Wireshark Samouczek: Sniffer sieci i haseł

Komputery komunikują się za pomocą sieci. Sieci te mogą znajdować się w sieci lokalnej LAN lub być dostępne w Internecie. Network Sniffers to programy przechwytujące dane pakietowe niskiego poziomu przesyłane przez sieć. Osoba atakująca może przeanalizować te informacje, aby odkryć cenne informacje, takie jak identyfikatory użytkowników i hasła.

W tym artykule przedstawimy popularne techniki i narzędzia służące do podsłuchiwania sieci. Przyjrzymy się także środkom zaradczym, które można zastosować w celu ochrony poufnych informacji przesyłanych przez sieć.

Co to jest podsłuchiwanie sieci?

Komputery komunikują się poprzez rozgłaszanie wiadomości w sieci przy użyciu adresów IP. Po wysłaniu wiadomości w sieci komputer odbiorcy o pasującym adresie IP odpowiada, podając swój adres MAC.

Podsłuchiwanie sieci to proces przechwytywania pakietów danych przesyłanych przez sieć.Można tego dokonać za pomocą specjalistycznego oprogramowania lub sprzętu komputerowego. Wąchanie można wykorzystać do;

  • Przechwytuj wrażliwe dane, takie jak dane logowania
  • Podsłuchuj wiadomości na czacie
  • Przechwycone pliki zostały przesłane przez sieć

Poniżej przedstawiono protokoły podatne na podsłuch

  • Telnet
  • Zaloguj się
  • HTTP
  • SMTP
  • NNTP
  • MUZYKA POP
  • FTP
  • IMAP

Powyższe protokoły są podatne na ataki, jeśli dane logowania są wysyłane w postaci zwykłego tekstu

Podsłuchiwanie sieci

Pasywne i aktywne wąchanie

Zanim przyjrzymy się pasywnemu i aktywnemu wąchaniu, przyjrzyjmy się dwóm głównym urządzeniom używanym do łączenia komputerów w sieć; koncentratory i przełączniki.

Koncentrator działa w ten sposób, że wysyła komunikaty rozgłoszeniowe do wszystkich portów wyjściowych w nim, z wyjątkiem tego, który wysłał rozgłoszenie. Komputer odbiorcy odpowiada na wiadomość rozgłoszeniową, jeśli adres IP jest zgodny. Oznacza to, że w przypadku korzystania z koncentratora wszystkie komputery w sieci mogą zobaczyć wiadomość rozgłoszeniową. Działa ona na warstwie fizycznej (warstwa 1) Model OSI.

Poniższy schemat ilustruje działanie koncentratora.

Pasywne i aktywne wąchanie

Przełącznik działa inaczej; mapuje adresy IP/MAC na porty fizyczne. Wiadomości rozgłoszeniowe są wysyłane do portów fizycznych, które odpowiadają konfiguracjom adresów IP/MAC komputera odbiorczego. Oznacza to, że wiadomości rozgłoszeniowe są widoczne tylko dla komputera odbiorczego. Przełączniki działają na warstwie łącza danych (warstwa 2) i warstwie sieciowej (warstwa 3).

Poniższy schemat ilustruje działanie przełącznika.

Pasywne i aktywne wąchanie

Pasywne wąchanie polega na przechwytywaniu pakietów przesyłanych przez sieć korzystającą z koncentratora. Nazywa się to wąchaniem pasywnym, ponieważ jest trudne do wykrycia. Jest to również łatwe do wykonania, ponieważ koncentrator wysyła wiadomości rozgłoszeniowe do wszystkich komputerów w sieci.

Aktywne wąchanie to przechwytywanie pakietów przesyłanych przez sieć korzystającą z przełącznika. Istnieją dwie główne metody sniffowania połączonych sieci: Zatrucie ARPi zalanie MAC.

Aktywność hakerska: wąchanie ruchu sieciowego

W tym praktycznym scenariuszu tak właśnie zrobimy posługiwać się Wireshark do wąchania pakietów danych przesyłanych protokołem HTTP. W tym przykładzie będziemy powąchać sieć za pomocą Wireshark, a następnie zaloguj się do aplikacji internetowej, która nie korzysta z bezpiecznej komunikacji. Będziemy logować się do aplikacji internetowej na http://www.techpanda.org/

Adres logowania to administrator@google.com, a hasło to Password2010.

Uwaga: zalogujemy się do aplikacji internetowej wyłącznie w celach demonstracyjnych. Technika ta może również podsłuchiwać pakiety danych z innych komputerów znajdujących się w tej samej sieci, co ta, której używasz do wąchania. Wąchanie nie ogranicza się tylko do techpanda.org, ale podsłuchuje także wszystkie pakiety danych HTTP i innych protokołów.

Podsłuchiwanie sieci za pomocą Wireshark

Poniższa ilustracja przedstawia kroki, które należy wykonać, aby ukończyć to ćwiczenie bez pomyłek

Podsłuchiwanie sieci za pomocą Wireshark

Do pobrania Wireshark z tego linku http://www.wireshark.org/download.html

  • Otwarte Wireshark
  • Wyświetli się następujący ekran

Podsłuchiwanie sieci za pomocą Wireshark

  • Wybierz interfejs sieciowy, który chcesz przesłuchać. Uwaga: w tej demonstracji używamy połączenia z siecią bezprzewodową. Jeśli jesteś w sieci lokalnej, powinieneś wybrać interfejs sieci lokalnej.
  • Kliknij przycisk Start, jak pokazano powyżej

Podsłuchiwanie sieci za pomocą Wireshark

Podsłuchiwanie sieci za pomocą Wireshark

  • Adres e-mail logowania to administrator@google.com a hasło to Password2010
  • Kliknij przycisk Prześlij
  • Po pomyślnym zalogowaniu powinien zostać wyświetlony następujący panel

Podsłuchiwanie sieci za pomocą Wireshark

  • Wróć do Wireshark i zatrzymaj przechwytywanie na żywo

Podsłuchiwanie sieci za pomocą Wireshark

  • Filtruj tylko wyniki protokołu HTTP, korzystając z pola tekstowego filtra

Podsłuchiwanie sieci za pomocą Wireshark

  • Znajdź kolumnę Informacje i poszukaj wpisów zawierających czasownik HTTP POST i kliknij ją

Podsłuchiwanie sieci za pomocą Wireshark

  • Tuż pod wpisami logu znajduje się panel z podsumowaniem przechwyconych danych. Poszukaj podsumowania zawierającego dane tekstowe oparte na linii: application/x-www-form-urlencoded

Podsłuchiwanie sieci za pomocą Wireshark

  • Powinieneś być w stanie wyświetlić wartości w postaci zwykłego tekstu wszystkich zmiennych POST przesłanych do serwera za pośrednictwem protokołu HTTP.

Co to jest powódź MAC?

Zalewanie adresów MAC to technika wąchania sieci, która zalewa tablicę adresów MAC przełącznika fałszywymi adresami MAC. Prowadzi to do przeciążenia pamięci przełącznika i sprawia, że ​​pełni on funkcję koncentratora. Po złamaniu zabezpieczeń przełącznik wysyła komunikaty rozgłoszeniowe do wszystkich komputerów w sieci. Umożliwia to wąchanie pakietów danych przesyłanych w sieci.

Środki zaradcze przeciwko powodziom MAC

  • Niektóre przełączniki posiadają funkcję zabezpieczenia portu. Tej funkcji można użyć do ograniczenia liczby Adresy MAC na portach. Można go również wykorzystać do utrzymania bezpiecznej tabeli adresów MAC, oprócz tej dostarczanej przez przełącznik.
  • Serwery uwierzytelniające, autoryzacyjne i księgowe może służyć do filtrowania odkrytych adresów MAC.

Wąchanie – środki zaradcze

  • Ograniczenie do sieciowych nośników fizycznych znacznie zmniejsza ryzyko zainstalowania sniffera sieciowego
  • Szyfrowanie wiadomości przesyłane przez sieć znacznie zmniejsza ich wartość, ponieważ są trudne do odszyfrowania.
  • Zmiana sieci na Secure Shell (SSH)sieć zmniejsza również ryzyko podsłuchania sieci.

Podsumowanie

  • Podsłuchiwanie sieci polega na przechwytywaniu pakietów przesyłanych w sieci
  • Pasywne wąchanie odbywa się w sieci korzystającej z koncentratora. Jest to trudne do wykrycia.
  • Aktywne wąchanie odbywa się w sieci korzystającej z przełącznika. Łatwo to wykryć.
  • MAC flooding działa poprzez zalewanie listy adresów MAC table fałszywymi adresami MAC. To sprawia, że ​​przełącznik działa jak HUB
  • Środki bezpieczeństwa opisane powyżej mogą pomóc chronić sieć przed sniffowaniem.