Багато користувачів і не здогадуються, що заповнюючи логін та пароль під час реєстрації або авторизації на закритому Інтернет-ресурсі та натискаючи ENTER, ці дані легко можуть перехопити. Дуже часто вони передаються через мережу не в захищеному вигляді. Тому якщо сайт, на якому ви намагаєтеся авторизуватися, використовує HTTP протокол, дуже просто виконати захоплення цього трафіку, проаналізувати його за допомогою Wireshark і далі за допомогою спеціальних фільтрів і програм знайти і розшифрувати пароль.

Найкраще місце для перехоплення паролів - ядро ​​мережі, де ходить трафік всіх користувачів до закритих ресурсів (наприклад, пошта) або перед маршрутизатором для виходу в Інтернет, під час реєстрації на зовнішніх ресурсах. Налаштовуємо дзеркало, і ми готові відчути себе хакером.

Крок 1. Встановлюємо та запускаємо Wireshark для захоплення трафіку

Іноді для цього достатньо вибрати тільки інтерфейс, через який плануємо захоплення трафіку, і натиснути кнопку Start. У нашому випадку робимо захоплення бездротовою мережею.

Захоплення трафіку почалося.

Крок 2. Фільтрація захопленого POST трафіку

Відкриваємо браузер і намагаємося авторизуватися на якомусь ресурсі за допомогою логіну та пароля. Після завершення процесу авторизації та відкриття сайту ми зупиняємо захоплення трафіку у Wireshark. Далі відкриваємо аналізатор протоколів та бачимо велику кількість пакетів. Саме на цьому етапі більшість ІТ-фахівців здаються, бо не знають, що робити далі. Але ми знаємо і нас цікавлять конкретні пакети, які містять дані POST, які формуються на нашій локальній машині при заповненні форми на екрані і відправляються на віддалені сервер при натисканні кнопки «Вхід» або «Авторизація» у браузері.

Вводимо у вікні спеціальний фільтр для відображення захоплених пакетів: http.request.method == “POST”

І бачимо замість тисячі пакетів, всього один із даними, які ми шукаємо.

Крок 3. Знаходимо логін та пароль користувача

Швидкий клік правої кнопки миші та вибираємо з меню пункт Follow TCP Steam

Після цього у новому вікні з'явиться текст, який у коді відновлює вміст сторінки. Знайдемо поля «password» та «user», які відповідають паролю та імені користувача. У деяких випадках обидва поля легко читаються і навіть не зашифровані, але якщо ми намагаємося захопити трафік при зверненні до дуже відомих ресурсів типу: Mail.ru, Facebook, Вконтакте і т.д., то пароль буде закодований:

HTTP/1.1 302 Found

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: password= ; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/

Місцезнаходження: loggedin.php

Content-Length: 0

Connection: close

Content-Type: text/html; charset=UTF-8

Таким чином, у нашому випадку:

Ім'я користувача: networkguru

Пароль:

Крок 4. Визначення типу кодування для розшифрування пароля

Заходимо, наприклад, на сайт http://www.onlinehashcrack.com/hash-identification.php#res та вводимо наш пароль у вікно для ідентифікації. Мені видано список протоколів кодування в порядку пріоритету:

Крок 5. Розшифровка пароля користувача

На даному етапі можемо скористатися утилітою hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

На виході ми отримали розшифрований пароль: simplepassword

Таким чином, за допомогою Wireshark ми можемо не тільки вирішувати проблеми в роботі додатків та сервісів, але й спробувати себе в ролі хакера, здійснюючи перехоплення паролів, які користувачі вводять у веб-формах. Також можна дізнаватися паролі до поштових скриньок користувачів, використовуючи невигадливі фільтри для відображення:

• Протокол POP та фільтр виглядає наступним чином: pop.request.command == "USER" || pop.request.command == "PASS"
• Протокол IMAP та фільтр буде: imap.request contains "login"
• Протокол SMTP і знадобиться введення наступного фільтра: smtp.req.command == "AUTH"

та більш серйозні утиліти для розшифрування протоколу кодування.

Крок 6. Що робити, якщо трафік зашифровано та використовується HTTPS?

Для відповіді це питання є кілька варіантів.

Варіант 1. Підключитися у розрив з'єднання між користувачем та сервером та захопити трафік у момент встановлення з'єднання (SSL Handshake). Під час встановлення з'єднання можна перехопити сеансовий ключ.

Варіант 2. Ви можете розшифрувати трафік HTTPS, використовуючи файл журналу сеансових ключів, записуваний Firefox або Chrome. Для цього браузер повинен бути налаштований для запису цих ключів шифрування у файл журналу (приклад на базі FireFox), і ви повинні отримати цей файл журналу. По суті, необхідно викрасти файл із ключем сесії з жорсткого диска іншого користувача (що є незаконним). Ну а далі захопити трафік і застосувати отриманий ключ для розшифровки.

Уточнення.Ми говоримо про веб-браузер людини, яка намагається вкрасти пароль. Якщо ж ми маємо на увазі розшифровку нашого власного HTTPS трафіку і хочемо потренуватися, то ця стратегія працюватиме. Якщо ви намагаєтеся розшифрувати HTTPS трафік інших користувачів без доступу до їх комп'ютерів, це не спрацює - на те воно і шифрування, і особистий простір.

Після отримання ключів за варіантом 1 або 2 необхідно прописати їх у WireShark:

1. Ідемо в меню Edit – Preferences – Protocols – SSL.
2. Ставимо прапор "Reassemble SSL records spanning multiple TCP segments".
3. "RSA keys list" і натискаємо Edit.
4. Вводимо дані у всі поля та прописуємо шлях у файлі з ключем

WireShark може розшифровувати пакети, які зашифровані за допомогою алгоритму RSA. Якщо використовуються алгоритми DHE/ECDHE, FS, ECC, сніффер нам не помічник.

Варіант 3. Отримати доступ до web-сервера, яким користується користувач, та отримати ключ. Але це є ще складнішим завданням. У корпоративних мережах з метою налагодження додатків або контенту фільтрації цей варіант реалізується на легальній основі, але не з метою перехоплення паролів користувачів.

Бонус

ВІДЕО: Wireshark Packet Sniffing Usernames, Passwords, and Web Pages

Привіт світ! Зараз розповімо про один корисний метод траблшутингу та пошук проблем на роутерах MikroTik. Суть даного методу полягає в тому, щоб відловлювати ("зніффити") пакети, що проходять через певні інтерфейси нашого роутера та аналізувати їх відразу ж за допомогою Wireshark.

Prerequisites

Отже, для того, щоб скористатися цим методом, нам знадобиться:

• Роутер MikroTik(У нашому випадку використовувався RB951Ui-2HnD з версією прошивки RouterOS 6.40.2)
• Програма Wireshark(У нашому випадку версія 2.4.1)
• Комп'ютер або сервер, що знаходиться в одній мережі з роутером із запущеним Wireshark'ом

Налаштування

Насамперед відкриваємо Wireshark, вибираємо інтерфейс, на якому хочемо "сніффити" (у нашому випадку це Ethernet, тобто інтерфейс, за допомогою якого комп'ютер підключається до роутера) і встановлюємо наступний фільтр - udp port 37008. Як показано на малюнку:

Зрозуміло, що якщо ми запустимо захоплення пакетів без цього фільтра, нам просто вивалиться весь трафік, який проходить через цей інтерфейс, а ми цього не хочемо.

Що ж це за фільтр такий і що за порт? 37008 ? Справа в тому, що MikroTik шле UDP дейтаграми, тобто весь перехоплений трафік, саме на цей порт streaming server’а, а як цей стрімінг сервер, як ви могли здогадатися, у нас виступає наш комп'ютер із запущеним Wireshark'ом. Ці пакети інкапсулюються за протоколом TZSP(TaZmen Sniffer Protocol), який використовується для перенесення інших протоколів.

Отже, запускаємо перехоплення пакетів на певному інтерфейсі з фільтром udp port 37008і бачимо, що нічого не відбувається і немає пакетів.

А тепер найцікавіше – підключаємося до MikroTik'у через WinBox, переходимо до розділу Toolsдалі Packet Snifferі бачимо наступне вікно з налаштуваннями:

На вкладці Generalможемо залишити все за умовчанням, переходимо на вкладку Streaming:

Ставимо галочку в Streaming Enabled, в полі Serverвказуємо IP адресу нашого комп'ютера, на якому запустили Wireshark і ставимо галочку на Filter Stream, щоб активувати фільтр, який налаштовуватиметься на наступній вкладці - Filter

На даній вкладці ми можемо відфільтрувати цікавий для нас трафік. Наприклад, у нас в мережі є IP-АТС Asterisk, і ми хочемо подивитися, які пакети він отримує та відправляє через роутер MikroTik. Так, наприклад, можна відстежити комунікацію IP-АТС із сервером провайдера VoIP послуг.

Отже, вибираємо інтерфейси, на яких хочемо відловлювати пакети (у нашому випадку це bridge), далі відфільтруємо трафік по певній IP-адресі в полі IP Address(Наша IP-АТС), вкажемо протокол - 17 (udp)та порт 5060 (sip). Напрямок вкажемо будь-яке - anyі Filter Operation = or, Тобто логіка роботи цього фільтра - "або". Якщо ви хочете відловлювати пакети лише за жорстко визначеним фільтром, то логіку слід вказати and, Тобто - збіг всіх умов фільтра.

Відмінно, тепер вирушаємо до Wireshark і бачимо, що він нам уже наловив потрібних пакетів відповідно до правил фільтру.

У нашому випадку – це комунікація IP-АТС Asterisk із сервером провайдера VoIP послуг, запит на реєстрацію та підтвердження зі зворотного боку. Зверніть увагу, що тип інкапсуляції - TZSPОднак Wireshark зміг правильно деінкапсулювати ці пакети і відобразити нам пакети. SIP.

Чи корисна вам ця стаття?

Будь ласка, розкажіть чому?

Нам шкода, що стаття не була корисною для вас: (Будь ласка, якщо не утруднить, вкажіть з якої причини? Ми будемо дуже вдячні за докладну відповідь. Дякую, що допомагаєте нам стати кращими!

Методи перехоплення мережевого трафіку

Прослуховування мережі за допомогою програм мережевих аналізаторів є першим, найпростішим способом перехоплення даних.

Для захисту від прослуховування мережі застосовуються спеціальні програми, наприклад AntiSniff, які здатні виявляти в мережі комп'ютери, зайняті прослуховуванням мережного трафіку.

Програми-антисніфери для вирішення своїх завдань використовують особливу ознаку наявності в мережі пристроїв, що прослуховують – мережна плата комп'ютера-сніфера повинна знаходитися в спеціальному режимі прослуховування. Перебуваючи в режимі прослуховування, мережеві комп'ютери особливим чином реагують на ІР-дейтаграми, що посилаються на адресу хоста, що тестується. Наприклад, хости, що прослуховують, як правило, обробляють весь трафік, що надходить, не обмежуючись тільки посланими на адресу хоста дейтаграмами. Є й інші ознаки, що вказують на підозрілу поведінку хоста, яка може розпізнати програма AntiSniff.

Безсумнівно, прослуховування дуже корисне з погляду зловмисника, оскільки дозволяє отримати безліч корисної інформації – паролі, що передаються по мережі, адреси комп'ютерів мережі, конфіденційні дані, листи та інше. Однак просте прослуховування не дозволяє хакеру втручатися в мережеву взаємодію між двома хостами з метою модифікації та спотворення даних. Для вирішення такого завдання потрібна складніша технологія.

Щоб перехопити і замкнути на себе процес мережевої взаємодії між двома хостами А та В зловмисник може підмінити IP-адреси взаємодіючих хостів своєю IP-адресою, надіславши хостам А та В фальсифіковані повідомлення ARP (Address Resolution Protocol – Протокол дозволу адрес).

Мал. 1 Неправдиві запити ARP

Подивимося, як хакер може скористатися протоколом ARP до виконання перехоплення мережевої взаємодії між хостами А і У.

Для перехоплення мережевого трафіку між хостами А та В хакер нав'язує цим хостам свою IP-адресу, щоб А та В використовували цю фальсифіковану IP-адресу при обміні повідомленнями. Для нав'язування своєї IP-адреси хакер виконує такі операції.

• Зловмисник визначає МАС-адреси хостів А та В, наприклад, за допомогою команди nbtstat з пакета W2RK.
• Зловмисник відправляє на виявлені МАС-адреси хостів А та В повідомлення, що є фальсифікованими ARP-відповідями на запити дозволу IP-адрес хостів у МАС-адреси комп'ютерів. Хосту А повідомляється, що IP-адресу хоста відповідає МАС-адресу комп'ютера зловмисника; хосту В повідомляється, що IP-адреса хоста А також відповідає МАС-адреса комп'ютера зловмисника.
• Хости А і В заносять отримані МАС-адреси у свої кеші ARP і далі використовують їх для надсилання повідомлень один одному. Оскільки IP-адреси А і В відповідає МАС-адреса комп'ютера зловмисника, хости А і В, нічого не підозрюючи, спілкуються через посередника, здатного робити з їхніми посланнями що завгодно.

Для захисту від таких атак мережеві адміністратори повинні підтримувати базу даних з таблицею відповідності МАС-адрес та IP-адрес своїх мережевих комп'ютерів.

У мережах UNIX такого роду атаку помилковими запитами ARP можна реалізувати за допомогою системних утиліт відстеження та управління мережним трафіком, наприклад, arpredirect. На жаль, у мережах Windows такі надійні утиліти, мабуть, не реалізовані. Наприклад, на сайті NTsecurity можна завантажити утиліту GrabitAII, представлену як засіб для перенаправлення трафіку між мережевими хостами. Однак елементарна перевірка працездатності утиліти GrabitAII показує, що до успіху в реалізації її функцій ще далеко.

Щоб перехопити мережевий трафік, зловмисник може підмінити реальну IP-адресу мережевого маршрутизатора своєю IP-адресою, виконавши це, наприклад, за допомогою фальсифікованих ICMP-повідомлень Redirect. Отримане повідомлення Redirect хост А повинен, згідно з документом RFC-1122, сприйняти як відповідь на дейтаграму, надіслану іншому хосту, наприклад, В. Свої дії на повідомлення Redirect хост А визначає, виходячи з вмісту отриманого повідомлення Redirect, і якщо Redirect задати перенаправлення дейтаграм з А в В за новим маршрутом, саме це хост А і зробить.

Мал. 2 Хибна маршрутизація

Для виконання помилкової маршрутизації зловмисник повинен знати деякі подробиці про організацію локальної мережі, в якій знаходиться хост А, зокрема, IP-адреса маршрутизатора, через яку відправляється трафік з хоста А в В. Знаючи це, зловмисник сформує IP-дейтаграму, в якій IP -адреса відправника визначена як IP-адреса маршрутизатора, а одержувачем вказано хост А. Також до дейтаграми включається повідомлення ICMP Redirect з полем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повідомлення, хост А надсилатиме всі повідомлення за IP-адресою комп'ютера зловмисника.

Для захисту від такої атаки слід відключити (наприклад, за допомогою брандмауера) на хості А обробку повідомлень ICMP Redirect, а виявити IP-адресу комп'ютера зловмисника може команда tracert (Unix це команда tracerout). Ці утиліти здатні знайти маршрут, що з'явився в локальній мережі додатковий, непередбачений при інсталяції, якщо адміністратор мережі проявить пильність.

Наведене вище приклади перехоплень (якими можливості зловмисників далеко не обмежуються) переконують у необхідності захисту даних, що передаються мережею, якщо даних міститься конфіденційна інформація. Єдиним методом захисту від перехоплень мережевого трафіку є використання програм, що реалізують криптографічні алгоритми та протоколи шифрування, і дозволяють запобігти розкриттю та заміні секретної інформації. Для вирішення таких завдань криптографія надає засоби для шифрування, підпису та перевірки автентичності повідомлень, що передаються за захищеними протоколами.

Практичну реалізацію всіх криптографічних методів захисту інформації надають мережі VPN (Virtual Private Network – Віртуальні приватні мережі).

Перехоплення TCP-з'єднання

Найбільш витонченою атакою перехоплення мережевого трафіку слід вважати захоплення TCP-з'єднання (TCP hijacking), коли хакер шляхом генерації та відсилання на хост TCP-пакетів, що атакуються, перериває поточний сеанс зв'язку з хостом. Далі, користуючись можливостями протоколу TCP щодо відновлення перерваного TCP-з'єднання, хакер перехоплює перерваний сеанс зв'язку та продовжує його замість відключеного клієнта.

Для виконання атак перехоплення TCP-з'єднання створено кілька ефективних утиліт, проте всі вони реалізовані для платформи Unix, і на веб-сайтах Web ці утиліти представлені лише у вигляді вихідних кодів. Таким чином, від атак методом перехоплення TCP-з'єднання користі не багато.

Протокол TCP (Transmission Control Protocol – Протокол управління передачею) одна із базових протоколів транспортного рівня OSI, що дозволяє встановлювати логічні з'єднання по віртуальному каналу зв'язку. Цим каналом передаються та приймаються пакети з реєстрацією їх послідовності, здійснюється управління потоком пакетів, організовується повторна передача спотворених пакетів, а наприкінці сеансу канал зв'язку розривається. Протокол TCP є єдиним базовим протоколом із сімейства TCP/IP, що має просунуту систему ідентифікації повідомлень та з'єднання.

Огляд програмних пакетних сніферів

Усі програмні сніфери можна умовно розділити на дві категорії: сніфери, що підтримують запуск із командного рядка, та сніфери, що мають графічний інтерфейс. При цьому зазначимо, що існують сніфери, які поєднують у собі обидві ці можливості. Крім того, сніфери відрізняються один від одного протоколами, які вони підтримують, глибиною аналізу перехоплених пакетів, можливостями налаштування фільтрів, а також можливістю сумісності з іншими програмами.

Зазвичай вікно будь-якого сніфера з графічним інтерфейсом складається з трьох областей. У першій їх відображаються підсумкові дані перехоплених пакетів. Зазвичай у цій галузі відображається мінімум полів, а саме: час перехоплення пакета; IP-адреси відправника та одержувача пакета; MAC-адреси відправника та одержувача пакета, вихідні та цільові адреси портів; тип протоколу (мережевий, транспортний чи прикладний рівень); деяка сумарна інформація про перехоплені дані. У другій області виводиться статистична інформація про окремий вибраний пакет, і, нарешті, у третій області пакет представлений у шістнадцятковому вигляді або в символьній формі - ASCII.

Практично всі пакетні сніфери дозволяють проводити аналіз декодованих пакетів (саме тому пакетні сніфери також називають пакетними аналізаторами, або протокольними аналізаторами). Сніффер розподіляє перехоплені пакети за рівнями та протоколами. Деякі аналізатори пакетів здатні розпізнавати протокол та відображати перехоплену інформацію. Цей тип інформації зазвичай відображається у другій області вікна сніффера. Наприклад, кожен сніффер здатний розпізнавати протокол TCP, а просунуті сніфери можуть визначити, яким додатком породжений цей трафік. Більшість аналізаторів протоколів розпізнають понад 500 різних протоколів та вміють описувати та декодувати їх за іменами. Чим більше інформації може декодувати і подати на екрані сніффер, тим менше доведеться декодувати вручну.

Одна з проблем, з якою можуть стикатися аналізатори пакетів, - неможливість коректної ідентифікації протоколу, який використовує порт, відмінний від стандартного порту. Наприклад, з метою підвищення безпеки деякі відомі програми можуть налаштовуватися застосування портів, відмінних від портів за замовчуванням. Так замість традиційного порту 80, зарезервованого для web-сервера, даний сервер можна примусово переналаштувати на порт 8088 або на будь-який інший. Деякі аналізатори пакетів у подібній ситуації не здатні правильно визначити протокол і відображають лише інформацію про протокол нижнього рівня (TCP або UDP).

Існують програмні сніфери, до яких як плагіни або вбудовані модулі додаються програмні аналітичні модулі, що дозволяють створювати звіти з корисною аналітичною інформацією про перехоплений трафік.

Інша характерна риса більшості програмних аналізаторів пакетів – можливість налаштування фільтрів до та після захоплення трафіку. Фільтри виділяють із загального трафіку певні пакети за заданим критерієм, що дозволяє при аналізі трафіку позбавитися зайвої інформації.

Мережевий сніфінг
Методи перехоплення мережевого трафіку
Перехоплення TCP-з'єднання
Висновок

У цьому уроці описані технології мережевого хакінгу, що базуються на перехопленні мережевих пакетів. Хакери використовують такі технології для прослуховування мережного трафіку з метою розкрадання цінної інформації, для організації перехоплення даних з метою атаки "людина посередині", для перехоплення TCP-з'єднань, що дозволяють, скажімо, підміняти дані, та виконання інших, не менш цікавих дій. На жаль, більшість цих атак на практиці реалізована тільки для мереж Unix, для яких хакери можуть використовувати як спеціальні утиліти, так і системні засоби Unix. Мережі Windows, мабуть, обійдені увагою хакерів, і ми змушені обмежитися при описі інструментів перехоплення даних програмами-сніферами, призначеними для тривіального прослуховування мережних пакетів. Проте не слід нехтувати хоча б теоретичним...

0 0

Вам знадобиться

Утиліта Comm Traffic; - комп'ютер із ОС Windows.

Інструкція

Завантажте програму CommTraffic із сайту розробника та встановіть її згідно з інструкціями.

Налаштуйте мережеві опції у програмі CommTraffic, перш ніж розпочати роботу. Для цього запустіть майстер налаштування. Натисніть кнопку «Налаштування», розташовану в меню, потім натисніть кнопку «Майстер», розташовану на сторінці «Мережа» -> «Майстер».

Переконайтеся, що між Консоллю CommTraffic та Службою CommTraffic встановлено з'єднання. Після цього натисніть кнопку «Далі» у вікні привітання та виберіть правильну мережну конфігурацію на екрані «Налаштування мережі».

Якщо ваш комп'ютер не з'єднаний з локальною мережею і у вас є модемне (dial-up) з'єднання з інтернетом, то виберіть опцію «комп'ютер, що окремо стоїть». Якщо ваш комп'ютер підключено до Інтернету через локальну мережу, виберіть «Цей комп'ютер входить до локальної мережі». Натисніть кнопку «Далі», щоб перейти на екран вибору...

0 0

Адміністрація систем Linux. Перехоплення мережевого трафіку

Розділ 23. Перехоплення мережевого трафіку

Адміністратор мережі повинен вміти працювати зі сніффером, таким як wireshark або tcpdump, для діагностування проблем мережі.

Студенту також доведеться нерідко вдаватися до використання сніффера для того, щоб розібратися у принципах функціонування мереж. У цьому розділі описуються відповідні методики перехоплення мережного трафіку.

23.1. Додаток wireshark

23.1.1. Установка wireshark

У цьому прикладі наведена команда для встановлення програми wireshark у дистрибутивах, які використовують пакети програмного забезпечення з розширенням.deb (включаючи Debian, Mint, Xubuntu та інші дистрибутиви).

Root@debian8:~# Читання списків пакетів Готово Побудова дерева залежностей Читання інформації про...

0 0

    IRIS відноситься до класу програм-сніферів, що дозволяють виконувати перехоплення "чужого" мережевого трафіку. У звичайному режимі роботи мережна плата (і її програмне забезпечення) приймають кадри, які адресуються її MAC-адресою або є широкомовними (Broadcast) посилками, що мають у полі MAC-адреси шістнадцяткове значення FFFFFFFFFFFF. Сніфери переводять її в так званий "нерозбірливий режим" (Promiscuous mode), коли приймається всі кадри, незалежно від того, куди вони адресовані. Таким чином, можна збирати та аналізувати весь мережевий трафік на вибраному мережевому адаптері (або контролері віддаленого доступу). Якщо мережа побудована з використанням (рідко, але буває) "хабів" (Hub), то комп'ютер із IRIS може перехопити весь трафік колізійного сегмента мережі. Після інсталяції IRIS готова до роботи, але я рекомендую зробити деякі налаштування, вибравши "Tools -- Settings -- Miscellaneous" для збільшення розміру буфера для перехоплення пакетів (за замовчуванням...

0 0

Аналізатори мережних пакетів

Сергій Пахомов

Принципи роботи пакетних сніферів

Обмеження використання сніферів

Огляд програмних пакетних сніферів

Ethereal 0.10.14

Iris Network Traffic Analyzer4.07

Аналізатори мережевих пакетів, або сніфери, спочатку були розроблені як вирішення мережевих проблем. Вони вміють перехоплювати, інтерпретувати та зберігати для подальшого аналізу пакети, що передаються по мережі. З одного боку, це дозволяє системним адміністраторам та інженерам служби технічної підтримки спостерігати за тим, як дані передаються по мережі, діагностувати та усувати проблеми, що виникають. У цьому сенсі пакетні сніфери є потужним інструментом діагностики мережевих проблем. З іншого боку, подібно до багатьох інших потужних засобів, що спочатку призначалися для адміністрування, з часом сніфери стали застосовуватися абсолютно для інших цілей.

0 0

Вітаю, друзі.
Іноді виникає необхідність проаналізувати трафік певного мобільного додатка. Нерідко він передається по HTTP(S), з метою запобігти перехопленню та модифікації переданих даних (проте це, як ви переконаєтеся нижче, це не завжди допомагає).

У цій замітці буде описано перехоплення трафіку, у тому числі HTTPS, обхід SSL та Certificate Pinning (що не дозволяє просто додати свій сертифікат, замінивши легітимний), наприклад Twitter, Facebook.

Для чого це може стати в нагоді:
Дізнатися як працює той чи інший сервіс, зрозуміти як працює недокументований API, начитати в грі або змусити програму вважати себе купленим.
Ну чи просто зручно налагоджувати свої програми.
Вибір за вами

Для здійснення перехоплення трафіку програми із сервером знадобиться:

1) Будь-який Apple пристрій з IOS 6-8.x c jailbreak (для перехоплення HTTPS, для перехоплення HTTP-трафіку).

0 0

У цій темі я розповім як перехоплювати частину трафіку, що йде через роутер (у тому числі wi-fi). Техніка атаки - ARP-spoofing.

Нам знадобиться безкоштовний сніфер Cain&Abel (http://www.oxid.it/cain.html).

Але для початку трохи теорії.

ARP-spoofing – техніка атаки в Ethernet мережах, що дозволяє перехоплювати трафік між хостами. Заснована на використанні протоколу ARP.
При використанні розподіленої ВС алгоритмів віддаленого пошуку існує можливість здійснення в такій мережі типової видаленої атаки «хибний об'єкт РВС». Аналіз безпеки протоколу ARP показує, що, перехопивши на атакуючому хості всередині даного сегмента мережі широкомовний ARP-запит, можна надіслати помилкову ARP-відповідь, в якій оголосити себе хостом (наприклад, маршрутизатором), і надалі активно контролювати мережевий трафік дезінформованого хоста, впливаючи нею за схемою «хибний об'єкт РВС».

Як уберегтися від ARP спуфінгу?
1) Використовувати спец.

0 0

В даний час дуже популярними стали публічні мережі Wi-Fi. Вони є в ресторанах, спортивних залах, торгових центрах, метро, ​​готелях, приватних лікарнях і поліклініках, апартаментах і кондомініумах — їх можна знайти практично скрізь, де збирається чимало людей.

Ці мережі мають особливість — часто це відкриті мережі Wi-Fi для підключення до яких не потрібен пароль. Чи є якісь додаткові правила безпеки для роботи з такими мережами?

Так, при використанні відкритої Wi-Fi мережею потрібно добре розуміти, що:

• всі дані передаються радіохвилями, тобто на відміну від дроту, до якого далеко не кожен може отримати доступ, радіохвилі можуть перехоплюватися будь-ким, хто знаходиться в діапазоні досяжності
• у відкритих мережах дані не зашифровані

З першим пунктом, думаю, все зрозуміло: якщо хтось з комп'ютером та Wi-Fi картою знаходиться досить близькою, то він може захоплювати і зберігати весь трафік, що передається між бездротовою точкою доступу і всіма її клієнтами.

Що стосується другого пункту, то потрібно пояснити з приводу шифрування даних, що передаються. Наприклад, якщо ви відкриваєте будь-який сайт, який використовує протокол HTTPS (тобто безпечний протокол), наприклад сайт , то дані, що передаються на цей сайт і з цього сайту до вас зашифровані. Якщо ви відкриваєте сайт, що працює за протоколом HTTP, то всі дані, що передаються: які сторінки ви відвідали, які коментарі залишили, які кукіз отримав ваш веб-браузер — ці дані передаються в незашифрованому вигляді. Так ось, якщо ви підключені до Wi-Fi Точці Доступу яка вимагає введення пароля, то трафік, що передається, шифрується ще раз. Тобто навіть якщо ви відкриваєте сайт на протоколі HTTPS, то трафік, що передається, шифрується два рази (перший раз при передачі від веб-браузера до веб-сервера і в зворотному напрямку, другий раз при передачі від вашого пристрою і до точки доступу, а також в зворотному напрямку). А якщо ви відкриваєте сайт на протоколі HTTP, то трафік, що передається, шифрується тільки один раз (тільки при передачі від вашого пристрою до Точки Доступу і назад).

Але відкриті точки доступу не шифрують трафік. З цього випливає: якщо ви використовуєте відкриту точку доступу і відкриваєте сайт, що працює на протоколі HTTP, значить ваші дані передаються у відкритому вигляді і будь хто поруч з вами може їх захопити і зберегти. Якщо ви відкриваєте сайт на протоколі HTTPS, то ці дані зашифровані, однак все одно видно, які саме сайти ви відкривали (хоча не видно, які саме сторінки і що ви вводили, наприклад, які залишили коментарі).

Отже: потрібно пам'ятати, що відкриті бездротові мережі схильні до перехоплення інформації.

Перехоплення трафіку у відкритих Wi-Fi мережах

Для успішної атаки потрібен комп'ютер на Linux (наприклад, з Kali Linux або BlackArch), а також Wi-Fi карта з .

Почнемо з того, що подивимося імена бездротових інтерфейсів:

Як можна побачити, у мене кілька бездротових інтерфейсів, я використовуватиму wlp0s20f0u2.

Переводимо бездротовий інтерфейс у режим монітора:

Sudo ip link set ІНТЕРФЕЙС down sudo iw ІНТЕРФЕЙС

У попередніх командах замість ІНТЕРФЕЙСпотрібно вписати те ім'я, яке бездротовий інтерфейс має у вашій системі. Наприклад, для wlp0s20f0u2 команди виглядають так:

Sudo ip link set wlp0s20f0u2 down sudo iw wlp0s20f0u2 set monitor control sudo ip link set wlp0s20f0u2 up

Відкрийте файл із захопленими даними у Wireshark.

Для виділення різних даних нам знадобляться фільтри Wireshark. Тут я покажу приклад використання деяких фільтрів, рекомендується вивчити велику добірку корисних фільтрів Wireshark .

Для оцінки якості захоплення можна розпочати з фільтрів, які виводять результати аналізу TCP протоколу.

Наприклад:

Tcp.analysis.duplicate_ack_num == 1

Цей фільтр виводить інформацію про кадри з прапором ACK, які є дублями. Велика кількість таких кадрів може говорити про проблеми зв'язку між Клієнтом та Точкою Доступу.

Фільтр показу кадрів для яких не захоплений попередній сегмент:

Tcp.analysis.ack_lost_segment

Це нормально на початку захоплення даних, оскільки інформація перехоплюється не з самого початку. Але якщо ця помилка часто виникає надалі, значить ви знаходитесь занадто далеко від точки доступу або клієнтів і ви не захоплює частину даних, які вони передають.

Для показу кадрів, які є ретрансмісією (відправляються повторно):

Tcp.analysis.retransmission

Велика кількість таких кадрів може говорити про те, що між Клієнтом і ТД поганий зв'язок і часто доводиться відправляти повторно одні й ті самі дані.

За допомогою фільтра

Можна побачити ARP трафік - з його допомогою зручно аналізувати, скільки всього пристроїв в даний момент підключено до локальної мережі, які IP адреси і які MAC адреси. .

За допомогою фільтра

можна побачити всі надіслані DNS запити.

Завдяки цим запитам можна дізнатися, які сайти відвідували користувачі (навіть якщо ці сайти використовують HTTPS!), а також до яких онлайн-сервісів були зроблені запити.

Наприклад, на скріншоті можна побачити адреси онлайн кінотеатру Netflix, Facebook, різних сервісів Google.

Для фільтрації HTTP трафіку фільтр:

Тут можна дізнатися багато цікавої інформації. Наприклад, можна побачити запити до сервісів і дані, що передаються, в тому числі API ключі, ідентифікатори пристроїв та інше:

Можна побачити відвідані URL-адреси з усіма параметрами, що передаються:

Видно завантажені та відкриті в Інтернеті файли:

Ви можете зберегти будь-який переданий файл. Для цього виділіть мишкою пакет, який його містить (1), потім у середній панелі, яка містить докладну інформацію, прогорніть у самий низ, щоб знайти поле з даними та клацніть на нього правою кнопкою миші, щоб викликати контекстне меню (2), в контекстному меню виберіть Export Selected Packet Bytes(3) — Експортувати байти вибраного пакета:

Введіть ім'я файлу, виберіть розташування та збережіть його.

Хтось оновлює Windows:

Також видно встановлені користувачеві кукіз або передані ним кукіз:

За допомогою фільтра

Http.cookie

можна побачити HTTP запити, у яких передавалися кукіз.

А за допомогою фільтра

Http.set_cookie

можна побачити запити, у яких сервер встановив кукіз у браузер користувача.

Сусіди завантажують дивні торенти:

Передані дані POST також видно:

Для пошуку будь-яких переданих зображень:

Http.content_type contains "image"

Для пошуку певних видів зображень:

Http.content_type contains "gif" http.content_type contains "jpeg" http.content_type contains "png"

Для пошуку файлів певного типу:

Http.content_type contains "text" http.content_type contains "xml" http.content_type contains "html" http.content_type contains "json" http.content_type contains "javascript" http.content_type contains "x-www-form-urlencode" http. content_type contains "compressed" http.content_type contains "application"

Пошук у Wireshark запитів на отримання файлів певного типу. Наприклад, для пошуку переданих ZIP архівів:

Http.request.uri contains "zip"

Замість http.request.uriдля більшої точності можна використовувати фільтри http.request.uri.pathабо http.request.uri.query, наприклад, для пошуку запитів на завантаження файлів JPG (посилання на картинки):

Http.request.uri.path contains "jpg"

Фільтр, який показує лише дані, передані методом POST:

Http.request.method == "POST"

Фільтр, який показує лише дані, передані методом GET:

Http.request.method == "GET"

Пошук запитів до певного сайту (хосту):

Http.host == " "

Пошук запитів до певного сайту в частині імені:

Http.host contains "тут.часткове.ім'я"

Висновок

Зараз кількість програм та сайтів, які не використовують шифрування, стрімко зменшується. Тому небезпека такого перехоплення з кожним роком знижується. Проте вона є.

Навіть сайти, які використовують HTTPS, можуть мимоволі видавати дані. Наприклад:

Видно, що від користувача дані на booking.com передаються у незашифрованому вигляді, тому можна перехопити це посилання.

Програма iPhone постійно завантажує якісь (аудіо?) файли не використовуючи безпечне з'єднання:

Популярна (у деяких регіонах) qq.com або не використовує шифрування, або використовує свій власний алгоритм:

Гарантованим захистом від такого перехоплення є використання довіреного сервісу VPN. Надійним сервісом VPN можна вважати той, який ви налаштували самі, або VPN вашої корпоративної мережі.