Sniffer penganalisa lalu lintas jaringan. Apa itu sniffer: deskripsi

Apa itu Intercepter-NG

Pertimbangkan esensi dari fungsi ARP pada contoh sederhana. Komputer A (alamat IP 10.0.0.1) dan Komputer B (alamat IP 10.22.22.2) dihubungkan oleh jaringan Ethernet. Komputer A ingin mengirim paket data ke komputer B, alamat IP komputer B diketahuinya. Namun, jaringan Ethernet tempat mereka terhubung tidak berfungsi dengan alamat IP. Oleh karena itu, komputer A perlu mengetahui alamat komputer B untuk mengirimkan melalui Ethernet. jaringan Ethernet(Alamat MAC dalam istilah Ethernet). Untuk tugas ini, protokol ARP digunakan. Komputer A menggunakan protokol ini untuk mengirimkan permintaan siaran ke semua komputer dalam domain siaran yang sama. Inti dari permintaan: "komputer dengan alamat IP 10.22.22.2, beri tahu alamat MAC Anda ke komputer dengan alamat MAC (misalnya a0:ea:d1:11:f1:01)". Jaringan Ethernet mengirimkan permintaan ini ke semua perangkat di segmen Ethernet yang sama, termasuk Komputer B. Komputer B merespons Komputer A dengan permintaan tersebut dan melaporkan alamat MAC-nya (mis. 00:ea:d1:11:f1:11) Sekarang, Setelah menerima alamat MAC komputer B, komputer A dapat mengirim data apa pun melalui jaringan Ethernet.

Sehingga tidak perlu menggunakan protokol ARP sebelum setiap pengiriman data, alamat MAC yang diterima dan alamat IP yang sesuai dicatat dalam tabel untuk sementara waktu. Jika Anda perlu mengirim data ke IP yang sama, maka tidak perlu melakukan polling perangkat setiap kali mencari MAC yang diinginkan.

Seperti yang baru saja kita lihat, ARP menyertakan permintaan dan tanggapan. Alamat MAC dari respons ditulis ke tabel MAC/IP. Ketika tanggapan diterima, itu tidak diperiksa keasliannya dengan cara apa pun. Selain itu, bahkan tidak memeriksa apakah permintaan telah dibuat. Itu. Anda dapat segera mengirim respons ARP ke perangkat target (bahkan tanpa permintaan), dengan data palsu, dan data ini akan masuk ke tabel MAC / IP dan akan digunakan untuk transmisi data. Inilah inti dari serangan ARP-spoofing, yang terkadang disebut ARP Poisoning, ARP Cache Poisoning.

Deskripsi serangan spoofing ARP

Dua komputer (node) M dan N in jaringan lokal Ethernet bertukar pesan. Penyerang X, yang berada di jaringan yang sama, ingin mencegat pesan di antara node tersebut. Sebelum serangan spoofing ARP diterapkan pada antarmuka jaringan node M, tabel ARP berisi IP dan Alamat MAC simpul N. Juga pada antarmuka jaringan simpul N, tabel ARP berisi IP dan MAC simpul M.

Selama serangan ARP-spoofing, host X (penyerang) mengirimkan dua respons ARP (tanpa permintaan) ke host M dan host N. Respons ARP ke host M berisi alamat IP N dan alamat MAC X. Respons ARP ke host N berisi alamat IP M dan alamat MAC X.

Karena komputer M dan N mendukung ARP spontan, setelah menerima respons ARP, mereka mengubah tabel ARP mereka, dan sekarang tabel ARP M berisi alamat MAC X yang terikat ke alamat IP N, dan tabel ARP N berisi alamat MAC X terikat ke alamat IP M.

Dengan demikian, serangan spoofing ARP telah selesai, dan sekarang semua paket (frame) antara M dan N melewati X. Misalnya, jika M ingin mengirim paket ke komputer N, maka M melihat tabel ARP-nya, menemukan sebuah entri dengan alamat IP host N, pilih alamat MAC dari sana (dan sudah ada alamat MAC node X) dan mengirimkan paket. Paket tiba di interface X, diurai olehnya, dan kemudian diteruskan ke node N.

Masing-masing] [tim memiliki preferensi mereka sendiri mengenai perangkat lunak dan utilitas untuk
tes pena. Setelah berkonsultasi, kami menemukan bahwa pilihannya sangat bervariasi yang Anda bisa
buatlah serangkaian program pria sejati yang telah terbukti. Pada itu dan
diputuskan. Agar tidak membuat gado-gado gabungan, kami membagi seluruh daftar menjadi topik - dan masuk
kali ini kita akan menyentuh utilitas untuk mengendus dan manipulasi paket. Digunakan pada
kesehatan.

Wireshark

netcat

Jika kita berbicara tentang intersepsi data, maka penambang jaringan lepaskan dari udara
(atau dari dump yang telah disiapkan sebelumnya dalam format PCAP), sertifikat,
gambar dan media lain, serta kata sandi dan informasi lain untuk otorisasi.
Fitur yang berguna adalah pencarian bagian data yang berisi kata kunci
(misalnya login pengguna).

Scapy

Situs web:
www.secdev.org/projects/scapy

Harus dimiliki oleh peretas mana pun, yang merupakan alat paling ampuh untuk
manipulasi paket interaktif. Terima dan dekode paket terbanyak
berbagai protokol, menanggapi permintaan, menyuntikkan yang dimodifikasi dan
paket buatan tangan - semuanya mudah! Dengan itu, Anda dapat melakukan keseluruhan
sejumlah tugas klasik seperti pemindaian, tracorute, serangan, dan deteksi
infrastruktur jaringan. Dalam satu botol, kami mendapatkan pengganti utilitas populer seperti itu,
seperti: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f dll. Pada saat itu
waktu yang sama Scapy memungkinkan Anda untuk melakukan apapun, bahkan yang paling spesifik
tugas yang tidak akan pernah bisa dilakukan oleh pengembang lain
cara. Alih-alih menulis segunung baris dalam C, sehingga, misalnya,
menghasilkan paket yang salah dan mengaburkan beberapa daemon, itu sudah cukup
membuang beberapa baris kode menggunakan Scapy! Program ini tidak memiliki
antarmuka grafis, dan interaktivitas dicapai melalui juru bahasa
Piton. Biasakan sedikit, dan Anda tidak akan dikenakan biaya apa pun untuk membuat kesalahan
paket, menyuntikkan bingkai 802.11 yang diperlukan, menggabungkan berbagai pendekatan dalam serangan
(katakanlah, keracunan cache ARP dan lompatan VLAN), dll. Para pengembang bersikeras
fakta bahwa kemampuan Scapy digunakan di proyek lain. Menghubungkannya
sebagai modul, mudah untuk membuat utilitas untuk berbagai jenis penelitian lokal,
mencari kerentanan, injeksi Wi-Fi, eksekusi otomatis spesifik
tugas, dll.

paketh

Situs web:
Platform: *nix, ada port untuk Windows

Perkembangan menarik yang memungkinkan, di satu sisi, menghasilkan apa saja
paket ethernet, dan, di sisi lain, mengirim urutan paket ke
cek bandwidth. Tidak seperti alat sejenis lainnya, paketh
Memiliki GUI, memungkinkan Anda membuat paket dengan cara yang paling sederhana
membentuk. Lebih-lebih lagi. Terutama mengerjakan pembuatan dan pengiriman
urutan paket. Anda dapat mengatur penundaan antara pengiriman,
kirim paket dari kecepatan maksimum untuk memeriksa throughput
bagian dari jaringan (ya, di sinilah mereka akan melakukan ddos) dan, yang lebih menarik lagi -
secara dinamis mengubah parameter dalam paket (misalnya, alamat IP atau MAC).

PERHATIAN! Artikel ini ditulis untuk tujuan informasi hanya untuk profesional keamanan TI. Intersepsi lalu lintas menggunakan contoh perangkat sendiri di jaringan area lokal pribadi. Penyadapan dan penggunaan data pribadi dapat dihukum oleh hukum, jadi kami tidak menganjurkan Anda untuk menggunakan artikel ini untuk merugikan orang lain. Damai di dunia, saling membantu!

Halo semua! Pada artikel ini kita akan berbicara tentang WiFi sniffer. Sama sekali jenis yang diberikan Program ini ditujukan semata-mata untuk mencegat lalu lintas di jaringan lokal. Selanjutnya, tidak masalah bagaimana korban terhubung ke router, melalui kabel atau melalui Wi-Fi. Saya ingin menunjukkan intersepsi lalu lintas dengan sebuah contoh program yang menarik Interceptor-NG. Mengapa saya memilih dia? Faktanya adalah aplikasi sniffer ini ditulis khusus untuk Windows, memiliki antarmuka yang cukup ramah dan mudah digunakan. Dan tidak semua orang memiliki Linux.

Kemampuan Intercepter-NG

Seperti yang Anda ketahui, jaringan lokal secara konstan menggunakan pertukaran data antara router dan klien akhir. Jika diinginkan, data ini dapat dicegat dan digunakan untuk tujuan Anda sendiri. Misalnya, Anda dapat mencegat cookie, kata sandi, atau data menarik lainnya. Semuanya terjadi dengan sangat sederhana - komputer mengirim permintaan ke Internet dan menerima data bersama dengan respons dari gateway atau router pusat.

Program meluncurkan mode tertentu di mana komputer klien mulai mengirim permintaan dengan data bukan ke gateway, tetapi ke perangkat dengan program tersebut. Artinya, kita dapat mengatakan bahwa dia mengacaukan router dengan komputer penyerang. Serangan ini juga disebut spoofing ARP. Selanjutnya, dari komputer kedua, semua data digunakan untuk keperluannya sendiri.

Setelah menerima data, proses sniffing dimulai, saat program mencoba mengekstrak dari paket informasi yang perlu: kata sandi, logika, sumber daya web terakhir, halaman yang dikunjungi di Internet, dan bahkan korespondensi di pengirim pesan instan. Tetapi ada minus kecil bahwa gambar seperti itu berfungsi dengan baik dengan data yang tidak terenkripsi. Saat meminta halaman HTTPS, Anda perlu menari dengan rebana. Misalnya, sebuah program mungkin, ketika permintaan klien server DNS, masukkan alamat situs palsunya, di mana dia dapat memasukkan nama pengguna dan kata sandinya untuk masuk.

Serangan biasa

Pertama kita perlu mendownload programnya. Beberapa browser mungkin bersumpah jika Anda mencoba mengunduh aplikasi dari situs resmi - sniff.su. Tapi Anda bisa mencoba. Jika Anda terlalu malas untuk pergi perlindungan ini, lalu Anda dapat mengunduh aplikasi dari GitHub.

1. Bergantung pada bagaimana Anda terhubung ke jaringan, ikon yang sesuai akan ditampilkan di sudut kiri atas - klik di atasnya;

1. Anda harus memilih modul jaringan kerja Anda. Saya memilih salah satu yang sudah memiliki IP lokal, yaitu alamat IP saya;

1. Di area kosong, klik kanan lalu jalankan "Smarty Scan";

1. Selanjutnya, Anda akan melihat daftar alamat IP, serta MAC dan Informasi tambahan tentang perangkat di jaringan. Cukup memilih salah satu target serangan, klik di atasnya, lalu pilih "Tambahkan sebagai Target" dari daftar sehingga program memperbaiki perangkat. Setelah itu, klik tombol mulai di pojok kanan atas jendela;

1. Buka bagian "Mode MiTM" dan klik ikon radiasi;

1. Proses startup telah dimulai, sekarang, untuk melihat login dan kata sandi, buka tab ketiga;

1. Di tab kedua, Anda akan melihat semua data yang ditransfer;

Seperti yang Anda lihat, di sini Anda hanya dapat melihat dan mendeteksi kunci dan nama pengguna yang dicegat, serta situs yang dikunjungi oleh target.

Cookie Intersepsi

Jika ada yang tidak tahu, maka cookie adalah data sementara yang memungkinkan kami untuk secara permanen tidak memasukkan kredensial di forum, di di jejaring sosial dan situs lainnya. Dapat dikatakan bahwa ini adalah izin sementara. Di sini mereka juga dapat dicegat menggunakan aplikasi ini.

Semuanya dilakukan dengan cukup sederhana, setelah meluncurkan serangan normal, buka tab ketiga, tekan klik kanan di bidang bebas dan pilih "Tampilkan Cookie".

Anda akan melihat Cookie yang diperlukan. Menggunakannya sangat sederhana - cukup klik situs yang diinginkan dengan tombol kanan lalu pilih "Buka di browser". Setelah itu akan membuka situs dari halaman akun orang lain.

Mendapatkan login dan kata sandi

Kemungkinan besar, setelah memulai program, klien sudah duduk di satu atau yang lain akun. Tapi Anda bisa memaksanya untuk memasukkan nama pengguna dan kata sandi lagi. Karena cookie itu sendiri tidak abadi, ini adalah praktik yang cukup normal. Untuk ini, program Cookie Killer digunakan. Setelah memulai, klien sepenuhnya menghapus cookie lama dan dia harus memasukkan login dan kata sandi lagi, dan di sinilah intersepsi dihidupkan. Ada tutorial video terpisah untuk ini:

SmartSniff memungkinkan Anda mencegat lalu lintas jaringan dan menampilkan kontennya di ASCII. Program menangkap paket yang lewat penyesuai jaringan dan menampilkan isi paket dalam bentuk teks (protokol http, pop3, smtp, ftp) dan dalam bentuk dump heksadesimal. Untuk menangkap paket TCP/IP, SmartSniff menggunakan teknik berikut: raw sockets - RAW Sockets, WinCap Capture Driver dan Microsoft Network Monitor Driver. Program ini mendukung bahasa Rusia dan mudah digunakan.

Program pelacak paket

SmartSniff menampilkan informasi berikut: nama protokol, alamat lokal dan jarak jauh, port lokal dan jarak jauh, host lokal, nama layanan, volume data, ukuran total, waktu pengambilan dan waktu paket terakhir, durasi, alamat MAC lokal dan jarak jauh, negara dan konten paket datanya. Program ini memiliki pengaturan yang fleksibel, memiliki fungsi filter penangkap, membongkar respons http, mengonversi alamat ip, utilitas diminimalkan ke baki sistem. SmartSniff menghasilkan laporan aliran paket dalam bentuk halaman HTML. Dimungkinkan untuk mengekspor aliran TCP/IP dalam program.

Program Wireshark akan menjadi penolong yang hebat bagi para pengguna yang perlu melakukan analisis mendetail tentang paket jaringan - lalu lintas jaringan komputer. Sniffer dengan mudah berinteraksi dengan protokol umum seperti netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 dan banyak lagi. Mengizinkan analisis untuk membagi paket jaringan menjadi komponen yang sesuai, menurut protokol tertentu, dan menampilkan informasi yang dapat dibaca di layar dalam bentuk numerik.
mendukung sejumlah besar format berbeda dari informasi yang dikirim dan diterima, mampu membuka file yang sedang digunakan oleh utilitas lain. Prinsip operasinya adalah kartu jaringan beralih ke mode siaran dan intersepsi paket jaringan yang berada di zona visibilitasnya dimulai. Mampu bekerja sebagai program penyadapan paket wifi.

Cara menggunakan wireshark

Program memeriksa isi paket informasi yang melewati jaringan. Untuk meluncurkan dan menggunakan hasil kerja sniffer, tidak diperlukan pengetahuan khusus, Anda hanya perlu membukanya di menu "Start" atau mengklik ikon di desktop (peluncurannya tidak berbeda dari yang lain program Windows). Fitur khusus dari utilitas memungkinkannya untuk menangkap paket informasi, mendekripsi kontennya dengan hati-hati, dan memberikannya kepada pengguna untuk dianalisis.

Setelah meluncurkan wireshark, Anda akan melihat menu utama program di layar, yang terletak di bagian atas jendela. Dengan bantuannya, utilitas dikelola. Jika Anda perlu mengunduh file yang menyimpan data tentang paket yang ditangkap di sesi sebelumnya, serta menyimpan data tentang paket lain yang ditambang di sesi baru, Anda memerlukan tab "File" untuk ini.

Untuk meluncurkan fungsi penangkapan paket jaringan, pengguna harus mengklik ikon "Tangkap", lalu temukan bagian menu khusus yang disebut "Antarmuka", yang dengannya Anda dapat membuka jendela "Antarmuka Tangkap Wireshark" yang terpisah, di mana semua antarmuka jaringan yang tersedia harus ditampilkan, di mana akan menangkap paket data yang diperlukan. Jika program (sniffer) hanya dapat mendeteksi satu antarmuka yang sesuai, program tersebut akan menampilkan keseluruhannya informasi penting tentang dia.

Hasil kerja utilitas adalah bukti langsung bahwa, meskipun pengguna tidak bekerja sendiri (di saat ini waktu) transmisi data apa pun, jaringan tidak menghentikan pertukaran informasi. Bagaimanapun, prinsip pengoperasian jaringan lokal adalah untuk mempertahankannya dalam mode kerja, masing-masing elemennya (komputer, sakelar, dan perangkat lain) terus bertukar informasi layanan satu sama lain, oleh karena itu, alat jaringan serupa dirancang untuk mencegat paket tersebut.

Ada juga versi untuk sistem Linux.

Perlu dicatat bahwa sniffer sangat berguna untuk administrator jaringan dan layanan keamanan komputer, karena utilitas memungkinkan Anda mengidentifikasi node jaringan yang berpotensi tidak terlindungi - kemungkinan area yang dapat diserang oleh peretas.

Selain tujuan yang dimaksud, Wireshark dapat digunakan sebagai alat untuk pemantauan dan analisis lebih lanjut lalu lintas jaringan untuk mengatur serangan pada bagian jaringan yang tidak terlindungi, karena lalu lintas yang dicegat dapat digunakan untuk mencapai berbagai tujuan.