Wireshark-zelfstudie: netwerk- en wachtwoordsniffer

Computers communiceren via netwerken. Deze netwerken kunnen zich op een lokaal netwerk-LAN bevinden of zijn blootgesteld aan internet. Network Sniffers zijn programma's die pakketgegevens op laag niveau vastleggen die via een netwerk worden verzonden. Een aanvaller kan deze informatie analyseren om waardevolle informatie te ontdekken, zoals gebruikers-ID's en wachtwoorden.

In dit artikel laten we u kennismaken met algemene netwerksnuffeltechnieken en tools die worden gebruikt om netwerken te snuiven. We zullen ook kijken naar tegenmaatregelen die u kunt nemen om gevoelige informatie die via een netwerk wordt verzonden, te beschermen.

Wat is netwerksnuiven?

Computers communiceren door berichten op een netwerk uit te zenden met behulp van IP-adressen. Zodra een bericht via een netwerk is verzonden, reageert de ontvangende computer met het bijbehorende IP-adres met zijn MAC-adres.

Netwerksnuiven is het proces waarbij datapakketten worden onderschept die via een netwerk worden verzonden.Dit kan worden gedaan door het gespecialiseerde softwareprogramma of hardwareapparatuur. Snuiven kan worden gebruikt om;

  • Leg gevoelige gegevens vast, zoals inloggegevens
  • Chatberichten afluisteren
  • Vastlegbestanden zijn via een netwerk verzonden

De following zijn protocollen die kwetsbaar zijn voor snuiven

  • Telnet
  • Inloggen
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

De bovenstaande protocollen zijn kwetsbaar als login details worden in platte tekst verzonden

Netwerk snuiven

Passief en actief snuiven

Voordat we kijken naar passief en actief snuiven, kijken we eerst naar twee belangrijke apparaten die worden gebruikt om computers te netwerken; hubs en schakelaars.

Een hub werkt door uitzendingsberichten naar alle uitgangspoorten te verzenden, behalve degene die de uitzending heeft verzonden. De ontvangende computer reageert op het uitgezonden bericht als het IP-adres overeenkomt. Dit betekent dat bij gebruik van een hub alle computers in een netwerk het uitgezonden bericht kunnen zien. Het werkt op de fysieke laag (laag 1) van de OSI-model.

Het onderstaande diagram illustreert hoe de hub werkt.

Passief en actief snuiven

Een schakelaar werkt anders; het wijst IP/MAC-adressen toe aan fysieke poorten erop. Broadcast-berichten worden verzonden naar de fysieke poorten die overeenkomen met de IP/MAC-adresconfiguraties voor de ontvangende computer. Dit betekent dat uitgezonden berichten alleen door de ontvangende computer worden gezien. Switches werken op de datalinklaag (laag 2) en netwerklaag (laag 3).

Het onderstaande diagram illustreert hoe de schakelaar werkt.

Passief en actief snuiven

Passief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat gebruik maakt van een hub. Het wordt passief snuiven genoemd omdat het moeilijk te detecteren is. Het is ook eenvoudig uit te voeren, omdat de hub broadcastberichten naar alle computers in het netwerk verzendt.

Actief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat gebruik maakt van een switch. Er zijn twee hoofdmethoden die worden gebruikt om gekoppelde netwerken te snuiven: ARP-vergiftigingen MAC-overstromingen.

Hackactiviteit: snuffel netwerkverkeer

In dit praktische scenario gaan we dat doen gebruik Wireshark om datapakketten op te sporen terwijl deze via het HTTP-protocol worden verzonden. Voor dit voorbeeld snuiven we het netwerk op met Wireshark en loggen we vervolgens in op een webapplicatie die geen gebruik maakt van beveiligde communicatie. We loggen in op een webapplicatie op http://www.techpanda.org/

Het inlogadres is beheerder@google.com, en het wachtwoord is Password2010.

Opmerking: we loggen uitsluitend in op de webapp voor demonstratiedoeleinden. De techniek kan ook datapakketten opsnuiven van andere computers die zich op hetzelfde netwerk bevinden als degene die u gebruikt om te snuiven. Het snuiven is niet alleen beperkt tot techpanda.org, maar snuift ook alle HTTP- en andere protocollendatapakketten.

Het netwerk snuiven met Wireshark

In de onderstaande afbeelding ziet u de stappen die u gaat uitvoeren om deze oefening zonder verwarring te voltooien

Het netwerk snuiven met Wireshark

Download Wireshark via deze link http://www.wireshark.org/download.html

  • Open Wireshark
  • Je krijgt het vervolgwing scherm

Het netwerk snuiven met Wireshark

  • Selecteer de netwerkinterface die u wilt opsnuiven. Let op: voor deze demonstratie gebruiken we een draadloze netwerkverbinding. Als u zich op een lokaal netwerk bevindt, moet u de LAN-interface selecteren.
  • Klik op de startknop zoals hierboven weergegeven

Het netwerk snuiven met Wireshark

Het netwerk snuiven met Wireshark

  • De login email is beheerder@google.com en het wachtwoord is Password2010
  • Klik op de verzendknop
  • Een succesvolle aanmelding zou u het volgende moeten opleverenwing dashboards

Het netwerk snuiven met Wireshark

  • Ga terug naar Wireshark en stop de live-opname

Het netwerk snuiven met Wireshark

  • Filter alleen op HTTP-protocolresultaten met behulp van de filtertekstbox

Het netwerk snuiven met Wireshark

  • Zoek de Info-kolom en zoek naar vermeldingen met het HTTP-werkwoord POST en klik erop

Het netwerk snuiven met Wireshark

  • Net onder de logboekvermeldingen bevindt zich een paneel met een samenvatting van de vastgelegde gegevens. Zoek naar de samenvatting met de tekst Op regels gebaseerde tekstgegevens: application/x-www-form-urlencoded

Het netwerk snuiven met Wireshark

  • U zou de leesbare tekstwaarden moeten kunnen zien van alle POST-variabelen die via het HTTP-protocol naar de server zijn verzonden.

Wat is een MAC-overstroming?

MAC flooding is een netwerksnuffeltechniek die de MAC-tabel van de switch overspoelt met valse MAC-adressen. Dit leidt tot overbelasting van het switchgeheugen en zorgt ervoor dat het als hub gaat fungeren. Zodra de switch is gehackt, worden de uitgezonden berichten naar alle computers in een netwerk verzonden. Dit maakt het mogelijk om datapakketten op te sporen terwijl ze over het netwerk worden verzonden.

Tegenmaatregelen tegen MAC-overstromingen

  • Sommige switches hebben een poortbeveiligingsfunctie. Deze functie kan worden gebruikt om het aantal te beperken MAC-adressen op de havens. Het kan ook worden gebruikt om een ​​veilige MAC-adrestabel bij te houden, naast de tabel die door de switch wordt geleverd.
  • Authenticatie-, autorisatie- en boekhoudservers kan worden gebruikt om ontdekte MAC-adressen te filteren.

Tegenmaatregelen snuiven

  • Beperking tot fysieke netwerkmedia verkleint de kans dat er een netwerksniffer is geïnstalleerd aanzienlijk
  • Berichten versleutelen omdat ze via het netwerk worden verzonden, wordt hun waarde aanzienlijk verminderd, omdat ze moeilijk te ontsleutelen zijn.
  • Het netwerk wijzigen in een Secure Shell (SSH)netwerk verkleint ook de kans dat het netwerk wordt gesnoven.

Samengevat

  • Bij netwerksnuffelen worden pakketten onderschept terwijl ze over het netwerk worden verzonden
  • Passief snuiven gebeurt op een netwerk dat gebruik maakt van een hub. Het is moeilijk te detecteren.
  • Actief snuiven gebeurt op een netwerk dat gebruik maakt van een switch. Het is gemakkelijk te detecteren.
  • MAC-flooding werkt door de adreslijst van de MAC-tabel te overspoelen met valse MAC-adressen. Hierdoor functioneert de schakelaar als een HUB
  • Beveiligingsmaatregelen zoals hierboven beschreven kunnen helpen het netwerk te beschermen tegen snuiven.
Guru99 wordt gesponsord door Invicti
invicti

Invicti, de ontwikkelaars van Proof Based Scanning-technologie, hebben het Guru99-project gesponsord om het beveiligingsbewustzijn van webapplicaties te vergroten en meer ontwikkelaars de kans te geven om te leren over het schrijven van veilige code