Wireshark บทช่วยสอน: เครือข่ายและรหัสผ่านดมกลิ่น

โดย: โอลิเวอร์โจนส์ โอลิเวอร์โจนส์
Hours วันที่อัพเดท

คอมพิวเตอร์สื่อสารโดยใช้เครือข่าย เครือข่ายเหล่านี้อาจอยู่ในเครือข่ายท้องถิ่น LAN หรือเปิดเผยต่ออินเทอร์เน็ต Network Sniffers เป็นโปรแกรมที่เก็บข้อมูลแพ็คเกจระดับต่ำที่ส่งผ่านเครือข่าย ผู้โจมตีสามารถวิเคราะห์ข้อมูลนี้เพื่อค้นหาข้อมูลที่มีค่า เช่น รหัสผู้ใช้และรหัสผ่าน

ในบทความนี้ เราจะแนะนำให้คุณรู้จักกับเทคนิคทั่วไปในการดมกลิ่นเครือข่ายและเครื่องมือที่ใช้ในการดมกลิ่นเครือข่าย นอกจากนี้เรายังจะดูมาตรการรับมือที่คุณสามารถนำไปใช้เพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่ถูกส่งผ่านเครือข่าย

Network Sniffing คืออะไร?

คอมพิวเตอร์สื่อสารโดยการส่งข้อความบนเครือข่ายโดยใช้ที่อยู่ IP เมื่อส่งข้อความบนเครือข่าย คอมพิวเตอร์ผู้รับที่มีที่อยู่ IP ตรงกันจะตอบกลับด้วยที่อยู่ MAC

การดมกลิ่นเครือข่ายเป็นกระบวนการดักจับแพ็กเก็ตข้อมูลที่ส่งผ่านเครือข่ายซึ่งสามารถทำได้โดยใช้โปรแกรมซอฟต์แวร์เฉพาะหรืออุปกรณ์ฮาร์ดแวร์ การดมกลิ่นสามารถใช้เพื่อ;

  • เก็บข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ
  • แอบฟังข้อความแชท
  • ไฟล์จับภาพถูกส่งผ่านเครือข่าย

ต่อไปนี้เป็นโปรโตคอลที่เสี่ยงต่อการถูกดักจับ

  • Telnet
  • เข้าสู่ระบบ
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

โปรโตคอลข้างต้นอาจมีความเสี่ยงหากรายละเอียดการเข้าสู่ระบบถูกส่งเป็นข้อความธรรมดา

เครือข่ายดมกลิ่น

การดมกลิ่นแบบพาสซีฟและแอคทีฟ

ก่อนที่เราจะดูการดมกลิ่นแบบพาสซีฟและแบบแอคทีฟ เรามาดูอุปกรณ์หลักสองชนิดที่ใช้ในคอมพิวเตอร์เครือข่ายก่อน ฮับและสวิตช์

ฮับทำงานโดยการส่งข้อความออกอากาศไปยังพอร์ตเอาท์พุตทั้งหมด ยกเว้นพอร์ตที่ส่งการออกอากาศคอมพิวเตอร์ผู้รับจะตอบสนองต่อข้อความออกอากาศหากที่อยู่ IP ตรงกัน ซึ่งหมายความว่าเมื่อใช้ฮับ คอมพิวเตอร์ทั้งหมดในเครือข่ายจะมองเห็นข้อความออกอากาศได้ โดยฮับจะทำงานที่เลเยอร์ทางกายภาพ (เลเยอร์ 1) ของ แบบจำลอง OSI.

แผนภาพด้านล่างแสดงวิธีการทำงานของฮับ

การดมกลิ่นแบบพาสซีฟและแอคทีฟ

สวิตช์ทำงานแตกต่างออกไป มันจับคู่ที่อยู่ IP / MAC กับพอร์ตทางกายภาพที่อยู่นั้นข้อความบรอดคาสต์จะถูกส่งไปยังพอร์ตทางกายภาพที่ตรงกับการกำหนดค่าที่อยู่ IP/MAC ของคอมพิวเตอร์ผู้รับ ซึ่งหมายความว่าข้อความบรอดคาสต์จะปรากฏเฉพาะในคอมพิวเตอร์ผู้รับเท่านั้น สวิตช์ทำงานที่ชั้นลิงก์ข้อมูล (ชั้น 2) และชั้นเครือข่าย (ชั้น 3)

แผนภาพด้านล่างแสดงวิธีการทำงานของสวิตช์

การดมกลิ่นแบบพาสซีฟและแอคทีฟ

การดมกลิ่นแบบพาสซีฟเป็นการดักจับแพ็คเกจที่ส่งผ่านเครือข่ายที่ใช้ฮับ- เรียกว่าการดมแบบพาสซีฟเพราะตรวจพบได้ยาก นอกจากนี้ยังดำเนินการได้ง่ายเนื่องจากฮับส่งข้อความออกอากาศไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่าย

การดมกลิ่นแบบแอคทีฟเป็นการดักจับแพ็คเกจที่ส่งผ่านเครือข่ายที่ใช้สวิตช์- มีสองวิธีหลักที่ใช้ในการดมกลิ่นสวิตช์เครือข่ายที่เชื่อมโยง ARP พิษและน้ำท่วม MAC

บทความที่เกี่ยวข้อง

กิจกรรมการแฮ็ก: ดมกลิ่นการรับส่งข้อมูลเครือข่าย

ในสถานการณ์จริงนี้ เราจะไป ใช้ Wireshark เพื่อดมแพ็กเก็ตข้อมูลในขณะที่ถูกส่งผ่านโปรโตคอล HTTP- สำหรับตัวอย่างนี้ เราจะทำการดมกลิ่นเครือข่ายโดยใช้ Wiresharkจากนั้นเข้าสู่ระบบเว็บแอปพลิเคชันที่ไม่ใช้การสื่อสารที่ปลอดภัย เราจะทำการล็อคอินเข้าสู่เว็บแอพพลิเคชั่นบน http://www.techpanda.org/

ที่อยู่เข้าสู่ระบบคือ admin@google.comและรหัสผ่านคือ Password2010.

หมายเหตุ เราจะเข้าสู่เว็บแอปเพื่อวัตถุประสงค์ในการสาธิตเท่านั้น เทคนิคนี้สามารถดมกลิ่นแพ็กเก็ตข้อมูลจากคอมพิวเตอร์เครื่องอื่นที่อยู่ในเครือข่ายเดียวกันกับคอมพิวเตอร์ที่คุณใช้ในการดมกลิ่น การดมกลิ่นไม่ได้จำกัดอยู่เพียงแค่ techpanda.org เท่านั้น แต่ยังดมแพ็กเก็ตข้อมูล HTTP และโปรโตคอลอื่น ๆ ทั้งหมดอีกด้วย

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

ภาพประกอบด้านล่างแสดงขั้นตอนที่คุณจะปฏิบัติเพื่อทำแบบฝึกหัดนี้ให้เสร็จสิ้นโดยไม่สับสน

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

ดาวน์โหลด Wireshark จากลิงก์นี้ http://www.wireshark.org/download.html

  • จุดเปิด Wireshark
  • คุณจะได้รับหน้าจอต่อไปนี้

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • เลือกอินเทอร์เฟซเครือข่ายที่คุณต้องการดมกลิ่น หมายเหตุสำหรับการสาธิตนี้ เรากำลังใช้การเชื่อมต่อเครือข่ายไร้สาย หากคุณอยู่บนเครือข่ายท้องถิ่น คุณควรเลือกอินเทอร์เฟซเครือข่ายท้องถิ่น
  • คลิกที่ปุ่มเริ่มต้นตามที่แสดงด้านบน

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • เปิดเว็บเบราว์เซอร์ของคุณและพิมพ์ http://www.techpanda.org/

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • อีเมลสำหรับเข้าสู่ระบบคือ admin@google.com และรหัสผ่านคือ Password2010
  • คลิกที่ปุ่มส่ง
  • การเข้าสู่ระบบที่ประสบความสำเร็จควรให้แดชบอร์ดต่อไปนี้แก่คุณ

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • กลับไปที่ Wireshark และหยุดการจับภาพสด

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • กรองผลลัพธ์โปรโตคอล HTTP โดยใช้กล่องข้อความตัวกรองเท่านั้น

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • ค้นหาคอลัมน์ข้อมูลและค้นหารายการที่มีกริยา HTTP POST แล้วคลิกที่คอลัมน์นั้น

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • ใต้รายการบันทึกจะมีแผงพร้อมข้อมูลสรุปข้อมูลที่บันทึกไว้ ค้นหาข้อมูลสรุปที่ระบุว่าข้อมูลข้อความแบบบรรทัด: application/x-www-form-urlencoded

การดมกลิ่นเครือข่ายโดยใช้ Wireshark

  • คุณควรจะสามารถดูค่าข้อความธรรมดาของตัวแปร POST ทั้งหมดที่ส่งไปยังเซิร์ฟเวอร์ผ่านโปรโตคอล HTTP

น้ำท่วม MAC คืออะไร?

การฟลัด MAC เป็นเทคนิคการดมกลิ่นเครือข่ายที่ทำให้ตาราง MAC ของสวิตช์ท่วมด้วยที่อยู่ MAC ปลอม- สิ่งนี้นำไปสู่การโอเวอร์โหลดหน่วยความจำสวิตช์และทำให้ทำหน้าที่เป็นฮับ เมื่อสวิตช์ถูกโจมตี สวิตช์จะส่งข้อความออกอากาศไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่าย ทำให้สามารถดมแพ็กเก็ตข้อมูลในขณะที่ส่งบนเครือข่ายได้

มาตรการรับมือน้ำท่วม MAC

  • สวิตช์บางตัวมีคุณสมบัติความปลอดภัยของพอร์ต- คุณสมบัตินี้สามารถใช้เพื่อจำกัดจำนวน ที่อยู่ MAC บนพอร์ต นอกจากนี้ยังสามารถใช้เพื่อรักษาตารางที่อยู่ MAC ที่ปลอดภัย นอกเหนือจากตารางที่ให้มาโดยสวิตช์
  • เซิร์ฟเวอร์การรับรองความถูกต้อง การอนุญาต และการบัญชี สามารถใช้เพื่อกรองที่อยู่ MAC ที่ค้นพบ

มาตรการตอบโต้การดมกลิ่น

  • ข้อจำกัดสำหรับสื่อฟิสิคัลของเครือข่าย ลดโอกาสการติดตั้งดมกลิ่นเครือข่ายได้อย่างมาก
  • การเข้ารหัสข้อความ เนื่องจากมีการส่งผ่านเครือข่ายลดมูลค่าลงอย่างมากเนื่องจากยากต่อการถอดรหัส
  • การเปลี่ยนเครือข่ายเป็น Secure Shell (SSH)เครือข่าย ยังช่วยลดโอกาสที่เครือข่ายจะถูกดักฟังด้วย

สรุป

  • การดมกลิ่นเครือข่ายกำลังดักจับแพ็คเกจในขณะที่ถูกส่งผ่านเครือข่าย
  • การดมกลิ่นแบบพาสซีฟเสร็จสิ้นบนเครือข่ายที่ใช้ฮับ เป็นการยากที่จะตรวจจับ
  • การดมกลิ่นแบบแอคทีฟเสร็จสิ้นบนเครือข่ายที่ใช้สวิตช์ มันง่ายที่จะตรวจจับ
  • การท่วม MAC ทำงานโดยท่วมรายการที่อยู่ของตาราง MAC ด้วยที่อยู่ MAC ปลอม ซึ่งจะทำให้สวิตช์ทำงานเหมือนฮับ
  • มาตรการรักษาความปลอดภัยตามที่ระบุไว้ข้างต้นสามารถช่วยปกป้องเครือข่ายจากการดักฟังได้