Bir çox istifadəçi qapalı internet resursunda qeydiyyatdan keçərkən və ya avtorizasiya edərkən loqin və şifrəni doldurmaqla və ENTER düyməsini sıxmaqla bu məlumatların asanlıqla ələ keçirilə biləcəyini başa düşmür. Çox vaxt onlar şəbəkə üzərindən təminatsız formada ötürülür. Buna görə də, daxil olmağa çalışdığınız sayt HTTP protokolundan istifadə edirsə, o zaman bu trafiki çəkmək, Wireshark-dan istifadə edərək təhlil etmək, sonra parolu tapmaq və deşifrə etmək üçün xüsusi filtrlərdən və proqramlardan istifadə etmək çox asandır.

Şifrələri ələ keçirmək üçün ən yaxşı yer şəbəkənin nüvəsidir, burada xarici resurslarda qeydiyyatdan keçərkən bütün istifadəçilərin trafiki qapalı resurslara (məsələn, poçt) və ya İnternetə daxil olmaq üçün marşrutlaşdırıcının önünə gedir. Güzgü qurduq və özümüzü haker kimi hiss etməyə hazırıq.

Addım 1. Trafik çəkmək üçün Wireshark-ı quraşdırın və işə salın

Bəzən bunu etmək üçün yalnız trafiki tutmağı planlaşdırdığımız interfeysi seçmək və Start düyməsini sıxmaq kifayətdir. Bizim vəziyyətimizdə simsiz şəbəkə üzərindən çəkirik.

Trafikin ələ keçirilməsinə başlanılıb.

Addım 2. Tutulan POST trafikinin filtrlənməsi

Brauzeri açırıq və istifadəçi adı və paroldan istifadə edərək hansısa resursa daxil olmağa çalışırıq. Avtorizasiya prosesi başa çatdıqdan və sayt açıldıqdan sonra biz Wireshark-da trafiki ələ keçirməyi dayandırırıq. Sonra, protokol analizatorunu açın və çoxlu sayda paketləri görün. İT mütəxəssislərinin əksəriyyəti bundan sonra nə edəcəklərini bilmədiklərindən imtina etdikləri yerdir. Ancaq biz ekranda bir forma doldurarkən yerli maşınımızda yaradılan və brauzerdə "Giriş" və ya "Avtorizasiya" düyməsini kliklədikdə uzaq serverə göndərilən POST məlumatlarını ehtiva edən xüsusi paketləri bilirik və onlarla maraqlanırıq.

Tutulan paketləri göstərmək üçün pəncərəyə xüsusi filtr daxil edirik: http.xahiş.üsul == "POST"

Və görürük ki, minlərlə paketin əvəzinə, axtardığımız məlumatlarla yalnız bir paket var.

Addım 3. İstifadəçinin giriş və şifrəsini tapın

Tez sağ klikləyin və menyudan elementi seçin TCP Steam-i izləyin

Bundan sonra mətn səhifənin məzmununu kodda bərpa edən yeni pəncərədə görünəcək. Şifrə və istifadəçi adına uyğun gələn “parol” və “istifadəçi” sahələrini tapaq. Bəzi hallarda, hər iki sahə asanlıqla oxunacaq və hətta şifrələnməyəcək, lakin Mail.ru, Facebook, VKontakte və s.

HTTP/1.1 302 tapıldı

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OTRO STP IND DEM"

Set-Cookie: parol = ; başa çatır=07-noyabr 2024-cü il, 23:52:21 GMT; yol=/

Məkan: loggedin.php

Məzmun uzunluğu: 0

Əlaqə: yaxın

Məzmun növü: mətn/html; charset=UTF-8

Beləliklə, bizim vəziyyətimizdə:

İstifadəçi adı: networkguru

Şifrə:

Addım 4. Parolun şifrəsini açmaq üçün kodlaşdırma növünü müəyyənləşdirin

Məsələn, http://www.onlinehashcrack.com/hash-identification.php#res saytına daxil olun və identifikasiya pəncərəsində parolumuzu daxil edin. Mənə prioritet sırasına görə kodlaşdırma protokollarının siyahısı verildi:

Addım 5. İstifadəçi parolunun deşifrə edilməsi

Bu mərhələdə biz hashcat yardım proqramından istifadə edə bilərik:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Çıxışda biz deşifrə edilmiş parol aldıq: simplepassword

Beləliklə, Wireshark-ın köməyi ilə biz nəinki proqramların və xidmətlərin işində problemləri həll edə bilərik, həm də özümüzü haker kimi sınaya, istifadəçilərin veb formalarına daxil etdikləri parolları ələ keçirə bilərik. Siz həmçinin göstərmək üçün sadə filtrlərdən istifadə edərək istifadəçi poçt qutuları üçün parolları tapa bilərsiniz:

• POP protokolu və filtri belə görünür: pop.request.command == "USER" || pop.request.command == "KEÇİL"
• IMAP protokolu və filtri belə olacaq: imap.request "giriş" ehtiva edir
• Protokol SMTP-dir və siz aşağıdakı filtri daxil etməlisiniz: smtp.req.command == "AUTH"

və kodlaşdırma protokolunun şifrəsini açmaq üçün daha ciddi yardım proqramları.

Addım 6: Trafik şifrələnirsə və HTTPS istifadə edirsə?

Bu suala cavab vermək üçün bir neçə variant var.

Seçim 1. İstifadəçi ilə server arasındakı əlaqə pozulduqda qoşulun və əlaqə qurulduğu anda trafiki çəkin (SSL Handshake). Bağlantı qurulduqda, sessiya açarı tutula bilər.

Seçim 2: Firefox və ya Chrome tərəfindən qeydə alınmış sessiya açarı jurnalından istifadə edərək HTTPS trafikinin şifrəsini aça bilərsiniz. Bunu etmək üçün brauzer bu şifrələmə açarlarını jurnal faylına yazmaq üçün konfiqurasiya edilməlidir (FireFox əsaslı nümunə) və siz həmin jurnal faylını almalısınız. Əsasən, başqa bir istifadəçinin sabit diskindən sessiya açarı faylını oğurlamalısınız (bu, qeyri-qanunidir). Yaxşı, sonra trafiki ələ keçirin və şifrəni açmaq üçün yaranan açardan istifadə edin.

Aydınlaşdırılması. Söhbət parolunu oğurlamağa çalışdıqları şəxsin veb brauzerindən gedir. Öz HTTPS trafikimizin şifrəsini açmağı nəzərdə tuturuqsa və məşq etmək istəsək, bu strategiya işləyəcək. Digər istifadəçilərin kompüterlərinə girişi olmayan HTTPS trafikinin şifrəsini açmağa çalışırsınızsa, bu işləməyəcək - bu həm şifrələmə, həm də məxfilikdir.

Seçim 1 və ya 2-ə uyğun olaraq açarları aldıqdan sonra onları WireShark-da qeydiyyatdan keçirməlisiniz:

1. Edit - Preferences - Protocols - SSL menyusuna keçin.
2. “Birdən çox TCP seqmentini əhatə edən SSL qeydlərini yenidən yığın” bayrağını təyin edin.
3. "RSA düymələri siyahısı" və "Düzenle" düyməsini basın.
4. Bütün sahələrə məlumatları daxil edin və açarla faylda yolu yazın

WireShark RSA alqoritmi ilə şifrələnmiş paketləri deşifrə edə bilər. DHE/ECDHE, FS, ECC alqoritmlərindən istifadə edilərsə, sniffer bizə kömək etməyəcək.

Seçim 3. İstifadəçinin istifadə etdiyi veb serverə giriş əldə edin və açarı əldə edin. Ancaq bu, daha çətin bir işdir. Korporativ şəbəkələrdə proqramların sazlanması və ya məzmunun filtrasiyası məqsədilə bu seçim qanuni əsaslarla həyata keçirilir, lakin istifadəçi parollarının ələ keçirilməsi məqsədi ilə deyil.

BONUS

VİDEO: Wireshark Paket Sniffing İstifadəçi adları, Parollar və Veb Səhifələr

Salam Dünya! İndi sizə marşrutlaşdırıcılarda problemləri həll etmək və tapmaq üçün faydalı bir üsul haqqında məlumat verəcəyik MikroTik. Bu metodun mahiyyəti marşrutlaşdırıcımızın müəyyən interfeyslərindən keçən paketləri tutmaq ("iyləmək") və onları dərhal təhlil etməkdir. Wireshark.

İlkin şərtlər

Beləliklə, bu metoddan istifadə etmək üçün bizə lazımdır:

• Router MikroTik(bizim vəziyyətimizdə biz RouterOS mikroproqram versiyası 6.40.2 ilə RB951Ui-2HnD istifadə etdik)
• Proqram Wireshark(bizim halda 2.4.1 versiyası)
• Wireshark ilə işləyən marşrutlaşdırıcı ilə eyni şəbəkədə yerləşən kompüter və ya server

Parametrlər

Əvvəlcə Wireshark-ı açın, "iyləmək" istədiyimiz interfeysi seçin (bizim vəziyyətimizdə bu Ethernetdir, yəni kompüterin marşrutlaşdırıcıya qoşulduğu interfeysdir) və aşağıdakı filtri təyin edin - udp port 37008. Şəkildə göstərildiyi kimi:

Aydındır ki, bu filtr olmadan paket tutmağa başlasaq, bu interfeysdən keçən bütün trafik sadəcə olaraq bizim üzərimizə düşəcək və biz bunu istəmirik.

Bu hansı filtrdir və hansı portdur - 37008 ? Fakt budur ki, MikroTik UDP dataqramlarını, yəni bütün tutulan trafiki bu porta göndərir axın serveri, və bu axın serveri, təxmin etdiyiniz kimi, Wireshark ilə işləyən kompüterimizdir. Bu paketlər protokoldan istifadə edərək kapsullaşdırılır TZSP(TaZmen Sniffer Protocol), öz daxilində digər protokolları daşımaq üçün istifadə olunur.

Beləliklə, bir filtr ilə müəyyən bir interfeysdə paket ələ keçirməyə başlayırıq udp port 37008 və görürük ki, heç nə baş vermir və paketlər yoxdur.

İndi ən maraqlısı - WinBox vasitəsilə MikroTik-ə qoşuluruq, bölməyə keçin Alətlər Daha Paket Sniffer və parametrlərlə aşağıdakı pəncərəyə baxın:

Nişanda General hər şeyi standart olaraq tərk edə bilərik, nişana keçin Axın:

Bir işarə qoyun Yayım Aktivdir, sahədə Server Wireshark-ı işə saldığımız kompüterimizin IP ünvanını göstərin və bir işarə qoyduq Axın filtri növbəti tabda konfiqurasiya ediləcək filtri aktivləşdirmək üçün - Filtr

Bu tabda bizi maraqlandıran trafiki süzgəcdən keçirə bilərik. Məsələn, şəbəkəmizdə Asterisk IP PBX var və onun MikroTik marşrutlaşdırıcısı vasitəsilə hansı paketləri qəbul edib göndərdiyini görmək istəyirik. Məsələn, siz IP PBX-nin VoIP xidmət provayderinin serveri ilə əlaqəsini izləyə bilərsiniz.

Beləliklə, paketləri tutmaq istədiyimiz interfeysləri seçirik (bizim vəziyyətimizdə bu körpüdür), sonra trafiki sahədə müəyyən bir IP ünvanı ilə süzəcəyik. IP ünvanı(Bizim IP-PBX), protokolu göstərin - 17 (udp) və liman 5060 (qurtum). İstənilən istiqaməti göstərəcəyik - hər hansı Və Filtr əməliyyatı = və ya, yəni bu filtrin işləmə məntiqi “və ya”dır. Yalnız ciddi şəkildə müəyyən edilmiş filtrdən istifadə edərək paketləri tutmaq istəyirsinizsə, məntiq müəyyən edilməlidir. və, yəni bütün filtr şərtlərinin üst-üstə düşməsi.

Əla, indi Wireshark-a gedirik və filtr qaydalarına uyğun olaraq artıq lazımi paketləri tutduğunu görürük.

Bizim vəziyyətimizdə bu, Asterisk IP PBX ilə VoIP xidmət provayderinin serveri arasında əlaqə, digər tərəfdən qeydiyyat və təsdiq üçün sorğudur. Nəzərə alın ki, kapsullaşdırma növüdür TZSP Bununla belə, Wireshark bu paketləri düzgün şəkildə de-kapsulyasiya edə və paketləri bizə göstərə bildi SIP.

Bu məqalə sizin üçün faydalı oldu?

Zəhmət olmasa deyin niyə?

Məqalənin sizin üçün faydalı olmadığı üçün üzr istəyirik: (Zəhmət olmasa, çətin deyilsə, səbəbini göstərin? Ətraflı cavab üçün çox minnətdar olacağıq. Bizə daha yaxşı olmağımıza kömək etdiyiniz üçün təşəkkür edirik!

Şəbəkə trafikinin qarşısının alınması üsulları

Şəbəkə analizator proqramlarından istifadə edərək şəbəkəyə qulaq asmaq məlumatların tutulmasının ilk və ən asan yoludur.

Şəbəkəyə qulaq asmaqdan qorunmaq üçün xüsusi proqramlar, məsələn, şəbəkə trafikini dinləyən şəbəkədəki kompüterləri müəyyən etməyə qadir olan AntiSniff istifadə olunur.

Onların problemlərini həll etmək üçün antisniffer proqramları şəbəkədə dinləmə qurğularının mövcudluğunun xüsusi işarəsindən istifadə edir - snayfer kompüterinin şəbəkə kartı xüsusi dinləmə rejimində olmalıdır. Dinləmə rejimində olarkən, şəbəkə kompüterləri sınaqdan keçirilən hosta göndərilən IP dataqramlarına xüsusi şəkildə reaksiya verir. Məsələn, dinləyən hostlar adətən hostun ünvanına göndərilən dataqramları deyil, bütün daxil olan trafiki emal edir. AntiSniff-in tanıya biləcəyi şübhəli host davranışını göstərən digər əlamətlər də var.

Şübhəsiz ki, dinləmə hücumçu baxımından çox faydalıdır, çünki bu, bir çox faydalı məlumatları əldə etməyə imkan verir - şəbəkə üzərindən ötürülən parollar, şəbəkə kompüterlərinin ünvanları, məxfi məlumatlar, məktublar və s. Bununla belə, sadə dinləmə bir hakerə məlumatları dəyişdirmək və korlamaq üçün iki host arasında şəbəkə rabitəsinə müdaxilə etməyə imkan vermir. Belə bir problemi həll etmək üçün daha mürəkkəb texnologiya tələb olunur.

İki A və B hostları arasında şəbəkə qarşılıqlı əlaqəsi prosesini ələ keçirmək və ələ keçirmək üçün təcavüzkar A və B hostlarına saxta ARP (Ünvan Həlli Protokolu) mesajları göndərməklə qarşılıqlı əlaqədə olan hostların IP ünvanlarını öz IP ünvanı ilə əvəz edə bilər.

düyü. 1 Yanlış ARP sorğuları

Gəlin görək haker A və B hostları arasında şəbəkə rabitəsini kəsmək üçün ARP-dən necə istifadə edə bilər.

A və B hostları arasında şəbəkə trafikinə müdaxilə etmək üçün haker öz IP ünvanını bu hostlara tətbiq edir ki, A və B mesaj mübadiləsi zamanı bu saxta IP ünvanından istifadə etsinlər. İP ünvanını tətbiq etmək üçün haker aşağıdakı əməliyyatları yerinə yetirir.

• Təcavüzkar, məsələn, W2RK paketindən nbtstat əmrindən istifadə edərək, A və B hostlarının MAC ünvanlarını müəyyən edir.
• Təcavüzkar A və B hostlarının müəyyən edilmiş MAC ünvanlarına mesajlar göndərir ki, bu da hostların İP ünvanlarını kompüterlərin MAC ünvanlarına həll etmək sorğularına ARP tərəfindən saxtalaşdırılmış cavablardır. Host A-ya məlumat verilir ki, B hostunun IP ünvanı təcavüzkarın kompüterinin MAC ünvanına uyğundur; B hostuna məlumat verilir ki, A hostunun IP ünvanı həm də təcavüzkarın kompüterinin MAC ünvanına uyğundur.
• A və B hostları qəbul edilmiş MAC ünvanlarını ARP keşlərində saxlayır və sonra onlardan bir-birinə mesaj göndərmək üçün istifadə edirlər. A və B IP ünvanları təcavüzkarın kompüterinin MAC ünvanına uyğun gəldiyindən, A və B hostları heç bir şübhə etmədən mesajları ilə hər şeyi edə bilən bir vasitəçi vasitəsilə əlaqə qurur.

Bu cür hücumlardan qorunmaq üçün şəbəkə administratorları şəbəkə kompüterlərinin MAC ünvanları və IP ünvanları arasında yazışmalar cədvəli olan verilənlər bazası saxlamalıdırlar.

UNIX şəbəkələrində bu tip saxtalaşdırılmış ARP sorğu hücumu şəbəkə trafikini izləmək və idarə etmək üçün sistem utilitlərindən istifadə etməklə həyata keçirilə bilər, məsələn, arpredirect. Təəssüf ki, belə etibarlı yardım proqramları Windows şəbəkələrində tətbiq olunmur. Məsələn, NTsecurity veb saytında şəbəkə hostları arasında trafikin yönləndirilməsi üçün bir vasitə kimi təqdim olunan GrabitAII yardım proqramını yükləyə bilərsiniz. Bununla belə, GrabitAII yardım proqramının funksionallığının əsas yoxlanışı göstərir ki, onun funksiyalarının həyata keçirilməsində tam uğur hələ çox uzaqdadır.

Şəbəkə trafikinə müdaxilə etmək üçün təcavüzkar, məsələn, saxtalaşdırılmış ICMP Yönləndirmə mesajlarından istifadə edərək, öz IP ünvanları ilə şəbəkə marşrutlaşdırıcısının həqiqi IP ünvanını aldada bilər. Host A, RFC-1122-yə uyğun olaraq, qəbul edilmiş Yönləndirmə mesajını başqa bir hosta göndərilən dataqrama cavab kimi qəbul etməlidir, məsələn, B. Host A qəbul edilmiş Yönləndirmə mesajının məzmununa əsasən Yönləndirmə mesajı üzərində öz hərəkətlərini müəyyən edir, və əgər dataqramın yönləndirilməsi yeni marşrut üzrə A-dan B-yə Yönləndirmədə göstərilibsə, host A məhz bunu edəcək.

düyü. 2 Yanlış marşrutlaşdırma

Yanlış marşrutlaşdırma həyata keçirmək üçün təcavüzkar A hostunun yerləşdiyi lokal şəbəkənin təşkili haqqında bəzi təfərrüatları, xüsusən də A hostundan B-yə trafikin göndərildiyi marşrutlaşdırıcının IP ünvanını bilməlidir. Bunu bilən təcavüzkar IP dataqramı yaradacaq ki, burada IP-göndərən ünvan marşrutlaşdırıcının IP ünvanı kimi müəyyən edilir və alıcı A hostudur. Həmçinin dataqrama yeni marşrutlaşdırıcının ünvan sahəsi ilə ICMP Yönləndirmə mesajı daxil edilir. Təcavüzkarın kompüterinin IP ünvanı. Belə bir mesajı alan A hostu bütün mesajları təcavüzkarın kompüterinin IP ünvanına göndərəcək.

Belə hücumdan qorunmaq üçün siz A hostunda ICMP Redirect mesajlarının işlənməsini söndürməlisiniz (məsələn, firewalldan istifadə etməklə) və tracert əmri (Unix-də bu tracerout əmridir) təcavüzkarın kompüterinin IP ünvanını aşkar edə bilər. . Bu kommunal xidmətlər, əlbəttə ki, şəbəkə inzibatçısı sayıq olmadıqda, yerli şəbəkədə görünən və quraşdırma zamanı nəzərdə tutulmayan əlavə marşrut tapmağa qadirdir.

Yuxarıdakı ələ keçirmə nümunələri (təcavüzkarların imkanları məhdud deyil) bizi məlumatların məxfi məlumatları ehtiva etdiyi təqdirdə şəbəkə üzərindən ötürülən məlumatların qorunmasının zəruriliyinə inandırır. Şəbəkə trafikinin tutulmasından qorunmağın yeganə üsulu kriptoqrafik alqoritmləri və şifrələmə protokollarını həyata keçirən və məxfi məlumatların açıqlanmasının və dəyişdirilməsinin qarşısını alan proqramların istifadəsidir. Bu cür problemləri həll etmək üçün kriptoqrafiya təhlükəsiz protokollar vasitəsilə ötürülən mesajların şifrlənməsi, imzalanması və həqiqiliyini yoxlamaq üçün vasitələr təqdim edir.

Məlumat mübadiləsini qorumaq üçün bütün kriptoqrafik metodların praktiki tətbiqi VPN şəbəkələri (Virtual Şəxsi Şəbəkələr) tərəfindən təmin edilir.

TCP bağlantısının kəsilməsi

Bir haker hücuma məruz qalan hosta TCP paketləri yaradaraq və göndərməklə host ilə cari ünsiyyət seansını kəsdiyi zaman ən mürəkkəb şəbəkə trafikinin ələ keçirilməsi hücumu TCP bağlantısının tutulması (TCP hijacking) hesab edilməlidir. Daha sonra, TCP protokolunun kəsilmiş TCP əlaqəsini bərpa etmək qabiliyyətindən istifadə edərək, haker kəsilmiş rabitə seansına müdaxilə edir və əlaqəsi kəsilmiş müştəri əvəzinə onu davam etdirir.

TCP bağlantısını qaçırma hücumlarını həyata keçirmək üçün bir neçə effektiv utilitlər yaradılmışdır, lakin onların hamısı Unix platforması üçün həyata keçirilir və veb saytlarda bu yardım proqramları yalnız mənbə kodu şəklində təqdim olunur. Beləliklə, TCP bağlantısı qaçırma hücumları az istifadə olunur.

TCP protokolu (Transmission Control Protocol) virtual rabitə kanalı üzərində məntiqi əlaqələr yaratmağa imkan verən əsas OSI nəqliyyat səviyyəsi protokollarından biridir. Bu kanal üzərindən paketlər onların ardıcıllığı qeydə alınmaqla ötürülür və qəbul edilir, paketlərin hərəkətinə nəzarət edilir, təhrif olunmuş paketlərin təkrar ötürülməsi təşkil edilir və sessiyanın sonunda rabitə kanalı qırılır. TCP protokolu TCP/IP ailəsində təkmil mesaj identifikasiyası və əlaqə sisteminə malik yeganə əsas protokoldur.

Proqram paketi snayferlərinə ümumi baxış

Bütün proqram snifferlərini iki kateqoriyaya bölmək olar: əmr xəttindən işə salmağı dəstəkləyən snifferlər və qrafik interfeysə malik olan snifferlər. Bununla belə, qeyd edirik ki, bu imkanların hər ikisini özündə birləşdirən snayferlər var. Bundan əlavə, snifferlər bir-birindən dəstəklədikləri protokollara, ələ keçirilən paketlərin təhlilinin dərinliyinə, filtrləri konfiqurasiya etmək qabiliyyətinə və digər proqramlarla uyğunluq imkanlarına görə fərqlənirlər.

Tipik olaraq, qrafik interfeysli hər hansı bir snayferin pəncərəsi üç sahədən ibarətdir. Onlardan birincisi ələ keçirilən paketlərin xülasə məlumatlarını göstərir. Tipik olaraq, bu sahə minimum sahələri göstərir, yəni: paketin tutulma vaxtı; paket göndərən və alıcının IP ünvanları; Paketin göndərici və alıcısının MAC ünvanları, mənbə və təyinat port ünvanları; protokol növü (şəbəkə, nəqliyyat və ya tətbiq səviyyəsi); ələ keçirilən məlumatlar haqqında bəzi ümumi məlumat. İkinci sahə fərdi seçilmiş paket haqqında statistik məlumatı, nəhayət üçüncü sahədə paketi onaltılıq və ya ASCII simvol şəklində göstərir.

Demək olar ki, bütün paket snifferləri deşifrə olunmuş paketləri təhlil etməyə imkan verir (buna görə də paket snifferlərinə paket analizatorları və ya protokol analizatorları da deyilir). Sniffer ələ keçirilən paketləri təbəqələr və protokollar arasında paylayır. Bəzi paket snifferləri protokolu tanımaq və ələ keçirilən məlumatları göstərmək qabiliyyətinə malikdir. Bu tip məlumat adətən sniffer pəncərəsinin ikinci sahəsində göstərilir. Məsələn, hər hansı bir sniffer TCP protokolunu tanıya bilər və qabaqcıl snifferlər bu trafiki hansı tətbiqin yaratdığını müəyyən edə bilər. Əksər protokol analizatorları 500-dən çox müxtəlif protokolları tanıyır və onları adla təsvir edə və deşifrə edə bilir. Sniffer nə qədər çox məlumatı deşifrə edə və ekranda göstərə bilsə, bir o qədər əl ilə deşifrə edilməli olacaq.

Paket snifferlərinin qarşılaşa biləcəyi problemlərdən biri standart portdan başqa bir portdan istifadə edərək protokolu düzgün müəyyən edə bilməməkdir. Məsələn, təhlükəsizliyi yaxşılaşdırmaq üçün bəzi tanınmış proqramlar standart portlardan başqa portlardan istifadə etmək üçün konfiqurasiya edilə bilər. Beləliklə, veb server üçün qorunan ənənəvi port 80 əvəzinə bu server 8088 və ya hər hansı digər porta məcburi şəkildə yenidən konfiqurasiya edilə bilər. Bu vəziyyətdə bəzi paket analizatorları protokolu düzgün təyin edə bilmir və yalnız aşağı səviyyəli protokol (TCP və ya UDP) haqqında məlumatları göstərə bilmir.

Pluginlər və ya quraşdırılmış modullar kimi proqram analitik modulları ilə birlikdə gələn proqram snifferləri var ki, onlar ələ keçirilən trafik haqqında faydalı analitik məlumatlarla hesabatlar yaratmağa imkan verir.

Əksər proqram paket analizatorlarının başqa bir xarakterik xüsusiyyəti, trafikin tutulmasından əvvəl və sonra filtrləri konfiqurasiya etmək qabiliyyətidir. Filtrlər ümumi trafikdən müəyyən paketləri verilmiş kriteriyaya uyğun seçir ki, bu da trafiki təhlil edərkən lazımsız məlumatlardan xilas olmağa imkan verir.

Şəbəkə iylənməsi
Şəbəkə trafikinin qarşısının alınması üsulları
TCP bağlantısının kəsilməsi
Nəticə

Bu dərs şəbəkə paketlərinin ələ keçirilməsinə əsaslanan şəbəkə sındırma texnologiyalarını təsvir edir. Hakerlər qiymətli məlumatları oğurlamaq üçün şəbəkə trafikinə qulaq asmaq, ortada adam hücumu məqsədilə məlumatların ələ keçirilməsini təşkil etmək, TCP əlaqələrini ələ keçirmək, məsələn, məlumatların saxtalaşdırılmasına imkan vermək üçün bu cür texnologiyalardan istifadə edirlər. , heç də az maraqlı olmayan hərəkətlər. Təəssüf ki, bu hücumların əksəriyyəti praktikada yalnız Unix şəbəkələri üçün həyata keçirilir ki, bunun üçün hakerlər həm xüsusi utilitlərdən, həm də Unix sistem alətlərindən istifadə edə bilərlər. Görünür, Windows şəbəkələri hakerlər tərəfindən məhəl qoyulmayıb və biz şəbəkə paketlərinin mənasız dinləmələri üçün nəzərdə tutulmuş proqramları iyləmək üçün məlumatların tutulması vasitələrinin təsvirini məhdudlaşdırmağa məcburuq. Bununla belə, heç olmasa nəzəri cəhətdən laqeyd yanaşmaq olmaz...

0 0

Sizə lazım olacaq

Comm Traffic yardım proqramı; - Windows OS ilə kompüter.

Təlimatlar

CommTraffic proqramını tərtibatçının saytından yükləyin və təlimatlara uyğun olaraq quraşdırın.

Başlamazdan əvvəl CommTraffic-də şəbəkə seçimlərinizi konfiqurasiya edin. Bunu etmək üçün quraşdırma sihirbazını işə salın. Menyuda yerləşən “Parametrlər” düyməsini, sonra “Şəbəkə” -> “Sehrbaz” səhifəsində yerləşən “Sehrbaz” düyməsini sıxın.

CommTraffic Console və CommTraffic Service arasında əlaqənin qurulduğuna əmin olun. Sonra salamlama pəncərəsində "Növbəti" düyməsini basın və "Şəbəkə Quraşdırma" ekranında düzgün şəbəkə konfiqurasiyasını seçin.

Əgər sizin kompüteriniz yerli şəbəkəyə qoşulmayıbsa və İnternetə dial-up bağlantınız varsa, o zaman “müstəqil kompüter” seçimini seçin. Kompüteriniz yerli şəbəkə vasitəsilə İnternetə qoşulubsa, "Bu kompüter yerli şəbəkədədir" seçin. Seçim ekranına getmək üçün "Növbəti" düyməsini basın...

0 0

Linux sistemlərinin idarə edilməsi. Şəbəkə trafikinin kəsilməsi

Fəsil 23. Şəbəkə trafikinin qarşısının alınması

Şəbəkə administratoru şəbəkə problemlərinin diaqnostikası üçün wireshark və ya tcpdump kimi snifferdən istifadə edə bilməlidir.

Tələbə həmçinin şəbəkənin işləmə prinsiplərini başa düşmək üçün tez-tez snifferdən istifadə etməli olacaq. Bu fəsildə şəbəkə trafikinin qarşısını almaq üçün müvafiq üsullar təsvir olunur.

23.1. wireshark proqramı

23.1.1. Wireshark quraşdırılması

Bu nümunə .deb uzantısı olan proqram paketlərindən istifadə edən paylamalarda (Debian, Mint, Xubuntu və digər paylanmalar daxil olmaqla) wireshark proqramını quraşdırmaq əmrini təqdim edir.

Root@debian8:~# Paket siyahılarının oxunması Bitdi Asılılıq ağacının qurulması... Haqqında məlumat oxunur.

0 0

    IRIS “başqalarının” şəbəkə trafikini ələ keçirməyə imkan verən sniffer proqramlar sinfinə aiddir. Normal iş şəraitində şəbəkə kartı (və onun proqram təminatı) MAC ünvanı ilə ünvanlanan və ya MAC ünvanı sahəsində FFFFFFFFFFFF onaltılıq dəyəri olan yayım (Yayım) mesajları olan çərçivələri qəbul edir. Sniffers, ünvanlandığı yerdən asılı olmayaraq, bütün kadrlar qəbul edildikdə, onu sözdə "əxlaqsız rejim"ə keçir. Bu yolla, seçilmiş şəbəkə adapterində (və ya uzaqdan giriş nəzarətçisində) bütün şəbəkə trafikini toplayıb təhlil edə bilərsiniz. Şəbəkə (nadir hallarda, lakin bu baş verir) "hub" (Hub) istifadə edərək qurulursa, IRIS olan bir kompüter şəbəkənin toqquşma seqmentindən bütün trafiki kəsə bilər. Quraşdırıldıqdan sonra IRIS istifadəyə hazırdır, lakin mən paket tutma buferinin ölçüsünü artırmaq üçün "Alətlər -- Parametrlər -- Müxtəlif" seçərək bəzi parametrlər etməyi məsləhət görürəm (defolt...

0 0

Şəbəkə paket analizatorları

Sergey Paxomov

Paket snayferlərinin iş prinsipləri

Sniffers istifadə məhdudiyyətləri

Proqram paketi snayferlərinə ümumi baxış

Efir 0.10.14

Iris Network Traffic Analyzer 4.07

Şəbəkə paket analizatorları və ya snifferlər əvvəlcə şəbəkə problemlərinin həlli vasitəsi kimi hazırlanmışdır. Onlar şəbəkə üzərindən ötürülən paketləri ələ keçirə, şərh edə və sonrakı təhlil üçün saxlaya bilirlər. Bu, bir tərəfdən sistem administratorlarına və texniki dəstək mühəndislərinə məlumatların şəbəkə üzərindən necə ötürüldüyünü müşahidə etməyə, yaranan problemlərin diaqnostikasını aparmağa və aradan qaldırmağa imkan verir. Bu mənada paket snayferləri şəbəkə problemlərinin diaqnostikası üçün güclü vasitədir. Digər tərəfdən, əvvəlcə idarəetmə üçün nəzərdə tutulmuş bir çox digər güclü alətlər kimi, zaman keçdikcə sniffers tamamilə fərqli məqsədlər üçün istifadə olunmağa başladı....

0 0

Salam dostlar.
Bəzən müəyyən bir mobil tətbiqin trafikini təhlil etməyə ehtiyac var. O, tez-tez HTTP(S) üzərindən ötürülür, ötürülən məlumatların tutulmasının və dəyişdirilməsinin qarşısını almaq üçün (lakin aşağıda görəcəyiniz kimi, bu həmişə kömək etmir).

Bu qeyd HTTPS, SSL bypass və Sertifikatın bağlanması (bu, qanuni olanı əvəz edərək sadəcə öz sertifikatınızı əlavə etməyə imkan vermir), məsələn, Twitter, Facebook daxil olmaqla, trafikin qarşısının alınmasını təsvir edəcək.

Niyə bu faydalı ola bilər:
Bu və ya digər xidmətin necə işlədiyini öyrənin, sənədsiz API-nin necə işlədiyini anlayın, oyunda saxtakarlıq edin və ya tətbiqi özünü satın alınmış hesab etməyə məcbur edin.
Və ya proqramlarınızı sazlamaq üçün sadəcə rahatdır.
Seçim sənindir

Server ilə tətbiq trafikini dayandırmaq üçün sizə lazım olacaq:

1) iOS 6-8.x əməliyyat sistemi ilə jailbreak olan hər hansı Apple cihazı (HTTPS-in ələ keçirilməsi, HTTP trafikinin ələ keçirilməsi üçün...

0 0

Bu mövzuda sizə marşrutlaşdırıcıdan keçən trafikin bir hissəsini (wi-fi daxil olmaqla) necə kəsəcəyini söyləyəcəyəm. Hücum texnikası - ARP-spoofing.

Bizə pulsuz Cain&Abel sniffer lazımdır (http://www.oxid.it/cain.html).

Ancaq əvvəlcə bir az nəzəriyyə.

ARP-spoofing Ethernet şəbəkələrində hostlar arasında trafikin qarşısını almağa imkan verən hücum texnikasıdır. ARP protokolunun istifadəsinə əsaslanır.
Paylanmış kompüter şəbəkəsində uzaqdan axtarış alqoritmlərindən istifadə edərkən, belə bir şəbəkədə tipik bir uzaqdan hücum "yanlış DCS obyekti" həyata keçirmək mümkündür. ARP protokolunun təhlükəsizlik təhlili göstərir ki, müəyyən bir şəbəkə seqmentində hücum edən hostda yayımlanan ARP sorğusunu ələ keçirməklə siz özünüzü istədiyiniz host (məsələn, marşrutlaşdırıcı) elan etdiyiniz yalan ARP cavabı göndərə bilərsiniz və sonradan yanlış məlumatlandırılmış hostun şəbəkə trafikinə fəal şəkildə nəzarət etmək."yalançı RVS obyekti" sxeminə uyğun olaraq ona təsir göstərmək.

Özünüzü ARP saxtakarlığından necə qorumalısınız?
1) Xüsusi istifadə edin....

0 0

Hal-hazırda ictimai Wi-Fi şəbəkələri də çox populyarlaşdı. Onlara restoranlarda, idman zallarında, ticarət mərkəzlərində, metrolarda, otellərdə, özəl xəstəxanalarda və klinikalarda, mənzillərdə və kondominiumlarda rast gəlinir - onlara çoxlu insanların toplaşdığı demək olar ki, hər yerdə rast gəlmək olar.

Bu şəbəkələrin bir özəlliyi var - onlar tez-tez qoşulmaq üçün parol tələb etməyən açıq Wi-Fi şəbəkələridir. Belə şəbəkələrlə işləmək üçün əlavə təhlükəsizlik qaydaları varmı?

Bəli, açıq Wi-Fi şəbəkəsindən istifadə edərkən bunu aydın başa düşməlisiniz:

• bütün məlumatlar radio dalğaları ilə ötürülür, yəni hər kəsin əldə edə bilmədiyi naqildən fərqli olaraq, radio dalğaları əhatə dairəsində olan hər kəs tərəfindən tutula bilər.
• Açıq şəbəkələrdə məlumatlar şifrələnmir

Birinci nöqtə ilə məncə hər şey aydındır: əgər kompüteri və Wi-Fi kartı olan biri kifayət qədər yaxındırsa, o zaman simsiz Giriş Nöqtəsi və onun bütün müştəriləri arasında ötürülən bütün trafiki tuta və saxlaya bilər.

İkinci məqama gəlincə, ötürülən məlumatların şifrələnməsinə aydınlıq gətirməliyik. Məsələn, sayt kimi HTTPS protokolundan (yəni təhlükəsiz protokol) istifadə edən sayt açsanız, o zaman həmin saytdan sizə ötürülən məlumatlar şifrələnir. HTTP protokolu üzərində işləyən saytı açsanız, o zaman bütün ötürülən məlumatlar: hansı səhifələri ziyarət etdiniz, hansı şərhləri buraxdınız, veb brauzeriniz hansı kukiləri qəbul etdi - bu məlumatlar şifrələnməmiş şəkildə ötürülür. Beləliklə, parol daxil etməyi tələb edən Wi-Fi Giriş Nöqtəsinə qoşulmusunuzsa, ötürülən trafik yenidən şifrələnir. Yəni, HTTPS protokolundan istifadə edərək sayt açsanız belə, ötürülən trafik iki dəfə şifrələnir (birinci dəfə veb-brauzerdən veb serverə və əks istiqamətdə, ikinci dəfə cihazınızdan serverə ötürülən zaman). Giriş nöqtəsi, eləcə də əks istiqamətdə). HTTP protokolundan istifadə edərək sayt açsanız, ötürülən trafik yalnız bir dəfə şifrələnir (yalnız cihazınızdan Giriş nöqtəsinə və geri ötürmə zamanı).

Lakin açıq giriş nöqtələri trafiki şifrələmir. Buradan belə çıxır: açıq giriş nöqtəsindən istifadə edirsinizsə və HTTP protokolu ilə işləyən sayt açırsınızsa, məlumatlarınız aydın mətnlə ötürülür və sizə yaxın olan hər kəs onu tutub saxlaya bilər. HTTPS protokolundan istifadə edərək sayt açsanız, bu məlumatlar şifrələnir, lakin siz hələ də hansı saytları açdığınızı görə bilərsiniz (hansı səhifələri və nələri daxil etdiyinizi, məsələn, hansı şərhləri tərk etdiyinizi görə bilmirsiniz).

Beləliklə: açıq simsiz şəbəkələrin məlumatın tutulmasına həssas olduğunu xatırlamaq lazımdır.

Açıq Wi-Fi şəbəkələrində trafikin qarşısının alınması

Uğurlu bir hücum üçün sizə Linux ilə işləyən kompüter (məsələn, Kali Linux və ya BlackArch ilə), həmçinin Wi-Fi kartı lazımdır.

Simsiz interfeyslərin adlarına baxaraq başlayaq:

Gördüyünüz kimi bir neçə simsiz interfeysim var, istifadə edəcəyəm wlp0s20f0u2.

Simsiz interfeysi monitor rejiminə keçirik:

Sudo ip link set INTERFACE aşağı sudo iw INTERFACE set monitor nəzarət sudo ip link set INTERFACE up

Əvvəlki əmrlərdə əvəzinə İNTERFACE simsiz interfeysin sisteminizdə olan adı daxil etməlisiniz. Məsələn, wlp0s20f0u2 üçün əmrlər belə görünür:

Sudo ip link dəsti wlp0s20f0u2 aşağı sudo iw wlp0s20f0u2 set monitor nəzarəti sudo ip link dəsti wlp0s20f0u2 yuxarı

Alınan məlumat faylını Wireshark-da açın.

Fərqli məlumatları vurğulamaq üçün bizə Wireshark filtrləri lazımdır. Burada yalnız bəzi filtrlərdən istifadə nümunəsini göstərəcəyəm, faydalı Wireshark filtrlərinin böyük bir seçimini öyrənmək tövsiyə olunur.

Tutmanın keyfiyyətini qiymətləndirmək üçün TCP protokolunun təhlilinin nəticələrini çıxaran filtrlərdən başlaya bilərsiniz.

Misal üçün:

Tcp.analysis.duplicate_ack_num == 1

Bu filtr dublikat olan ACK bayrağı olan çərçivələr haqqında məlumatları göstərir. Çox sayda belə çərçivələr Müştəri və Giriş Nöqtəsi arasında əlaqə problemlərini göstərə bilər.

Əvvəlki seqmentin çəkilmədiyi çərçivələri göstərmək üçün filtr:

Tcp.analysis.ack_lost_segment

Bu, məlumatların toplanmasının başlanğıcında normaldır - çünki məlumat əvvəldən tutulmur. Lakin gələcəkdə bu xəta tez-tez baş verirsə, siz Giriş Nöqtəsindən və ya Müştərilərdən çox uzaqdasınız və onların ötürdüyü məlumatların bir hissəsini tutmusunuz.

Yenidən ötürülən (dəfələrlə göndərilən) kadrları göstərmək üçün:

Tcp.analysis.retransmission

Bu cür çərçivələrin çoxluğu Müştəri ilə AP arasında zəif əlaqənin olduğunu göstərə bilər və onlar tez-tez eyni məlumatları yenidən göndərməli olurlar.

Filtrdən istifadə

Siz ARP trafikini görə bilərsiniz - onun köməyi ilə hazırda yerli şəbəkəyə neçə cihazın qoşulduğunu, onların hansı IP ünvanlarına və hansı MAC ünvanlarına malik olduğunu təhlil etmək rahatdır. .

Filtrdən istifadə

göndərilən bütün DNS sorğularını görə bilərsiniz.

Bu sorğular sayəsində istifadəçilərin hansı saytlara daxil olduğunu (hətta bu saytlar HTTPS-dən istifadə etsə belə!), eləcə də hansı onlayn xidmət sorğularının edildiyini öyrənə bilərsiniz.

Məsələn, ekran görüntüsündə onlayn kinoteatr Netflix, Facebook və müxtəlif Google xidmətlərinin ünvanlarını görə bilərsiniz.

HTTP trafik filtrini filtrləmək üçün:

Burada bir çox maraqlı məlumatlar əldə edə bilərsiniz. Məsələn, siz API açarları, cihaz identifikatorları və s. daxil olmaqla, xidmətlərə sorğuları və ötürülən məlumatları görə bilərsiniz:

Siz ziyarət edilmiş URL-ləri bütün ötürülən parametrlərlə görə bilərsiniz:

İnternetdə yüklənmiş və açılmış fayllar görünür:

İstənilən köçürülmüş faylı saxlaya bilərsiniz. Bunu etmək üçün, siçanla (1) onun ehtiva etdiyi paketi seçin, sonra ətraflı məlumatı ehtiva edən orta paneldə məlumat sahəsini tapmaq üçün ən aşağıya sürüşdürün və kontekst menyusunu gətirmək üçün üzərinə sağ klikləyin. (2), kontekst menyusundan seçin Seçilmiş paket baytlarını ixrac edin(3) - Seçilmiş paketin baytlarını ixrac edin:

Fayl adını daxil edin, yeri seçin və onu yadda saxlayın.

Kimsə Windows-u yeniləyir:

İstifadəçi tərəfindən quraşdırılmış və ya istifadəçiyə göndərilən kukilər də görünür:

Filtrdən istifadə

Http.cookie

kukilərin ötürüldüyü HTTP sorğularını görə bilərsiniz.

Və filtrdən istifadə etməklə

Http.set_cookie

serverin istifadəçinin brauzerində kukilər quraşdırdığı sorğuları görə bilərsiniz.

Qonşular qəribə torrentləri yükləyir:

POST metodu ilə ötürülən məlumatlar da görünür:

Köçürülən şəkilləri axtarmaq üçün:

Http.content_type "şəkil" ehtiva edir

Xüsusi növ şəkilləri axtarmaq üçün:

Http.content_type "gif" ehtiva edir http.content_type "jpeg" ehtiva edir http.content_type "png" ehtiva edir

Müəyyən bir növ faylları axtarmaq üçün:

Http.content_type "mətn" ehtiva edir http.content_type "xml" ehtiva edir http.content_type "html" ehtiva edir http.content_type "json" ehtiva edir http.content_type "javascript" ehtiva edir http.content_type "x-www-form-urlencode" http ehtiva edir. content_type "sıxılmış" ehtiva edir http.content_type "tətbiq" ehtiva edir

Müəyyən növ faylları əldə etmək üçün sorğular üçün Wireshark-da axtarın. Məsələn, köçürülmüş ZIP ​​arxivlərini axtarmaq üçün:

Http.request.uri-də "zip" var

Əvəzinə http.request.uri Daha çox dəqiqlik üçün filtrlərdən istifadə edə bilərsiniz http.request.uri.path və ya http.request.uri.query məsələn, JPG fayllarını yükləmək üçün sorğuları axtarmaq üçün (şəkillərə keçidlər):

Http.request.uri.path "jpg" ehtiva edir

Yalnız POST metodu ilə ötürülən məlumatları göstərən filtr:

Http.request.method == "POST"

Yalnız GET metodu ilə ötürülən məlumatları göstərən filtr:

Http.request.method == "GET"

Müəyyən bir sayta (host) sorğuları axtarın:

Http.host == " "

Müəyyən bir sayta sorğuları adın hissəsi ilə axtarın:

Http.host "burada qismən.name" ehtiva edir

Nəticə

İndi şifrələmədən istifadə etməyən proqramların və saytların sayı sürətlə azalır. Ona görə də bu cür ələ keçirmə təhlükəsi hər il azalır. Buna baxmayaraq, oradadır.

Hətta HTTPS istifadə edən saytlar da bilmədən məlumat sızdıra bilər. Misal üçün:

Görünür ki, istifadəçidən booking.com-a məlumat şifrələnməmiş formada ötürülür, ona görə də bu keçid ələ keçirilə bilər.

iPhone proqramı təhlükəsiz bağlantıdan istifadə etmədən bəzi (audio?) faylları daim yükləyir:

Məşhur (bəzi bölgələrdə) qq.com ya şifrələmədən istifadə etmir, ya da öz alqoritmindən istifadə edir:

Bu cür müdaxilədən zəmanətli qorunma etibarlı VPN xidmətinin istifadəsidir. Etibarlı VPN xidməti sizin özünüz konfiqurasiya etdiyiniz xidmət və ya korporativ şəbəkənizin VPN xidməti hesab edilə bilər.