Що таке Intercepter-NG
Розглянемо суть функціонування ARP простому прикладі. Комп'ютер А (IP-адреса 10.0.0.1) та комп'ютер Б (IP-адреса 10.22.22.2) з'єднані мережею Ethernet. Комп'ютер А хоче переслати пакет даних на комп'ютер Б, IP-адреса комп'ютера Б йому відомий. Проте мережа Ethernet, якої вони з'єднані, не працює з IP-адресами. Тому комп'ютера для здійснення передачі через Ethernet потрібно дізнатися адресу комп'ютера Б в мережі Ethernet(MAC-адреса в термінах Ethernet). Для цього завдання використовується протокол ARP. За цим протоколом комп'ютер А надсилає широкомовний запит, адресований усім комп'ютерам в одному з ним домену. Суть запиту: «комп'ютер з IP-адресою 10.22.22.2, повідомте свою MAC-адресу комп'ютеру з МАС-адресою (напр. a0:ea:d1:11:f1:01)». Мережа Ethernet доставляє цей запит усім пристроям у тому ж сегменті Ethernet, у тому числі й комп'ютеру Б. Комп'ютер Б відповідає комп'ютеру А на запит і повідомляє свою MAC-адресу (напр. 00:ea:d1:11:f1:11) Тепер, отримавши MAC-адресу комп'ютера Б, комп'ютер А може передавати будь-які дані через мережу Ethernet.
Щоб не було необхідності перед кожним надсиланням даних задіяти протокол ARP, отримані MAC-адреси та відповідні їм IP адреси записуються в таблиці на деякий час. Якщо потрібно надіслати дані на той же IP, то немає необхідності щоразу опитувати пристрої у пошуках потрібного MAC.
Як ми тільки що побачили, ARP включає запит і відповідь. MAC-адреса з відповіді записується до таблиці MAC/IP. При отриманні відповіді він не перевіряється на справжність. Більше того, навіть не перевіряється, чи було зроблено запит. Тобто. на цільові пристрої можна надіслати відразу ARP-відповідь (навіть без запиту), з підміненими даними, і ці дані потраплять до таблиці MAC/IP, і вони будуть використовуватися для передачі даних. Це і є суть атаки ARP-Spoofing, яку іноді називають ARP травленням, травленням ARP кеша.
Опис атаки ARP-spoofing
Два комп'ютери (вузла) M і N в локальної мережі Ethernet обмінюються повідомленнями. Зловмисник X, який знаходиться в цій же мережі, хоче перехоплювати повідомлення між цими вузлами. До застосування атаки ARP-spoofing на мережному інтерфейсі вузла M ARP-таблиця містить IP та MAC адресавузла N. Також на мережному інтерфейсі вузла N ARP-таблиця містить IP та MAC вузла M.
Під час атаки ARP-spoofing вузол X (зловмисник) відсилає дві ARP відповіді (без запиту) - вузлу M та вузлу N. ARP-відповідь вузлу M містить IP-адресу N та MAC-адресу X. ARP-відповідь вузлу N містить IP адресу M і MAC-адреса X.
Оскільки комп'ютери M і N підтримують мимовільний ARP, то після отримання ARP-відповіді вони змінюють свої ARP таблиці, і тепер ARP-таблиця M містить MAC адресу X, прив'язану до IP-адреси N, а ARP-таблиця N містить MAC адресу X, прив'язаний до IP-адреси M.
Тим самим атака ARP-spoofing виконана, і тепер всі пакети(кадри) між M і N проходять через X. Наприклад, якщо M хоче передати пакет комп'ютеру N, то M дивиться в свою ARP-таблицю, знаходить запис з IP-адресою вузла N, вибирає звідти MAC-адресу (а там уже MAC-адресу вузла X) і передає пакет. Пакет надходить на інтерфейс X, аналізується ним, після чого перенаправляється вузлу N.
У кожного з команди ][ свої уподобання щодо софту і утиліт для
пен-тесту. Порадившись, ми з'ясували, що вибір так відрізняється, що можна
скласти справжній джентльменський набір із перевірених програм. На тому і
вирішили. Щоб не робити збірну солянку, весь список ми розбили на теми – і в
цього разу торкнемося утиліт для сніфінгу та маніпулювання пакетами. Користуйся
здоров'я.
Wireshark
Netcat
Якщо говорити про перехоплення даних, то Network Minerзніме з «ефіру»
(або із заздалегідь підготовленого дампа в PCAP-форматі) файли, сертифікати,
зображення та інші медіа, а також паролі та іншу інфу для авторизації.
Корисна можливість – пошук тих ділянок даних, що містять ключові слова
(наприклад, логін користувача).
Scapy
Сайт:
www.secdev.org/projects/scapy
Must-have для будь-якого хакера, що являє собою найпотужнішу тулзу для
інтерактивної маніпуляції пакетами Прийняти та декодувати пакети самих
різних протоколів, відповісти на запит, інжектувати модифікований та
власноруч створений пакет – все легко! З її допомогою можна виконувати цілий
ряд класичних завдань, на кшталт сканування, tracorute, атак та визначення
інфраструктури мережі. В одному флаконі ми отримуємо заміну таких популярних утиліт,
як: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f і т.д. У те
ж саме час Scapyдозволяє виконати будь-яке, навіть найспецифічніше
завдання, яке ніколи не зможе зробити вже створене іншим розробником
засіб. Замість того, щоб писати цілу гору рядків на Сі, щоб, наприклад,
згенерувати неправильний пакет і зробити фазинг якогось демона, достатньо
накидати пару рядків коду з використанням Scapy! У програми немає
графічного інтерфейсу, а інтерактивність досягається за рахунок інтерпретатора
Python. Ледве освоїшся, і тобі вже нічого не коштуватиме створити некоректні
пакети, інжектувати потрібні фрейми 802.11, поєднувати різні підходи в атаках
(Скажімо, ARP cache poisoning та VLAN hopping) і т.д. Розробники самі наполягають
на тому, щоб можливості Scapy використовувалися в інших проектах. Підключивши її
як модуль, легко створити утиліту для різноманітних досліджень локалки,
пошуку вразливостей, Wi-Fi інжекції, автоматичного виконанняспецифічних
задач тощо.
packeth
Сайт:
Платформа: * nix, є порт під Windows
Цікава технологія, що дозволяє, з одного боку, генерувати будь-який
ethernet пакет, і, з іншого, відправляти послідовності пакетів з метою
перевірки пропускної спроможності. На відміну від інших подібних тулз, packeth
має графічний інтерфейсдозволяючи створювати пакети в максимально простий
формі. Дальше більше. Особливо опрацьовано створення та відправлення
послідовностей пакетів. Ти можеш встановлювати затримки між відправкою,
надіслати пакети з максимальною швидкістю, щоб перевірити пропускну здатність
ділянки мережі (ага, ось сюди й будуть ддосить) і, що ще цікавіше -
динамічно змінювати параметри в пакетах (наприклад, IP або MAC-адреса).
УВАГА!Ця стаття написана лише з ознайомлювальною метою для фахівців у галузі IT безпеки. Перехоплення трафіку був на прикладі власних пристроїв у власній локальній мережі. Перехоплення та використання особистих даних може каратися законом, тому ми не закликаємо використовувати цю статтю на шкоду оточуючих. Мир у всьому світі, допомагаємо один одному!
Всім привіт! У статті ми поговоримо про WiFi сніффер. Взагалі даний типПрограма призначена виключно для перехоплення трафіку в локальній мережі. Далі все одно як жертва підключена до маршрутизатора, по кабелю або по Wi-Fi. Хочу показати перехоплення трафіку на прикладі цікавої програми"Intercepter-NG". Чому я вибрав її? Справа в тому, що це sniffer програма написана спеціально для Windows має досить привітний інтерфейс і проста у використанні. Та й Linux є не у всіх.
Можливості Intercepter-NG
Як ви знаєте, у локальній мережі постійно використовується обмін даними між роутером та кінцевим клієнтом. За бажання ці дані можна перехоплювати та використовувати у своїх цілях. Наприклад, можна перехопити куки, паролі чи інші цікаві дані. Відбувається все дуже просто - комп'ютер відправляє запит в інтернет і отримує дані разом із відповіддю від центрального шлюзу або маршрутизатора.
Програма запускає певний режим, в якому комп'ютер клієнт починає надсилати запити з даними не на шлюз, а саме пристрій із програмою. Тобто можна сказати, що він плутає роутер з комп'ютером зловмисника. Ця атакаще називається ARP спуфінгом. Далі, з другого комп'ютера, всі дані застосовуються у своїх цілях.
Після отримання даних починається процес сніфінгу, коли програма намагається вивудити з пакетів потрібну інформацію: паролі, логіки, кінцеві web-ресурс, відвідувані сторінки в інтернеті і навіть листування в месенджерах. Але є невеликий мінус у тому, що така картина чудово працює при незашифрованих даних. При запиті на сторінки HTTPS потрібні танці з бубном. Наприклад, програма може за запитом клієнта на DNS сервер, підкладати адресу свого фальшивого сайту, де він може ввести логін та пароль для входу.
Звичайна атака
Для початку нам потрібно завантажити програму. Деякі браузери можуть сваритися, якщо ви спробуєте завантажити програму з офіційного сайту – sniff.su. Але можете спробувати. Якщо вам ліньки проходити цей захист, то ви можете завантажити програму з GitHub .
- Залежно від того, як ви підключені до мережі, у лівому верхньому куті відображатиметься відповідний значок – натискаємо по ньому;
- Потрібно вибрати свій працюючий мережевий модуль. Я вибрав з тим, у якого вже надано локальні IP, тобто мою IP адресу;
- На порожній області натискаємо правою кнопочкою і далі запускаємо "Smarty Scan";
- Далі ви побачите список IP адрес, а також MAC та додаткову інформаціюпро пристрої в мережі. Достатньо вибрати одну з цілей атаки, натиснути по ній і далі зі списку вибрати "Add as Target", щоб програма закріпила пристрій. Після цього натискаємо кнопку запуску в правому верхньому кутку вікна;
- Заходимо до розділу «MiTM mode» та натискаємо на значок радіації;
- Процес запуску запущений, тепер, щоб переглянути логіни та паролі – перейдіть в третю вкладку;
- На другій вкладці ви побачите всі передані дані;
Як бачите тут можна тільки побачити та засікти перехоплені ключі та імена користувачів, а також ті сайти, які відвідала ціль.
Перехоплення Cookies
Якщо хтось не знає, то кукі це тимчасові дані, які дозволяють нам постійно не вводити облікові дані на форумах. соціальних мережахта інших сайтах. Можна сказати – це така тимчасова перепустка. Ось їх також можна перехоплювати за допомогою цієї програми.
Все робиться досить просто, після запуску звичайної атаки переходимо в третю вкладку, натискаємо правою кнопкою вільного поля і вибираємо «Show Cookies».
Ви повинні побачити потрібні куки. Використовувати їх дуже просто – просто натискаємо по потрібному сайту правою кнопочкою і далі вибираємо Open in browser. Після цього відкриється саме сайт із чужої облікової сторінки.
Отримання логіну та паролю
Швидше за все після запуску програми клієнт вже сидітиме в тій чи іншій облікового запису. Але можна змусити його знову ввести логін та пароль. Оскільки куки самі по собі не вічні – це цілком нормальна практика. Для цього використовується програма Cookie Killer. Після запуску у клієнта повністю видаляються старі куки і йому доводиться вводити логін та пароль наново, ось тут і включається перехоплення. З цього приводу є окрема інструкція:
SmartSniffдозволяє перехопити мережевий трафік і відобразити його вміст ASCII. Програма захоплює пакети, що проходять через мережевий адаптері виводить на екран вміст пакетів у текстовому вигляді (протоколи http, pop3, smtp, ftp) та у вигляді шістнадцяткового дампа. Для захоплення TCP/IP пакетів SmartSniff використовує методики: необроблені сокети – RAW Sockets, WinCap Capture Driver та Microsoft Network Monitor Driver. Програма підтримує російську мову та проста у використанні.
Програма сніффер для захоплення пакетів
 |
SmartSniff відображає таку інформацію: назва протоколу, локальна та віддалена адреса, локальний та віддалений порт, локальний вузол, назва служби, обсяг даних, загальний розмір, час захоплення та час останнього пакета, тривалість, локальна та віддалена МАС адреса, країни та зміст пакету даних . Програма має гнучкі налаштування, в ній реалізована функція фільтра захоплення, розпакування відповідей http, перетворення ip адреси, утиліта згортається в системний трей. SmartSniff формує звіт про потоки пакетів у вигляді HTML сторінки. У програмі можна виконати експорт потоків TCP/IP.
Програма Wireshark стане чудовим помічником для тих користувачів, кому потрібно зробити детальний аналіз мережевих пакетів, - трафіку комп'ютерної мережі. Сніффер легко взаємодіє з такими поширеними протоколами, як netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6та багатьма іншими. Дозволяє при аналізі розділяти мережевий пакет на відповідні складові, згідно з певним протоколом, і видавати на екран читальну інформацію в числовому вигляді.
підтримує величезну кількість різноманітних форматів переданої та одержуваної інформації, здатний відкривати файли, які перебувають у користуванні інших утиліт. Принцип роботи у тому, що мережева картка перетворюється на широкомовний режим і починається перехоплення мережевих пакетів, що у зоні її видимості. Вміє працювати як програма для перехоплення wifi пакетів.
Як користуватися wireshark
Програма займається вивченням вмісту інформаційних пакетів, що проходять через мережу. Щоб запустити і скористатися результатами роботи сніффера не потрібно жодних специфічних знань, просто потрібно відкрити її в "Пуск" меню або клацнути по значку на робочому столі (її запуск нічим не відрізняється від будь-якої іншої Windows програми). Особлива функція утиліти дозволяє захоплювати інформаційні пакети, ретельно розшифровувати їх вміст і видавати користувачеві для аналізу.Запустивши wireshark, Ви побачите на екрані головне меню програми, розташоване у верхній частині вікна. За допомогою нього відбувається управління утилітою. Якщо вам потрібно завантажити файли, які зберігають дані про пакети, спіймані в попередніх сесіях, а також зберегти дані про інші пакети, здобуті в новому сеансі, то вам потрібно вкладка "File".
Щоб запустити функцію захоплення мережевих пакетів, користувач повинен клікнути на іконку Capture, потім відшукати спеціальний розділ меню під назвою Interfaces, за допомогою якого можна відкрити окреме вікно Wireshark Capture Interfaces, де повинні будуть показані всі доступні мережеві інтерфейси, через які і буде здійснено захоплення потрібних пакетів даних. У тому випадку, коли програма (сніфер) здатна виявити тільки один відповідний інтерфейс, вона видасть на екран всю важливу інформаціюпро нього.
Результати роботи утиліти є прямим доказом того, що навіть якщо користувачі самостійно не займаються (у даний моментчасу) передачею будь-яких даних, у мережі не припиняється обмін інформацією. Адже принцип роботи локальної мережі полягає в тому, що для підтримки її в робочому режимі кожен її елемент (комп'ютер, комутатор та інші пристрої) безперервно обмінюються один з одним службовою інформацією, тому для перехоплення таких пакетів і призначені подібні мережеві інструменти.
Є версія для Linux систем.
Варто зазначити, що сніффер дуже корисний для мережевих адміністраторівта служби комп'ютерної безпеки, адже утиліта дозволяє визначити потенційно незахищені вузли мережі – ймовірні ділянки, які можуть бути атаковані хакерами.
Крім свого прямого призначення Wireshark може використовуватися як засіб для моніторингу та подальшого аналізу мережевого трафікуз метою організації атаки на незахищені ділянки мережі, адже перехоплений трафік можна використовувати для досягнення різних цілей.
Завантаження...