Wireshark Tutorial: Sniffer di rete e password

By: Oliver Jones Oliver Jones
Hours aggiornato

I computer comunicano utilizzando le reti. Queste reti potrebbero trovarsi su una rete locale LAN o esposte a Internet. Gli sniffer di rete sono programmi che acquisiscono dati di pacchetto di basso livello trasmessi su una rete. Un utente malintenzionato può analizzare queste informazioni per scoprire informazioni preziose come ID utente e password.

In questo articolo ti presenteremo le tecniche e gli strumenti comuni di sniffing della rete utilizzati per sniffare le reti. Esamineremo anche le contromisure che è possibile mettere in atto per proteggere le informazioni sensibili trasmesse su una rete.

Che cos'è lo sniffing di rete?

I computer comunicano trasmettendo messaggi su una rete utilizzando indirizzi IP. Una volta inviato un messaggio in rete, il computer destinatario con l'indirizzo IP corrispondente risponde con il suo indirizzo MAC.

Lo sniffing di rete è il processo di intercettazione dei pacchetti di dati inviati su una rete.Questo può essere fatto tramite il programma software specializzato o l'attrezzatura hardware. Si può usare l'annusare;

  • Cattura dati sensibili come le credenziali di accesso
  • Ascolta i messaggi di chat
  • I file di acquisizione sono stati trasmessi su una rete

Di seguito sono riportati i protocolli vulnerabili allo sniffing

  • Telnet
  • Accedi
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

I protocolli sopra indicati sono vulnerabili se i dettagli di accesso vengono inviati in testo normale

Sniffing di rete

Sniffing passivo e attivo

Prima di esaminare lo sniffing passivo e attivo, esaminiamo due principali dispositivi utilizzati per collegare in rete i computer; hub e switch.

Un hub funziona inviando messaggi broadcast a tutte le porte di output su di esso tranne quella che ha inviato la trasmissione. Il computer destinatario risponde al messaggio broadcast se l'indirizzo IP corrisponde. Ciò significa che quando si utilizza un hub, tutti i computer di una rete possono vedere il messaggio broadcast. Funziona a livello fisico (livello 1) del Modello OSI.

Il diagramma seguente illustra il funzionamento dell'hub.

Sniffing passivo e attivo

Un interruttore funziona diversamente; mappa gli indirizzi IP/MAC sulle porte fisiche su di esso. I messaggi broadcast vengono inviati alle porte fisiche che corrispondono alle configurazioni dell'indirizzo IP/MAC per il computer destinatario. Ciò significa che i messaggi broadcast vengono visti solo dal computer ricevente. Gli switch operano al livello di collegamento dati (livello 2) e al livello di rete (livello 3).

Il diagramma seguente illustra il funzionamento dell'interruttore.

Sniffing passivo e attivo

Lo sniffing passivo intercetta i pacchetti trasmessi su una rete che utilizza un hub. Si chiama sniffing passivo perché è difficile da rilevare. È anche semplice da eseguire poiché l'hub invia messaggi broadcast a tutti i computer della rete.

Lo sniffing attivo intercetta i pacchetti trasmessi su una rete che utilizza uno switch. Esistono due metodi principali utilizzati per sniffare le reti collegate, Avvelenamento da ARPe inondazioni MAC.

ARTICOLI CORRELATI

Attività di hacking: sniffare il traffico di rete

In questo scenario pratico, lo faremo uso Wireshark per annusare i pacchetti di dati mentre vengono trasmessi tramite il protocollo HTTP. Per questo esempio, annuseremo la rete utilizzando Wireshark, quindi accedi a un'applicazione Web che non utilizza la comunicazione protetta. Effettueremo l'accesso a un'applicazione Web su http://www.techpanda.org/

L'indirizzo di accesso è admin@google.com, e la password è Password2010.

Nota: accederemo all'app Web solo a scopo dimostrativo. La tecnica può anche sniffare pacchetti di dati da altri computer che si trovano sulla stessa rete di quello che stai utilizzando per sniffare. Lo sniffing non si limita solo a techpanda.org, ma annusa anche tutti i pacchetti di dati HTTP e altri protocolli.

Sniffare la rete utilizzando Wireshark

L'illustrazione seguente mostra i passaggi che eseguirai per completare questo esercizio senza confusione

Sniffare la rete utilizzando Wireshark

Scaricare Wireshark da questo link http://www.wireshark.org/download.html

  • Apri Wireshark
  • Otterrai la seguente schermata

Sniffare la rete utilizzando Wireshark

  • Seleziona l'interfaccia di rete che vuoi sniffare. Nota per questa dimostrazione, stiamo utilizzando una connessione di rete wireless. Se sei su una rete locale, dovresti selezionare l'interfaccia della rete locale.
  • Fare clic sul pulsante di avvio come mostrato sopra

Sniffare la rete utilizzando Wireshark

Sniffare la rete utilizzando Wireshark

  • L'email di accesso è admin@google.com e la password è Password2010
  • Fare clic sul pulsante Invia
  • Un accesso riuscito dovrebbe darti la seguente dashboard

Sniffare la rete utilizzando Wireshark

  • Torna alla Wireshark e interrompere l'acquisizione dal vivo

Sniffare la rete utilizzando Wireshark

  • Filtra solo i risultati del protocollo HTTP utilizzando la casella di testo del filtro

Sniffare la rete utilizzando Wireshark

  • Individua la colonna Informazioni e cerca le voci con il verbo HTTP POST e fai clic su di essa

Sniffare la rete utilizzando Wireshark

  • Appena sotto le voci del registro, è presente un pannello con un riepilogo dei dati acquisiti. Cerca il riepilogo che dice Dati di testo basati su riga: application/x-www-form-urlencoded

Sniffare la rete utilizzando Wireshark

  • Dovresti essere in grado di visualizzare i valori in chiaro di tutte le variabili POST inviate al server tramite il protocollo HTTP.

Cos'è un MAC Flooding?

Il MAC Flooding è una tecnica di sniffing della rete che inonda la tabella MAC dello switch con indirizzi MAC falsi. Ciò porta a sovraccaricare la memoria dello switch e lo fa funzionare come un hub. Una volta compromesso lo switch, invia i messaggi broadcast a tutti i computer di una rete. Ciò rende possibile annusare i pacchetti di dati mentre vengono inviati sulla rete.

Contromisure contro il MAC Flooding

  • Alcuni switch dispongono della funzionalità di sicurezza della porta. Questa funzione può essere utilizzata per limitare il numero di Indirizzi MAC sui porti. Può anche essere utilizzato per mantenere una tabella di indirizzi MAC sicura oltre a quella fornita dallo switch.
  • Server di autenticazione, autorizzazione e contabilità può essere utilizzato per filtrare gli indirizzi MAC rilevati.

Contromisure per l'annusamento

  • Limitazione ai supporti fisici di rete riduce notevolmente le possibilità che sia stato installato uno sniffer di rete
  • Crittografia dei messaggi poiché vengono trasmessi in rete riduce notevolmente il loro valore in quanto sono difficili da decrittografare.
  • Modifica della rete in una Secure Shell (SSH)Rete riduce anche le possibilità che la rete venga sniffata.

Sommario

  • Lo sniffing della rete intercetta i pacchetti mentre vengono trasmessi sulla rete
  • Lo sniffing passivo viene eseguito su una rete che utilizza un hub. È difficile da rilevare.
  • Lo sniffing attivo viene eseguito su una rete che utilizza uno switch. È facile da rilevare.
  • Il MAC Flooding funziona inondando l'elenco degli indirizzi della tabella MAC con indirizzi MAC falsi. Ciò fa sì che il passaggio funzioni come un HUB
  • Le misure di sicurezza sopra descritte possono aiutare a proteggere la rete dallo sniffing.

Potrebbe piacerti: