Wireshark Підручник: аналізатор мережі та паролів
⚡ Розумний підсумок
Wireshark Посібники зі сніферів паролів показують, як зловмисники перехоплюють облікові дані, що передаються мережею, і як захисники зупиняють їх. Цей посібник детально описує Wireshark захоплення, аналіз HTTP-тексту, перевантаження MAC-адресами та елементи керування шифруванням, що нейтралізують сніфінг.

Комп'ютери взаємодіють за допомогою мереж. Ці мережі можуть бути в локальній мережі (LAN) або підключені до Інтернету. Мережеві сніфери – це програми, які захоплюють низькорівневі пакетні дані. transmitпередано через мережу. Зловмисник може проаналізувати цю інформацію, щоб виявити цінні деталі, такі як ідентифікатори користувачів та паролі.
У цій статті ви дізнаєтеся про поширені методи мережевого сніфінгу, інструменти, які використовують зловмисники та етичні хакери для сніфінгу мереж, а також про контрзаходи, що захищають конфіденційну інформацію в мережі. Wireshark Наведена нижче інструкція надається лише для освітніх цілей та для авторизованого тестування.
Що таке Network Sniffing?
Комп’ютери спілкуються за допомогою широкомовної передачі повідомлень у мережі за допомогою IP-адрес. Після того, як повідомлення було надіслано в мережі, комп’ютер одержувача з відповідною IP-адресою відповідає своєю MAC-адресою.
Мережевий аналіз — це процес перехоплення пакетів даних, надісланих через мережу. Це можна виконати за допомогою спеціалізованого програмного забезпечення, апаратного відстеження або налаштованого дзеркала портів. Сніфінг можна використовувати для:
- Зберіть конфіденційні дані, наприклад облікові дані для входу
- Прослуховування повідомлень чату
- Захоплення файлів, які були transmitпередано через мережу
Наступні протоколи вразливі до сніфінгу, коли дані для входу передаються у вигляді звичайного тексту:
Сучасні еквіваленти (HTTPS, SMTPS, IMAPS, SFTP, SSH) шифрують корисне навантаження, тому сніффер бачить зашифрований текст, а не облікові дані.
Пасивне та активне нюхання
Перш ніж ми розглянемо пасивне та активне сніффінг, давайте розглянемо два пристрої, які зазвичай використовуються для мережевого підключення комп'ютерів: концентратори та комутатори.
Хаб працює, надсилаючи широкомовні повідомлення на кожен вихідний порт, крім того, з якого було надіслано широкомовне повідомлення. Комп'ютер-одержувач відповідає на широкомовне розсилання, якщо IP-адреса збігається. Таким чином, кожна машина в сегменті на основі концентратора може бачити кожен кадр. Концентратор працює на фізичному рівні (рівень 1) Модель OSI.
На схемі нижче показано, як працює концентратор.
Комутатор працює по-іншому; він зіставляє IP- та MAC-адреси з фізичними портами. Кадри пересилаються лише на порт, який відповідає MAC-адресі одержувача, тому інші хости в локальній мережі не бачать трафік. Комутатори працюють на канальному рівні (рівень 2) і, з функціями маршрутизації, на мережевому рівні (рівень 3).
На схемі нижче показано, як працює перемикач.
Пасивне сніфінгування — це перехоплення пакетів transmitпередано через мережу, яка використовує концентратор. Це називається пасивним, оскільки зловмисник не вводить трафік, що ускладнює його виявлення. Це також легко виконати, оскільки хаб надсилає широкомовні повідомлення кожному хосту в мережі.
Активне перехоплення (сніфінг) — це перехоплення пакетів. transmitпередано через мережу, яка використовує комутатор. Для перехоплення комутованих мереж використовуються два основні методи: Отруєння ARP та переповнення MAC-адресами.
Хакерська діяльність: перехоплення мережевого трафіку
У цьому практичному сценарії ми збираємося використання Wireshark перехоплювати пакети даних transmitчерез протокол HTTPМи будемо фіксувати трафік на локальному інтерфейсі, а потім увійдемо до зразка веб-застосунку, який не використовує безпечний зв'язок, Guru99 навчальний майданчик за адресою http://www.techpanda.org/.
Адреса для входу admin@google.com і пароль такий Пароль2010.
Примітка: Ми увійдемо до веб-додатку лише для демонстрації та в мережі, яка нам належить. Цей самий метод також може виявити пакети даних від інших хостів у тій самій мережі, що й сніффер, тому ви повинні отримати письмовий дозвіл перед запуском. Wireshark у будь-якій мережі, яку ви не контролюєте. Перехоплення не обмежується techpanda.org; Wireshark захоплює HTTP та інші протокольні трафіки, що проходять повз інтерфейс.
ManageEngine Firewall Analyzer — це надійне рішення для керування політиками та аудиту, розроблене для підвищення безпеки та прозорості мережі. Воно забезпечує видимість трафіку брандмауера в режимі реального часу,ping адміністратори виявляють лазівки в безпеці, оптимізують набори правил та контролюють використання пропускної здатності.
Перегляд мережі за допомогою Wireshark
На ілюстрації нижче показано кроки, які вам потрібно виконати, щоб виконати цю вправу без плутанини.
Завантажити Wireshark від wireshark.org/download.htmlПоточна стабільна гілка — Wireshark 4.x, яка працює на Windows, macOSта Linux.
- відкритий Wireshark
- Ви побачите наступний екран привітання
- Виберіть мережевий інтерфейс, який потрібно перехопити. У цьому покроковому посібнику використовується бездротове з’єднання; у дротовій локальній мережі виберіть замість нього адаптер Ethernet.
- Натисніть кнопку «Пуск» (акулячий плавець), показану вище.
- Відкрийте свій веб-браузер і перейдіть http://www.techpanda.org/.
- Електронна адреса для входу admin@google.com і пароль такий Пароль2010.
- Натисніть кнопку "Надіслати".
- Після успішного входу в систему має відобразитися наступна панель інструментів.
- Поверніться до Wireshark і зупинити пряму трансляцію.
- Фільтрувати HTTP-трафік лише за typing HTTP у панель фільтрів відображення.
- Знайдіть стовпець «Інформація» та знайдіть запис із HTTP-дієсловом POST, а потім натисніть на нього.
- Під записами журналу знаходиться панель зі зведеним описом зібраних даних. Шукайте рядок Текстові дані на основі рядків: application/x-www-form-urlencoded.
- Тепер ви зможете зчитувати значення у відкритому тексті кожної змінної POST, що надсилається на сервер через HTTP, включаючи поля електронної пошти та пароля.
Що таке MAC-флуд?
MAC-флуд – це метод мережевого перехоплення, який заповнює таблицю CAM (MAC-адрес) комутатора фальшивими MAC-адресами. Після заповнення таблиці комутатор більше не може визначати легітимні пункти призначення та починає пересилати кадри на кожен порт, діючи як хаб. Зловмисник може перехоплювати пакети даних під час їх перетину мережею.
Заходи проти затоплення MAC
- Безпека порту комутатора. Обмежте кількість MAC адреси дозволено для кожного порту, закріпити першу виявлену MAC-адресу та заблокувати або вимикати порт, якщо ліміт перевищено.
- Сервери автентифікації, авторизації та обліку (AAA) може використовуватися з 802.1X для фільтрації виявлених MAC-адрес та прийняття лише автентифікованих пристроїв.
- Динамічна перевірка ARP та відстеження DHCPping пом'якшити пов'язану з цим атаку отруєння ARP, яка часто поєднується з перевантаженням MAC-адрес.
Винюхування контрзаходів
- Обмежте доступ до фізичних носіїв. Заблоковані патч-панелі, настінні розетки з відключеними портами та сегментовані віртуальні локальні мережі (VLAN) зменшують ймовірність встановлення сніфера.
- Шифруйте трафік під час передачі. Протоколи HTTPS (TLS 1.3), SSH, IPsec та сучасні VPN роблять захоплені пакети нечитабельними для зловмисника.
- Замініть незахищені протоколи. Перехід з Telnet до SSH, з FTP на SFTP або FTPS, а також з HTTP на HTTPS на всьому сайті.
- Посилити Wi-Fi. Використовуйте WPA3 або WPA2-AES із надійною парольною фразою, щоб запобігти перехопленню бездротових мереж в ефірі.
- Монітор за допомогою системи виявлення вторгнень (IDS). Такі інструменти, як Suricata, Zeek та Snort піднімати сповіщення про отруєння ARP, переповнення таблиці MAC або появу несумісних інтерфейсів.
Як ШІ посилює захист від мережевого сніфінгу
Сучасні платформи виявлення вторгнень та SIEM тепер поєднують машинне навчання з захопленням пакетів, щоб виявляти активність, пов'язану зі сніфінгом, швидше, ніж це можуть робити лише набори правил. Штучний інтелект моделює базову поведінку таблиці ARP, DHCP та MAC-адрес, а потім позначає відхилення, такі як незвичайний обсяг широкомовної розсилки, дублікати карт IP-MAC.pingабо раптовий відтік CAM-таблиці, що вказує на отруєння ARP або перевантаження MAC-адрес.
Великі мовні моделі також допомагають аналітикам проводити сортування Wireshark і журнали Zeek, підсумовуючи підозрілі потоки простою мовою, пропонуючи фільтри та порівнюючи спостережувані IOC з каналами розвідки про загрози. Захисникам все одно слід перевіряти результати ШІ на основі необроблених даних, але приріст швидкості в завантаженій мережі є значним.
Резюме
- Мережевий сніфінг перехоплює пакети під час їхнього передавання мережею та може розкривати облікові дані у відкритому тексті.
- Пасивне сніффінг працює в мережах на базі хабів і його важко виявити; активне сніффінг спрямоване на комутатори і його легше виявити.
- Wireshark 4.x — це стандартний аналізатор з відкритим кодом, який використовується в цьому посібнику для зчитування даних HTTP POST.
- Перевантаження MAC-адрес перевантажує таблицю CAM комутатора, тому комутатор поводиться як концентратор.
- Шифрування (HTTPS, SSH, VPN), безпека портів комутатора, WPA3 Wi-Fi та моніторинг за допомогою штучного інтелекту разом нейтралізують більшість атак сніфінгу.











