Wireshark Tutorial: Netwerk- en wachtwoordsniffer

โšก Slimme samenvatting

Wireshark Handleidingen voor het onderscheppen van wachtwoorden laten zien hoe aanvallers inloggegevens onderscheppen die over een netwerk worden verzonden en hoe verdedigers dit kunnen voorkomen. Deze handleiding beschrijft hoe aanvallers dit kunnen doen. Wireshark Het vastleggen van gegevens, analyse van HTTP-verkeer in platte tekst, MAC-flooding en de encryptiecontroles die het onderscheppen van gegevens neutraliseren.

  • ๐Ÿ”Ž Wat snuiven inhoudt: Sniffers lezen datapakketten op laag niveau op een LAN of het internet om inloggegevens, bestanden en chatverkeer te verzamelen.
  • ๐Ÿงญ Passief versus actief: Hubs maken stille, passieve capture mogelijk; switched networks vereisen actieve technieken zoals ARP-poisoning of MAC-flooding.
  • ๐Ÿฆˆ Wireshark rondleiding: Install Wireshark 4.x, selecteer de live interface, leg de gegevens vast en filter vervolgens op HTTP POST om de formuliergegevens in platte tekst te lezen.
  • ๐Ÿ›ก๏ธ verdedigingen: Gebruik HTTPS, SSH, VPN's, sterke wifi-encryptie en beveiliging van switchpoorten om de waarde van de sniffer te kraken.
  • ๐Ÿค– AI-hoek: Moderne IDS- en SIEM-platformen passen machine learning toe om flag sniffing, ARP-poisoning en MAC-tabeloverloop binnen enkele seconden te detecteren.

Wireshark Overzicht van wachtwoordsniffers

Computers communiceren via netwerken. Deze netwerken kunnen zich op een lokaal netwerk (LAN) bevinden of verbonden zijn met het internet. Netwerksnifferprogramma's zijn programma's die pakketgegevens op laag niveau vastleggen. transmitted via een netwerk. Een aanvaller kan deze informatie analyseren om waardevolle details te achterhalen, zoals gebruikers-ID's en wachtwoorden.

In dit artikel leer je meer over veelgebruikte netwerksniffingtechnieken, de tools die aanvallers en ethische hackers gebruiken om netwerken te bespioneren, en de tegenmaatregelen die gevoelige informatie op het netwerk beschermen. Wireshark De onderstaande stappen zijn uitsluitend bedoeld voor educatieve doeleinden en geautoriseerde tests.

Wat is netwerksnuiven?

Computers communiceren door berichten op een netwerk uit te zenden met behulp van IP-adressen. Zodra een bericht via een netwerk is verzonden, reageert de ontvangende computer met het bijbehorende IP-adres met zijn MAC-adres.

Netwerksnuiven is het proces waarbij datapakketten worden onderschept die via een netwerk worden verzonden. Het kan worden uitgevoerd met gespecialiseerde software, een hardware-tap of een geconfigureerde poortspiegel. Sniffing kan worden gebruikt om:

  • Leg gevoelige gegevens vast, zoals inloggegevens
  • Chatberichten afluisteren
  • Leg bestanden vast die zijn transmitted via een netwerk

De volgende protocollen zijn kwetsbaar voor onderschepping wanneer inloggegevens in platte tekst worden verzonden:

  • Telnet
  • Inloggen
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Moderne equivalenten (HTTPS, SMTPS, IMAPS, SFTP, SSH) versleutelen de gegevens, waardoor een sniffer versleutelde tekst ziet in plaats van inloggegevens.

Passief en actief snuiven

Voordat we passief en actief sniffen gaan bekijken, laten we eerst eens kijken naar twee apparaten die vaak worden gebruikt om computers met elkaar te verbinden: hubs en switches.

Een hub werkt door broadcastberichten te verzenden naar alle uitgangspoorten, behalve de poort die het broadcastbericht heeft verzonden. De ontvangende computer reageert op de broadcast als het IP-adres overeenkomt. Elke machine op een hub-gebaseerd segment kan daardoor elk frame zien. Een hub werkt op de fysieke laag (laag 1) van het netwerk. OSI-model.

Het onderstaande diagram illustreert hoe de hub werkt.

Passief en actief snuiven

Een switch werkt anders; die koppelt IP- en MAC-adressen aan fysieke poorten. Frames worden alleen doorgestuurd naar de poort die overeenkomt met het MAC-adres van de ontvanger, zodat andere hosts op het LAN het verkeer niet zien. Switches werken op de datalinklaag (laag 2) en, met routeringsfunctionaliteit, op de netwerklaag (laag 3).

Het onderstaande diagram illustreert hoe de schakelaar werkt.

Passief en actief snuiven

Passief sniffen is het onderscheppen van datapakketten. transmitted via een netwerk dat gebruikmaakt van een hub. Het wordt passief genoemd omdat de aanvaller geen verkeer injecteert, waardoor het moeilijk te detecteren is. Het is ook gemakkelijk uit te voeren omdat de hub broadcastberichten naar elke host in het netwerk stuurt.

Actief sniffen is het onderscheppen van datapakketten. transmitted via een netwerk dat gebruikmaakt van een switch. Er worden voornamelijk twee technieken gebruikt om geschakelde netwerken te analyseren: ARP-vergiftiging en MAC-overstromingen.

Hackactiviteit: snuffel netwerkverkeer

In dit praktische scenario gaan we dat doen . Wireshark om datapakketten te onderscheppen transmitted via het HTTP-protocolWe zullen het verkeer op de lokale interface vastleggen en vervolgens inloggen op een voorbeeldwebapplicatie die geen beveiligde communicatie gebruikt. Guru99 trainingslocaties bij http://www.techpanda.org/.

Het inlogadres is beheerder@google.com en het wachtwoord is Password2010.

Let op: We loggen alleen voor demonstratiedoeleinden in op de webapplicatie, op een netwerk dat van ons is. Dezelfde techniek kan ook datapakketten van andere hosts op hetzelfde netwerk als de sniffer onthullen. Daarom is schriftelijke toestemming vereist voordat u deze techniek uitvoert. Wireshark op elk netwerk waarover u geen controle heeft. Het afluisteren is niet beperkt tot techpanda.org; Wireshark Legt HTTP- en ander protocolverkeer vast dat langs de interface stroomt.

Beste keuze
ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer is een robuuste oplossing voor beleidsbeheer en auditing, ontworpen om de netwerkbeveiliging en transparantie te verbeteren. Het biedt realtime inzicht in firewallverkeer, helptping Beheerders sporen beveiligingslekken op, optimaliseren regelsets en monitoren het bandbreedtegebruik.

Bezoek ManageEngine

Het netwerk snuiven met behulp van Wireshark

De onderstaande afbeelding laat de stappen zien die u moet volgen om deze oefening zonder verwarring te voltooien.

Het netwerk snuiven met behulp van Wireshark

Downloaden Wireshark vanaf wireshark.org/download.htmlDe huidige stabiele tak is Wireshark 4.x, dat draait op Windows, macOSen Linux.

  • Open Wireshark
  • U krijgt het volgende welkomstscherm te zien.

Het netwerk snuiven met behulp van Wireshark

  • Selecteer de netwerkinterface die u wilt analyseren. Deze handleiding maakt gebruik van een draadloze verbinding; kies bij een bekabeld LAN de Ethernet-adapter.
  • Klik op de startknop (haaienvin) die hierboven wordt weergegeven.

Het netwerk snuiven met behulp van Wireshark

Het netwerk snuiven met behulp van Wireshark

  • Het inlog-e-mailadres is beheerder@google.com en het wachtwoord is Password2010.
  • Klik op de verzendknop.
  • Na een succesvolle aanmelding zou het volgende dashboard moeten verschijnen.

Het netwerk snuiven met behulp van Wireshark

  • Terugschakelen naar Wireshark en stop de live-opname.

Het netwerk snuiven met behulp van Wireshark

  • Filter alleen HTTP-verkeer op typeping http in de filterbalk van het scherm.

Het netwerk snuiven met behulp van Wireshark

  • Ga naar de kolom 'Info' en zoek een item met het HTTP-werkwoord POST. Klik er vervolgens op.

Het netwerk snuiven met behulp van Wireshark

  • Onder de logboekvermeldingen bevindt zich een paneel met een samenvatting van de vastgelegde gegevens. Zoek naar de regel Tekstgegevens op regelniveau: application/x-www-form-urlencoded.

Het netwerk snuiven met behulp van Wireshark

  • Je zou nu de platte tekstwaarden moeten kunnen lezen van elke POST-variabele die via HTTP naar de server is verzonden, inclusief de velden voor e-mail en wachtwoord.

Wat is MAC-flooding?

MAC-flooding is een netwerksniffingtechniek waarbij de CAM-tabel (MAC-adrestabel) van een switch wordt overspoeld met valse MAC-adressen. Zodra de tabel vol is, kan de switch geen legitieme bestemmingen meer leren en begint hij frames naar elke poort door te sturen, waardoor hij als een hub fungeert. De aanvaller kan vervolgens datapakketten onderscheppen terwijl ze het netwerk passeren.

Tegenmaatregelen tegen MAC-overstromingen

  • Beveiliging van switchpoorten. Beperk het aantal MAC-adressen Het toegestane aantal per poort, het eerst gedetecteerde MAC-adres wordt automatisch herkend en de poort wordt vergrendeld of uitgeschakeld als de limiet wordt overschreden.
  • Authenticatie-, autorisatie- en accountingservers (AAA-servers) Kan worden gebruikt met 802.1X om gevonden MAC-adressen te filteren en alleen geauthenticeerde apparaten toe te laten.
  • Dynamische ARP-inspectie en DHCP-snooping Beperk de daarmee samenhangende ARP-vergiftigingsaanval die vaak gepaard gaat met MAC-flooding.

Tegenmaatregelen snuiven

  • Beperk de toegang tot de fysieke media. Vergrendelde patchpanelen, uitgeschakelde poorten in de muur en gesegmenteerde VLAN's verkleinen de kans dat er รผberhaupt een sniffer wordt geรฏnstalleerd.
  • Versleutel het verkeer tijdens de overdracht. HTTPS (TLS 1.3), SSH, IPsec en moderne VPN-protocollen maken onderschepte pakketten onleesbaar voor een aanvaller.
  • Vervang onveilige protocollen. Overstappen van Telnet naar SSH, van FTP naar SFTP of FTPS, en van HTTP naar HTTPS voor de gehele website.
  • Beveilig je wifi-netwerk. Gebruik WPA3 of WPA2-AES met een sterk wachtwoord om het afluisteren van draadloze verbindingen te voorkomen.
  • Monitor met een IDS. Tools zoals Suricata, Zeek en Snort Geef waarschuwingen af โ€‹โ€‹wanneer ARP-vergiftiging, MAC-tabeloverloop of promiscue interfaces optreden.

Hoe AI de verdediging tegen netwerksniffing versterkt

Moderne inbraakdetectie- en SIEM-platformen combineren machine learning met packet capture om sniffing-gerelateerde activiteiten sneller te detecteren dan met alleen regelsets. AI-modellen bepalen de basislijn voor normaal ARP-, DHCP- en MAC-tabelgedrag en signaleren vervolgens afwijkingen zoals ongebruikelijk broadcastvolume of dubbele IP-naar-MAC-koppelingen.pings, of plotselinge verstoringen in de CAM-tabel die wijzen op ARP-vergiftiging of MAC-overstroming.

Grote taalmodellen helpen analisten ook bij het prioriteren van taken. Wireshark En Zeek analyseert logboeken door verdachte verkeersstromen in begrijpelijke taal samen te vatten, filters voor te stellen en waargenomen IOC's te vergelijken met dreigingsinformatie. Beveiligingsmedewerkers moeten de bevindingen van de AI nog steeds controleren aan de hand van de ruwe gegevens, maar de snelheidswinst op een druk netwerk is aanzienlijk.

Samenvatting

  • Netwerksniffing onderschept datapakketten tijdens hun verzending over het netwerk en kan inloggegevens in platte tekst blootleggen.
  • Passief sniffen werkt op hub-gebaseerde netwerken en is moeilijk te detecteren; actief sniffen richt zich op switches en is gemakkelijker te herkennen.
  • Wireshark 4.x is de standaard open-source analyzer die in deze handleiding wordt gebruikt om HTTP POST-gegevens te lezen.
  • MAC-flooding overbelast de CAM-tabel van de switch, waardoor de switch zich als een hub gedraagt.
  • Versleuteling (HTTPS, SSH, VPN), beveiliging van switchpoorten, WPA3 Wi-Fi en AI-ondersteunde monitoring neutraliseren samen de meeste sniffing-aanvallen.

Veelgestelde vragen

Test alleen op netwerken die je bezit of waarvoor je schriftelijke toestemming hebt. Het afluisteren van andermans internetverkeer is in de meeste landen in strijd met de wetgeving inzake telefoontap en computermisbruik. Werk daarom altijd in een testomgeving of met schriftelijke toestemming van de netwerkeigenaar.

Niet standaard. HTTPS versleutelt de gegevens met TLS, dus Wireshark Toont versleutelde tekst. Ontsleuteling is alleen mogelijk als u de privรฉsleutel van de server beheert of SSLKEYLOGFILE-sessiesleutels importeert vanuit de clientbrowser.

Gebruik http.request.method == โ€œPOSTโ€ om formulierinzendingen te isoleren of te combineren met http bevat โ€œwachtwoordโ€ om mogelijk inlogverkeer op onversleutelde sites te detecteren tijdens een geautoriseerde test.

AI-modellen simuleren normaal ARP-, DHCP- en switchgedrag en signaleren vervolgens afwijkingen zoals dubbele MAC-adressen.pings, plotselinge CAM-tabelwijzigingen of promiscue interfaces, waardoor ARP-vergiftiging en MAC-flooding veel sneller worden opgespoord dan met regels die alleen op handtekeningen gebaseerd zijn.

Ja. Grote taalmodellen kunnen pcap-exports samenvatten, weergavefilters voorstellen en ongebruikelijke protocollen verklaren, maar u moet de bevindingen nog steeds controleren aan de hand van de onbewerkte capture voordat u beslissingen neemt over incidentafhandeling.

Voor het vastleggen van Wi-Fi-verkeer is de monitoringsmodus en een ondersteunde adapter nodig om frames in de lucht te kunnen lezen, terwijl het sniffen van Ethernet-verkeer afhankelijk is van een poortspiegeling, een netwerktap of een actieve aanval zoals ARP-poisoning om het verkeer van een andere host te kunnen zien.

End-to-end-versleuteling. Dwing HTTPS af voor de hele site, geef de voorkeur aan SSH boven Telnet, vereis WPA3 op wifi en routeer externe sessies via een moderne VPN, zodat elk onderschept pakket versleutelde tekst bevat in plaats van bruikbare inloggegevens.

Vat dit bericht samen met: