Wireshark チュートリアル: ネットワークとパスワード スニファー
⚡ スマートサマリー
Wireshark パスワードスニファのチュートリアルでは、攻撃者がネットワーク上を移動する認証情報を傍受する方法と、防御者がそれを阻止する方法を示します。このガイドでは、 Wireshark 傍受、平文HTTP解析、MACフラッディング、およびスニッフィングを無効化する暗号化制御。

コンピュータはネットワークを使って通信します。これらのネットワークは、ローカルエリアネットワーク(LAN)上にある場合もあれば、インターネットに接続されている場合もあります。 ネットワークスニファは、低レベルのパケットデータをキャプチャするプログラムです。 transmitネットワーク経由で転送されます。 攻撃者はこの情報を分析することで、ユーザーIDやパスワードなどの貴重な情報を入手することができる。
この記事では、一般的なネットワークスニッフィング技術、攻撃者や倫理的ハッカーがネットワークをスニッフィングするために使用するツール、そしてネットワーク上の機密情報を保護する対策について学びます。 Wireshark 以下の手順説明は、教育目的および正規の試験のみに提供されています。
ネットワークスニッフィングとは何ですか?
コンピュータは、IP アドレスを使用してネットワーク上にメッセージをブロードキャストすることによって通信します。 メッセージがネットワーク上に送信されると、一致する IP アドレスを持つ受信側コンピューターが MAC アドレスで応答します。
ネットワーク スニッフィングは、ネットワーク上で送信されたデータ パケットを傍受するプロセスです。 専用ソフトウェア、ハードウェアタップ、または設定済みのポートミラーを使用して実行できます。スニッフィングは、以下の目的で使用できます。
- ログイン認証情報などの機密データをキャプチャする
- チャットメッセージの盗聴
- キャプチャしたファイル transmitネットワーク経由でted
以下のプロトコルは、ログイン情報が平文で送信される場合に、盗聴の危険性があります。
現代の同等のプロトコル(HTTPS、SMTPS、IMAPS、SFTP、SSH)はペイロードを暗号化するため、スニファは認証情報ではなく暗号文を見ることになる。
パッシブスニッフィングとアクティブスニッフィング
パッシブスニッフィングとアクティブスニッフィングについて見ていく前に、コンピュータのネットワーク接続によく使われる2つのデバイス、ハブとスイッチについて見ていきましょう。
ハブは、ブロードキャストメッセージを送信したポートを除くすべての出力ポートにブロードキャストメッセージを送信することで機能します。 受信側のコンピュータは、IPアドレスが一致すればブロードキャストに応答します。したがって、ハブベースのセグメント上のすべてのマシンはすべてのフレームを見ることができます。ハブは、ネットワークの物理層(レイヤー1)で動作します。 OSIモデル.
以下の図は、ハブがどのように機能するかを示しています。
スイッチは動作原理が異なり、IPアドレスとMACアドレスを物理ポートにマッピングします。 フレームは受信者のMACアドレスに一致するポートにのみ転送されるため、LAN上の他のホストはトラフィックを認識できません。スイッチはデータリンク層(レイヤ2)で動作し、ルーティング機能を使用するとネットワーク層(レイヤ3)でも動作します。
以下の図は、スイッチがどのように機能するかを示しています。
パッシブスニッフィングとは、パケットを傍受することです。 transmitハブを使用するネットワークを介して転送されます。 攻撃者がトラフィックを注入しないため、検出が困難であることから、この攻撃はパッシブ攻撃と呼ばれています。また、ハブがネットワーク上のすべてのホストにブロードキャストメッセージを送信するため、実行も容易です。
アクティブスニッフィングはパケットを傍受する transmitスイッチを使用するネットワークを介して転送されます。 スイッチングネットワークを傍受するには、主に2つの手法が用いられます。 ARPポイズニング そしてMACフラッディング。
ハッキング アクティビティ: ネットワーク トラフィックを盗聴する
この実際的なシナリオでは、次のことを行います。 つかいます Wireshark データパケットを傍受する transmitHTTPプロトコルを介してローカルインターフェースでトラフィックをキャプチャし、セキュアな通信を使用しないサンプルWebアプリケーションにログインします。 Guru99 トレーニングサイト http://www.techpanda.org/.
ログインアドレスは admin@google.com パスワードは Password2010.
注意: デモンストレーション目的のみで、当社が所有するネットワーク上でWebアプリにログインします。同じ手法は、スニファと同じネットワーク上の他のホストからのデータパケットも明らかにする可能性があるため、実行前に書面による許可を得る必要があります。 Wireshark あなたが管理していないネットワーク上で。スニッフィングはtechpanda.orgに限定されません。 Wireshark インターフェースを通過するHTTPおよびその他のプロトコルのトラフィックをキャプチャします。
ManageEngine Firewall Analyzer ネットワークのセキュリティと透明性を強化するために設計された、堅牢なポリシー管理および監査ソリューションです。ファイアウォールのトラフィックをリアルタイムで可視化し、ping 管理者は、セキュリティ上の脆弱性を特定し、ルールセットを最適化し、帯域幅の使用状況を監視する。
を使用してネットワークを盗聴する Wireshark
以下の図は、この演習を混乱なく完了するために実行する手順を示しています。
ダウンロード Wireshark from wireshark.org/download.html現在の安定版ブランチは Wireshark 4.x は、 Windows, macOS、およびLinux。
- 店は開いています Wireshark
- 次のようなウェルカム画面が表示されます。
- 監視対象のネットワークインターフェースを選択してください。この手順では無線接続を使用しますが、有線LANの場合はイーサネットアダプタを選択してください。
- 上に表示されているスタートボタン(サメのヒレのアイコン)をクリックしてください。
- Webブラウザーを開いて、 http://www.techpanda.org/.
- ログインメールアドレスは admin@google.com パスワードは Password2010.
- 送信ボタンをクリックします。
- ログインに成功すると、以下のダッシュボードが表示されます。
- に切り替えます Wireshark そしてライブ配信を停止します。
- HTTPトラフィックのみをタイプでフィルタリングping HTTP 表示フィルターバーに入力します。
- 「情報」列を探し、HTTP動詞「POST」を含むエントリを見つけてクリックします。
- ログエントリの下には、キャプチャされたデータの概要を示すパネルがあります。次の行を探してください。 行ベースのテキストデータ: application/x-www-form-urlencoded.
- これで、HTTP経由でサーバーに送信されたすべてのPOST変数の平文値(メールアドレスとパスワードのフィールドを含む)を読み取れるようになったはずです。
MACフラッディングとは何ですか?
MACフラッディングとは、スイッチのCAM(MACアドレス)テーブルに偽のMACアドレスを大量に送り込むネットワークスニッフィング技術である。 テーブルがいっぱいになると、スイッチは正当な宛先を学習できなくなり、ハブのようにすべてのポートにフレームを転送し始めます。攻撃者は、ネットワークを通過するデータパケットを傍受できるようになります。
MACフラッディングへの対策
- スイッチポートのセキュリティ。 数を制限する MACアドレス ポートごとに許可され、最初に検出されたMACアドレスを記憶し、制限を超えた場合はポートをロックまたはシャットダウンします。
- 認証、認可、およびアカウンティング(AAA)サーバー 802.1Xと組み合わせて使用することで、検出されたMACアドレスをフィルタリングし、認証されたデバイスのみを受け入れることができます。
- 動的ARP検査とDHCPスヌーping MACフラッディングとよく併発する、関連するARPポイズニング攻撃を軽減する。
スニッフィング対策
- 物理メディアへのアクセスを制限する。 ロックされたパッチパネル、ポートが無効化された壁面ジャック、およびセグメント化されたVLANは、そもそもスニファがインストールされる可能性を低減します。
- 通信中のデータを暗号化する。 HTTPS(TLS 1.3)、SSH、IPsec、および最新のVPNプロトコルは、傍受されたパケットを攻撃者にとって判読不能にする。
- 安全性の低いプロトコルを置き換える。 Telnetから SSHFTPからSFTPまたはFTPSへの変換、およびサイト全体でのHTTPからHTTPSへの変換。
- Wi-Fiのセキュリティを強化する。 無線傍受を防ぐには、強力なパスフレーズを設定したWPA3またはWPA2-AESを使用してください。
- IDS(侵入検知システム)で監視する。 Suricata、Zeek、および Snort ARPポイズニング、MACテーブルのオーバーフロー、またはプロミスキャスインターフェースが発生した場合にアラートを発報する。
AIがネットワークスニッフィング防御を強化する方法
最新の侵入検知およびSIEMプラットフォームは、パケットキャプチャの上に機械学習を重ねることで、ルールセットのみの場合よりも高速にスニッフィング関連のアクティビティを検出します。AIモデルは、通常のARP、DHCP、およびMACテーブルの動作をベースラインとして、異常なブロードキャスト量や重複したIP-MACマップなどの逸脱をフラグ付けします。pingまたは、ARP ポイズニングまたは MAC フラッディングを示唆する CAM テーブルの急激な変動。
大規模言語モデルはアナリストのトリアージにも役立ちます Wireshark Zeekは、疑わしいトラフィックフローを平易な英語で要約し、フィルタを提案し、観測されたIOCを脅威インテリジェンスフィードと照合することで、ログを分析します。防御側は、AIによる分析結果を実際のキャプチャデータと照合して検証する必要がありますが、トラフィック量の多いネットワークでは処理速度が大幅に向上します。
製品概要
- ネットワークスニッフィングは、ネットワーク上を流れるパケットを傍受し、平文の認証情報を漏洩させる可能性があります。
- パッシブスニッフィングはハブベースのネットワーク上で動作するため検出が困難ですが、アクティブスニッフィングはスイッチを標的とするため検出が容易です。
- Wireshark 4.x は、このチュートリアルで HTTP POST データを読み取るために使用されている標準的なオープンソースのアナライザーです。
- MACフラッディングはスイッチのCAMテーブルに過負荷をかけ、スイッチをハブのように動作させる。
- 暗号化(HTTPS、SSH、VPN)、スイッチポートのセキュリティ、WPA3 Wi-Fi、そしてAIによる監視を組み合わせることで、ほとんどの盗聴攻撃を無効化できます。











