Οδηγός Wireshark: Δίκτυο & Sniffer κωδικών πρόσβασης

Πίνακας περιεχομένων:

Anonim

Οι υπολογιστές επικοινωνούν χρησιμοποιώντας δίκτυα. Αυτά τα δίκτυα θα μπορούσαν να είναι σε τοπικό δίκτυο LAN ή να εκτεθούν στο Διαδίκτυο. Το Network Sniffers είναι προγράμματα που καταγράφουν δεδομένα πακέτου χαμηλού επιπέδου που μεταδίδονται μέσω δικτύου. Ένας εισβολέας μπορεί να αναλύσει αυτές τις πληροφορίες για να ανακαλύψει πολύτιμες πληροφορίες, όπως αναγνωριστικά χρήστη και κωδικούς πρόσβασης.

Σε αυτό το άρθρο, θα σας παρουσιάσουμε κοινές τεχνικές sniffing δικτύου και εργαλεία που χρησιμοποιούνται για την εισπνοή δικτύων. Θα εξετάσουμε επίσης τα αντίμετρα που μπορείτε να εφαρμόσετε για την προστασία ευαίσθητων πληροφοριών που μεταδίδονται μέσω ενός δικτύου.

Θέματα που καλύπτονται σε αυτό το σεμινάριο

  • Τι είναι το δίκτυο sniffing;
  • Ενεργό και παθητικό ρουθούνισμα
  • Δραστηριότητα εισβολής: Δίκτυο Sniff
  • Τι είναι το Flooding Control Access Media (MAC)

Τι είναι το δίκτυο sniffing;

Οι υπολογιστές επικοινωνούν μεταδίδοντας μηνύματα σε ένα δίκτυο χρησιμοποιώντας διευθύνσεις IP. Μόλις σταλεί ένα μήνυμα σε ένα δίκτυο, ο υπολογιστής παραλήπτη με την αντίστοιχη διεύθυνση IP αποκρίνεται με τη διεύθυνση MAC του.

Το sniffing δικτύου είναι η διαδικασία αναχαίτισης πακέτων δεδομένων που αποστέλλονται μέσω δικτύου. Αυτό μπορεί να γίνει από το εξειδικευμένο πρόγραμμα λογισμικού ή τον εξοπλισμό υλικού. Το ρουθούνισμα μπορεί να χρησιμοποιηθεί για:

  • Λήψη ευαίσθητων δεδομένων, όπως διαπιστευτήρια σύνδεσης
  • Παρακολουθήστε μηνύματα συνομιλίας
  • Τα αρχεία καταγραφής έχουν μεταδοθεί μέσω δικτύου

Τα παρακάτω είναι πρωτόκολλα που είναι ευάλωτα στην εισπνοή

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • ΚΡΟΤΟΣ
  • FTP
  • IMAP

Τα παραπάνω πρωτόκολλα είναι ευάλωτα εάν τα στοιχεία σύνδεσης αποστέλλονται σε απλό κείμενο

Παθητικό και ενεργό ρουθούνισμα

Πριν εξετάσουμε την παθητική και ενεργή μυρωδιά, ας δούμε δύο μεγάλες συσκευές που χρησιμοποιούνται για τη δικτύωση υπολογιστών. πλήμνες και διακόπτες.

Ένας κόμβος λειτουργεί στέλνοντας μηνύματα μετάδοσης σε όλες τις θύρες εξόδου σε αυτό εκτός από εκείνο που έχει στείλει τη μετάδοση . Ο υπολογιστής παραλήπτη αποκρίνεται στο μήνυμα μετάδοσης εάν ταιριάζει η διεύθυνση IP. Αυτό σημαίνει ότι όταν χρησιμοποιείτε έναν διανομέα, όλοι οι υπολογιστές ενός δικτύου μπορούν να δουν το μήνυμα μετάδοσης. Λειτουργεί στο φυσικό επίπεδο (επίπεδο 1) του Μοντέλου OSI.

Το παρακάτω διάγραμμα δείχνει τον τρόπο λειτουργίας του κόμβου.

Ένας διακόπτης λειτουργεί διαφορετικά. χαρτογραφεί διευθύνσεις IP / MAC σε φυσικές θύρες σε αυτό . Τα μηνύματα μετάδοσης αποστέλλονται στις φυσικές θύρες που ταιριάζουν με τις διαμορφώσεις διευθύνσεων IP / MAC για τον παραλήπτη υπολογιστή. Αυτό σημαίνει ότι τα μηνύματα μετάδοσης προβάλλονται μόνο από τον υπολογιστή παραλήπτη. Οι διακόπτες λειτουργούν στο επίπεδο σύνδεσης δεδομένων (επίπεδο 2) και στο επίπεδο δικτύου (επίπεδο 3).

Το παρακάτω διάγραμμα δείχνει πώς λειτουργεί ο διακόπτης.

Η παθητική εισπνοή εμποδίζει πακέτα που μεταδίδονται μέσω δικτύου που χρησιμοποιεί διανομέα . Ονομάζεται παθητική εισπνοή επειδή είναι δύσκολο να εντοπιστεί. Είναι επίσης εύκολο να εκτελεστεί καθώς ο διανομέας στέλνει μηνύματα μετάδοσης σε όλους τους υπολογιστές του δικτύου.

Το ενεργό sniffing είναι πακέτα παρακολούθησης που μεταδίδονται μέσω δικτύου που χρησιμοποιεί διακόπτη . Υπάρχουν δύο βασικές μέθοδοι που χρησιμοποιούνται για την εναλλαγή συνδεδεμένων δικτύων, το ARP Poisoning και το MAC πλημμύρα.

Δραστηριότητα εισβολής: Sniff κυκλοφορία δικτύου

Σε αυτό το πρακτικό σενάριο, θα χρησιμοποιήσουμε το Wireshark για να εισπνεύσουμε πακέτα δεδομένων καθώς μεταδίδονται μέσω πρωτοκόλλου HTTP . Για αυτό το παράδειγμα, θα εισπνεύσουμε το δίκτυο χρησιμοποιώντας το Wireshark και μετά θα συνδεθούμε σε μια εφαρμογή ιστού που δεν χρησιμοποιεί ασφαλή επικοινωνία. Θα συνδεθούμε σε μια διαδικτυακή εφαρμογή στο http://www.techpanda.org/

Η διεύθυνση σύνδεσης είναι Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από κακόβουλη χρήση. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να τη δείτε. και ο κωδικός πρόσβασης είναι Password2010 .

Σημείωση: θα συνδεθούμε στην εφαρμογή Ιστού μόνο για λόγους επίδειξης. Η τεχνική μπορεί επίσης να εισπνεύσει πακέτα δεδομένων από άλλους υπολογιστές που βρίσκονται στο ίδιο δίκτυο με αυτό που χρησιμοποιείτε για να εισπνεύσετε. Το sniffing δεν περιορίζεται μόνο στο techpanda.org, αλλά επίσης εισπράττει όλα τα πακέτα δεδομένων HTTP και άλλων πρωτοκόλλων.

Μύρωση του δικτύου χρησιμοποιώντας το Wireshark

Η παρακάτω εικόνα σας δείχνει τα βήματα που θα κάνετε για να ολοκληρώσετε αυτήν την άσκηση χωρίς σύγχυση

Κατεβάστε το Wireshark από αυτόν τον σύνδεσμο http://www.wireshark.org/download.html

  • Ανοίξτε το Wireshark
  • Θα εμφανιστεί η ακόλουθη οθόνη
  • Επιλέξτε τη διεπαφή δικτύου που θέλετε να εισπνεύσετε. Σημείωση για αυτήν την επίδειξη, χρησιμοποιούμε σύνδεση ασύρματου δικτύου. Εάν βρίσκεστε σε δίκτυο τοπικής περιοχής, τότε θα πρέπει να επιλέξετε τη διεπαφή δικτύου τοπικής περιοχής.
  • Κάντε κλικ στο κουμπί έναρξης όπως φαίνεται παραπάνω
  • Ανοίξτε το πρόγραμμα περιήγησης ιστού και πληκτρολογήστε http://www.techpanda.org/
  • Το email σύνδεσης είναι Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από κακόβουλη χρήση. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να τη δείτε. και ο κωδικός πρόσβασης είναι Password2010
  • Κάντε κλικ στο κουμπί υποβολής
  • Μια επιτυχής σύνδεση θα πρέπει να σας δώσει τον ακόλουθο πίνακα ελέγχου
  • Επιστρέψτε στο Wireshark και σταματήστε τη ζωντανή λήψη
  • Φιλτράρισμα για αποτελέσματα πρωτοκόλλου HTTP χρησιμοποιώντας μόνο το πλαίσιο κειμένου φίλτρου
  • Εντοπίστε τη στήλη Πληροφορίες και αναζητήστε καταχωρήσεις με το ρήμα HTTP POST και κάντε κλικ σε αυτήν
  • Ακριβώς κάτω από τις καταχωρίσεις καταγραφής, υπάρχει ένας πίνακας με μια σύνοψη των ληφθέντων δεδομένων. Αναζητήστε τη σύνοψη που λέει δεδομένα κειμένου βάσει γραμμής: application / x-www-form-urlencoded
  • Θα πρέπει να μπορείτε να δείτε τις τιμές απλού κειμένου όλων των μεταβλητών POST που υποβάλλονται στον διακομιστή μέσω πρωτοκόλλου HTTP.

Τι είναι το MAC Flooding;

Το MAC flooding είναι μια τεχνική sniffing δικτύου που πλημμυρίζει τον πίνακα διακόπτη MAC με ψεύτικες διευθύνσεις MAC . Αυτό οδηγεί σε υπερφόρτωση της μνήμης του διακόπτη και το κάνει να λειτουργεί ως διανομέας. Όταν ο διακόπτης έχει παραβιαστεί, στέλνει τα μηνύματα μετάδοσης σε όλους τους υπολογιστές ενός δικτύου. Αυτό καθιστά δυνατή την εισπνοή πακέτων δεδομένων καθώς έστειλαν στο δίκτυο.

Αντιμετώπιση μέτρων κατά των πλημμυρών MAC

  • Ορισμένοι διακόπτες έχουν τη δυνατότητα ασφαλείας θύρας . Αυτή η δυνατότητα μπορεί να χρησιμοποιηθεί για τον περιορισμό του αριθμού διευθύνσεων MAC στις θύρες. Μπορεί επίσης να χρησιμοποιηθεί για τη διατήρηση ενός ασφαλούς πίνακα διευθύνσεων MAC εκτός από αυτόν που παρέχεται από το διακόπτη.
  • Οι διακομιστές ελέγχου ταυτότητας, εξουσιοδότησης και λογιστικής μπορούν να χρησιμοποιηθούν για το φιλτράρισμα διευθύνσεων MAC που ανακαλύφθηκαν.

Μετρητικά εισπνοής

  • Ο περιορισμός στα φυσικά μέσα δικτύου μειώνει σημαντικά τις πιθανότητες εγκατάστασης ενός sniffer δικτύου
  • Η κρυπτογράφηση μηνυμάτων καθώς μεταδίδονται μέσω του δικτύου μειώνει σημαντικά την αξία τους καθώς είναι δύσκολο να αποκρυπτογραφηθεί.
  • Αλλαγή του δικτύου σε ασφαλή Shell (SSH) δικτύου μειώνει επίσης τις πιθανότητες του δικτύου έχουν μύρισε.

Περίληψη

  • Το sniffing δικτύου εμποδίζει πακέτα καθώς μεταδίδονται μέσω του δικτύου
  • Η παθητική εισπνοή γίνεται σε δίκτυο που χρησιμοποιεί διανομέα. Είναι δύσκολο να εντοπιστεί.
  • Η ενεργή εισπνοή γίνεται σε ένα δίκτυο που χρησιμοποιεί διακόπτη. Είναι εύκολο να εντοπιστεί.
  • Η πλημμύρα MAC λειτουργεί πλημμυρίζοντας τη λίστα διευθύνσεων πίνακα MAC με ψεύτικες διευθύνσεις MAC. Αυτό κάνει το διακόπτη να λειτουργεί σαν HUB
  • Τα μέτρα ασφαλείας όπως περιγράφονται παραπάνω μπορούν να βοηθήσουν στην προστασία του δικτύου από την εισβολή.