Wireshark (presretač mrežnih paketa). Najbolji alati za testiranje olovke: njuškalo i rad s paketima Za presretanje prometa aplikacije sa servera, trebat će vam

Ova lekcija opisuje tehnologije hakovanja mreže zasnovane na presretanju mrežnih paketa. Hakeri koriste takve tehnologije da osluškuju mrežni promet kako bi ukrali vrijedne informacije, organizirali presretanje podataka u svrhu napada čovjeka u sredini, presretali TCP veze, omogućavajući, recimo, lažiranje podataka i izvođenje drugih podjednako interesantne akcije. Nažalost, većina ovih napada je zapravo implementirana samo za Unix mreže, za koje hakeri mogu koristiti i jedno i drugo specijalnih uslužnih programa, i Unix sistemski alati. Windows mreže su, očigledno, ignorisani od strane hakera, i mi smo primorani da ograničimo naš opis alata za presretanje podataka na programe za njuškanje dizajnirane za trivijalno slušanje mrežnih paketa. Međutim, ne treba zanemariti barem teorijski opis ovakvih napada, posebno za antihakere, jer će znanje o korištenim tehnologijama hakovanja pomoći u sprječavanju mnogih nevolja.

Mrežno njuškanje

Obično se koristi za njuškanje Ethernet mreža. mrežne kartice prebačen u režim slušanja. Prisluškivanje eternet mreže zahteva povezivanje računara sa programom za njuškanje na mrežni segment, nakon čega sav mrežni saobraćaj koji računari u tom segmentu mreže šalju i primaju postaje dostupan hakeru. Još je lakše presresti promet iz radio mreža koje koriste posrednike bežične mreže - u ovom slučaju ne morate čak ni tražiti mjesto za spajanje na kabel. Ili napadač može da se poveže na telefonsku liniju koja povezuje računar sa Internet serverom, pronalazeći pogodno mesto za to (telefonske linije su obično položene u podrumima i drugim retko posećenim mestima bez ikakve zaštite).

Da bismo demonstrirali tehnologiju njuškanja, koristit ćemo vrlo popularan program njuškanja SpyNet, koji se može naći na mnogim web stranicama. Službena web stranica programa SpyNet nalazi se na adresi http://members.xoom.com/layrentiu2/, gdje možete preuzeti demo verziju programa.

Program SpyNet sastoji se od dve komponente - CaptureNet I PipeNet. Program CaptureNet omogućava presretanje paketa koji se prenose preko Ethernet mreže na nivou mreže, tj. u obliku Ethernet okvira. Program PipeNet omogućava vam da sastavite Ethernet okvire u pakete sloja aplikacije, vraćajući, na primjer, poruke email, poruke HTTP protokola (razmjena informacija sa Web serverom) i obavljanje drugih funkcija.

Nažalost, u demo verziji SpyNet mogućnosti PipeNet ograničeni su na demonstraciju izrade HTTP paketa, tako da nećemo moći pokazati kako funkcionira SpyNet u potpunosti. Međutim, mi ćemo pokazati mogućnosti njuškanja mreže SpyNet koristeći našu eksperimentalnu mrežu kao primjer, prijenos tekstualne datoteke sa hosta Mač-2000 ugostiti Alex-Z koristeći običan Windows Explorer. Istovremeno na računaru A1ex-1 pokrenućemo program CaptureNet, koji će presresti prenesene pakete i omogućiti čitanje sadržaja prenesene datoteke u Ethernet okvirima. Na sl. 1 prikazuje tekst tajne poruke u datoteci secret.txt; pokušat ćemo pronaći ovaj tekst u snimljenim Ethernet okvirima.

Rice. 1. Tekst tajne poruke u prozoru Notepad

Za snimanje Ethernet okvira, slijedite ove korake:

Na kompjuteru Alex-Z pokrenite program CaptureNet. U prikazanom radnom prozoru programa izaberite komandu menija Capture * Start(Capture * Start) i započnite proces snimanja mrežnih okvira.

Koristeći Windows Explorer, kopirajte datoteku security.txt sa svog računara Mač-2000 on A1ex-3.

Nakon prenosa datoteke secret.txt, izaberite komandu menija Snimanje * Stop(Capture * Stop) i zaustavite proces snimanja.

Uhvaćeni Ethernet okviri će biti prikazani na desnoj strani radnog prozora programa CaptureNet(Slika 2), pri čemu svaki red na gornjoj listi predstavlja Ethernet okvir, a ispod liste sadržaj odabranog okvira.

Rice. 2. Ethernet okvir sadrži tajni tekst poruke

Pregledajući listu presretnutih kadrova, lako možemo pronaći onaj koji sadrži tekst “Ovo je jako velika tajna” koji smo prenijeli.

Naglašavamo da je ovo najjednostavniji primjer, kada se bilježi sav presretnuti mrežni promet. Program CaptureNet omogućava vam da presretnete pakete koji se šalju preko određenih protokola i na određene host portove, odaberete poruke sa određenim sadržajem i akumulirate presretnute podatke u datoteci. Tehnika izvođenja ovakvih radnji je jednostavna i može se savladati pomoću sistema pomoći programa SpyNet.

Pored primitivnog mrežnog prisluškivanja, hakeri imaju pristup i sofisticiranijim sredstvima presretanja podataka. U nastavku je dat kratak pregled takvih metoda, iako sa teorijskog aspekta. Razlog je taj što je za Windows mreže praktična implementacija napada presretanja podataka izuzetno ograničena, a skup pouzdanih uslužnih programa za napade presretanja prilično je loš.

Metode presretanja mrežnog saobraćaja

Slušajte mrežu koristeći programe za analizu mreže poput onog iznad CaptureNet, je prvi, najviše na jednostavan način presretanje podataka. Osim SpyNet Za njuškanje mreže koriste se mnogi alati, prvobitno razvijeni za potrebe analize mrežne aktivnosti, dijagnosticiranja mreža, odabira prometa prema određenim kriterijima i drugih zadataka mrežne administracije. Primjer takvog programa je tcpdump (http://www.tcpdump.org), što vam omogućava da zabilježite mrežni promet u poseban dnevnik za naknadnu analizu.

Za zaštitu od prisluškivanja mreže koriste se posebni programi, npr. AntiSniff (http://www.securitysoftwaretech.com/antisniff), koji su sposobni da identifikuju računare na mreži koji se bave prisluškivanjem mrežni promet. Da bi riješili svoje probleme, antisniffer programi koriste poseban znak prisutnosti prislušnih uređaja na mreži - mrežna kartica njuškajućeg računala mora biti u posebnom režimu slušanja. Dok je u režimu slušanja, mrežni računari reaguju na poseban način na IP datagrame poslate na adresu hosta koji se testira. Na primjer, hostovi za slušanje obično obrađuju sav dolazni promet, a ne samo datagrame poslane na adresu hosta. Postoje i drugi znakovi koji ukazuju na sumnjivo ponašanje domaćina koje program može prepoznati AntiSniff.

Bez sumnje, prisluškivanje je vrlo korisno sa tačke gledišta napadača, jer vam omogućava da dobijete mnogo korisne informacije- lozinke koje se prenose preko mreže, adrese mrežnih računara, povjerljivi podaci, pisma itd. Međutim, jednostavno prisluškivanje sprječava hakera da ometa mrežnu komunikaciju između dva hosta kako bi modificirao i oštetio podatke. Za rješavanje takvog problema potrebna je složenija tehnologija.

Lažni ARP zahtjevi

Da bi presreo i preuzeo proces mrežne interakcije između dva hosta A i B, napadač može zamijeniti IP adrese hostova u interakciji svojom vlastitom IP adresom slanjem lažnih ARP (Address Resolution Protocol) poruka hostovima A i B. Sa ARP protokolom možete se upoznati u Dodatku D, koji opisuje proceduru za rješavanje (konvertiranje) IP adrese hosta u adresu mašine (MAC adresu) tvrdo kodiranu u mrežnoj kartici hosta. Pogledajmo kako haker može koristiti ARP za presretanje mrežne komunikacije između hostova A i B.

Da bi presreo mrežni saobraćaj između hostova A i B, haker nameće svoju IP adresu ovim hostovima, tako da A i B koriste ovu falsifikovanu IP adresu prilikom razmjene poruka. Da bi nametnuo svoju IP adresu, haker izvodi sljedeće operacije.

Napadač određuje MAC adrese hostova A i B, na primjer, koristeći naredbu nbtstat iz paketa W2RK.

Napadač šalje poruke na identifikovane MAC adrese hostova A i B, koje su falsifikovani ARP odgovori na zahtjeve za razrješenje IP adresa hosta na MAC adrese računala. Host A je obaviješten da IP adresa hosta B odgovara MAC adresi računara napadača; host B je obaviješten da IP adresa hosta A takođe odgovara MAC adresi računara napadača.

Domaćini A i B pohranjuju primljene MAC adrese u svoje ARP keš memorije i zatim ih koriste za slanje poruka jedni drugima. Pošto IP adrese A i B odgovaraju MAC adresi računara napadača, domaćini A i B, ne sluteći, komuniciraju preko posrednika koji može bilo šta da uradi sa njihovim porukama.

Da bi se zaštitili od takvih napada, mrežni administratori moraju održavati bazu podataka sa tabelom korespondencije između MAC adresa i IP adresa svojih mrežnih računara. Nadalje, pomoću posebnog softvera, na primjer, uslužnog programa arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) možete periodično pregledavati mrežu i identificirati nedosljednosti.

Na UNIX mrežama, ovaj tip lažnog napada ARP zahtjeva može se implementirati korištenjem sistemskih uslužnih programa za praćenje i upravljanje mrežnim prometom, na primjer, arpredirect. Nažalost, in Windows mreže 2000/XP izgleda ne implementira tako pouzdane uslužne programe. Na primjer, na web stranici NTsecurity ( http://www.ntsecurity.nu) možete preuzeti uslužni program GrabitAII, predstavljen kao sredstvo za preusmjeravanje prometa između mrežnih hostova. Međutim, osnovna provjera funkcionalnosti uslužnog programa GrabitAII pokazuje da je potpuni uspjeh u realizaciji svojih funkcija još daleko.

Lažno rutiranje

Da bi presreo mrežni promet, napadač može prevariti stvarnu IP adresu mrežnog rutera svojom vlastitom IP adresom, čineći to, na primjer, koristeći lažne ICMP poruke za preusmjeravanje. Host A mora, prema RFC-1122, primiti primljenu poruku za preusmjeravanje kao odgovor na datagram poslan drugom hostu, na primjer, B. Host A određuje svoje akcije na poruci preusmjeravanja na osnovu sadržaja primljene poruke za preusmjeravanje, i ako je preusmjeravanje datagrama specificirano u Preusmjeravanje od A do B duž nove rute, to je upravo ono što će host A učiniti.

Da bi izvršio lažno rutiranje, napadač mora znati neke detalje o organizaciji lokalne mreže u kojoj se nalazi host A, posebno IP adresu rutera preko kojeg se promet šalje od hosta A do B. Znajući to, napadač će generirati IP datagram u kojem je IP adresa pošiljaoca definirana kao IP adresa rutera, a primalac je host A. Također je uključena u datagram ICMP Redirect poruka sa novim adresnim poljem rutera postavljenim na IP adresu kompjuter napadača. Nakon što dobije takvu poruku, domaćin A će poslati sve poruke na IP adresu računara napadača.

Da biste se zaštitili od takvog napada, trebali biste onemogućiti (na primjer, korištenjem vatrozida) obradu ICMP Redirect poruka na hostu A, a komanda može otkriti IP adresu računara napadača tracert(na Unixu ovo je naredba tracerout). Ovi uslužni programi mogu pronaći dodatnu rutu koja se pojavila na lokalnoj mreži koja nije bila predviđena tokom instalacije, osim ako, naravno, mrežni administrator nije na oprezu.

Gore navedeni primjeri presretanja (na koje su mogućnosti napadača daleko od ograničenih) uvjeravaju u potrebu zaštite podataka koji se prenose preko mreže ako podaci sadrže povjerljive informacije. Jedini način zaštite od presretanja mrežnog prometa je korištenje programa koji implementiraju kriptografske algoritme i protokole šifriranja i sprječavaju otkrivanje i zamjenu tajnih informacija. Za rješavanje takvih problema, kriptografija pruža alate za šifriranje, potpisivanje i provjeru autentičnosti poruka koje se prenose preko sigurnih protokola

Praktična implementacija svih kriptografskih metoda za zaštitu razmjene informacija opisanih u poglavlju 4 VPN mreže(Virtuelna privatna mreža - virtuelne privatne mreže). Kratak pregled principa i tehnika kriptografske sigurnosti može se naći u Dodatku E i detaljan opis kriptografsku zaštitu koju pruža aplikacija PGP Desktop Security (http://www.pgp.com).

Presretanje TCP veze

Najsofisticiranijim napadom presretanja mrežnog saobraćaja treba smatrati hvatanje TCP veze (TCP otmica), kada haker prekine trenutnu komunikacijsku sesiju sa hostom generisanjem i slanjem TCP paketa napadnutom hostu. Zatim, koristeći sposobnost TCP protokola da vrati prekinutu TCP vezu, haker presreće prekinutu komunikacijsku sesiju i nastavlja je umjesto prekinutog klijenta.

Stvoreno je nekoliko efikasnih uslužnih programa za izvođenje napada otmice TCP veze, ali svi su implementirani za Unix platformu, a na web stranicama ovi uslužni programi su predstavljeni samo u obliku izvornog koda. Stoga, kao uvjereni praktičari plemenitog razloga hakovanja, napadi koji koriste metodu presretanja TCP veze za nas nisu od velike koristi. (Oni koji vole razumjeti tuđi programski kod mogu se obratiti na stranicu http://www.cri.cz/~kra/index.html gdje možete preuzeti izvorni kod dobro poznati uslužni program za presretanje TCP veze Hunt od Pavla Krauza).

Unatoč nedostatku praktičnih alata, ovo ne možemo zanemariti zanimljiva tema, kao što je presretanje TCP veza, i pogledajmo neke aspekte takvih napada. Neke informacije o strukturi TCP paketa i proceduri za uspostavljanje TCP veze date su u Dodatku D ove knjige, ali ovdje ćemo se fokusirati na pitanje šta tačno dozvoljava hakerima da izvedu napade presretanja TCP veze? Razmotrimo ovu temu detaljnije, oslanjajući se uglavnom na raspravu u i.

TCP protokol (Transmission Control Protocol) je jedan od osnovnih OSI protokola transportnog sloja koji vam omogućava da uspostavite logičke veze preko virtuelnog komunikacijskog kanala. Preko ovog kanala se prenose i primaju paketi sa snimljenim redoslijedom, kontrolira se tok paketa, organizira se ponovni prijenos iskrivljenih paketa, a na kraju sesije komunikacioni kanal se prekida. TCP protokol je jedini osnovni protokol u TCP/IP porodici koji ima napredni sistem za identifikaciju poruka i povezivanje.

Za identifikaciju TCP paketa, postoje dva 32-bitna identifikatora u TCP zaglavlju, koji također djeluju kao brojači paketa, koji se nazivaju redni broj i broj potvrde. Također će nas zanimati još jedno polje TCP paketa, koje se zove kontrolni bitovi. Ovo 6-bitno polje uključuje sljedeće kontrolne bitove (redom s lijeva na desno):

URG - oznaka hitnosti;

ACK - potvrdna zastavica;

PSH - noseća zastava;

RST - zastavica ponovnog uspostavljanja veze;

SYN - zastavica sinhronizacije;

FIN - oznaka za prekid veze.

Pogledajmo proceduru za kreiranje TCP veze.

1. Ako host A treba da kreira TCP vezu sa hostom B, tada host A šalje sledeću poruku hostu B:

A -> B: SYN, ISSa

To znači da poruka koju šalje host A ima postavljenu SYN zastavicu (Sinhroniziraj sekvencijski broj), a polje za broj sekvence je postavljeno na početnu 32-bitnu vrijednost ISSa (Početni broj sekvence).

2. Kao odgovor na zahtjev primljen od hosta A, host B odgovara porukom u kojoj je postavljen SYN bit i ACK bit. U polju za broj sekvence, host B postavlja svoju početnu vrijednost brojača - ISSb; polje za broj potvrde će tada sadržavati ISSa vrijednost primljenu u prvom paketu od hosta A, uvećanu za jedan. Dakle, domaćin B odgovara ovom porukom:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Konačno, domaćin A šalje poruku hostu B u kojoj je: bit postavljen ASK; polje rednog broja sadrži vrijednost ISSa + 1; Polje broja potvrde sadrži vrijednost ISSb + 1. Nakon ove TCP veze između hostova A I IN smatra se ustanovljenim:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Sada domaćin A može slati pakete podataka hostu IN preko novokreiranog virtuelnog TCP kanala:

A -> B: ACK, ISSa+1, ACK(ISSb+1); PODACI

Evo PODACI označava podatke.

Iz algoritma za kreiranje TCP konekcije o kojem se gore govori, može se vidjeti da su jedini identifikatori TCP pretplatnika i TCP veze dva 32-bitna parametra rednog broja i broja potvrde - ISSa I ISSb. Stoga, ako haker uspije saznati trenutne vrijednosti polja ISSa I ISSb, onda ga ništa neće spriječiti da generiše falsifikovani TCP paket. To znači da haker treba samo da odabere trenutne vrijednosti parametara ISSa I ISSb TCP paket za datu TCP vezu, pošaljite paket sa bilo kog internet hosta u ime klijenta ove TCP veze i ovaj paketće se smatrati istinitim!

Opasnost od takvog lažiranja TCP paketa je takođe važna jer se FTP i TELNET protokoli visokog nivoa implementiraju na osnovu TCP protokola, a identifikacija FTP i TELNET paketnih klijenata je u potpunosti zasnovana na TCP protokolu.

Osim toga, pošto FTP i TELNET protokoli ne provjeravaju IP adrese pošiljalaca poruka, nakon prijema falsifikovanog paketa, FTP ili TELNET serveri će poslati poruku odgovora na IP adresu hakerskog hosta navedenog u lažnom paketu. Nakon toga, hakerski host će početi da radi sa FTP ili TELNET serverom sa svoje IP adrese, ali sa pravima legalno povezanog korisnika, koji će zauzvrat izgubiti kontakt sa serverom zbog nepodudaranja brojača.

Dakle, za izvođenje gore opisanog napada, neophodan i dovoljan uslov je poznavanje dva trenutna 32-bitna parametra ISSa I ISSb, identifikujući TCP vezu. Hajde da razmotrimo mogući načini primajući ih. U slučaju kada je hakerski host povezan sa napadnutim segmentom mreže, zadatak dobijanja vrednosti ISSa I ISSb je trivijalan i može se riješiti analizom mrežnog prometa. Stoga je potrebno jasno razumjeti da TCP protokol u principu omogućava zaštitu veze samo ako je nemoguće da napadač presretne poruke koje se prenose preko ovu vezu, odnosno samo u slučaju kada je hakerski host povezan na mrežni segment različit od pretplatničkog segmenta TCP veze.

Stoga su međusegmentni napadi od najvećeg interesa za hakera, kada se napadač i njegova meta nalaze u različitim segmentima mreže. U ovom slučaju, zadatak je dobivanje vrijednosti ISSa I ISSb nije trivijalan. Za rješavanje ovog problema izmišljene su samo dvije metode.

Matematičko predviđanje početne vrijednosti parametara TCP veze ekstrapolacijom prethodnih vrijednosti ISSa I ISSb.

Iskorišćavanje ranjivosti u identifikaciji pretplatnika TCP veze na Unix rsh serverima.

Prvi zadatak se rješava kroz dubinske studije implementacije TCP protokola u raznim operativni sistemi i sada ima čisto teorijski značaj. Drugi problem je riješen korištenjem ranjivosti Unix sistemi identificiranjem pouzdanih hostova. (Vjeruje ovaj domaćin A zove mrežni host INčiji se korisnik može povezati na host A bez provjere autentičnosti koristeći host r-service A). Manipulišući parametrima TCP paketa, haker može pokušati da se lažno predstavlja kao pouzdani host i presreće TCP vezu sa napadnutim hostom.

Sve je to vrlo zanimljivo, ali praktični rezultati ovakvog istraživanja još nisu vidljivi. Stoga savjetujemo svima koji žele dublje da se udube u ovu temu da se okrenu knjizi, odakle su uglavnom preuzete gore navedene informacije.

Zaključak

Presretanje mrežnih podataka je najefikasniji metod mrežnog hakovanja, omogućavajući hakeru da dobije gotovo sve informacije koje kruže mrežom. Najveći praktični razvoj postigli su alati za njuškanje, tj. slušanje mreža; Međutim, ne možemo zanemariti metode presretanja mrežnih podataka koje se izvode ometanjem normalnog funkcionisanja mreže u cilju preusmjeravanja prometa na hakerski host, a posebno metode presretanja TCP veza. Međutim, u praksi, posljednje navedene metode još uvijek nisu dovoljno razvijene i potrebno ih je poboljšati.

Antihaker treba da zna da je jedini spas od presretanja podataka njihova enkripcija, tj. kriptografske metode zaštite. Prilikom slanja poruke preko mreže, to treba unaprijed pretpostaviti kablovski sistem Mreža je apsolutno ranjiva i svaki haker povezan na mrežu moći će uhvatiti sve prenete tajne poruke s nje. Postoje dvije tehnologije za rješavanje ovog problema - stvaranje VPN mreže i šifriranje samih poruka. Sve ove zadatke je vrlo lako riješiti korištenjem softverskog paketa PGP Desktop Security(njegov opis se može naći, na primjer, u).

Mnogi korisnici ne shvaćaju da se ovi podaci mogu lako presresti popunjavanjem login i lozinke prilikom registracije ili prijavljivanja na zatvoreni Internet resurs i pritiskom na ENTER. Vrlo često se prenose preko mreže u nezaštićenom obliku. Stoga, ako stranica na koju se pokušavate prijaviti koristi HTTP protokol, tada je vrlo lako uhvatiti ovaj promet, analizirati ga pomoću Wiresharka, a zatim koristiti posebne filtere i programe za pronalaženje i dešifriranje lozinke.

Najbolje mjesto za presretanje lozinki je jezgro mreže, gdje promet svih korisnika odlazi na zatvorene resurse (na primjer, poštu) ili ispred rutera za pristup Internetu, prilikom registracije na vanjskim resursima. Postavili smo ogledalo i spremni smo da se osjećamo kao haker.

Korak 1. Instalirajte i pokrenite Wireshark da biste uhvatili promet

Ponekad je za to dovoljno odabrati samo sučelje kroz koje planiramo hvatati promet i kliknuti na dugme Start. U našem slučaju, snimamo preko bežične mreže.

Započelo je snimanje saobraćaja.

Korak 2. Filtriranje uhvaćenog POST prometa

Otvaramo pretraživač i pokušavamo se prijaviti na neki resurs koristeći korisničko ime i lozinku. Kada se proces autorizacije završi i stranica se otvori, prestajemo hvatati promet u Wiresharku. Zatim otvorite analizator protokola i vidite veliki broj paketa. U ovom trenutku većina IT profesionalaca odustaje jer ne znaju šta dalje. Ali znamo i zanimaju nas specifični paketi koji sadrže POST podatke koji se generišu na našem lokalnom računaru prilikom popunjavanja obrasca na ekranu i šalju na udaljeni server kada kliknemo na dugme „Prijava“ ili „Ovlašćenje“ u pretraživaču.

U prozor unosimo poseban filter za prikaz uhvaćenih paketa: http.zahtjev.metoda == “POST"

I vidimo, umjesto hiljada paketa, samo jedan sa podacima koje tražimo.

Korak 3. Pronađite korisničko ime i lozinku

Brzo kliknite desnim tasterom miša i izaberite stavku iz menija Pratite TCP Steam

Nakon toga, tekst će se pojaviti u novom prozoru koji vraća sadržaj stranice u kodu. Pronađimo polja “password” i “user” koja odgovaraju lozinki i korisničkom imenu. U nekim slučajevima, oba polja će biti lako čitljiva i čak neće biti šifrirana, ali ako pokušavamo uhvatiti promet prilikom pristupanja vrlo poznatim resursima kao što su Mail.ru, Facebook, Vkontakte, itd., tada će lozinka biti šifrirana:

HTTP/1.1 302 pronađeno

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV NAV OTRo STP IND DEM"

Set-Cookie: lozinka= ; expires=Set, 07-Nov-2024 23:52:21 GMT; put=/

Lokacija: loggedin.php

Dužina sadržaja: 0

Veza: zatvorena

Content-Type: text/html; charset=UTF-8

Dakle, u našem slučaju:

Korisničko ime: networkguru

Lozinka:

Korak 4. Odredite tip kodiranja za dešifriranje lozinke

Na primjer, idite na web stranicu http://www.onlinehashcrack.com/hash-identification.php#res i unesite našu lozinku u prozor za identifikaciju. Dobio sam listu protokola za kodiranje po prioritetu:

Korak 5. Dešifriranje korisničke lozinke

U ovoj fazi možemo koristiti uslužni program hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na izlazu smo dobili dešifrovanu lozinku: simplepassword

Dakle, uz pomoć Wiresharka ne samo da možemo riješiti probleme u radu aplikacija i servisa, već se i okušati kao haker, presrećući lozinke koje korisnici unose u web forme. Također možete saznati lozinke za poštanski sandučići korisnici koji koriste jednostavne filtere za prikaz:

POP protokol i filter izgledaju ovako: pop.request.command == "USER" || pop.request.command == "PROLAZI"
IMAP protokol i filter će biti: imap.request sadrži "login"
Protokol je SMTP i morat ćete unijeti sljedeći filter: smtp.req.command == "AUTH"

i ozbiljnije uslužne programe za dešifriranje protokola kodiranja.

Korak 6: Što ako je promet šifriran i koristi HTTPS?

Postoji nekoliko opcija za odgovor na ovo pitanje.

Opcija 1. Povežite se kada je veza između korisnika i servera prekinuta i uhvatite promet u trenutku uspostavljanja veze (SSL Handshake). Kada se veza uspostavi, ključ sesije može biti presretnut.

Opcija 2: HTTPS promet možete dešifrirati pomoću datoteke evidencije ključa sesije koju je snimio Firefox ili Chrome. Da biste to uradili, pretraživač mora biti konfigurisan da upiše ove ključeve za šifrovanje u datoteku evidencije (primer zasnovan na FireFox-u) i trebalo bi da primite tu datoteku evidencije. U suštini, morate ukrasti datoteku ključa sesije hard disk drugog korisnika (što je nezakonito). Pa, onda uhvatite promet i upotrijebite rezultirajući ključ da ga dešifrujete.

Pojašnjenje. Govorimo o web pretraživaču osobe čiju lozinku pokušavaju ukrasti. Ako mislimo na dešifriranje vlastitog HTTPS prometa i želimo vježbati, onda će ova strategija funkcionirati. Ako pokušavate dešifrirati HTTPS promet drugih korisnika bez pristupa njihovim računarima, to neće uspjeti – to je i šifriranje i privatnost.

Nakon što dobijete ključeve prema opciji 1 ili 2, potrebno ih je registrovati u WireSharku:

Idite na meni Uredi - Preference - Protokoli - SSL.
Postavite zastavicu „Ponovo sastavite SSL zapise koji obuhvataju više TCP segmenata“.
“Lista RSA ključeva” i kliknite na Uredi.
Unesite podatke u sva polja i upišite putanju u datoteku pomoću ključa

WireShark može dešifrirati pakete koji su šifrirani pomoću RSA algoritma. Ako se koriste DHE/ECDHE, FS, ECC algoritmi, sniffer nam neće pomoći.

Opcija 3. Dobiti pristup web serveru koji korisnik koristi i dobiti ključ. Ali ovo je još teži zadatak. U korporativnim mrežama, u svrhu otklanjanja grešaka u aplikacijama ili filtriranja sadržaja, ova opcija je implementirana na zakonskoj osnovi, ali ne u svrhu presretanja korisničkih lozinki.

BONUS

VIDEO: Wireshark njuškanje paketa korisničkih imena, lozinki i web stranica

Metode presretanja mrežnog saobraćaja

Slušanje mreže pomoću programa za analizu mreže je prvi i najlakši način presretanja podataka.

Za zaštitu od prisluškivanja mreže koriste se posebni programi, na primjer, AntiSniff, koji mogu identificirati računare na mreži koji osluškuju mrežni promet.

Da bi riješili svoje probleme, antisniffer programi koriste poseban znak prisutnosti prislušnih uređaja na mreži - mrežna kartica njuškajućeg računala mora biti u posebnom režimu slušanja. Dok su u režimu slušanja, mrežni računari reaguju na poseban način na IP datagrame koji se šalju hostu koji se testira. Na primjer, hostovi za slušanje obično obrađuju sav dolazni promet, a ne samo datagrame poslane na adresu hosta. Postoje i drugi znakovi koji ukazuju na sumnjivo ponašanje domaćina koje AntiSniff može prepoznati.

Bez sumnje, prisluškivanje je veoma korisno sa stanovišta napadača, jer omogućava dobijanje mnogo korisnih informacija - lozinki koje se prenose preko mreže, adresa mrežnih računara, poverljivih podataka, pisama itd. Međutim, jednostavno prisluškivanje sprječava hakera da ometa mrežnu komunikaciju između dva hosta kako bi modificirao i oštetio podatke. Za rješavanje takvog problema potrebna je složenija tehnologija.

Rice. 1 Lažni ARP zahtjevi

Pogledajmo kako haker može koristiti ARP za presretanje mrežne komunikacije između hostova A i B.

Napadač određuje MAC adrese hostova A i B, na primjer, koristeći naredbu nbtstat iz W2RK paketa.
Napadač šalje poruke na identifikovane MAC adrese hostova A i B, koje su falsifikovani ARP odgovori na zahtjeve za razrješenje IP adresa hosta na MAC adrese računala. Host A je obaviješten da IP adresa hosta B odgovara MAC adresi računara napadača; host B je obaviješten da IP adresa hosta A takođe odgovara MAC adresi računara napadača.
Domaćini A i B pohranjuju primljene MAC adrese u svoje ARP keš memorije i zatim ih koriste za slanje poruka jedni drugima. Pošto IP adrese A i B odgovaraju MAC adresi računara napadača, domaćini A i B, ne sluteći, komuniciraju preko posrednika koji može bilo šta da uradi sa njihovim porukama.

Da bi se zaštitili od takvih napada, mrežni administratori moraju održavati bazu podataka sa tabelom korespondencije između MAC adresa i IP adresa svojih mrežnih računara.

Na UNIX mrežama, ovaj tip lažnog napada ARP zahtjeva može se implementirati korištenjem sistemskih uslužnih programa za praćenje i upravljanje mrežnim prometom, na primjer, arpredirect. Nažalost, čini se da takvi pouzdani uslužni programi nisu implementirani na Windows mrežama. Na primjer, na web stranici NTsecurity možete preuzeti uslužni program GrabitAII, predstavljen kao alat za preusmjeravanje prometa između mrežnih hostova. Međutim, osnovna provjera funkcionalnosti uslužnog programa GrabitAII pokazuje da je potpuni uspjeh u implementaciji njegovih funkcija još daleko.

Rice. 2 Lažno usmjeravanje

Da biste se zaštitili od takvog napada, trebali biste onemogućiti (na primjer, korištenjem zaštitnog zida) obradu ICMP Redirect poruka na hostu A, a naredba tracert (u Unixu je to naredba tracerout) može otkriti IP adresu računara napadača. . Ovi uslužni programi mogu pronaći dodatnu rutu koja se pojavila na lokalnoj mreži koja nije bila predviđena tokom instalacije, osim ako, naravno, mrežni administrator nije na oprezu.

Gore navedeni primjeri presretanja (na koje su mogućnosti napadača daleko od ograničenih) uvjeravaju u potrebu zaštite podataka koji se prenose preko mreže ako podaci sadrže povjerljive informacije. Jedini način zaštite od presretanja mrežnog prometa je korištenje programa koji implementiraju kriptografske algoritme i protokole šifriranja i sprječavaju otkrivanje i zamjenu tajnih informacija. Za rješavanje takvih problema, kriptografija pruža sredstva za šifriranje, potpisivanje i provjeru autentičnosti poruka koje se prenose preko sigurnih protokola.

Praktična implementacija svih kriptografskih metoda za zaštitu razmjene informacija obezbjeđuju VPN mreže (Virtual Private Networks).

Presretanje TCP veze

Pregled softverskih paketnih sniffera

Svi softverski njuškari mogu se podijeliti u dvije kategorije: njuškači koji podržavaju pokretanje iz komandne linije i njuškači koji imaju grafičko sučelje. Međutim, primjećujemo da postoje njuškari koji kombiniraju obje ove mogućnosti. Osim toga, snifferi se razlikuju jedni od drugih po protokolima koje podržavaju, dubini analize presretnutih paketa, mogućnosti konfigurisanja filtera i mogućnosti kompatibilnosti sa drugim programima.

Tipično, prozor bilo kojeg sniffera sa grafičkim sučeljem sastoji se od tri područja. Prvi od njih prikazuje zbirne podatke presretnutih paketa. Tipično, ovo područje prikazuje minimum polja, i to: vrijeme presretanja paketa; IP adrese pošiljaoca i primaoca paketa; MAC adrese pošiljaoca i primaoca paketa, adrese izvornog i odredišnog porta; tip protokola (mrežni, transportni ili aplikacijski sloj); neke sažete informacije o presretnutim podacima. U drugom području se prikazuje statističke informacije o pojedinačnom odabranom paketu, i konačno, u trećem području, paket je predstavljen u heksadecimalnom ili ASCII obliku znakova.

Gotovo svi njuškari paketa omogućavaju vam analizu dekodiranih paketa (zbog čega se njuškači paketa nazivaju i analizatori paketa ili analizatori protokola). Sniffer distribuira presretnute pakete po slojevima i protokolima. Neki njuškari paketa mogu prepoznati protokol i prikazati uhvaćene informacije. Ova vrsta informacija se obično prikazuje u drugom dijelu prozora za njuškanje. Na primjer, bilo koji sniffer može prepoznati TCP protokol, a napredni njuškari mogu odrediti koja je aplikacija generirala ovaj promet. Većina analizatora protokola prepoznaje preko 500 različitih protokola i može ih opisati i dekodirati imenom. Što više informacija njuškalo može dekodirati i prikazati na ekranu, manje će se morati ručno dekodirati.

Jedan od problema s kojim se njuškari paketa mogu susresti je nemogućnost da se ispravno identifikuje protokol koristeći port koji nije podrazumevani port. Na primjer, radi poboljšanja sigurnosti, neke dobro poznate aplikacije mogu se konfigurirati da koriste portove koji nisu zadani. Dakle, umjesto tradicionalnog porta 80 rezerviranog za web server, ovaj server Možete ga prisilno rekonfigurirati na port 8088 ili bilo koji drugi. Neki analizatori paketa u ovoj situaciji nisu u mogućnosti da ispravno odrede protokol i prikazuju samo informacije o protokolu nižeg nivoa (TCP ili UDP).

Postoje softverski snifferi koji dolaze sa softverskim analitičkim modulima kao dodaci ili ugrađeni moduli koji vam omogućavaju da kreirate izvještaje s korisnim analitičkim informacijama o presretnutom prometu.

Još jedna karakteristična karakteristika većine softvera za njuškanje paketa je mogućnost konfigurisanja filtera prije i nakon hvatanja saobraćaja. Filteri odabiru određene pakete iz općeg prometa prema datom kriteriju, što vam omogućava da se riješite nepotrebnih informacija prilikom analize prometa.

Danas su i javne Wi-Fi mreže postale veoma popularne. Ima ih u restoranima, teretanama, trgovačkim centrima, podzemnim željeznicama, hotelima, privatnim bolnicama i klinikama, stanovima i kondominijumima - mogu se naći gotovo svugdje gdje se okuplja dosta ljudi.

Ove mreže imaju posebnost - često su otvorene Wi-Fi mreže kojima nije potrebna lozinka za povezivanje. Ima li ih dodatna pravila sigurnost za rad sa takvim mrežama?

Da, kada se koristi otvoren Wi-Fi mreža morate dobro da shvatite da:

svi podaci se prenose radio talasima, odnosno za razliku od žice kojoj ne može svako pristupiti, radio talase može presresti svako ko je u dometu
U otvorenim mrežama podaci nisu šifrirani

S prvom tačkom, mislim da je sve jasno: ako je neko sa kompjuterom i Wi-Fi karticom dovoljno blizu, onda može uhvatiti i sačuvati sav promet koji se prenosi između bežična pristupna tačka Pristup i svi njegovi klijenti.

Što se tiče druge točke, moramo razjasniti šifriranje prenesenih podataka. Na primjer, ako otvorite web-mjesto koje koristi HTTPS protokol (tj. siguran protokol), kao što je web-mjesto, tada su podaci koji se prenose na i sa te stranice na vas šifrirani. Ako otvorite web stranicu koja radi preko HTTP protokola, tada se svi preneseni podaci: koje stranice ste posjetili, koje komentare ste ostavili, koje kolačiće je primio vaš web preglednik - ovi podaci se prenose u nešifriranom obliku. Dakle, ako ste povezani na Wi-Fi hotspot Pristup koji zahtijeva unos lozinke, preneseni promet se ponovo šifrira. Odnosno, čak i ako otvorite web lokaciju koristeći HTTPS protokol, preneseni promet se šifrira dvaput (prvi put kada se prenese iz web preglednika na web server i u suprotnom smjeru, drugi put kada se prenese s vašeg uređaja na web server Pristupna tačka, kao i u suprotnom smeru). A ako otvorite web lokaciju koristeći HTTP protokol, tada se preneseni promet šifrira samo jednom (samo tokom prijenosa od vašeg uređaja do pristupne točke i natrag).

Ali otvorene pristupne tačke ne šifruju saobraćaj. Iz ovoga proizilazi: ako koristite otvorenu pristupnu tačku i otvorite stranicu koja radi na HTTP protokolu, tada se vaši podaci prenose na otvorena forma i svako u vašoj blizini može ih zgrabiti i pohraniti. Ako otvorite web lokaciju koristeći HTTPS protokol, onda su ti podaci šifrirani, međutim, i dalje možete vidjeti koje ste stranice otvorili (iako ne možete vidjeti koje stranice i šta ste unijeli, na primjer, koje komentare ste ostavili).

Dakle: morate zapamtiti to otvoreno bežične mreže podložni presretanju informacija.

Presretanje saobraćaja u otvorenim Wi-Fi mrežama

Za uspješan napad potreban vam je računar koji koristi Linux (na primjer, sa Kali Linux ili sa BlackArch), kao i Wi-Fi kartica od .

Počnimo tako što ćemo pogledati nazive bežičnih sučelja:

Kao što vidite, imam nekoliko bežičnih interfejsa, koje ću koristiti wlp0s20f0u2.

Prebacujemo bežični interfejs u način rada za nadzor:

Sudo ip link set INTERFACE down sudo iw INTERFACE set monitor kontrola sudo ip link set INTERFACE up

U prethodnim naredbama, umjesto INTERFACE potrebno je da unesete naziv koji bežični interfejs ima na vašem sistemu. Na primjer, za wlp0s20f0u2 komande izgledaju ovako:

Sudo ip link set wlp0s20f0u2 down sudo iw wlp0s20f0u2 set monitor kontrola sudo ip link set wlp0s20f0u2 up

Otvorite snimljenu datoteku podataka u Wiresharku.

Da bismo istakli različite podatke, trebat će nam Wireshark filteri. Ovdje ću pokazati primjer korištenja samo nekih filtera, preporučljivo je proučiti veliki izbor korisnih Wireshark filtera.

Da biste procijenili kvalitetu snimanja, možete početi s filterima koji izlaze rezultate analize TCP protokola.

na primjer:

Tcp.analysis.duplicate_ack_num == 1

Ovaj filter prikazuje informacije o okvirima sa ACK zastavicom koji su duplikati. Veliki broj takvih okvira može ukazivati na probleme u komunikaciji između Klijenta i pristupne tačke.

Filter za prikaz okvira za koje prethodni segment nije snimljen:

Tcp.analysis.ack_lost_segment

To je normalno na početku prikupljanja podataka – budući da se informacije ne bilježe od samog početka. Ali ako se ova greška često javlja u budućnosti, onda ste predaleko od pristupne tačke ili klijenata i ne hvatate dio podataka koje oni prenose.

Da biste prikazali okvire koji se ponovo prenose (šalju više puta):

Tcp.analysis.retransmission

Veliki broj ovakvih okvira može ukazivati na lošu komunikaciju između Klijenta i AP-a i često moraju ponovo slati iste podatke.

Korištenje filtera

Možete vidjeti ARP promet - uz njegovu pomoć zgodno je analizirati koliko je uređaja trenutno spojeno na lokalnu mrežu, koje IP adrese imaju i koje MAC adrese imaju. .

Korištenje filtera

možete vidjeti sve poslane DNS upite.

Zahvaljujući ovim upitima možete saznati koje su stranice korisnici posjetili (čak i ako te stranice koriste HTTPS!), kao i koje online usluge postavljeni su zahtjevi.

Na primjer, na snimku ekrana možete vidjeti adrese online kina Netflix, Facebook i raznih Google servisa.

Za filtriranje HTTP saobraćajnog filtera:

Ovdje možete saznati mnogo zanimljivih informacija. Na primjer, možete vidjeti zahtjeve za usluge i prenesene podatke, uključujući API ključeve, identifikatore uređaja, itd.:

Možete vidjeti posjećene URL-ove sa svim proslijeđenim parametrima:

Fajlovi preuzeti i otvoreni na Internetu su vidljivi:

Možete sačuvati bilo koju prenesenu datoteku. Da biste to učinili, odaberite paket koji ga sadrži pomoću miša (1), a zatim u središnjem panelu, koji sadrži detaljne informacije, skrolujte do samog dna da biste pronašli polje podataka i kliknite desnim tasterom miša na njega da biste otvorili kontekstni meni (2), in kontekstni meni izaberite Izvezi odabrane bajtove paketa(3) - Izvezite bajtove odabranog paketa:

Unesite naziv datoteke, odaberite lokaciju i spremite je.

Neko ažurira Windows:

Kolačići koje je korisnik instalirao ili poslao korisniku su također vidljivi:

Korištenje filtera

Http.cookie

možete vidjeti HTTP zahtjeve u kojima su prenijeti kolačići.

I pomoću filtera

Http.set_cookie

možete vidjeti zahtjeve u kojima je server instalirao kolačiće u pregledniku korisnika.

Komšije preuzimaju čudne torente:

Podaci preneseni POST metodom također su vidljivi:

Za traženje prenesenih slika:

Http.content_type sadrži "image"

Za traženje određenih vrsta slika:

Http.content_type sadrži "gif" http.content_type sadrži "jpeg" http.content_type sadrži "png"

Za traženje datoteka određene vrste:

Http.content_type sadrži "text" http.content_type sadrži "xml" http.content_type sadrži "html" http.content_type sadrži "json" http.content_type sadrži "javascript" http.content_type sadrži "x-www-form-urlencode" http. content_type sadrži "komprimiranu" http.content_type sadrži "aplikaciju"

Pretražite Wireshark za zahtjeve za dobivanje datoteka određenog tipa. Na primjer, za traženje prenesenih ZIP arhiva:

Http.request.uri sadrži "zip"

Umjesto http.request.uri Za veću preciznost možete koristiti filtere http.request.uri.path ili http.request.uri.query, na primjer, za traženje zahtjeva za preuzimanje JPG fajlovi(linkovi do slika):

Http.request.uri.path sadrži "jpg"

Filter koji prikazuje samo podatke prenesene POST metodom:

Http.request.method == "POST"

Filter koji prikazuje samo podatke prenesene pomoću GET metode:

Http.request.method == "GET"

Tražite zahtjeve prema određenoj web lokaciji (host):

Http.host == " "

Pretražite upite za određenu web lokaciju prema dijelu imena:

Http.host sadrži "djelimično.name ovdje"

Zaključak

Sada se broj aplikacija i web lokacija koje ne koriste enkripciju ubrzano smanjuje. Stoga se opasnost od takvog presretanja svake godine smanjuje. Ipak, postoji.

Čak i web lokacije koje koriste HTTPS mogu nenamjerno procuriti podatke. na primjer:

Vidi se da se podaci od korisnika na booking.com prenose u nešifriranom obliku, pa se ovaj link može presresti.

Aplikacija za iPhone neprestano preuzima neke (audio?) datoteke bez korištenja sigurne veze:

Popularni (u nekim regijama) qq.com ili ne koristi enkripciju ili koristi vlastiti algoritam:

Zajamčena zaštita od takvog presretanja je korištenje pouzdanog VPN servisa. Pouzdanom VPN uslugom može se smatrati ona koju ste sami konfigurirali ili VPN vaše korporativne mreže.

Presretanje podataka preko mreže Razmatra se primanje bilo koje informacije sa udaljenog računarskog uređaja. Mogu se sastojati od ličnih podataka korisnika, njegovih poruka, informacija o posjeti web stranicama. Snimanje podataka može se obaviti špijunskim softverom ili korištenjem mrežnih njuškala.

Špijunski softver je poseban softver, sposoban da snimi sve informacije koje se prenose preko mreže sa određenog radna stanica ili uređaja.

Sniffer je program ili kompjuterska tehnologija koja presreće i analizira promet koji prolazi kroz mrežu. Sniffer vam omogućava da se povežete na web sesiju i izvršite različite operacije u ime vlasnika računara.

Ako se informacije ne prenose u realnom vremenu, špijunski softver generiše izveštaje koji olakšavaju pregled i analizu informacija.

Mrežno presretanje može se vršiti legalno ili ilegalno. Glavni dokument kojim se utvrđuje zakonitost zapljene informacija je Konvencija o sajber kriminalu. Nastao je u Mađarskoj 2001. godine. Pravni zahtjevi različitih zemalja mogu se neznatno razlikovati, ali glavna ideja je ista za sve zemlje.

Klasifikacija i metode presretanja podataka preko mreže

Presretanje informacija putem mreže može se podijeliti u dvije vrste:

ovlašteni
neovlašćeno

Ovlašteno prikupljanje podataka provodi se u različite svrhe, od zaštite korporativnih informacija do osiguranja nacionalne sigurnosti. Osnove za izvođenje takve operacije određuju zakonodavstvo, specijalne službe, službenici za provođenje zakona i stručnjaci administrativne organizacije, usluge obezbeđenja kompanija.

Postoje međunarodni standardi za presretanje podataka. Evropski institut za telekomunikacijske standarde uspio je uskladiti niz tehničkih procesa (ETSI ES 201 158 “Bezbednost telekomunikacija; Zakonito presretanje (LI); Zahtjevi za mrežne funkcije”) na kojima se zasniva presretanje informacija. Kao rezultat toga, razvijena je arhitektura sistema koja pomaže stručnjacima tajnih službi mrežni administratori legalno dobiti podatke sa mreže. Razvijena struktura za implementaciju presretanja podataka preko mreže primijenjena je na žičani/bežični sistem glasovnih poziva, kao i na korespondenciju putem pošte, prijenos glasovnih poruka preko IP-a i razmjenu informacija putem SMS-a.

Neovlašteno presretanje podataka preko mreže vrše napadači koji žele da zauzmu povjerljive podatke, lozinke, korporativne tajne, adrese računarskih mašina na mreži itd. Da bi postigli svoje ciljeve, hakeri obično koriste analizator mrežnog prometa - njuškalo. Ovaj program ili hardversko-softverski uređaj prevarantu daje mogućnost presretanja i analize informacija unutar mreže na koju su povezani on i korisnik koji je meta napada, pa čak i SSL šifrirani promet zamjenom certifikata. Možete dobiti podatke iz saobraćaja:

Slušanje mrežnog interfejsa
Povezivanjem uređaja za presretanje na prekid kanala
Kreiranje grane saobraćaja i kopiranje u njuškalo
Izvođenjem napada

Postoje i složenije tehnologije za presretanje važnih informacija koje omogućavaju upadanje u mrežne interakcije i promjenu podataka. Jedna takva tehnika su lažni ARP zahtjevi. Suština metode je zamjena IP adresa između računara žrtve i njene vlastite IP adrese. Druga metoda koja se može koristiti za presretanje podataka preko mreže je lažno rutiranje. To uključuje zamjenu IP adrese mrežnog rutera svojom vlastitom adresom. Ako prevarant zna kako je organizirana lokalna mreža u kojoj se žrtva nalazi, lako može organizirati prijem informacija s računa korisnika na njegovu IP adresu. Otmica TCP veze je takođe efikasan način presretanja podataka. Napadač prekida komunikacijsku sesiju generiranjem i slanjem TCP paketa na žrtvin računar. Zatim, sesiju komunikacije obnavlja, presreće i nastavlja kriminalac umjesto klijenta.

Predmet uticaja

Objekti presretanja podataka preko mreže mogu biti vladine agencije, industrijska preduzeća, komercijalne strukture, obični korisnici. Unutar organizacije ili poslovne kompanije, informacije se mogu uhvatiti kako bi se zaštitila mrežna infrastruktura. Obavještajne agencije i agencije za provođenje zakona mogu vršiti masovno presretanje informacija koje se prenose od različitih vlasnika, ovisno o zadatku.

Ako govorimo o kibernetičkim kriminalcima, onda svaki korisnik ili organizacija može postati predmet utjecaja kako bi došao do podataka koji se prenose preko mreže. Kod ovlaštenog pristupa važan je informativni dio dobijenih informacija, a napadača više zanimaju podaci koji mogu poslužiti za zapljenu sredstava ili vrijednih informacija za njihovu kasniju prodaju.

Korisnici koji se povezuju na javnu mrežu, na primjer, u kafiću s Wi-Fi pristupnom tačkom, najčešće postaju žrtve presretanja informacija od strane sajber kriminalaca. Napadač se povezuje na web sesiju koristeći njuškalo, zamjenjuje podatke i krade lične podatke. Više detalja o tome kako se to događa opisano je u članku.

Izvor prijetnje

Ovlašteno presretanje informacija u preduzećima i organizacijama vrše operateri mrežne infrastrukture javnu upotrebu. Njihove aktivnosti usmjerene su na zaštitu ličnih podataka, poslovnih tajni i drugih važnih informacija. Pravno, prijenos poruka i dosijea mogu pratiti obavještajne službe, agencije za provođenje zakona i razne vladine agencije kako bi se osigurala sigurnost građana i države.

Kriminalci se bave nezakonitim presretanjem podataka. Da ne biste postali žrtva sajber kriminalca, morate slijediti neke preporuke stručnjaka. Na primjer, ne biste trebali izvoditi operacije koje zahtijevaju autorizaciju i prijenos osjetljivih podataka na mjestima gdje je veza na javne mreže. Sigurnije je odabrati mreže sa enkripcijom, a još bolje - koristiti lične 3G-LTE modeme. Prilikom prijenosa ličnih podataka preporučuje se šifriranje pomoću HTTPS protokola ili ličnog VPN tunela.

Možete zaštititi svoj računar od presretanja mrežnog saobraćaja koristeći kriptografiju i anti-sniffers; Dial-up, a ne bežični pristup mreži će smanjiti rizike.

Pregled

Mrežno njuškanje

Metode presretanja mrežnog saobraćaja

Lažni ARP zahtjevi

Lažno rutiranje

Presretanje TCP veze

Zaključak

Korak 1. Instalirajte i pokrenite Wireshark da biste uhvatili promet

Korak 2. Filtriranje uhvaćenog POST prometa

Korak 3. Pronađite korisničko ime i lozinku

Korak 4. Odredite tip kodiranja za dešifriranje lozinke

Korak 5. Dešifriranje korisničke lozinke

Korak 6: Što ako je promet šifriran i koristi HTTPS?

BONUS

Presretanje saobraćaja u otvorenim Wi-Fi mrežama

Zaključak

Klasifikacija i metode presretanja podataka preko mreže

Predmet uticaja

Izvor prijetnje

Možda će vam se također svidjeti