Wireshark Підручник: аналізатор мережі та паролів

⚡ Розумний підсумок

Wireshark Посібники зі сніферів паролів показують, як зловмисники перехоплюють облікові дані, що передаються мережею, і як захисники зупиняють їх. Цей посібник детально описує Wireshark захоплення, аналіз HTTP-тексту, перевантаження MAC-адресами та елементи керування шифруванням, що нейтралізують сніфінг.

  • 🔎 Що таке нюхання: Сніфери зчитують низькорівневі пакетні дані в локальній мережі або Інтернеті, щоб зібрати логіни, файли та трафік чату.
  • 🧭 Пасивний проти активного: Хаби дозволяють безшумне пасивне захоплення; комутовані мережі потребують активних методів, таких як отруєння ARP або перевантаження MAC-адрес.
  • ???? Wireshark прохід: Встановлювати Wireshark 4.x, виберіть інтерфейс реального часу, захопіть, а потім відфільтруйте HTTP POST для зчитування даних форми у вигляді простого тексту.
  • 🛡️ Захист: Використовуйте HTTPS, SSH, VPN, надійне шифрування Wi-Fi та захист портів комутатора, щоб зламати цінність сніфера.
  • 🤖 Кут штучного інтелекту: Сучасні платформи IDS та SIEM застосовують машинне навчання для перехоплення прапорців, отруєння ARP та переповнення таблиці MAC за лічені секунди.

Wireshark огляд сніфера паролів

Комп'ютери взаємодіють за допомогою мереж. Ці мережі можуть бути в локальній мережі (LAN) або підключені до Інтернету. Мережеві сніфери – це програми, які захоплюють низькорівневі пакетні дані. transmitпередано через мережу. Зловмисник може проаналізувати цю інформацію, щоб виявити цінні деталі, такі як ідентифікатори користувачів та паролі.

У цій статті ви дізнаєтеся про поширені методи мережевого сніфінгу, інструменти, які використовують зловмисники та етичні хакери для сніфінгу мереж, а також про контрзаходи, що захищають конфіденційну інформацію в мережі. Wireshark Наведена нижче інструкція надається лише для освітніх цілей та для авторизованого тестування.

Що таке Network Sniffing?

Комп’ютери спілкуються за допомогою широкомовної передачі повідомлень у мережі за допомогою IP-адрес. Після того, як повідомлення було надіслано в мережі, комп’ютер одержувача з відповідною IP-адресою відповідає своєю MAC-адресою.

Мережевий аналіз — це процес перехоплення пакетів даних, надісланих через мережу. Це можна виконати за допомогою спеціалізованого програмного забезпечення, апаратного відстеження або налаштованого дзеркала портів. Сніфінг можна використовувати для:

  • Зберіть конфіденційні дані, наприклад облікові дані для входу
  • Прослуховування повідомлень чату
  • Захоплення файлів, які були transmitпередано через мережу

Наступні протоколи вразливі до сніфінгу, коли дані для входу передаються у вигляді звичайного тексту:

  • Telnet
  • увійти
  • HTTP
  • SMTP
  • NNTP
  • POP
  • Ftp
  • IMAP

Сучасні еквіваленти (HTTPS, SMTPS, IMAPS, SFTP, SSH) шифрують корисне навантаження, тому сніффер бачить зашифрований текст, а не облікові дані.

Пасивне та активне нюхання

Перш ніж ми розглянемо пасивне та активне сніффінг, давайте розглянемо два пристрої, які зазвичай використовуються для мережевого підключення комп'ютерів: концентратори та комутатори.

Хаб працює, надсилаючи широкомовні повідомлення на кожен вихідний порт, крім того, з якого було надіслано широкомовне повідомлення. Комп'ютер-одержувач відповідає на широкомовне розсилання, якщо IP-адреса збігається. Таким чином, кожна машина в сегменті на основі концентратора може бачити кожен кадр. Концентратор працює на фізичному рівні (рівень 1) Модель OSI.

На схемі нижче показано, як працює концентратор.

Пасивне та активне нюхання

Комутатор працює по-іншому; він зіставляє IP- та MAC-адреси з фізичними портами. Кадри пересилаються лише на порт, який відповідає MAC-адресі одержувача, тому інші хости в локальній мережі не бачать трафік. Комутатори працюють на канальному рівні (рівень 2) і, з функціями маршрутизації, на мережевому рівні (рівень 3).

На схемі нижче показано, як працює перемикач.

Пасивне та активне нюхання

Пасивне сніфінгування — це перехоплення пакетів transmitпередано через мережу, яка використовує концентратор. Це називається пасивним, оскільки зловмисник не вводить трафік, що ускладнює його виявлення. Це також легко виконати, оскільки хаб надсилає широкомовні повідомлення кожному хосту в мережі.

Активне перехоплення (сніфінг) — це перехоплення пакетів. transmitпередано через мережу, яка використовує комутатор. Для перехоплення комутованих мереж використовуються два основні методи: Отруєння ARP та переповнення MAC-адресами.

Хакерська діяльність: перехоплення мережевого трафіку

У цьому практичному сценарії ми збираємося використання Wireshark перехоплювати пакети даних transmitчерез протокол HTTPМи будемо фіксувати трафік на локальному інтерфейсі, а потім увійдемо до зразка веб-застосунку, який не використовує безпечний зв'язок, Guru99 навчальний майданчик за адресою http://www.techpanda.org/.

Адреса для входу admin@google.com і пароль такий Пароль2010.

Примітка: Ми увійдемо до веб-додатку лише для демонстрації та в мережі, яка нам належить. Цей самий метод також може виявити пакети даних від інших хостів у тій самій мережі, що й сніффер, тому ви повинні отримати письмовий дозвіл перед запуском. Wireshark у будь-якій мережі, яку ви не контролюєте. Перехоплення не обмежується techpanda.org; Wireshark захоплює HTTP та інші протокольні трафіки, що проходять повз інтерфейс.

Топ вибору
ManageEngine Firewall Analyzer

ManageEngine Firewall Analyzer — це надійне рішення для керування політиками та аудиту, розроблене для підвищення безпеки та прозорості мережі. Воно забезпечує видимість трафіку брандмауера в режимі реального часу,ping адміністратори виявляють лазівки в безпеці, оптимізують набори правил та контролюють використання пропускної здатності.

Visit ManageEngine

Перегляд мережі за допомогою Wireshark

На ілюстрації нижче показано кроки, які вам потрібно виконати, щоб виконати цю вправу без плутанини.

Перегляд мережі за допомогою Wireshark

Завантажити Wireshark від wireshark.org/download.htmlПоточна стабільна гілка — Wireshark 4.x, яка працює на Windows, macOSта Linux.

  • відкритий Wireshark
  • Ви побачите наступний екран привітання

Перегляд мережі за допомогою Wireshark

  • Виберіть мережевий інтерфейс, який потрібно перехопити. У цьому покроковому посібнику використовується бездротове з’єднання; у дротовій локальній мережі виберіть замість нього адаптер Ethernet.
  • Натисніть кнопку «Пуск» (акулячий плавець), показану вище.

Перегляд мережі за допомогою Wireshark

Перегляд мережі за допомогою Wireshark

  • Електронна адреса для входу admin@google.com і пароль такий Пароль2010.
  • Натисніть кнопку "Надіслати".
  • Після успішного входу в систему має відобразитися наступна панель інструментів.

Перегляд мережі за допомогою Wireshark

  • Поверніться до Wireshark і зупинити пряму трансляцію.

Перегляд мережі за допомогою Wireshark

  • Фільтрувати HTTP-трафік лише за typing HTTP у панель фільтрів відображення.

Перегляд мережі за допомогою Wireshark

  • Знайдіть стовпець «Інформація» та знайдіть запис із HTTP-дієсловом POST, а потім натисніть на нього.

Перегляд мережі за допомогою Wireshark

  • Під записами журналу знаходиться панель зі зведеним описом зібраних даних. Шукайте рядок Текстові дані на основі рядків: application/x-www-form-urlencoded.

Перегляд мережі за допомогою Wireshark

  • Тепер ви зможете зчитувати значення у відкритому тексті кожної змінної POST, що надсилається на сервер через HTTP, включаючи поля електронної пошти та пароля.

Що таке MAC-флуд?

MAC-флуд – це метод мережевого перехоплення, який заповнює таблицю CAM (MAC-адрес) комутатора фальшивими MAC-адресами. Після заповнення таблиці комутатор більше не може визначати легітимні пункти призначення та починає пересилати кадри на кожен порт, діючи як хаб. Зловмисник може перехоплювати пакети даних під час їх перетину мережею.

Заходи проти затоплення MAC

  • Безпека порту комутатора. Обмежте кількість MAC адреси дозволено для кожного порту, закріпити першу виявлену MAC-адресу та заблокувати або вимикати порт, якщо ліміт перевищено.
  • Сервери автентифікації, авторизації та обліку (AAA) може використовуватися з 802.1X для фільтрації виявлених MAC-адрес та прийняття лише автентифікованих пристроїв.
  • Динамічна перевірка ARP та відстеження DHCPping пом'якшити пов'язану з цим атаку отруєння ARP, яка часто поєднується з перевантаженням MAC-адрес.

Винюхування контрзаходів

  • Обмежте доступ до фізичних носіїв. Заблоковані патч-панелі, настінні розетки з відключеними портами та сегментовані віртуальні локальні мережі (VLAN) зменшують ймовірність встановлення сніфера.
  • Шифруйте трафік під час передачі. Протоколи HTTPS (TLS 1.3), SSH, IPsec та сучасні VPN роблять захоплені пакети нечитабельними для зловмисника.
  • Замініть незахищені протоколи. Перехід з Telnet до SSH, з FTP на SFTP або FTPS, а також з HTTP на HTTPS на всьому сайті.
  • Посилити Wi-Fi. Використовуйте WPA3 або WPA2-AES із надійною парольною фразою, щоб запобігти перехопленню бездротових мереж в ефірі.
  • Монітор за допомогою системи виявлення вторгнень (IDS). Такі інструменти, як Suricata, Zeek та Snort піднімати сповіщення про отруєння ARP, переповнення таблиці MAC або появу несумісних інтерфейсів.

Як ШІ посилює захист від мережевого сніфінгу

Сучасні платформи виявлення вторгнень та SIEM тепер поєднують машинне навчання з захопленням пакетів, щоб виявляти активність, пов'язану зі сніфінгом, швидше, ніж це можуть робити лише набори правил. Штучний інтелект моделює базову поведінку таблиці ARP, DHCP та MAC-адрес, а потім позначає відхилення, такі як незвичайний обсяг широкомовної розсилки, дублікати карт IP-MAC.pingабо раптовий відтік CAM-таблиці, що вказує на отруєння ARP або перевантаження MAC-адрес.

Великі мовні моделі також допомагають аналітикам проводити сортування Wireshark і журнали Zeek, підсумовуючи підозрілі потоки простою мовою, пропонуючи фільтри та порівнюючи спостережувані IOC з каналами розвідки про загрози. Захисникам все одно слід перевіряти результати ШІ на основі необроблених даних, але приріст швидкості в завантаженій мережі є значним.

Резюме

  • Мережевий сніфінг перехоплює пакети під час їхнього передавання мережею та може розкривати облікові дані у відкритому тексті.
  • Пасивне сніффінг працює в мережах на базі хабів і його важко виявити; активне сніффінг спрямоване на комутатори і його легше виявити.
  • Wireshark 4.x — це стандартний аналізатор з відкритим кодом, який використовується в цьому посібнику для зчитування даних HTTP POST.
  • Перевантаження MAC-адрес перевантажує таблицю CAM комутатора, тому комутатор поводиться як концентратор.
  • Шифрування (HTTPS, SSH, VPN), безпека портів комутатора, WPA3 Wi-Fi та моніторинг за допомогою штучного інтелекту разом нейтралізують більшість атак сніфінгу.

Поширені запитання

Тільки в мережах, якими ви володієте або маєте письмовий дозвіл на тестування. Перехоплення чужого трафіку порушує закони про прослуховування та зловживання комп’ютером у більшості країн, тому завжди працюйте в лабораторії або з підписаним дозволом власника мережі.

Не за замовчуванням. HTTPS шифрує корисне навантаження за допомогою TLS, тому Wireshark показує зашифрований текст. Розшифрування можливе лише за умови контролю закритого ключа сервера або імпорту ключів сеансу SSLKEYLOGFILE з браузера клієнта.

Скористайтеся кнопкою http.request.method == “POST” ізолювати надсилання форм або поєднувати їх із http містить «пароль» виявляти ймовірний трафік облікових даних на сайтах із відкритим текстом під час авторизованого тестування.

Штучний інтелект моделює базову нормальну поведінку ARP, DHCP та комутатора, а потім позначає аномалії, такі як дублікати MAC-адрес.pings, раптове переповнення таблиці CAM або незв'язні інтерфейси, виявляючи отруєння ARP та переповнення MAC-адрес набагато швидше, ніж правила, що базуються лише на підписах.

Так. Великі мовні моделі можуть підсумовувати експорт pcap, пропонувати фільтри відображення та пояснювати незвичайні протоколи, але вам все одно слід перевірити результати на основі необроблених даних, перш ніж приймати будь-які рішення щодо реагування на інциденти.

Для захоплення Wi-Fi потрібен режим моніторингу та підтримуваний адаптер для зчитування кадрів у повітрі, тоді як перехоплення Ethernet спирається на дзеркало порту, мережевий перехоплювач або активну атаку, таку як отруєння ARP, для перегляду трафіку іншого хоста.

Наскрізне шифрування. Застосовуйте HTTPS на всьому сайті, надавайте перевагу SSH над Telnet, вимагайте WPA3 у Wi-Fi та маршрутизуйте віддалені сеанси через сучасну VPN, щоб будь-який захоплений пакет містив зашифрований текст, а не корисні облікові дані.

Підсумуйте цей пост за допомогою: