Що таке Intercepter-NG
Розглянемо суть функціонування ARP на простому прикладі. Комп'ютер А (IP-адреса 10.0.0.1) та комп'ютер Б (IP-адреса 10.22.22.2) з'єднані мережею Ethernet. Комп'ютер А хоче переслати пакет даних на комп'ютер Б, IP-адреса комп'ютера Б йому відомий. Проте мережа Ethernet, до якої вони з'єднані, не працює з IP-адресами. Тому комп'ютера для здійснення передачі через Ethernet потрібно дізнатися адресу комп'ютера Б в мережі Ethernet(MAC-адреса в термінах Ethernet). Для цього завдання використовується протокол ARP. За цим протоколом комп'ютер А відправляє широкомовний запит, адресований всім комп'ютерам одному з ним широкомовному домені. Суть запиту: «комп'ютер з IP-адресою 10.22.22.2, повідомте свою MAC-адресу комп'ютеру з МАС-адресою (напр. a0:ea:d1:11:f1:01)». Мережа Ethernet доставляє цей запит всім пристроям у тому ж сегменті Ethernet, у тому числі й комп'ютеру Б. Комп'ютер Б відповідає комп'ютеру А на запит і повідомляє свою MAC-адресу (напр. 00:ea:d1:11:f1:11) Тепер, отримавши MAC-адресу комп'ютера Б, комп'ютер А може передавати будь-які дані через мережу Ethernet.
Щоб не було необхідності перед кожною відправкою даних задіяти протокол ARP, отримані MAC-адреси та відповідні IP адреси записуються в таблиці на деякий час. Якщо потрібно надіслати дані на той же IP, то немає необхідності щоразу опитувати пристрої у пошуках потрібного MAC.
Як ми тільки що побачили, ARP включає запит і відповідь. MAC-адреса з відповіді записується до таблиці MAC/IP. При отриманні відповіді він не перевіряється на справжність. Більше того, навіть не перевіряється, чи було зроблено запит. Тобто. на цільові пристрої можна надіслати відразу ARP-відповідь (навіть без запиту), з підміненими даними, і ці дані потраплять до таблиці MAC/IP і будуть використовуватися для передачі даних. Це і є суть атаки ARP-spoofing, яку іноді називають ARP травленням, травленням ARP кешу.
Опис атаки ARP-spoofing
Два комп'ютери (вузли) M і N у локальній мережі Ethernet обмінюються повідомленнями. Зловмисник X, що знаходиться в цій мережі, хоче перехоплювати повідомлення між цими вузлами. До застосування атаки ARP-spoofing на мережному інтерфейсі вузла M ARP-таблиця містить IP та MAC адресавузла N. Також на мережному інтерфейсі вузла N ARP-таблиця містить IP та MAC вузла M.
Під час атаки ARP-spoofing вузол X (зловмисник) відсилає дві ARP відповіді (без запиту) - вузлу M та вузлу N. ARP-відповідь вузлу M містить IP-адресу N та MAC-адресу X. ARP-відповідь вузлу N містить IP адресу M і MAC-адреса X.
Так як комп'ютери M і N підтримують мимовільний ARP, то, після отримання ARP-відповіді, вони змінюють свої ARP таблиці, і тепер ARP-таблиця M містить MAC адресу X, прив'язану до IP-адреси N, а ARP-таблиця N містить MAC адресу X, прив'язаний до IP-адреси M.
Тим самим атака ARP-spoofing виконана, і тепер всі пакети між M і N проходять через X. Наприклад, якщо M хоче передати пакет комп'ютеру N, то M дивиться в свою ARP-таблицю, знаходить запис з IP-адресою вузла N, вибирає звідти MAC-адресу (а там уже MAC-адресу вузла X) і передає пакет. Пакет надходить на інтерфейс X, аналізується ним, після чого перенаправляється вузлу N.
Intercepter– це багатофункціональний мережевий інструмент, який дозволяє отримати дані з трафіку (паролі, повідомлення в месенджерах, листування тощо) та реалізувати різні MiTM-атаки.
Інтерфейс програми Intercepter
Основний функціонал
- Перехоплення повідомлень месенджерів.
- Перехоплення кукіс файлів та паролів.
- Перехоплення активності (сторінки, файли, дані).
- Можливість заміни завантаження файлів, додаючи шкідливі файли. Можна використовувати разом із іншими утилітами.
- Заміна сертифікатів Https на Http.
Messengers Mode– дозволяє перевіряти листування, яке було надіслано у незашифрованому вигляді. Застосовувалася для перехоплення повідомлень у таких месенджерів ICQ, AIM, JABBER повідомлень.
Ressurection Mode– відновлення корисних даних із трафіку, з протоколів, які передають трафік у відкритому вигляді. Коли жертва переглядає файли, сторінки, дані, їх можна частково або повністю перехоплювати. Додатково можна вказати розмір файлів, щоб завантажувати програму маленькими частинами. Цю інформацію можна використовуватиме аналізу.
Password Mode– режим роботи з файлами cookie. Таким чином, можна отримати доступ до відвідуваних файлів жертви.
Scan mode- Основний режим для тестування. Для початку сканування потрібно натиснути правою кнопкоюмиші Smart Scan. Після сканування у вікні будуть відображатися всі учасники мережі, їх операційна системата інші параметри.
Додатково можна просканувати порти в цьому режимі. Необхідно скористатися функцією Scan Ports. Звичайно, для цього є і набагато функціональні утиліти, але наявність цієї функції – важливий момент.
Якщо нас цікавить цілеспрямована атака, то після сканування необхідно додати цільової IP в Nat за допомогою команди (Add to Nat). В іншому вікні можна буде здійснити інші атаки.
Nat Mode.Основний режим, який дозволяє проводити низку атак по ARP. Це основне вікно, яке дозволяє проводити цілеспрямовані атаки.
DHCP режим.Це режим, який дозволяє підняти свій DHCP сервердля реалізації атак DHCP посередині.
Деякі види атак, які можна проводити
Підміна сайту
Для підміни сайту у жертви необхідно перейти до Target, після цього необхідно вказати сайт та його підміну. Таким чином можна підмінити чимало сайтів. Все залежить від того, наскільки якісним буде фейк.
Підміна сайту
Приклад для VK.com
Вибираємо атаку MiTM
Змінюємо правило для ін'єкції
В результаті жертва відкриває фейковий сайт за запитом vk.com. І в режимі паролів повинен бути логін та пароль жертви:
Щоб провести цілеспрямовану атаку, необхідно вибрати жертву зі списку і додати її в таргет. Це можна зробити правою кнопкою миші.
Додавання MiTm атаки
Тепер у режимі Ressurection Mode можна відновити різні дані з трафіку.
Файли та інформація жертви за допомогою MiTm атаки
Підміна трафіку
Вказівки налаштувань
Після цього у жертви змінюватиметься запит "trust" на "loser".
Додатково можна убити кукіс-файли, щоб жертва вийшла з усіх облікових записів і повторно авторизувалася. Це дозволить перехопити логіни та паролі.
Знищення кукіс файлів
Як побачити потенційного сніферра у мережі за допомогою Intercepter?
За допомогою опції Promisc Detection можна знайти пристрій, який веде сканування в локальній мережі. Після сканування у графі status буде "Sniffer". Це перший спосіб, який дозволяє визначити сканування в локальній мережі.
Виявлення Sniffer
Пристрій SDR HackRF
SDR – це своєрідний радіоприймач, який дозволяє працювати з різними радіочастотними параметрами. Таким чином можна перехоплювати сигнал Wi-Fi, GSM, LTE і т.д.
HackRF – це повноцінний SDR-пристрій за 300 доларів. Автор проекту Майкл Оссман розробляє успішні пристрої у цьому напрямку. Раніше було розроблено та успішно реалізовано Bluetooth-сніфер Ubertooth. HackRF успішний проект, який зібрав понад 600 тисяч на Kickstarter. Вже реалізовано 500 таких пристроїв для бета-тестування.
HackRF працює у діапазоні частот від 30 МГц до 6 ГГц. Частота дискретизації становить 20 МГц, що дозволяє перехоплювати сигнали Wi-FI та мереж LTE.
Як убезпечити себе на локальному рівні?
Спочатку скористаємося софтом SoftPerfect WiFi Guard. Є портативна версіяяка займає не більше 4 мб. Вона дозволяє сканувати мережу та відображати, які пристрої в ній відображені. У ній є налаштування, які дозволяють вибрати мережну картуі максимальна кількістьсканованих пристроїв. Додатково можна встановити інтервал сканування.
Можливість додавання коментарів для користувачів
Висновок
Таким чином, ми розглянули на практиці, як використовувати програмне забезпеченнядля перехоплення даних у мережі. Розглянули кілька конкретних атак, які дозволяють отримати дані для входу та іншу інформацію. Додатково розглянули SoftPerfect WiFi Guard, який дозволяє на примітивному рівні захистити локальну мережувід прослуховування трафіку.
У кожного з команди ][ свої переваги щодо софту і утиліт для
пен-тесту. Порадившись, ми з'ясували, що вибір так відрізняється, що можна
скласти справжній джентльменський набір із перевірених програм. На тому і
вирішили. Щоб не робити збірну солянку, весь список ми розбили на теми – і в
цього разу торкнемося утиліт для сніфінгу та маніпулювання пакетами. Користуйся
здоров'я.
Wireshark
Netcat
Якщо говорити про перехоплення даних, то Network Minerзніме з «ефіру»
(або із заздалегідь підготовленого дампа в PCAP-форматі) файли, сертифікати,
зображення та інші медіа, а також паролі та іншу інфу для авторизації.
Корисна можливість – пошук тих ділянок даних, що містять ключові слова
(наприклад, логін користувача).
Scapy
Сайт:
www.secdev.org/projects/scapy
Must-have для будь-якого хакера, що є наймогутнішою тулзою для
інтерактивної маніпуляції пакетами Прийняти та декодувати пакети самих
різних протоколів, відповісти на запит, інжектувати модифікований та
власноруч створений пакет – все легко! З її допомогою можна виконувати цілий
ряд класичних завдань, на кшталт сканування, tracorute, атак та визначення
інфраструктури мережі. В одному флаконі ми отримуємо заміну таких популярних утиліт,
як: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f і т.д. У те
ж саме час Scapyдозволяє виконати будь-яке, навіть найспецифічніше
завдання, яке ніколи не зможе зробити вже створене іншим розробником
засіб. Замість того, щоб писати цілу гору рядків на Сі, щоб, наприклад,
згенерувати неправильний пакет і зробити фазинг якогось демона, достатньо
накидати пару рядків коду з використанням Scapy! У програми немає
графічного інтерфейсу, а інтерактивність досягається за рахунок інтерпретатора
Python. Ледве освоїшся, і тобі вже нічого не буде коштувати створити некоректні
пакети, інжектувати потрібні фрейми 802.11, поєднувати різні підходи в атаках
(Скажімо, ARP cache poisoning та VLAN hopping) і т.д. Розробники самі наполягають
на тому, щоб можливості Scapy використовувалися в інших проектах. Підключивши її
як модуль, легко створити утиліту для різноманітних досліджень локалки,
пошуку вразливостей, Wi-Fi інжекції, автоматичного виконанняспецифічних
задач і т.д.
packeth
Сайт:
Платформа: * nix, є порт під Windows
Цікава розробка, що дозволяє, з одного боку, генерувати будь-який
ethernet пакет, і, з іншого, відправляти послідовності пакетів з метою
перевірки пропускну здатність. На відміну від інших подібних тулз, packeth
має графічний інтерфейсдозволяючи створювати пакети в максимально простий
формі. Далі більше. Особливо опрацьовано створення та відправлення
послідовності пакетів. Ти можеш встановлювати затримки між відправкою,
надсилати пакети з максимальною швидкістю, щоб перевірити пропускну спроможність
ділянки мережі (ага, ось сюди й будуть ддосить) і, що ще цікавіше -
динамічно змінювати параметри в пакетах (наприклад, IP або MAC-адресу).
Про те, чим небезпечні відкриті точки доступу Wifi, про те, що можуть перехопити паролі.
Сьогодні розглянемо перехоплення паролів по Wi Fi та перехоплення куки по Wi Fi за допомогою програми.
Атака відбуватиметься за рахунок сніфінгу (Sniffing).
Sniffing- sniff перекладається як "Нюхати". Сніффінг дозволяє аналізувати мережну активність у мережі, переглядати які сайти відвідує користувач та перехоплювати паролі. Але може бути використано і в корисних цілях, для прослуховування вірусів, які надсилають будь-які дані в інтернет.
Спосіб показуватиму досить примітивний і простий. Насправді можна сильніше використовувати програму.
Офіційний сайт програми sniff.su (скопіюйте посилання та відкрийте в новій вкладці), завантажити його можна у розділі «Download».
Є версія для Windows, Unix системта для андроїд.
Розглядатимемо для Windows так як це найпопулярніша система і тут найпросунутіша програма.
Ваш браузер або антивірус може лаятися, що програма небезпечна, але самі розумієте це хак програма, а на такі завжди буде реагувати.
Завантажується програма в zip архіві, програму потрібно лише розпакувати і в папку і користуватися встановлювати нічого не потрібно.
Програма має можливість влаштовувати різні Mitm атаки на Wi-Fi мережі.
Стаття написана чисто в ознайомлювальних цілях, щоб показати на прикладі про небезпеку відкритих точок WiFi будь-які вказані дії, ви виконуєте на свій страх та ризик. І хочу нагадати про кримінальну відповідальність, яка захищає чужі дані.
Сервіс аві1пропонує дивовижно дешеві ціни на можливість замовити передплатників на свій профіль в Інстаграмі. Досягніть збільшення популярності в мережі або продажу вже зараз, не витрачаючи масу зусиль і часу.
Робота з програмою Intercepter NG
Отже, програма запускається через Intercepter-NG.exe.
Програма має англійський інтерфейс, але якщо ви впевнений користувач комп'ютера думаю ви розберетеся.
Внизу буде відео з налаштування (для тих, кому зручніше дивитися, ніж читати).
- Вибираєте потрібну мережуу верху, якщо їх у вас кілька.
- Перемикаєте тип Ethernet/WiFi, якщо у вас Wi Fi необхідно вибрати значок Wi FI (ліворуч від вибору мережі)
- Натискаєте кнопку Scan Mode(значок радара)
— У порожньому полі клацаєте правою кнопкою мишки і натискаєте на контекстному меню Smart scan
— З'являться всі підключені пристрої до мережі
- Вибираєте жертву (можна виділити всіх із затиснутою клавішею Shift), тільки не відзначайте сам роутер, його Ip зазвичай 192.168.1.1
— Виділивши натискаємо правою кнопкою миші та натискаємо Add to nat
- Переходимо у вкладку Nat
- У Stealth ipбажано змінити останню цифру, на будь-яку не зайняту, це дозволить приховати вашу справжню IP.
— Ставимо галочки на SSl Stripі SSL Mitm.
- Натискаємо Settings(шестерні праворуч) .
— Ставимо галочку на Resurrection(Це дозволить перехоплювати паролі та куки шифрованого Https протоколу) та Знімаємо Spoof IP/Mac. Можна поставити галочку на Cookie Killer, завдяки їй, жертву викине з поточної сторінки наприклад соціальної мережіі жертві доведеться заново ввести пароль, а ми вже його перехопимо. Порівняйте налаштування з картинкою.
— Тут налаштування завершено, закриваємо налаштування на галочку.
— Налаштування завершено, можна приступати до атаки.
- Натискаєте вгорі кнопку Start/stop sniffing(трикутник), в тому ж таки вікні натискаємо внизу значок радіації Start/Stop ARP Poison
— Перейдіть у вкладку Password modeта натисніть правою кнопкою миші у вікні та виберіть Show Cookies(«Це дозволить показувати куки і паролі, що вводяться жертвами»)
Все, чекаємо коли хтось введе пароль.
Іноді трапляється, що перестає працювати інтернет, спробуйте спробувати самі зайти в інтернет, якщо не працює перезапустіть програму.
Зауважив, що не завжди виходить перехопити пароль, але по суті спрацьовує практично без відмови.
Ось власне і все, ми розглянули перехоплення паролів Wi-Fi і перехоплення куки по Wi-Fi.
Бережіть себе
The Wi-Fi network packet sniffer module може бути використаний на режимі normal and monitor modes, але це також supports a third option, the extended mode, for capturing the Wi-Fi network traffic generated by your equipment.
Використання режиму дозволяє вам використовувати, коли ваша бездротова карта є підключеним до Wi-Fi мережі. Крім перегляду сигнальних пакетів (beacons, probe requests, probe responses, data packets, etc.), Ви можете бути доступним для перегляду всіх TCP, UDP, або Wi-Fi broadcast traffic, що генерується з вашою системою при підключенні. Це є, ви будете able to view and analyze all the web browsing ( HTTP) Traffic, або будь-яка інша мережа зв'язку є Wi-Fi мережа, яку ви підключили до.
Цей знімок режиму не дозволяє вам переглядати Wi-Fi traffic from other channels, since your wireless card is working at fixed frequency.
Wi-Fi мережа sniffer на розширеному режимі і мережевий пакет зображень режимів кадрів є тривалими-новими характеристиками на Acrylic Wi-Fi Professional v2.3, які expected to be launched within next few days.
Download Wireless Network Sniffer for Windows 7/8/8.1/10
Якщо ви не потрібні для перегляду Wi-Fi мережі пакети або використовувати Wi-Fi network traffic sniffer, download , a free Wi-Fi network and channel sniffer for Windowsщо ви можете побачити всі бездротові мережі з втіленням. Це version supports normal capture and monitor modes.
Якщо ви потребуєте повну бездротову мережу behavior information, Wi-Fi network sniffer is the right solution for you, since it supports all three Wi-Fi network capture modes, providing Wi-Fi network packet informationв реальному часі. A дуже useful tool for improving wireless network performance, detecting incidents, і вивчити більше про Wi-Fi networking. Try it for free!
And for advanced users, Acrylic Wi-Fi driver allows you to .
Завантаження...