Wireshark Samouczek: Sniffer sieci i haseł
Komputery komunikują się za pomocą sieci. Sieci te mogą znajdować się w sieci lokalnej LAN lub być dostępne w Internecie. Network Sniffers to programy przechwytujące dane pakietowe niskiego poziomu przesyłane przez sieć. Osoba atakująca może przeanalizować te informacje, aby odkryć cenne informacje, takie jak identyfikatory użytkowników i hasła.
W tym artykule przedstawimy popularne techniki i narzędzia służące do podsłuchiwania sieci. Przyjrzymy się także środkom zaradczym, które można zastosować w celu ochrony poufnych informacji przesyłanych przez sieć.
Co to jest podsłuchiwanie sieci?
Komputery komunikują się poprzez rozgłaszanie wiadomości w sieci przy użyciu adresów IP. Po wysłaniu wiadomości w sieci komputer odbiorcy o pasującym adresie IP odpowiada, podając swój adres MAC.
Podsłuchiwanie sieci to proces przechwytywania pakietów danych przesyłanych przez sieć.Można tego dokonać za pomocą specjalistycznego oprogramowania lub sprzętu komputerowego. Wąchanie można wykorzystać do;
- Przechwytuj wrażliwe dane, takie jak dane logowania
- Podsłuchuj wiadomości na czacie
- Przechwycone pliki zostały przesłane przez sieć
Poniżej przedstawiono protokoły podatne na podsłuch
Powyższe protokoły są podatne na ataki, jeśli dane logowania są wysyłane w postaci zwykłego tekstu
Pasywne i aktywne wąchanie
Zanim przyjrzymy się pasywnemu i aktywnemu wąchaniu, przyjrzyjmy się dwóm głównym urządzeniom używanym do łączenia komputerów w sieć; koncentratory i przełączniki.
Koncentrator działa w ten sposób, że wysyła komunikaty rozgłoszeniowe do wszystkich portów wyjściowych w nim, z wyjątkiem tego, który wysłał rozgłoszenie. Komputer odbiorcy odpowiada na wiadomość rozgłoszeniową, jeśli adres IP jest zgodny. Oznacza to, że w przypadku korzystania z koncentratora wszystkie komputery w sieci mogą zobaczyć wiadomość rozgłoszeniową. Działa ona na warstwie fizycznej (warstwa 1) Model OSI.
Poniższy schemat ilustruje działanie koncentratora.
Przełącznik działa inaczej; mapuje adresy IP/MAC na porty fizyczne. Wiadomości rozgłoszeniowe są wysyłane do portów fizycznych, które odpowiadają konfiguracjom adresów IP/MAC komputera odbiorczego. Oznacza to, że wiadomości rozgłoszeniowe są widoczne tylko dla komputera odbiorczego. Przełączniki działają na warstwie łącza danych (warstwa 2) i warstwie sieciowej (warstwa 3).
Poniższy schemat ilustruje działanie przełącznika.
Pasywne wąchanie polega na przechwytywaniu pakietów przesyłanych przez sieć korzystającą z koncentratora. Nazywa się to wąchaniem pasywnym, ponieważ jest trudne do wykrycia. Jest to również łatwe do wykonania, ponieważ koncentrator wysyła wiadomości rozgłoszeniowe do wszystkich komputerów w sieci.
Aktywne wąchanie to przechwytywanie pakietów przesyłanych przez sieć korzystającą z przełącznika. Istnieją dwie główne metody sniffowania połączonych sieci: Zatrucie ARPi zalanie MAC.
Aktywność hakerska: wąchanie ruchu sieciowego
W tym praktycznym scenariuszu tak właśnie zrobimy posługiwać się Wireshark do wąchania pakietów danych przesyłanych protokołem HTTP. W tym przykładzie będziemy powąchać sieć za pomocą Wireshark, a następnie zaloguj się do aplikacji internetowej, która nie korzysta z bezpiecznej komunikacji. Będziemy logować się do aplikacji internetowej na http://www.techpanda.org/
Adres logowania to administrator@google.com, a hasło to Password2010.
Uwaga: zalogujemy się do aplikacji internetowej wyłącznie w celach demonstracyjnych. Technika ta może również podsłuchiwać pakiety danych z innych komputerów znajdujących się w tej samej sieci, co ta, której używasz do wąchania. Wąchanie nie ogranicza się tylko do techpanda.org, ale podsłuchuje także wszystkie pakiety danych HTTP i innych protokołów.
Podsłuchiwanie sieci za pomocą Wireshark
Poniższa ilustracja przedstawia kroki, które należy wykonać, aby ukończyć to ćwiczenie bez pomyłek
Do pobrania Wireshark z tego linku http://www.wireshark.org/download.html
- Otwarte Wireshark
- Wyświetli się następujący ekran
- Wybierz interfejs sieciowy, który chcesz przesłuchać. Uwaga: w tej demonstracji używamy połączenia z siecią bezprzewodową. Jeśli jesteś w sieci lokalnej, powinieneś wybrać interfejs sieci lokalnej.
- Kliknij przycisk Start, jak pokazano powyżej
- Otwórz przeglądarkę internetową i wpisz http://www.techpanda.org/
- Adres e-mail logowania to administrator@google.com a hasło to Password2010
- Kliknij przycisk Prześlij
- Po pomyślnym zalogowaniu powinien zostać wyświetlony następujący panel
- Wróć do Wireshark i zatrzymaj przechwytywanie na żywo
- Filtruj tylko wyniki protokołu HTTP, korzystając z pola tekstowego filtra
- Znajdź kolumnę Informacje i poszukaj wpisów zawierających czasownik HTTP POST i kliknij ją
- Tuż pod wpisami logu znajduje się panel z podsumowaniem przechwyconych danych. Poszukaj podsumowania zawierającego dane tekstowe oparte na linii: application/x-www-form-urlencoded
- Powinieneś być w stanie wyświetlić wartości w postaci zwykłego tekstu wszystkich zmiennych POST przesłanych do serwera za pośrednictwem protokołu HTTP.
Co to jest powódź MAC?
Zalewanie adresów MAC to technika wąchania sieci, która zalewa tablicę adresów MAC przełącznika fałszywymi adresami MAC. Prowadzi to do przeciążenia pamięci przełącznika i sprawia, że pełni on funkcję koncentratora. Po złamaniu zabezpieczeń przełącznik wysyła komunikaty rozgłoszeniowe do wszystkich komputerów w sieci. Umożliwia to wąchanie pakietów danych przesyłanych w sieci.
Środki zaradcze przeciwko powodziom MAC
- Niektóre przełączniki posiadają funkcję zabezpieczenia portu. Tej funkcji można użyć do ograniczenia liczby Adresy MAC na portach. Można go również wykorzystać do utrzymania bezpiecznej tabeli adresów MAC, oprócz tej dostarczanej przez przełącznik.
- Serwery uwierzytelniające, autoryzacyjne i księgowe może służyć do filtrowania odkrytych adresów MAC.
Wąchanie – środki zaradcze
- Ograniczenie do sieciowych nośników fizycznych znacznie zmniejsza ryzyko zainstalowania sniffera sieciowego
- Szyfrowanie wiadomości przesyłane przez sieć znacznie zmniejsza ich wartość, ponieważ są trudne do odszyfrowania.
- Zmiana sieci na Secure Shell (SSH)sieć zmniejsza również ryzyko podsłuchania sieci.
Podsumowanie
- Podsłuchiwanie sieci polega na przechwytywaniu pakietów przesyłanych w sieci
- Pasywne wąchanie odbywa się w sieci korzystającej z koncentratora. Jest to trudne do wykrycia.
- Aktywne wąchanie odbywa się w sieci korzystającej z przełącznika. Łatwo to wykryć.
- MAC flooding działa poprzez zalewanie listy adresów MAC table fałszywymi adresami MAC. To sprawia, że przełącznik działa jak HUB
- Środki bezpieczeństwa opisane powyżej mogą pomóc chronić sieć przed sniffowaniem.