Wireshark チュートリアル: ネットワークとパスワード スニファー
オリバー・ジョーンズ
コンピュータはネットワークを使用して通信します。 これらのネットワークは、ローカル エリア ネットワーク LAN 上にある場合もあれば、インターネットに公開されている場合もあります。 ネットワーク スニファーは、ネットワーク上で送信される低レベルのパッケージ データをキャプチャするプログラムです。 攻撃者はこの情報を分析して、ユーザー ID やパスワードなどの貴重な情報を発見する可能性があります。
この記事では、一般的なネットワーク スニッフィング手法と、ネットワークをスニッフィングするために使用されるツールを紹介します。 また、ネットワーク上で送信される機密情報を保護するために導入できる対策についても説明します。
ネットワークスニッフィングとは何ですか?
コンピュータは、IP アドレスを使用してネットワーク上にメッセージをブロードキャストすることによって通信します。 メッセージがネットワーク上に送信されると、一致する IP アドレスを持つ受信側コンピューターが MAC アドレスで応答します。
ネットワーク スニッフィングは、ネットワーク上で送信されたデータ パケットを傍受するプロセスです。これは、専用のソフトウェア プログラムまたはハードウェア機器によって実行できます。 スニッフィングは次の目的で使用できます。
- ログイン認証情報などの機密データをキャプチャする
- チャットメッセージの盗聴
- キャプチャ ファイルはネットワーク経由で送信されました
以下はスニッフィングに対して脆弱なプロトコルです
上記のプロトコルは、ログイン情報がプレーンテキストで送信されると脆弱になります。
パッシブスニッフィングとアクティブスニッフィング
パッシブ スニッフィングとアクティブ スニッフィングについて説明する前に、ネットワーク コンピュータに使用される XNUMX つの主要なデバイスを見てみましょう。 ハブとスイッチ。
ハブは、ブロードキャスト メッセージを送信したポートを除くすべての出力ポートにブロードキャスト メッセージを送信することによって機能します。受信側のコンピュータは、IPアドレスが一致した場合にブロードキャストメッセージに応答します。つまり、ハブを使用すると、ネットワーク上のすべてのコンピュータがブロードキャストメッセージを見ることができます。これは、ネットワークの物理層(レイヤー1)で動作します。 OSIモデル.
以下の図は、ハブがどのように機能するかを示しています。
スイッチの動作は異なります。 IP/MAC アドレスを物理ポートにマッピングします。ブロードキャスト メッセージは、受信側コンピュータの IP/MAC アドレス構成に一致する物理ポートに送信されます。つまり、ブロードキャスト メッセージは受信側コンピュータにのみ表示されます。スイッチは、データ リンク層 (レイヤー 2) とネットワーク層 (レイヤー 3) で動作します。
以下の図は、スイッチがどのように機能するかを示しています。
パッシブ スニッフィングは、ハブを使用するネットワーク経由で送信されるパッケージを傍受します。。 検出することが難しいため、パッシブスニッフィングと呼ばれます。 また、ハブがネットワーク上のすべてのコンピューターにブロードキャスト メッセージを送信するため、実行も簡単です。
アクティブ スニッフィングは、スイッチを使用するネットワーク上で送信されるパッケージを傍受します。。 スイッチにリンクされたネットワークを盗聴するために使用される主な方法は XNUMX つあります。 ARPポイズニング、MAC フラッディング。
ハッキング アクティビティ: ネットワーク トラフィックを盗聴する
この実際的なシナリオでは、次のことを行います。 つかいます Wireshark HTTP プロトコル経由で送信されるデータ パケットを傍受するため。この例では、次を使用してネットワークをスニッフィングします。 Wiresharkをクリックしてから、安全な通信を使用しない Web アプリケーションにログインします。 Web アプリケーションにログインします。 http://www.techpanda.org/
ログインアドレスは admin@google.com、およびパスワードは Password2010.
ご注意: デモンストレーションのみを目的として Web アプリにログインします。 この手法では、スニッフィングに使用しているコンピュータと同じネットワーク上にある他のコンピュータからのデータ パケットをスニッフィングすることもできます。 スニッフィングは techpanda.org に限定されるものではなく、すべての HTTP およびその他のプロトコル データ パケットもスニッフィングされます。
を使用してネットワークを盗聴する Wireshark
以下の図は、この演習を混乱なく完了するために実行する手順を示しています。
ダウンロード Wireshark このリンクから http://www.wireshark.org/download.html
- Open Wireshark
- 次の画面が表示されます
- スニッフィングするネットワーク インターフェイスを選択します。 このデモンストレーションでは、ワイヤレス ネットワーク接続を使用していることに注意してください。 ローカル エリア ネットワークを使用している場合は、ローカル エリア ネットワーク インターフェイスを選択する必要があります。
- 上図のように「スタート」ボタンをクリックします
- Web ブラウザを開いて次のように入力します http://www.techpanda.org/
- ログインメールアドレスは admin@google.com パスワードは Password2010
- 送信ボタンをクリックします
- ログオンに成功すると、次のダッシュボードが表示されます。
- 帰る Wireshark ライブキャプチャを停止します
- フィルターテキストボックスを使用してHTTPプロトコルの結果のみをフィルターします
- 「情報」列を見つけて、HTTP 動詞 POST を含むエントリを探してクリックします。
- ログ エントリのすぐ下に、キャプチャされたデータの概要を示すパネルがあります。 「Line-based text data: application/x-www-form-urlencoded」という概要を探します。
- HTTP プロトコル経由でサーバーに送信されたすべての POST 変数のプレーンテキスト値を表示できるはずです。
MAC フラッディングとは何ですか?
MAC フラッディングは、スイッチの MAC テーブルを偽の MAC アドレスでフラッディングするネットワーク スニッフィング手法です。。 これにより、スイッチのメモリが過負荷になり、スイッチがハブとして機能するようになります。 スイッチが侵害されると、ネットワーク上のすべてのコンピュータにブロードキャスト メッセージが送信されます。 これにより、ネットワーク上で送信されるデータ パケットを盗聴することが可能になります。
MACフラッディングへの対策
- 一部のスイッチにはポートセキュリティ機能があります。この機能を使用すると、数を制限できます MACアドレス ポート上で。スイッチによって提供されるものに加えて、安全な MAC アドレス テーブルを維持するために使用することもできます。
- 認証、認可、および会計サーバー 検出された MAC アドレスをフィルタリングするために使用できます。
スニッフィング対策
- ネットワーク物理メディアの制限 ネットワークスニファーがインストールされる可能性を大幅に低減します
- メッセージの暗号化 ネットワーク経由で送信されると、復号化が困難になるため、その価値が大幅に低下します。
- ネットワークをセキュア シェルに変更する (SSH)ネットワーク ネットワークが盗聴される可能性も低くなります。
まとめ
- ネットワーク スニッフィングは、ネットワーク上で送信されるパッケージを傍受します。
- パッシブ スニッフィングは、ハブを使用するネットワーク上で実行されます。 検出するのは困難です。
- アクティブ スニッフィングは、スイッチを使用するネットワーク上で実行されます。 検出は簡単です。
- MACフラッディングは、MACテーブルアドレスリストに偽のMACアドレスを流すことで機能します。これにより、スイッチはハブのように動作します。
- 上で概説したセキュリティ対策は、ネットワークをスニッフィングから保護するのに役立ちます。
