Wireshark Tutorial: Netwerk- en wachtwoordsniffer

Computers communiceren via netwerken. Deze netwerken kunnen zich op een lokaal netwerk-LAN bevinden of zijn blootgesteld aan internet. Network Sniffers zijn programma's die pakketgegevens op laag niveau vastleggen die via een netwerk worden verzonden. Een aanvaller kan deze informatie analyseren om waardevolle informatie te ontdekken, zoals gebruikers-ID's en wachtwoorden.

In dit artikel laten we u kennismaken met algemene netwerksnuffeltechnieken en tools die worden gebruikt om netwerken te snuiven. We zullen ook kijken naar tegenmaatregelen die u kunt nemen om gevoelige informatie die via een netwerk wordt verzonden, te beschermen.

Wat is netwerksnuiven?

Computers communiceren door berichten op een netwerk uit te zenden met behulp van IP-adressen. Zodra een bericht via een netwerk is verzonden, reageert de ontvangende computer met het bijbehorende IP-adres met zijn MAC-adres.

Netwerksnuiven is het proces waarbij datapakketten worden onderschept die via een netwerk worden verzonden.Dit kan worden gedaan door het gespecialiseerde softwareprogramma of hardwareapparatuur. Snuiven kan worden gebruikt om;

  • Leg gevoelige gegevens vast, zoals inloggegevens
  • Chatberichten afluisteren
  • Vastlegbestanden zijn via een netwerk verzonden

Hieronder staan ​​de protocollen die kwetsbaar zijn voor sniffing

  • Telnet
  • Inloggen
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

De bovenstaande protocollen zijn kwetsbaar als inloggegevens in platte tekst worden verzonden

Netwerk snuiven

Passief en actief snuiven

Voordat we kijken naar passief en actief snuiven, kijken we eerst naar twee belangrijke apparaten die worden gebruikt om computers te netwerken; hubs en schakelaars.

Een hub werkt door uitzendingsberichten naar alle uitgangspoorten te verzenden, behalve degene die de uitzending heeft verzonden. De ontvangende computer reageert op het broadcastbericht als het IP-adres overeenkomt. Dit betekent dat bij gebruik van een hub alle computers in een netwerk het broadcastbericht kunnen zien. Het werkt op de fysieke laag (laag 1) van de OSI-model.

Het onderstaande diagram illustreert hoe de hub werkt.

Passief en actief snuiven

Een schakelaar werkt anders; het wijst IP/MAC-adressen toe aan fysieke poorten erop. Broadcastberichten worden verzonden naar de fysieke poorten die overeenkomen met de IP/MAC-adresconfiguraties voor de ontvangende computer. Dit betekent dat broadcastberichten alleen door de ontvangende computer worden gezien. Switches werken op de datalinklaag (laag 2) en netwerklaag (laag 3).

Het onderstaande diagram illustreert hoe de schakelaar werkt.

Passief en actief snuiven

Passief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat gebruik maakt van een hub. Het wordt passief snuiven genoemd omdat het moeilijk te detecteren is. Het is ook eenvoudig uit te voeren, omdat de hub broadcastberichten naar alle computers in het netwerk verzendt.

Actief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat gebruik maakt van een switch. Er zijn twee hoofdmethoden die worden gebruikt om gekoppelde netwerken te snuiven: ARP-vergiftigingen MAC-overstromingen.

Hackactiviteit: snuffel netwerkverkeer

In dit praktische scenario gaan we dat doen . Wireshark om datapakketten op te snuiven terwijl ze via het HTTP-protocol worden verzonden. Voor dit voorbeeld gaan we het netwerk opsnuiven met behulp van Wiresharken log vervolgens in op een webapplicatie die geen gebruik maakt van beveiligde communicatie. We loggen in op een webapplicatie op http://www.techpanda.org/

Het inlogadres is beheerder@google.com, en het wachtwoord is Password2010.

Opmerking: we loggen uitsluitend in op de webapp voor demonstratiedoeleinden. De techniek kan ook datapakketten opsnuiven van andere computers die zich op hetzelfde netwerk bevinden als degene die u gebruikt om te snuiven. Het snuiven is niet alleen beperkt tot techpanda.org, maar snuift ook alle HTTP- en andere protocollendatapakketten.

Het netwerk snuiven met behulp van Wireshark

In de onderstaande afbeelding ziet u de stappen die u gaat uitvoeren om deze oefening zonder verwarring te voltooien

Het netwerk snuiven met behulp van Wireshark

Download Wireshark van deze link http://www.wireshark.org/download.html

  • Openen Wireshark
  • U krijgt het volgende scherm te zien

Het netwerk snuiven met behulp van Wireshark

  • Selecteer de netwerkinterface die u wilt opsnuiven. Let op: voor deze demonstratie gebruiken we een draadloze netwerkverbinding. Als u zich op een lokaal netwerk bevindt, moet u de LAN-interface selecteren.
  • Klik op de startknop zoals hierboven weergegeven

Het netwerk snuiven met behulp van Wireshark

Het netwerk snuiven met behulp van Wireshark

  • Het inlog-e-mailadres is beheerder@google.com en het wachtwoord is Password2010
  • Klik op de verzendknop
  • Bij een succesvolle aanmelding zou u het volgende dashboard moeten krijgen

Het netwerk snuiven met behulp van Wireshark

  • Ga terug naar Wireshark en stop de live-opname

Het netwerk snuiven met behulp van Wireshark

  • Filter alleen op HTTP-protocolresultaten met behulp van het filtertekstvak

Het netwerk snuiven met behulp van Wireshark

  • Zoek de Info-kolom en zoek naar vermeldingen met het HTTP-werkwoord POST en klik erop

Het netwerk snuiven met behulp van Wireshark

  • Net onder de logboekvermeldingen bevindt zich een paneel met een samenvatting van de vastgelegde gegevens. Zoek naar de samenvatting met de tekst Op regels gebaseerde tekstgegevens: application/x-www-form-urlencoded

Het netwerk snuiven met behulp van Wireshark

  • U zou de leesbare tekstwaarden moeten kunnen zien van alle POST-variabelen die via het HTTP-protocol naar de server zijn verzonden.

Wat is een MAC-overstroming?

MAC flooding is een netwerksnuffeltechniek die de MAC-tabel van de switch overspoelt met valse MAC-adressen. Dit leidt tot overbelasting van het switchgeheugen en zorgt ervoor dat het als hub gaat fungeren. Zodra de switch is gehackt, worden de uitgezonden berichten naar alle computers in een netwerk verzonden. Dit maakt het mogelijk om datapakketten op te sporen terwijl ze over het netwerk worden verzonden.

Tegenmaatregelen tegen MAC-overstromingen

  • Sommige switches hebben een poortbeveiligingsfunctie. Deze functie kan worden gebruikt om het aantal te beperken MAC-adressen op de havens. Het kan ook worden gebruikt om een ​​veilige MAC-adrestabel bij te houden, naast de tabel die door de switch wordt geleverd.
  • Authenticatie-, autorisatie- en boekhoudservers kan worden gebruikt om ontdekte MAC-adressen te filteren.

Tegenmaatregelen snuiven

  • Beperking tot fysieke netwerkmedia verkleint de kans dat er een netwerksniffer is geïnstalleerd aanzienlijk
  • Berichten versleutelen omdat ze via het netwerk worden verzonden, wordt hun waarde aanzienlijk verminderd, omdat ze moeilijk te ontsleutelen zijn.
  • Het netwerk wijzigen in een Secure Shell (SSH)netwerk verkleint ook de kans dat het netwerk wordt gesnoven.

Samenvatting

  • Bij netwerksnuffelen worden pakketten onderschept terwijl ze over het netwerk worden verzonden
  • Passief snuiven gebeurt op een netwerk dat gebruik maakt van een hub. Het is moeilijk te detecteren.
  • Actief snuiven gebeurt op een netwerk dat gebruik maakt van een switch. Het is gemakkelijk te detecteren.
  • MAC flooding werkt door de MAC-tabeladreslijst te overspoelen met nep-MAC-adressen. Dit zorgt ervoor dat de switch werkt als een HUB
  • Beveiligingsmaatregelen zoals hierboven beschreven kunnen helpen het netwerk te beschermen tegen snuiven.