Wireshark Handledning: Network & Passwords Sniffer
Datorer kommunicerar med hjälp av nätverk. Dessa nätverk kan vara på ett lokalt nätverk LAN eller exponerade för internet. Network Sniffers är program som fångar paketdata på låg nivå som sänds över ett nätverk. En angripare kan analysera denna information för att upptäcka värdefull information som användar-ID och lösenord.
I den här artikeln kommer vi att introducera dig för vanliga nätverkssniffningstekniker och verktyg som används för att sniffa nätverk. Vi kommer också att titta på motåtgärder som du kan vidta för att skydda känslig information som överförs över ett nätverk.
Vad är nätverkssniffning?
Datorer kommunicerar genom att sända meddelanden i ett nätverk med hjälp av IP-adresser. När ett meddelande har skickats i ett nätverk svarar mottagardatorn med den matchande IP-adressen med sin MAC-adress.
Nätverkssniffning är processen att fånga upp datapaket som skickas över ett nätverk.Detta kan göras av det specialiserade programmet eller hårdvaruutrustningen. Sniffning kan användas för att;
- Fånga känsliga uppgifter som inloggningsuppgifter
- Avlyssna chattmeddelanden
- Fångstfiler har överförts över ett nätverk
Följande är protokoll som är sårbara för sniffning
Ovanstående protokoll är sårbara om inloggningsuppgifter skickas i vanlig text
Passiv och aktiv sniffning
Innan vi tittar på passiv och aktiv sniffning, låt oss titta på två stora enheter som används för att nätverka datorer; nav och switchar.
En hubb fungerar genom att skicka sändningsmeddelanden till alla utportar på den förutom den som har skickat sändningen. Mottagarens dator svarar på sändningsmeddelandet om IP-adressen matchar. Detta innebär att när du använder en hubb kan alla datorer i ett nätverk se sändningsmeddelandet. Det fungerar på det fysiska lagret (lager 1) av OSI-modell.
Diagrammet nedan visar hur navet fungerar.
En switch fungerar annorlunda; den mappar IP/MAC-adresser till fysiska portar på den. Broadcast-meddelanden skickas till de fysiska portarna som matchar IP/MAC-adresskonfigurationerna för mottagardatorn. Detta innebär att sändningsmeddelanden endast ses av mottagardatorn. Switchar fungerar på datalänkslagret (lager 2) och nätverkslagret (lager 3).
Diagrammet nedan visar hur omkopplaren fungerar.
Passiv sniffning är att fånga upp paket som sänds över ett nätverk som använder en hubb. Det kallas passiv sniffning eftersom det är svårt att upptäcka. Det är också enkelt att utföra eftersom hubben skickar broadcast-meddelanden till alla datorer i nätverket.
Aktiv sniffning är att fånga upp paket som sänds över ett nätverk som använder en switch. Det finns två huvudsakliga metoder som används för att sniffa växla länkade nätverk, ARP-förgiftning, och MAC-översvämningar.
Hackingaktivitet: Sniff Network Traffic
I det här praktiska scenariot ska vi användning Wireshark att sniffa datapaket när de sänds över HTTP-protokollet. För det här exemplet kommer vi att sniffa nätverket med hjälp av Wireshark, logga sedan in på en webbapplikation som inte använder säker kommunikation. Vi kommer att logga in på en webbapplikation på http://www.techpanda.org/
Inloggningsadressen är admin@google.com, och lösenordet är Password2010.
Notera: vi loggar in på webbappen endast i demonstrationssyfte. Tekniken kan också sniffa datapaket från andra datorer som finns i samma nätverk som den du använder för att sniffa. Sniffningen är inte bara begränsad till techpanda.org, utan sniffar också alla HTTP- och andra protokolldatapaket.
Sniffa nätverket med hjälp av Wireshark
Illustrationen nedan visar dig stegen som du kommer att utföra för att slutföra denna övning utan förvirring
Download Wireshark från den här länken http://www.wireshark.org/download.html
- Öppen Wireshark
- Du kommer att få upp följande skärm
- Välj nätverksgränssnittet du vill sniffa. Notera för denna demonstration, vi använder en trådlös nätverksanslutning. Om du är på ett lokalt nätverk bör du välja det lokala nätverksgränssnittet.
- Klicka på startknappen som visas ovan
- Öppna din webbläsare och skriv in http://www.techpanda.org/
- Inloggningsmailen är admin@google.com och lösenordet är Password2010
- Klicka på knappen Skicka
- En lyckad inloggning bör ge dig följande instrumentpanel
- Gå tillbaka till Wireshark och stoppa liveinspelningen
- Filtrera efter HTTP-protokollresultat endast med hjälp av filtertextrutan
- Leta reda på kolumnen Info och leta efter poster med HTTP-verbet POST och klicka på det
- Precis under loggposterna finns en panel med en sammanfattning av insamlad data. Leta efter sammanfattningen som säger Linjebaserad textdata: application/x-www-form-urlencoded
- Du bör kunna se klartextvärdena för alla POST-variabler som skickas till servern via HTTP-protokoll.
Vad är en MAC Flooding?
MAC flooding är en nätverkssniffningsteknik som översvämmer switchens MAC-tabell med falska MAC-adresser. Detta leder till överbelastning av switchminnet och gör att det fungerar som ett nav. När switchen har äventyrats skickar den sändningsmeddelandena till alla datorer i ett nätverk. Detta gör det möjligt att sniffa datapaket när de skickas i nätverket.
Motåtgärder mot MAC-översvämningar
- Vissa switchar har portsäkerhetsfunktionen. Denna funktion kan användas för att begränsa antalet MAC-adresser på hamnarna. Den kan också användas för att upprätthålla en säker MAC-adresstabell utöver den som tillhandahålls av switchen.
- Autentiserings-, auktoriserings- och redovisningsservrar kan användas för att filtrera upptäckta MAC-adresser.
Sniffande Motåtgärder
- Begränsning till fysiska nätverksmedia minskar i hög grad chansen att en nätverkssniffer installeras
- Kryptera meddelanden eftersom de sänds över nätverket minskar deras värde avsevärt eftersom de är svåra att dekryptera.
- Ändra nätverket till ett säkert skal (SSH)nät minskar också chansen att nätverket sniffas.
Sammanfattning
- Nätverkssniffning är att fånga upp paket när de sänds över nätverket
- Passiv sniffning görs på ett nätverk som använder en hubb. Det är svårt att upptäcka.
- Aktiv sniffning görs på ett nätverk som använder en switch. Det är lätt att upptäcka.
- MAC flooding fungerar genom att översvämma MAC-tabellens adresslista med falska MAC-adresser. Detta gör att omkopplaren fungerar som en HUB
- Säkerhetsåtgärder enligt ovan kan hjälpa till att skydda nätverket mot sniffning.