Çfarë është Intercepter-NG
Konsideroni thelbin e funksionimit të ARP në një shembull të thjeshtë. Kompjuteri A (adresa IP 10.0.0.1) dhe Kompjuteri B (adresa IP 10.22.22.2) janë të lidhur nga një rrjet Ethernet. Kompjuteri A dëshiron të dërgojë një paketë të dhënash në kompjuterin B, adresa IP e kompjuterit B është e njohur për të. Megjithatë, rrjeti Ethernet me të cilin janë lidhur nuk funksionon me adresat IP. Prandaj, kompjuteri A duhet të dijë adresën e kompjuterit B në mënyrë që të transmetojë përmes Ethernetit. Rrjetet Ethernet(Adresa MAC në terma Ethernet). Për këtë detyrë përdoret protokolli ARP. Kompjuteri A përdor këtë protokoll për të dërguar një kërkesë transmetimi te të gjithë kompjuterët në të njëjtin domen transmetimi. Thelbi i kërkesës: "kompjuter me adresë IP 10.22.22.2, tregoni adresën tuaj MAC kompjuterit me adresë MAC (p.sh. a0:ea:d1:11:f1:01)". Rrjeti Ethernet ia dorëzon këtë kërkesë të gjitha pajisjeve në të njëjtin segment Ethernet, duke përfshirë kompjuterin B. Kompjuteri B i përgjigjet Kompjuterit A në kërkesë dhe raporton adresën e tij MAC (p.sh. 00:ea:d1:11:f1:11) Tani, duke ka marrë adresën MAC të kompjuterit B, kompjuteri A mund të dërgojë çdo të dhënë në të përmes rrjetit Ethernet.
Në mënyrë që të mos ketë nevojë të përdoret protokolli ARP përpara çdo dërgimi të të dhënave, adresat MAC të marra dhe adresat IP përkatëse të tyre regjistrohen në tabelë për një kohë. Nëse keni nevojë të dërgoni të dhëna në të njëjtën IP, atëherë nuk ka nevojë të anketoni pajisjet çdo herë në kërkim të MAC-së së dëshiruar.
Siç e kemi parë sapo, ARP përfshin një kërkesë dhe një përgjigje. Adresa MAC nga përgjigja shkruhet në tabelën MAC/IP. Kur merret një përgjigje, ajo nuk kontrollohet në asnjë mënyrë për autenticitetin. Për më tepër, as që kontrollon nëse kërkesa është bërë. ato. ju mund të dërgoni menjëherë një përgjigje ARP në pajisjet e synuara (edhe pa kërkesë), me të dhëna të falsifikuara, dhe këto të dhëna do të bien në tabelën MAC / IP dhe ato do të përdoren për transmetimin e të dhënave. Ky është thelbi i sulmit të mashtrimit të ARP, i cili nganjëherë quhet helmim ARP, helmim i cache ARP.
Përshkrimi i sulmit të mashtrimit të ARP-së
Dy kompjuterë (nyje) M dhe N in rrjet lokal Ethernet shkëmbejnë mesazhe. Sulmuesi X, i cili është në të njëjtin rrjet, dëshiron të përgjojë mesazhet midis këtyre nyjeve. Përpara se të aplikohet një sulm i mashtrimit ARP në ndërfaqen e rrjetit të nyjës M, tabela ARP përmban IP dhe Adresa mac nyja N. Gjithashtu në ndërfaqen e rrjetit të nyjës N, tabela ARP përmban IP dhe MAC të nyjës M.
Gjatë një sulmi të mashtrimit ARP, hosti X (sulmuesi) dërgon dy përgjigje ARP (pa kërkesë) te hosti M dhe hosti N. Përgjigja ARP ndaj hostit M përmban adresën IP të N dhe adresën MAC të X. Përgjigja ARP te hosti N përmban adresën IP M dhe adresën MAC X.
Meqenëse kompjuterët M dhe N mbështesin ARP spontane, pasi marrin një përgjigje ARP, ata ndryshojnë tabelat e tyre ARP, dhe tani tabela M ARP përmban adresën X MAC të lidhur me adresën IP N dhe tabela N ARP përmban adresën MAC X të lidhur. në adresën IP M.
Kështu, sulmi i mashtrimit të ARP-së ka përfunduar, dhe tani të gjitha paketat (kornizat) ndërmjet M dhe N kalojnë përmes X. Për shembull, nëse M dëshiron të dërgojë një paketë në kompjuterin N, atëherë M shikon në tabelën e tij ARP, gjen një hyrja me adresën IP të hostit N, zgjedh adresën MAC prej andej (dhe tashmë është adresa MAC e nyjes X) dhe transmeton paketën. Paketa arrin në ndërfaqen X, analizohet prej saj dhe më pas përcillet te nyja N.
Secili nga ekipi ][ ka preferencat e veta në lidhje me softuerin dhe shërbimet për
test me stilolaps. Pas konsultimit, zbuluam se zgjedhja ndryshon aq shumë sa mundeni
bëni një grup të vërtetë xhentëlmenësh të programeve të provuara. Mbi atë dhe
vendosi. Në mënyrë që të mos bëjmë një hodgepodge të kombinuar, ne e ndamë të gjithë listën në tema - dhe brenda
këtë herë do të prekim shërbimet për nuhatjen dhe manipulimin e paketave. Përdorni në
shëndetin.
Wireshark
netcat
Nëse flasim për përgjimin e të dhënave, atëherë minator i rrjetit hiqeni nga ajri
(ose nga një hale e përgatitur paraprakisht në formatin PCAP) skedarë, certifikata,
imazhe dhe media të tjera, si dhe fjalëkalime dhe informacione të tjera për autorizim.
Një veçori e dobishme është kërkimi i atyre seksioneve të të dhënave që përmbajnë fjalë kyçe
(p.sh. identifikimi i përdoruesit).
Skapi
Faqja e internetit:
www.secdev.org/projects/scapy
Duhet të ketë për çdo haker, i cili është mjeti më i fuqishëm për të
manipulimi interaktiv i paketave. Merrni dhe deshifroni shumicën e paketave
protokolle të ndryshme, përgjigjen një kërkese, injektojnë një të modifikuar dhe
Paketa e bërë me dorë - gjithçka është e lehtë! Me të, ju mund të kryeni një të tërë
një sërë detyrash klasike si skanimi, tracorute, sulmet dhe zbulimi
infrastrukturës së rrjetit. Në një shishe, ne marrim një zëvendësim për shërbime të tilla të njohura,
si: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f etj. Në atë
ne te njejten kohe Skapi ju lejon të kryeni ndonjë, madje edhe më specifik
një detyrë që nuk do të jetë kurrë në gjendje ta bëjë, e krijuar tashmë nga një zhvillues tjetër
do të thotë. Në vend që të shkruani një mal të tërë rreshtash në C, në mënyrë që, për shembull,
gjeneroni paketën e gabuar dhe fusni një demon, mjafton
hidhni disa rreshta kodi duke përdorur Skapi! Programi ka nr
ndërfaqe grafike, dhe interaktiviteti arrihet përmes përkthyesit
Python. Mësohuni pak me të dhe nuk do t'ju kushtojë asgjë për të krijuar gabime
paketat, injektojnë kornizat e nevojshme 802.11, kombinojnë qasje të ndryshme në sulme
(të themi, helmimi i cache ARP dhe hopping VLAN), etj. Zhvilluesit këmbëngulin
për faktin se aftësitë e Scapy përdoren në projekte të tjera. Duke e lidhur atë
si një modul, është e lehtë të krijohet një mjet për lloje të ndryshme të kërkimit lokal,
kërkimi për dobësi, injeksion Wi-Fi, ekzekutimi automatik specifike
detyrat etj.
pako
Faqja e internetit:
Platforma: *nix, ka një port për Windows
Një zhvillim interesant që lejon, nga njëra anë, të gjenerojë ndonjë
paketën ethernet dhe, nga ana tjetër, dërgoni sekuenca paketash në
kontrollet e xhiros. Ndryshe nga mjetet e tjera të ngjashme, pako
Ajo ka GUI, duke ju lejuar të krijoni paketa në mënyrën më të thjeshtë
formë. Më tej më shumë. Veçanërisht përpunuar krijimin dhe dërgimin
sekuencat e paketave. Ju mund të vendosni vonesa ndërmjet dërgimit,
dërgoni paketa me shpejtësi maksimale për të testuar xhiros
seksioni i rrjetit (po, këtu do të ddos) dhe, çfarë është edhe më interesante -
ndryshoni në mënyrë dinamike parametrat në pako (për shembull, adresa IP ose MAC).
KUJDES! Ky artikull është shkruar vetëm për qëllime informative për profesionistët e sigurisë së IT-së. Përgjimi i trafikut ishte në shembullin e pajisjeve të veta në një rrjet personal lokal. Përgjimi dhe përdorimi i të dhënave personale mund të dënohet me ligj, kështu që ne nuk ju inkurajojmë që ta përdorni këtë artikull për të dëmtuar të tjerët. Paqe në botë, ndihmojeni njëri-tjetrin!
Përshëndetje! Në artikull do të flasim për sniffer WiFi. Në përgjithësi lloji i dhënë Programi është menduar vetëm për përgjimin e trafikut në rrjetin lokal. Më tej, nuk ka rëndësi se si viktima është e lidhur me ruterin, me kabllo ose me Wi-Fi. Dua të tregoj përgjimin e trafikut me një shembull program interesant Interceptor-NG. Pse e zgjodha atë? Fakti është se ky aplikacion sniffer është shkruar posaçërisht për Windows, ka një ndërfaqe mjaft miqësore dhe është i lehtë për t'u përdorur. Dhe jo të gjithë kanë Linux.
Aftësitë intercepter-NG
Siç e dini, rrjeti lokal përdor vazhdimisht shkëmbimin e të dhënave midis ruterit dhe klientit fundor. Nëse dëshironi, këto të dhëna mund të përgjohen dhe përdoren për qëllimet tuaja. Për shembull, ju mund të përgjoni kuki, fjalëkalime ose të dhëna të tjera interesante. Gjithçka ndodh shumë thjesht - kompjuteri dërgon një kërkesë në internet dhe merr të dhëna së bashku me një përgjigje nga një portë qendrore ose ruter.
Programi lëshon një mënyrë të caktuar në të cilën kompjuteri i klientit fillon të dërgojë kërkesa me të dhëna jo në portë, por në pajisjen me program. Kjo do të thotë, mund të themi se ai ngatërron ruterin me kompjuterin e sulmuesit. Ky sulm i quajtur edhe ARP spoofing. Më tej, nga kompjuteri i dytë, të gjitha të dhënat përdoren për qëllimet e tyre.
Pas marrjes së të dhënave, fillon procesi i nuhatjes, kur programi përpiqet të nxjerrë informacionin e nevojshëm nga paketat: fjalëkalimet, logjikat, burimet përfundimtare të uebit, faqet e vizituara në internet dhe madje edhe korrespondencën në mesazhe të çastit. Por ka një minus të vogël që një fotografi e tillë funksionon mirë me të dhëna të pakriptuara. Kur kërkoni faqe HTTPS, duhet të kërceni me një dajre. Për shembull, një program mundet, kur një klient kërkon Server DNS, vendos adresën e faqes së tij false, ku mund të fusë login dhe fjalëkalimin për të hyrë.
Sulm normal
Së pari duhet të shkarkojmë programin. Disa shfletues mund të betohen nëse përpiqeni të shkarkoni aplikacionin nga faqja zyrtare - sniff.su. Por ju mund të provoni. Nëse jeni shumë dembel për të shkuar këtë mbrojtje, atëherë mund ta shkarkoni aplikacionin nga GitHub.
- Në varësi të mënyrës se si jeni lidhur me rrjetin, ikona përkatëse do të shfaqet në këndin e sipërm të majtë - klikoni mbi të;
- Ju duhet të zgjidhni modulin e rrjetit tuaj të punës. Zgjodha me një që tashmë ka një IP lokale të caktuar, domethënë adresën time IP;
- Në një zonë bosh, kliko me të djathtën dhe më pas ekzekuto "Smarty Scan";
- Tjetra, do të shihni një listë të adresave IP, si dhe MAC dhe Informacion shtese në lidhje me pajisjet në rrjet. Mjafton të zgjidhni një nga objektivat e sulmit, klikoni mbi të dhe më pas zgjidhni "Shto si objektiv" nga lista në mënyrë që programi të rregullojë pajisjen. Pas kësaj, klikoni në butonin e fillimit në këndin e sipërm të djathtë të dritares;
- Shkoni te seksioni "Modaliteti MiTM" dhe klikoni në ikonën e rrezatimit;
- Procesi i nisjes ka filluar, tani, për të parë hyrjet dhe fjalëkalimet, shkoni te skeda e tretë;
- Në skedën e dytë, do të shihni të gjitha të dhënat e transferuara;
Siç mund ta shihni, këtu mund të shihni dhe zbuloni vetëm çelësat dhe emrat e përdoruesve të përgjuar, si dhe ato faqe të vizituara nga objektivi.
Cookies përgjimi
Nëse dikush nuk e di, atëherë cookies janë të dhëna të përkohshme që na lejojnë të mos fusim përgjithmonë kredencialet në forume, në rrjete sociale dhe faqe të tjera. Mund të thuhet se kjo është një leje e përkohshme. Këtu ato gjithashtu mund të përgjohen duke përdorur këtë aplikacion.
Gjithçka bëhet mjaft thjesht, pasi të keni nisur një sulm normal, shkoni te skeda e tretë, kliko me të djathtën në fushën e lirë dhe zgjidhni "Trego Cookies".
Ju duhet të shihni Cookies të kërkuara. Përdorimi i tyre është shumë i thjeshtë - thjesht klikoni në faqen e dëshiruar me butonin e djathtë dhe më pas zgjidhni "Hap në shfletues". Pas kësaj, ajo do të hapë faqen nga faqja e llogarisë së dikujt tjetër.
Marrja e një identifikimi dhe fjalëkalimi
Me shumë mundësi, pas fillimit të programit, klienti tashmë do të jetë ulur në një ose në një tjetër llogari. Por ju mund ta detyroni atë të fusë përsëri emrin e përdoruesit dhe fjalëkalimin. Meqenëse vetë biskotat nuk janë të përjetshme, kjo është një praktikë mjaft normale. Për këtë përdoret programi Cookie Killer. Pas fillimit, klienti fshin plotësisht cookie-t e vjetra dhe duhet të fusë përsëri hyrjen dhe fjalëkalimin, dhe këtu aktivizohet përgjimi. Ekziston një video tutorial i veçantë për këtë:
SmartSniff ju lejon të përgjoni trafikun e rrjetit dhe të shfaqni përmbajtjen e tij në ASCII. Programi kap paketat që kalojnë përshtatës rrjeti dhe shfaq përmbajtjen e paketave në formë teksti (protokollet http, pop3, smtp, ftp) dhe në formën e një hale heksadecimal. Për të kapur paketat TCP/IP, SmartSniff përdor teknikat e mëposhtme: bazat e papërpunuara - Sockets RAW, WinCap Capture Driver dhe Microsoft Network Monitor Driver. Programi mbështet gjuhën ruse dhe është i lehtë për t'u përdorur.
Programi sniffer i paketave
 |
SmartSniff shfaq informacionin e mëposhtëm: emrin e protokollit, adresën lokale dhe të largët, portin lokal dhe të largët, hostin lokal, emrin e shërbimit, vëllimin e të dhënave, madhësinë totale, kohën e kapjes dhe kohën e fundit të paketës, kohëzgjatjen, adresën MAC lokale dhe të largët, vendet dhe përmbajtjet e paketa e të dhënave. Programi ka cilësime fleksibël, ka funksionin e një filtri kapjeje, zbërthimi i përgjigjeve http, konvertimi i adresave ip, mjeti është minimizuar në tabaka e sistemit. SmartSniff gjeneron një raport të rrjedhës së paketave në formë faqet HTML. Është e mundur të eksportoni transmetime TCP/IP në program.
Programi Wireshark do të jetë një ndihmës i shkëlqyeshëm për ata përdorues që duhet të bëjnë një analizë të hollësishme të paketave të rrjetit - trafikut rrjeti kompjuterik. Sniffer ndërvepron lehtësisht me protokolle të tilla të zakonshme si netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 dhe shume te tjere. Lejon analizën të ndajë paketën e rrjetit në komponentët e duhur, sipas një protokolli specifik dhe të shfaqë informacione të lexueshme në ekran në formë numerike.
mbështet një numër të madh të formateve të ndryshme të informacionit të transmetuar dhe marrë, është në gjendje të hapë skedarë që janë në përdorim nga shërbimet e tjera. Parimi i funksionimit është që karta e rrjetit kalon në modalitetin e transmetimit dhe fillon përgjimi i paketave të rrjetit që janë në zonën e saj të dukshmërisë. I aftë për të punuar si një program për përgjimin e paketave wifi.
Si të përdorni wireshark
Programi shqyrton përmbajtjen e paketave të informacionit që kalojnë nëpër rrjet. Për të nisur dhe përdorur rezultatet e sniffer, nuk kërkohet njohuri specifike, thjesht duhet ta hapni atë në menunë "Start" ose të klikoni në ikonën në desktop (nisja e tij nuk ndryshon nga ndonjë tjetër programet e Windows). Një veçori e veçantë e programit i lejon atij të kapë paketat e informacionit, të deshifrojë me kujdes përmbajtjen e tyre dhe t'i japë ato përdoruesit për analizë.Pasi të keni nisur wireshark, do të shihni menunë kryesore të programit në ekran, i cili ndodhet në krye të dritares. Me ndihmën e tij, shërbimi menaxhohet. Nëse keni nevojë të shkarkoni skedarë që ruajnë të dhëna për paketat e kapura në sesionet e mëparshme, si dhe të ruani të dhëna për paketat e tjera të nxjerra në një sesion të ri, atëherë ju nevojitet skeda "File" për këtë.
Për të nisur funksionin e kapjes së paketave në rrjet, përdoruesi duhet të klikojë në ikonën "Capture", më pas të gjejë një seksion të veçantë të menysë të quajtur "Interfaces", me të cilin mund të hapni një dritare të veçantë "Wireshark Capture Interfaces", ku të gjitha ndërfaqet e disponueshme të rrjetit duhet të të shfaqet, përmes së cilës do të kapen paketat e kërkuara të të dhënave. Në rastin kur programi (sniffer) është në gjendje të zbulojë vetëm një ndërfaqe të përshtatshme, ai do të shfaqë të gjithë informacion i rendesishem rreth tij.
Rezultatet e punës së shërbimeve janë dëshmi e drejtpërdrejtë që, edhe nëse përdoruesit nuk punojnë vetë (në ky moment kohë) transmetimin e ndonjë të dhënash, rrjeti nuk ndalon shkëmbimin e informacionit. Në fund të fundit, parimi i funksionimit të një rrjeti lokal është që për ta mbajtur atë në modalitetin e punës, secili nga elementët e tij (kompjuter, ndërprerës dhe pajisje të tjera) shkëmbejnë vazhdimisht informacionin e shërbimit me njëri-tjetrin, prandaj, mjete të ngjashme rrjeti janë krijuar për të përgjojnë paketa të tilla.
Ekziston edhe një version për sistemet Linux.
Duhet theksuar se sniffer është jashtëzakonisht i dobishëm për administratorët e rrjetit dhe sherbimet siguria kompjuterike, sepse programi ju lejon të identifikoni nyjet e rrjetit potencialisht të pambrojtura - zona të mundshme që mund të sulmohen nga hakerat.
Përveç qëllimit të synuar, Wireshark mund të përdoret si një mjet për monitorim dhe analiza të mëtejshme trafiku i rrjetit në mënyrë që të organizohet një sulm në pjesët e pambrojtura të rrjetit, sepse trafiku i përgjuar mund të përdoret për të arritur qëllime të ndryshme.
Po ngarkohet...