Mi az az Intercepter-NG
Tekintsük az ARP működésének lényegét egyszerű példa. Az A számítógép (IP-cím 10.0.0.1) és a B számítógép (IP-cím: 10.22.22.2) Ethernet-hálózaton keresztül csatlakozik. Az A számítógép egy adatcsomagot szeretne küldeni a B számítógépnek, a B számítógép IP címe ismert. Az Ethernet-hálózat azonban, amelyhez kapcsolódnak, nem működik IP-címekkel. Ezért az A számítógépnek ismernie kell a B számítógép címét, hogy Etherneten keresztül továbbítson. Ethernet hálózatok(MAC-cím Ethernet kifejezéssel). Ehhez a feladathoz az ARP protokollt használják. Az A számítógép ezt a protokollt használja arra, hogy szórási kérést küldjön az azonos szórási tartományban lévő összes számítógépre. A kérés lényege: "10.22.22.2 IP-című számítógép, a MAC-címmel rendelkező számítógépnek mondd el a MAC-címedet (pl. a0:ea:d1:11:f1:01)". Az Ethernet-hálózat ezt a kérést eljuttatja az ugyanazon az Ethernet szegmensen lévő összes eszközhöz, beleértve a B számítógépet is. A B számítógép a kéréssel válaszol az A számítógépnek, és jelenti a MAC-címét (pl. 00:ea:d1:11:f1:11). Miután megkapta a B számítógép MAC-címét, az A számítógép bármilyen adatot küldhet rá az Ethernet hálózaton keresztül.
Annak érdekében, hogy ne kelljen minden adatküldés előtt az ARP protokollt használni, a kapott MAC-címek és a hozzájuk tartozó IP-címek egy ideig rögzítésre kerülnek a táblázatban. Ha ugyanarra az IP-címre kell adatokat küldenie, akkor nem kell minden alkalommal lekérdezni az eszközöket a kívánt MAC kereséséhez.
Ahogy az imént láttuk, az ARP tartalmaz egy kérést és egy választ. A válaszból származó MAC-cím a MAC/IP táblába kerül. Amikor egy válasz érkezik, a rendszer semmilyen módon nem ellenőrzi annak hitelességét. Ráadásul azt sem ellenőrzi, hogy a kérés megtörtént-e. Azok. azonnal küldhet egy ARP választ a céleszközökre (akár kérés nélkül is), hamis adatokkal, és ezek az adatok a MAC / IP táblába kerülnek és adatátvitelre kerülnek felhasználásra. Ez az ARP-spoofing támadás lényege, amit néha ARP-mérgezésnek, ARP-gyorsítótár-mérgezésnek is neveznek.
Az ARP-hamisítási támadás leírása
Két számítógép (csomópont) M és N in helyi hálózat Az Ethernetek üzeneteket cserélnek. X támadó, aki ugyanazon a hálózaton van, el akarja fogni az üzeneteket ezen csomópontok között. Mielőtt ARP-hamisítási támadást alkalmaznának az M csomópont hálózati interfészén, az ARP-tábla tartalmazza az IP-címet és a Mac cím Node N. Az N csomópont hálózati interfészén is az ARP tábla tartalmazza az M csomópont IP-jét és MAC-jét.
ARP-hamisítási támadás során az X gazdagép (a támadó) két ARP-választ küld (nincs kérés) az M és az N gazdagépnek. Az M gazdagépnek küldött ARP-válasz tartalmazza N IP-címét és X MAC-címét. Az ARP-válasz to N host tartalmazza az M IP-címet és az X MAC-címet.
Mivel az M és N számítógépek támogatják a spontán ARP-t, az ARP válasz érkezésekor megváltoztatják az ARP tábláikat, és most az M ARP tábla X MAC-címét tartalmazza az N IP-címhez kötötten, az N ARP tábla pedig az X MAC-címet. M IP-címhez kötve.
Így az ARP-hamisítási támadás befejeződött, és most minden M és N közötti csomag (keret) átmegy X-en. Például, ha M csomagot akar küldeni az N számítógépre, akkor M megnézi az ARP tábláját, és talál egy bejegyzést az N gazdagép IP-címével, onnan kiválasztja a MAC-címet (és már ott van az X csomópont MAC-címe), és továbbítja a csomagot. A csomag az X interfészre érkezik, az elemzi, majd továbbítja az N csomóponthoz.
Mindegyik ][ csapatnak megvannak a saját preferenciái a szoftverrel és a segédprogramokkal kapcsolatban
tollteszt. Konzultáció után rájöttünk, hogy a választék annyira változatos, hogy lehet
készíts egy igazi úriember bevált programkészletet. Azon és
határozott. Annak érdekében, hogy ne jöjjön létre a kombinált kavarodás, a teljes listát témákra osztottuk – és be
ezúttal a szippantásra és a csomagkezelésre szolgáló segédprogramokat fogjuk érinteni. Használd tovább
Egészség.
Wireshark
netcat
Ha adatelfogásról beszélünk, akkor hálózati bányász vedd le a levegőből
(vagy egy előre elkészített kiíratból PCAP formátumban) fájlok, tanúsítványok,
képek és egyéb adathordozók, valamint jelszavak és egyéb információk az engedélyezéshez.
Hasznos funkció a kulcsszavakat tartalmazó adatrészek keresése
(pl. felhasználói bejelentkezés).
Scapy
Weboldal:
www.secdev.org/projects/scapy
Minden hacker számára kötelező, ami a legerősebb eszköz
interaktív csomagkezelés. Fogadja és dekódolja a legtöbb csomagot
különböző protokollokat, válaszolni egy kérésre, beadni egy módosított ill
kézzel készített csomag - minden egyszerű! Ezzel egy egészet előadhat
számos klasszikus feladat, például szkennelés, nyomkövetés, támadások és észlelés
hálózati infrastruktúra. Egy palackban olyan népszerű segédprogramokat kapunk,
mint például: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f stb. Abban az
Ugyanakkor Scapy lehetővé teszi, hogy bármilyen, még a legspecifikusabbat is végrehajtson
egy olyan feladat, amelyet soha nem lesz képes elvégezni egy másik fejlesztő által létrehozott
eszközök. Ahelyett, hogy egy egész hegynyi sort írnánk C-ben, így pl.
rossz csomagot generál és fuzz valami démont, az elég
segítségével dobjon pár sor kódot Scapy! A programnak nincs
grafikus felület, az interaktivitás pedig a tolmácson keresztül érhető el
Piton. Szokj hozzá egy kicsit, és nem fog semmibe kerülni a helytelen létrehozás
csomagokat, beilleszti a szükséges 802.11-es kereteket, kombinálja a különböző megközelítéseket a támadásokban
(mondjuk ARP cache mérgezés és VLAN ugrás) stb. A fejlesztők ragaszkodnak
arról, hogy a Scapy képességeit más projektekben is használják. Összeköti őt
modulként könnyen létrehozható segédprogram különféle lokális kutatásokhoz,
sebezhetőségek keresése, Wi-Fi injekció, automatikus végrehajtás különleges
feladatok stb.
csomagot
Weboldal:
Platform: *nix, van egy port a Windowshoz
Érdekes fejlesztés, amely lehetővé teszi egyrészt bármilyen generálást
ethernet csomagot, másrészt csomagsorozatokat küld a címre
ellenőrzi sávszélesség. Más hasonló eszközökkel ellentétben, csomagot
Megvan GUI, amely lehetővé teszi csomagok létrehozását a legegyszerűbb módon
forma. Tovább tovább. Főleg az alkotás és a küldés dolgozott
csomagsorozatok. Beállíthat késéseket a küldések között,
csomagokat küldeni innen maximális sebesség az áteresztőképesség ellenőrzésére
a hálózat egy részét (igen, itt fognak ddo-zni), és ami még érdekesebb -
dinamikusan módosíthatja a paramétereket a csomagokban (például IP- vagy MAC-cím).
FIGYELEM! Ez a cikk csak tájékoztató jellegű, informatikai biztonsági szakemberek számára készült. A forgalom lehallgatása a személyes helyi hálózat saját eszközeinek példáján történt. A személyes adatok lehallgatását és felhasználását törvény büntetheti, ezért nem javasoljuk, hogy ezt a cikket mások kárára használja. Béke a világban, segítsétek egymást!
Sziasztok! A cikkben a WiFi szippantóról fogunk beszélni. Egyáltalán adott típus A program kizárólag a helyi hálózat forgalmának elfogására szolgál. Továbbá nem mindegy, hogy az áldozat hogyan csatlakozik az útválasztóhoz, kábelen vagy Wi-Fi-n keresztül. Egy példával szeretném bemutatni a forgalomelakadást érdekes program Interceptor-NG. Miért őt választottam? A helyzet az, hogy ez a szippantó alkalmazás kifejezetten Windowshoz készült, meglehetősen barátságos felülettel és könnyen használható. És nem mindenkinek van Linuxa.
Intercepter-NG képességek
Mint ismeretes, a helyi hálózat folyamatosan adatcserét használ az útválasztó és a végkliens között. Kívánt esetben ezek az adatok lehallgathatók és felhasználhatók saját céljaira. Például elfoghat cookie-kat, jelszavakat vagy más érdekes adatokat. Minden nagyon egyszerűen történik - a számítógép kérést küld az internetre, és adatokat kap, valamint választ kap egy központi átjárótól vagy útválasztótól.
A program elindít egy bizonyos módot, amelyben a kliens számítógép nem az átjárónak, hanem a programot tartalmazó eszköznek kezdi el küldeni az adatokat tartalmazó kéréseket. Vagyis azt mondhatjuk, hogy összetéveszti a routert a támadó számítógépével. Ezt a támadást más néven ARP hamisítás. Ezenkívül a második számítógépről minden adatot saját céljaira használnak fel.
Az adatok beérkezése után megkezdődik a szippantási folyamat, amikor a program megpróbálja kivonni a csomagokat szükséges információ: jelszavak, logikák, végső webes források, meglátogatott oldalak az interneten, sőt levelezés az azonnali üzenetküldőkben. De van egy kis mínusz, hogy egy ilyen kép jól működik titkosítatlan adatokkal. HTTPS-oldalak kérésekor egy tamburával kell táncolni. Például egy program, amikor egy ügyfél kéri DNS szerver, adja meg hamis oldalának címét, ahol megadhatja a belépéshez szükséges bejelentkezési nevét és jelszavát.
Normális támadás
Először le kell töltenünk a programot. Egyes böngészők esküdhetnek, ha megpróbálják letölteni az alkalmazást a hivatalos webhelyről - sniff.su. De megpróbálhatod. Ha túl lusta vagy menni ezt a védelmet, akkor letöltheti az alkalmazást a GitHubról.
- Attól függően, hogy hogyan csatlakozik a hálózathoz, a megfelelő ikon megjelenik a bal felső sarokban - kattintson rá;
- Ki kell választania a működő hálózati modult. Olyannal választottam, amihez már hozzá van rendelve egy helyi IP, vagyis az én IP-címem;
- Egy üres területen kattintson a jobb gombbal, majd futtassa a „Smarty Scan” alkalmazást;
- Ezután megjelenik az IP-címek listája, valamint a MAC és a További információ a hálózaton lévő eszközökről. Elég kiválasztani az egyik támadási célpontot, rákattintani, majd a listából kiválasztani az „Add as Target”-t, hogy a program megjavítsa az eszközt. Ezt követően kattintson a Start gombra az ablak jobb felső sarkában;
- Lépjen a "MiTM mód" szakaszba, és kattintson a sugárzás ikonra;
- Az indítási folyamat elindult, a bejelentkezési adatok és jelszavak megtekintéséhez lépjen a harmadik fülre;
- A második lapon látni fogja az összes átvitt adatot;
Amint látja, itt csak az elfogott kulcsokat és felhasználóneveket, valamint a célpont által meglátogatott webhelyeket láthatja és észlelheti.
Elfogó sütik
Ha valaki nem tudja, akkor a cookie-k olyan ideiglenes adatok, amelyek lehetővé teszik számunkra, hogy véglegesen ne adjunk meg hitelesítő adatokat a fórumokon, a közösségi hálózatokonés más oldalakon. Azt lehet mondani, hogy ez egy ideiglenes bérlet. Itt is lehallgathatók ezzel az alkalmazással.
Minden egyszerűen megtörténik, normál támadás indítása után lépjen a harmadik fülre, nyomja meg Jobb klikk az ingyenes mezőben, és válassza a "Sütik megjelenítése" lehetőséget.
Látnia kell a szükséges cookie-kat. Használatuk nagyon egyszerű - csak kattintson a kívánt webhelyre a jobb gombbal, majd válassza a "Megnyitás böngészőben" lehetőséget. Ezt követően valaki más fiókoldaláról nyitja meg a webhelyet.
Bejelentkezés és jelszó beszerzése
Valószínűleg a program elindítása után a kliens már ül egyikben vagy másikban fiókot. De rákényszerítheti, hogy ismét adja meg a felhasználónevet és a jelszót. Mivel a sütik önmagukban nem örökkévalóak, ez teljesen normális gyakorlat. Ehhez a Cookie Killer programot használják. Indítás után a kliens teljesen törli a régi sütiket, és újra meg kell adnia a bejelentkezési nevet és a jelszót, és itt kapcsol be az elfogás. Ehhez van egy külön oktatóvideó:
SmartSniff lehetővé teszi a hálózati forgalom lehallgatását és tartalmának ASCII formátumban való megjelenítését. A program rögzíti az áthaladó csomagokat hálózati adapterés a csomagok tartalmát szöveges formában (http, pop3, smtp, ftp protokollok) és hexadecimális dump formájában jeleníti meg. A TCP/IP-csomagok rögzítéséhez a SmartSniff a következő technikákat használja: nyers socketek – RAW socket, WinCap Capture Driver és Microsoft Network Monitor Driver. A program támogatja az orosz nyelvet és könnyen használható.
Csomagszippantó program
 |
A SmartSniff a következő információkat jeleníti meg: protokoll neve, helyi és távoli cím, helyi és távoli port, helyi gazdagép, szolgáltatás neve, adatmennyiség, teljes méret, rögzítési idő és utolsó csomag ideje, időtartam, helyi és távoli MAC-cím, országok és a az adatcsomagot. A program rugalmas beállításokkal rendelkezik, van rögzítő szűrő funkciója, http válaszok kicsomagolása, ip címek konvertálása, a segédprogram a tálcára van minimalizálva. A SmartSniff csomagfolyam-jelentést hoz létre az űrlapon HTML oldalak. A programban lehetőség van TCP/IP adatfolyamok exportálására.
A Wireshark program nagy segítség lesz azoknak a felhasználóknak, akiknek részletes elemzést kell készíteniük a hálózati csomagokról - forgalomról számítógép hálózat. A szippantó könnyen kölcsönhatásba lép az olyan általános protokollokkal, mint pl netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6és sokan mások. Lehetővé teszi az elemzés számára, hogy a hálózati csomagot a megfelelő komponensekre ossza fel egy adott protokoll szerint, és az olvasható információkat numerikus formában jelenítse meg a képernyőn.
támogatja a továbbított és fogadott információk nagyszámú különböző formátumát, képes megnyitni a más segédprogramok által használt fájlokat. A működési elv az, hogy a hálózati kártya broadcast módba kapcsol, és megkezdődik a láthatósági zónában lévő hálózati csomagok lehallgatása. Képes wifi-csomagok elfogására szolgáló programként működni.
A wireshark használata
A program megvizsgálja a hálózaton áthaladó információs csomagok tartalmát. A szippantó munkája eredményének elindításához és használatához nincs szükség speciális ismeretekre, csak meg kell nyitnia a "Start" menüben, vagy kattintson az asztalon lévő ikonra (az indítása nem különbözik a többitől Windows programok). A segédprogram speciális funkciója lehetővé teszi az információs csomagok rögzítését, a tartalmuk gondos visszafejtését és elemzés céljából a felhasználónak történő kibocsátását.A wireshark elindítása után a képernyőn megjelenik a program főmenüje, amely az ablak tetején található. Segítségével a segédprogram kezelhető. Ha olyan fájlokat kell letöltenie, amelyek a korábbi munkamenetekben elkapott csomagok adatait tárolják, valamint más, új munkamenetben bányászott csomagok adatait, akkor ehhez a „Fájl” fülre van szükség.
A hálózati csomagrögzítés funkció elindításához a felhasználónak rá kell kattintania a "Capture" ikonra, majd meg kell találnia egy speciális "Interfaces" menüpontot, amellyel egy külön "Wireshark Capture Interfaces" ablakot nyithat meg, ahol az összes elérhető hálózati interfésznek jelenik meg, amelyen keresztül rögzíti a szükséges adatcsomagokat. Abban az esetben, ha a program (sniffer) csak egy megfelelő felületet képes észlelni, akkor az egészet megjeleníti fontos információ róla.
A segédprogram munkájának eredményei közvetlen bizonyítékai annak, hogy még akkor is, ha a felhasználók nem dolgoznak maguktól (in Ebben a pillanatban idő) bármilyen adat továbbítása, a hálózat nem állítja le az információcserét. Hiszen a lokális hálózat működési elve az, hogy a működési módban tartás érdekében minden eleme (számítógép, kapcsoló és egyéb eszközök) folyamatosan szolgáltatási információkat cserél egymással, ezért hasonló hálózati eszközöket terveznek elfogni az ilyen csomagokat.
Létezik egy verzió Linux rendszerekre is.
Megjegyzendő A sniffer rendkívül hasznos a hálózati rendszergazdák számáraés szolgáltatások számítógép biztonság, mert a segédprogram lehetővé teszi a potenciálisan nem védett hálózati csomópontok azonosítását – a hackerek által megtámadható területeket.
A Wireshark a rendeltetésén kívül monitorozási és további elemzési eszközként is használható hálózati forgalom azért, hogy támadást szervezzenek a hálózat nem védett részei ellen, mert az elfogott forgalmat különféle célok elérésére lehet felhasználni.
Betöltés...