Tutorial Wireshark: Sniffer de rede e senhas

Os computadores se comunicam por meio de redes. Essas redes podem estar em uma LAN de rede local ou expostas à Internet. Network Sniffers são programas que capturam dados de pacotes de baixo nível que são transmitidos por uma rede. Um invasor pode analisar essas informações para descobrir informações valiosas, como IDs de usuário e senhas.

Neste artigo, apresentaremos técnicas e ferramentas comuns de detecção de rede usadas para detectar redes. Também examinaremos as contramedidas que você pode implementar para proteger informações confidenciais transmitidas por uma rede.

O que é Network Sniffing?

Os computadores se comunicam transmitindo mensagens em uma rede usando endereços IP. Depois que uma mensagem é enviada pela rede, o computador destinatário com o endereço IP correspondente responde com seu endereço MAC.

Sniffing de rede é o processo de interceptação de pacotes de dados enviados por uma rede.Isso pode ser feito por um programa de software especializado ou equipamento de hardware. Cheirar pode ser usado para;

  • Capture dados confidenciais, como credenciais de login
  • Escute mensagens de bate-papo
  • Os arquivos de captura foram transmitidos por uma rede

O seguintewing são protocolos vulneráveis ​​a sniffing

  • Telnet
  • eu faço login
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Os protocolos acima são vulneráveis ​​se o login details são enviados em texto simples

Sniffing de rede

Farejamento Passivo e Ativo

Antes de examinarmos o sniffing passivo e ativo, vejamos dois dispositivos principais usados ​​para computadores em rede; hubs e switches.

Um hub funciona enviando mensagens de difusão para todas as portas de saída, exceto aquela que enviou a transmissão.. O computador destinatário responde à mensagem de difusão se o endereço IP corresponder. Isto significa que ao usar um hub, todos os computadores de uma rede podem ver a mensagem de difusão. Opera na camada física (camada 1) do Modelo OSI.

O diagrama abaixo ilustra como o hub funciona.

Farejamento Passivo e Ativo

Um switch funciona de maneira diferente; ele mapeia endereços IP/MAC para portas físicas nele. As mensagens de difusão são enviadas para as portas físicas que correspondem às configurações de endereço IP/MAC do computador destinatário. Isso significa que as mensagens de difusão são vistas apenas pelo computador destinatário. Os switches operam na camada de enlace de dados (camada 2) e na camada de rede (camada 3).

O diagrama abaixo ilustra como o switch funciona.

Farejamento Passivo e Ativo

Sniffing passivo é a interceptação de pacotes transmitidos por uma rede que usa um hub. É chamado de farejamento passivo porque é difícil de detectar. Também é fácil de executar, pois o hub envia mensagens de difusão para todos os computadores da rede.

Sniffing ativo é a interceptação de pacotes transmitidos por uma rede que usa um switch. Existem dois métodos principais usados ​​para detectar redes vinculadas a switches, Envenenamento ARPe inundação de MAC.

Atividade de hacking: detectar tráfego de rede

Neste cenário prático, vamos use o Wireshark para detectar pacotes de dados à medida que são transmitidos pelo protocolo HTTP. Neste exemplo, farejaremos a rede usando o Wireshark e, em seguida, faremos login em um aplicativo da web que não usa comunicação segura. Faremos login em um aplicativo da web em http://www.techpanda.org/

O endereço de login é admin@google.com, e a senha é Password2010.

Nota: faremos login no aplicativo da web apenas para fins de demonstração. A técnica também pode detectar pacotes de dados de outros computadores que estejam na mesma rede que você está usando para detectar. A detecção não se limita apenas ao techpanda.org, mas também detecta todos os pacotes de dados HTTP e outros protocolos.

Farejando a rede usando Wireshark

A ilustração abaixo mostra as etapas que você executará para concluir este exercício sem confusão

Farejando a rede usando Wireshark

Baixe o Wireshark neste link http://www.wireshark.org/download.html

  • Abra o Wireshark
  • Você receberá o seguintewing tela

Farejando a rede usando Wireshark

  • Selecione a interface de rede que você deseja detectar. Observação para esta demonstração, estamos usando uma conexão de rede sem fio. Se você estiver em uma rede local, deverá selecionar a interface de rede local.
  • Clique no botão Iniciar conforme mostrado acima

Farejando a rede usando Wireshark

Farejando a rede usando Wireshark

  • O login email is admin@google.com e a senha é Password2010
  • Clique no botão enviar
  • Um logon bem-sucedido deve fornecer o seguintewing painel de instrumentos

Farejando a rede usando Wireshark

  • Volte para o Wireshark e pare a captura ao vivo

Farejando a rede usando Wireshark

  • Filtre os resultados do protocolo HTTP apenas usando o texto do filtrobox

Farejando a rede usando Wireshark

  • Localize a coluna Informações e procure entradas com o verbo HTTP POST e clique nela

Farejando a rede usando Wireshark

  • Logo abaixo das entradas do log, há um painel com um resumo dos dados capturados. Procure o resumo que diz Dados de texto baseados em linha: application/x-www-form-urlencoded

Farejando a rede usando Wireshark

  • Você poderá visualizar os valores de texto simples de todas as variáveis ​​POST enviadas ao servidor via protocolo HTTP.

O que é uma inundação MAC?

A inundação MAC é uma técnica de detecção de rede que inunda a tabela MAC do switch com endereços MAC falsos.. Isso sobrecarrega a memória do switch e faz com que ele atue como um hub. Depois que o switch for comprometido, ele enviará as mensagens de difusão para todos os computadores da rede. Isso torna possível detectar pacotes de dados à medida que são enviados pela rede.

Medidas contrárias contra inundações MAC

  • Alguns switches possuem o recurso de segurança de porta. Este recurso pode ser usado para limitar o número de Endereços MAC nos portos. Também pode ser usado para manter uma tabela de endereços MAC segura além daquela fornecida pelo switch.
  • Servidores de autenticação, autorização e contabilidade pode ser usado para filtrar endereços MAC descobertos.

Contra-medidas para cheirar

  • Restrição à mídia física de rede reduz altamente as chances de um sniffer de rede ser instalado
  • Criptografando mensagens à medida que são transmitidos pela rede, reduz muito seu valor, pois são difíceis de descriptografar.
  • Mudando a rede para um Secure Shell (SSH)rede também reduz as chances de a rede ser detectada.

Resumo

  • Sniffing de rede é a interceptação de pacotes à medida que são transmitidos pela rede
  • A detecção passiva é feita em uma rede que usa um hub. É difícil detectar.
  • A detecção ativa é feita em uma rede que usa um switch. É fácil de detectar.
  • A inundação MAC funciona inundando a lista de endereços da tabela MAC com endereços MAC falsos. Isso faz com que o switch funcione como um HUB
  • As medidas de segurança descritas acima podem ajudar a proteger a rede contra sniffing.
Guru99 é patrocinado pela Invicti
Invictos

A Invicti, desenvolvedora da tecnologia Proof Based Scanning, patrocinou o projeto Guru99 para ajudar a aumentar a conscientização sobre segurança de aplicações web e permitir que mais desenvolvedores aprendam como escrever código seguro