Počítače komunikujú pomocou sietí. Tieto siete môžu byť v lokálnej sieti LAN alebo môžu byť vystavené internetu. Network Sniffers sú programy, ktoré zachytávajú dáta balíkov na nízkej úrovni, ktoré sa prenášajú cez sieť. Útočník môže tieto informácie analyzovať a zistiť tak cenné informácie, ako napríklad ID používateľov a heslá.
V tomto článku vám predstavíme bežné techniky a nástroje na sledovanie sietí, ktoré sa používajú na sledovanie sietí. Taktiež sa pozrieme na protiopatrenia, ktoré môžete zaviesť na ochranu citlivých informácií prenášaných cez sieť.
Témy obsiahnuté v tomto návode
- Čo je to sniffovanie siete?
- Aktívne a pasívne čuchanie
- Hackerská aktivita: Sniff Network
- Čo je zaplavenie riadenia prístupu k médiám (MAC)
Čo je to sniffovanie siete?
Počítače komunikujú vysielaním správ v sieti pomocou adries IP. Po odoslaní správy do siete odpovie počítač príjemcu so zodpovedajúcou adresou IP jeho adresou MAC.
Čuchanie v sieti je proces zachytávania dátových paketov odosielaných cez sieť. Môže to byť vykonané špecializovaným softvérovým programom alebo hardvérovým vybavením. Na čuchanie sa dá zvyknúť;
- Zachyťte citlivé údaje, napríklad prihlasovacie údaje
- Odpočúvajte správy v chate
- Zachytávacie súbory boli prenesené cez sieť
Nasledujú protokoly, ktoré sú citlivé na čuchanie
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Vyššie uvedené protokoly sú zraniteľné, ak sa prihlasovacie údaje zasielajú vo formáte obyčajného textu
Pasívne a aktívne čuchanie
Predtým, ako sa pozrieme na pasívne a aktívne čuchanie, pozrime sa na dve hlavné zariadenia používané v sieťových počítačoch; rozbočovače a prepínače.
Rozbočovač funguje tak, že odosiela vysielacie správy na všetky výstupné porty na ňom, okrem portu, ktorý vysielanie odoslal . Ak sa adresa IP zhoduje, počítač príjemcu odpovie na vysielanú správu. To znamená, že keď sa používa rozbočovač, všetky počítače v sieti môžu vidieť vysielanú správu. Funguje na fyzickej vrstve (vrstva 1) modelu OSI.
Nasledujúci diagram ilustruje fungovanie rozbočovača.
Prepínač funguje inak; mapuje adresy IP / MAC na fyzické porty . Vysielané správy sa odosielajú na fyzické porty, ktoré zodpovedajú konfiguráciám adries IP / MAC pre počítač príjemcu. To znamená, že vysielané správy vidí iba počítač príjemcu. Prepínače pracujú na vrstve dátového spojenia (vrstva 2) a sieťovej vrstve (vrstva 3).
Nasledujúca schéma ilustruje fungovanie prepínača.
Pasívne čuchanie je zachytenie balíkov prenášaných cez sieť, ktorá používa rozbočovač . Hovorí sa tomu pasívne čuchanie, pretože je ťažké ho odhaliť. Ľahko sa tiež vykonáva, pretože rozbočovač odosiela rozhlasové správy do všetkých počítačov v sieti.
Aktívne sniffovanie je zachytenie balíkov prenášaných cez sieť, ktorá používa prepínač . Existujú dva hlavné spôsoby, ktoré sa používajú na čuchanie prepínaných prepojených sietí: otrava ARP a zahlcovanie MAC.
Hackerská aktivita: Čuchajte sieťový prenos
V tomto praktickom scenári použijeme Wireshark na čuchanie dátových paketov pri ich prenose cez protokol HTTP . V tomto príklade pričuchneme k sieti pomocou Wireshark a potom sa prihlásime do webovej aplikácie, ktorá nepoužíva zabezpečenú komunikáciu. Prihlásime sa do webovej aplikácie na adrese http://www.techpanda.org/
Prihlasovacia adresa je Táto e-mailová adresa je chránená pred spamovacími robotmi. Ak ju chcete vidieť, musíte mať povolený JavaScript. a heslo je Password2010 .
Poznámka: Do webovej aplikácie sa prihlásime iba na demonštračné účely. Táto technika môže tiež sniffovať dátové pakety z iných počítačov, ktoré sú v rovnakej sieti ako ten, ktorý používate na sniffovanie. Čuchanie sa neobmedzuje iba na web techpanda.org, ale aj na všetky dátové pakety protokolu HTTP a iných protokolov.
Čuchanie k sieti pomocou Wireshark
Nasledujúca ilustrácia zobrazuje kroky, ktoré budete robiť, aby ste toto cvičenie absolvovali bez zmätkov
Stiahnite si Wireshark z tohto odkazu http://www.wireshark.org/download.html
- Otvorte Wireshark
- Dostanete sa na nasledujúcu obrazovku
- Vyberte sieťové rozhranie, ktoré chcete čuchať. Pre túto ukážku používame bezdrôtové sieťové pripojenie. Ak sa nachádzate v lokálnej sieti, mali by ste zvoliť rozhranie lokálnej siete.
- Kliknite na tlačidlo Štart, ako je uvedené vyššie
- Otvorte webový prehliadač a zadajte http://www.techpanda.org/
- Prihlasovací e-mail je Táto e-mailová adresa je chránená pred spamovacími robotmi. Ak ju chcete vidieť, musíte mať povolený JavaScript. a heslo je Password2010
- Kliknite na tlačidlo odoslať
- Úspešné prihlásenie by vám malo poskytnúť nasledujúci informačný panel
- Vráťte sa do Wiresharku a zastavte živé snímanie
- Filtrujte výsledky protokolu HTTP iba pomocou textového poľa filtra
- Nájdite stĺpec Informácie a vyhľadajte položky so slovesom HTTP POST a kliknite na neho
- Hneď pod položkami denníka sa nachádza panel so súhrnom zachytených údajov. Vyhľadajte súhrn s textom Line-based text data: application / x-www-form-urlencoded
- Mali by ste byť schopní zobraziť hodnoty holého textu všetkých premenných POST odoslaných na server prostredníctvom protokolu HTTP.
Čo je to MAC Flooding?
Zaplavenie adresy MAC je technika sniffingu siete, ktorá zaplaví tabuľku MAC prepínačov falošnými adresami MAC . To vedie k preťaženiu pamäte prepínača a robí to ako rozbočovač. Po napadnutí prepínača odošle vysielané správy do všetkých počítačov v sieti. To umožňuje čuchať dátové pakety tak, ako sa odosielajú v sieti.
Protiopatrenia proti zaplaveniu MAC
- Niektoré prepínače majú funkciu zabezpečenia portu . Túto funkciu je možné použiť na obmedzenie počtu MAC adries na portoch. Môže sa tiež použiť na udržanie bezpečnej tabuľky adries MAC okrem tabuľky, ktorú poskytuje prepínač.
- Na filtrovanie zistených MAC adries je možné použiť autentifikačné, autorizačné a účtovnícke servery .
Protiopatrenia proti čuchaniu
- Obmedzenie na sieťové fyzické médiá výrazne znižuje pravdepodobnosť, že bude nainštalovaný sieťový sniffer
- Šifrovanie správ pri ich prenose cez sieť výrazne znižuje ich hodnotu, pretože je ťažké ich dešifrovať.
- Zmena sieť zabezpečiť Shell (SSH) siete tiež znižuje šance na siete bola pričuchol.
Zhrnutie
- Network sniffing zachytáva balíčky, ktoré sa prenášajú cez sieť
- Pasívne čuchanie sa vykonáva v sieti, ktorá používa rozbočovač. Je ťažké to zistiť.
- Aktívne čuchanie sa vykonáva v sieti, ktorá používa prepínač. Dá sa ľahko zistiť.
- Zaplavenie adresy MAC funguje tak, že zoznam adries tabuľky MAC zaplaví falošné adresy MAC. Vďaka tomu bude switch fungovať ako HUB
- Vyššie uvedené bezpečnostné opatrenia môžu pomôcť chrániť sieť pred čuchaním.