Wireshark Vodič: Njuškalo mreže i lozinki
Računala komuniciraju pomoću mreža. Te mreže mogu biti na lokalnoj mreži LAN ili izložene internetu. Network Sniffers su programi koji hvataju podatke paketa niske razine koji se prenose preko mreže. Napadač može analizirati ove informacije kako bi otkrio vrijedne informacije kao što su korisnički ID-ovi i lozinke.
U ovom ćemo vam članku predstaviti uobičajene tehnike njuškanja mreže i alate koji se koriste za njuškanje mreža. Također ćemo razmotriti protumjere koje možete primijeniti kako biste zaštitili osjetljive informacije koje se prenose preko mreže.
Što je Network Sniffing?
Računala komuniciraju emitiranjem poruka na mreži koristeći IP adrese. Nakon što je poruka poslana na mreži, računalo primatelja s odgovarajućom IP adresom odgovara svojom MAC adresom.
Njuškanje mreže je proces presretanja paketa podataka koji se šalju preko mreže.To se može učiniti pomoću specijaliziranog softverskog programa ili hardverske opreme. Njuškanje se može koristiti za;
- Snimite osjetljive podatke kao što su vjerodajnice za prijavu
- Prisluškujte chat poruke
- Datoteke snimanja su prenesene preko mreže
Sljedeći su protokoli koji su osjetljivi na njuškanje
Gore navedeni protokoli su ranjivi ako se podaci za prijavu pošalju u obliku običnog teksta
Pasivno i aktivno njuškanje
Prije nego što pogledamo pasivno i aktivno njuškanje, pogledajmo dva glavna uređaja koji se koriste za umrežavanje računala; čvorišta i sklopke.
Čvorište radi tako da šalje poruke emitiranja na sve izlazne priključke na njemu osim na onaj koji je poslao emitiranje. Računalo primatelja odgovara na emitiranu poruku ako IP adresa odgovara. To znači da kada koristite čvorište, sva računala na mreži mogu vidjeti emitiranu poruku. Djeluje na fizičkom sloju (sloj 1) od OSI model.
Donji dijagram ilustrira kako čvorište radi.
Prekidač radi drugačije; preslikava IP/MAC adrese na fizičke priključke na njemu. Broadcast poruke šalju se na fizičke priključke koji odgovaraju konfiguracijama IP/MAC adresa za računalo primatelja. To znači da emitirane poruke vidi samo računalo primatelja. Prekidači rade na sloju podatkovne veze (sloj 2) i mrežnom sloju (sloj 3).
Donji dijagram ilustrira kako prekidač radi.
Pasivno njuškanje je presretanje paketa koji se prenose preko mreže koja koristi čvorište. Zove se pasivno njuškanje jer ga je teško otkriti. Također je lako izvesti jer čvorište šalje emitirane poruke svim računalima na mreži.
Aktivno njuškanje je presretanje paketa koji se prenose preko mreže koja koristi prekidač. Postoje dvije glavne metode koje se koriste za njuškanje između povezanih mreža, ARP trovanje, i poplava MAC-a.
Aktivnost hakiranja: Njuškanje mrežnog prometa
U ovom praktičnom scenariju, mi ćemo koristiti Wireshark za njuškanje paketa podataka dok se prenose preko HTTP protokola. Za ovaj primjer, mi ćemo pronjuškati mrežu pomoću Wireshark, zatim se prijavite na web aplikaciju koja ne koristi sigurnu komunikaciju. Prijavit ćemo se na web aplikaciju na http://www.techpanda.org/
Adresa za prijavu je admin@google.com, a lozinka je Lozinka2010.
Bilješka: prijavit ćemo se na web aplikaciju samo u svrhu demonstracije. Tehnika također može njuškati pakete podataka s drugih računala koja su na istoj mreži kao i ono koje vi koristite za njuškanje. Njuškanje nije ograničeno samo na techpanda.org, već također njuška sve HTTP i pakete podataka drugih protokola.
Njuškanje mreže pomoću Wireshark
Ilustracija u nastavku prikazuje vam korake koje ćete poduzeti kako biste dovršili ovu vježbu bez zabune
Preuzimanje Wireshark iz ove veze http://www.wireshark.org/download.html
- Otvoren Wireshark
- Dobit ćete sljedeći ekran
- Odaberite mrežno sučelje koje želite njuškati. Napomena za ovu demonstraciju koristimo bežičnu mrežnu vezu. Ako ste na lokalnoj mreži, trebali biste odabrati sučelje lokalne mreže.
- Pritisnite gumb za početak kao što je prikazano gore
- Otvorite web preglednik i upišite http://www.techpanda.org/
- Email za prijavu je admin@google.com a lozinka je Lozinka2010
- Kliknite gumb za slanje
- Uspješna prijava trebala bi vam dati sljedeću nadzornu ploču
- Vratite se na Wireshark i zaustavite snimanje uživo
- Filtrirajte rezultate HTTP protokola samo pomoću tekstnog okvira filtra
- Pronađite stupac Info i potražite unose s HTTP glagolom POST i kliknite na njega
- Odmah ispod unosa dnevnika nalazi se ploča sa sažetkom snimljenih podataka. Potražite sažetak koji kaže tekstualne podatke temeljene na liniji: application/x-www-form-urlencoded
- Trebali biste moći vidjeti vrijednosti otvorenog teksta svih POST varijabli poslanih na poslužitelj putem HTTP protokola.
Što je MAC Flooding?
MAC flooding je tehnika njuškanja mreže koja preplavljuje MAC tablicu prekidača lažnim MAC adresama. To dovodi do preopterećenja memorije prekidača i čini ga kao središte. Nakon što je komutator kompromitiran, on šalje emitirane poruke svim računalima na mreži. To omogućuje njuškanje paketa podataka dok se šalju mrežom.
Protumjere protiv preplavljivanja MAC-a
- Neki preklopnici imaju sigurnosnu značajku porta. Ova se značajka može koristiti za ograničavanje broja MAC adrese na lukama. Također se može koristiti za održavanje sigurne tablice MAC adresa uz onu koju pruža preklopnik.
- Poslužitelji za autentifikaciju, autorizaciju i računovodstvo može se koristiti za filtriranje otkrivenih MAC adresa.
Njuškanje Protumjere
- Ograničenje na mrežni fizički medij znatno smanjuje šanse da je instaliran mrežni sniffer
- Šifriranje poruka budući da se prenose preko mreže uvelike smanjuje njihovu vrijednost jer ih je teško dešifrirati.
- Promjena mreže u Secure Shell (SSH)mreža također smanjuje šanse da mreža bude pronjuškana.
rezime
- Njuškanje mreže je presretanje paketa dok se prenose preko mreže
- Pasivno njuškanje vrši se na mreži koja koristi čvorište. Teško ga je otkriti.
- Aktivno njuškanje vrši se na mreži koja koristi prekidač. Lako ga je otkriti.
- MAC flooding funkcionira tako da se lista adresa MAC tablice napuni lažnim MAC adresama. Zbog toga prekidač radi kao HUB
- Gore navedene sigurnosne mjere mogu pomoći u zaštiti mreže od njuškanja.