Wireshark Підручник: аналізатор мережі та паролів

Комп’ютери спілкуються за допомогою мереж. Ці мережі можуть бути в локальній мережі LAN або підключені до Інтернету. Мережні сніфери – це програми, які збирають низькорівневі дані пакетів, які передаються через мережу. Зловмисник може проаналізувати цю інформацію, щоб виявити цінну інформацію, таку як ідентифікатори користувачів і паролі.

У цій статті ми познайомимо вас із поширеними методами та інструментами аналізу мережі, які використовуються для аналізу мереж. Ми також розглянемо контрзаходи, які можна застосувати для захисту конфіденційної інформації, що передається через мережу.

Що таке Network Sniffing?

Комп’ютери спілкуються за допомогою широкомовної передачі повідомлень у мережі за допомогою IP-адрес. Після того, як повідомлення було надіслано в мережі, комп’ютер одержувача з відповідною IP-адресою відповідає своєю MAC-адресою.

Мережевий аналіз — це процес перехоплення пакетів даних, надісланих через мережу.Це можна зробити за допомогою спеціального програмного забезпечення або апаратного обладнання. Нюхання можна використовувати для;

  • Зберіть конфіденційні дані, наприклад облікові дані для входу
  • Прослуховування повідомлень чату
  • Файли захоплення передано через мережу

Нижче наведено протоколи, які вразливі до перехоплення

  • Telnet
  • увійти
  • HTTP
  • SMTP
  • NNTP
  • POP
  • Ftp
  • IMAP

Наведені вище протоколи є вразливими, якщо дані для входу надсилаються у вигляді звичайного тексту

Перегляд мережі

Пасивне та активне нюхання

Перш ніж ми подивимося на пасивне та активне перехоплення, давайте розглянемо два основні пристрої, які використовуються для об’єднання комп’ютерів у мережу; концентратори та комутатори.

Концентратор працює, надсилаючи широкомовні повідомлення на всі вихідні порти на ньому, крім того, який надіслав широкомовне повідомлення. Комп’ютер одержувача відповідає на широкомовне повідомлення, якщо IP-адреса збігається. Це означає, що під час використання концентратора всі комп’ютери в мережі можуть бачити широкомовне повідомлення. Він працює на фізичному рівні (рівні 1). Модель OSI.

На схемі нижче показано, як працює концентратор.

Пасивне та активне нюхання

Перемикач працює інакше; він відображає IP/MAC-адреси на фізичні порти на ньому. Широкомовні повідомлення надсилаються на фізичні порти, які відповідають конфігураціям IP/MAC-адрес комп’ютера одержувача. Це означає, що широкомовні повідомлення бачать лише комп’ютери одержувачів. Комутатори працюють на канальному рівні (рівень 2) і мережевому рівні (рівень 3).

На схемі нижче показано, як працює перемикач.

Пасивне та активне нюхання

Пасивний аналіз — це перехоплення пакетів, що передаються через мережу, яка використовує концентратор. Його називають пасивним нюханням, оскільки його важко виявити. Це також легко виконати, оскільки концентратор надсилає широкомовні повідомлення всім комп’ютерам у мережі.

Активне перехоплення – це перехоплення пакетів, що передаються через мережу, яка використовує комутатор. Існує два основні методи, які використовуються для нюхання зв’язаних мереж, Отруєння ARP, і затоплення MAC.

Хакерська діяльність: перехоплення мережевого трафіку

У цьому практичному сценарії ми збираємося використання Wireshark для нюхання пакетів даних під час їх передачі через протокол HTTP. Для цього прикладу ми проаналізуємо мережу за допомогою Wireshark, потім увійдіть у веб-програму, яка не використовує безпечний зв’язок. Ми будемо входити у веб-додаток на http://www.techpanda.org/

Адреса для входу admin@google.com, а пароль такий Пароль2010.

Примітка: ми входитимемо у веб-програму лише з метою демонстрації. Ця техніка також може нюхати пакети даних з інших комп’ютерів, які знаходяться в тій самій мережі, що й той, який ви використовуєте для нюхання. Сніфінг обмежується не лише techpanda.org, але й усі пакети даних HTTP та інших протоколів.

Перегляд мережі за допомогою Wireshark

На малюнку нижче показано кроки, які ви повинні виконати, щоб виконати цю вправу без плутанини

Перегляд мережі за допомогою Wireshark

Завантажити Wireshark з цієї посилання http://www.wireshark.org/download.html

  • відкритий Wireshark
  • Ви отримаєте наступний екран

Перегляд мережі за допомогою Wireshark

  • Виберіть мережевий інтерфейс, який потрібно пронюхати. Зауважте, що для цієї демонстрації ми використовуємо бездротове підключення до мережі. Якщо ви працюєте в локальній мережі, вам слід вибрати інтерфейс локальної мережі.
  • Натисніть кнопку «Пуск», як показано вище

Перегляд мережі за допомогою Wireshark

Перегляд мережі за допомогою Wireshark

  • Електронна адреса для входу admin@google.com і пароль такий Пароль2010
  • Клацніть на кнопку подати
  • Успішний вхід має надати вам наступну інформаційну панель

Перегляд мережі за допомогою Wireshark

  • Повернутися до Wireshark і зупинити зйомку в реальному часі

Перегляд мережі за допомогою Wireshark

  • Фільтрувати результати протоколу HTTP лише за допомогою текстового поля фільтра

Перегляд мережі за допомогою Wireshark

  • Знайдіть стовпець «Інформація» та знайдіть записи з дієсловом HTTP POST і натисніть на нього

Перегляд мережі за допомогою Wireshark

  • Відразу під записами журналу є панель зі зведенням отриманих даних. Шукайте підсумок із зазначенням текстових даних на основі рядків: application/x-www-form-urlencoded

Перегляд мережі за допомогою Wireshark

  • Ви повинні мати можливість переглядати текстові значення всіх змінних POST, надісланих на сервер через протокол HTTP.

Що таке MAC Flooding?

Затоплення MAC-адрес — це техніка мережевого аналізу, яка заповнює таблицю MAC-адрес комутатора підробленими MAC-адресами. Це призводить до перевантаження пам'яті комутатора і змушує його працювати як концентратор. Коли комутатор було зламано, він надсилає широкомовні повідомлення на всі комп’ютери в мережі. Це дає змогу нюхати пакети даних, коли вони надсилаються в мережі.

Заходи проти затоплення MAC

  • Деякі комутатори мають функцію захисту портів. Ця функція може бути використана для обмеження кількості MAC адреси на портах. Його також можна використовувати для підтримки безпечної таблиці MAC-адрес на додаток до тієї, що надається комутатором.
  • Сервери автентифікації, авторизації та обліку можна використовувати для фільтрації виявлених MAC-адрес.

Винюхування контрзаходів

  • Обмеження фізичних носіїв мережі значно знижує ймовірність встановлення мережевого сніфера
  • Шифрування повідомлень оскільки вони передаються через мережу, значно зменшується їхня цінність, оскільки їх важко розшифрувати.
  • Зміна мережі на Secure Shell (SSH)мережу також зменшує ймовірність того, що мережа була пронюхана.

Підсумки

  • Мережевий аналіз — це перехоплення пакетів під час їх передачі через мережу
  • Пасивний аналіз виконується в мережі, яка використовує концентратор. Його важко виявити.
  • Активний аналіз виконується в мережі, яка використовує комутатор. Його легко виявити.
  • Затоплення MAC-адрес працює шляхом заповнення списку адрес таблиці MAC-адрес фальшивими MAC-адресами. Це робить комутатор функціонуючим як HUB
  • Заходи безпеки, описані вище, можуть допомогти захистити мережу від перехоплення.