Intercepter-NG гэж юу вэ
ARP-ийн үйл ажиллагааны мөн чанарыг авч үзье энгийн жишээ. Компьютер А (IP хаяг 10.0.0.1) болон Компьютер В (IP хаяг 10.22.22.2) Ethernet сүлжээгээр холбогдсон. А компьютер В компьютерт өгөгдлийн пакет илгээхийг хүсч байгаа бөгөөд В компьютерийн IP хаяг нь түүнд мэдэгддэг. Гэхдээ тэдний холбогдсон Ethernet сүлжээ нь IP хаягтай ажиллахгүй. Тиймээс А компьютер нь Ethernet-ээр дамжуулахын тулд В компьютерийн хаягийг мэдэх шаардлагатай. Ethernet сүлжээнүүд(Ethernet хэлээр MAC хаяг). Энэ ажилд ARP протоколыг ашигладаг. Компьютер А нь нэг өргөн нэвтрүүлгийн домайн дахь бүх компьютерт өргөн нэвтрүүлгийн хүсэлт илгээхийн тулд энэ протоколыг ашигладаг. Хүсэлтийн мөн чанар: "10.22.22.2 IP хаягтай компьютер, MAC хаягтай компьютерт MAC хаягаа хэлээрэй (жишээ нь a0:ea:d1:11:f1:01)". Ethernet сүлжээ нь энэ хүсэлтийг нэг Ethernet сегмент дээрх бүх төхөөрөмжүүдэд хүргэдэг, үүнд В компьютер багтана. В компьютер нь А компьютерт хүсэлтийн дагуу хариу өгч, MAC хаягаа мэдээлдэг (жишээ нь. 00:ea:d1:11:f1:11) Одоо, В компьютерийн MAC хаягийг хүлээн авсны дараа А компьютер нь Ethernet сүлжээгээр дамжуулан түүнд ямар ч өгөгдөл илгээх боломжтой.
Мэдээлэл илгээх бүрийн өмнө ARP протоколыг ашиглах шаардлагагүй тул хүлээн авсан MAC хаягууд болон тэдгээрийн холбогдох IP хаягуудыг хэсэг хугацаанд хүснэгтэд тэмдэглэнэ. Хэрэв та ижил IP руу өгөгдөл илгээх шаардлагатай бол хүссэн MAC хайх бүрт төхөөрөмжүүдээс санал асуулга хийх шаардлагагүй болно.
Бидний саяхан үзсэнчлэн ARP нь хүсэлт, хариуг агуулдаг. Хариултаас MAC хаягийг MAC/IP хүснэгтэд бичнэ. Хариултыг хүлээн авах үед түүний жинхэнэ эсэхийг ямар ч байдлаар шалгадаггүй. Тэгээд ч хүсэлт тавьсан эсэхийг шалгадаггүй. Тэдгээр. Та нэн даруй ARP хариултыг зорилтот төхөөрөмжүүдэд (хүсэлтгүйгээр) хуурамч өгөгдөлтэй илгээх боломжтой бөгөөд энэ өгөгдөл нь MAC / IP хүснэгтэд орж, өгөгдөл дамжуулахад ашиглагдах болно. Энэ бол ARP-spoofing халдлагын мөн чанар бөгөөд үүнийг заримдаа ARP poisoning, ARP cache poisoning гэж нэрлэдэг.
ARP хууран мэхлэх халдлагын тайлбар
Хоёр компьютер (зангилаа) M ба N дотор дотоод сүлжээ Ethernet нь мессеж солилцдог. Нэг сүлжээнд байгаа халдагч X эдгээр зангилааны хоорондох мессежийг таслан зогсоохыг хүсч байна. M зангилааны сүлжээний интерфэйс дээр ARP хуурамч халдлага хийхээс өмнө ARP хүснэгтэд IP болон MAC хаягзангилаа N. Мөн N зангилааны сүлжээний интерфейс дээр ARP хүснэгтэд M зангилааны IP болон MAC-г агуулна.
ARP хуурамч халдлагын үед хост X (халдагчид) хоёр ARP хариултыг (хүсэлтгүй) M болон N хост руу илгээдэг. M хостын ARP хариу нь N-ийн IP хаяг, X-ийн MAC хаягийг агуулна. ARP хариу нь N хост нь M IP хаяг, X MAC хаягийг агуулна.
M болон N компьютерууд нь аяндаа ARP-г дэмждэг тул ARP хариу хүлээн авсны дараа тэд ARP хүснэгтээ өөрчилдөг ба одоо ARP хүснэгт M нь IP N хаягтай холбогдсон X-ийн MAC хаягийг, ARP хүснэгт N нь MAC хаягийг агуулдаг. M IP хаягтай холбогдсон.
Ийнхүү ARP хууран мэхлэх халдлага дуусч, одоо M болон N хоорондох бүх пакетууд (фрэймүүд) X-ээр дамждаг. Жишээ нь, хэрэв M нь N компьютерт пакет илгээхийг хүсвэл M нь ARP хүснэгтээ хайж олдог. N хостын IP хаягийг оруулаад тэндээс MAC хаягийг сонгож (мөн X зангилааны MAC хаяг аль хэдийн байгаа) пакетийг дамжуулна. Пакет нь X интерфэйс дээр ирж, түүнийг задлан шинжилж, N зангилаа руу дамжуулна.
][ баг бүр програм хангамж, хэрэгслүүдийн талаар өөрийн гэсэн сонголттой байдаг
үзэгний туршилт. Зөвлөгөөний дараа сонголт нь таны чадахаар маш их ялгаатай болохыг олж мэдсэн
жинхэнэ ноёнтонд зориулсан батлагдсан хөтөлбөрүүдийг хий. Үүн дээр болон
шийдсэн. Хослол хийхгүйн тулд бид бүхэл бүтэн жагсаалтыг сэдвүүдэд хуваасан
Энэ удаад бид үнэрлэх, пакет удирдах хэрэгслүүдийн талаар ярих болно. Ашиглах
эрүүл мэнд.
Wireshark
netcat
Хэрэв бид өгөгдөл саатуулах тухай ярих юм бол сүлжээ олборлогчүүнийг агаараас ав
(эсвэл PCAP форматаар урьдчилан бэлтгэсэн хогийн цэгээс) файл, гэрчилгээ,
зураг болон бусад зөөвөрлөгч, түүнчлэн нууц үг болон зөвшөөрлийн бусад мэдээлэл.
Ашигтай функц нь түлхүүр үг агуулсан мэдээллийн хэсгүүдийг хайх явдал юм
(жишээ нь хэрэглэгчийн нэвтрэх).
Скайп
Вэбсайт:
www.secdev.org/projects/scapy
Ямар ч хакерт байх ёстой бөгөөд энэ нь хамгийн хүчирхэг хэрэгсэл юм
интерактив пакетийн зохицуулалт. Ихэнх пакетуудыг хүлээн авч, тайлах
янз бүрийн протоколууд, хүсэлтэд хариу өгөх, өөрчилсөн ба
гараар хийсэн багц - бүх зүйл амархан! Үүний тусламжтайгаар та бүхэл бүтэн тоглолт хийх боломжтой
скан хийх, тракорут, халдлага, илрүүлэх зэрэг хэд хэдэн сонгодог ажлууд
сүлжээний дэд бүтэц. Нэг саванд бид ийм алдартай хэрэгслийг орлуулах болно.
Жишээ нь: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f гэх мэт. Тэр үед
адил цагт Скайпямар ч, тэр ч байтугай хамгийн тодорхой зүйлийг хийх боломжийг танд олгоно
өөр хөгжүүлэгчийн бүтээсэн хэзээ ч хийх боломжгүй даалгавар
гэсэн үг. С үсгээр бүхэл бүтэн уул мөр бичихийн оронд жишээ нь:
Буруу пакет үүсгэж, зарим демоныг хийвэл хангалттай
ашиглан хэд хэдэн мөр код шидэх Скайп! Хөтөлбөрт байхгүй байна
график интерфэйс, харилцан үйлчлэл нь орчуулагчаар дамждаг
Python. Бага зэрэг дас, тэгвэл буруу бүтээхэд ямар ч зардал гарахгүй
пакетууд, шаардлагатай 802.11 фрэймүүдийг оруулах, халдлагад янз бүрийн хандлагуудыг нэгтгэх
(жишээлбэл, ARP кэшийн хордлого, VLAN үсрэх гэх мэт) гэх мэт. Хөгжүүлэгчид шаардаж байна
Scapy-ийн чадавхийг бусад төслүүдэд ашигладаг. Түүнийг холбож байна
модулийн хувьд орон нутгийн судалгааны янз бүрийн төрлийн хэрэглүүрийг бий болгоход хялбар,
эмзэг байдлыг хайх, Wi-Fi тарилга, автомат гүйцэтгэлтодорхой
даалгавар гэх мэт.
багц
Вэбсайт:
Платформ: *nix, Windows-д зориулсан порт байна
Нэг талаас ямар ч зүйлийг бий болгох боломжийг олгодог сонирхолтой хөгжил
ethernet пакет, нөгөө талаас пакетуудын дарааллыг илгээдэг
шалгалтууд зурвасын өргөн. Бусад ижил төстэй хэрэгслүүдээс ялгаатай нь багц
Байгаа GUI, танд хамгийн энгийн аргаар багц үүсгэх боломжийг олгоно
хэлбэр. Цаашид илүү. Ялангуяа бий болгох, илгээх ажлыг боловсруулсан
багцын дараалал. Та илгээлтийн хооронд саатал тохируулах боломжтой.
-аас пакет илгээх хамгийн дээд хурддамжуулах чадварыг шалгах
сүлжээний хэсэг (тиймээ, энэ нь тэд ddos болно) ба, бүр илүү сонирхолтой нь -
багц дахь параметрүүдийг динамикаар өөрчлөх (жишээ нь, IP эсвэл MAC хаяг).
АНХААР!Энэхүү нийтлэлийг зөвхөн мэдээллийн технологийн аюулгүй байдлын мэргэжилтнүүдэд зориулсан мэдээллийн зорилгоор бичсэн болно. Траффикийг таслан зогсоох нь хувийн дотоод сүлжээн дэх өөрийн төхөөрөмжийн жишээн дээр байсан. Хувийн мэдээллийг саатуулах, ашиглах нь хуулиар шийтгэгдэж болзошгүй тул бид таныг энэ нийтлэлийг бусдад хорлох зорилгоор ашиглахыг дэмжихгүй. Дэлхийд амар амгалан, бие биедээ туслаарай!
Сайн уу! Энэ нийтлэлд бид WiFi sniffer-ийн талаар ярих болно. Бүх өгөгдсөн төрөлХөтөлбөр нь зөвхөн дотоод сүлжээн дэх урсгалыг саатуулах зорилготой юм. Цаашилбал, хохирогч нь чиглүүлэгч, кабель эсвэл Wi-Fi-аар хэрхэн холбогдсон нь хамаагүй. Би замын хөдөлгөөнийг таслан зогсоохыг жишээгээр харуулахыг хүсч байна сонирхолтой хөтөлбөр Interceptor-NG. Би яагаад түүнийг сонгосон юм бэ? Үнэн хэрэгтээ энэхүү sniffer програм нь Windows-д тусгайлан зориулагдсан бөгөөд нэлээн ээлтэй интерфэйстэй бөгөөд хэрэглэхэд хялбар юм. Мөн хүн болгонд Линукс байдаггүй.
Intercepter-NG чадавхи
Таны мэдэж байгаагаар дотоод сүлжээ нь чиглүүлэгч болон эцсийн үйлчлүүлэгчийн хооронд өгөгдөл солилцох боломжийг байнга ашигладаг. Хэрэв хүсвэл энэ өгөгдлийг таслан авч, өөрийн зорилгоор ашиглаж болно. Жишээлбэл, та күүки, нууц үг эсвэл бусад сонирхолтой өгөгдлийг саатуулж болно. Бүх зүйл маш энгийн байдлаар явагддаг - компьютер нь интернет рүү хүсэлт илгээж, төв гарц эсвэл чиглүүлэгчийн хариултын хамт өгөгдлийг хүлээн авдаг.
Програм нь тодорхой горимыг ажиллуулж, үйлчлүүлэгч компьютер нь гарц руу биш, харин програмтай төхөөрөмж рүү өгөгдөл бүхий хүсэлтийг илгээж эхэлдэг. Өөрөөр хэлбэл, тэр чиглүүлэгчийг халдагчийн компьютертэй андуурдаг гэж бид хэлж чадна. Энэ халдлага ARP хууран мэхлэлт гэж бас нэрлэдэг. Цаашилбал, хоёр дахь компьютерээс бүх өгөгдлийг өөрийн зорилгоор ашигладаг.
Мэдээллийг хүлээн авсны дараа програм пакетуудаас гаргаж авахыг оролдох үед үнэрлэх процесс эхэлнэ. шаардлагатай мэдээлэл: нууц үг, логик, эцсийн вэб эх сурвалж, интернет дэх зочилсон хуудсууд, тэр ч байтугай мессенжер дэх захидал харилцаа. Гэхдээ ийм зураг шифрлэгдээгүй өгөгдөлтэй сайн ажилладаг гэсэн жижиг сул тал бий. HTTPS хуудсуудыг хүсэх үед та хэнгэрэгээр бүжиглэх хэрэгтэй. Жишээлбэл, үйлчлүүлэгчийн хүсэлтээр програм байж болно DNS сервер, түүний хуурамч сайтын хаягийг тавьж, нэвтрэх нэр, нууц үгээ оруулах боломжтой.
Ердийн халдлага
Эхлээд бид програмыг татаж авах хэрэгтэй. Хэрэв та sniff.su албан ёсны сайтаас програмыг татаж авахыг оролдвол зарим хөтчүүд тангараглаж магадгүй юм. Гэхдээ та оролдож болно. Хэрэв та явахаас залхуурсан бол энэ хамгаалалт, дараа нь та програмыг GitHub-аас татаж авах боломжтой.
- Сүлжээнд хэрхэн холбогдсоноос хамааран зүүн дээд буланд харгалзах дүрс гарч ирнэ - дээр дарна уу;
- Та ажиллаж байгаа сүлжээний модулийг сонгох хэрэгтэй. Би аль хэдийн локал IP оноосон нэгийг нь сонгосон, өөрөөр хэлбэл миний IP хаяг;
- Хоосон талбар дээр хулганы баруун товчийг дараад "Smarty Scan" -ыг ажиллуулна уу;
- Дараа нь та IP хаягуудын жагсаалтыг харах болно, мөн MAC болон Нэмэлт мэдээлэлсүлжээнд байгаа төхөөрөмжүүдийн тухай. Довтолгооны зорилтуудын аль нэгийг сонгоод, дээр нь товшоод жагсаалтаас "Зорилтот болгон нэмэх" гэснийг сонгоод програм нь төхөөрөмжийг засахад хангалттай. Үүний дараа цонхны баруун дээд буланд байрлах эхлүүлэх товчийг дарна уу;
- "MiTM горим" хэсэгт очоод цацрагийн дүрс дээр дарна уу;
- Эхлэх процесс эхэлсэн тул нэвтрэх болон нууц үгээ харахын тулд гурав дахь таб руу очно уу;
- Хоёрдахь таб дээр та бүх шилжүүлсэн өгөгдлийг харах болно;
Таны харж байгаагаар энд та зөвхөн саатуулсан түлхүүрүүд болон хэрэглэгчийн нэрс, түүнчлэн зорилтот зочилсон сайтуудыг харж, илрүүлэх боломжтой.
Interception Cookies
Хэрэв хэн нэгэн мэдэхгүй бол күүки нь түр зуурын өгөгдөл бөгөөд биднийг форумд итгэмжлэлээ бүрмөсөн оруулахгүй байх боломжийг олгодог. нийгмийн сүлжээндболон бусад сайтууд. Энэ бол түр зуурын тасалбар гэж хэлж болно. Энд мөн энэ програмыг ашиглан тэднийг саатуулж болно.
Бүх зүйл маш энгийн байдлаар хийгдсэн, ердийн халдлага хийсний дараа гурав дахь таб руу очиж, дарна уу баруун товшино уучөлөөт талбар дээр "Күүки харуулах" гэснийг сонгоно уу.
Та шаардлагатай күүкиг харах ёстой. Тэдгээрийг ашиглах нь маш энгийн - хүссэн сайт дээр баруун товчийг дараад "Хөтөч дээр нээх" гэснийг сонгоно уу. Үүний дараа энэ нь өөр хэн нэгний дансны хуудаснаас сайтыг нээх болно.
Нэвтрэх болон нууц үгээ авч байна
Хөтөлбөрийг эхлүүлсний дараа үйлчлүүлэгч аль хэдийн нэг юм уу өөр байранд сууж байх магадлалтай данс. Гэхдээ та түүнийг дахин хэрэглэгчийн нэр, нууц үгээ оруулахыг албадаж болно. Жигнэмэг нь өөрөө мөнхийн биш учраас энэ нь хэвийн үзэгдэл юм. Үүний тулд Cookie Killer програмыг ашигладаг. Үйлчлүүлэгч ажиллаж эхэлсний дараа хуучин күүкиг бүрмөсөн устгаж, нэвтрэх нэр, нууц үгээ дахин оруулах шаардлагатай бөгөөд эндээс саатуулах ажиллагаа идэвхждэг. Үүнд зориулсан тусдаа видео заавар байна:
SmartSniffсүлжээний урсгалыг таслан зогсоох, агуулгыг нь ASCII дээр харуулах боломжийг танд олгоно. Програм нь дамжиж буй пакетуудыг авдаг сүлжээний адаптермөн пакетуудын агуулгыг текст хэлбэрээр (протоколууд http, pop3, smtp, ftp) болон арван зургаатын тооллого хэлбэрээр харуулдаг. TCP/IP пакетуудыг авахын тулд SmartSniff нь дараах аргуудыг ашигладаг: түүхий залгуурууд - RAW залгуурууд, WinCap Capture Driver болон Microsoft Network Monitor Driver. Хөтөлбөр нь орос хэлийг дэмждэг бөгөөд хэрэглэхэд хялбар.
Пакет sniffer програм
 |
SmartSniff нь дараах мэдээллийг харуулдаг: протоколын нэр, локал болон алсын хаяг, локал болон алсын порт, локал хост, үйлчилгээний нэр, өгөгдлийн хэмжээ, нийт хэмжээ, авах хугацаа болон сүүлийн пакетийн хугацаа, үргэлжлэх хугацаа, локал болон алсын MAC хаяг, улс болон контент өгөгдлийн багц. Хөтөлбөр нь уян хатан тохиргоотой, зураг авах шүүлтүүр, http хариултыг задлах, IP хаягийг хөрвүүлэх функцтэй, хэрэгслийг системийн тавиур руу багасгасан. SmartSniff нь багцын урсгалын тайланг маягтаар үүсгэдэг HTML хуудаснууд. Хөтөлбөрт TCP/IP урсгалыг экспортлох боломжтой.
Wireshark програм нь сүлжээний багцын нарийвчилсан дүн шинжилгээ хийх шаардлагатай хэрэглэгчдэд маш сайн туслагч байх болно - урсгал компьютерийн сүлжээ. гэх мэт нийтлэг протоколуудтай үнэрлэгч амархан харьцдаг netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6болон бусад олон. Тусгай протоколын дагуу сүлжээний багцыг зохих бүрэлдэхүүн хэсгүүдэд хувааж, дэлгэцэн дээр унших боломжтой мэдээллийг тоон хэлбэрээр харуулахыг анализ хийх боломжийг олгоно.
дамжуулсан болон хүлээн авсан мэдээллийн асар олон тооны өөр өөр форматыг дэмждэг, бусад хэрэгслүүдэд ашиглагдаж буй файлуудыг нээх боломжтой. Үйл ажиллагааны зарчим нь сүлжээний карт нь өргөн нэвтрүүлгийн горимд шилжиж, түүний харагдах бүсэд байгаа сүлжээний пакетуудыг саатуулж эхэлдэг. Wi-Fi пакетуудыг саатуулах программ хэлбэрээр ажиллах боломжтой.
Wireshark-г хэрхэн ашиглах вэ
Уг программ нь сүлжээгээр дамжиж буй мэдээллийн пакетуудын агуулгыг шалгадаг. Шинжээчийн ажлын үр дүнг эхлүүлэх, ашиглахын тулд тусгай мэдлэг шаардагдахгүй, та үүнийг "Эхлүүлэх" цэсэнд нээх эсвэл ширээний компьютер дээрх дүрс дээр дарахад л хангалттай (түүнийг эхлүүлэх нь бусадтай адилгүй юм. Windows програмууд). Тус хэрэгслийн онцгой шинж чанар нь мэдээллийн багцыг барьж, агуулгыг нь сайтар тайлж, хэрэглэгчдэд дүн шинжилгээ хийх боломжийг олгодог.Wireshark-ийг ажиллуулсны дараа та програмын үндсэн цэсийг цонхны дээд талд байрлах дэлгэцэн дээр харах болно. Үүний тусламжтайгаар хэрэгслийг удирддаг. Хэрэв та өмнөх сессүүдэд баригдсан багцуудын мэдээллийг хадгалах файлуудыг татаж авах, мөн шинэ сессээр олборлосон бусад багцуудын мэдээллийг хадгалах шаардлагатай бол "Файл" таб хэрэгтэй.
Сүлжээний пакет барих функцийг эхлүүлэхийн тулд хэрэглэгч "Capture" дүрс дээр дарж, "Интерфейс" нэртэй тусгай цэсийн хэсгийг хайж олох хэрэгтэй бөгөөд үүний тусламжтайгаар та тусдаа "Wireshark Capture Interfaces" цонхыг нээх боломжтой бөгөөд тэнд байгаа бүх сүлжээний интерфэйсүүд байх ёстой. харуулах бөгөөд үүгээр дамжуулан шаардлагатай өгөгдлийн пакетуудыг авах болно. Хөтөлбөр (үнэрлэгч) зөвхөн нэг тохиромжтой интерфэйсийг илрүүлэх боломжтой тохиолдолд бүхэлд нь харуулах болно чухал мэдээлэлтүүний тухай.
Хэрэглээний ажлын үр дүн нь хэрэглэгчид бие даан ажиллахгүй байсан ч гэсэн шууд нотолгоо юм Энэ мөчцаг) аливаа өгөгдөл дамжуулах, сүлжээ нь мэдээлэл солилцохыг зогсоохгүй. Эцсийн эцэст, дотоод сүлжээний үйл ажиллагааны зарчим нь түүнийг ажлын горимд байлгахын тулд түүний элемент бүр (компьютер, унтраалга болон бусад төхөөрөмжүүд) өөр хоорондоо үйлчилгээний мэдээллийг тасралтгүй солилцдог тул ижил төстэй сүлжээний хэрэгслүүдийг ашиглахад зориулагдсан болно. ийм пакетуудыг саатуулах.
Линукс системд зориулсан хувилбар бас бий.
Үүнийг тэмдэглэх нь зүйтэй sniffer нь сүлжээний админуудад маш хэрэгтэй байдагболон үйлчилгээ компьютерийн аюулгүй байдал, учир нь хэрэгсэл нь хамгаалалтгүй сүлжээний зангилааг тодорхойлох боломжийг олгодог - хакеруудын халдлагад өртөж болзошгүй газрууд.
Зориулалтын зорилгоос гадна Wireshark-ийг хянах, цаашдын дүн шинжилгээ хийх хэрэгсэл болгон ашиглаж болно сүлжээний урсгалСүлжээний хамгаалалтгүй хэсгүүдэд халдлага зохион байгуулахын тулд, учир нь саатуулсан урсгалыг янз бүрийн зорилгод хүрэхэд ашиглаж болно.
Ачааж байна...