Počítače komunikují pomocí sítí. Tyto sítě mohou být v místní síti LAN nebo mohou být vystaveny internetu. Network Sniffers jsou programy, které zachycují nízkoúrovňová data balíků přenášená po síti. Útočník může tyto informace analyzovat a zjistit cenné informace, jako jsou ID uživatelů a hesla.
V tomto článku vás seznámíme s běžnými technikami a nástroji čichání k síti používanými k čichání sítí. Podíváme se také na protiopatření, která můžete zavést k ochraně citlivých informací přenášených po síti.
Témata obsažená v tomto kurzu
- Co je čichání v síti?
- Aktivní a pasivní čichání
- Hackerská aktivita: Sniff Network
- Co je povodeň řízení přístupu k médiím (MAC)
Co je čichání v síti?
Počítače komunikují vysíláním zpráv v síti pomocí IP adres. Jakmile byla zpráva odeslána v síti, počítač příjemce s odpovídající IP adresou odpoví svou MAC adresou.
Čichání k síti je proces zachycování datových paketů odeslaných přes síť. Toho lze dosáhnout pomocí specializovaného softwarového programu nebo hardwarového vybavení. Čichání lze použít k;
- Zachyťte citlivá data, například přihlašovací údaje
- Odposlouchávání zpráv chatu
- Zachyťte soubory byly přeneseny přes síť
Následuje protokol, který je náchylný k čichání
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Výše uvedené protokoly jsou zranitelné, pokud jsou přihlašovací údaje odesílány ve formátu prostého textu
Pasivní a aktivní čichání
Než se podíváme na pasivní a aktivní čichání, podívejme se na dvě hlavní zařízení používaná k síťovým počítačům; rozbočovače a přepínače.
Rozbočovač funguje tak, že posílá zprávy vysílání na všechny výstupní porty na něm, kromě toho, který odeslal vysílání . Pokud se adresa IP shoduje, počítač příjemce odpoví na vysílanou zprávu. To znamená, že při použití rozbočovače mohou všechny počítače v síti vidět vysílanou zprávu. Funguje na fyzické vrstvě (vrstva 1) modelu OSI.
Níže uvedený diagram ukazuje, jak rozbočovač funguje.
Přepínač funguje jinak; mapuje adresy IP / MAC na fyzické porty . Broadcast messages are sent to the physical ports that match the IP / MAC address configurations for the recipient computer. To znamená, že vysílané zprávy vidí pouze počítač příjemce. Přepínače pracují na vrstvě datového spojení (vrstva 2) a síťové vrstvě (vrstva 3).
Níže uvedený diagram ukazuje, jak přepínač funguje.
Pasivní čichání zachycuje balíčky přenášené přes síť, která používá rozbočovač . Říká se tomu pasivní čichání, protože je obtížné jej detekovat. Je také snadné provést, protože rozbočovač odesílá zprávy vysílání do všech počítačů v síti.
Aktivní čichání zachycuje balíčky přenášené přes síť, která používá přepínač . Existují dvě hlavní metody používané k čichání propojených sítí, otrava ARP a zaplavení MAC.
Hackerská aktivita: Čichat síťový provoz
V tomto praktickém scénáři použijeme Wireshark k čichání datových paketů při jejich přenosu přes protokol HTTP . V tomto příkladu čicháme síť pomocí Wireshark a poté se přihlásíme k webové aplikaci, která nepoužívá zabezpečenou komunikaci. Přihlásíme se k webové aplikaci na adrese http://www.techpanda.org/
Přihlašovací adresa je Tato e-mailová adresa je chráněna před spamboty. Abyste ji mohli zobrazit, musíte mít povolený JavaScript. a heslo je Password2010 .
Poznámka: Do webové aplikace se přihlásíme pouze pro demonstrační účely. Tato technika může také čichat datové pakety z jiných počítačů, které jsou ve stejné síti jako ten, který používáte k čichání. Čichání se neomezuje pouze na techpanda.org, ale také čichá ke všem datovým paketům HTTP a dalším protokolům.
Čichání k síti pomocí Wireshark
Na obrázku níže jsou uvedeny kroky, které provedete k dokončení tohoto cvičení bez záměny
Stáhněte si Wireshark z tohoto odkazu http://www.wireshark.org/download.html
- Otevřete Wireshark
- Zobrazí se následující obrazovka
- Vyberte síťové rozhraní, které chcete čichat. Pro tuto ukázku používáme připojení k bezdrátové síti. Pokud jste v místní síti, měli byste vybrat rozhraní místní sítě.
- Klikněte na tlačítko Start, jak je uvedeno výše
- Otevřete webový prohlížeč a zadejte http://www.techpanda.org/
- Přihlašovací e-mail je Tato e-mailová adresa je chráněna před spamboty. Abyste ji mohli zobrazit, musíte mít povolený JavaScript. a heslo je Password2010
- Klikněte na tlačítko Odeslat
- Úspěšné přihlášení by vám mělo poskytnout následující řídicí panel
- Vraťte se do Wireshark a zastavte živé zachycení
- Filtrujte výsledky protokolu HTTP pouze pomocí textového pole filtru
- Vyhledejte sloupec Informace, vyhledejte položky pomocí HTTP slovesa POST a klikněte na něj
- Těsně pod položkami protokolu se nachází panel se souhrnem zachycených dat. Podívejte se na shrnutí, které říká Line-based text data: application / x-www-form-urlencoded
- Měli byste být schopni zobrazit hodnoty prostého textu všech proměnných POST odeslaných na server prostřednictvím protokolu HTTP.
Co je to MAC Flooding?
Zaplavení MAC je technika čichání v síti, která zaplaví přepínací MAC tabulku falešnými MAC adresami . To vede k přetížení paměti přepínače a funguje jako rozbočovač. Jakmile dojde k narušení přepínače, odešle zprávy o vysílání do všech počítačů v síti. To umožňuje čichat datové pakety tak, jak byly odeslány v síti.
Protiopatření proti zaplavení MAC
- Některé přepínače mají funkci zabezpečení portu . Tuto funkci lze použít k omezení počtu MAC adres na portech. Lze jej také použít k udržení zabezpečené tabulky MAC adres kromě tabulky poskytované přepínačem.
- K filtrování zjištěných MAC adres lze použít ověřovací, autorizační a účetní servery .
Protiopatření proti čichání
- Omezení na síťová fyzická média výrazně snižuje pravděpodobnost instalace síťového snifferu
- Šifrování zpráv při jejich přenosu po síti výrazně snižuje jejich hodnotu, protože je obtížné je dešifrovat.
- Změna síť zabezpečit Shell (SSH) sítě také snižuje šance na sítě byla přičichl.
souhrn
- Čichání k síti zachycuje balíčky, které jsou přenášeny po síti
- Pasivní čichání se provádí v síti, která používá rozbočovač. Je těžké to zjistit.
- Aktivní čichání se provádí v síti, která používá přepínač. Je snadné to zjistit.
- Zaplavení MAC funguje zaplavením seznamu adres MAC tabulek falešnými MAC adresami. Díky tomu bude přepínač fungovat jako HUB
- Bezpečnostní opatření uvedená výše mohou pomoci chránit síť před čicháním.