дома › Инсталација и поставување › Хакерите користат за пренасочување на сообраќајот. Начини на хакерски напади. Лажирање податоци со Burp

Хакерите користат за пренасочување на сообраќајот. Начини на хакерски напади. Лажирање податоци со Burp

Методи за пресретнување на мрежниот сообраќај

Слушањето на мрежата со помош на програми за мрежни анализатори е првото, најмногу на едноставен начинследење на податоци.

За да се заштитите од мрежно прислушување, аплицирајте специјални програми, на пример, AntiSniff, кои можат да детектираат компјутери на мрежата кои слушаат мрежниот сообраќај.

За да ги решат нивните проблеми, програмите против трагачи користат посебен знак за присуство на уреди за слушање на мрежата - мрежната картичка на компјутерот за трагачи мора да биде во посебен режим на слушање. Кога се во режим на слушање, мрежните компјутери реагираат на посебен начин на IP датаграми испратени до домаќинот што се тестира. На пример, домаќините за слушање обично го обработуваат целиот дојдовен сообраќај, а не само датаграмите испратени до адресата на домаќинот. Постојат и други знаци на сомнително однесување на домаќинот што AntiSniff може да ги препознае.

Несомнено, слушањето е многу корисно од гледна точка на напаѓачот, бидејќи ви овозможува да добиете многу корисни информации - лозинки пренесени преку мрежата, адреси на мрежни компјутери, доверливи податоци, писма итн. Меѓутоа, едноставното прислушување го спречува хакерот да се меша во мрежната комуникација помеѓу два домаќини за да ги измени и корумпира податоците. За да се реши овој проблем, потребна е пософистицирана технологија.

Ориз. 1 Лажни ARP барања

Ајде да видиме како хакер може да го користи протоколот ARP за да ја пресретне мрежната комуникација помеѓу домаќините А и Б.

За да го пресретне мрежниот сообраќај помеѓу домаќините А и Б, хакер ја принудува својата IP адреса на овие хостови, така што А и Б ја користат оваа лажна IP адреса кога разменуваат пораки. За да ја наметне нивната IP адреса, хакерот ги извршува следните операции.

Напаѓачот ги одредува MAC адресите на домаќините A и B, на пример, користејќи ја командата nbtstat од пакетот W2RK.
Напаѓачот испраќа пораки до идентификуваните MAC адреси на хостовите А и Б, кои се фалсификувани ARP одговори на барањата за решавање на IP адресите на домаќините до MAC адресите на компјутерите. На домаќинот А му е кажано дека IP адресата на домаќинот Б се совпаѓа со MAC адресата на компјутерот на напаѓачот; На домаќинот Б му е кажано дека IP адресата на домаќинот А исто така се совпаѓа со MAC адресата на компјутерот на напаѓачот.
Домаќините А и Б ги внесуваат примените MAC адреси во нивните ARP кешови и потоа ги користат за испраќање пораки еден на друг. Бидејќи IP адресите А и Б одговараат на MAC адресата на компјутерот на напаѓачот, домаќините А и Б, несвесни за ништо, комуницираат преку посредник способен да прави што сакаат со нивните пораки.

На мрежите UNIX, овој вид на измамен ARP напад може да се имплементира со користење на алатките за следење и контрола на мрежниот сообраќај на системот, како што е arpredirect. За жал, се чини дека таквите сигурни комунални услуги не се имплементирани во мрежите на Windows. На пример, на страницата NTsecurity, можете да ја преземете алатката GrabitAII, која е претставена како алатка за пренасочување на сообраќајот помеѓу мрежните хостови. Сепак, елементарната проверка на перформансите на алатката GrabitAII покажува дека сè уште е далеку од целосен успех во спроведувањето на своите функции.

За да го пресретне мрежниот сообраќај, напаѓачот може да ја замени вистинската IP адреса на мрежниот рутер со своја IP адреса, на пример, користејќи лажни пораки ICMP Redirect. Според RFC-1122, домаќинот А треба да ја толкува добиената порака за пренасочување како одговор на датаграм испратен до друг домаќин, на пример, Б. ако Redirect е поставено да ги пренасочува датаграмите од А до Б на нова рута, токму тоа ќе го направи домаќинот А.

Ориз. 2 Лажно рутирање

За да изврши насочување со измама, напаѓачот треба да знае некои детали за организацијата локална мрежа, каде што се наоѓа домаќинот А, особено IP адресата на рутерот преку кој сообраќајот се испраќа од домаќинот А до Б. Знаејќи го ова, напаѓачот ќе формира IP датаграм во кој изворната IP адреса е дефинирана како IP адреса на рутерот, а примачот е наведен домаќин А. Во датаграмот е вклучена и порака ICMP Redirect со полето за адреса на новиот рутер поставено на IP адресата на компјутерот на напаѓачот. Откако ја примил таквата порака, домаќинот А ќе ги испрати сите пораки до IP адресата на компјутерот на напаѓачот.

За да се заштитите од таков напад, треба да ја оневозможите (на пример, користење заштитен ѕид) на домаќинот А обработката на пораките ICMP Redirect, а командата tracert (во Unix ова е командата tracerout) може да ја открие IP адресата на компјутерот на напаѓачот . Овие комунални услуги можат да најдат дополнителна рута што се појави на локалната мрежа, која не е предвидена за време на инсталацијата, ако, се разбира, мрежниот администратор е внимателен.

Горенаведените примери на пресретнување (кои се далеку од ограничени на напаѓачи) убедуваат во потребата да се заштитат податоците што се пренесуваат преку мрежата доколку податоците содржат доверливи информации. Единствениот метод за заштита од пресретнување на мрежниот сообраќај е употребата на програми кои имплементираат криптографски алгоритми и протоколи за шифрирање и спречуваат откривање и замена на тајни информации. За да се решат ваквите проблеми, криптографијата обезбедува средства за шифрирање, потпишување и автентикација на пораките пренесени преку безбедни протоколи.

Практичната имплементација на сите криптографски методи за заштита на размена на информации е обезбедена од VPN мрежи(Виртуелна приватна мрежа - Виртуелни приватни мрежи).

Пресретнување на TCP конекција

Најсофистицираниот напад за следење на мрежен сообраќај треба да се смета за киднапирање на TCP конекција (TCP киднапирање), кога хакер, со генерирање и испраќање на TCP пакети до нападнатиот домаќин, ја прекинува тековната сесија на комуникација со домаќинот. Понатаму, користејќи ги можностите на протоколот TCP за враќање на прекината TCP конекција, хакерот ја пресретнува прекинатата комуникациска сесија и ја продолжува наместо исклучениот клиент.

TCP (Transmission Control Protocol) е еден од основните транспортни протоколи. OSI слој, кој ви овозможува да воспоставите логички врски преку виртуелен комуникациски канал. Пакетите се пренесуваат и примаат преку овој канал со регистрација на нивната секвенца, се контролира протокот на пакети, се организира реемитување на искривените пакети и на крајот од сесијата се прекинува каналот за комуникација. TCP е единствениот протокол основен протоколод семејството TCP/IP, кое има напреден систем за идентификација на пораки и конекција.

Преглед на софтверски пакети Sniffers

Сите софтверски трагачи може грубо да се поделат во две категории: трагачи кои поддржуваат лансирање од командна линија, и душка со графички интерфејс. Во исто време, забележуваме дека има трагачи кои ги комбинираат двете од овие карактеристики. Покрај тоа, sniffers се разликуваат едни од други по протоколите што ги поддржуваат, длабочината на анализата на пресретнати пакети, способноста за конфигурирање на филтри и можноста за компатибилност со други програми.

Обично прозорецот на кој било кодош со GUIсе состои од три области. Првиот прикажува резиме на заробените пакети. Вообичаено, оваа област прикажува минимум полиња, имено: време на снимање на пакети; IP адреси на испраќачот и примачот на пакетот; MAC адреси на изворот и дестинацијата на пакетите, адресите на изворните и дестинации на портите; тип на протокол (мрежен, транспортен или апликативен слој); некои збирни информации за прислушуваните податоци. Втората област прикажува статистички информации за поединечниот избран пакет, а на крајот, третата област го прикажува пакетот во хексадецимална или форма на знаци - ASCII.

Скоро сите трагачи на пакети дозволуваат анализа на декодирани пакети (затоа и трагачите на пакети се нарекуваат и анализатори на пакети, или анализатори на протокол). Трагачот ги дистрибуира пресретнати пакети по слоеви и протоколи. Некои анализатори на пакети се способни да го препознаат протоколот и да ги прикажат заробените информации. Овој тип на информации обично се прикажува во втората област на прозорецот за трагачи. На пример, секој трагач може да го препознае протоколот TCP, а напредните трагачи можат да одредат која апликација го генерира овој сообраќај. Повеќето протоколи анализатори препознаваат преку 500 различни протоколи и можат да ги опишат и декодираат по име. Колку повеќе информации трагачот може да декодира и прикаже на екранот, толку помалку треба да декодирате рачно.

Еден проблем на кој може да наидат трагачи на пакети е неможноста правилно да го идентификуваат протоколот користејќи порта различна од стандардната порта. На пример, со цел да се подобри безбедноста, некои добро познати апликации може да се конфигурираат да користат порти различни од стандардните порти. Значи, наместо традиционалната порта 80 резервирана за веб-серверот, даден серверможе да биде принуден да се реконфигурира на портата 8088 или која било друга. Некои анализатори на пакети во оваа ситуација не можат правилно да го одредат протоколот и да прикажуваат само информации за протоколот од пониско ниво (TCP или UDP).

Постојат софтверски трагачи кои доаѓаат со софтверски аналитички модули како приклучоци или вградени модули кои ви дозволуваат да креирате извештаи со корисни аналитички информации за пресретнатиот сообраќај.

Друга карактеристика на повеќето трагачи на софтверски пакети е способноста да се конфигурираат филтри пред и по снимањето на сообраќајот. Филтрите одвојуваат одредени пакети од општиот сообраќај според даден критериум, што ви овозможува да се ослободите од непотребните информации кога го анализирате сообраќајот.

Алтернативи на Ettercap

Ettercap е најпопуларната програма за напад човек во средината, но дали е најдобра? Во текот на целиот прирачник, ќе видите дека Ettercap речиси никогаш не се користи сам, дека една или друга програма е секогаш наредена со неа во синџирот за обработка на сообраќајот. Можеби ова додава флексибилност, генерално, овој пристап е во срцето на UNIX - една програма извршува една задача, а крајниот корисник комбинира различни програми за да го постигне посакуваниот резултат. Со овој пристап, програмскиот код е полесен за одржување; таквите минијатурни „тули“ може да се користат за изградба на систем од секаква сложеност и флексибилност. Сепак, да се има пет отворени конзоли со различни задачи, чија работа програми е насочена кон постигнување на еден единствен резултат, не е многу погодно, само е потешко, постои можност да се направи грешка во некоја фаза и целиот конфигуриран систем ќе работи во мирување.

Net-Creds шмрка:

Посетени URL-адреси
испрати POST барања
најавувања/лозинки од HTTP форми
најавувања/лозинки за основна автентикација на HTTP
Пребарувања на HTTP
FTP најавувања/лозинки
IRC најавувања/лозинки
POP најавувања/лозинки
IMAP најавувања/лозинки
Телнет најавувања/лозинки
SMTP најавувања/лозинки
Низа на заедницата SNMP
сите поддржани протоколи NTLMv1/v2 како HTTP, SMB, LDAP, итн.
Керберос

Добар избор на пресретнати слики, а Driftnet е поедноставна во овој поглед - прикажува само пресретнати слики.

Префрлете ја машината во режим на препраќање.

ехо „1“ > /proc/sys/net/ipv4/ip_forward

Стартувај Ettercap со GUI (-G ):

Етеркап-Г

Сега изберете Домаќини , во неа под-точка Скенирај за домаќини . Откако ќе заврши скенирањето, изберете Список на домаќини:

Како Target1, изберете го рутерот (Add to Target 1 ), како Target2, изберете го уредот што ќе го нападнете (Add to Target 2).

Но, тука може да се појави првиот проблем, особено ако има многу домаќини. Во различни инструкции, вклучително и видеото претставено погоре, авторите се качуваат во целната машина (поради некоја причина, сите имаат Windows таму) и ја користат командата за да ја погледнат IP-а на оваа машина на локалната мрежа. Се согласувам, оваа опција е неприфатлива за реални услови.

Ако скенирате со , тогаш можете да добиете некои Дополнителни информацииза хостовите, поточно, за производителот на мрежната картичка:

nmap -sn 192.168.1.0/24

Ако податоците сè уште не се доволни, тогаш можете да направите скенирање со дефиницијата на ОС:

nmap -O 192.168.1.0/24

Како што можете да видите, машината со IP 192.168.1.33 се покажа дека е Windows, ако ова не е знак одозгора, тогаш што е тоа? 😉 lol

Тоа го додаваме како втор гол.

Сега одете во ставката од менито Mitm. Таму изберете ARP poisoning... Проверете го полето за избор на далечински врски Sniff.

Почнуваме со берба, во еден прозорец лансираме

Нето кредити

во друга (двете програми може да се извршуваат без опции)

лебдат мрежа

Собирањето податоци започна веднаш.

На десната страна, Driftnet отвори друг прозорец што прикажува снимени слики. Во прозорецот net-creds, гледаме посетени страници и пресретнати лозинки:

1.2 Ettercap + Burp Suite
3. Приказ на податоци (посетени веб-локации и снимени лозинки) во Ettercap

Во менито Прикажи ни се достапни табовите Врски и Профили. Можете исто така да го штиклирате полето Решавање на IP адреси. Врските се, се разбира, врски. Ettercap собира профили во меморијата за секој домаќин што ќе го открие. Таму се собираат корисници и лозинки. Во овој случај, профилите со заробени податоци за сметката (лозинки) се означени со крст:

Не се потпирајте премногу на профилите - на пример, се означени пресретнати најавувања и лозинки за FTP и други услуги, за кои програмата може недвосмислено да ги толкува добиените информации како ингеренции. Ова не вклучува, на пример, основни податоци за автентикација, внесени најавувања и лозинки во веб-обрасци.

Во Connections, најперспективните податоци се означени со ѕвездичка:

Можете да кликнете двапати на овие записи за да ги видите деталите:

За да не ги барате овие ѕвезди во целата листа, можете да ги сортирате по ова поле и сите ќе бидат на врвот или на дното:

Фатена основна автентикација:

Лозинка за најава за Yandex (означена подолу):

Ова се пресретнати акредитиви за Вконтакте:

Исто така, најинтересните податоци се собрани во долната конзола:

Ако сакате да ги зачувате резултатите од програмата, тогаш користете ги овие опции (наведете ги копчињата при стартување на Ettercap:

Опции за евидентирање: -w, --напишете запишете заробени податоци во pcapfile -L, --log запишете го целиот сообраќај на ова -l, --log-info пишувајте само пасивни информации на ова -m, --log-msg пишувајте ги сите пораки на ова -c, --compress користете gzip компресија за лог датотеки

4. Замена на податоци во лет во Ettercap
4.1 Користење на сопствени филтри Ettercap

Забелешка: Во сите мои тестирања, филтрите Ettercap не работеа. Тешко е да се разбере дали е во рацете, во хардверските карактеристики или во баг во самата програма... Но, за верзијата 0.8.2 (најновата во моментот), има извештај за грешки за проблеми со филтрите. Во принцип, судејќи според извештаите за грешки и форумите, филтрите или често паѓаат, или воопшто не работат долго време. Има гранка која е изменета пред 5 месеци https://github.com/Ettercap/ettercap/tree/filter-improvements, т.е. филтер-подобрувања (со подобрувања на филтерот). Беа направени широк спектар на тестови за оваа гранка и за верзијата од складиштето, беа тестирани различни филтри во различни услови, беше потрошено многу време, но немаше резултат. Патем, за да ја инсталирате верзијата на подобрувања на филтри во Kali Linux, треба да го направите ова:

sudo apt-get отстрани ettercap-графички ettercap-заеднички sudo apt-get инсталирај git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurl5 libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git клон -b филтер-подобрувања https://github.com/Ettercap/ettercap.git cd ettercap/ mkdirLEABCSaFbuildd =Вклучено ../ направи sudo направи инсталира

Во принцип, ако вашите филтри не работат, тогаш не сте сами. Во упатствата за Ettercap, не можам да ја прескокнам темата за филтри, така што тие сепак ќе бидат разгледани.

Досега го користевме Ettercap за ARP измама. Ова е многу површна апликација. Благодарение на сопствените филтри, можеме да интервенираме и да го менуваме сообраќајот во лет. Филтрите мора да бидат содржани во посебни датотеки и мора да се компајлираат со програмата Etterfilter пред употреба. Иако документацијата до која е дадена врската се чини дека е кратка, но заедно со примерите подолу, ќе ви овозможи да напишете доста интересни филтри.

Ајде да го создадеме нашиот прв филтер, тој ќе ги замени сите слики со ова:

Во датотека со име img_replacer.filter копирајте:

Ако (ip.proto == TCP && tcp.dst == 80) ( if (пребарување(DATA.data, "Accept-Encoding")) (замени ("Accept-Encoding", "Accept-Rubbish!"); # забелешка: стрингот за замена е иста должина како и оригиналната msg("зафатено Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) (замени("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); замени("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png \" "); замени ("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); замени ("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" ");

Компилирајте ја датотеката:

Etterfilter img_replacer.filter -o img_replacer.ef

Резултати од компилацијата:

Etterfilter 0.8.2 авторски права 2001-2015 Ettercap Развојен тим 14 табели на протокол се вчитани: ДЕКОДИРАНИ ПОДАТОЦИ udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth вчитани 13 константи: VRRP OSPF GRE UDPTPMP6 IPPOCPMP GRE UDPMP6 датотека „img_replacer.filter“ е завршено. Завршено е расплетувањето на мета-дрвото. Извршено е конвертирање на етикети во вистински поместувања. Завршено е запишување на излезот во „img_replacer.ef“. -> Скрипта кодирана во 18 инструкции.

Прекинувачот -F и кажува на програмата да го вчита филтерот од датотеката што следи по прекинувачот. По компилацијата, името на нашата нова датотека со филтерот е img_replacer.ef, па командата станува:

Ettercap -G -F img_replacer.ef

Забелешка: Кога го следите веб сообраќајот, пакетите што ги гледате може да се во шифрирана форма. За ефективна работафилтри, на Ettercap му треба сообраќај во формата обичен текст. Според некои набљудувања, типот на кодирање што го користат веб-страниците е „Прифати-енкодирање: gzip, deflate“

Подолу е филтер што го препишува кодирањето, принудувајќи ја комуникацијата во форма на обичен текст:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) (замени ("gzip", " "); # забелешка: четири празни места во низата пораки до замени („избришан gzip\n“); ) ) ако (ip.proto == TCP && tcp.dst == 80) ( ако (пребарување(DATA.податоци, „deflate“)) (замени („deflate“, " "); # забелешка: седум празни места во замената низа msg("whited out deflate\n"); ) )

Синтаксата за пишување филтри е детално опишана, а потоа уште неколку примери:

# замени текст во пакетот: if (ip.proto == TCP && search(DATA.data, "lol")) (замени ("lol", "smh"); msg ("филтерот истрча"); ) # прикажи порака ако портата tcp е 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH пакет\n"); ) ) # log all telnet сообраќај , исто така, изврши ./програма по пакет ако (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log ") ; exec("./program"); ) ) # логирајте го целиот сообраќај освен http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) (log(DATA.data, "./logfile.log"); ) # некои операции за оптоварување на пакети ако (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "изменето"; DATA .data + 20 = 0x4445; ) # испушти ги сите пакети што содржат „ettercap“ if (search(DECODED.data, „ettercap“)) ( msg(„некој зборува за нас...\n“); drop( ); kill( ); tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # убивачки пакети ако (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Лажирање податоци со Burp

Ги лансираме Ettercap и Burp како што е опишано во став 1.2 или во став 2.2.

Во Burp одете до Proxy -> Options. Таму наоѓаме Match и Replace. Кликнете Додај за да додадете ново правило.

Заглавието на барањето е заглавието на барањето
Тело за барање - тело за барање
Заглавие на одговор - заглавие на одговор
Тело за одговор - тело за одговор
Барај име на параметар - Барај име на параметар
Барање вредност на параметарот - Барање вредност на параметарот
Барање прва линија - Првиот ред на барањето

Ако треба да ги промените податоците што се пренесуваат со методот GET, тогаш ова се однесува на заглавијата.

Во ознаката HTML, постои и такво нешто како глава (ознака за глава). Оние споменати погоре немаат никаква врска со овој наслов. Малку повисоко се вели за заглавија на пакети. Ако сакате да ја промените содржината HTML страници, тогаш секогаш треба да изберете Тело за одговор наместо заглавие Барај, дури и ако сакате да ја промените содржината на ознаката за глава (на пример, насловот).

Ако не сте запознаени со регуларни изрази, тогаш, во принцип, тоа е во ред: HTML простува многу, а она што не го разбира, едноставно го игнорира - можете да го користите. Ако знаете да користите регуларни изрази, тогаш ве почитувам.)))

На пример, ајде да создадеме ново правило, да го смениме заглавието на Барање во Тело за одговор. Во самото правило ќе се смениме

без наслов

Проверете го полето за Regex поклопување.

Сега на сите сајтови (без HTTPS) наместо наслов ќе има No Title:

Вметнете произволна линија по ознаката за тело (тоа ќе биде првата линија во текстот). Заглавието на барањето се менува во Тело за одговор. Се менуваме

Проверете го полето за Regex поклопување.

Во горниот десен агол (во зависност од распоредот) се појавува натписот "Јас сум кул!". Можете да вметнете CSS, JavaScript код, кој било текст - било што. Општо земено, можете да избришете сè од страницата, а потоа да ја пополните со своја содржина - сето тоа зависи од вашата имагинација.

Имаше идеја малку да се измени секоја форма, така што податоците ќе се испраќаат до оригиналниот сервер и до серверот на напаѓачот (имплементирајте мулти поднесување за секоја форма). Но, имајќи предвид дека ако пренесените податоци не се шифрирани и имаме пристап до нив, тогаш ги гледаме во секој случај, не треба да ги испраќаме на кој било сервер. Сепак, ако некому му треба, навистина работен пример за испраќање податоци од една форма на неколку сервери одеднаш.

5. Спојување на BeEF

За да започнеме да ги користиме карактеристиките на BeEF, треба да вградиме датотека JavaScript во HTML, обично линија како:

Следните два методи се разликуваат само во начинот на вградување на оваа низа.

5.1 Закачување на BeEF со филтри Ettercap

[делот ќе се подготви подоцна]

5.2 Закачување на говедско месо со Burp

Треба да започнете точно исто како што е напишано во став 4.2. Но, наместо да ги замениме заглавјата и да додаваме текст на страницата, ќе го внесеме кодот JavaScript како низа:

Во мојот случај, оваа датотека е достапна на IP 192.168.1.36 на портата 3000. Датотеката се нарекува hook.js (можете да ја промените во поставките). Оние. во мојот случај, треба да ја инјектирам линијата:

Ова може да се направи, на пример, со креирање ново правило, сменете го заглавието Барање во Тело за одговор. Во самиот HTML код, треба да има замена

Одлично, кога отворате која било локација што нема HTTPS, во HTML кодот се вметнува JavaScript код, кој ви овозможува да собирате информации преку закачен прелистувач и да изведувате разни напади:

6. Инфекција со задни врати

Можете да ги замените и заразите извршните датотеки и со помош на филтрите Ettercap [кои поради некоја причина не работат долго време] или со помош на апликации од трети страни. На пример, BDFProxy може да го направи ова во лет. За жал, BDFProxy сè уште не може да се опорави од ажурирањето на Backdoor Factory во април (во 2016 година): во Python, пакетот libmproxy е преименуван во mitmproxy. За BDFProxy, пакетот libmproxy е неопходна зависност; програмата нема да работи без овој пакет. Затоа, сега, пред „поправката“ на BDFProxy, не може да се користи, бидејќи дури и со инсталирана Backdoor Factory, програмата BDFProxy се жали на недостаток на библиотека libmproxy ...

Слична операција може да се направи со Burp Suite. Презентиран е алгоритмот чекор-по-чекор, нема смисла да се преработи повторно во овој дел.

7. Користење на Ettercap приклучоци

Може да се најдат информации за приклучоците Ettercap. Има доста приклучоци, оние што се опишани подолу ми изгледаат најинтересни.

Приклучоците може да се поврзат при стартување на Ettercap, за ова постои опција:

P, --приклучокот стартувајте го ова

Приклучоците може да се вчитаат и од GUI:

[МАТЕРИЈАЛ ВО ПОДГОТОВКА]

7.1 arp_cop

Пријавува сомнителна активност на ARP со пасивно следење на барањата/одговорите на ARP. Може да пријави обиди за труење со ARP или едноставни конфликти на IP или промени на IP. Ако градите првична листа на домаќини, тогаш приклучокот ќе работи попрецизно.

Ettercap -TQP arp_cop //

Пример за откривање на вистинско ARP измама:

Прошири

[заштитена е-пошта] ~ $ sudo ettercap -TQP arp_cop // лозинка за mial: ettercap 0.8.2 авторски права 2001-2015 Ettercap Развојен тим Слушање на: eth0 -> 08:00:27:A3:08:4A 192.168.15.302 fe. :a00:27ff:fea3:84a/64 SSL дисекција има потреба од валидна „redir_command_on“ скрипта во датотеката etter.conf Привилегиите паднаа на EUID 65534 EGID 65534... 33 приклучоци 42 дисектори на протоколи 57 порти 3 отпечатоци на прсти 57 порти 3 отпечатоци од прсти 65534 отпечаток од прст 2182 познати услуги Случајно 255 хостови за скенирање... Скенирање на целата мрежна маска за 255 хостови... * |========================= = =======================>| 100,00 % Додадени се 3 домаќини во списокот на хостови... Започнува унифицирано душкање... Активиран е само текст... Интерфејсот е активиран... Притиснете „h“ за помош во линија. ) 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.35 се преправа дека е 192.168.1.35. се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168 .1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.165 преправајте се 192.168.1.35. ARNING) 192.168.1.35 се преправа дека е 192.168 .1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168. 1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168 .1.35 се преправа дека е 192.168.1.1.1 се преправа дека е 192.168.1.1.1 arp_NING2.9 .168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168 .1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168. 1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 11p.1.35: 168.1.35 се преправа дека е 192.168.1.1 p_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВА arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) RNING) 192.168.1.35 192.168.1.35 се преправа дека е 192.168.1.1.1 .1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168. 1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 .1 arp_cop.1.1 .1 arp_cop. 2.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1: 192.168.1: .39 NING) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1.1. 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168 .1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 ... .........................

7.2 автоматско додавање

Тој автоматски ќе додаде нови жртви додека се поврзуваат со mitm poising ARP. Бара ARP барања на локалната мрежа и ако се најде, приклучокот ќе го додаде домаќинот на листата на жртви, ако списокот е наведен како TARGET. Домаќинот се додава кога од него се гледа барање за arp.

7,3 чк_отров

Проверува дали модулите на poison arp во ettercap се успешни. Испраќа лажни ICMP ехо пакети до сите жртви на труење, преправајќи се дека се секоја жртва. Може да добие одговор на ICMP со нашата MAC адреса како дестинација, што значи дека труењето помеѓу овие две цели е успешно. Ги проверува двете патеки на секоја врска.

7,4 dns_spoof

Овој приклучок ги прекинува барањата за DNS и одговара со лажен (лажен) одговор. Можете да изберете на која адреса треба да одговори приклучокот со уредување на датотеката etter.dns. Приклучокот ги пресретнува барањата A, AAAA, PTR, MX, WINS, SRV и TXT. Ако тоа беше барање A, тогаш името се бара во датотеката и се враќа IP адресата (можете да користите џокери во името).

Истото важи и за барањата АААА.

7.5 find_conn

Многу едноставен приклучок што ги слуша ARP барањата за да ви ги покаже сите цели со кои домаќинот сака да комуницира. Исто така, може да ви помогне да најдете адреси на непознати LAN мрежи.

ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Обиди да се идентификуваат ettercap пакетите испратени на LAN. Може да биде корисно за откривање на некој што се обидува да користи ettercap. Не се потпирајте на тоа 100% бидејќи тестовите работат само за одредени секвенци/број на идентификација.

7.7 scan_poisoner

Проверете дали некој се мами помеѓу некој од домаќините на списокот и нас. Прво, проверува дали два домаќини во списокот го имаат истото мак адреса. Ова може да значи дека едниот не труе преправајќи се дека е другиот. Може да генерира многу лажни позитиви во прокси arp средина. Мора да изградите листа на домаќини за да ја извршите оваа проверка. После тоа, испраќа icmp echo пакети до секој домаќин во списокот и проверува дали mac-адресата на потеклото на одговорот е различна од адресата што ја зачувавме во списокот со оваа IP адреса. Ова може да значи дека некој го труе овој домаќин преправајќи се дека ја има нашата IP адреса и ни ги препраќа пресретнатите пакети. Не можете да го извршите овој активен тест во ненавредлив (безопасен) режим.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Се обидува да открие дали некој душка (слуша) во промискуитетен режим. Испраќа две различни неоформени arp барања до секоја цел во листата на домаќини и чека одговори. Ако одговорот дојде од целен домаќин, повеќе или помалку е веројатно дека таа цел има мрежна картичка во промискуитетен режим. Може да генерира лажни аларми. Можете да го извршите или од командната линија или од менито за додатоци. Бидејќи ги слуша одговорите на arp, најдобро е да не ги користите кога испраќате барања за arp.

ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Пример за успешно погодување на два NIC во промискуитетен режим:

Прошири

[заштитена е-пошта]:~# ettercap -TQP search_promisc ettercap 0.8.2 авторски права 2001-2015 Тим за развој на Ettercap Слуша на: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.2507:feaff.25 :30b9/64 Дисекцијата на SSL бара валидна скрипта „redir_command_on“ во датотеката etter.conf Ettercap можеби нема да работи правилно. /proc/sys/net/ipv6/conf/eth0/use_tempaddr не е поставено на 0. Привилегиите паднаа на EUID 65534 EGID 65534... 33 приклучоци 42 дисектори на протоколи 57 порти надгледувани 20388 mac продавач на отпечатоци од прст 18 OS6 услуги отпечаток од прст 18 OS6 познат : нема наведени скрипти, не се стартува! Рандомизирање на 255 хостови за скенирање... Скенирање на целата мрежна маска за 255 хостови... * |============================ = ====================>| 100,00 % 5 домаќини се додадени во списокот на домаќини... Започнува унифицирано душкање... Активиран е само текст интерфејсот... Притиснете „h“ за помош во линија. : - 192.168.1.36 - 192.168.1.34 Најверојатно душкаат NIC: - НИКОЈ Затворање на текстуален интерфејс... Се прекинува ettercap... Чистењето на Луа е завршено! Унифицираното душкање беше запрено.

7,9 ssl лента

За време на извршувањето на SSL mitm напад, ettercap го заменува вистинскиот ssl сертификат со свој. Се креира лажен сертификат во лет и сите полиња се пополнуваат според вистинскиот сертификат презентиран од серверот.

(62%)

(56.5%)

(СЛУЧАЈНО - 0,2%)

Во оваа статија, ќе разговараме со вас за нападите Man-in-the-Middle, или подобро кажано, методот
пренасочување на сообраќајот SSH и HTTP со помош на нападот Man in the Middle. Да не ја влечеме мачката за опашката, туку да се фаќаме за работа.

Човек во средината (накратко, MitM, од руски едноставно - „напад на посредникот“ или „човек
во средината") е тип на напад заснован на пренасочување на сообраќајот помеѓу две машини за пресретнување на информации - дополнително проучување, уништување или менување. Значи, првото нешто што ни треба е пакетот dsniff (ќе видите врска до пакетот на крајот на статијата). Зошто затоа што овој пакет ги има сите потребни алатки, вклучително и sshmitm (пренасочување на сообраќајот на SSH) и httpmitm (пренасочување на сообраќајот на HTTP), што може да ја заобиколи следната безбедносна шема: колку што знаете, протоколи со шифрирање на податоци се прилично -толку „безбедни“ (шифрирањето за помош :)) и не дозволуваат напади „над“ мрежниот слој. Клучот за шифрирање е непознат за хакерот - невозможно е да се дешифрираат податоците и да се вметне командата исто така. Се чини дека се да биде добро, но еве како
бидејќи програмите за напад MitM (sshmitm и httpmitm) од пакетот dsniff можат да заобиколат овој систембезбедност (можете да заобиколите речиси сè). Сето ова е направено според следниот принцип:
средниот хост го прима барањето од клиентот, „велејќи“ дека тоа е серверот, а потоа се поврзува со вистинскиот сервер.
Втората работа што ни треба е исправени раце, четврта - најважна - желба и, се разбира, жртва, односно компјутер што ќе го нападнеме.

Пренасочување на сообраќајот на SSH

Откако го подготвивте комплетот со алатки, сфативте што е што и зошто :). Земи sshmitm - сега ќе го пренасочиме сообраќајот на SSH (сè што не разбрав со теоретскиот дел - прочитај погоре)
користејќи го, искористувајќи ги недостатоците на денешната PKI (инфраструктура на јавен клуч - шема за управување со клучот заснована на
методи на асиметрична криптографија). Ајде да ја погледнеме синтаксата
sshmitm:

sshmitm [-d] [-I] [-p порта] домаќин

Д
дозволи излез за отстранување грешки (т.е. понапреден режим)

Јас
киднапирање на сесија

P порта
пристаниште за слушање

домаќин
адресата на оддалечениот домаќин чии сесии ќе бидат пресретнати

пристаниште
порта на оддалечениот домаќин

Се чини дека сè е едноставно и вкусно - нема ништо комплицирано :). Да го започнеме нападот!

# sshmitm server.target.gov // наведете го вашиот SSH сервер
sshmitm: пренесување на серверот server.target.gov

Бидејќи немаме вистински SSH клуч, командниот преведувач на нападнатиот
ќе прикаже барање за проверка на клучот на домаќинот, сето тоа ќе изгледа вака:

clientmachine$server.target.gov
@ПРЕДУПРЕДУВАЊЕ: ИДЕНТИФИКАЦИЈАТА НА ДАЛЕЧИНСКИОТ ДОМАЌИН СЕ СМЕНЕ! @
МОЖНО Е НЕКОЈ ДА ПРАВИ НЕШТО ГОДНО!
Некој може да ве прислушува во моментов (напад човек во средината)!
Исто така, можно е клучот за домаќин RSA да е тукушто променет.
Контактирајте со вашиот системски администратор.

И тогаш корисникот ќе одлучи дали да се поврзе или не. Ако е така, тогаш ќе имаме целосна контрола врз сесијата SSH.
НО! Ако корисникот никогаш не се поврзал со таа количка, може да се прикаже следнава порака:

Не може да се утврди автентичноста на домаќинот „server.target.gov“.
Отпечатокот на клучот RSA е
бла:бла:бла;бла;бла........
Дали сте сигурни дека сакате да продолжите да се поврзувате (да/не)?

Овде корисникот има и два избора - да се поврзе или не. Ако да, тогаш ја пресретнавме седницата, ако не, тогаш за жал ... :(.
Во принцип, нападот беше успешен ако корисникот се поврзе, а sshmitm, пак, ги снима сите премини и најавувања и е многу читлив 🙂
Нормално, ова не е единствениот пресретнувач на SSH сесии, но штом ќе се запознаете со ова, лесно ќе го совладате другиот 🙂

Пренасочување HTTP сообраќај

Сега ќе го пренасочиме HTTP сообраќајот. Повторно, ни треба веќе избрана алатка: httpmitm, која слуша на порти 80- (HTTP -) и 443- (HTTPS -), ги пресретнува WEB-барањата, потоа се поврзува со серверот и ги препраќа барањата до клиентскиот компјутер. Програмата исто така генерира SSL клучеви и SSL сертификати користејќи OpenSSL. Потоа по обидот
се поврзува на страницата (target.gov), прелистувачот ќе го провери SSL сертификатот. Бидејќи сертификатите нема да се совпаѓаат, прелистувачот на корисникот ќе предупреди
погрешен SSL сертификат. Од перспектива на напаѓачот, тоа би изгледало вака:

#webmitm -d
webmitm: пренесување транспарентно
webmitm: нова врска од
ДОБИЈ [врска]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[верзија]
Врска: [тип]
Домаќин: www.target.gov
Кориснички агент: [информации за системот, прелистувач]
[итн, итн, итн.]
Колаче: [колачиња]

Вака изгледа однадвор -
е пресретната SSL конекција, зафаќајќи нешифрирани податоци.

Заклучок

Во оваа статија, разговаравме со вас за пренасочување на сообраќајот SSH и HTTP користејќи го нападот Man in the Middle - јасно, детално, накратко. Други програми за пренасочување на HTTP и SSH
Со помош на MitM брзо ќе го совладате сообраќајот доколку и овие сте ги совладале :)). Ако нешто не беше јасно - тогаш.

Пресретнувањето на податоците преку мрежата е прием на какви било информации од далечински компјутерски уред. Може да се состои од лични информации на корисникот, неговите пораки, евиденција за посета на веб-страници. Снимањето податоци може да се врши со шпионски софтвер или со помош на мрежни трагачи.

Spyware е специјален софтвер способен да ги снима сите информации пренесени преку мрежата од одредена работна станица или уред.

Трагач е програма или компјутерска опрема која го пресретнува и анализира сообраќајот што минува низ мрежата. Трагачот ви овозможува да се поврзете на веб-сесија и да вршите различни операции во име на сопственикот на компјутерот.

Доколку информациите не се пренесуваат во реално време, шпионски софтвергенерирајте извештаи кои се погодни за прегледување и анализа на информациите.

Мрежното прислушување може да се организира легално или да се врши нелегално. Главниот документ кој ја утврдува законитоста на стекнувањето информации е Конвенцијата за компјутерски криминал. Основана е во Унгарија во 2001 година. Правните барања на различни држави може да варираат малку, но клучното значење е исто за сите земји.

Класификација и методи на пресретнување на податоци преку мрежата

Во согласност со горенаведеното, следењето на информации преку мрежата може да се подели на два вида: овластено и неовластено.

Овластеното собирање податоци се врши за различни цели, почнувајќи од заштита на корпоративните информации до обезбедување на безбедноста на државата. Основите за извршување на таква операција се утврдени со законодавството, специјалните служби, службениците за спроведување на законот, специјалистите административни организациии безбедносните служби на компанијата.

Постојат меѓународни стандарди за вршење на следење податоци. Европскиот институт за телекомуникациски стандарди успеа да доведе до единствен стандард голем број технички процеси (ETSI ES 201 158 "Телекомуникации за безбедност; законско следење (LI); Барања за мрежни функции"), на кои се заснова следењето на информациите. Како резултат на тоа, беше развиена системска архитектура која им помага на специјалистите на тајните служби, мрежни администратори легално да ги преземат податоците од мрежата. Развиената структура за спроведување на следење на податоци преку мрежата се користи за жичен и безжични системигласовни повици, како и кореспонденција по пошта, говорни пораки преку IP, размена на информации преку СМС.

Неовластено следење на податоци преку мрежата го вршат натрапници кои сакаат да поседуваат доверливи податоци, лозинки, корпоративни тајни, адреси на компјутерски машини на мрежата итн. За да ги постигнат своите цели, хакерите обично користат анализатор на мрежен сообраќај - трагач. Оваа програмаили уред од хардверско-софтверски тип му дава на измамникот можност да пресретнува и анализира информации во рамките на мрежата на која е поврзан корисникот жртва, вклучително и шифриран SSL сообраќај преку замена на сертификати. Податоците за сообраќајот може да се фатат на различни начини:

слушање на мрежниот интерфејс,
поврзување на пресретнувач со прекин на каналот,
создавање сообраќајна гранка и нејзино дуплирање на трагач,
со извршување на напад.

Исто така, постојат пософистицирани технологии за пресретнување чувствителни информации кои овозможуваат навлегување во мрежната интеракција и менување на податоците. Една таква техника е лажни ARP барања. Суштината на методот е да се измамат IP адресите помеѓу компјутерот на жртвата и уредот на напаѓачот. Друг метод што може да се користи за пресретнување на податоци преку мрежата е рутирање на мамки. Се состои во замена на IP адресата на мрежниот рутер со своја адреса. Ако сајбер-криминалецот знае како е организирана локалната мрежа во која се наоѓа жртвата, тогаш лесно може да го организира приемот на информации од машината на корисникот до неговата IP адреса. Снимањето TCP конекција исто така служи на ефикасен начинследење на податоци. Напаѓачот ја прекинува сесијата за комуникација со генерирање и испраќање на TCP пакети до компјутерот на жртвата. Понатаму, сесијата за комуникација ја обновува, пресретнува и продолжува криминалецот наместо клиентот.

Објект на влијание

Предмет на следење на податоци преку мрежата може да бидат владини агенции, индустриски претпријатија, комерцијални структури, обични корисници. Внатре во организација или деловна компанија, зафаќањето информации може да се имплементира со цел да се заштити мрежната инфраструктура. Специјалните служби и агенциите за спроведување на законот можат да вршат масовно следење на информациите пренесени од различни сопственици, во зависност од задачата.

Ако зборуваме за сајбер-криминалци, тогаш секој корисник или организација може да стане предмет на влијание за да добие податоци пренесени преку мрежата. Со овластен пристап, информативниот дел од добиените информации е важен, додека напаѓачот е повеќе заинтересиран за податоците со кои ќе ги поседува во кешили вредни информации за неговата следна продажба.

Најчесто, жртви на следење информации од сајбер криминалци се корисници кои се поврзуваат на јавна мрежа, на пример, во кафуле со точка WiFi пристап. Напаѓачот се поврзува со веб-сесија користејќи трагач, ги заменува податоците и краде лични информации. Повеќе детали за тоа како се случува ова се опишани во статијата.

Извор на закана

Овластеното следење на информации во компаниите и организациите го вршат оператори на јавна мрежна инфраструктура. Нивните активности се насочени кон заштита на лични податоци, трговски тајни и друго важна информација. На законски основи, преносот на пораки и датотеки може да се следи од специјални служби, агенции за спроведување на законот и разни владини агенции за да се обезбеди безбедноста на граѓаните и државата.

Напаѓачите се занимаваат со незаконско следење на податоци. За да не станете жртва на сајбер криминалец, треба да следите некои препораки од експерти. На пример, не треба да вршите операции кои бараат овластување и пренос на чувствителни податоци на места каде што е направена врската со јавни мрежи. Побезбедно е да се изберат шифрирани мрежи, а уште подобро, да се користат лични 3G и LTE модеми. Кога пренесувате лични податоци, се препорачува да ги шифрирате со помош на протоколот HTTPS или личен VPN тунел.

Можете да го заштитите вашиот компјутер од пресретнување на мрежниот сообраќај користејќи криптографија, анти-sniffers; Dial-up наместо безжичен мрежен пристап ќе ги ублажи ризиците.

Оваа лекција ги опишува технологиите за мрежно хакирање базирани на пресретнување на мрежни пакети. Хакерите ги користат таквите технологии за да го душкаат мрежниот сообраќај за да украдат вредни информации, да пресретнат податоци со цел напад од човек во средината, да пресретнат TCP конекции, дозволувајќи, да речеме, измама на податоци и да вршат други подеднакво интересни дејства . За жал, повеќето од овие напади во пракса се имплементирани само за Unix мрежи, за кои хакерите можат да ги користат и двете специјални комунални услуги, и Unix системски алатки. Се чини дека мрежите на Windows се заобиколени од хакери, и ние сме принудени да го ограничиме нашиот опис на алатките за следење податоци на програми за трагање дизајнирани за тривијално душкање на мрежните пакети. Сепак, не треба да се занемари барем теоретски опис на таквите напади, особено за анти-хакери, бидејќи познавањето на користените технологии за хакирање ќе помогне да се спречат многу неволји.

Мрежно душкање

За душкање најчесто се користат етернет мрежи мрежни картичкистави во режим на слушање. Слушање Етернет мрежибара поврзување на компјутер што работи со програма за трагање со мрежен сегмент, по што хакерот има пристап до целиот мрежен сообраќај испратен и примен од компјутерите во овој мрежен сегмент. Уште полесно е да се пресретне сообраќајот на радио мрежите користејќи безжични мрежни посредници - во овој случај, дури и не треба да барате место за поврзување со кабелот. Или напаѓачот може да се поврзе на телефонската линија што го поврзува компјутерот со Интернет-серверот, наоѓајќи погодно место за ова (телефонските линии обично се поставуваат во подруми и други незаштитени места).

За да ја демонстрираме технологијата на душкање, ќе ја користиме многу популарната програма за душкање SpyNet, која може да се најде на многу веб-страници. Официјалната веб-страница на програмата SpyNet се наоѓа на http://members.xoom.com/layrentiu2/ , каде што можете да преземете демо верзија на програмата.

Програмата SpyNet се состои од две компоненти - CaptureNet и PipeNet. Програмата CaptureNet ви овозможува да снимате пакети пренесени преку етернет мрежа на ниво на мрежа, т.е. како етернет рамки. Програмата PipeNet ви овозможува да собирате етернет рамки во пакети со апликациски слој, обновувајќи, на пример, пораки Е-пошта, пораки за протокол HTTP (размена на информации со веб-сервер) и извршуваат други функции.

За жал, во демонстрацијата на SpyNet, можностите на PipeNet се ограничени на демото за создавање пакети HTTP, така што нема да можеме да го демонстрираме SpyNet во целост. Сепак, ќе ги демонстрираме можностите на шмркањето на мрежата SpyNet користејќи ја нашата експериментална мрежа како пример, со полагање текстуална датотекаод домаќинот Sword-2000 до домаќинот Alex-3 користејќи го вообичаеното Windows Explorer. Во исто време, на компјутерот A1ex-1, ќе ја извршиме програмата CaptureNet, која ќе ги пресретне пренесените пакети и ќе ни овозможи да ја читаме содржината на пренесената датотека во Ethernet рамки. На сл. 1 го прикажува текстот на тајната порака во датотеката secret.txt ; ќе се обидеме да го најдеме овој текст во пресретнати Ethernet рамки.

Ориз. 1. Текстот на тајната порака во прозорецот Notepad

Следете ги овие чекори за да снимате етернет рамки.

На компјутерот Alex-3, стартувајте ја програмата CaptureNet. Во прикажаниот работен прозорец на програмата, изберете ја командата од менито Capture * Start (Capture * Start) и започнете со процесот на пресретнување на мрежните рамки.

Со помош на Windows Explorer, копирајте ја датотеката security.txt од компјутерот Sword-2000 на A1ex-3.

Откако ќе ја префрлите датотеката secret.txt, изберете ја командата од менито Capture * Stop и запрете го процесот на снимање.

Сниманите Ethernet рамки ќе бидат прикажани на десната страна од работниот прозорец CaptureNet (Слика 2), при што секоја линија во горниот список претставува рамка за етернет, а под списокот ќе се прикаже содржината на избраната рамка.

Ориз. 2. Етернет рамката го содржи текстот на тајната порака

Гледајќи низ списокот на пресретнати рамки, лесно можеме да ја најдеме онаа што го содржи текстот што го пренесовме Ова е многу голема тајна (Ова е многу голема тајна).

Нагласуваме дека ова е наједноставниот пример, кога е снимен целиот пресретнат мрежен сообраќај. Програмата CaptureNet ви овозможува да снимате пакети испратени преку одредени протоколи и до одредени порти за домаќини, да избирате пораки со одредена содржина и да ги акумулирате снимените податоци во датотека. Техниката за извршување на вакви дејства е едноставна, а можете да ја научите од системот за помош на програмата SpyNet.

Покрај примитивното слушање на мрежата, на хакерите им се достапни и пософистицирани средства за пресретнување податоци. Подолу е даден краток преглед на таквите методи, меѓутоа, од теоретски аспект. Причината е што за мрежите на Виндоус, практичната имплементација на нападите за прислушување податоци е крајно ограничена, а збирот на сигурни алатки за напади за прислушување е прилично слаб.

Методи за пресретнување на мрежниот сообраќај

Слушањето на мрежата со мрежни трагачи програми како CaptureNet погоре е првиот, најлесниот начин за пресретнување податоци. Покрај SpyNet, мрежното душкање користи многу алатки кои првично беа развиени со цел да се анализира мрежната активност, да се дијагностицира мрежи, да се избере сообраќај според одредени критериуми и други задачи за администрирање на мрежата. Пример за таква програма е tcpdump (http://www.tcpdump.org), кој ви овозможува да напишете мрежниот сообраќај во посебен дневник за подоцнежна анализа.

За заштита од мрежно прислушување, се користат специјални програми, на пример, AntiSniff (http://www.securitysoftwaretech.com/antisniff ), кои можат да детектираат компјутери на мрежата кои слушаат мрежниот сообраќај. За да ги решат нивните проблеми, програмите против трагачи користат посебен знак за присуство на уреди за слушање на мрежата - мрежната картичка на компјутерот за трагачи мора да биде во посебен режим на слушање. Кога се во режим на слушање, мрежните компјутери реагираат на посебен начин на IP датаграми испратени до домаќинот што се тестира. На пример, домаќините за слушање обично го обработуваат целиот дојдовен сообраќај, а не само датаграмите испратени до адресата на домаќинот. Постојат и други знаци на сомнително однесување на домаќинот што AntiSniff може да ги препознае.

Лажни ARP барања

Со цел да се пресретне и да се вклучи процесот на мрежна комуникација помеѓу два домаќини А и Б, напаѓачот може да ги замени IP-адресите на домаќините во интеракција со своја IP адреса со испраќање лажни ARP (Address Resolution Protocol) пораки до домаќините A и B. . ARP протоколот може да се најде во Додаток D, кој опишува како да се реши (преведе) IP адресата на домаќинот во машинска адреса (MAC адреса) поврзана во NIC на домаќинот. Ајде да видиме како хакер може да го користи протоколот ARP за да ја пресретне мрежната комуникација помеѓу домаќините А и Б.

Напаѓачот ги одредува MAC адресите на домаќините A и B, на пример, користејќи ја командата nbtstat од пакетот W2RK.

Напаѓачот испраќа пораки до идентификуваните MAC адреси на хостовите А и Б, кои се фалсификувани ARP одговори на барањата за решавање на IP адресите на домаќините до MAC адресите на компјутерите. На домаќинот А му е кажано дека IP адресата на домаќинот Б се совпаѓа со MAC адресата на компјутерот на напаѓачот; На домаќинот Б му е кажано дека IP адресата на домаќинот А исто така се совпаѓа со MAC адресата на компјутерот на напаѓачот.

Домаќините А и Б ги внесуваат примените MAC адреси во нивните ARP кешови и потоа ги користат за испраќање пораки еден на друг. Бидејќи IP адресите А и Б одговараат на MAC адресата на компјутерот на напаѓачот, домаќините А и Б, несвесни за ништо, комуницираат преку посредник способен да прави што сакаат со нивните пораки.

За да се заштитат од такви напади, мрежните администратори мора да одржуваат база на податоци со табела за мапирање помеѓу MAC адресите и IP адресите на нивните мрежни компјутери. Следно, со користење на специјален софтвер, на пример, алатката arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz ) може периодично да ја скенира мрежата за недоследности.

На мрежите UNIX, овој вид на ARP-напад на измама може да се имплементира со користење на алатките за следење и контрола на мрежниот сообраќај на системот, како што е arpredirect . За жал, се чини дека мрежите на Windows 2000/XP не имплементираат толку сигурни комунални услуги. На пример, на веб-страницата NTsecurity (http://www.ntsecurity.nu) можете да ја преземете алатката GrabitAII, која е претставена како алатка за пренасочување на сообраќајот помеѓу мрежните хостови. Сепак, елементарната проверка на перформансите на алатката GrabitAII покажува дека сè уште е далеку од целосен успех во спроведувањето на своите функции.

Лажно рутирање

За да изврши рутирање на мамките, напаѓачот мора да знае некои детали за организацијата на локалната мрежа во која се наоѓа домаќинот А, особено, IP адресата на рутерот преку кој сообраќајот се испраќа од домаќинот А до Б. Знаејќи го ова, напаѓачот ќе формира IP датаграм во кој IP - изворната адреса е наведена како IP адреса на рутерот, а дестинацијата е домаќинот A. Исто така вклучена во датаграмот е и пораката ICMP Redirect со полето за адреса на новиот рутер поставено на IP адресата на компјутерот на напаѓачот. Откако ја примил таквата порака, домаќинот А ќе ги испрати сите пораки до IP адресата на компјутерот на напаѓачот.

Практичната имплементација на сите криптографски методи за заштита на размена на информации опишани во Поглавје 4 е обезбедена од VPN (Виртуелни приватни мрежи - Виртуелни приватни мрежи). Краток преглед на принципите и методите на криптографска заштита може да се најде во Додаток Е, и Детален опискриптографска заштита обезбедена од PGP Desktop Security (http://www.pgp.com ).

Пресретнување на TCP конекција

Создадени се неколку ефективни алатки за извршување на напади со киднапирање на TCP, но сите тие се имплементирани за платформата Unix, а овие алатки се достапни на веб-страниците само во форма на изворен код. Така, ние, како убедени практичари во благородната кауза на хакирањето, имаме мала употреба за напади со пресретнување на TCP конекција. (Аматерите за да го разберат туѓиот програмски код може да се повикаат на страницата http://www.cri.cz/~kra/index.html , каде што можете да преземете извордобро позната алатка за пресретнување на TCP конекција Hunt од Павел Крауз).

И покрај недостатокот на практични алатки, не можеме да игнорираме толку интересна тема како што е пресретнувањето на TCP конекции и да се задржиме на некои аспекти на таквите напади. Некои информации за структурата на TCP пакетот и како се воспоставуваат TCP врските се дадени во Додаток D од оваа книга, но овде ќе се фокусираме на прашањето - што точно им дозволува на хакерите да вршат напади на пресретнување на TCP конекција? Да ја разгледаме оваа тема подетално, врз основа главно на дискусијата во и.

TCP (Transmission Control Protocol) е еден од основните протоколи за транспортен слој на OSI кој ви овозможува да воспоставите логички врски преку виртуелен комуникациски канал. Пакетите се пренесуваат и примаат преку овој канал со регистрација на нивната секвенца, се контролира протокот на пакети, се организира реемитување на искривените пакети и на крајот од сесијата се прекинува каналот за комуникација. TCP протоколот е единствениот основен протокол во семејството TCP/IP кој има напреден систем за идентификација на пораки и конекција.

За да се идентификува TCP пакетот, постојат два 32-битни идентификатори во насловот на TCP, кои исто така играат улога на бројач на пакети, наречен секвенциски број и број за потврда. Ќе нè интересира и друго поле од TCP пакетот, наречено контролни битови. Ова 6-битно поле ги вклучува следните контролни битови (по редослед од лево кон десно):

УРГ - итно знаме;

ACK - знаменце за потврда;

PSH - знаме за носење;

RST - знаменце за ресетирање на врската;

SYN - знаменце за синхронизација;

FIN - знаменце за завршување на врската.

Размислете за постапката за создавање на TCP конекција.

1. Ако домаќинот А треба да воспостави TCP врска со домаќинот B, тогаш домаќинот А ја испраќа следнава порака до домаќинот B:

A -> B: SYN, ISSa

Ова значи дека пораката испратена од домаќинот А има поставено знаменце SYN (Синхронизирај секвенциски број), а полето за број на секвенца е поставено на почетната 32-битна ISSa (Почетен број на секвенца).

2. Како одговор на барањето добиено од домаќинот А, домаќинот Б одговара со порака со поставени битови SYN и поставени битови ACK. Во полето за број на низа, домаќинот B ја поставува својата почетна бројач вредност, ISSb; полето за број за потврда потоа ќе ја содржи вредноста на ISSa добиена во првиот пакет од домаќинот А плус еден. Така, домаќинот Б одговара со оваа порака:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Конечно, домаќинот A испраќа порака до домаќинот B во која: ACK битот е поставен; полето за сериски број ја содржи вредноста ISSa + 1 ; полето за потврда за број ја содржи вредноста ISSb + 1 . После тоа, TCP врската помеѓу домаќините А и Б се смета за воспоставена:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Домаќинот А сега може да испраќа пакети со податоци до домаќинот Б преку новосоздадениот виртуелен канал TCP:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ПОДАТОЦИ

Овде DATA означува податоци.

Од алгоритмот за создавање на TCP конекција дискутиран погоре, може да се види дека единствените идентификатори на TCP претплатниците и TCP-врската се два параметри од 32-битен секвенционен број и број за потврда - ISSa и ISSb. Затоа, ако хакерот успее да ги дознае тековните вредности на полињата ISSa и ISSb, тогаш ништо нема да го спречи да генерира фалсификуван TCP пакет. Ова значи дека е доволно хакер да ги собере тековните вредности на параметрите ISSa и ISSb на TCP пакет за дадена TCP конекција, да испрати пакет од кој било Интернет хост во име на клиент на оваа TCP конекција, и овој пакет ќе биде прифатен како валиден!

Опасноста од ваквото лажирање на TCP пакетите е исто така важна бидејќи протоколите FTP и TELNET на високо ниво се имплементирани врз основа на протоколот TCP, а идентификацијата на FTP клиентите и TELNET пакетите е целосно заснована на протоколот TCP.

Исто така, бидејќи протоколите FTP и TELNET не ги проверуваат IP адресите на испраќачите на пораки, по примањето на лажен пакет, серверите FTP или TELNET ќе испратат порака за одговор до IP адресата на хакерскиот хост наведен во лажниот пакет. После тоа, хакерскиот хост ќе започне да работи со серверот FTP или TELNET од неговата IP адреса, но со правата на легално поврзан корисник, кој, пак, ќе ја изгуби врската со серверот поради несовпаѓање на контра.

Така, за да се изврши нападот опишан погоре, неопходен и доволен услов е познавањето на двата тековни 32-битни параметри ISSa и ISSb, кои идентификуваат TCP конекција. Да се разгледа можни начинипримајќи ги. Во случај кога хакерски домаќин е поврзан со нападнатиот мрежен сегмент, задачата за добивање вредности на ISSa и ISSb е тривијална и се решава со анализа на мрежниот сообраќај. Затоа, мора јасно да се разбере дека протоколот TCP овозможува, во принцип, да ја заштити врската само ако е невозможно напаѓачот да пресретне пораки пренесени преку оваа врска, односно само ако хакерскиот хост е поврзан со мрежен сегмент различен од сегментот на претплатници на TCP конекцијата.

Затоа, нападите меѓу сегментите се од најголем интерес за хакерот, кога напаѓачот и неговата цел се во различни мрежни сегменти. Во овој случај, задачата за добивање на вредностите на ISSa и ISSb не е тривијална. За да се реши овој проблем, досега се измислени само два методи.

Математичко предвидување на почетната вредност на параметрите за поврзување TCP со екстраполација на претходните вредности на ISSa и ISSb.

Експлоатација на пропусти во идентификацијата на претплатниците на TCP конекција на Unix rsh серверите.

Првата задача е решена со длабински студии за имплементацијата на протоколот TCP во различни оперативни системии сега е чисто теоретски. Вториот проблем е решен со користење на ранливости Unix системисо идентификување на доверливи домаќини. (Доверлив хост А е мрежен домаќин Б чиј корисник може да се поврзе со домаќинот А без автентикација користејќи ја r-услугата на домаќинот А). Со манипулирање со параметрите на TCP пакетите, хакерот може да се обиде да имитира доверлив хост и да пресретне TCP врска со нападнатиот домаќин.

Сето ова е многу интересно, но практичните резултати од овој вид на истражување сè уште не се видливи. Затоа, ги советуваме сите кои сакаат да навлезат во оваа тема да се повикаат на книгата, од каде, генерално, се преземени горенаведените информации.

Заклучок

Мрежното прислушување е најефективната техника за хакирање на мрежата, која му овозможува на хакерот да ги добие буквално сите информации што циркулираат низ мрежата. Алатките за душкање добија најголем практичен развој, т.е. слушање мрежи; сепак, не треба да ги игнорираме методите за пресретнување на мрежните податоци, извршени со попречување на нормалното функционирање на мрежата со цел да се пренасочи сообраќајот кон хакерски домаќин, особено методите за пресретнување на TCP конекции. Меѓутоа, во пракса, последните споменати методи сè уште не добиле доволен развој и треба да се подобрат.

Антихакерот треба да знае дека единствениот начин да се спречи следењето на податоците е да ги шифрира, т.е. криптографски методи на заштита. Кога испраќате порака преку мрежата, треба однапред да се претпостави дека кабелскиот систем на мрежата е апсолутно ранлив и секој хакер што ќе се поврзе на мрежата ќе може да ги фати сите тајни пораки пренесени од неа. Постојат две технологии за решавање на овој проблем - создавање VPN мрежа и шифрирање на самите пораки. Сите овие задачи се многу лесни за решавање со помош на софтверскиот пакет PGP Desktop Security (неговиот опис може да се најде, на пример, во).

Популарни во категоријата: