Wireshark Opplæring: Nettverk og passordsniffer

by: --Oliver Jones --Oliver Jones
Hours oppdatert

Datamaskiner kommuniserer ved hjelp av nettverk. Disse nettverkene kan være på et lokalnettverk LAN eller eksponert for internett. Network Sniffer er programmer som fanger pakkedata på lavt nivå som overføres over et nettverk. En angriper kan analysere denne informasjonen for å finne verdifull informasjon som bruker-IDer og passord.

I denne artikkelen vil vi introdusere deg til vanlige nettverkssniffteknikker og verktøy som brukes til å snuse nettverk. Vi vil også se på mottiltak som du kan iverksette for å beskytte sensitiv informasjon som er overført over et nettverk.

Hva er nettverkssniffing?

Datamaskiner kommuniserer ved å kringkaste meldinger på et nettverk ved hjelp av IP-adresser. Når en melding er sendt på et nettverk, svarer mottakerdatamaskinen med den matchende IP-adressen med sin MAC-adresse.

Nettverkssniffing er prosessen med å avskjære datapakker som sendes over et nettverk.Dette kan gjøres av det spesialiserte programvaren eller maskinvareutstyret. Snusing kan brukes til;

  • Lagre sensitive data som påloggingsinformasjon
  • Avlytt chat-meldinger
  • Registreringsfiler har blitt overført over et nettverk

Følgende er protokoller som er sårbare for snusing

  • Telnet
  • Rlogg inn
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Ovennevnte protokoller er sårbare hvis påloggingsdetaljer sendes i ren tekst

Nettverkssniffing

Passiv og aktiv snusing

Før vi ser på passiv og aktiv sniffing, la oss se på to hovedenheter som brukes til nettverksdatamaskiner; nav og brytere.

En hub fungerer ved å sende kringkastingsmeldinger til alle utganger på den bortsett fra den som har sendt kringkastingen. Mottakerdatamaskinen svarer på kringkastingsmeldingen hvis IP-adressen samsvarer. Dette betyr at når du bruker en hub, kan alle datamaskinene på et nettverk se kringkastingsmeldingen. Den opererer på det fysiske laget (lag 1) av OSI modell.

Diagrammet nedenfor illustrerer hvordan navet fungerer.

Passiv og aktiv snusing

En bryter fungerer annerledes; den tilordner IP/MAC-adresser til fysiske porter på den. Kringkastingsmeldinger sendes til de fysiske portene som samsvarer med IP/MAC-adressekonfigurasjonene for mottakerdatamaskinen. Dette betyr at kringkastingsmeldinger bare blir sett av mottakerens datamaskin. Brytere opererer på datalinklaget (lag 2) og nettverkslag (lag 3).

Diagrammet nedenfor illustrerer hvordan bryteren fungerer.

Passiv og aktiv snusing

Passiv sniffing er å fange opp pakker som sendes over et nettverk som bruker en hub. Det kalles passiv sniffing fordi det er vanskelig å oppdage. Det er også enkelt å utføre siden huben sender kringkastingsmeldinger til alle datamaskinene på nettverket.

Aktiv sniffing er å avskjære pakker som sendes over et nettverk som bruker en svitsj. Det er to hovedmetoder som brukes for å snuse svitsje koblede nettverk, ARP -forgiftning, og MAC-flom.

RELATERTE ARTIKLER

Hacking-aktivitet: Sniff nettverkstrafikk

I dette praktiske scenariet skal vi bruke Wireshark å snuse datapakker når de overføres over HTTP-protokollen. For dette eksempelet skal vi snuse nettverket ved hjelp av Wireshark, logg deretter på en nettapplikasjon som ikke bruker sikker kommunikasjon. Vi logger inn på en nettapplikasjon på http://www.techpanda.org/

Påloggingsadressen er admin@google.com, og passordet er Passord2010.

OBS: vi logger inn på nettappen kun for demonstrasjonsformål. Teknikken kan også snuse datapakker fra andre datamaskiner som er på samme nettverk som den du bruker til å snuse. Sniffingen er ikke bare begrenset til techpanda.org, men snuser også alle HTTP- og andre protokolldatapakker.

Sniffing nettverket ved hjelp av Wireshark

Illustrasjonen nedenfor viser deg trinnene du skal utføre for å fullføre denne øvelsen uten forvirring

Sniffing nettverket ved hjelp av Wireshark

Last ned Wireshark fra denne lenken http://www.wireshark.org/download.html

  • Open Wireshark
  • Du får opp følgende skjermbilde

Sniffing nettverket ved hjelp av Wireshark

  • Velg nettverksgrensesnittet du vil snuse. Merk for denne demonstrasjonen, vi bruker en trådløs nettverkstilkobling. Hvis du er på et lokalnettverk, bør du velge det lokale nettverksgrensesnittet.
  • Klikk på startknappen som vist ovenfor

Sniffing nettverket ved hjelp av Wireshark

Sniffing nettverket ved hjelp av Wireshark

  • E-postadressen for pålogging er admin@google.com og passordet er Passord2010
  • Klikk på send-knappen
  • En vellykket pålogging bør gi deg følgende dashbord

Sniffing nettverket ved hjelp av Wireshark

  • Gå tilbake til Wireshark og stopp direkteopptaket

Sniffing nettverket ved hjelp av Wireshark

  • Filtrer kun for HTTP-protokollresultater ved å bruke filtertekstboksen

Sniffing nettverket ved hjelp av Wireshark

  • Finn Info-kolonnen og se etter oppføringer med HTTP-verbet POST og klikk på den

Sniffing nettverket ved hjelp av Wireshark

  • Rett under loggoppføringene er det et panel med et sammendrag av innfangede data. Se etter sammendraget som sier Linjebasert tekstdata: application/x-www-form-urlencoded

Sniffing nettverket ved hjelp av Wireshark

  • Du skal kunne se klartekstverdiene til alle POST-variablene som sendes til serveren via HTTP-protokollen.

Hva er en MAC-flom?

MAC-flooding er en nettverkssniffingsteknikk som oversvømmer switch-MAC-tabellen med falske MAC-adresser. Dette fører til overbelastning av bryterminnet og får det til å fungere som et nav. Når bryteren har blitt kompromittert, sender den kringkastingsmeldingene til alle datamaskiner på et nettverk. Dette gjør det mulig å snuse datapakker etter hvert som de sendes på nettverket.

Mottiltak mot MAC-flom

  • Noen brytere har portsikkerhetsfunksjonen. Denne funksjonen kan brukes til å begrense antall MAC-adresser på havnene. Den kan også brukes til å opprettholde en sikker MAC-adressetabell i tillegg til den som leveres av svitsjen.
  • Autentiserings-, autorisasjons- og regnskapsservere kan brukes til å filtrere oppdagede MAC-adresser.

Snusing Mottiltak

  • Begrensning til fysiske nettverksmedier reduserer sjansene for at en nettverkssniffer blir installert
  • Krypterer meldinger Ettersom de overføres over nettverket, reduseres verdien deres betydelig ettersom de er vanskelige å dekryptere.
  • Endre nettverket til et sikkert skall (SSH)nettverk reduserer også sjansene for at nettverket blir snuset.

Sammendrag

  • Nettverkssniffing er å fange opp pakker når de overføres over nettverket
  • Passiv sniffing gjøres på et nettverk som bruker en hub. Det er vanskelig å oppdage.
  • Aktiv sniffing gjøres på et nettverk som bruker en svitsj. Det er lett å oppdage.
  • MAC-flooding fungerer ved å oversvømme MAC-tabellens adresseliste med falske MAC-adresser. Dette gjør at bryteren fungerer som en HUB
  • Sikkerhetstiltak som skissert ovenfor kan bidra til å beskytte nettverket mot snusing.