Tutorial Wireshark: Rețea & Parolele Sniffer

Cuprins:

Anonim

Calculatoarele comunică folosind rețele. Aceste rețele ar putea fi pe o rețea locală LAN sau expuse la internet. Sniffers de rețea sunt programe care captează date de pachet de nivel scăzut care sunt transmise printr-o rețea. Un atacator poate analiza aceste informații pentru a descoperi informații valoroase, cum ar fi identificatorii de utilizator și parolele.

În acest articol, vă vom prezenta tehnicile și instrumentele obișnuite de detectare a rețelei folosite pentru detectarea rețelelor. Vom analiza, de asemenea, contramăsurile pe care le puteți pune în aplicare pentru a proteja informațiile sensibile transmise printr-o rețea.

Subiecte tratate în acest tutorial

  • Ce este sniffing-ul în rețea?
  • Adulmecare activă și pasivă
  • Activitate de piratare: rețea Sniff
  • Ce este inundarea Controlului accesului media (MAC)

Ce este sniffing-ul în rețea?

Calculatoarele comunică prin difuzarea mesajelor pe o rețea folosind adrese IP. Odată ce un mesaj a fost trimis într-o rețea, computerul destinatar cu adresa IP potrivită răspunde cu adresa MAC.

Adulmecarea în rețea este procesul de interceptare a pachetelor de date trimise printr-o rețea. Acest lucru poate fi realizat de programul software specializat sau de echipamentele hardware. Adulmecarea poate fi obișnuită;

  • Capturați date sensibile, cum ar fi datele de conectare
  • Ascultați mesajele de chat
  • Fișierele de captură au fost transmise printr-o rețea

Următoarele sunt protocoale vulnerabile la sniffing

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Protocoalele de mai sus sunt vulnerabile dacă detaliile de autentificare sunt trimise în text simplu

Sniffing pasiv și activ

Înainte de a ne uita la adulmecarea pasivă și activă, să ne uităm la două dispozitive majore utilizate pentru conectarea în rețea a computerelor; hub-uri și comutatoare.

Un hub funcționează prin trimiterea de mesaje difuzate către toate porturile de ieșire de pe acesta, cu excepția celui care a trimis difuzarea . Computerul destinatar răspunde la mesajul difuzat dacă adresa IP se potrivește. Aceasta înseamnă că atunci când utilizați un hub, toate computerele dintr-o rețea pot vedea mesajul difuzat. Funcționează la nivelul fizic (stratul 1) al modelului OSI.

Diagrama de mai jos ilustrează modul în care funcționează hub-ul.

Un comutator funcționează diferit; mapează adresele IP / MAC la porturile fizice de pe acesta . Mesajele difuzate sunt trimise către porturile fizice care corespund configurațiilor de adresă IP / MAC pentru computerul destinatar. Aceasta înseamnă că mesajele difuzate sunt văzute doar de computerul destinatar. Comutatoarele funcționează la stratul de legătură de date (stratul 2) și stratul de rețea (stratul 3).

Diagrama de mai jos ilustrează modul în care funcționează comutatorul.

Mirosul pasiv este interceptarea pachetelor transmise printr-o rețea care utilizează un hub . Se numește sniffing pasiv, deoarece este dificil de detectat. De asemenea, este ușor de realizat, deoarece hub-ul trimite mesaje difuzate către toate computerele din rețea.

Adulmecarea activă este interceptarea pachetelor transmise printr-o rețea care utilizează un comutator . Există două metode principale utilizate pentru a schimba rețelele conectate, otrăvirea ARP și inundațiile MAC.

Activitate de piratare: Sniff trafic de rețea

În acest scenariu practic, vom folosi Wireshark pentru a smulge pachetele de date pe măsură ce acestea sunt transmise prin protocol HTTP . Pentru acest exemplu, vom detecta rețeaua folosind Wireshark, apoi ne vom conecta la o aplicație web care nu utilizează comunicații sigure. Ne vom autentifica la o aplicație web pe http://www.techpanda.org/

Adresa de conectare este Această adresă de e-mail este protejată de spamboți. Aveți nevoie de JavaScript activat pentru ao vizualiza. , iar parola este Password2010 .

Notă: ne vom conecta la aplicația web numai în scop demonstrativ. Tehnica poate, de asemenea, să adulmece pachete de date de pe alte computere care se află în aceeași rețea cu cea pe care o utilizați pentru a adulmeca. Adulmecarea nu este limitată doar la techpanda.org, ci și adulmecă toate pachetele de date HTTP și alte protocoale.

Adulmecând rețeaua folosind Wireshark

Ilustrația de mai jos vă arată pașii pe care îi veți realiza pentru a finaliza acest exercițiu fără confuzie

Descărcați Wireshark de pe acest link http://www.wireshark.org/download.html

  • Deschideți Wireshark
  • Veți obține următorul ecran
  • Selectați interfața de rețea pe care doriți să o adulmecați. Notă pentru această demonstrație, folosim o conexiune de rețea fără fir. Dacă vă aflați într-o rețea locală, ar trebui să selectați interfața rețelei locale.
  • Faceți clic pe butonul Start așa cum se arată mai sus
  • Deschideți browserul web și tastați http://www.techpanda.org/
  • Adresa de e-mail de conectare este Această adresă de e-mail este protejată de spamboți. Aveți nevoie de JavaScript activat pentru ao vizualiza. iar parola este Password2010
  • Faceți clic pe butonul de trimitere
  • O conectare reușită ar trebui să vă ofere următorul tablou de bord
  • Reveniți la Wireshark și opriți captura live
  • Filtru pentru rezultatele protocolului HTTP numai folosind caseta text filtru
  • Localizați coloana Informații și căutați intrări cu verbul HTTP POST și faceți clic pe ea
  • Chiar sub intrările jurnalului, există un panou cu un rezumat al datelor capturate. Căutați rezumatul care spune date text bazate pe linie: application / x-www-form-urlencoded
  • Ar trebui să puteți vizualiza valorile textului simplu al tuturor variabilelor POST trimise serverului prin protocol HTTP.

Ce este o inundație MAC?

Inundarea MAC este o tehnică de detectare a rețelei care inundă masa MAC a comutatorului cu adrese MAC false . Acest lucru duce la supraîncărcarea memoriei comutatorului și îl face să acționeze ca un hub. Odată ce comutatorul a fost compromis, acesta trimite mesajele difuzate către toate computerele din rețea. Acest lucru face posibilă adulmecarea pachetelor de date pe măsură ce au fost trimise în rețea.

Măsuri de combatere a inundațiilor MAC

  • Unele comutatoare au caracteristica de securitate a portului . Această caracteristică poate fi utilizată pentru a limita numărul de adrese MAC de pe porturi. Poate fi, de asemenea, utilizat pentru a menține un tabel de adrese MAC sigur pe lângă cel furnizat de switch.
  • Serverele de autentificare, autorizare și contabilitate pot fi utilizate pentru a filtra adresele MAC descoperite.

Adulmecarea măsurilor de contracarare

  • Restricționarea mediilor fizice de rețea reduce foarte mult șansele instalării unui sniffer de rețea
  • Criptarea mesajelor pe măsură ce sunt transmise prin rețea își reduce considerabil valoarea, deoarece sunt greu de decriptat.
  • Schimbarea rețelei la un Secure Shell (SSH) de rețea , de asemenea , reduce șansele de a rețelei a fost mirosit.

rezumat

  • Adulmecarea rețelei este interceptarea pachetelor pe măsură ce acestea sunt transmise prin rețea
  • Adulmecarea pasivă se face pe o rețea care utilizează un hub. Este dificil de detectat.
  • Adulmecarea activă se face într-o rețea care utilizează un comutator. Este ușor de detectat.
  • Inundarea MAC funcționează prin inundarea listei de adrese a tabelului MAC cu adrese MAC false. Acest lucru face ca comutatorul să funcționeze ca un HUB
  • Măsurile de securitate descrise mai sus pot ajuta la protejarea rețelei împotriva mirosului.