Як визначити, що мій трафік перехоплюють? Wireshark (перехоплювач мережних пакетів) Дослідження вмісту пакетів
У кожного з команди ][ свої переваги щодо софту і утиліт для
пен-тесту. Порадившись, ми з'ясували, що вибір так відрізняється, що можна
скласти справжній джентльменський набір із перевірених програм. На тому і
вирішили. Щоб не робити збірну солянку, весь список ми розбили на теми – і в
цього разу торкнемося утиліт для сніфінгу та маніпулювання пакетами. Користуйся
здоров'я.
Wireshark
Netcat
Якщо говорити про перехоплення даних, то Network Minerзніме з «ефіру»
(або із заздалегідь підготовленого дампа в PCAP-форматі) файли, сертифікати,
зображення та інші медіа, а також паролі та іншу інфу для авторизації.
Корисна можливість – пошук тих ділянок даних, що містять ключові слова
(наприклад, логін користувача).
Scapy
Сайт:
www.secdev.org/projects/scapy
Must-have для будь-якого хакера, що є наймогутнішою тулзою для
інтерактивної маніпуляції пакетами Прийняти та декодувати пакети самих
різних протоколів, відповісти на запит, інжектувати модифікований та
власноруч створений пакет – все легко! З її допомогою можна виконувати цілий
ряд класичних завдань, на кшталт сканування, tracorute, атак та визначення
інфраструктури мережі. В одному флаконі ми отримуємо заміну таких популярних утиліт,
як: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f і т.д. У те
ж саме час Scapyдозволяє виконати будь-яке, навіть найспецифічніше
завдання, яке ніколи не зможе зробити вже створене іншим розробником
засіб. Замість того, щоб писати цілу гору рядків на Сі, щоб, наприклад,
згенерувати неправильний пакет і зробити фазинг якогось демона, достатньо
накидати пару рядків коду з використанням Scapy! У програми немає
графічного інтерфейсу, а інтерактивність досягається за рахунок інтерпретатора
Python. Ледве освоїшся, і тобі вже нічого не буде коштувати створити некоректні
пакети, інжектувати потрібні фрейми 802.11, поєднувати різні підходи в атаках
(Скажімо, ARP cache poisoningта VLAN hopping) і т.д. Розробники самі наполягають
на тому, щоб можливості Scapy використовувалися в інших проектах. Підключивши її
як модуль, легко створити утиліту для різноманітних досліджень локалки,
пошуку вразливостей, Wi-Fi інжекції, автоматичного виконання специфічних
задач і т.д.
packeth
Сайт:
Платформа: * nix, є порт під Windows
Цікава розробка, що дозволяє, з одного боку, генерувати будь-який
ethernet пакет, і, з іншого, відправляти послідовності пакетів з метою
перевірки пропускної спроможності. На відміну від інших подібних тулз, packeth
має графічний інтерфейсдозволяючи створювати пакети в максимально простий
формі. Дальше більше. Особливо опрацьовано створення та відправлення
послідовності пакетів. Ти можеш встановлювати затримки між відправкою,
надсилати пакети з максимальною швидкістю, щоб перевірити пропускну здатність
ділянки мережі (ага, ось сюди й будуть ддосить) і, що ще цікавіше -
динамічно змінювати параметри в пакетах (наприклад, IP або MAC-адресу).
Методи перехоплення мережевого трафіку
Перехоплення TCP-з'єднання
Висновок
У цьому уроці описані технології мережевого хакінгу, що базуються на перехопленні мережевих пакетів. Хакери використовують такі технології для прослуховування мережного трафіку з метою розкрадання цінної інформації, для організації перехоплення даних з метою атаки "людина посередині", для перехоплення TCP-з'єднань, що дозволяють, скажімо, підміняти дані, та виконання інших, не менш цікавих дій. На жаль, більшість цих атак на практиці реалізована тільки для мереж Unix, для яких хакери можуть використовувати як спеціальні утиліти, так і системні засоби Unix. Мережі Windows, мабуть, обійдені увагою хакерів, і ми змушені обмежитися при описі інструментів перехоплення даних програмами-сніферами, призначеними для тривіального прослуховування мережних пакетів. Проте не слід нехтувати хоча б теоретичним...
0 0
Вам знадобиться
Утиліта Comm Traffic; - комп'ютер із ОС Windows.
Інструкція
Завантажте програму CommTraffic із сайту розробника та встановіть її згідно з інструкціями.
Налаштуйте мережеві опції у програмі CommTraffic, перш ніж розпочати роботу. Для цього запустіть майстер налаштування. Натисніть кнопку «Налаштування», розташовану в меню, потім натисніть кнопку «Майстер», розташовану на сторінці «Мережа» -> «Майстер».
Переконайтеся, що між Консоллю CommTraffic та Службою CommTraffic встановлено з'єднання. Після цього натисніть кнопку «Далі» у вікні привітання та виберіть правильну мережну конфігурацію на екрані «Налаштування мережі».
Якщо ваш комп'ютер не з'єднаний з локальною мережею і у вас є модемне (dial-up) з'єднання з інтернетом, то виберіть опцію «комп'ютер, що окремо стоїть». Якщо ваш комп'ютер підключено до Інтернету через локальну мережу, виберіть «Цей комп'ютер входить до локальної мережі». Натисніть кнопку «Далі», щоб перейти на екран вибору...
0 0
Адміністрація систем Linux. Перехоплення мережевого трафіку
Розділ 23. Перехоплення мережевого трафіку
Адміністратор мережі повинен вміти працювати зі сніффером, таким як wireshark або tcpdump, для діагностування проблем мережі.
Студенту також доведеться нерідко вдаватися до використання сніффера для того, щоб розібратися у принципах функціонування мереж. У цьому розділі описуються відповідні методики перехоплення мережного трафіку.
23.1. Додаток wireshark
23.1.1. Установка wireshark
У цьому прикладі наведено команду для встановлення програми wiresharkу дистрибутивах, які використовують пакети програмного забезпечення з розширенням.deb (включаючи Debian, Mint, Xubuntu та інші дистрибутиви).
Root@debian8:~# Читання списків пакетів Готово Побудова дерева залежностей Читання інформації про...
0 0
IRIS відноситься до класу програм-сніферів, що дозволяють виконувати перехоплення "чужого" мережевого трафіку. У звичайному режимі роботи мережна плата (та її програмне забезпечення) приймають кадри, які адресуються її MAC-адресою або є широкомовними (Broadcast) посилками, що мають у полі MAC-адреси шістнадцяткове значення FFFFFFFFFFFF. Сніфери переводять її в так званий "нерозбірливий режим" (Promiscuous mode), коли приймається всі кадри, незалежно від того, куди вони адресовані. Таким чином, можна збирати та аналізувати весь мережевий трафік на вибраному мережевому адаптері (або контролері) віддаленого доступу). Якщо мережа побудована з використанням (рідко, але буває) "хабів" (Hub), то комп'ютер із IRIS може перехопити весь трафік колізійного сегмента мережі. Після інсталяції IRIS готова до роботи, але я рекомендую зробити деякі налаштування, вибравши "Tools -- Settings -- Miscellaneous" для збільшення розміру буфера для перехоплення пакетів (за замовчуванням...
0 0
Аналізатори мережних пакетів
Сергій Пахомов
Принципи роботи пакетних сніферів
Обмеження використання сніферів
Огляд програмних пакетних сніферів
Ethereal 0.10.14
Iris Network Traffic Analyzer4.07
Аналізатори мережевих пакетів, або сніфери, спочатку були розроблені як рішення мережевих проблем. Вони вміють перехоплювати, інтерпретувати та зберігати для подальшого аналізу пакети, що передаються по мережі. З одного боку, це дозволяє системним адміністраторам та інженерам служби технічної підтримки спостерігати за тим, як дані передаються по мережі, діагностувати та усувати проблеми, що виникають. У цьому сенсі пакетні сніфери є потужним інструментом діагностики мережевих проблем. З іншого боку, подібно до багатьох інших потужних засобів, що спочатку призначалися для адміністрування, з часом сніфери стали застосовуватися абсолютно для інших цілей.
0 0
Вітаю, друзі.
Іноді виникає необхідність проаналізувати трафік певного мобільного додатку. Нерідко він передається по HTTP(S), з метою запобігти перехопленню та модифікації переданих даних (проте це, як ви переконаєтеся нижче, це не завжди допомагає).
У цій замітці буде описано перехоплення трафіку, у тому числі HTTPS, обхід SSL та Certificate Pinning (що не дозволяє просто додати свій сертифікат, замінивши легітимний), наприклад Twitter, Facebook.
Для чого це може стати в нагоді:
Дізнатися як працює той чи інший сервіс, зрозуміти як працює недокументований API, начитати в грі або змусити програму вважати себе купленим.
Ну чи просто зручно налагоджувати свої програми.
Вибір за вами
Для здійснення перехоплення трафіку програми із сервером знадобиться:
1) Будь-який Apple пристрій з IOS 6-8.x c jailbreak (для перехоплення HTTPS, для перехоплення HTTP-трафіку).
0 0
У цій темі я розповім як перехоплювати частину трафіку, що йде через роутер (у тому числі wi-fi). Техніка атаки - ARP-spoofing.
Нам знадобиться безкоштовний сніфер Cain&Abel (http://www.oxid.it/cain.html).
Але для початку трохи теорії.
ARP-spoofing – техніка атаки в Ethernet мережах, що дозволяє перехоплювати трафік між хостами. Заснована на використанні протоколу ARP.
При використанні розподіленої ВС алгоритмів віддаленого пошуку існує можливість здійснення в такій мережі типової видаленої атаки «хибний об'єкт РВС». Аналіз безпеки протоколу ARP показує, що, перехопивши на атакуючому хості всередині даного сегмента мережі широкомовний ARP-запит, можна надіслати помилкову ARP-відповідь, в якій оголосити себе хостом (наприклад, маршрутизатором), і надалі активно контролювати мережевий трафік дезінформованого хоста, впливаючи нею за схемою «хибний об'єкт РВС».
Як уберегтися від ARP спуфінгу?
1) Використовувати спец.
0 0
Intercepter– це багатофункціональний мережевий інструмент, який дозволяє отримати дані з трафіку (паролі, повідомлення в месенджерах, листування тощо) та реалізувати різні MiTM-атаки.
Інтерфейс програми Intercepter
Основний функціонал
- Перехоплення повідомлень месенджерів.
- Перехоплення кукіс файлів та паролів.
- Перехоплення активності (сторінки, файли, дані).
- Можливість заміни скачування файлів, додаючи шкідливі файли. Можна використовувати разом із іншими утилітами.
- Заміна сертифікатів Https на Http.
Messengers Mode– дозволяє перевіряти листування, яке було надіслано у незашифрованому вигляді. Застосовувалась для перехоплення повідомлень у таких месенджерах ICQ, AIM, JABBER повідомлень.
Ressurection Mode– відновлення корисних даних із трафіку, з протоколів, які передають трафік у відкритому вигляді. Коли жертва переглядає файли, сторінки, дані, їх можна частково або повністю перехоплювати. Додатково можна вказати розмір файлів, щоб завантажувати програму маленькими частинами. Цю інформацію можна використовуватиме аналізу.
Password Mode– режим роботи з файлами cookie. Таким чином, можна отримати доступ до відвідуваних файлів жертви.
Scan mode- Основний режим для тестування. Для початку сканування необхідно натиснути правою кнопкою миші Smart Scan. Після сканування у вікні будуть відображатися всі учасники мережі, їх операційна системата інші параметри.
Додатково можна просканувати порти в цьому режимі. Необхідно скористатися функцією Scan Ports. Звичайно, для цього є і набагато функціональні утиліти, але наявність цієї функції – важливий момент.
Якщо нас цікавить цілеспрямована атака, то після сканування необхідно додати цільової IP в Nat за допомогою команди (Add to Nat). В іншому вікні можна буде здійснити інші атаки.
Nat Mode.Основний режим, який дозволяє проводити низку атак по ARP. Це основне вікно, яке дозволяє проводити цілеспрямовані атаки.
DHCP режим.Це режим, який дозволяє підняти свій сервер DHCP для реалізації атак DHCP по середині.
Деякі види атак, які можна проводити
Підміна сайту
Для підміни сайту у жертви необхідно перейти до Target, після цього необхідно вказати сайт та його підміну. Таким чином можна підмінити чимало сайтів. Все залежить від того, наскільки якісним буде фейк.
Підміна сайту
Приклад для VK.com
Вибираємо атаку MiTM
Змінюємо правило для ін'єкції
В результаті жертва відкриває фейковий сайт за запитом vk.com. І в режимі паролів повинен бути логін та пароль жертви:
Щоб провести цілеспрямовану атаку, необхідно вибрати жертву зі списку і додати її в таргет. Це можна зробити правою кнопкою миші.
Додавання MiTm атаки
Тепер у режимі Ressurection Mode можна відновити різні дані з трафіку.
Файли та інформація жертви за допомогою MiTm атаки
Підміна трафіку
Вказівки налаштувань
Після цього у жертви змінюватиметься запит "trust" на "loser".
Додатково можна убити кукіс-файли, щоб жертва вийшла з усіх облікових записів і повторно авторизувалася. Це дозволить перехопити логіни та паролі.
Знищення кукіс файлів
Як побачити потенційного сніферра у мережі за допомогою Intercepter?
За допомогою опції Promisc Detection можна знайти пристрій, який веде сканування в локальній мережі. Після сканування у графі status буде "Sniffer". Це перший спосіб, який дозволяє визначити сканування в локальній мережі.
Виявлення Sniffer
Пристрій SDR HackRF
SDR – це своєрідний радіоприймач, який дозволяє працювати з різними радіочастотними параметрами. Таким чином можна перехоплювати сигнал Wi-Fi, GSM, LTE і т.д.
HackRF – це повноцінний SDR-пристрій за 300 доларів. Автор проекту Майкл Оссман розробляє успішні пристрої у цьому напрямку. Раніше було розроблено та успішно реалізовано Bluetooth-сніфер Ubertooth. HackRF успішний проект, який зібрав понад 600 тисяч на Kickstarter. Вже реалізовано 500 таких пристроїв для бета-тестування.
HackRF працює у діапазоні частот від 30 МГц до 6 ГГц. Частота дискретизації становить 20 МГц, що дозволяє перехоплювати сигнали Wi-FI та мереж LTE.
Як убезпечити себе на локальному рівні?
Для початку скористаємося софтом SoftPerfect WiFi Guard. Є портативна версія, яка займає трохи більше 4 мб. Вона дозволяє сканувати мережу та відображати, які пристрої в ній відображені. У ній є налаштування, які дозволяють вибрати мережну карту та максимальну кількість сканованих пристроїв. Додатково можна встановити інтервал сканування.
Вікно сповіщення незнайомих девайсів після кожного заданого інтервалу сканування
Висновок
Таким чином, ми розглянули на практиці використання програмного забезпечення для перехоплення даних всередині мережі. Розглянули кілька конкретних атак, які дозволяють отримати дані для входу та іншу інформацію. Додатково розглянули SoftPerfect WiFi Guard, що дозволяє на примітивному рівні захистити локальну мережу від прослуховування трафіку.
Перехопленням даних через мережувважається отримання будь-якої інформації з віддаленого комп'ютерного пристрою. Вони можуть складатися з особистих даних користувача, його повідомлень, інформації про відвідування веб-сайтів. Захоплення даних може здійснюватися програмами-шпигунами або за допомогою мережевих сніферів.
Шпигунські програми являють собою спеціальне програмне забезпечення, здатне записувати всю інформацію, що передається по мережі, з конкретної робочої станції або пристрою.
Сніффер називають програму або комп'ютерну техніку, що перехоплює і аналізує трафік, який проходить через мережу. Сніффер дозволяє підключатися до веб-сесії та здійснювати різні операції від імені власника комп'ютера.
Якщо дані передаються не в режимі реального часу, шпигунські програми формують звіти, за якими зручно дивитися та аналізувати інформацію.
Перехоплення через мережу може організовуватися на законних підставах або виконуватися протизаконно. Головним документом, що фіксує законність заволодіння інформацією, є Конвенція про кіберзлочинність. Вона створена в Угорщині у 2001 році. Правові вимоги різних країн можуть дещо відрізнятися, але головне значення одна для всіх країн.
Класифікація та способи перехоплення даних через мережу
Перехоплення інформації по мережі можна розділити на два види:
- санкціонований
- несанкціонований
Санкціоноване захоплення даних здійснюється з різною метою, починаючи від захисту корпоративної інформації до забезпечення безпеки держави. Підстави для виконання такої операції визначаються законодавством, спеціальними службами, правоохоронцями, фахівцями адміністративних організацій, служб безпеки компаній.
Існують міжнародні стандарти виконання перехоплення даних. Європейський інститут телекомунікаційних стандартів зумів привести до єдиної норми ряд технічних процесів, на яких базується перехоплення інформації. В результаті було розроблено системну архітектуру, яка допомагає фахівцям секретних служб, мережевим адміністраторам законно заволодіти даними з мережі. Розроблена структура реалізації перехоплення даних по мережі застосовується для проводової/бездротової системи виклику голосом, а також до листування поштою, передачі голосових повідомлень по IP, обміну інформацією SMS.
Несанкціонований перехоплення даних через мережу здійснюється зловмисниками, які бажають заволодіти конфіденційними даними, паролями, корпоративними таємницями, адресами комп'ютерних машин мережі тощо. Для реалізації своїх цілей хакери зазвичай використовують мережевий аналізатор трафіку – сніффер. Ця програмаабо пристрій апаратно-програмного типу дає шахраю можливість перехоплювати та аналізувати інформацію всередині мережі, до якої підключено він і користувач, на якого націлена атака, і навіть зашифрований SSL трафік через заміну сертифікатів. Даними з трафіку можна оволодіти:
- Прослуховування інтерфейсу мережі
- Підключенням пристрою перехоплення у розрив каналу
- Створенням гілки трафіку та її дублювання на сніффер
- Шляхом проведення атаки
Існують і складніші технології перехоплення важливих відомостей, що дозволяють вторгатися в мережеву взаємодію та змінювати дані. Одна з таких технологій – помилкові запити ARP. Суть способу полягає в заміні IP-адрес між комп'ютером жертви і своєю IP-адресою. Ще один метод, за допомогою якого можна виконати перехоплення даних по мережі - помилкова маршрутизація. Він полягає в заміні IP-адреси маршрутизатора мережі своєю адресою. Якщо шахрай знає, як організовано локальна мережа, в якій знаходиться жертва, зможе легко організувати отримання інформації з машини користувача на свою IP-адресу. Захоплення TCP-з'єднання також служить дієвим способомперехоплення даних. Зловмисник перериває сеанс зв'язку шляхом генерації та відправки на комп'ютер жертви ТСР-пакетів. Далі сеанс зв'язку відновлюється, перехоплюється та продовжується злочинцем замість клієнта.
Об'єкт впливу
Об'єктами перехоплення даних у мережі можуть бути державні установи, промислові підприємства, комерційні структури, пересічні користувачі. Всередині організації або бізнес-компанії може реалізовуватись захоплення інформації з метою захисту інфраструктури мережі. Спецслужби органи правопорядку можуть здійснювати масове перехоплення інформації, що передається від різних власників, залежно від поставленого завдання.
Якщо говорити про кіберзлочинців, то об'єктом впливу з метою отримання даних, що передаються по мережі, може стати будь-який користувач або організація. При санкціонованому доступі важлива інформативна частина отриманих відомостей, тоді як зловмисника більше цікавлять дані, з допомогою яких можна оволодіти коштами чи цінної інформації її подальшого продажу.
Найчастіше жертвами перехоплення інформації з боку кіберзлочинців стають користувачі, які підключаються до громадської мережі, наприклад, у кафе з Wi-Fi. Зловмисник підключається до веб-сесії за допомогою сніфера, підміняє дані та здійснює крадіжку особистої інформації. Докладніше про те, як це відбувається, описано у статті .
Джерело загрози
Санкціонованим перехопленням відомостей у компаніях та організаціях займаються оператори інфраструктури мереж загального користування. Їхня діяльність спрямована на захист персональних даних, комерційних таємниць та іншої важливої інформації. На законних підставах за передачею повідомлень та файлів можуть стежити спецслужби, правоохоронні органи та різні державні структури для забезпечення безпеки громадян та держави.
Незаконним перехопленням даних займаються зловмисники. Щоб не стати жертвою кіберзлочинця, потрібно дотримуватися деяких рекомендацій фахівців. Наприклад, не слід виконувати операції, що вимагають авторизації та передачі важливих даних, у місцях, де підключення відбувається до загальнодоступних мереж. Безпечніше вибирати мережі з шифруванням, а ще краще - використовувати власні 3G-LTE-модеми. При передачі особисті дані рекомендують зашифрувати, використовуючи протокол HTTPS або особистий VPN-тунель.
Захистити комп'ютер від перехоплення мережевого трафіку можна за допомогою криптографії, антисніферів; знизить ризики комутований, а не бездротовий доступ до мережі.
