Για αυτό το παράδειγμα, θα μυρίσουμε το δίκτυο χρησιμοποιώντας Wireshark, στη συνέχεια συνδεθείτε σε μια εφαρμογή web που δεν χρησιμοποιεί ασφαλή επικοινωνία. Θα συνδεθούμε σε μια διαδικτυακή εφαρμογή στο http://www.techpanda.org/
Η διεύθυνση σύνδεσης είναι admin@google.com, και ο κωδικός είναι Password2010.
Σημείωση: θα συνδεθούμε στην εφαρμογή Ιστού μόνο για λόγους επίδειξης. Η τεχνική μπορεί επίσης να μυρίσει πακέτα δεδομένων από άλλους υπολογιστές που βρίσκονται στο ίδιο δίκτυο με αυτόν που χρησιμοποιείτε για να μυρίσετε. Το sniffing δεν περιορίζεται μόνο στο techpanda.org, αλλά σνιφάρει επίσης όλα τα πακέτα δεδομένων HTTP και άλλων πρωτοκόλλων.
Μυρίζοντας το δίκτυο χρησιμοποιώντας Wireshark
Η παρακάτω εικόνα σας δείχνει τα βήματα που θα εκτελέσετε για να ολοκληρώσετε αυτήν την άσκηση χωρίς σύγχυση
Λήψη Wireshark από αυτό το σύνδεσμο http://www.wireshark.org/download.html
- Ανοικτό Wireshark
- Θα δείτε την παρακάτω οθόνη
- Επιλέξτε τη διεπαφή δικτύου που θέλετε να μυρίσετε. Σημείωση για αυτήν την επίδειξη, χρησιμοποιούμε σύνδεση ασύρματου δικτύου. Εάν βρίσκεστε σε τοπικό δίκτυο, τότε θα πρέπει να επιλέξετε τη διεπαφή τοπικού δικτύου.
- Κάντε κλικ στο κουμπί έναρξης όπως φαίνεται παραπάνω
- Ανοίξτε το πρόγραμμα περιήγησής σας και πληκτρολογήστε http://www.techpanda.org/
- Το email σύνδεσης είναι admin@google.com και ο κωδικός πρόσβασης είναι Password2010
- Κάντε κλικ στο κουμπί υποβολής
- Μια επιτυχημένη σύνδεση θα πρέπει να σας δώσει τον ακόλουθο πίνακα εργαλείων
- Επιστρέψτε στο Wireshark και σταματήστε τη ζωντανή λήψη
- Φιλτράρισμα για αποτελέσματα πρωτοκόλλου HTTP μόνο χρησιμοποιώντας το πλαίσιο κειμένου φίλτρου
- Εντοπίστε τη στήλη Πληροφορίες και αναζητήστε καταχωρήσεις με το ρήμα HTTP POST και κάντε κλικ σε αυτήν
- Ακριβώς κάτω από τις καταχωρήσεις του ημερολογίου, υπάρχει ένας πίνακας με μια σύνοψη των δεδομένων που έχουν καταγραφεί. Αναζητήστε τη σύνοψη που λέει Δεδομένα κειμένου βάσει γραμμής: application/x-www-form-urlencoded
- Θα πρέπει να μπορείτε να προβάλετε τις τιμές απλού κειμένου όλων των μεταβλητών POST που υποβάλλονται στον διακομιστή μέσω πρωτοκόλλου HTTP.
Τι είναι το MAC Flooding;
Το MAC flooding είναι μια τεχνική sniffing δικτύου που πλημμυρίζει τον πίνακα MAC μεταγωγέα με ψεύτικες διευθύνσεις MAC. Αυτό οδηγεί σε υπερφόρτωση της μνήμης του διακόπτη και την κάνει να λειτουργεί ως διανομέας. Μόλις ο διακόπτης έχει παραβιαστεί, στέλνει τα μηνύματα εκπομπής σε όλους τους υπολογιστές ενός δικτύου. Αυτό καθιστά δυνατή την ανίχνευση πακέτων δεδομένων καθώς αποστέλλονται στο δίκτυο.
Αντιμέτρα κατά των πλημμυρών MAC
- Ορισμένοι διακόπτες διαθέτουν τη δυνατότητα ασφάλειας θύρας. Αυτή η δυνατότητα μπορεί να χρησιμοποιηθεί για τον περιορισμό του αριθμού των Διευθύνσεις MAC στα λιμάνια. Μπορεί επίσης να χρησιμοποιηθεί για τη διατήρηση ενός ασφαλούς πίνακα διευθύνσεων MAC εκτός από αυτόν που παρέχεται από το διακόπτη.
- Διακομιστές ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής μπορεί να χρησιμοποιηθεί για να φιλτράρει τις ανακαλυφθείσες διευθύνσεις MAC.
Μέτρα μέτρησης ρουθουνίσματος
- Περιορισμός στα φυσικά μέσα δικτύου μειώνει σημαντικά τις πιθανότητες εγκατάστασης ενός sniffer δικτύου
- Κρυπτογράφηση μηνυμάτων καθώς μεταδίδονται μέσω του δικτύου μειώνει πολύ την αξία τους καθώς είναι δύσκολο να αποκρυπτογραφηθούν.
- Αλλαγή του δικτύου σε ασφαλές κέλυφος (SSH)δίκτυο μειώνει επίσης τις πιθανότητες να μυριστεί το δίκτυο.
Σύνοψη
- Το sniffing δικτύου παρεμποδίζει πακέτα καθώς μεταδίδονται μέσω του δικτύου
- Το παθητικό sniffing γίνεται σε ένα δίκτυο που χρησιμοποιεί hub. Είναι δύσκολο να εντοπιστεί.
- Το ενεργό sniffing γίνεται σε ένα δίκτυο που χρησιμοποιεί διακόπτη. Είναι εύκολο να εντοπιστεί.
- Το MAC flooding λειτουργεί πλημμυρίζοντας τη λίστα διευθύνσεων πίνακα MAC με ψεύτικες διευθύνσεις MAC. Αυτό κάνει τον διακόπτη να λειτουργεί σαν HUB
- Τα μέτρα ασφαλείας όπως περιγράφονται παραπάνω μπορούν να βοηθήσουν στην προστασία του δικτύου από το sniffing.