Wireshark Opetusohjelma: Network & Passwords Sniffer

Tietokoneet kommunikoivat verkkojen avulla. Nämä verkot voivat olla lähiverkon LAN-verkossa tai Internetissä. Network Sniffers ovat ohjelmia, jotka kaappaavat matalan tason pakettidataa, joka lähetetään verkon kautta. Hyökkääjä voi analysoida nämä tiedot löytääkseen arvokkaita tietoja, kuten käyttäjätunnuksia ja salasanoja.

Tässä artikkelissa esittelemme sinulle yleisiä verkon nuuskimistekniikoita ja -työkaluja, joita käytetään verkkojen haistamiseen. Tarkastelemme myös vastatoimia, joita voit ottaa käyttöön verkon kautta lähetettyjen arkaluonteisten tietojen suojaamiseksi.

Mikä on verkon haistaa?

Tietokoneet kommunikoivat lähettämällä viestejä verkossa IP-osoitteita käyttäen. Kun viesti on lähetetty verkossa, vastaanottajatietokone, jolla on vastaava IP-osoite, vastaa MAC-osoitteellaan.

Verkon haistaminen on prosessi, jossa siepataan verkon kautta lähetettyjä datapaketteja.Tämä voidaan tehdä erikoistuneella ohjelmistolla tai laitteistolla. Nuuskailua voidaan käyttää;

  • Tallenna arkaluontoiset tiedot, kuten kirjautumistiedot
  • Kuuntele chat-viestejä
  • Sieppaustiedostot on lähetetty verkon kautta

Seuraavat ovat protokollat, jotka ovat haavoittuvia

  • Telnet
  • rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Yllä olevat protokollat ​​ovat haavoittuvia, jos kirjautumistiedot lähetetään pelkkänä tekstinä

Verkon haistaminen

Passiivinen ja aktiivinen nuuskiminen

Ennen kuin tarkastelemme passiivista ja aktiivista haistelua, katsotaanpa kahta päälaitetta, joita käytetään tietokoneiden verkkoon; keskittimet ja kytkimet.

Keskitin toimii lähettämällä yleislähetysviestejä kaikkiin sen lähtöportteihin paitsi siihen, joka on lähettänyt lähetyksen. Vastaanottajatietokone vastaa lähetysviestiin, jos IP-osoite täsmää. Tämä tarkoittaa, että keskitintä käytettäessä kaikki verkon tietokoneet voivat nähdä lähetysviestin. Se toimii fyysisessä kerroksessa (kerros 1). OSI-malli.

Alla oleva kaavio havainnollistaa, kuinka napa toimii.

Passiivinen ja aktiivinen nuuskiminen

Kytkin toimii eri tavalla; se kartoittaa IP/MAC-osoitteet sen fyysisiin portteihin. Yleislähetysviestit lähetetään fyysisiin portteihin, jotka vastaavat vastaanottavan tietokoneen IP/MAC-osoitemäärityksiä. Tämä tarkoittaa, että lähetetyt viestit näkevät vain vastaanottava tietokone. Kytkimet toimivat datalinkkikerroksessa (taso 2) ja verkkokerroksessa (kerros 3).

Alla oleva kaavio havainnollistaa kytkimen toimintaa.

Passiivinen ja aktiivinen nuuskiminen

Passiivinen nuuskiminen on keskitintä käyttävän verkon kautta lähetettyjen pakettien sieppaamista. Sitä kutsutaan passiiviseksi haistamiseksi, koska sitä on vaikea havaita. Se on myös helppo suorittaa, koska keskitin lähettää yleislähetysviestejä kaikille verkon tietokoneille.

Aktiivinen haistaminen on kytkintä käyttävän verkon kautta lähetettyjen pakettien sieppaamista. Linkitettyjen verkkojen vaihtamiseen käytetään kahta päämenetelmää, ARP -myrkytysja MAC-tulva.

Hakkerointitoiminta: Haista verkkoliikennettä

Tässä käytännön skenaariossa aiomme tehdä käyttää Wireshark haistaa datapaketteja, kun ne lähetetään HTTP-protokollan kautta. Tässä esimerkissä haistelemme verkkoa käyttämällä Wireshark, kirjaudu sitten sisään verkkosovellukseen, joka ei käytä suojattua viestintää. Kirjaudumme sisään verkkosovellukseen http://www.techpanda.org/

Kirjautumisosoite on admin@google.com, ja salasana on Password2010.

Huomautus: kirjaudumme verkkosovellukseen vain esittelytarkoituksessa. Tekniikka voi myös haistaa datapaketteja muista tietokoneista, jotka ovat samassa verkossa kuin se, jota käytät haistelemaan. Nuuskiminen ei rajoitu vain techpanda.org-sivustoon, vaan se myös haistaa kaikki HTTP- ja muiden protokollien datapaketit.

Haistaa verkkoa käyttämällä Wireshark

Alla oleva kuva näyttää vaiheet, jotka sinun tulee suorittaa suorittaaksesi tämän harjoituksen ilman sekaannusta

Haistaa verkkoa käyttämällä Wireshark

Lataa Wireshark tästä linkistä http://www.wireshark.org/download.html

  • avoin Wireshark
  • Saat seuraavan näytön

Haistaa verkkoa käyttämällä Wireshark

  • Valitse verkkoliitäntä, jota haluat haistaa. Huomaa tässä esittelyssä, että käytämme langatonta verkkoyhteyttä. Jos olet lähiverkossa, sinun tulee valita lähiverkkoliitäntä.
  • Napsauta aloituspainiketta yllä olevan kuvan mukaisesti

Haistaa verkkoa käyttämällä Wireshark

Haistaa verkkoa käyttämällä Wireshark

  • Kirjautumissähköpostiosoite on admin@google.com ja salasana on Password2010
  • Napsauta Lähetä-painiketta
  • Onnistuneen kirjautumisen pitäisi antaa sinulle seuraava kojelauta

Haistaa verkkoa käyttämällä Wireshark

  • Palata takaisin Wireshark ja lopeta live-kaappaus

Haistaa verkkoa käyttämällä Wireshark

  • Suodata HTTP-protokollan tulokset vain käyttämällä suodatintekstiruutua

Haistaa verkkoa käyttämällä Wireshark

  • Etsi Info-sarake ja etsi merkintöjä HTTP-verbillä POST ja napsauta sitä

Haistaa verkkoa käyttämällä Wireshark

  • Aivan lokimerkintöjen alapuolella on paneeli, jossa on yhteenveto kaapatuista tiedoista. Etsi yhteenveto, jossa lukee Rivipohjaiset tekstitiedot: application/x-www-form-urlencoded

Haistaa verkkoa käyttämällä Wireshark

  • Sinun pitäisi pystyä tarkastelemaan kaikkien HTTP-protokollan kautta palvelimelle lähetettyjen POST-muuttujien tekstiarvoja.

Mikä on MAC-tulva?

MAC-tulva on verkon nuuskimistekniikka, joka täyttää kytkimen MAC-taulukon väärillä MAC-osoitteilla. Tämä johtaa kytkimen muistin ylikuormitukseen ja saa sen toimimaan keskittimenä. Kun kytkin on vaarantunut, se lähettää lähetysviestit kaikkiin verkon tietokoneisiin. Tämä mahdollistaa datapakettien haistelemisen verkossa lähetettyinä.

Vastatoimenpiteet MAC-tulvia vastaan

  • Joissakin kytkimissä on portin suojausominaisuus. Tätä ominaisuutta voidaan käyttää rajoittamaan niiden määrää MAC-osoitteet satamissa. Sitä voidaan käyttää myös suojatun MAC-osoitetaulukon ylläpitämiseen kytkimen tarjoaman taulukon lisäksi.
  • Todennus-, valtuutus- ja kirjanpitopalvelimet voidaan käyttää löydettyjen MAC-osoitteiden suodattamiseen.

Nuuskauksen vastatoimenpiteet

  • Rajoitus verkon fyysiseen mediaan vähentää huomattavasti mahdollisuuksia, että verkon nuuskija asennetaan
  • Viestien salaus koska ne lähetetään verkon yli, heikentää niiden arvoa suuresti, koska niiden salausta on vaikea purkaa.
  • Verkon vaihtaminen Secure Shelliin (SSH)verkko vähentää myös mahdollisuuksia, että verkkoa haistetaan.

Yhteenveto

  • Verkon haistaminen sieppaa paketteja, kun niitä lähetetään verkon yli
  • Passiivinen haisteleminen tapahtuu verkossa, joka käyttää keskitintä. Se on vaikea havaita.
  • Aktiivinen haisteleminen tapahtuu verkossa, joka käyttää kytkintä. Se on helppo havaita.
  • MAC-tulva toimii täyttämällä MAC-taulukon osoiteluettelon väärillä MAC-osoitteilla. Tämä saa kytkimen toimimaan HUBin tavoin
  • Yllä kuvatut suojatoimenpiteet voivat auttaa suojaamaan verkkoa haistamiselta.