A hackerek a forgalom átirányítására használják. A hackertámadások módszerei. Adathamisítás a Burp segítségével

A hálózati forgalom elfogásának módszerei

A hálózat hallgatása hálózati elemző programokkal az első, a legtöbb egyszerű módon adatlehallgatás.

A hálózati lehallgatás elleni védelem érdekében használja speciális programok például az AntiSniff, amelyek képesek azonosítani a hálózaton lévő számítógépeket, amelyek figyelik a hálózati forgalmat.

A problémáik megoldása érdekében a szippantásgátló programok speciális jelet használnak a lehallgató eszközök hálózaton való jelenlétére - a szippantó számítógép hálózati kártyájának speciális hallgatási módban kell lennie. Hallgatás módban a hálózati számítógépek speciális módon reagálnak a tesztelt gazdagépnek küldött IP-datagramokra. Például a figyelő gazdagépek általában az összes bejövő forgalmat feldolgozzák, nem csak a gazdagép címére küldött datagramokat. Vannak más jelek is, amelyek gyanús gazdagépviselkedésre utalnak, amelyet az AntiSniff felismer.

A lehallgatás kétségtelenül nagyon hasznos a támadó szempontjából, mivel sok hasznos információhoz juthat hozzá – a hálózaton keresztül továbbított jelszavakhoz, hálózati számítógépek címeihez, bizalmas adatokhoz, levelekhez stb. Az egyszerű lehallgatás azonban nem teszi lehetővé a hacker számára, hogy megzavarja a két gazdagép közötti hálózati kommunikációt, hogy adatokat módosítson és megrongáljon. Egy ilyen probléma megoldásához összetettebb technológia szükséges.

A két A és B gazdagép közötti hálózati interakció folyamatának lehallgatása és átvétele érdekében a támadó saját IP-címére cserélheti a kölcsönhatásban lévő gazdagépek IP-címét úgy, hogy hamisított ARP (Address Resolution Protocol) üzeneteket küld az A és B gazdagépnek.

Rizs. 1 Hamis ARP-kérés

Nézzük meg, hogyan használhatja a hacker az ARP-t az A és B gazdagép közötti hálózati kommunikáció elfogására.

Az A és B hosztok közötti hálózati forgalom lehallgatásához a hacker rákényszeríti az IP-címét ezekre a gazdagépekre, így A és B ezt a hamisított IP-címet használja üzenetváltáskor. Az IP-cím megadásához a hacker a következő műveleteket hajtja végre.

• A támadó például a W2RK csomag nbtstat parancsával határozza meg az A és B gazdagép MAC-címét.
• A támadó üzeneteket küld az A és B gazdagép azonosított MAC-címére, amelyek hamisított ARP-válaszok a gazdagépek IP-címének a számítógépek MAC-címére történő feloldására irányuló kérésekre. Az A gazdagép tájékoztatást kap, hogy a B gazdagép IP-címe megegyezik a támadó számítógépének MAC-címével; A B gazdagép tájékoztatást kap arról, hogy az A gazdagép IP-címe a támadó számítógépének MAC-címével is megegyezik.
• Az A és B gazdagép a kapott MAC-címeket az ARP-gyorsítótáraikban tárolja, majd azokkal üzeneteket küldenek egymásnak. Mivel az A és B IP-címek megegyeznek a támadó számítógépének MAC-címével, az A és B gazdagép gyanútlanul egy közvetítőn keresztül kommunikál, aki bármire képes üzeneteikkel.

Az ilyen támadások elleni védelem érdekében a hálózati rendszergazdáknak adatbázist kell fenntartaniuk a hálózati számítógépeik MAC- és IP-címei közötti megfelelési táblázattal.

UNIX hálózatokon az ilyen típusú hamisított ARP-kérés támadások megvalósíthatók a hálózati forgalom figyelésére és kezelésére szolgáló rendszersegédprogramokkal, például az arpredirect segítségével. Sajnos úgy tűnik, hogy az ilyen megbízható segédprogramok nem valósulnak meg a Windows hálózatokon. Például az NTsecurity webhelyről letöltheti a GrabitAII segédprogramot, amely a forgalom hálózati gazdagépek közötti átirányítására szolgál. A GrabitAII segédprogram funkcionalitásának alapvető ellenőrzése azonban azt mutatja, hogy a funkciók megvalósításának teljes sikere még messze van.

A hálózati forgalom elfogásához a támadó saját IP-címével meghamisíthatja a hálózati útválasztó valós IP-címét, például hamisított ICMP átirányítási üzenetekkel. Az A gazdagépnek az RFC-1122 szerint a fogadott átirányítási üzenetet egy másik gazdagépnek küldött datagramra adott válaszként kell érzékelnie, például B. A gazdagép a kapott átirányítási üzenet tartalma alapján határozza meg az átirányítási üzenettel kapcsolatos műveleteit, és ha datagram átirányítás van megadva az Átirányítás A-ból B-be egy új útvonal mentén, akkor pontosan ezt fogja tenni A gazdagép.

Rizs. 2 Hamis útválasztás

A hamis útválasztás végrehajtásához a támadónak ismernie kell néhány részletet a szervezetről helyi hálózat, amelyben az A gazdagép található, különösen annak az útválasztónak az IP-címe, amelyen keresztül a forgalmat A gazdagéptől B-be továbbítják. Ennek ismeretében a támadó létrehoz egy IP-datagramot, amelyben a küldő IP-címe az útválasztó IP-címeként van meghatározva. cím, a címzett pedig az A gazdagép. A datagram tartalmaz egy ICMP átirányítási üzenetet is, amelyben az új útválasztó címmezője a támadó számítógépének IP-címe. Miután megkapta az ilyen üzenetet, az A gazdagép minden üzenetet a támadó számítógépének IP-címére küld.

Az ilyen támadások elleni védelem érdekében le kell tiltani (például tűzfal segítségével) az ICMP átirányítási üzenetek feldolgozását az A gazdagépen, és a tracert parancs (Unixban ez a tracerout parancs) felfedheti a támadó számítógépének IP-címét. . Ezek a segédprogramok képesek olyan további útvonalat találni, amely a helyi hálózaton megjelent, és amelyet a telepítés során nem biztosítottak, kivéve, ha természetesen a hálózati rendszergazda éber.

A fenti lehallgatási példák (amelyekre a támadók lehetőségei korántsem korlátozottak) meggyőznek bennünket a hálózaton továbbított adatok védelmének szükségességéről, ha az adatok bizalmas információkat tartalmaznak. A hálózati forgalom lehallgatása elleni védekezés egyetlen módja olyan programok használata, amelyek kriptográfiai algoritmusokat és titkosítási protokollokat valósítanak meg, és megakadályozzák a titkos információk felfedését és helyettesítését. Az ilyen problémák megoldására a kriptográfia biztosítja a biztonságos protokollokon keresztül továbbított üzenetek titkosításának, aláírásának és hitelességének ellenőrzését.

Az információcsere védelmére szolgáló összes kriptográfiai módszer gyakorlati megvalósítását biztosítja VPN hálózatok(Virtuális magánhálózat – Virtuális magánhálózatok).

TCP kapcsolat elfogása

A legkifinomultabb hálózati forgalomelfogó támadásnak a TCP-kapcsolat rögzítését (TCP-eltérítést) kell tekinteni, amikor egy hacker megszakítja az aktuális kommunikációs munkamenetet a gazdagéppel azáltal, hogy TCP-csomagokat generál és küld a megtámadott gazdagépnek. Ezután a TCP-protokoll megszakadt TCP-kapcsolat visszaállítási képességét használva a hacker elfogja a megszakadt kommunikációs munkamenetet, és folytatja azt a megszakadt kliens helyett.

Számos hatékony segédprogram készült a TCP-kapcsolat-eltérítési támadások végrehajtására, de mindegyik Unix platformra van implementálva, és a webhelyeken ezek a segédprogramok csak forráskód formájában jelennek meg. Így a TCP-kapcsolat-eltérítő támadásoknak kevés haszna van.

A TCP protokoll (Transmission Control Protocol) az egyik alapvető szállítási protokoll. OSI szint, amely lehetővé teszi logikai kapcsolatok létrehozását egy virtuális kommunikációs csatornán keresztül. Ezen a csatornán keresztül történik a csomagok továbbítása és vétele sorrendjük rögzítésével, a csomagok áramlásának vezérlése, a torz csomagok újraküldésének megszervezése, és a munkamenet végén a kommunikációs csatorna megszakad. A TCP az egyetlen protokoll alapprotokoll a TCP/IP családból, amely fejlett üzenetazonosító és csatlakozási rendszerrel rendelkezik.

A szoftvercsomag-szippantók áttekintése

Minden szoftveres szippantó két kategóriába sorolható: olyan szippantókra, amelyek támogatják az indítást parancs sor, és grafikus felülettel szimatolók. Megjegyezzük azonban, hogy vannak olyan szippantó készülékek, amelyek mindkét képességet kombinálják. Ezen túlmenően a snifferek különböznek egymástól az általuk támogatott protokollokban, az elfogott csomagok elemzési mélységében, a szűrők konfigurálhatóságában és a más programokkal való kompatibilitásban.

Általában minden szippantó ablaka grafikus felület három területből áll. Az első az elfogott csomagok összesítő adatait jeleníti meg. Általában ez a terület minimális mezőt jelenít meg, nevezetesen: csomagelfogási idő; a csomag küldőjének és címzettjének IP-címe; a csomag küldőjének és címzettjének MAC-címe, forrás- és célportcíme; protokoll típusa (hálózati, szállítási vagy alkalmazási réteg); néhány összefoglaló információ az elfogott adatokról. A második terület statisztikai információkat jelenít meg az egyes kiválasztott csomagokról, végül a harmadik terület hexadecimális vagy ASCII karakteres formában jeleníti meg a csomagot.

Szinte minden csomagszimuláló lehetővé teszi a dekódolt csomagok elemzését (ezért a csomagszimulátorokat csomagelemzőknek vagy protokollelemzőknek is nevezik). A szippantó elosztja az elfogott csomagokat rétegek és protokollok között. Egyes csomagszimulátorok képesek felismerni a protokollt és megjeleníteni a rögzített információkat. Az ilyen típusú információk általában a szippantó ablak második területén jelennek meg. Például bármely szippantó képes felismerni a TCP protokollt, a haladó szippantó pedig meghatározhatja, hogy melyik alkalmazás generálta ezt a forgalmat. A legtöbb protokollanalizátor több mint 500 különböző protokollt ismer fel, és név szerint le tudja írni és dekódolni. Minél több információt tud egy szippantó dekódolni és megjeleníteni a képernyőn, annál kevesebbet kell manuálisan dekódolni.

Az egyik probléma, amellyel a csomagszimulálók találkozhatnak, az, hogy nem tudnak megfelelően azonosítani egy protokollt az alapértelmezett porttól eltérő port használatával. Például a biztonság javítása érdekében néhány jól ismert alkalmazás beállítható az alapértelmezett portoktól eltérő portok használatára. Tehát a hagyományos, webszerver számára fenntartott 80-as port helyett ezt a szervert Kényszeresen átkonfigurálhatja a 8088-as vagy bármely más portra. Egyes csomagelemzők ebben a helyzetben nem tudják megfelelően meghatározni a protokollt, és csak az alacsonyabb szintű protokollról (TCP vagy UDP) vonatkozó információkat jelenítenek meg.

Vannak olyan szoftverelemző modulok, amelyek bővítményként vagy beépített modulként szoftverelemző modulokat tartalmaznak, amelyek lehetővé teszik az elfogott forgalomról hasznos analitikai információkat tartalmazó jelentések készítését.

A legtöbb szoftvercsomagelemző másik jellemző tulajdonsága a szűrők konfigurálása a forgalom rögzítése előtt és után. A szűrők adott kritérium szerint kiválasztanak bizonyos csomagokat az általános forgalomból, ami lehetővé teszi, hogy a forgalom elemzése során megszabaduljon a felesleges információktól.

Az Ettercap alternatívái

Az Ettercap a legnépszerűbb ember-in-the-middle támadószoftver, de vajon a legjobb? A teljes instrukció során látni fogja, hogy az Ettercap szinte soha nem használatos egyedül, egyik vagy másik program mindig vele épül fel egy forgalomfeldolgozási láncban. Talán ez növeli a rugalmasságot; általában ez a megközelítés a UNIX alapja - egy program egy feladatot hajt végre, és a végfelhasználó különféle programokat kombinál a kívánt eredmény elérése érdekében. Ezzel a megközelítéssel a programkódot könnyebb karbantartani, ilyen miniatűr „téglákból” tetszőleges bonyolultságú és rugalmas rendszert építhet. Azonban, ha öt nyitott konzol van különböző feladatokkal, amelyeknek a munkája egyetlen eredmény elérésére irányul, nem túl kényelmes, egyszerűen bonyolultabb, előfordulhat, hogy egy bizonyos szakaszban hibát követ el, és az egész konfigurált hiába fog működni a rendszer.

Net-Creds szippantás:

• Meglátogatott URL-ek
• POST kérések elküldve
• bejelentkezési adatok/jelszavak a HTTP-űrlapokból
• bejelentkezési adatok/jelszavak az alapvető HTTP-hitelesítéshez
• HTTP keresések
• FTP bejelentkezési adatok/jelszavak
• IRC bejelentkezési adatok/jelszavak
• POP bejelentkezési adatok/jelszavak
• IMAP bejelentkezési adatok/jelszavak
• Telnet bejelentkezési adatok/jelszavak
• SMTP bejelentkezési adatok/jelszavak
• SNMP közösségi karakterlánc
• minden támogatott NTLMv1/v2 protokoll, mint a HTTP, SMB, LDAP stb.
• Kerberos

Jó választék az elfogottakból, a driftnet pedig egyszerűbb ebből a szempontból – csak az elfogott képeket mutatja.

Kapcsolja át a készüléket továbbítási módba.

Echo "1" > /proc/sys/net/ipv4/ip_forward

Indítsa el az Ettercap programot grafikus felülettel (-G):

Ettercap-G

Most válassza ki a Gazdagépeket, van egy alpont, amelyik a Gazdagépek keresése. A vizsgálat befejezése után válassza ki a Gazdagépek listát:

Target1-ként válassza ki az útválasztót (Add to Target 1), a Target2-ként válassza ki a támadni kívánt eszközt (Add to Target 2).

De itt felmerülhet az első bökkenő, különösen, ha sok a házigazda. Különböző utasításokban, így a fent bemutatott videóban is, a szerzők bemásznak a célgépre (valamiért mindenkinek Windows van), és a parancs segítségével megnézik ennek a gépnek az IP-jét a helyi hálózaton. Egyetértek, ez a lehetőség valós körülmények között elfogadhatatlan.

Ha a segítségével szkennel, szerezhet néhányat További információ a hostokról, pontosabban a hálózati kártya gyártójáról:

Nmap -sn 192.168.1.0/24

Ha az adatok még mindig nem elegendőek, végezzen szkennelést az operációs rendszer meghatározásához:

Nmap -O 192.168.1.0/24

Amint látjuk, a 192.168.1.33 IP-vel rendelkező gépről kiderült, hogy Windows, ha ez nem felülről jövő jel, akkor mi az? 😉 LOL

Ezt adjuk hozzá második célként.

Most lépjen a Mitm menüpontra. Ott válassza az ARP-mérgezés lehetőséget... Jelölje be a Sniff remote connections négyzetet.

Elkezdjük a betakarítást, az egyik ablakban elindítjuk

Net-creds

másikban (mindkét program opció nélkül is futtatható)

Driftnet

Az adatgyűjtés azonnal megkezdődött:

A jobb oldalon a driftnet egy másik ablakot nyitott, amelyben az elfogott képeket mutatja. A net-creds ablakban látjuk a meglátogatott webhelyeket és az elfogott jelszavakat:

1.2 Ettercap + Burp Suite
3. Tekintse meg az adatokat (meglátogatott webhelyek és rögzített jelszavak) az Ettercapban

A Nézet menüben elérhetjük a Kapcsolatok és a Profilok füleket. Az IP-címek feloldása négyzetet is bejelölheti. A kapcsolatok természetesen kapcsolatok. Az Ettercap profilokat gyűjt a memóriában minden egyes felfedezett gazdagéphez. A felhasználókat és a jelszavakat ott gyűjtik össze. Ebben az esetben a rögzített fiókadatokat (jelszavakat) tartalmazó profilok kereszttel vannak jelölve:

Nem kell túlságosan a profilokra hagyatkozni - például meg vannak jelölve az elfogott bejelentkezési adatok és az FTP és egyéb szolgáltatások jelszavai, amelyekhez a program egyértelműen tudja értelmezni a hitelesítő adatokként kapott információkat. Nem tartoznak ide például az alapvető hitelesítési adatok, a bejelentkezési adatok és a webes űrlapokon megadott jelszavak.

A Kapcsolatokban a legígéretesebb adatok csillaggal vannak jelölve:

A részletek megtekintéséhez kattintson duplán ezekre a bejegyzésekre:

Annak érdekében, hogy ne keresse ezeket a csillagokat a listában, rendezheti ezt a mezőt, és mindegyik megjelenik felül vagy alul:

Elkapott alapvető hitelesítés:

Bejelentkezési jelszó a Yandexhez (alább kiemelve):

Ezek a VKontakte elfogott hitelesítő adatai:

Ezenkívül a legérdekesebb adatok az alsó konzolban vannak gyűjtve:

Ha el szeretné menteni a program eredményeit, akkor használja ezeket az opciókat (az Ettercap indításakor adja meg a kulcsokat:

Naplózási lehetőségek: -w, --write a rögzített adatok írása a pcapfile-ba -L, --log az összes forgalom ideírása -l, --log-info csak passzív információ írása ebbe a -m ebben -c, --compress gzip tömörítést használ a naplófájlokhoz

4. Menet közbeni adatcsere az Ettercapban
4.1 Ettercap egyéni szűrők használata

Megjegyzés: Az összes tesztelés ellenére az Ettercap szűrők továbbra sem működtek nálam. Nehéz megérteni, hogy kézről, hardverjellemzőkről vagy magában a program hibájáról van szó... De a 0.8.2-es verzióhoz (jelenleg a legújabb) van egy hibajelentés a szűrőkkel kapcsolatos problémákról. Általánosságban elmondható, hogy a hibajelentések és fórumok alapján a szűrők gyakran leesnek, vagy hosszú ideig egyáltalán nem működnek. Van egy fiók, ahol 5 hónapja történtek változtatások https://github.com/Ettercap/ettercap/tree/filter-improvements, azaz. szűrő-fejlesztések (szűrőjavításokkal). Mind ehhez az ághoz, mind a tárolóból származó verzióhoz sokféle tesztet végeztek, különféle szűrőket teszteltek különböző körülmények között, sok időt fordítottak rá, de eredmény nem volt. Mellesleg, a szűrő-javítási verzió telepítéséhez a Kali Linuxban a következőket kell tennie:

Sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev-dev-libncur libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git klón -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build ENDF_DOCSD_ cmP build cABd =Be ../ make sudo make install

Általában, ha a szűrők nem működnek, akkor nincs egyedül. Az Ettercapról szóló instrukciókban nem hagyhatom ki a szűrők témáját, így mindenképp szóba kerülnek.

Eddig az Ettercap-et használtuk az ARP-hamisításhoz. Ez egy nagyon felületes alkalmazás. Az egyedi szűrőknek köszönhetően menet közben tudunk beavatkozni és módosítani a forgalmat. A szűrőket külön fájlokban kell tárolni, és használat előtt az Etterfilter programmal le kell fordítani. Bár a hivatkozást tartalmazó dokumentáció szűkösnek tűnik, de az alábbi példákkal párosulva egészen érdekes szűrőket írhat.

Hozzuk létre az első szűrőnket, ez az összes képet lecseréli erre:

Az img_replacer.filter copy nevű fájlban:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) (csere ("Accept-Encoding", "Accept-Rubbish!"); # megjegyzés: a helyettesítő karakterlánc ugyanolyan hosszú, mint az eredeti msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); csere("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); csere("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); csere("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Szűrőtartomány\n"); )

Fordítsa le a fájlt:

Etterfilter img_replacer.filter -o img_replacer.ef

Összeállítás eredményei:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 protokoll tábla betöltve: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 konstans betöltve: VRRP OSPF GRE UDP6 TCP ICPO ESPMP ICPP forrás "img_replacer.filter" kész. A metafa kibontása kész. A címkék átalakítása valós eltolásokká megtörtént. A kimenet írása az "img_replacer.ef" fájlba. -> 18 utasításba kódolt szkript.

Az -F kapcsoló azt mondja a programnak, hogy töltse be a szűrőt a kapcsolót követő fájlból. Lefordítás után a szűrőt tartalmazó új fájlunk neve img_replacer.ef, így a parancs a következő formában jelenik meg:

Ettercap -G -F img_replacer.ef

Megjegyzés: Amikor figyeli a webes forgalmat, a látott csomagok titkosított formában lehetnek. Mert hatékony munkavégzés szűrőket, az Ettercapnak szüksége van a forgalomra az űrlapon egyszerű szöveg. Egyes megfigyelések szerint a weboldalak által használt kódolás típusa "Accept-Encoding: gzip, deflate"

Az alábbiakban található egy szűrő, amely felülírja a kódolást, és sima szöveg formájában kényszeríti a kommunikációt:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) (csere("gzip", " "); # megjegyzés: négy szóköz a helyettesített karakterláncban msg ("kifehéredett a gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) (csere("deflate", " "); # Megjegyzés: hét szóköz a helyettesített sorban msg("whited out deflate\n"); ) )

A szűrők írásának szintaxisát részletesen leírjuk, és van még néhány példa:

# szöveg cseréje egy csomagban: if (ip.proto == TCP && search(DATA.data, "lol"))(csere("lol", "smh"); msg("szűrő futott"); ) # show üzenet , if tcp port 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH csomag\n"); ) ) # írja le a teljes telnet forgalom, futtassa a ./programot is minden csomaghoz if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ​​​​) ) # naplózza az összes forgalmat, kivéve a http if-t (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( napló (DATA.data , "./logfile.log"); ) # néhány művelet a csomag hasznos adattartalmán if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modified"; DATA .data + 20 = 0x4445; ) # dobjon minden "ettercap"-et tartalmazó csomagot if (search(DECODED.data, "ettercap")) ( msg("valaki beszél rólunk...\n") drop( ); kill(); ) # a reguláris kifejezésnek megfelelő dekódolt ssh-csomagok rögzítése if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # csomagok megölése if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Adatcsere Burp használatával

Az 1.2. vagy 2.2. bekezdésben leírtak szerint elindítjuk az Ettercap and Burp-et.

A Burp alkalmazásban lépjen a Proxy -> Options menüpontra. Ott találjuk az Egyezés és csere. Új szabály hozzáadásához kattintson a Hozzáadás gombra.

• A kérelem fejléce a kérés fejléce
• Kérelem szerve – kérelem szerve
• Válasz fejléc – válaszfejléc
• Választest – választest
• Paraméternév kérése – Paraméternév kérése
• Paraméterérték kérése – Paraméterérték kérése
• Kérelem első sora – A kérelem első sora

Ha módosítania kell a GET metódussal továbbított adatokat, akkor ez a fejlécekre vonatkozik.

A HTML jelölésben van egy olyan dolog is, mint a fej (head tag). A fent említetteknek semmi közük ehhez a címhez. Kicsit feljebb a csomagfejlécekről beszélünk. Ha módosítani szeretné a tartalmat HTML oldalak, akkor mindig a Request header helyett válassza a Válasz törzsét, még akkor is, ha módosítani kívánja a head címke tartalmát (például a címet).

Ha nem ismeri reguláris kifejezések, akkor elvileg nincs ok aggodalomra: a HTML sok mindent megbocsát, és amit nem ért, azt egyszerűen figyelmen kívül hagyja – használhatod. Ha tudod, hogyan kell reguláris kifejezéseket használni, akkor tisztellek.)))

Például hozzunk létre egy új szabályt, módosítsuk a Kérelem fejlécét választörzsre. Magában a szabályban fogunk változni

.*

Nincs cím

Jelölje be a Regex egyezés négyzetet.

Mostantól minden webhelyen (HTTPS nélkül) a cím a Nincs cím lesz:

Szúrjon be egy tetszőleges sort a body címke után (ez lesz a szöveg első sora). A kérés fejléce a Válasz törzsére módosult. Változunk

Jelölje be a Regex egyezés négyzetet.

A jobb felső sarokban (az elrendezéstől függően) megjelenik a „Jó vagyok!” felirat. Beszúrhat CSS-t, JavaScript kódot, bármilyen szöveget - bármit. Általában mindent eltávolíthat az oldalról, majd feltöltheti saját tartalommal – minden a képzeletétől függ.

Az ötlet az volt, hogy minden űrlapot kissé módosítsunk, hogy az adatok az eredeti szerverre és a támadó szerverére kerüljenek elküldésre (mindegyik űrlapon valósítsa meg a többszörös beküldést). De úgy okoskodva, hogy ha a továbbított adat nincs titkosítva és hozzáférünk, akkor már látjuk, nem kell elküldeni egyetlen szerverre sem. Ha azonban valakinek szüksége van egy igazán működő példára arra, hogy egy űrlapról egyszerre több szerverre küldjön adatokat.

5. Csatlakozás a BeEF-hez

A BeEF képességeinek használatához be kell ágyaznunk egy JavaScript fájlt a HTML kódba, általában egy sort, mint például:

A következő két módszer csak a karakterlánc beágyazásának módjában tér el.

5.1 BeEF csatlakoztatása Ettercap szűrőkkel

[a rész később készül]

5.2 Marhahús csatlakoztatása Burp segítségével

Pontosan a 4.2. bekezdésben leírtak szerint kell kezdenie. Csak a fejlécek cseréje és a webhely szövegének hozzáadása helyett egy sor formájában implementáljuk a JavaScript kódot:

Az én esetemben ez a fájl IP 192.168.1.36-on érhető el a 3000-es porton. A fájl neve hook.js (a beállításokban módosítható). Azok. az én esetemben be kell fecskendeznem a sort:

Ezt megteheti például egy új szabály létrehozásával, a Request fejléc módosításával választörzsre. A cserének magában a HTML-kódban kell történnie

Nagyszerű, ha olyan webhelyet nyit meg, amely nem rendelkezik HTTPS-sel, a HTML-kódba JavaScript kód kerül beillesztésre, amely lehetővé teszi, hogy információkat gyűjtsön egy akasztott böngészőn keresztül, és különféle támadásokat hajtson végre:

6. Fertőzés hátsó ajtókkal

A végrehajtható fájlokat lecserélheti és megfertőzheti az Ettercap szűrőkkel [amelyek valamiért már nem működnek] és harmadik féltől származó alkalmazások. Például a BDFProxy ezt menet közben is megteheti. Sajnos a BDFProxy még mindig a Backdoor Factory 2016. áprilisi frissítésétől tántorog: a libmproxy csomagot a Pythonban átnevezték mitmproxyra. A BDFProxy esetében a libmproxy csomag szükséges függőség, e csomag nélkül a program nem indul el. Ezért most, a BDFProxy „javítása” előtt lehetetlen használni, mert a BDFProxy program még a Backdoor Factory telepítése mellett is panaszkodik a libmproxy könyvtár hiányára...

Hasonló művelet végezhető el a Burp Suite programmal is. A lépésenkénti algoritmus bemutatásra kerül, nincs értelme újraírni ebben a részben.

7. Ettercap bővítmények használata

Az Ettercap bővítményekkel kapcsolatos információk megtalálhatók. Elég sok plugin létezik, számomra az alábbiakban leírtak tűnnek a legérdekesebbnek.

A bővítmények az Ettercap indításakor csatlakoztathatók, erre van egy lehetőség:

P, --plugin futtassa ezt

A beépülő modulok a grafikus felhasználói felületről is betölthetők:

[AZ ANYAG ELŐKÉSZÍTÉS ALATT]

7.1 arp_cop

Az ARP kérések/válaszok passzív figyelésével jelenti a gyanús ARP tevékenységet. Jelenthet ARP-mérgezési kísérleteket vagy egyszerű IP-konfliktusokat vagy IP-változásokat. Ha összeállítja a gazdagépek kezdeti listáját, a bővítmény pontosabban fog működni.

Ettercap -TQP arp_cop //

Példa az ARP-hamisítás valós észlelésére:

Kiterjed

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // jelszó a mialhoz: ettercap 0.8.2 copyright 2001-2015 Ettercap Fejlesztői Csapat Meghallgatás: eth0 -> 08:00:27:A3:08:4A 192.3/68. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Az SSL szétválasztáshoz érvényes "redir_command_on" szkript szükséges az etter.conf fájlban. EUID 65534 jogosultság csökkent EGID 65534... 33 macro szállítói ujjlenyomat 1766 tcp OS ujjlenyomat 2182 ismert szolgáltatások 255 gazdagép véletlenszerű beállítása a vizsgálathoz... A teljes hálózati maszk vizsgálata 255 gazdagépre... * |====== =============== =============================>

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // jelszó a mialhoz: ettercap 0.8.2 copyright 2001-2015 Ettercap Fejlesztői Csapat Meghallgatás: eth0 -> 08:00:27:A3:08:4A 192.3/68. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Az SSL szétválasztáshoz érvényes "redir_command_on" szkript szükséges az etter.conf fájlban. EUID 65534 jogosultság csökkent EGID 65534... 33 macro szállítói ujjlenyomat 1766 tcp OS ujjlenyomat 2182 ismert szolgáltatások 255 gazdagép véletlenszerű beállítása a vizsgálathoz... A teljes hálózati maszk vizsgálata 255 gazdagépre... * |====== =============== =============================>| 100,00 % 3 gazdagép hozzáadva a gazdagépek listájához... Egységes szimatolás indítása... Csak szöveg Az interfész aktiválva... Nyomja meg a "h" gombot a soron belüli súgóért. Arp_cop beépülő modul aktiválása... arp_cop: beépülő modul fut... arp_cop: (új gazdagép ) 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 úgy tesz, mintha 192.168.1.35 192.168.1.35 192.168.1.35 192.168.1.1.8 (WApRN_cop.1.8) s 192.168.1.1 arp_cop: ( FIGYELMEZTETÉS ) A 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) p: (FIGYELEM) A 192.168.1.35 úgy tesz, mintha be 192.168 .1.1 arp_cop: (FIGYELEM) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 úgy tesz, mintha 192.168.1.35 192.168.1.35 192.168.1.30192.168.1.1 arp.1.9. s 192.1 68.1.1 arp_cop: ( FIGYELMEZTETÉS) 192.168 .1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.35.1.1. p: (FIGYELEM) 192.1 68.1.35 úgy tesz, mintha be 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 úgy tesz, mintha 192.168.1.35 192.168.1.35 192.168.1.3.192.168.1.1.19.2. 192.168.1. 1 arp_cop: (FIGYELMEZTETÉS) A 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.1 - be.35 pretend.2p.1. : (FIGYELEM) 192.168.1.3 5 úgy tesz 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 192.168.1.35 192.168.1.35 192.168.1.35 192.168.1.35 pretend 6.1.9. s lesz 192.168.1.1 arp_cop : ( FIGYELMEZTETÉS) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.1 arp_cop.192.1691.1. : (FIGYELEM) A 192.168.1.35 úgy tesz, mintha az lenne 192. 168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) 192.168.1.35 192.168.1.1 WARNING_cop 2.168.1.1 arp_cop: (FIGYELEM ) A 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS) RNING ) 192.168.1.35 úgy tesz, mintha 192.168 lenne . 1.1 arp_cop: (FIGYELMEZTETÉS) A 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) A 192.168.1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELMEZTETÉS: 192.3.5.1. 16 8.1.1 arp_cop: (FIGYELEM) 192.168. 1.35 úgy tesz, mintha 192.168.1.1 arp_cop: (FIGYELEM) 192.168.1.35 192.168.1.1 arp_cop: (WARNING) 192.168.1.1.1. ING) 192.16 8.1.35 úgy tesz, mintha 192.168 .1.1.........................

7.2 automatikus hozzáadás

Automatikusan új áldozatokat ad hozzá, amint csatlakoznak az ARP mérgező mitm támadáshoz. Megkeresi az ARP kéréseket a helyi hálózaton, és ha észleli, a beépülő modul hozzáadja a gazdagépet az áldozatok listájához, ha a listát TARGET-ként határozták meg. A gazdagép akkor kerül hozzáadásra, ha egy arp kérés látható tőle.

7.3 chk_poison

Ellenőrzi, hogy az ettercap arp etch moduljai sikeresek-e. Hamisított ICMP visszhangcsomagokat küld az összes csali áldozatnak, miközben úgy tesz, mintha minden áldozat lennének. Képes elkapni egy ICMP választ a mi MAC címünkkel, ami azt jelenti, hogy a két célpont közötti csalizás sikeres. Ellenőrzi az egyes kapcsolatok mindkét útvonalát.

7.4 dns_spoof

Ez a beépülő modul megszakítja a DNS-kéréseket, és hamis (hamis) válasszal válaszol. Az etter.dns fájl szerkesztésével kiválaszthatja, hogy a bővítmény melyik címre válaszoljon. A bővítmény elfogja az A, AAAA, PTR, MX, WINS, SRV és TXT kéréseket. Ha A kérésről van szó, akkor a rendszer megkeresi a nevet a fájlban, és visszaadja az IP-címet (használhat helyettesítő karaktereket a névben).

Ugyanez vonatkozik az AAAA kérésekre is.

7.5 find_conn

Egy nagyon egyszerű bővítmény, amely figyeli az ARP kéréseket, hogy megmutassa az összes célpontot, amellyel a gazdagép kommunikálni szeretne. Segíthet az ismeretlen LAN-okon lévő címek megtalálásában is.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Megpróbálja azonosítani a LAN-ra küldött ettercap csomagokat. Hasznos lehet annak azonosítására, aki megpróbálja használni az ettercap-et. Ne hagyatkozzon rá 100%-ig, mivel a tesztek csak meghatározott sorozatokon/azonosítószámokon működnek.

7.7 scan_poisoner

Ellenőrizni fogjuk, hogy nem csali-e valaki a listán szereplő házigazdák és köztünk. Először is ellenőrzi, hogy a listában szereplő két gazdagép azonos-e Mac cím. Ez azt jelentheti, hogy egyikük megmérgez minket azzal, hogy úgy tesz, mintha a másik lenne. Sok hamis pozitív eredményt generálhat proxy-arp környezetben. Az ellenőrzés végrehajtásához össze kell állítania a gazdagépek listáját. Ezt követően icmp echo csomagokat küld a listában szereplő minden gazdagépnek, és ellenőrzi, hogy a válaszforrás Mac-címe eltér-e attól a címtől, amelyet az adott IP-címmel a listában tároltunk. Ez azt jelentheti, hogy valaki úgy csalja meg ezt a gazdagépet, hogy úgy tesz, mintha birtokában lenne az IP-címünknek, és továbbítja nekünk az elfogott csomagokat. Ez az aktív teszt nem futtatható sértő módban.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Megpróbálja kideríteni, hogy valaki szaglász-e (hallgat-e) promiszkuális módban. Két különböző rosszul formázott arp kérést küld a gazdagép lista minden egyes célpontjára, és várja a válaszokat. Ha a válasz a célállomástól érkezett, akkor többé-kevésbé valószínű, hogy a cél hálózati kártyája promiscuous módban van. Hamis riasztásokat generálhat. Futtathatja a parancssorból vagy a bővítmények menüjéből. Mivel figyeli az arp válaszokat, jobb lesz, ha nem használja őket az arp kérések küldésekor.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Példa két hálózati kártya sikeres kitalálására promiscuous módban:

Kiterjed

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Fejlesztői Csapat Meghallgatás: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.5:00:08 27ff:feaf:30b9/64 Az SSL-elbontáshoz érvényes "redir_command_on" parancsfájl szükséges az etter.conf fájlban. Előfordulhat, hogy az Ettercap nem működik megfelelően. A /proc/sys/net/ipv6/conf/eth0/use_tempaddr értéke nem 0. A jogosultságok EUID 65534 EGID 65534... 33 plugin 42 protokoll szétválasztó 57 port figyelt 20388 mac gyártó ujjlenyomat-szolgáltatások 1866 ismert ujjlenyomat 1766 t : nem volt megadva szkript, nem indul el! 255 gazdagép véletlenszerű beállítása a kereséshez... A teljes hálózati maszk vizsgálata 255 gazdagépre... * |============================== ============= =====================>

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Fejlesztői Csapat Meghallgatás: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.5:00:08 27ff:feaf:30b9/64 Az SSL-elbontáshoz érvényes "redir_command_on" parancsfájl szükséges az etter.conf fájlban. Előfordulhat, hogy az Ettercap nem működik megfelelően. A /proc/sys/net/ipv6/conf/eth0/use_tempaddr értéke nem 0. A jogosultságok EUID 65534 EGID 65534... 33 plugin 42 protokoll szétválasztó 57 port figyelt 20388 mac gyártó ujjlenyomat-szolgáltatások 1866 ismert ujjlenyomat 1766 t : nem volt megadva szkript, nem indul el! 255 gazdagép véletlenszerű beállítása a kereséshez... A teljes hálózati maszk vizsgálata 255 gazdagépre... * |============================== ============= =====================>| 100,00% 5 gazdagép hozzáadva a gazdagépek listájához... Egységes szippantás indítása... Csak szöveges felület aktiválva... A "h" lenyomásával a soron belüli súgót találja. Search_promisc beépülő modul aktiválása... search_promisc: Promisc hálózati kártyák keresése... Kevésbé valószínű, hogy szaglászó hálózati kártyák : - 192.168.1.36 - 192.168.1.34 Valószínűleg szippantja a hálózati kártyákat: - NINCS A szöveges felület bezárása... Ettercap befejezése... A Lua tisztítása befejeződött! Az egységes szippantás abbamaradt.

7.9 sslstrip

Egy SSL mitm támadás során az ettercap lecseréli a valódi SSL tanúsítványt a sajátjára. A hamis tanúsítvány menet közben jön létre, és minden mezőt a szerver által bemutatott valódi tanúsítványnak megfelelően töltenek ki.

(62%)

(56.5%)

(VÉLETLENSZERŰ – 0,2%)

Ebben a cikkben olyan támadásokat fogunk megvizsgálni, mint a Man-in-the-Middle, vagy inkább a módszer
az SSH és a HTTP forgalom átirányítása a Man in the Middle támadás segítségével. Ne rángassuk a macskát a farkánál fogva, hanem kezdjük a dolgunkat.

Man in the Middle (röviden MitM, oroszul egyszerűen - „a közvetítő támadása” vagy „ember
középen") egyfajta támadás, amely a forgalom átirányításán alapul két gép között, hogy elkapják az információkat – tovább tanulmányozzák, megsemmisítik vagy módosítják. Tehát az első dolog, amire szükségünk van, az a dsniff csomag (a csomagra mutató hivatkozást a következő címen láthatja) a cikk vége). Miért Igen, mert ez a csomag tartalmazza az összes szükséges segédprogramot, beleértve az sshmitm-et (SSH-forgalom átirányítása) és a httpmitm-et (HTTP-forgalom átirányítása), amelyek megkerülhetik a következő biztonsági sémát: amennyire tudja, a protokollokat az adattitkosítás meglehetősen - "biztonságos" (a titkosítás segít :)) és nem engedi, hogy a támadásokat a hálózati réteg "felül" hajtsák végre. A titkosítási kulcs ismeretlen a hacker számára - az adatok visszafejtése lehetetlen és illesszen be egy parancsot is. Úgy tűnik, minden rendben van, de itt van a módja
mivel a dsniff csomagból származó MitM támadóprogramok (sshmitm és httpmitm) képesek megkerülni ezt a rendszert biztonság (szinte mindent megkerülhet). Mindez a következő elv szerint történik:
a köztes gazdagép megkapja a kérést a klienstől, "mondja" neki, hogy ő a szerver, majd csatlakozik a valódi szerverhez.
A második dolog, amire szükségünk van, az egyenes karok, a negyedik dolog - a legfontosabb - a vágy, és természetesen egy áldozat, vagyis a számítógép, amelyet meg fogunk támadni.

SSH forgalom átirányítása

Az eszközök előkészítése után megértetted, hogy mi és miért :). Szerezze be az sshmitm-et - most átirányítjuk az SSH-forgalmat (minden, amit az elméleti résznél nem értett - olvassa el fent)
felhasználásával, kihasználva a mai PKI (nyilvános kulcsú infrastruktúra - kulcskezelési séma) hiányosságait.
az aszimmetrikus kriptográfia módszerei). Nézzük a szintaxist
sshmitm:

sshmitm [-d] [-I] [-p port] gazdagép

D
hibakeresési kimenet engedélyezése (azaz fejlettebb mód)

én
munkamenet-eltérítés

P port
hallgató port

házigazda
annak a távoli gazdagépnek a címe, amelynek munkameneteit elfogjuk

kikötő
port a távoli gazdagépen

Minden egyszerűnek és ízlésesnek tűnik - nincs semmi bonyolult :). Kezdjük a támadás megvalósítását!

# sshmitm server.target.gov // adja meg az SSH-kiszolgálót
sshmitm: továbbítás a server.target.gov szerverre

Mivel nincs valódi SSH-kulcsunk, a parancsértelmező a támadott
egy kérést jelenít meg a gazdagép kulcsának ellenőrzésére, mindez valahogy így fog kinézni:

clientmachine$ server.target.gov
@FIGYELEM: A TÁVOLI GAZDASÁGI AZONOSÍTÁS MEGVÁLTOZOTT! @
LEHETSÉGES, HOGY VALAKI VALAMI CSÚSZTSÁGOT CSINÁL!
Lehet, hogy valaki éppen most lehallgatja Önt (man-in-the-middle támadás)!
Az is lehetséges, hogy az RSA gazdagép kulcsa éppen megváltozott.
Kérjük, forduljon a rendszergazdához.

Ezután a felhasználó dönti el, hogy csatlakozik-e vagy sem. Ha igen, akkor teljes irányításunk lesz az SSH munkamenet felett.
DE! Ha a felhasználó még soha nem csatlakozott az autóhoz, a következő üzenet jelenhet meg:

A "server.target.gov" gazdagép hitelessége nem állapítható meg
Az RSA kulcs ujjlenyomata
bla:bla:bla;bla;bla.......
Biztos benne, hogy folytatja a csatlakozást (igen/nem)?

Itt is a felhasználónak két választása van - csatlakozni vagy sem. Ha igen, akkor lehallgattuk az ülést, ha nem, akkor sajnos... :(.
Általánosságban elmondható, hogy a támadás akkor volt sikeres, ha a felhasználó csatlakozott, és az sshmitm viszont rögzítette az összes belépést és bejelentkezést, és nagyon olvasható módon :)
Természetesen nem ez az egyetlen SSH-munkamenet-elfogó, de ha megismered ezt, könnyen elsajátíthatsz egy másikat is :)

HTTP forgalom átirányítása

Most átirányítjuk a HTTP forgalmat. Ismét szükségünk lesz egy korábban kiválasztott eszközre: a httpmitm, amely figyeli a 80-as (HTTP -) és 443-as (HTTPS -) portokat, elfogja a WEB kéréseket, majd csatlakozik a szerverhez és továbbítja a kéréseket a kliens számítógépnek. A program SSL-kulcsokat és SSL-tanúsítványokat is generál az OpenSSL használatával. Majd próbálkozás után
csatlakozik a webhelyhez (target.gov), a böngésző ellenőrzi az SSL-tanúsítványt. Mivel a tanúsítványok nem egyeznek, a felhasználó böngészője figyelmeztet
hibás SSL tanúsítvány. A támadó szemszögéből ez valahogy így fog kinézni:

#webmitm -d
webmitm: transzparens továbbítás
webmitm: új kapcsolat innen
SZEREZZE BE [link]/uzerz.php?user=helknights&password=neskaju1qwerty HTTP/[verzió]
Kapcsolat típus]
Házigazda: www.target.gov
User-Agent: [rendszer, böngésző információ]
[stb, stb, stb]
Cookie: [süti]

Így néz ki mindez kívülről -
az SSL-kapcsolatot elfogják, titkosítatlan adatokat rögzítve.

Következtetés

Ebben a cikkben megvizsgáltuk az SSH és HTTP forgalom átirányítását a Man in the Middle támadás segítségével - egyértelműen, részletesen, röviden. Egyéb HTTP és SSH átirányítók
A MitM használatával gyorsan elsajátítod a forgalmat, ha ezeket is elsajátítottad :)). Ha valami nem volt világos, akkor...

Az adatok hálózaton keresztüli elfogása bármely információ fogadása egy távoli számítógépes eszközről. Tartalmazhatja a felhasználó személyes adatait, üzeneteit és a webhelylátogatásokról szóló rekordokat. Az adatrögzítés történhet kémprogramokkal vagy hálózati szippantókkal.

A spyware olyan speciális szoftver, amely képes rögzíteni egy adott munkaállomásról vagy eszközről hálózaton keresztül továbbított összes információt.

A szippantó egy olyan program vagy számítógépes technológia, amely elfogja és elemzi a hálózaton áthaladó forgalmat. A szippantó lehetővé teszi, hogy csatlakozzon egy webes munkamenethez, és különféle műveleteket hajtson végre a számítógép tulajdonosa nevében.

Ha az információ nem valós időben történik, spyware jelentéseket készít, amelyek kényelmessé teszik az információk megtekintését és elemzését.

A hálózat lehallgatása történhet legálisan vagy illegálisan. Az információszerzés jogszerűségét rögzítő fő dokumentum a számítógépes bűnözésről szóló egyezmény. Magyarországon 2001-ben hozták létre. A jogi követelmények államonként kissé eltérhetnek, de a legfontosabb üzenet minden ország számára ugyanaz.

Az adatok hálózaton keresztüli elfogásának osztályozása és módszerei

A fentieknek megfelelően a hálózaton keresztüli információlehallgatás két típusra osztható: engedélyezett és nem engedélyezett.

Az engedélyezett adatrögzítés különféle célokra történik, a vállalati információk védelmétől a nemzetbiztonság biztosításáig. Az ilyen művelet végrehajtásának indokait a jogszabályok, a speciális szolgálatok, a rendvédelmi tisztviselők és a szakemberek határozzák meg közigazgatási szervezetekés vállalati biztonsági szolgáltatások.

Az adatlehallgatás végrehajtására nemzetközi szabványok vonatkoznak. Az Európai Távközlési Szabványügyi Intézetnek számos olyan technikai folyamatot sikerült összehangolnia (ETSI ES 201 158 „Telekommunikációs biztonság; Törvényes lehallgatás (LI); A hálózati funkciókra vonatkozó követelmények”), amelyeken az információk lehallgatása alapul. Ennek eredményeként olyan rendszerarchitektúrát fejlesztettek ki, amely segít a titkosszolgálati szakembereknek és a hálózati rendszergazdáknak legálisan adatokat szerezni a hálózatról. A hálózaton keresztüli adatlehallgatás megvalósítására kidolgozott struktúra a vezetékes ill vezeték nélküli rendszerek hanghívások, valamint postai levelezés, hangüzenetek továbbítása IP-n keresztül, információcsere SMS-ben.

Az adatok hálózaton keresztül történő jogosulatlan lehallgatását olyan támadók hajtják végre, akik bizalmas adatokat, jelszavakat, vállalati titkokat, a hálózaton lévő számítógépek címeit stb. akarnak birtokba venni. Céljaik eléréséhez a hackerek általában hálózati forgalomelemzőt – szippantót – használnak. Ez a program vagy egy hardver-szoftver eszköz lehetővé teszi a csaló számára, hogy elfogjon és elemezzen információkat azon a hálózaton belül, amelyhez az áldozat felhasználó csatlakozik, beleértve a titkosított SSL-forgalmat a tanúsítványhamisításon keresztül. A forgalmi adatokat többféleképpen lehet megszerezni:

• a hálózati interfész hallgatása,
• lehallgató eszköz csatlakoztatása csatornatöréshez,
• forgalmi ág létrehozása és a szippantónak való megkettőzése,
• támadás végrehajtásával.

Vannak összetettebb technológiák is a fontos információk elfogására, amelyek lehetővé teszik a hálózati interakciókba való behatolást és az adatok megváltoztatását. Az egyik ilyen technika a hamisított ARP kérések. A módszer lényege, hogy az áldozat számítógépe és a támadó eszköze között IP-címeket kell cserélni. A hálózaton keresztüli adatok elfogására használható másik módszer a hamis útválasztás. Ez magában foglalja a hálózati útválasztó IP-címének a saját címére való lecserélését. Ha egy kiberbűnöző tudja, hogyan van megszervezve a helyi hálózat, amelyben az áldozat tartózkodik, akkor könnyen megszervezheti az információk fogadását a felhasználó gépéről az IP-címére. A TCP-kapcsolat rögzítése is szolgál hatékony módon adatlehallgatás. A támadó megszakítja a kommunikációs munkamenetet azáltal, hogy TCP-csomagokat generál és küld az áldozat számítógépére. Ezután a kommunikációs munkamenetet az ügyfél helyett a bűnöző állítja vissza, lehallgatja és folytatja.

Befolyás tárgya

A hálózaton keresztüli adatlehallgatás tárgyai lehetnek kormányzati szervek, ipari vállalatok, kereskedelmi struktúrák és hétköznapi felhasználók. Egy szervezeten vagy gazdasági társaságon belül a hálózati infrastruktúra védelme érdekében információkat lehet rögzíteni. A titkosszolgálatok és a bűnüldöző szervek az adott feladattól függően tömegesen lehallgathatják a különböző tulajdonosoktól továbbított információkat.

Ha kiberbűnözőkről beszélünk, akkor bármely felhasználó vagy szervezet befolyás tárgyává válhat a hálózaton keresztül továbbított adatok megszerzése érdekében. Engedélyezett hozzáférés esetén a kapott információ informatív része fontos, míg a támadót jobban érdeklik a lefoglalható adatok készpénzben vagy értékes információkat a későbbi értékesítéshez.

Leggyakrabban a nyilvános hálózathoz csatlakozó felhasználók, például egy hotspottal rendelkező kávézóban válnak a kiberbűnözők információelfogásának áldozataivá. Wi-Fi hozzáférés. A támadó szippantó segítségével csatlakozik a webes munkamenethez, adatokat cserél, és személyes adatokat lop el. További információ arról, hogyan történik ez a cikkben.

A fenyegetés forrása

A vállalatok és szervezetek információinak engedélyezett lehallgatását a nyilvános hálózati infrastruktúra üzemeltetői végzik. Tevékenységük célja a személyes adatok, üzleti titkok és egyebek védelme fontos információ. Jogilag az üzenetek és fájlok továbbítását a titkosszolgálatok, a rendfenntartó szervek és a különböző kormányzati szervek ellenőrizhetik az állampolgárok és az állam biztonsága érdekében.

A bűnözők illegális adatlehallgatásban vesznek részt. Annak elkerülése érdekében, hogy kiberbűnözők áldozatává váljon, be kell tartania néhány szakértői ajánlást. Például ne végezzen olyan műveleteket, amelyek engedélyezést és érzékeny adatok továbbítását igényelnek olyan helyeken, ahol a kapcsolat nyilvános hálózatokkal történik. Biztonságosabb a titkosítással rendelkező hálózatok kiválasztása, és még jobb - a személyes 3G és LTE modemek használata. Személyes adatok átvitelekor ajánlott azokat HTTPS protokollal vagy személyes VPN alagúttal titkosítani.

A titkosítás és a szippantásgátlók segítségével megvédheti számítógépét a hálózati forgalom elfogásától; A vezeték nélküli hálózati hozzáférés helyett a telefonos kapcsolat csökkenti a kockázatokat.

Ez a lecke a hálózati csomagok elfogásán alapuló hálózati hackelési technológiákat írja le. A hackerek ezeket a technológiákat arra használják, hogy figyeljék a hálózati forgalmat, hogy értékes információkat lopjanak el, hogy megszervezzék az adatlefoglalást egy ember a közepén támadás céljából, hogy elfogják a TCP-kapcsolatokat, lehetővé téve például az adathamisítást, és egyéb műveleteket hajtsanak végre. , nem kevésbé érdekes akciók. Sajnos a legtöbb ilyen támadást valójában csak Unix hálózatokon hajtják végre, amelyekhez a hackerek mindkettőt használhatják speciális közművek, és Unix rendszereszközök. A Windows hálózatokat láthatóan figyelmen kívül hagyták a hackerek, és kénytelenek vagyunk korlátozni az adatelfogó eszközök leírását a hálózati csomagok triviális meghallgatására tervezett programokra. Nem szabad azonban elhanyagolni az ilyen támadások legalább elméleti leírását, különösen a hackerek elleni küzdelemben, mivel az alkalmazott hackelési technológiák ismerete sok bajt megelőz.

Hálózati szippantás

Általában Ethernet hálózatok szippantására használják. hálózati kártyák hallgatási módba kapcsolt. Hallgatás Ethernet hálózatok megköveteli, hogy egy szippantó programot futtató számítógépet csatlakoztasson egy hálózati szegmenshez, ami után az ebben a hálózati szegmensben lévő számítógépek által küldött és fogadott összes hálózati forgalom elérhetővé válik a hacker számára. Még egyszerűbb a vezeték nélküli hálózati közvetítőket használó rádióhálózatok forgalmának lehallgatása – ebben az esetben nem is kell keresni a kábel csatlakozási helyét. Vagy a támadó csatlakozhat a számítógépet az internetkiszolgálóhoz összekötő telefonvonalhoz, megtalálva ehhez a megfelelő helyet (a telefonvonalakat általában pincékben és más ritkán látogatott helyeken fektetik le védelem nélkül).

A szippantásos technológia bemutatásához a nagyon népszerű SpyNet szippantó programot fogjuk használni, amely számos webhelyen megtalálható. A SpyNet program hivatalos weboldala a http://members.xoom.com/layrentiu2/ címen található, ahonnan letöltheti a program demó verzióját.

A SpyNet program két összetevőből áll – a CaptureNetből és a PipeNetből. A CaptureNet program lehetővé teszi az Ethernet hálózaton átvitt csomagok hálózati szintű elfogását, pl. Ethernet keretek formájában. A PipeNet szoftver lehetővé teszi Ethernet keretek alkalmazási rétegbeli csomagokba való összeállítását, például üzenetek visszaállítását Email, HTTP protokoll üzeneteket (információcsere a webszerverrel) és egyéb funkciókat is ellát.

Sajnos a SpyNet demójában a PipeNet képességei a HTTP csomagösszeállítás demójára korlátozódnak, így nem tudjuk teljes egészében bemutatni a SpyNet-et. Mindazonáltal kísérleti hálózatunk példájával bemutatjuk a SpyNet hálózati szippantási képességeit, átadva szöveges fájl a Sword-2000 gazdagéptől az Alex-Z gazdagépig a szokásos módon Windows Intéző. Ezzel egyidejűleg az A1ex-1 számítógépen elindítjuk a CaptureNet programot, amely elfogja a továbbított csomagokat, és lehetővé teszi, hogy Ethernet keretekben olvassuk el a továbbított fájl tartalmát. ábrán. 1 mutatja a titkos üzenet szövegét a secret.txt fájlban; megpróbáljuk megtalálni ezt a szöveget a rögzített Ethernet-keretekben.

Rizs. 1. A titkos üzenet szövege a Jegyzettömb ablakában

Az Ethernet keretek rögzítéséhez kövesse az alábbi lépéseket:

Az Alex-Z számítógépen futtassa a CaptureNet programot. A program megjelenített munkaablakában válassza ki a Capture * Start (Capture * Start) menüparancsot, és indítsa el a hálózati keretek elfogásának folyamatát.

A Windows Intéző segítségével másolja a security.txt fájlt a Sword-2000 számítógépről az A1ex-3 fájlba.

A secret.txt fájl átvitele után válassza a Capture * Stop menüparancsot, és állítsa le a rögzítési folyamatot.

A rögzített Ethernet-kockák a CaptureNet programablak jobb oldalán jelennek meg (2. ábra), ahol a felső lista minden sora egy Ethernet-keretet, a lista alatt pedig a kiválasztott keret tartalmát jelöli.

Rizs. 2. Az Ethernet keret titkos üzenetszöveget tartalmaz

Az elfogott képkockák listáját átnézve könnyen megtaláljuk azt, amelyik az általunk továbbított szöveget tartalmazza. Ez egy nagyon nagy titok (Ez egy nagyon nagy titok).

Hangsúlyozzuk, hogy ez a legegyszerűbb példa, amikor az összes elfogott hálózati forgalmat rögzítették. A CaptureNet lehetővé teszi a meghatározott protokollokon és adott gazdagép portokra küldött csomagok elfogását, meghatározott tartalmú üzenetek kiválasztását, és a rögzített adatok fájlban való felhalmozását. Az ilyen műveletek végrehajtásának technikája egyszerű, és a SpyNet program súgórendszerével tanulható meg.

A primitív hálózati lehallgatáson kívül a hackerek kifinomultabb adatlehallgatási eszközökhöz is hozzáférhetnek. Az alábbiakban rövid áttekintést adunk az ilyen módszerekről, bár elméleti szempontból. Ennek az az oka, hogy a Windows hálózatok esetében az adatelfogási támadások gyakorlati megvalósítása rendkívül korlátozott, és az elfogási támadásokhoz szükséges megbízható segédprogramok készlete meglehetősen gyenge.

A hálózati forgalom elfogásának módszerei

A hálózati elemző programokkal, például a fenti CaptureNet-tel végzett hálózati szippantás az adatok elfogásának első, legegyszerűbb módja. A SpyNeten kívül számos eszközt használnak a hálózati szippantásra, amelyeket eredetileg a hálózati tevékenységek elemzésére, a hálózatok diagnosztizálására, a forgalom meghatározott kritériumok szerinti kiválasztására és egyéb hálózati adminisztrációs feladatokra fejlesztettek ki. Ilyen program például a tcpdump (http://www.tcpdump.org), amely lehetővé teszi a hálózati forgalom rögzítését egy speciális naplóba későbbi elemzés céljából.

A hálózati lehallgatás elleni védelem érdekében speciális programokat használnak, például az AntiSniff-et (http://www.securitysoftwaretech.com/antisniff), amelyek képesek azonosítani a hálózaton lévő számítógépeket, amelyek figyelik a hálózati forgalmat. A problémáik megoldása érdekében a szippantásgátló programok speciális jelet használnak a lehallgató eszközök hálózaton való jelenlétére - a szippantó számítógép hálózati kártyájának speciális hallgatási módban kell lennie. Hallgatás módban a hálózati számítógépek speciális módon reagálnak a tesztelt gazdagépnek küldött IP-datagramokra. Például a figyelő gazdagépek általában az összes bejövő forgalmat feldolgozzák, nem csak a gazdagép címére küldött datagramokat. Vannak más jelek is, amelyek gyanús gazdagépviselkedésre utalnak, amelyet az AntiSniff felismer.

A lehallgatás kétségtelenül nagyon hasznos a támadó szempontjából, mivel sok hasznos információhoz juthat hozzá – a hálózaton keresztül továbbított jelszavakhoz, hálózati számítógépek címeihez, bizalmas adatokhoz, levelekhez stb. Az egyszerű lehallgatás azonban nem teszi lehetővé a hacker számára, hogy megzavarja a két gazdagép közötti hálózati kommunikációt, hogy adatokat módosítson és megrongáljon. Egy ilyen probléma megoldásához összetettebb technológia szükséges.

Hamis ARP kérések

A két A és B gazdagép közötti hálózati interakció folyamatának lehallgatása és átvétele érdekében a támadó saját IP-címére cserélheti a kölcsönhatásban lévő gazdagépek IP-címét úgy, hogy hamisított ARP (Address Resolution Protocol) üzeneteket küld az A és B gazdagépnek. Az ARP protokollt a D függelékben ismerheti meg, amely leírja a gazdagép IP-címének feloldását (konvertálását) a gazdagép hálózati kártyájába merevített gépcímre (MAC-címre). Nézzük meg, hogyan használhatja a hacker az ARP-t az A és B gazdagép közötti hálózati kommunikáció elfogására.

Az A és B hosztok közötti hálózati forgalom lehallgatásához a hacker rákényszeríti az IP-címét ezekre a gazdagépekre, így A és B ezt a hamisított IP-címet használja üzenetváltáskor. Az IP-cím megadásához a hacker a következő műveleteket hajtja végre.

A támadó például a W2RK csomag nbtstat parancsával határozza meg az A és B gazdagép MAC-címét.

A támadó üzeneteket küld az A és B gazdagép azonosított MAC-címére, amelyek hamisított ARP-válaszok a gazdagépek IP-címének a számítógépek MAC-címére történő feloldására irányuló kérésekre. Az A gazdagép tájékoztatást kap, hogy a B gazdagép IP-címe megegyezik a támadó számítógépének MAC-címével; A B gazdagép tájékoztatást kap arról, hogy az A gazdagép IP-címe a támadó számítógépének MAC-címével is megegyezik.

Az A és B gazdagép a kapott MAC-címeket az ARP-gyorsítótáraikban tárolja, majd azokkal üzeneteket küldenek egymásnak. Mivel az A és B IP-címek megegyeznek a támadó számítógépének MAC-címével, az A és B gazdagép gyanútlanul egy közvetítőn keresztül kommunikál, aki bármire képes üzeneteikkel.

Az ilyen támadások elleni védelem érdekében a hálózati rendszergazdáknak adatbázist kell fenntartaniuk a hálózati számítógépeik MAC- és IP-címei közötti megfelelési táblázattal. Ezután egy speciális szoftver Például az arpwatch segédprogramok (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) rendszeresen felmérhetik a hálózatot, és azonosíthatják a következetlenségeket.

UNIX hálózatokon az ilyen típusú hamisított ARP-kérés támadások megvalósíthatók a hálózati forgalom figyelésére és kezelésére szolgáló rendszersegédprogramokkal, mint például az arpredirect. Sajnos úgy tűnik, hogy az ilyen megbízható segédprogramok nem valósulnak meg a Windows 2000/XP hálózatokon. Például az NTsecurity webhelyről (http://www.ntsecurity.nu) letöltheti a GrabitAII segédprogramot, amely a forgalom hálózati gazdagépek közötti átirányítására szolgál. A GrabitAII segédprogram funkcionalitásának alapvető ellenőrzése azonban azt mutatja, hogy a funkciók megvalósításának teljes sikere még messze van.

Hamis útválasztás

A hálózati forgalom elfogásához a támadó saját IP-címével meghamisíthatja a hálózati útválasztó valós IP-címét, például hamisított ICMP átirányítási üzenetekkel. Az A gazdagépnek az RFC-1122 szerint a fogadott átirányítási üzenetet egy másik gazdagépnek küldött datagramra adott válaszként kell érzékelnie, például B. A gazdagép a kapott átirányítási üzenet tartalma alapján határozza meg az átirányítási üzenettel kapcsolatos műveleteit, és ha datagram átirányítás van megadva az Átirányítás A-ból B-be egy új útvonal mentén, akkor pontosan ezt fogja tenni A gazdagép.

A hamis útválasztás végrehajtásához a támadónak ismernie kell néhány részletet annak a helyi hálózatnak a felépítéséről, amelyben A gazdagép található, különösen annak az útválasztónak az IP-címét, amelyen keresztül a forgalmat A gazdagéptől B-be továbbítják. Ennek tudatában a támadó létrehoz egy IP-datagramot, amelyben az IP - a küldő címe az útválasztó IP-címeként van definiálva, a címzett pedig az A gazdagép. A datagram tartalmaz egy ICMP átirányítási üzenetet is, amelyben az új útválasztó címmezője az A támadó számítógépének IP-címe. Miután megkapta az ilyen üzenetet, az A gazdagép minden üzenetet a támadó számítógépének IP-címére küld.

Az ilyen támadások elleni védelem érdekében le kell tiltani (például tűzfal segítségével) az ICMP átirányítási üzenetek feldolgozását az A gazdagépen, és a tracert parancs (Unixban ez a tracerout parancs) felfedheti a támadó számítógépének IP-címét. . Ezek a segédprogramok képesek olyan további útvonalat találni, amely a helyi hálózaton megjelent, és amelyet a telepítés során nem biztosítottak, kivéve, ha természetesen a hálózati rendszergazda éber.

A fenti lehallgatási példák (amelyekre a támadók lehetőségei korántsem korlátozottak) meggyőznek bennünket a hálózaton továbbított adatok védelmének szükségességéről, ha az adatok bizalmas információkat tartalmaznak. A hálózati forgalom lehallgatása elleni védekezés egyetlen módja olyan programok használata, amelyek kriptográfiai algoritmusokat és titkosítási protokollokat valósítanak meg, és megakadályozzák a titkos információk felfedését és helyettesítését. Az ilyen problémák megoldására a kriptográfia eszközöket biztosít a biztonságos protokollokon keresztül továbbított üzenetek titkosításához, aláírásához és hitelességének ellenőrzéséhez.

Az információcsere védelmét szolgáló, a 4. fejezetben leírt kriptográfiai módszerek gyakorlati megvalósítását a VPN (Virtual Private Network) hálózatok biztosítják. A kriptográfiai biztonsági elvek és technikák rövid áttekintése az E mellékletben található, és Részletes leírás a PGP Desktop Security alkalmazás által biztosított kriptográfiai védelmi eszközök (http://www.pgp.com).

TCP kapcsolat elfogása

A legkifinomultabb hálózati forgalomelfogó támadásnak a TCP-kapcsolat rögzítését (TCP-eltérítést) kell tekinteni, amikor egy hacker megszakítja az aktuális kommunikációs munkamenetet a gazdagéppel azáltal, hogy TCP-csomagokat generál és küld a megtámadott gazdagépnek. Ezután a TCP-protokoll megszakadt TCP-kapcsolat visszaállítási képességét használva a hacker elfogja a megszakadt kommunikációs munkamenetet, és folytatja azt a megszakadt kliens helyett.

Számos hatékony segédprogram készült a TCP-kapcsolat-eltérítési támadások végrehajtására, de mindegyik Unix platformra van implementálva, és a webhelyeken ezek a segédprogramok csak forráskód formájában jelennek meg. Így, mint a hackelés nemes okának meggyõzõdéses gyakorlói, a TCP-kapcsolatelfogási módszert alkalmazó támadások nem sok hasznunkra válnak. (Azok, akik szeretik megérteni mások programkódját, látogassák meg a http://www.cri.cz/~kra/index.html oldalt, ahonnan letölthetik forrás a jól ismert Hunt TCP kapcsolatelfogó segédprogram Pavel Krauztól).

A gyakorlati eszközök hiánya ellenére nem hagyhatunk figyelmen kívül egy olyan érdekes témát, mint a TCP-kapcsolatok elfogása, és kitérünk az ilyen támadások néhány vonatkozására. A TCP-csomagok felépítéséről és a TCP-kapcsolatok létrehozásának eljárásáról a könyv D. függeléke található, de itt arra a kérdésre fogunk összpontosítani, hogy pontosan mi teszi lehetővé a hackerek számára a TCP-kapcsolat-elfogási támadások végrehajtását? Vizsgáljuk meg ezt a témát részletesebben, elsősorban az és a vitára támaszkodva.

A TCP protokoll (Transmission Control Protocol) az egyik alapvető OSI szállítási réteg protokoll, amely lehetővé teszi logikai kapcsolatok létrehozását egy virtuális kommunikációs csatornán. Ezen a csatornán keresztül történik a csomagok továbbítása és vétele sorrendjük rögzítésével, a csomagok áramlásának vezérlése, a torz csomagok újraküldésének megszervezése, és a munkamenet végén a kommunikációs csatorna megszakad. A TCP-protokoll a TCP/IP-család egyetlen olyan alapvető protokollja, amely fejlett üzenetazonosító- és kapcsolatrendszerrel rendelkezik.

A TCP-csomag azonosításához két 32 bites azonosító található a TCP-fejlécben, amelyek csomagszámlálóként is működnek, ezeket sorszámnak és nyugtázási számnak nevezik. Érdeklődni fogunk a TCP-csomag egy további mezője, az úgynevezett vezérlőbitek iránt is. Ez a 6 bites mező a következő vezérlőbiteket tartalmazza (balról jobbra haladva):

URG - sürgősségi jelző;

ACK - megerősítő zászló;

PSH - hordozási zászló;

RST - kapcsolat újralétesítési jelzője;

SYN - szinkronizálási jelző;

FIN - kapcsolatlezáró jelző.

Nézzük meg a TCP kapcsolat létrehozásának menetét.

1. Ha az A gazdagépnek TCP-kapcsolatot kell létrehoznia a B gazdagéppel, akkor az A gazdagép a következő üzenetet küldi B gazdagépnek:

A -> B: SYN, ISSA

Ez azt jelenti, hogy az A gazdagép által küldött üzenetben be van állítva a SYN jelző (sorozatszám szinkronizálása), a sorszám mező pedig a kezdeti 32 bites ISSa (kezdeti sorozatszám) értékre van állítva.

2. Az A gazdagéptől kapott kérésre válaszul a B gazdagép egy üzenettel válaszol, amelyben a SYN bit be van állítva és az ACK bit be van állítva. A sorszám mezőben a B gazdagép beállítja a kezdeti számlálóértékét - ISSb; a nyugtázási szám mező ezután az A gazdagéptől az első csomagban kapott ISSa értéket fogja tartalmazni eggyel növelve. Tehát a B gazdagép ezzel az üzenettel válaszol:

B -> A: SYN, ACK, ISSb, ACK (ISSa+1)

3. Végül az A gazdagép üzenetet küld a B gazdagépnek, amelyben: az ACK bit be van állítva; a sorszám mező az ISSa + 1 értéket tartalmazza; A nyugtázási szám mező az ISSb + 1 értéket tartalmazza. Ezt követően az A és B gazdagép közötti TCP-kapcsolat létrejöttnek tekintendő:

A -> B: ACK, ISSA+1, ACK(ISSb+1)

4. Most az A gazdagép küldhet adatcsomagokat a B gazdagépnek az újonnan létrehozott virtuális TCP-csatornán keresztül:

A -> B: ACK, ISSA+1, ACK(ISSb+1); ADAT

Itt a DATA az adatot jelenti.

A fent tárgyalt TCP-kapcsolat létrehozásának algoritmusából látható, hogy a TCP-előfizetők és a TCP-kapcsolat egyetlen azonosítója a sorszám és a nyugtázási szám két 32 bites paramétere - ISSa és ISSb. Ezért, ha egy hackernek sikerül kiderítenie az ISSa és ISSb mezők aktuális értékét, akkor semmi sem akadályozza meg abban, hogy hamisított TCP-csomagot generáljon. Ez azt jelenti, hogy a hackernek csak egy adott TCP-kapcsolathoz kell kiválasztania egy TCP-csomag ISSa és ISSb paramétereinek aktuális értékét, el kell küldenie a csomagot bármely internetes gazdagépről a TCP-kapcsolat kliense nevében, és ezt a csomagot. helyesnek fogják tekinteni!

Az ilyen TCP-csomaghamisítás veszélye azért is fontos, mert a magas szintű FTP és TELNET protokollok TCP protokollon alapulnak, az FTP és TELNET csomagkliensek azonosítása pedig teljes mértékben a TCP protokollon alapul.

Ezen túlmenően, mivel az FTP és TELNET protokollok nem ellenőrzik az üzenetküldők IP-címét, a hamisított csomag fogadása után az FTP vagy TELNET szerverek válaszüzenetet küldenek a hacker gazdagép hamis csomagban megadott IP címére. Ezt követően a hacker gazdagép az FTP- vagy TELNET-szerverrel az IP-címéről, de legálisan csatlakozó felhasználó jogaival kezdi meg a munkát, aki viszont a számlálók eltérése miatt megszakítja a kapcsolatot a szerverrel.

Így a fent leírt támadás végrehajtásához szükséges és elégséges feltétel a TCP-kapcsolatot azonosító két jelenlegi 32 bites ISSa és ISSb paraméter ismerete. Mérlegeljük lehetséges módjai fogadni őket. Abban az esetben, ha a hacker gazdagép csatlakozik a támadott hálózati szegmenshez, az ISSa és ISSb értékeinek megszerzése triviális, és a hálózati forgalom elemzésével megoldható. Ezért világosan meg kell értenünk, hogy a TCP-protokoll elvileg csak akkor teszi lehetővé a kapcsolat védelmét, ha a támadó nem tudja elfogni a továbbított üzeneteket. ezt a kapcsolatot, azaz csak abban az esetben, ha a hacker gazdagép a TCP kapcsolat előfizetői szegmensétől eltérő hálózati szegmenshez csatlakozik.

Ezért a szegmensek közötti támadások akkor érdekelnek leginkább egy hackert, ha a támadó és célpontja különböző hálózati szegmensekben található. Ebben az esetben az ISSa és ISSb értékeinek megszerzése nem triviális. A probléma megoldására mára mindössze két módszert találtak ki.

A TCP kapcsolati paraméterek kezdeti értékének matematikai előrejelzése az ISSa és ISSb korábbi értékeinek extrapolálásával.

Sebezhetőségek kihasználása a TCP kapcsolat előfizetőinek azonosítása során Unix rsh szervereken.

Az első feladatot a TCP protokoll megvalósításának mélyreható tanulmányozásával oldják meg a különböző területeken operációs rendszerés most pusztán elméleti jelentősége van. A második problémát sebezhetőségek segítségével oldják meg Unix rendszerek megbízható gazdagépek azonosításával. (Egy adott A gazdagép tekintetében megbízható egy olyan B hálózati állomás, amelynek felhasználója hitelesítés nélkül csatlakozhat az A gazdagéphez az A gazdagép r-szolgáltatásával). A TCP-csomagok paramétereinek manipulálásával a hacker megpróbálhat megszemélyesíteni egy megbízható gazdagépet, és elfoghatja a TCP-kapcsolatot a megtámadott gazdagéppel.

Mindez nagyon érdekes, de az ilyen jellegű kutatások gyakorlati eredményei még nem láthatók. Ezért azt tanácsoljuk mindenkinek, aki mélyebben szeretne elmélyülni ebben a témában, hogy lapozza fel a könyvet, ahonnan elsősorban a fent bemutatott információk származtak.

Következtetés

A hálózati adatok elfogása a hálózati hackelés leghatékonyabb módszere, amely lehetővé teszi a hacker számára, hogy megszerezze a hálózaton keringő szinte összes információt. A legnagyobb gyakorlati fejlődést a szippantó eszközökkel sikerült elérni, pl. hálózatok hallgatása; Mindazonáltal nem hagyhatjuk figyelmen kívül a hálózati adatok elfogásának módszereit, amelyeket a hálózat normál működésének megzavarásával hajtanak végre annak érdekében, hogy a forgalmat átirányítsák egy hacker gazdagépre, különösen a TCP-kapcsolatok elfogására szolgáló módszereket. A gyakorlatban azonban az utoljára említett módszerek még nem értek el kellő fejlesztést és fejlesztésre szorulnak.

A hacker-elhárítónak tudnia kell, hogy az adatelfogástól az egyetlen üdvösség a titkosítás, pl. kriptográfiai védelmi módszerek. A hálózaton keresztüli üzenetküldéskor előre feltételezni kell, hogy a hálózat kábelrendszere abszolút sérülékeny, és a hálózathoz csatlakozó hacker minden titkos üzenetet elkaphat róla. Két technológia létezik a probléma megoldására - VPN-hálózat létrehozása és maguknak az üzeneteknek a titkosítása. Mindezek a feladatok nagyon egyszerűen megoldhatók a PGP Desktop Security szoftvercsomag segítségével (leírása megtalálható pl.