Учебное пособие по Wireshark: анализатор сетей и паролей

Компьютеры общаются с помощью сетей. Эти сети могут находиться в локальной сети LAN или иметь доступ к Интернету. Сетевые снифферы — это программы, которые захватывают низкоуровневые данные пакетов, передаваемые по сети. Злоумышленник может проанализировать эту информацию, чтобы обнаружить ценную информацию, такую ​​как идентификаторы пользователей и пароли.

В этой статье мы познакомим вас с распространенными методами и инструментами анализа сети, используемыми для анализа сетей. Мы также рассмотрим контрмеры, которые вы можете принять для защиты конфиденциальной информации, передаваемой по сети.

Что такое нюхание сети?

Компьютеры общаются посредством широковещательной рассылки сообщений по сети с использованием IP-адресов. После отправки сообщения по сети компьютер-получатель с соответствующим IP-адресом отвечает своим MAC-адресом.

Сетевой анализ — это процесс перехвата пакетов данных, отправляемых по сети.Это можно сделать с помощью специализированного программного обеспечения или аппаратного оборудования. К обнюхиванию можно привыкнуть;

  • Собирайте конфиденциальные данные, такие как учетные данные для входа в систему.
  • Подслушивать сообщения чата
  • Файлы захвата были переданы по сети

Фоллоwing являются протоколами, которые уязвимы для перехвата

  • Telnet
  • Rлогин
  • HTTP
  • SMTP
  • NNTP
  • POP
  • Ftp
  • IMAP

Вышеуказанные протоколы уязвимы, если войти в системуtails отправляются в виде обычного текста

Обнюхивание сети

Пассивное и активное обнюхивание

Прежде чем мы рассмотрим пассивное и активное прослушивание, давайте рассмотрим два основных устройства, используемых в сети компьютеров; концентраторы и коммутаторы.

Концентратор работает, отправляя широковещательные сообщения на все его выходные порты, кроме того, который отправил широковещательную рассылку.. Компьютер-получатель отвечает на широковещательное сообщение, если IP-адрес совпадает. Это означает, что при использовании концентратора все компьютеры в сети могут видеть широковещательное сообщение. Он работает на физическом уровне (уровень 1) Модель OSI.

На диаграмме ниже показано, как работает концентратор.

Пассивное и активное обнюхивание

Переключатель работает по-другому; он сопоставляет IP/MAC-адреса с физическими портами на нем. Широковещательные сообщения отправляются на физические порты, соответствующие конфигурациям IP/MAC-адресов компьютера-получателя. Это означает, что широковещательные сообщения видны только компьютеру-получателю. Коммутаторы работают на канальном уровне (уровень 2) и сетевом уровне (уровень 3).

На схеме ниже показано, как работает переключатель.

Пассивное и активное обнюхивание

Пассивный анализ — это перехват пакетов, передаваемых по сети, использующей концентратор.. Это называется пассивным сниффингом, потому что его трудно обнаружить. Это также легко сделать, поскольку концентратор отправляет широковещательные сообщения всем компьютерам в сети.

Активный сниффинг — это перехват пакетов, передаваемых по сети, использующей коммутатор.. Существует два основных метода, используемых для прослушивания сетей, связанных с коммутатором: ARP Отравлениеи MAC-флуд.

Хакерская деятельность: анализ сетевого трафика

В этом практическом сценарии мы собираемся используйте Wireshark для анализа пакетов данных при их передаче по протоколу HTTP. В этом примере мы проанализируем сеть с помощью Wireshark, а затем войдем в веб-приложение, которое не использует защищенную связь. Мы войдем в веб-приложение на http://www.techpanda.org/

Адрес для входа admin@google.com, а пароль Password2010.

Примечание: мы войдем в веб-приложение только в демонстрационных целях. Этот метод также может перехватывать пакеты данных от других компьютеров, находящихся в той же сети, что и тот, который вы используете для перехвата. Обнаружение не ограничивается только сайтом techpanda.org, но также отслеживает все пакеты данных HTTP и других протоколов.

Прослушивание сети с помощью Wireshark

На рисунке ниже показаны шаги, которые вам следует выполнить, чтобы без путаницы выполнить это упражнение.

Прослушивание сети с помощью Wireshark

Загрузите Wireshark по этой ссылке. http://www.wireshark.org/download.html

  • Открыть Wireshark
  • Вы получите следующееwing экран

Прослушивание сети с помощью Wireshark

  • Выберите сетевой интерфейс, который вы хотите прослушать. Обратите внимание, что в этой демонстрации мы используем беспроводное сетевое соединение. Если вы находитесь в локальной сети, вам следует выбрать интерфейс локальной сети.
  • Нажмите кнопку «Пуск», как показано выше.

Прослушивание сети с помощью Wireshark

Прослушивание сети с помощью Wireshark

  • Логин еmail is admin@google.com и пароль Password2010
  • Нажмите на кнопку отправить
  • Успешный вход в систему должен дать вам следующееwing приборная панель

Прослушивание сети с помощью Wireshark

  • Вернитесь в Wireshark и остановите захват в реальном времени.

Прослушивание сети с помощью Wireshark

  • Фильтровать результаты протокола HTTP только с помощью текста фильтраbox

Прослушивание сети с помощью Wireshark

  • Найдите столбец «Информация», найдите записи с HTTP-командой POST и щелкните по нему.

Прослушивание сети с помощью Wireshark

  • Чуть ниже записей журнала находится панель со сводкой собранных данных. Найдите сводку, в которой говорится: Текстовые данные на основе строк: application/x-www-form-urlencoded.

Прослушивание сети с помощью Wireshark

  • Вы должны иметь возможность просматривать значения открытого текста всех переменных POST, отправленных на сервер по протоколу HTTP.

Что такое MAC-флуд?

MAC-флудинг — это метод анализа сети, который заполняет MAC-таблицу коммутатора поддельными MAC-адресами.. Это приводит к перегрузке памяти коммутатора и заставляет его работать как концентратор. После взлома коммутатора он отправляет широковещательные сообщения всем компьютерам в сети. Это позволяет перехватывать пакеты данных по мере их отправки в сеть.

Меры противодействия флуду MAC

  • Некоторые коммутаторы имеют функцию безопасности порта.. Эту функцию можно использовать для ограничения количества MAC-адреса по портам. Его также можно использовать для поддержки безопасной таблицы MAC-адресов в дополнение к таблице, предоставляемой коммутатором.
  • Серверы аутентификации, авторизации и учета может использоваться для фильтрации обнаруженных MAC-адресов.

Меры борьбы с обнюхиванием

  • Ограничение на сетевые физические носители значительно снижает вероятность установки сетевого сниффера
  • Шифрование сообщений поскольку они передаются по сети, их ценность значительно снижается, поскольку их трудно расшифровать.
  • Изменение сети на Secure Shell (SSH)сеть также снижает вероятность перехвата сети.

Итоги

  • Сетевой снифинг — это перехват пакетов по мере их передачи по сети.
  • Пассивный анализ выполняется в сети, использующей концентратор. Это трудно обнаружить.
  • Активный анализ осуществляется в сети, использующей коммутатор. Это легко обнаружить.
  • MAC-флудинг работает путем заполнения списка адресов таблицы MAC поддельными MAC-адресами. Это позволяет коммутатору работать как концентратор.
  • Меры безопасности, описанные выше, могут помочь защитить сеть от перехвата.
Guru99 спонсируется Invicti.
Invicti

Invicti, разработчики технологии Proof Based Scanning, спонсировали проект Guru99, чтобы повысить осведомленность о безопасности веб-приложений и позволить большему количеству разработчиков узнать о написании безопасного кода.