Čo je Intercepter-NG
Zvážte podstatu fungovania ARP na jednoduchý príklad. Počítač A (IP adresa 10.0.0.1) a Počítač B (IP adresa 10.22.22.2) sú prepojené ethernetovou sieťou. Počítač A chce poslať dátový paket do počítača B, IP adresa počítača B je mu známa. Sieť Ethernet, ku ktorej sú pripojené, však nefunguje s adresami IP. Preto počítač A potrebuje poznať adresu počítača B, aby mohol vysielať cez Ethernet. Ethernetové siete(MAC adresa v ethernetových podmienkach). Na túto úlohu sa používa protokol ARP. Počítač A používa tento protokol na odoslanie požiadavky na vysielanie všetkým počítačom v rovnakej doméne vysielania. Podstata požiadavky: "počítač s IP adresou 10.22.22.2, povedz svoju MAC adresu počítaču s MAC adresou (napr. a0:ea:d1:11:f1:01)". Ethernetová sieť doručí túto požiadavku všetkým zariadeniam na rovnakom ethernetovom segmente, vrátane počítača B. Počítač B odpovie počítaču A s požiadavkou a oznámi svoju MAC adresu (napr. 00:ea:d1:11:f1:11). Po prijatí MAC adresy počítača B môže počítač A do neho posielať akékoľvek dáta cez ethernetovú sieť.
Aby pred každým odoslaním dát nebolo potrebné používať protokol ARP, prijaté MAC adresy a im zodpovedajúce IP adresy sa na chvíľu zaznamenajú do tabuľky. Ak potrebujete posielať dáta na rovnakú IP, potom nie je potrebné žiadať zariadenia zakaždým pri hľadaní požadovaného MAC.
Ako sme práve videli, ARP obsahuje požiadavku a odpoveď. MAC adresa z odpovede sa zapíše do tabuľky MAC/IP. Po prijatí odpovede sa žiadnym spôsobom nekontroluje jej pravosť. Navyše ani nekontroluje, či bola žiadosť podaná. Tie. môžete okamžite poslať ARP odpoveď cieľovým zariadeniam (aj bez požiadavky) so sfalšovanými údajmi a tieto údaje padnú do tabuľky MAC / IP a použijú sa na prenos údajov. Toto je podstata útoku spoofingu ARP, ktorý sa niekedy nazýva otrava ARP, otrava ARP cache.
Popis útoku spoofingu ARP
Dva počítače (uzly) M a N in lokálna sieť Ethernety si vymieňajú správy. Útočník X, ktorý je v rovnakej sieti, chce zachytávať správy medzi týmito uzlami. Predtým, ako sa na sieťové rozhranie uzla M použije útok spoofingu ARP, tabuľka ARP obsahuje IP a Mac adresa uzol N. Aj na sieťovom rozhraní uzla N tabuľka ARP obsahuje IP a MAC uzla M.
Počas útoku spoofingu ARP hostiteľ X (útočník) odošle dve odpovede ARP (žiadna požiadavka) hostiteľovi M a hostiteľovi N. Odpoveď ARP hostiteľovi M obsahuje IP adresu N a MAC adresu X. Odpoveď ARP do hostiteľa N obsahuje IP adresu M a MAC adresu X.
Keďže počítače M a N podporujú spontánne ARP, po prijatí odpovede ARP zmenia svoje tabuľky ARP a teraz ARP tabuľka M obsahuje MAC adresu X viazanú na IP adresu N a ARP tabuľka N obsahuje MAC adresu X. viazaný na IP adresu M.
Útok spoofingu ARP bol teda dokončený a teraz všetky pakety (rámce) medzi M a N prechádzajú cez X. Napríklad, ak M chce poslať paket do počítača N, potom M sa pozrie do svojej tabuľky ARP, nájde záznam s IP adresou hostiteľa N, vyberie odtiaľ MAC adresu (a tam už je MAC adresa uzla X) a odošle paket. Paket prichádza na rozhranie X, je ním analyzovaný a potom poslaný do uzla N.
Každý z tímu ][ má svoje vlastné preferencie týkajúce sa softvéru a pomôcok pre
perový test. Po konzultácii sme zistili, že výber sa líši natoľko, že môžete
urobte skutočný gentlemanský set osvedčených programov. Na tom a
rozhodol. Aby sme nerobili kombinovanú hádku, celý zoznam sme rozdelili do tém – a do
tentoraz sa dotkneme nástrojov na sniffovanie a manipuláciu s paketmi. Použite na
zdravie.
Wireshark
netcat
Ak hovoríme o zachytávaní údajov, potom sieťový baník stiahnuť to zo vzduchu
(alebo z vopred pripraveného výpisu vo formáte PCAP) súborov, certifikátov,
obrázky a iné médiá, ako aj heslá a ďalšie informácie na autorizáciu.
Užitočnou funkciou je vyhľadávanie tých dátových sekcií, ktoré obsahujú kľúčové slová
(napr. prihlásenie používateľa).
Scapy
Webstránka:
www.secdev.org/projects/scapy
Povinná výbava každého hackera, ktorý je tým najmocnejším nástrojom
interaktívna manipulácia s paketmi. Prijímajte a dekódujte najviac paketov
rôzne protokoly, odpovedať na požiadavku, vložiť upravený a
ručne vyrobený balíček - všetko je jednoduché! S ním môžete vykonávať celok
množstvo klasických úloh ako skenovanie, tracorute, útoky a detekcia
sieťovú infraštruktúru. V jednej fľaši získame náhradu za také populárne nástroje,
ako: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f atď. Pri tom
rovnaký čas Scapy umožňuje vykonávať akékoľvek, dokonca aj tie najšpecifickejšie
úloha, ktorú nikdy nebude možné vykonať, ktorú vytvoril iný vývojár
znamená. Namiesto písania celej hory riadkov v C, aby napr.
vygeneruj nespravny paket a fuzz nejakeho daemona, staci
hodiť pár riadkov kódu pomocou Scapy! Program má č
grafické rozhranie a interaktivita sa dosahuje prostredníctvom tlmočníka
Python. Zvyknite si na to trochu a nebude vás to stáť nič nesprávne
pakety, vstrekujú potrebné rámce 802.11, kombinujú rôzne prístupy pri útokoch
(povedzme otrava ARP cache a preskakovanie VLAN) atď. Vývojári trvajú na tom
na tom, že schopnosti Scapy sa využívajú aj v iných projektoch. Spojenie s ňou
ako modul je ľahké vytvoriť nástroj pre rôzne druhy lokálneho výskumu,
vyhľadávanie zraniteľností, vstrekovanie Wi-Fi, automatické vykonávaniešpecifické
úlohy atď.
balíky
Webstránka:
Platforma: *nix, existuje port pre Windows
Zaujímavý vývoj, ktorý umožňuje na jednej strane generovať akékoľvek
ethernetový paket, a na druhej strane posielať sekvencie paketov na
kontroly šírku pásma. Na rozdiel od iných podobných nástrojov, balíky
Má GUI, čo vám umožňuje vytvárať balíčky tým najjednoduchším spôsobom
formulár. Ďalej viac. Predovšetkým prepracované vytvorenie a odoslanie
sekvencie paketov. Môžete nastaviť oneskorenie medzi odoslaním,
odosielať pakety z maximálna rýchlosť na kontrolu priepustnosti
časť siete (áno, to je miesto, kde budú ddos) a čo je ešte zaujímavejšie -
dynamicky meniť parametre v paketoch (napríklad IP alebo MAC adresu).
POZOR! Tento článok je napísaný len na informačné účely pre profesionálov v oblasti IT bezpečnosti. Odpočúvanie prevádzky bolo na príklade vlastných zariadení v osobnej lokálnej sieti. Zachytávanie a používanie osobných údajov môže byť trestné podľa zákona, preto vám neodporúčame používať tento článok na poškodzovanie iných. Mier vo svete, pomáhajte si navzájom!
Ahojte všetci! V článku budeme hovoriť o WiFi sniffer. Vôbec daný typ Program je určený výhradne na zachytenie prevádzky v lokálnej sieti. Ďalej nezáleží na tom, ako je obeť pripojená k smerovaču, cez kábel alebo cez Wi-Fi. Chcem ukázať odpočúvanie dopravy na príklade zaujímavý program Interceptor-NG. Prečo som si ju vybral? Faktom je, že táto aplikácia sniffer je napísaná špeciálne pre Windows, má pomerne priateľské rozhranie a ľahko sa používa. A nie každý má Linux.
Schopnosti zachytávača-NG
Ako viete, lokálna sieť neustále využíva výmenu dát medzi smerovačom a koncovým klientom. V prípade potreby môžu byť tieto údaje zachytené a použité pre vaše vlastné účely. Môžete napríklad zachytiť súbory cookie, heslá alebo iné zaujímavé údaje. Všetko sa deje veľmi jednoducho – počítač odošle požiadavku na internet a dostane dáta spolu s odpoveďou z centrálnej brány alebo smerovača.
Program spustí určitý režim, v ktorom klientsky počítač začne odosielať požiadavky s údajmi nie na bránu, ale na zariadenie s programom. To znamená, že môžeme povedať, že si mýli router s počítačom útočníka. Tento útok tiež nazývaný spoofing ARP. Ďalej, z druhého počítača sa všetky údaje používajú na vlastné účely.
Po prijatí dát sa začne proces sniffovania, kedy sa program pokúša extrahovať z paketov potrebné informácie: heslá, logiky, konečné webové zdroje, navštívené stránky na internete a dokonca aj korešpondencia v instant messengeroch. Existuje však malé mínus, že takýto obrázok funguje dobre s nešifrovanými údajmi. Keď požadujete stránky HTTPS, musíte tancovať s tamburínou. Napríklad program môže, keď klient požaduje DNS server, vložte adresu svojej falošnej stránky, kde môže zadať svoje prihlasovacie meno a heslo.
Normálny útok
Najprv si musíme stiahnuť program. Niektoré prehliadače môžu nadávať, ak sa pokúsite stiahnuť aplikáciu z oficiálnej stránky - sniff.su. Ale skúsiť to môžeš. Ak ste príliš leniví ísť túto ochranu, potom si môžete stiahnuť aplikáciu z GitHubu.
- V závislosti od toho, ako ste pripojení k sieti, sa v ľavom hornom rohu zobrazí príslušná ikona - kliknite na ňu;
- Musíte vybrať svoj pracovný sieťový modul. Vybral som si takú, ktorá už má pridelenú lokálnu IP, teda moju IP adresu;
- Na prázdnu oblasť kliknite pravým tlačidlom myši a potom spustite "Smarty Scan";
- Ďalej uvidíte zoznam adries IP, ako aj MAC a Ďalšie informácie o zariadeniach v sieti. Stačí vybrať jeden z cieľov útoku, kliknúť naň a potom zo zoznamu vybrať „Pridať ako cieľ“, aby program zariadenie opravil. Potom kliknite na tlačidlo Štart v pravom hornom rohu okna;
- Prejdite do časti "Režim MiTM" a kliknite na ikonu žiarenia;
- Proces spustenia bol spustený. Ak chcete zobraziť prihlasovacie údaje a heslá, prejdite na tretiu kartu;
- Na druhej karte uvidíte všetky prenesené údaje;
Ako vidíte, tu môžete vidieť a zistiť iba zachytené kľúče a používateľské mená, ako aj stránky navštívené cieľom.
Zachytávacie cookies
Ak niekto nevie, potom súbory cookie sú dočasné údaje, ktoré nám umožňujú trvalo nezadávať prihlasovacie údaje na fórach, v sociálnych sieťach a ďalšie stránky. Dá sa povedať, že ide o dočasnú priepustku. Tu ich možno tiež zachytiť pomocou tejto aplikácie.
Všetko sa robí celkom jednoducho, po spustení bežného útoku prejdite na tretiu kartu a stlačte kliknite pravým tlačidlom myši vo voľnom poli a vyberte možnosť „Zobraziť súbory cookie“.
Mali by ste vidieť požadované súbory cookie. Ich používanie je veľmi jednoduché – stačí kliknúť na požadovanú stránku pravým tlačidlom a následne vybrať „Otvoriť v prehliadači“. Potom sa stránka otvorí zo stránky účtu niekoho iného.
Získanie prihlasovacieho mena a hesla
S najväčšou pravdepodobnosťou po spustení programu bude klient už sedieť v jednom alebo druhom účtu. Môžete ho však prinútiť, aby znova zadal používateľské meno a heslo. Keďže cookies samotné nie sú večné, je to celkom bežná prax. Na tento účel sa používa program Cookie Killer. Klient po spustení úplne vymaže staré cookies a musí znova zadať login a heslo a tu sa odpočúvanie zapne. Na to existuje samostatný video tutoriál:
SmartSniff umožňuje zachytiť sieťovú prevádzku a zobraziť jej obsah v ASCII. Program zachytáva prechádzajúce pakety sieťový adaptér a zobrazuje obsah paketov v textovej forme (protokoly http, pop3, smtp, ftp) a vo forme hexadecimálneho výpisu. Na zachytávanie paketov TCP/IP používa SmartSniff nasledujúce techniky: raw sockets - RAW Sockets, WinCap Capture Driver a Microsoft Network Monitor Driver. Program podporuje ruštinu a ľahko sa používa.
Program na sledovanie paketov
 |
SmartSniff zobrazuje nasledujúce informácie: názov protokolu, lokálnu a vzdialenú adresu, lokálny a vzdialený port, lokálny hostiteľ, názov služby, objem dát, celkovú veľkosť, čas zachytávania a čas posledného paketu, trvanie, lokálnu a vzdialenú MAC adresu, krajiny a obsah dátový paket. Program má flexibilné nastavenia, má funkciu zachytávacieho filtra, rozbaľovanie http odpovedí, konverziu ip adries, utilita je minimalizovaná do systémovej lišty. SmartSniff generuje správu o toku paketov vo formulári HTML stránky. V programe je možné exportovať TCP/IP streamy.
Program Wireshark bude skvelým pomocníkom pre tých používateľov, ktorí potrebujú urobiť podrobnú analýzu sieťových paketov - prevádzky počítačová sieť. Sniffer ľahko interaguje s takými bežnými protokolmi, ako sú netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 a veľa ďalších. Umožňuje analýzu rozdeliť sieťový paket na príslušné komponenty podľa špecifického protokolu a zobraziť čitateľné informácie na obrazovke v číselnej forme.
podporuje veľké množstvo rôznych formátov prenášaných a prijímaných informácií, je schopný otvárať súbory, ktoré používajú iné nástroje. Princíp činnosti spočíva v tom, že sieťová karta sa prepne do vysielacieho režimu a začne sa zachytávanie sieťových paketov, ktoré sú v jej zóne viditeľnosti. Schopný pracovať ako program na zachytávanie wifi paketov.
Ako používať wireshark
Program skúma obsah informačných paketov, ktoré prechádzajú sieťou. Na spustenie a používanie výsledkov snifferu nie sú potrebné žiadne špecifické znalosti, stačí ho otvoriť v ponuke „Štart“ alebo kliknúť na ikonu na ploche (jeho spustenie sa nelíši od iných programy Windows). Špeciálna funkcia nástroja umožňuje zachytávať informačné pakety, starostlivo dešifrovať ich obsah a vydávať ich používateľovi na analýzu.Po spustení wireshark sa na obrazovke, ktorá sa nachádza v hornej časti okna, zobrazí hlavná ponuka programu. S jeho pomocou je utilita spravovaná. Ak potrebujete stiahnuť súbory, ktoré ukladajú údaje o balíkoch zachytených v predchádzajúcich reláciách, ako aj uložiť údaje o iných balíkoch vyťažených v novej relácii, potrebujete na to kartu „Súbor“.
Na spustenie funkcie zachytávania sieťových paketov musí používateľ kliknúť na ikonu „Capture“, potom nájsť špeciálnu časť ponuky s názvom „Interfaces“, pomocou ktorej môžete otvoriť samostatné okno „Wireshark Capture Interfaces“, kde by mali byť všetky dostupné sieťové rozhrania prostredníctvom ktorého zachytíte požadované dátové pakety. V prípade, že program (sniffer) dokáže rozpoznať iba jedno vhodné rozhranie, zobrazí celé dôležitá informácia o ňom.
Výsledky práce utility sú priamym dôkazom toho, že aj keď používatelia nepracujú sami (v tento momentčas) prenos akýchkoľvek údajov, sieť nezastaví výmenu informácií. Princípom fungovania lokálnej siete je napokon to, že v záujme udržania v prevádzkovom režime si každý z jej prvkov (počítač, prepínač a ďalšie zariadenia) neustále medzi sebou vymieňajú servisné informácie, preto sú podobné sieťové nástroje navrhnuté tak, aby zachytiť takéto pakety.
Existuje aj verzia pre systémy Linux.
Treba poznamenať, že sniffer je mimoriadne užitočný pre správcov siete a služieb počítačová bezpečnosť, pretože pomôcka vám umožňuje identifikovať potenciálne nechránené uzly siete – pravdepodobné oblasti, ktoré môžu byť napadnuté hackermi.
Okrem zamýšľaného účelu môže byť Wireshark použitý ako nástroj na monitorovanie a ďalšiu analýzu sieťová prevádzka s cieľom zorganizovať útok na nechránené časti siete, pretože zachytená prevádzka môže byť použitá na dosiahnutie rôznych cieľov.
Načítava...