Урок за Wireshark: Мрежа и усилвател; Пароли Sniffer

Съдържание:

Anonim

Компютрите комуникират чрез мрежи. Тези мрежи могат да бъдат в локална мрежа LAN или изложени на интернет. Network Sniffers са програми, които улавят данните за пакети от ниско ниво, които се предават по мрежа. Нападателят може да анализира тази информация, за да открие ценна информация като потребителски идентификатори и пароли.

В тази статия ще ви запознаем с често срещаните техники и инструменти за подхранване на мрежи, използвани за подхранване на мрежи. Също така ще разгледаме контрамерките, които можете да въведете, за да защитите поверителната информация, предавана по мрежа.

Теми, обхванати в този урок

  • Какво представлява мрежовото подушване?
  • Активно и пасивно смъркане
  • Хакерска активност: Sniff Network
  • Какво е наводнение за контрол на достъп до медиите (MAC)

Какво представлява мрежовото подушване?

Компютрите комуникират чрез излъчване на съобщения в мрежа, използвайки IP адреси. След като съобщението е изпратено в мрежа, компютърът получател със съответстващ IP адрес отговаря със своя MAC адрес.

Мрежовото подушване е процес на прихващане на пакети данни, изпратени през мрежа. Това може да се направи от специализираната софтуерна програма или хардуерно оборудване. Смъркането може да се използва за;

  • Записвайте чувствителни данни, като идентификационни данни за вход
  • Подслушвайте съобщения в чата
  • Файловете за заснемане са предадени по мрежа

По-долу са протоколи, които са уязвими за подушаване

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Горните протоколи са уязвими, ако данните за вход се изпращат в обикновен текст

Пасивно и активно нюхане

Преди да разгледаме пасивното и активно подушване, нека разгледаме две основни устройства, използвани за мрежови компютри; хъбове и ключове.

Хъбът работи, като изпраща излъчени съобщения до всички изходни портове в него, с изключение на този, който е изпратил излъчването . Компютърът получател отговаря на излъченото съобщение, ако IP адресът съвпада. Това означава, че когато се използва концентратор, всички компютри в мрежата могат да виждат излъчваното съобщение. Той работи на физическия слой (слой 1) на модела OSI.

Диаграмата по-долу илюстрира как работи хъбът.

Превключвателят работи по различен начин; той картографира IP / MAC адресите към физически портове на него . Излъчените съобщения се изпращат до физическите портове, които съответстват на конфигурациите на IP / MAC адрес за компютъра получател. Това означава, че излъчените съобщения се виждат само от компютъра получател. Превключвателите работят на слоя за връзка за данни (слой 2) и мрежовия слой (слой 3).

Диаграмата по-долу илюстрира как работи превключвателят.

Пасивното подушване е прихващане на пакети, предавани през мрежа, която използва хъб . Нарича се пасивно смъркане, защото е трудно да се открие. Също така е лесно да се изпълни, тъй като хъбът изпраща излъчвани съобщения до всички компютри в мрежата.

Активното подушване е прихващане на пакети, предавани през мрежа, която използва комутатор . Има два основни метода, използвани за издишване на превключващи свързани мрежи, ARP Poisoning и MAC floid.

Хакерска активност: Подушете мрежовия трафик

В този практичен сценарий ще използваме Wireshark, за да подушим пакети данни, тъй като те се предават по HTTP протокол . За този пример ще подушим мрежата с помощта на Wireshark, след което ще влезем в уеб приложение, което не използва защитена комуникация. Ще влезем в уеб приложение на http://www.techpanda.org/

Адресът за вход е Този имейл адрес е защитен от спам ботове. Трябва да имате активиран JavaScript, за да го видите. , а паролата е Password2010 .

Забележка: ще влезем в уеб приложението само за демонстрационни цели. Техниката може също така да подушва пакети данни от други компютри, които са в същата мрежа като тази, която използвате, за да подушите. Носенето не е ограничено само до techpanda.org, но също така подушва всички HTTP и други пакети данни с протоколи.

Нюхане на мрежата с помощта на Wireshark

Илюстрацията по-долу ви показва стъпките, които ще изпълните, за да завършите това упражнение без объркване

Изтеглете Wireshark от тази връзка http://www.wireshark.org/download.html

  • Отворете Wireshark
  • Ще получите следния екран
  • Изберете мрежовия интерфейс, който искате да подушите. Забележка за тази демонстрация използваме безжична мрежова връзка. Ако сте в локална мрежа, трябва да изберете интерфейса на локалната мрежа.
  • Щракнете върху бутона за старт, както е показано по-горе
  • Отворете уеб браузъра си и напишете http://www.techpanda.org/
  • Имейлът за вход е Този имейл адрес е защитен от спам ботове. Трябва да имате активиран JavaScript, за да го видите. и паролата е Password2010
  • Щракнете върху бутона за изпращане
  • Успешното влизане трябва да ви даде следното табло за управление
  • Върнете се в Wireshark и спрете заснемането на живо
  • Филтър за резултати от HTTP протокол само с помощта на текстовото поле на филтъра
  • Намерете колоната Информация и потърсете записи с HTTP глагола POST и кликнете върху нея
  • Точно под записите в дневника има панел с обобщение на заснетите данни. Потърсете резюмето, в което пише текстови данни, базирани на редове: application / x-www-form-urlencoded
  • Би трябвало да можете да видите стойностите на обикновения текст на всички POST променливи, изпратени на сървъра чрез HTTP протокол.

Какво е MAC Floading?

MAC наводнението е мрежова техника за нюхане, която залива MAC таблицата на комутатора с фалшиви MAC адреси . Това води до претоварване на паметта на превключвателя и го кара да действа като концентратор. След като превключвателят е компрометиран, той изпраща излъчваните съобщения до всички компютри в мрежата. Това дава възможност да се подушват пакетите с данни, докато са изпратени в мрежата.

Противодействие на наводненията срещу MAC

  • Някои комутатори имат функция за защита на порта . Тази функция може да се използва за ограничаване на броя на MAC адресите на портовете. Може да се използва и за поддържане на защитена таблица с MAC адреси в допълнение към тази, предоставена от превключвателя.
  • Сървърите за удостоверяване, упълномощаване и счетоводство могат да се използват за филтриране на откритите MAC адреси.

Нюхане на контрамерки

  • Ограничението до мрежовия физически носител значително намалява шансовете за инсталиране на мрежов снифър
  • Шифроването на съобщения при предаването им по мрежата значително намалява стойността им, тъй като са трудни за дешифриране.
  • Промяна на мрежата за сигурност на Shell (SSH) мрежа също така намалява вероятността от мрежата е душеха.

Обобщение

  • Мрежовото нюхане прехваща пакети, докато се предават по мрежата
  • Пасивното надушване се извършва в мрежа, която използва хъб. Трудно е да се открие.
  • Активното подушване се извършва в мрежа, която използва превключвател. Лесно е да се открие.
  • MAC наводняването работи, като запълва списъка с MAC таблици с фалшиви MAC адреси. Това прави превключвателя да работи като HUB
  • Мерките за сигурност, както са описани по-горе, могат да помогнат за защитата на мрежата срещу подушаване.