Was ist Intercepter-NG
Betrachten Sie das Wesen der Funktionsweise von ARP weiter einfaches Beispiel. Computer A (IP-Adresse 10.0.0.1) und Computer B (IP-Adresse 10.22.22.2) sind über ein Ethernet-Netzwerk verbunden. Computer A möchte ein Datenpaket an Computer B senden, ihm ist die IP-Adresse von Computer B bekannt. Das Ethernet-Netzwerk, mit dem sie verbunden sind, funktioniert jedoch nicht mit IP-Adressen. Daher muss Computer A die Adresse von Computer B kennen, um über Ethernet zu übertragen. Ethernet-Netzwerke(MAC-Adresse in Ethernet-Begriffen). Für diese Aufgabe wird das ARP-Protokoll verwendet. Computer A verwendet dieses Protokoll, um eine Broadcastanforderung an alle Computer in derselben Broadcastdomäne zu senden. Die Essenz der Anfrage: "Computer mit der IP-Adresse 10.22.22.2, teilen Sie dem Computer mit der MAC-Adresse Ihre MAC-Adresse mit (z. B. a0:ea:d1:11:f1:01)". Das Ethernet-Netzwerk übermittelt diese Anfrage an alle Geräte im selben Ethernet-Segment, einschließlich Computer B. Computer B antwortet Computer A mit der Anfrage und meldet seine MAC-Adresse (z. B. 00:ea:d1:11:f1:11). Nachdem er die MAC-Adresse von Computer B erhalten hat, kann Computer A beliebige Daten über das Ethernet-Netzwerk an ihn senden.
Damit nicht vor jedem Datenversand das ARP-Protokoll verwendet werden muss, werden die empfangenen MAC-Adressen und die dazugehörigen IP-Adressen für einige Zeit in der Tabelle festgehalten. Wenn Sie Daten an dieselbe IP senden müssen, müssen Sie die Geräte nicht jedes Mal auf der Suche nach dem gewünschten MAC abfragen.
Wie wir gerade gesehen haben, enthält ARP eine Anfrage und eine Antwort. Die MAC-Adresse aus der Antwort wird in die MAC/IP-Tabelle geschrieben. Beim Empfang einer Antwort wird diese in keiner Weise auf Echtheit geprüft. Außerdem wird nicht einmal überprüft, ob die Anfrage gestellt wurde. Diese. Sie können sofort eine ARP-Antwort an die Zielgeräte (auch ohne Anfrage) mit gefälschten Daten senden, und diese Daten fallen in die MAC / IP-Tabelle und werden für die Datenübertragung verwendet. Dies ist die Essenz des ARP-Spoofing-Angriffs, der manchmal als ARP-Poisoning oder ARP-Cache-Poisoning bezeichnet wird.
Beschreibung des ARP-Spoofing-Angriffs
Zwei Computer (Knoten) M und N in lokales Netzwerk Ethernets tauschen Nachrichten aus. Angreifer X, der sich im selben Netzwerk befindet, möchte Nachrichten zwischen diesen Knoten abfangen. Bevor ein ARP-Spoofing-Angriff auf die Netzwerkschnittstelle von Knoten M angewendet wird, enthält die ARP-Tabelle IP und MAC-Adresse Node N. Auch auf der Netzwerkschnittstelle von Node N enthält die ARP-Tabelle die IP und MAC von Node M.
Während eines ARP-Spoofing-Angriffs sendet Host X (der Angreifer) zwei ARP-Antworten (keine Anfrage) an Host M und Host N. Die ARP-Antwort an Host M enthält die IP-Adresse von N und die MAC-Adresse von X. Die ARP-Antwort an Host N enthält die IP-Adresse M und die MAC-Adresse X.
Da die Computer M und N spontanes ARP unterstützen, ändern sie nach Erhalt einer ARP-Antwort ihre ARP-Tabellen, und die ARP-Tabelle M enthält nun die MAC-Adresse von X, die an die IP-Adresse N gebunden ist, und die ARP-Tabelle N enthält die MAC-Adresse X an die IP-Adresse M gebunden.
Somit ist der ARP-Spoofing-Angriff abgeschlossen, und nun gehen alle Pakete (Frames) zwischen M und N durch X. Wenn M beispielsweise ein Paket an Computer N senden möchte, dann schaut M in seiner ARP-Tabelle nach und findet eins Eintrag mit der IP-Adresse des Hosts N, wählt daraus die MAC-Adresse aus (und dort steht bereits die MAC-Adresse des Knotens X) und überträgt das Paket. Das Paket kommt an Schnittstelle X an, wird dort geparst und dann an Knoten N weitergeleitet.
Jedes Mitglied des ][-Teams hat seine eigenen Vorlieben in Bezug auf Software und Dienstprogramme für
Pen-Test. Nach der Beratung haben wir festgestellt, dass die Auswahl so unterschiedlich ist, dass Sie können
machen ein echtes Gentleman-Set aus bewährten Programmen. Darauf und
entschieden. Um kein Sammelsurium zu bilden, haben wir die gesamte Liste in Themen unterteilt – und in
Dieses Mal werden wir Dienstprogramme zum Sniffing und zur Paketmanipulation ansprechen. Verwenden Sie auf
Gesundheit.
Wireshark
Netzkat
Wenn wir über das Abfangen von Daten sprechen, dann Netzwerk-Miner Nimm es aus der Luft
(oder aus einem vorgefertigten Dump im PCAP-Format) Dateien, Zertifikate,
Bilder und andere Medien sowie Passwörter und andere Informationen zur Autorisierung.
Eine nützliche Funktion ist die Suche nach den Datenabschnitten, die Schlüsselwörter enthalten
(z. B. Benutzeranmeldung).
Scapy
Webseite:
www.secdev.org/projects/scapy
Must-Have für jeden Hacker, das ist das mächtigste Werkzeug für
interaktive Paketmanipulation. Empfangen und entschlüsseln Sie die meisten Pakete
verschiedene Protokolle, reagieren auf eine Anfrage, injizieren eine modifizierte und
handgefertigtes Paket - alles ist einfach! Damit können Sie ein Ganzes durchführen
eine Reihe klassischer Aufgaben wie Scannen, Tracorute, Angriffe und Erkennung
Netzwerkinfrastruktur. In einer Flasche erhalten wir einen Ersatz für solche beliebten Dienstprogramme,
wie: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f usw. Dabei
gleiche Zeit Scapy ermöglicht es Ihnen, selbst die spezifischsten auszuführen
eine Aufgabe, die niemals von einem anderen Entwickler erstellt wurde
bedeutet. Anstatt einen ganzen Berg von Zeilen in C zu schreiben, damit zum Beispiel
Generieren Sie das falsche Paket und fuzzen Sie einen Daemon, es ist genug
Werfen Sie ein paar Codezeilen mit Scapy! Das Programm hat keine
grafische Benutzeroberfläche, und die Interaktivität wird durch den Interpreter erreicht
Python. Gewöhnen Sie sich ein wenig daran, und es kostet Sie nichts, falsch zu erstellen
Pakete, schleusen die notwendigen 802.11-Frames ein, kombinieren verschiedene Angriffsansätze
(z. B. ARP-Cache-Poisoning und VLAN-Hopping) usw. Die Entwickler bestehen darauf
darauf, dass die Fähigkeiten von Scapy in anderen Projekten genutzt werden. Verbinde sie
Als Modul ist es einfach, ein Dienstprogramm für verschiedene Arten lokaler Forschung zu erstellen.
Suche nach Schwachstellen, Wi-Fi-Injektion, automatische Ausführung Spezifisch
Aufgaben usw.
Paketh
Webseite:
Plattform: *nix, es gibt eine Portierung für Windows
Eine interessante Entwicklung, die es einerseits erlaubt, beliebige zu generieren
Ethernet-Paket und senden andererseits Paketfolgen an
Schecks Bandbreite. Im Gegensatz zu anderen ähnlichen Tools Paketh
Es hat GUI, mit dem Sie auf einfachste Weise Pakete erstellen können
form. Außerdem. Besonders hat die Erstellung und der Versand geklappt
Paketsequenzen. Sie können Verzögerungen zwischen dem Senden festlegen,
Pakete senden von maximale Geschwindigkeit Durchsatz zu überprüfen
Abschnitt des Netzwerks (ja, hier werden sie ddos verwenden) und, was noch interessanter ist -
Parameter in Paketen dynamisch ändern (z. B. IP- oder MAC-Adresse).
AUFMERKSAMKEIT! Dieser Artikel dient nur zu Informationszwecken für IT-Sicherheitsexperten. Das Abhören des Datenverkehrs erfolgte am Beispiel eigener Geräte in einem persönlichen lokalen Netzwerk. Das Abfangen und Verwenden personenbezogener Daten kann strafbar sein, daher empfehlen wir Ihnen nicht, diesen Artikel zu verwenden, um anderen zu schaden. Friede in der Welt, helft einander!
Hallo alle! In dem Artikel werden wir über WiFi-Sniffer sprechen. Überhaupt angegebenen Typ Das Programm ist ausschließlich zum Abfangen des Datenverkehrs im lokalen Netzwerk bestimmt. Außerdem spielt es keine Rolle, wie das Opfer mit dem Router verbunden ist, per Kabel oder per WLAN. Ich möchte das Abfangen von Datenverkehr an einem Beispiel zeigen interessantes Programm Abfangjäger-NG. Warum habe ich sie gewählt? Tatsache ist, dass diese Sniffer-Anwendung speziell für Windows geschrieben wurde, eine ziemlich benutzerfreundliche Oberfläche hat und einfach zu bedienen ist. Und nicht jeder hat Linux.
Intercepter-NG-Fähigkeiten
Wie Sie wissen, nutzt das lokale Netzwerk ständig den Datenaustausch zwischen dem Router und dem Endclient. Auf Wunsch können diese Daten abgefangen und für eigene Zwecke verwendet werden. Beispielsweise können Sie Cookies, Passwörter oder andere interessante Daten abfangen. Alles geschieht ganz einfach: Der Computer sendet eine Anfrage an das Internet und empfängt Daten zusammen mit einer Antwort von einem zentralen Gateway oder Router.
Das Programm startet einen bestimmten Modus, in dem der Client-Computer beginnt, Anfragen mit Daten nicht an das Gateway, sondern an das Gerät mit dem Programm zu senden. Das heißt, wir können sagen, dass er den Router mit dem Computer des Angreifers verwechselt. Dieser Angriff auch ARP-Spoofing genannt. Außerdem werden vom zweiten Computer alle Daten für ihre eigenen Zwecke verwendet.
Nach Erhalt der Daten beginnt der Sniffing-Prozess, wenn das Programm versucht, aus den Paketen zu extrahieren notwendige Informationen: Passwörter, Logiken, letzte Webressourcen, besuchte Seiten im Internet und sogar Korrespondenz in Instant Messenger. Aber es gibt ein kleines Minus, dass ein solches Bild mit unverschlüsselten Daten gut funktioniert. Wenn Sie HTTPS-Seiten anfordern, müssen Sie mit einem Tamburin tanzen. Beispielsweise kann ein Programm, wenn ein Client dies anfordert DNS Server, geben Sie die Adresse seiner gefälschten Website ein, auf der er seinen Benutzernamen und sein Passwort eingeben kann, um sich zu betreten.
Normaler Angriff
Zuerst müssen wir das Programm herunterladen. Einige Browser können schwören, wenn Sie versuchen, die Anwendung von der offiziellen Website - sniff.su - herunterzuladen. Aber du kannst es versuchen. Wenn Sie zu faul sind zu gehen diesen Schutz, dann können Sie die Anwendung von GitHub herunterladen .
- Je nachdem, wie Sie mit dem Netzwerk verbunden sind, wird das entsprechende Symbol in der oberen linken Ecke angezeigt – klicken Sie darauf;
- Sie müssen Ihr funktionierendes Netzwerkmodul auswählen. Ich habe mich für eine entschieden, der bereits eine lokale IP zugewiesen ist, dh meine IP-Adresse;
- Klicken Sie in einem leeren Bereich mit der rechten Maustaste und führen Sie dann "Smarty Scan" aus;
- Als nächstes sehen Sie eine Liste mit IP-Adressen sowie MAC und Weitere Informationenüber Geräte im Netzwerk. Es reicht aus, eines der Angriffsziele auszuwählen, darauf zu klicken und dann „Als Ziel hinzufügen“ aus der Liste auszuwählen, damit das Programm das Gerät repariert. Klicken Sie danach auf die Startschaltfläche in der oberen rechten Ecke des Fensters;
- Gehen Sie zum Abschnitt „MiTM-Modus“ und klicken Sie auf das Strahlungssymbol.
- Der Startvorgang wurde gestartet. Um die Logins und Passwörter anzuzeigen, gehen Sie zur dritten Registerkarte.
- Auf der zweiten Registerkarte sehen Sie alle übertragenen Daten;
Wie Sie sehen, können Sie hier nur abgefangene Schlüssel und Benutzernamen sowie die vom Ziel besuchten Websites sehen und erkennen.
Abfang-Cookies
Falls es jemand nicht weiß, dann sind Cookies temporäre Daten, die es uns ermöglichen, dauerhaft keine Zugangsdaten in die Foren einzugeben in sozialen Netzwerken und andere Websites. Es kann gesagt werden, dass dies ein vorübergehender Pass ist. Hier können sie auch mit dieser Anwendung abgefangen werden.
Alles ist ganz einfach, nachdem Sie einen normalen Angriff gestartet haben, gehen Sie zur dritten Registerkarte und drücken Sie Rechtsklick auf das freie Feld und wählen Sie „Cookies anzeigen“.
Sie sollten die erforderlichen Cookies sehen. Die Verwendung ist sehr einfach - klicken Sie einfach mit der rechten Maustaste auf die gewünschte Seite und wählen Sie dann "Im Browser öffnen". Danach wird die Website von der Kontoseite einer anderen Person geöffnet.
Login und Passwort erhalten
Höchstwahrscheinlich sitzt der Kunde nach dem Start des Programms bereits in dem einen oder anderen Konto. Sie können ihn jedoch zwingen, den Benutzernamen und das Passwort erneut einzugeben. Da Cookies selbst nicht ewig sind, ist dies eine ganz normale Praxis. Dazu wird das Programm Cookie Killer verwendet. Nach dem Start löscht der Client die alten Cookies komplett und er muss Login und Passwort neu eingeben, hier wird das Abhören eingeschaltet. Dazu gibt es ein separates Video-Tutorial:
SmartSniff ermöglicht es Ihnen, den Netzwerkverkehr abzufangen und seinen Inhalt in ASCII anzuzeigen. Das Programm fängt passierende Pakete ab Netzwerkadapter und zeigt den Inhalt der Pakete in Textform (Protokolle http, pop3, smtp, ftp) und in Form eines hexadezimalen Dumps an. Um TCP/IP-Pakete zu erfassen, verwendet SmartSniff die folgenden Techniken: Raw Sockets - RAW Sockets, WinCap Capture Driver und Microsoft Network Monitor Driver. Das Programm unterstützt Russisch und ist einfach zu bedienen.
Paket-Sniffer-Programm
 |
SmartSniff zeigt die folgenden Informationen an: Protokollname, lokale und entfernte Adresse, lokaler und entfernter Port, lokaler Host, Dienstname, Datenvolumen, Gesamtgröße, Erfassungszeit und letzte Paketzeit, Dauer, lokale und entfernte MAC-Adresse, Länder und Inhalte das Datenpaket. Das Programm hat flexible Einstellungen, es hat die Funktion eines Erfassungsfilters, Entpacken von HTTP-Antworten, Konvertieren von IP-Adressen, das Dienstprogramm wird in die Taskleiste minimiert. SmartSniff generiert einen Paketflussbericht im Formular HTML-Seiten. Es ist möglich, TCP/IP-Streams im Programm zu exportieren.
Das Wireshark-Programm wird ein großer Helfer für diejenigen Benutzer sein, die eine detaillierte Analyse des Netzwerkpaket-Verkehrs durchführen müssen Computernetzwerk. Der Sniffer interagiert problemlos mit gängigen Protokollen wie z netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 und viele andere. Ermöglicht der Analyse, das Netzwerkpaket gemäß einem bestimmten Protokoll in die entsprechenden Komponenten aufzuteilen und lesbare Informationen in numerischer Form auf dem Bildschirm anzuzeigen.
unterstützt eine große Anzahl verschiedener Formate von übertragenen und empfangenen Informationen und kann Dateien öffnen, die von anderen Dienstprogrammen verwendet werden. Das Funktionsprinzip besteht darin, dass die Netzwerkkarte in den Broadcast-Modus wechselt und das Abfangen von Netzwerkpaketen beginnt, die sich in ihrer Sichtbarkeitszone befinden. Kann als Programm zum Abfangen von WLAN-Paketen verwendet werden.
So verwenden Sie Wireshark
Das Programm untersucht den Inhalt von Informationspaketen, die das Netzwerk durchlaufen. Um die Ergebnisse des Sniffers zu starten und zu verwenden, sind keine besonderen Kenntnisse erforderlich. Sie müssen ihn lediglich im Menü „Start“ öffnen oder auf das Symbol auf dem Desktop klicken (der Start unterscheidet sich nicht von anderen Windows-Programme). Eine besondere Funktion des Dienstprogramms ermöglicht es, Informationspakete zu erfassen, ihren Inhalt sorgfältig zu entschlüsseln und sie dem Benutzer zur Analyse auszugeben.Nach dem Start von Wireshark sehen Sie das Hauptmenü des Programms auf dem Bildschirm, das sich oben im Fenster befindet. Mit seiner Hilfe wird das Dienstprogramm verwaltet. Wenn Sie Dateien herunterladen müssen, die Daten zu Paketen speichern, die in früheren Sitzungen gefangen wurden, sowie Daten zu anderen Paketen, die in einer neuen Sitzung abgebaut wurden, speichern müssen, dann benötigen Sie dafür die Registerkarte "Datei".
Um die Funktion zum Erfassen von Netzwerkpaketen zu starten, muss der Benutzer auf das Symbol „Erfassen“ klicken und dann einen speziellen Menüabschnitt namens „Schnittstellen“ finden, mit dem Sie ein separates Fenster „Wireshark Capture Interfaces“ öffnen können, in dem alle verfügbaren Netzwerkschnittstellen angezeigt werden sollen angezeigt werden, durch die die erforderlichen Datenpakete erfasst werden. Falls das Programm (Sniffer) nur eine geeignete Schnittstelle erkennen kann, zeigt es die gesamte an wichtige Informationenüber ihn.
Die Ergebnisse der Arbeit des Versorgungsunternehmens sind ein direkter Beweis dafür, dass selbst wenn Benutzer nicht alleine arbeiten (in dieser Moment Zeit) Übertragung von Daten, das Netzwerk stoppt den Informationsaustausch nicht. Schließlich besteht das Funktionsprinzip eines lokalen Netzwerks darin, dass jedes seiner Elemente (Computer, Switch und andere Geräte) kontinuierlich Dienstinformationen miteinander austauscht, um es im Arbeitsmodus zu halten. Daher sind ähnliche Netzwerktools dafür ausgelegt solche Pakete abfangen.
Es gibt auch eine Version für Linux-Systeme.
Es ist darauf hinzuweisen, dass Sniffer ist äußerst nützlich für Netzwerkadministratoren und Dienstleistungen Computersicherheit, da Sie mit dem Dienstprogramm potenziell ungeschützte Netzwerkknoten identifizieren können - wahrscheinliche Bereiche, die von Hackern angegriffen werden können.
Neben dem vorgesehenen Zweck kann Wireshark als Tool zur Überwachung und weiteren Analyse verwendet werden Netzwerktraffic B. um einen Angriff auf ungeschützte Teile des Netzwerks zu organisieren, da der abgefangene Datenverkehr für verschiedene Ziele verwendet werden kann.
Wird geladen...