Wireshark Tutorial: Netwerk- en wachtwoordsniffer
โก Slimme samenvatting
Wireshark Handleidingen voor het onderscheppen van wachtwoorden laten zien hoe aanvallers inloggegevens onderscheppen die over een netwerk worden verzonden en hoe verdedigers dit kunnen voorkomen. Deze handleiding beschrijft hoe aanvallers dit kunnen doen. Wireshark Het vastleggen van gegevens, analyse van HTTP-verkeer in platte tekst, MAC-flooding en de encryptiecontroles die het onderscheppen van gegevens neutraliseren.

Computers communiceren via netwerken. Deze netwerken kunnen zich op een lokaal netwerk (LAN) bevinden of verbonden zijn met het internet. Netwerksnifferprogramma's zijn programma's die pakketgegevens op laag niveau vastleggen. transmitted via een netwerk. Een aanvaller kan deze informatie analyseren om waardevolle details te achterhalen, zoals gebruikers-ID's en wachtwoorden.
In dit artikel leer je meer over veelgebruikte netwerksniffingtechnieken, de tools die aanvallers en ethische hackers gebruiken om netwerken te bespioneren, en de tegenmaatregelen die gevoelige informatie op het netwerk beschermen. Wireshark De onderstaande stappen zijn uitsluitend bedoeld voor educatieve doeleinden en geautoriseerde tests.
Wat is netwerksnuiven?
Computers communiceren door berichten op een netwerk uit te zenden met behulp van IP-adressen. Zodra een bericht via een netwerk is verzonden, reageert de ontvangende computer met het bijbehorende IP-adres met zijn MAC-adres.
Netwerksnuiven is het proces waarbij datapakketten worden onderschept die via een netwerk worden verzonden. Het kan worden uitgevoerd met gespecialiseerde software, een hardware-tap of een geconfigureerde poortspiegel. Sniffing kan worden gebruikt om:
- Leg gevoelige gegevens vast, zoals inloggegevens
- Chatberichten afluisteren
- Leg bestanden vast die zijn transmitted via een netwerk
De volgende protocollen zijn kwetsbaar voor onderschepping wanneer inloggegevens in platte tekst worden verzonden:
Moderne equivalenten (HTTPS, SMTPS, IMAPS, SFTP, SSH) versleutelen de gegevens, waardoor een sniffer versleutelde tekst ziet in plaats van inloggegevens.
Passief en actief snuiven
Voordat we passief en actief sniffen gaan bekijken, laten we eerst eens kijken naar twee apparaten die vaak worden gebruikt om computers met elkaar te verbinden: hubs en switches.
Een hub werkt door broadcastberichten te verzenden naar alle uitgangspoorten, behalve de poort die het broadcastbericht heeft verzonden. De ontvangende computer reageert op de broadcast als het IP-adres overeenkomt. Elke machine op een hub-gebaseerd segment kan daardoor elk frame zien. Een hub werkt op de fysieke laag (laag 1) van het netwerk. OSI-model.
Het onderstaande diagram illustreert hoe de hub werkt.
Een switch werkt anders; die koppelt IP- en MAC-adressen aan fysieke poorten. Frames worden alleen doorgestuurd naar de poort die overeenkomt met het MAC-adres van de ontvanger, zodat andere hosts op het LAN het verkeer niet zien. Switches werken op de datalinklaag (laag 2) en, met routeringsfunctionaliteit, op de netwerklaag (laag 3).
Het onderstaande diagram illustreert hoe de schakelaar werkt.
Passief sniffen is het onderscheppen van datapakketten. transmitted via een netwerk dat gebruikmaakt van een hub. Het wordt passief genoemd omdat de aanvaller geen verkeer injecteert, waardoor het moeilijk te detecteren is. Het is ook gemakkelijk uit te voeren omdat de hub broadcastberichten naar elke host in het netwerk stuurt.
Actief sniffen is het onderscheppen van datapakketten. transmitted via een netwerk dat gebruikmaakt van een switch. Er worden voornamelijk twee technieken gebruikt om geschakelde netwerken te analyseren: ARP-vergiftiging en MAC-overstromingen.
Hackactiviteit: snuffel netwerkverkeer
In dit praktische scenario gaan we dat doen . Wireshark om datapakketten te onderscheppen transmitted via het HTTP-protocolWe zullen het verkeer op de lokale interface vastleggen en vervolgens inloggen op een voorbeeldwebapplicatie die geen beveiligde communicatie gebruikt. Guru99 trainingslocaties bij http://www.techpanda.org/.
Het inlogadres is beheerder@google.com en het wachtwoord is Password2010.
Let op: We loggen alleen voor demonstratiedoeleinden in op de webapplicatie, op een netwerk dat van ons is. Dezelfde techniek kan ook datapakketten van andere hosts op hetzelfde netwerk als de sniffer onthullen. Daarom is schriftelijke toestemming vereist voordat u deze techniek uitvoert. Wireshark op elk netwerk waarover u geen controle heeft. Het afluisteren is niet beperkt tot techpanda.org; Wireshark Legt HTTP- en ander protocolverkeer vast dat langs de interface stroomt.
ManageEngine Firewall Analyzer is een robuuste oplossing voor beleidsbeheer en auditing, ontworpen om de netwerkbeveiliging en transparantie te verbeteren. Het biedt realtime inzicht in firewallverkeer, helptping Beheerders sporen beveiligingslekken op, optimaliseren regelsets en monitoren het bandbreedtegebruik.
Het netwerk snuiven met behulp van Wireshark
De onderstaande afbeelding laat de stappen zien die u moet volgen om deze oefening zonder verwarring te voltooien.
Downloaden Wireshark vanaf wireshark.org/download.htmlDe huidige stabiele tak is Wireshark 4.x, dat draait op Windows, macOSen Linux.
- Open Wireshark
- U krijgt het volgende welkomstscherm te zien.
- Selecteer de netwerkinterface die u wilt analyseren. Deze handleiding maakt gebruik van een draadloze verbinding; kies bij een bekabeld LAN de Ethernet-adapter.
- Klik op de startknop (haaienvin) die hierboven wordt weergegeven.
- Open uw webbrowser en bezoek http://www.techpanda.org/.
- Het inlog-e-mailadres is beheerder@google.com en het wachtwoord is Password2010.
- Klik op de verzendknop.
- Na een succesvolle aanmelding zou het volgende dashboard moeten verschijnen.
- Terugschakelen naar Wireshark en stop de live-opname.
- Filter alleen HTTP-verkeer op typeping http in de filterbalk van het scherm.
- Ga naar de kolom 'Info' en zoek een item met het HTTP-werkwoord POST. Klik er vervolgens op.
- Onder de logboekvermeldingen bevindt zich een paneel met een samenvatting van de vastgelegde gegevens. Zoek naar de regel Tekstgegevens op regelniveau: application/x-www-form-urlencoded.
- Je zou nu de platte tekstwaarden moeten kunnen lezen van elke POST-variabele die via HTTP naar de server is verzonden, inclusief de velden voor e-mail en wachtwoord.
Wat is MAC-flooding?
MAC-flooding is een netwerksniffingtechniek waarbij de CAM-tabel (MAC-adrestabel) van een switch wordt overspoeld met valse MAC-adressen. Zodra de tabel vol is, kan de switch geen legitieme bestemmingen meer leren en begint hij frames naar elke poort door te sturen, waardoor hij als een hub fungeert. De aanvaller kan vervolgens datapakketten onderscheppen terwijl ze het netwerk passeren.
Tegenmaatregelen tegen MAC-overstromingen
- Beveiliging van switchpoorten. Beperk het aantal MAC-adressen Het toegestane aantal per poort, het eerst gedetecteerde MAC-adres wordt automatisch herkend en de poort wordt vergrendeld of uitgeschakeld als de limiet wordt overschreden.
- Authenticatie-, autorisatie- en accountingservers (AAA-servers) Kan worden gebruikt met 802.1X om gevonden MAC-adressen te filteren en alleen geauthenticeerde apparaten toe te laten.
- Dynamische ARP-inspectie en DHCP-snooping Beperk de daarmee samenhangende ARP-vergiftigingsaanval die vaak gepaard gaat met MAC-flooding.
Tegenmaatregelen snuiven
- Beperk de toegang tot de fysieke media. Vergrendelde patchpanelen, uitgeschakelde poorten in de muur en gesegmenteerde VLAN's verkleinen de kans dat er รผberhaupt een sniffer wordt geรฏnstalleerd.
- Versleutel het verkeer tijdens de overdracht. HTTPS (TLS 1.3), SSH, IPsec en moderne VPN-protocollen maken onderschepte pakketten onleesbaar voor een aanvaller.
- Vervang onveilige protocollen. Overstappen van Telnet naar SSH, van FTP naar SFTP of FTPS, en van HTTP naar HTTPS voor de gehele website.
- Beveilig je wifi-netwerk. Gebruik WPA3 of WPA2-AES met een sterk wachtwoord om het afluisteren van draadloze verbindingen te voorkomen.
- Monitor met een IDS. Tools zoals Suricata, Zeek en Snort Geef waarschuwingen af โโwanneer ARP-vergiftiging, MAC-tabeloverloop of promiscue interfaces optreden.
Hoe AI de verdediging tegen netwerksniffing versterkt
Moderne inbraakdetectie- en SIEM-platformen combineren machine learning met packet capture om sniffing-gerelateerde activiteiten sneller te detecteren dan met alleen regelsets. AI-modellen bepalen de basislijn voor normaal ARP-, DHCP- en MAC-tabelgedrag en signaleren vervolgens afwijkingen zoals ongebruikelijk broadcastvolume of dubbele IP-naar-MAC-koppelingen.pings, of plotselinge verstoringen in de CAM-tabel die wijzen op ARP-vergiftiging of MAC-overstroming.
Grote taalmodellen helpen analisten ook bij het prioriteren van taken. Wireshark En Zeek analyseert logboeken door verdachte verkeersstromen in begrijpelijke taal samen te vatten, filters voor te stellen en waargenomen IOC's te vergelijken met dreigingsinformatie. Beveiligingsmedewerkers moeten de bevindingen van de AI nog steeds controleren aan de hand van de ruwe gegevens, maar de snelheidswinst op een druk netwerk is aanzienlijk.
Samenvatting
- Netwerksniffing onderschept datapakketten tijdens hun verzending over het netwerk en kan inloggegevens in platte tekst blootleggen.
- Passief sniffen werkt op hub-gebaseerde netwerken en is moeilijk te detecteren; actief sniffen richt zich op switches en is gemakkelijker te herkennen.
- Wireshark 4.x is de standaard open-source analyzer die in deze handleiding wordt gebruikt om HTTP POST-gegevens te lezen.
- MAC-flooding overbelast de CAM-tabel van de switch, waardoor de switch zich als een hub gedraagt.
- Versleuteling (HTTPS, SSH, VPN), beveiliging van switchpoorten, WPA3 Wi-Fi en AI-ondersteunde monitoring neutraliseren samen de meeste sniffing-aanvallen.











