Wireshark Õpetus: Võrgu ja paroolide nuusutaja
Oliver Jones
Arvutid suhtlevad võrkude kaudu. Need võrgud võivad asuda kohtvõrgus LAN või olla Internetiga avatud. Network Sniffers on programmid, mis hõivavad võrgu kaudu edastatavaid madala taseme pakettandmeid. Ründaja saab seda teavet analüüsida, et leida väärtuslikku teavet, nagu kasutajatunnused ja paroolid.
Selles artiklis tutvustame teile levinud võrgu nuusutamise tehnikaid ja tööriistu, mida kasutatakse võrkude nuusutamiseks. Vaatame ka vastumeetmeid, mida saate võrgu kaudu edastatud tundliku teabe kaitsmiseks kasutusele võtta.
Mis on võrgu nuusutamine?
Arvutid suhtlevad, edastades sõnumeid võrgus, kasutades IP-aadresse. Kui sõnum on võrku saadetud, vastab vastava IP-aadressiga saaja arvuti oma MAC-aadressiga.
Võrgu nuusutamine on võrgu kaudu saadetud andmepakettide pealtkuulamise protsess.Seda saab teha spetsiaalse tarkvara või riistvara abil. Nuusutamist saab kasutada;
- Jäädvustage tundlikke andmeid, näiteks sisselogimismandaate
- Vestlussõnumite pealtkuulamine
- Püüdmisfailid on võrgu kaudu edastatud
Järgmised on protokollid, mis on nuuskimise suhtes haavatavad
Ülaltoodud protokollid on haavatavad, kui sisselogimisandmed saadetakse lihttekstina
Passiivne ja aktiivne nuusutamine
Enne kui vaatame passiivset ja aktiivset nuusutamist, vaatame kahte peamist arvutite võrgustamiseks kasutatavat seadet; jaoturid ja lülitid.
Jaotur töötab, saates leviteateid kõikidesse selle väljundportidesse, välja arvatud see, mis on edastuse saatnud. Kui IP-aadress ühtib, vastab vastuvõtja arvuti edastussõnumile. See tähendab, et jaoturi kasutamisel näevad kõik võrgus olevad arvutid leviedastusteadet. See töötab füüsilisel kihil (1. kiht). OSI mudel.
Allolev diagramm illustreerib jaoturi tööd.
Lüliti töötab erinevalt; see kaardistab IP/MAC-aadressid sellel olevate füüsiliste portidega. Levisõnumid saadetakse füüsilistesse portidesse, mis vastavad vastuvõtjaarvuti IP/MAC-aadressi konfiguratsioonile. See tähendab, et levisõnumeid näeb ainult vastuvõtja arvuti. Lülitid töötavad andmeside kihis (kiht 2) ja võrgukihis (kiht 3).
Allolev diagramm illustreerib lüliti toimimist.
Passiivne nuusutamine on jaoturit kasutava võrgu kaudu edastatud pakettide pealtkuulamine. Seda nimetatakse passiivseks nuusutamiseks, kuna seda on raske tuvastada. Seda on ka lihtne teostada, kuna jaotur saadab leviteateid kõigile võrgus olevatele arvutitele.
Aktiivne nuusutamine on lülitit kasutava võrgu kaudu edastatud pakettide pealtkuulamine. Lingitud võrkude vahetamiseks kasutatakse kahte peamist meetodit, ARP mürgistusja MAC-i üleujutus.
Häkkimistegevus: nuusutage võrguliiklust
Selle praktilise stsenaariumi korral me kavatseme kasutama Wireshark nuusutama andmepakette, kui neid HTTP-protokolli kaudu edastatakse. Selle näite puhul nuusutame võrku kasutades Wireshark, seejärel logige sisse veebirakendusse, mis ei kasuta turvalist suhtlust. Logime sisse veebirakendusse http://www.techpanda.org/
Sisselogimisaadress on admin@google.com, ja parool on Password2010.
Märge: logime veebirakendusse sisse ainult tutvustamise eesmärgil. See tehnika võib nuusutada ka andmepakette teistest arvutitest, mis on samas võrgus kui see, mida nuusutamiseks kasutate. Nuusutamine ei piirdu ainult saidiga techpanda.org, vaid nuusutab ka kõiki HTTP ja muude protokollide andmepakette.
Võrgu nuusutamine kasutades Wireshark
Allolev illustratsioon näitab teile samme, mida peate selle harjutuse segaduseta lõpetamiseks tegema
Lae Wireshark sellelt lingilt http://www.wireshark.org/download.html
- avatud Wireshark
- Saate järgmise ekraani
- Valige võrguliides, mida soovite nuusutada. Märkus selle demonstratsiooni puhul, et kasutame traadita võrguühendust. Kui olete kohtvõrgus, peaksite valima kohtvõrgu liidese.
- Klõpsake nuppu Start, nagu ülal näidatud
- Avage oma veebibrauser ja sisestage http://www.techpanda.org/
- Sisselogimise e-posti aadress on admin@google.com ja parool on Password2010
- Klõpsake nuppu Esita
- Edukas sisselogimine peaks andma teile järgmise armatuurlaua
- Mine tagasi Wireshark ja peatage reaalajas jäädvustamine
- HTTP-protokolli tulemuste filtreerimine ainult filtri tekstikasti abil
- Leidke veerg Info ja otsige kirjeid HTTP-verbiga POST ja klõpsake sellel
- Vahetult logikirjete all on paneel salvestatud andmete kokkuvõttega. Otsige kokkuvõtet, mis ütleb Reapõhised tekstiandmed: application/x-www-form-urlencoded
- Peaksite saama vaadata kõigi HTTP-protokolli kaudu serverisse edastatud POST-muutujate lihtteksti väärtusi.
Mis on MAC-i üleujutus?
MAC üleujutus on võrgu nuusutamise tehnika, mis ujutab switchi MAC-tabeli üle võltsitud MAC-aadressidega. See põhjustab lüliti mälu ülekoormamist ja muudab selle jaoturiks. Kui lüliti on ohustatud, saadab see leviteateid kõigile võrgus olevatele arvutitele. See võimaldab nuusutada andmepakette, kui need võrku saadetakse.
Vastumeetmed MAC-i üleujutuste vastu
- Mõnel kommutaatoril on pordi turvafunktsioon. Seda funktsiooni saab kasutada arvu piiramiseks MAC -aadressid sadamates. Seda saab kasutada ka turvalise MAC-aadressi tabeli haldamiseks lisaks lüliti pakutavale.
- Autentimis-, autoriseerimis- ja raamatupidamisserverid saab kasutada avastatud MAC-aadresside filtreerimiseks.
Nuusutamise vastumeetmed
- Piirang võrgu füüsilisele andmekandjale vähendab oluliselt võrgu nuusutaja installimise tõenäosust
- Sõnumite krüptimine kuna neid edastatakse võrgu kaudu, väheneb nende väärtus oluliselt, kuna neid on raske dekrüpteerida.
- Võrgu muutmine Secure Shelliks (SSH)võrk vähendab ka võimalust, et võrku nuusutatakse.
kokkuvõte
- Võrgu nuusutamine on pakettide pealtkuulamine, kui neid võrgu kaudu edastatakse
- Passiivne nuusutamine toimub võrgus, mis kasutab jaoturit. Seda on raske tuvastada.
- Aktiivne nuusutamine toimub võrgus, mis kasutab lülitit. Seda on lihtne tuvastada.
- MAC-i üleujutus toimib, täites MAC-tabeli aadresside loendi võltsitud MAC-aadressidega. See muudab lüliti töötama nagu HUB
- Eespool kirjeldatud turvameetmed aitavad kaitsta võrku nuuskamise eest.
