Wireshark チュートリアル: ネットワークとパスワード スニファー

⚡ スマートサマリー

Wireshark パスワードスニファのチュートリアルでは、攻撃者がネットワーク上を移動する認証情報を傍受する方法と、防御者がそれを阻止する方法を示します。このガイドでは、 Wireshark 傍受、平文HTTP解析、MACフラッディング、およびスニッフィングを無効化する暗号化制御。

  • 🔎 嗅ぎ分けとは何か: スニファは、LANやインターネット上の低レベルのパケットデータを読み取り、ログイン情報、ファイル、チャットトラフィックなどを収集する。
  • 🧭 受動的 vs 能動的: ハブは静かに受動的に情報を傍受できるが、スイッチングネットワークではARPポイズニングやMACフラッディングなどの能動的な手法が必要となる。
  • 🦈 Wireshark ウォークスルー: インストールを開始する Wireshark 4.x では、ライブインターフェースを選択し、キャプチャしてから、HTTP POST でフィルタリングしてプレーンテキストのフォームデータを読み取ります。
  • 🛡️ 防御: HTTPS、SSH、VPN、強力なWi-Fi暗号化、およびスイッチポートのセキュリティを利用して、スニファの価値を無効化してください。
  • 🤖 AIの視点: 最新のIDSおよびSIEMプラットフォームは、機械学習を適用することで、スニッフィング、ARPポイズニング、MACテーブルのオーバーフローを数秒で検出します。

Wireshark パスワードスニファの概要

コンピュータはネットワークを使って通信します。これらのネットワークは、ローカルエリアネットワーク(LAN)上にある場合もあれば、インターネットに接続されている場合もあります。 ネットワークスニファは、低レベルのパケットデータをキャプチャするプログラムです。 transmitネットワーク経由で転送されます。 攻撃者はこの情報を分析することで、ユーザーIDやパスワードなどの貴重な情報を入手することができる。

この記事では、一般的なネットワークスニッフィング技術、攻撃者や倫理的ハッカーがネットワークをスニッフィングするために使用するツール、そしてネットワーク上の機密情報を保護する対策について学びます。 Wireshark 以下の手順説明は、教育目的および正規の試験のみに提供されています。

ネットワークスニッフィングとは何ですか?

コンピュータは、IP アドレスを使用してネットワーク上にメッセージをブロードキャストすることによって通信します。 メッセージがネットワーク上に送信されると、一致する IP アドレスを持つ受信側コンピューターが MAC アドレスで応答します。

ネットワーク スニッフィングは、ネットワーク上で送信されたデータ パケットを傍受するプロセスです。 専用ソフトウェア、ハードウェアタップ、または設定済みのポートミラーを使用して実行できます。スニッフィングは、以下の目的で使用できます。

  • ログイン認証情報などの機密データをキャプチャする
  • チャットメッセージの盗聴
  • キャプチャしたファイル transmitネットワーク経由でted

以下のプロトコルは、ログイン情報が平文で送信される場合に、盗聴の危険性があります。

  • テルネット
  • ログイン
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

現代の同等のプロトコル(HTTPS、SMTPS、IMAPS、SFTP、SSH)はペイロードを暗号化するため、スニファは認証情報ではなく暗号文を見ることになる。

パッシブスニッフィングとアクティブスニッフィング

パッシブスニッフィングとアクティブスニッフィングについて見ていく前に、コンピュータのネットワーク接続によく使われる2つのデバイス、ハブとスイッチについて見ていきましょう。

ハブは、ブロードキャストメッセージを送信したポートを除くすべての出力ポートにブロードキャストメッセージを送信することで機能します。 受信側のコンピュータは、IPアドレスが一致すればブロードキャストに応答します。したがって、ハブベースのセグメント上のすべてのマシンはすべてのフレームを見ることができます。ハブは、ネットワークの物理層(レイヤー1)で動作します。 OSIモデル.

以下の図は、ハブがどのように機能するかを示しています。

パッシブスニッフィングとアクティブスニッフィング

スイッチは動作原理が異なり、IPアドレスとMACアドレスを物理ポートにマッピングします。 フレームは受信者のMACアドレスに一致するポートにのみ転送されるため、LAN上の他のホストはトラフィックを認識できません。スイッチはデータリンク層(レイヤ2)で動作し、ルーティング機能を使用するとネットワーク層(レイヤ3)でも動作します。

以下の図は、スイッチがどのように機能するかを示しています。

パッシブスニッフィングとアクティブスニッフィング

パッシブスニッフィングとは、パケットを傍受することです。 transmitハブを使用するネットワークを介して転送されます。 攻撃者がトラフィックを注入しないため、検出が困難であることから、この攻撃はパッシブ攻撃と呼ばれています。また、ハブがネットワーク上のすべてのホストにブロードキャストメッセージを送信するため、実行も容易です。

アクティブスニッフィングはパケットを傍受する transmitスイッチを使用するネットワークを介して転送されます。 スイッチングネットワークを傍受するには、主に2つの手法が用いられます。 ARPポイズニング そしてMACフラッディング。

ハッキング アクティビティ: ネットワーク トラフィックを盗聴する

この実際的なシナリオでは、次のことを行います。 つかいます Wireshark データパケットを傍受する transmitHTTPプロトコルを介してローカルインターフェースでトラフィックをキャプチャし、セキュアな通信を使用しないサンプルWebアプリケーションにログインします。 Guru99 トレーニングサイト http://www.techpanda.org/.

ログインアドレスは admin@google.com パスワードは Password2010.

注意: デモンストレーション目的のみで、当社が所有するネットワーク上でWebアプリにログインします。同じ手法は、スニファと同じネットワーク上の他のホストからのデータパケットも明らかにする可能性があるため、実行前に書面による許可を得る必要があります。 Wireshark あなたが管理していないネットワーク上で。スニッフィングはtechpanda.orgに限定されません。 Wireshark インターフェースを通過するHTTPおよびその他のプロトコルのトラフィックをキャプチャします。

トップピック
ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer ネットワークのセキュリティと透明性を強化するために設計された、堅牢なポリシー管理および監査ソリューションです。ファイアウォールのトラフィックをリアルタイムで可視化し、ping 管理者は、セキュリティ上の脆弱性を特定し、ルールセットを最適化し、帯域幅の使用状況を監視する。

ロケーション選択 ManageEngine

を使用してネットワークを盗聴する Wireshark

以下の図は、この演習を混乱なく完了するために実行する手順を示しています。

を使用してネットワークを盗聴する Wireshark

ダウンロード Wireshark from wireshark.org/download.html現在の安定版ブランチは Wireshark 4.x は、 Windows, macOS、およびLinux。

  • 店は開いています Wireshark
  • 次のようなウェルカム画面が表示されます。

を使用してネットワークを盗聴する Wireshark

  • 監視対象のネットワークインターフェースを選択してください。この手順では無線接続を使用しますが、有線LANの場合はイーサネットアダプタを選択してください。
  • 上に表示されているスタートボタン(サメのヒレのアイコン)をクリックしてください。

を使用してネットワークを盗聴する Wireshark

を使用してネットワークを盗聴する Wireshark

  • ログインメールアドレスは admin@google.com パスワードは Password2010.
  • 送信ボタンをクリックします。
  • ログインに成功すると、以下のダッシュボードが表示されます。

を使用してネットワークを盗聴する Wireshark

  • に切り替えます Wireshark そしてライブ配信を停止します。

を使用してネットワークを盗聴する Wireshark

  • HTTPトラフィックのみをタイプでフィルタリングping HTTP 表示フィルターバーに入力します。

を使用してネットワークを盗聴する Wireshark

  • 「情報」列を探し、HTTP動詞「POST」を含むエントリを見つけてクリックします。

を使用してネットワークを盗聴する Wireshark

  • ログエントリの下には、キャプチャされたデータの概要を示すパネルがあります。次の行を探してください。 行ベースのテキストデータ: application/x-www-form-urlencoded.

を使用してネットワークを盗聴する Wireshark

  • これで、HTTP経由でサーバーに送信されたすべてのPOST変数の平文値(メールアドレスとパスワードのフィールドを含む)を読み取れるようになったはずです。

MACフラッディングとは何ですか?

MACフラッディングとは、スイッチのCAM(MACアドレス)テーブルに偽のMACアドレスを大量に送り込むネットワークスニッフィング技術である。 テーブルがいっぱいになると、スイッチは正当な宛先を学習できなくなり、ハブのようにすべてのポートにフレームを転送し始めます。攻撃者は、ネットワークを通過するデータパケットを傍受できるようになります。

MACフラッディングへの対策

  • スイッチポートのセキュリティ。 数を制限する MACアドレス ポートごとに許可され、最初に検出されたMACアドレスを記憶し、制限を超えた場合はポートをロックまたはシャットダウンします。
  • 認証、認可、およびアカウンティング(AAA)サーバー 802.1Xと組み合わせて使用​​することで、検出されたMACアドレスをフィルタリングし、認証されたデバイスのみを受け入れることができます。
  • 動的ARP検査とDHCPスヌーping MACフラッディングとよく併発する、関連するARPポイズニング攻撃を軽減する。

スニッフィング対策

  • 物理メディアへのアクセスを制限する。 ロックされたパッチパネル、ポートが無効化された壁面ジャック、およびセグメント化されたVLANは、そもそもスニファがインストールされる可能性を低減します。
  • 通信中のデータを暗号化する。 HTTPS(TLS 1.3)、SSH、IPsec、および最新のVPNプロトコルは、傍受されたパケットを攻撃者にとって判読不能にする。
  • 安全性の低いプロトコルを置き換える。 Telnetから SSHFTPからSFTPまたはFTPSへの変換、およびサイト全体でのHTTPからHTTPSへの変換。
  • Wi-Fiのセキュリティを強化する。 無線傍受を防ぐには、強力なパスフレーズを設定したWPA3またはWPA2-AESを使用してください。
  • IDS(侵入検知システム)で監視する。 Suricata、Zeek、および Snort ARPポイズニング、MACテーブルのオーバーフロー、またはプロミスキャスインターフェースが発生した場合にアラートを発報する。

AIがネットワークスニッフィング防御を強化する方法

最新の侵入検知およびSIEMプラットフォームは、パケットキャプチャの上に機械学習を重ねることで、ルールセットのみの場合よりも高速にスニッフィング関連のアクティビティを検出します。AIモデルは、通常のARP、DHCP、およびMACテーブルの動作をベースラインとして、異常なブロードキャスト量や重複したIP-MACマップなどの逸脱をフラグ付けします。pingまたは、ARP ポイズニングまたは MAC フラッディングを示唆する CAM テーブルの急激な変動。

大規模言語モデルはアナリストのトリアージにも役立ちます Wireshark Zeekは、疑わしいトラフィックフローを平易な英語で要約し、フィルタを提案し、観測されたIOCを脅威インテリジェンスフィードと照合することで、ログを分析します。防御側は、AIによる分析結果を実際のキャプチャデータと照合して検証する必要がありますが、トラフィック量の多いネットワークでは処理速度が大幅に向上します。

製品概要

  • ネットワークスニッフィングは、ネットワーク上を流れるパケットを傍受し、平文の認証情報を漏洩させる可能性があります。
  • パッシブスニッフィングはハブベースのネットワーク上で動作するため検出が困難ですが、アクティブスニッフィングはスイッチを標的とするため検出が容易です。
  • Wireshark 4.x は、このチュートリアルで HTTP POST データを読み取るために使用されている標準的なオープンソースのアナライザーです。
  • MACフラッディングはスイッチのCAMテーブルに過負荷をかけ、スイッチをハブのように動作させる。
  • 暗号化(HTTPS、SSH、VPN)、スイッチポートのセキュリティ、WPA3 Wi-Fi、そしてAIによる監視を組み合わせることで、ほとんどの盗聴攻撃を無効化できます。

よくあるご質問

自分が所有するネットワーク、またはテストを行うための書面による許可を得ているネットワークでのみ行ってください。他人の通信を傍受することは、ほとんどの国で盗聴法およびコンピュータ不正使用法に違反するため、必ずラボ内、またはネットワーク所有者からの署名入りの許可を得て作業してください。

デフォルトではそうではありません。HTTPSはTLSでペイロードを暗号化するため、 Wireshark 暗号化されたテキストが表示されます。復号化は、サーバーの秘密鍵を管理しているか、クライアントブラウザからSSLKEYLOGFILEセッションキーをインポートした場合にのみ可能です。

  http.request.method == “POST” フォーム送信を分離したり、 httpには「password」が含まれています 正規のテスト中に、平文サイト上で発生する可能性のある認証情報トラフィックを明らかにする。

AIモデルは、ARP、DHCP、スイッチの動作をベースラインとして正常と判断し、重複MACマップなどの異常を検出してフラグを立てます。pings、突然のCAMテーブルの変動、またはプロミスカッシングインターフェースなどに対応し、署名のみのルールよりもはるかに早くARPポイズニングやMACフラッディングを検出します。

はい。大規模な言語モデルは、pcapエクスポートを要約したり、表示フィルターを提案したり、通常とは異なるプロトコルを説明したりすることができますが、インシデント対応の決定を行う前に、必ず生のキャプチャデータと照らし合わせて検証する必要があります。

Wi-Fiキャプチャでは、モニターモードと対応アダプタを使用して無線フレームを読み取る必要がありますが、イーサネットスニッフィングでは、ポートミラー、ネットワークタップ、またはARPポイズニングなどのアクティブな攻撃を利用して、他のホストのトラフィックを傍受します。

エンドツーエンド暗号化。サイト全体でHTTPSを強制し、TelnetよりもSSHを優先し、Wi-FiではWPA3を必須とし、リモートセッションは最新のVPN経由でルーティングすることで、傍受されたパケットには使用可能な認証情報ではなく暗号文が含まれるようにします。