Wireshark (перехватчик сетевых пакетов). Основы сниффинга. Режим promiscuous, хабы и свитчи
Многие пользователи и не догадываются, что заполняя логин и пароль при регистрации или авторизации на закрытом Интернет-ресурсе и нажимая ENTER, эти данные легко могут перехватить. Очень часто они передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль.
Лучшее место для перехвата паролей - ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
Захват трафика начался.
Шаг 2. Фильтрация захваченного POST трафика
Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
Вводим в окне специальный фильтр для отображения захваченных пакетов: http. request. method == “ POST”
И видим вместо тысячи пакетов, всего один с искомыми нами данными.
Шаг 3. Находим логин и пароль пользователя
Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
HTTP/1.1 302 Found
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie: password=; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Location: loggedin.php
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
Таким образом, в нашем случае:
Имя пользователя: networkguru
Пароль:
Шаг 4. Определение типа кодирования для расшифровки пароля
Заходим, например, на сайт http://www.onlinehashcrack.com/hash-identification.php#res и вводим наш пароль в окно для идентификации. Мне выдан был список протоколов кодирования в порядке приоритета:
Шаг 5. Расшифровка пароля пользователя
На данном этапе можем воспользоваться утилитой hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
На выходе мы получили расшифрованным пароль: simplepassword
Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
- Протокол POP и фильтр выглядит следующим образом: pop.request.command == "USER" || pop.request.command == "PASS"
- Протокол IMAP и фильтр будет: imap.request contains "login"
- Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == "AUTH"
и более серьезные утилиты для расшифровки протокола кодирования.
Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?
Для ответа на этот вопрос есть несколько вариантов.
Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.
Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.
Уточнение. Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает - на то оно и шифрование, и личное пространство.
После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:
- Идем в меню Edit - Preferences - Protocols - SSL.
- Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
- «RSA keys list» и нажимаем Edit.
- Вводим данные во все поля и прописываем путь в файлу с ключом
WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.
Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.
БОНУС
ВИДЕО: Wireshark Packet Sniffing Usernames, Passwords, and Web Pages
Сетевой снифинг
Методы перехвата сетевого трафика
Перехват TCP-соединения
Заключение
В этом уроке описаны технологии сетевого хакинга, основанные на перехвате сетевых пакетов. Хакеры используют такие технологии для прослушивания сетевого трафика с целью хищения ценной информации, для организации перехвата данных с целью атаки «человек посредине», для перехвата TCP-соединений, позволяющих, скажем, подменять данные, и выполнения других, не менее интересных действий. К сожалению, большая часть этих атак на практике реализована только для сетей Unix, для которых хакеры могут использовать как специальные утилиты, так и системные средства Unix. Сети Windows, по всей видимости, обойдены вниманием хакеров, и мы вынуждены ограничиться при описании инструментов перехвата данных программами-сниферами, предназначенными для тривиального прослушивания сетевых пакетов. Тем не менее, не следует пренебрегать хотя бы теоретическим...
0 0
Вам понадобится
Утилита Comm Traffic; - компьютер с ОС Windows.
Инструкция
Скачайте программу CommTraffic с сайта разработчика и установите ее согласно инструкциям.
Настройте сетевые опции в программе CommTraffic, прежде чем начать работу. Для этого запустите мастер настройки. Нажмите на кнопку «Настройки», расположенную в меню, затем нажмите на кнопку «Мастер», расположенную на странице «Сеть» -> «Мастер».
Убедитесь, что между Консолью CommTraffic и Службой CommTraffic установлено соединение. После чего нажмите кнопку «Дальше» в окне приветствия и выберите правильную сетевую конфигурацию в экране «Настройка сети».
Если ваш компьютер не соединен с локальной сетью и у вас есть модемное (dial-up) соединение с интернетом, то выберите опцию «отдельно стоящий компьютер». Если ваш компьютер подключен к интернету через локальную сеть, то выберите «Этот компьютер входит в локальную Сеть». Нажмите кнопку «Дальше», чтобы перейти в экран выбора...
0 0
Администрирование систем Linux. Перехват сетевого трафика
Глава 23. Перехват сетевого трафика
Администратор сети должен уметь работать со сниффером, таким, как wireshark или tcpdump, для диагностирования проблем сети.
Студенту также придется нередко прибегать к использованию сниффера для того, чтобы разобраться в принципах функционирования сетей. В данной главе описываются соответствующие методики перехвата сетевого трафика.
23.1. Приложение wireshark
23.1.1. Установка wireshark
В данном примере приведена команда для установки приложения wireshark в дистрибутивах, использующих пакеты программного обеспечения с расширением.deb (включая Debian, Mint, Xubuntu и другие дистрибутивы).
Root@debian8:~# Чтение списков пакетов Готово Построение дерева зависимостей Чтение информации о...
0 0
    IRIS относится к классу программам-снифферов, позволяющих выполнять перехват "чужого" сетевого трафика. В обычном режиме работы сетевая плата (и ее программное обеспечение) принимают кадры, которые адресуются ее MAC- адресом или являются широковещательными (Broadcast) посылками, имеющими в поле MAC-адреса шестнадцатиричное значение FFFFFFFFFFFF. Снифферы же переводят ее в так называемый "неразборчивый режим" (Promiscuous mode), когда принимается все кадры, независимо от того, куда они адресованы. Таким образом, можно собирать и анализировать весь сетевой трафик на выбранном сетевом адаптере (или контроллере удаленного доступа). Если сеть построена с использованием (редко, но бывает) "хабов" (Hub), то компьютер с IRIS может перехватить весь трафик коллизионного сегмента сети. После инсталляции, IRIS готова к работе, но я рекомендую сделать некоторые настройки, выбрав "Tools -- Settings -- Miscellaneous" для увеличения размера буфера для перехвата пакетов (по умолчанию...
0 0
Анализаторы сетевых пакетов
Сергей Пахомов
Принципы работы пакетных снифферов
Ограничения использования снифферов
Обзор программных пакетных снифферов
Ethereal 0.10.14
Iris Network Traffic Analyzer4.07
Анализаторы сетевых пакетов, или снифферы, первоначально были разработаны как средство решения сетевых проблем. Они умеют перехватывать, интерпретировать и сохранять для последующего анализа пакеты, передаваемые по сети. С одной стороны, это позволяет системным администраторам и инженерам службы технической поддержки наблюдать за тем, как данные передаются по сети, диагностировать и устранять возникающие проблемы. В этом смысле пакетные снифферы представляют собой мощный инструмент диагностики сетевых проблем. С другой стороны, подобно многим другим мощным средствам, изначально предназначавшимся для администрирования, с течением времени снифферы стали применяться абсолютно для других целей....
0 0
Приветствую, друзья.
Порой возникает необходимость проанализировать трафик определенного мобильного приложения. Нередко он передается по HTTP(S), с целью предотвратить перехват и модификацию передаваемых данных (однако это, как вы убедитесь ниже, это не всегда помогает).
В данной заметке будет описан перехват трафика, в том числе HTTPS, обход SSL и Certificate Pinning (что не позволяет просто добавить свой сертификат, заменив легитимный), например Twitter, Facebook.
Для чего это может пригодиться:
Узнать как работает тот или-иной сервис, понять как работает недокументированный API, начитерить в игре или же заставить приложение считать себя купленым.
Ну или просто удобно отлаживать свои приложения.
Выбор за вами
Для осуществления перехвата трафика приложения с сервером понадобится:
1) Любое Apple устройство с IOS 6-8.x c jailbreakом (для перехвата HTTPS, для перехвата HTTP-трафика...
0 0
В данной теме, я расскажу как перехватывать часть трафика, идущего через роутер (в том числе wi-fi) . Техника атаки - ARP-spoofing .
Нам понадобиться бесплатный сниффер Cain&Abel (http://www.oxid.it/cain.html).
Но для начала немножко теории.
ARP-spoofing - техника атаки в Ethernet сетях, позволяющая перехватывать трафик между хостами. Основана на использовании протокола ARP.
При использовании в распределённой ВС алгоритмов удалённого поиска существует возможность осуществления в такой сети типовой удалённой атаки «ложный объект РВС». Анализ безопасности протокола ARP показывает, что, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, можно послать ложный ARP-ответ, в котором объявить себя искомым хостом (например, маршрутизатором), и в дальнейшем активно контролировать сетевой трафик дезинформированного хоста, воздействуя на него по схеме «ложный объект РВС».
Как уберечься от ARP спуффинга?
1)Использовать спец....
0 0
Перехватом данных по сети считается получение любой информации с удаленного компьютерного устройства. Они могут состоять из личных данных пользователя, его сообщений, информации о посещении веб-сайтов. Захват данных может осуществляться программами-шпионами или при помощи сетевых снифферов .
Шпионские программы представляют собой специальное программное обеспечение, способное записывать всю передаваемую по сети информацию с конкретной рабочей станции или устройства.
Сниффером называют программу или компьютерную технику, перехватывающую и анализирующую трафик, который проходит через сеть. Сниффер позволяет подключаться к веб-сессии и осуществлять разные операции от имени владельца компьютера.
Если сведения передаются не в режиме реально времени, шпионские программы формируют отчеты, по которым удобно смотреть и анализировать информацию.
Перехват по сети может организовываться на законных основаниях или выполняться противозаконно. Главным документом, фиксирующим законность завладением информации, является Конвенция о киберпреступности. Она создана в Венгрии в 2001 году. Правовые требования разных государств могут несколько различаться, но главный смысл является одним для всех стран.
Классификация и способы перехвата данных по сети
Перехват информации по сети можно разделить на два вида:
- санкционированный
- несанкционированный
Санкционированный захват данных осуществляется с разной целью, начиная от защиты корпоративной информации до обеспечения безопасности государства. Основания для выполнения такой операции определяются законодательством, специальными службами, работниками правоохранительных органов, специалистами административных организаций, служб безопасности компаний.
Существуют международные стандарты выполнения перехвата данных. Европейский институт телекоммуникационных стандартов сумел привести к единой норме ряд технических процессов (ETSI ES 201 158 «Telecommunications security; Lawful Interception (LI); Requirements for network functions»), на которых базируется перехват информации. В результате была разработана системная архитектура, которая помогает специалистам секретных служб, сетевым администраторам законно завладеть данными из сети. Разработанная структура реализации перехвата данных по сети применяется для проводной/беспроводной системы вызова голосом, а также к переписке по почте, передаче голосовых сообщений по IP, обмену информацией по SMS.
Несанкционированный перехват данных по сети осуществляется злоумышленниками, желающими завладеть конфиденциальными данными, паролями, корпоративными тайнами, адресами компьютерных машин сети и т.д. Для реализации своих целей хакеры обычно используют сетевой анализатор трафика – сниффер. Данная программа или устройство аппаратно-программного типа дает мошеннику возможность перехватывать и анализировать информацию внутри сети, к которой подключен он и пользователь, на которого нацелена атака, и даже зашифрованный SSL трафик через подмену сертификатов. Данными из трафика можно завладеть:
- Прослушиванием интерфейса сети
- Подключением устройства перехвата в разрыв канала
- Созданием ветки трафика и ее дублирование на сниффер
- Путем проведения атаки
Существуют и более сложные технологии перехвата важных сведений, позволяющие вторгаться в сетевое взаимодействие и изменять данные. Одна из таких технологий – это ложные запросы ARP. Суть способа состоит в подмене IP-адресов между компьютером жертвы и своим IP-адресом. Еще один метод с помощью которого можно выполнить перехват данных по сети – ложная маршрутизация. Он заключается в подмене IP-адреса маршрутизатора сети свои адресом. Если мошенник знает, как организована локальная сеть, в которой находится жертва, то сможет легко организовать получение информации с машины пользователя на свой IP-адрес. Захват TCP-соединения тоже служит действенным способом перехвата данных. Злоумышленник прерывает сеанс связи путем генерации и отправки на компьютер жертвы ТСР-пакетов. Далее сеанс связи восстанавливается, перехватывается и продолжается преступником вместо клиента.
Объект воздействия
Объектами перехвата данных по сети могут быть государственные учреждения, промышленные предприятия, коммерческие структуры, рядовые пользователи. Внутри организации или бизнес-компании может реализовываться захват информации с целью защиты инфраструктуры сети. Спецслужбы органы правопорядка могут осуществлять массовый перехват информации, передаваемой от разных владельцев, зависимо от поставленной задачи.
Если говорить о киберпреступниках, то объектом воздействия с целью получения передаваемых по сети данных может стать любой пользователь или организация. При санкционированном доступе важна информативная часть полученных сведений, в то время как злоумышленника больше интересуют данные, с помощью которых можно завладеть денежными средствами или ценной информации для ее последующей продажи.
Чаще всего жертвами перехвата информации со стороны киберпреступников становятся пользователи, подключающиеся к общественной сети, например, в кафе с точкой доступа Wi-Fi. Злоумышленник подключается к веб-сессии с помощью сниффера, подменяет данные и осуществляет кражу личной информации. Подробнее о том, как это происходит, описывается в статье .
Источник угрозы
Санкционированным перехватом сведений в компаниях и организациях занимаются операторы инфраструктуры сетей общего пользования. Их деятельность направлена на защиту персональных данных, коммерческих тайн и другой важной информации. На законных основаниях за передачей сообщений и файлов могут следить спецслужбы, правоохранительные органы и разные государственные структуры для обеспечения безопасности граждан и государства.
Незаконным перехватом данных занимаются злоумышленники. Чтобы не стать жертвой киберпреступника, нужно соблюдать некоторые рекомендации специалистов. Например, не стоит выполнять операции, требующие авторизации и передачи важных данных, в местах, где подключение происходит к общедоступным сетям. Безопаснее выбирать сети с шифрованием, а еще лучше – использовать личные 3G- LTE-модемы. При передаче личные данные советуют зашифровать, используя протокол HTTPS или личный VPN-туннель.
Защитить компьютер от перехвата сетевого трафика можно с помощью криптографии, антиснифферов; снизит риски коммутируемый, а не беспроводной доступ к сети.