LA CLOCHE

Il y a ceux qui ont lu cette nouvelle avant vous.
Abonnez-vous pour recevoir les derniers articles.
Email
Nom
Nom de famille
Comment voulez-vous lire The Bell
Pas de spam

Wireshark (intercepteur de paquets réseau). Analyse de réseau avec les lignes noires de Wireshark Wireshark

Partager
Partager
Tweet
Comme
Comme

Bonjour le monde! Parlons maintenant d'une méthode utile de dépannage et de recherche de problèmes sur les routeurs. MikroTik... L'essence de cette méthode est de capturer ("sniff") les paquets passant par certaines interfaces de notre routeur et de les analyser immédiatement en utilisant Wireshark.

Conditions préalables

Donc, pour utiliser cette méthode, nous avons besoin de:

  • Routeur MikroTik (dans notre cas, nous avons utilisé RB951Ui-2HnD avec la version 6.40.2 du firmware RouterOS)
  • Programme Wireshark (dans notre cas la version 2.4.1)
  • Un ordinateur ou un serveur sur le même réseau qu'un routeur exécutant Wireshark

Personnalisation

Tout d'abord, ouvrez Wireshark, sélectionnez l'interface sur laquelle nous voulons «renifler» (dans notre cas, c'est Ethernet, c'est-à-dire l'interface par laquelle l'ordinateur se connecte au routeur) et installez le filtre suivant - port udp 37008... Comme le montre l'image:

Il est clair que si nous commençons à capturer des paquets sans ce filtre, alors tout le trafic qui passe par cette interface nous tombera simplement, et nous ne voulons pas de cela.

De quel type de filtre s'agit-il et quel type de port - 37008 ? Le fait est que MikroTik envoie des datagrammes UDP, c'est-à-dire tout le trafic intercepté, vers ce port. serveur de streaming, et comme ce serveur de streaming, comme vous l'avez peut-être deviné, notre ordinateur exécute Wireshark. Ces paquets sont encapsulés à l'aide du protocole TZSP (TaZmen Sniffer Protocol), qui est utilisé pour transporter d'autres protocoles en soi.

Ainsi, nous commençons à capturer des paquets sur une interface spécifique avec un filtre port udp 37008 et nous voyons que rien ne se passe et qu'il n'y a pas de paquets.


Et maintenant, la chose la plus intéressante - nous nous connectons à MikroTik via WinBox, allez à la section Outils Plus loin Renifleur de paquets et nous voyons la fenêtre suivante avec les paramètres:


Dans l'onglet Général on peut tout laisser par défaut, aller dans l'onglet Diffusion:


Nous mettons une coche Streaming activé, sur le terrain Serveur nous indiquons l'adresse IP de notre ordinateur sur lequel Wireshark a été lancé et cochons Filtrer le fluxpour activer le filtre qui sera configuré dans l'onglet suivant - Filtre

Sur cet onglet, nous pouvons filtrer le trafic qui nous intéresse. Par exemple, nous avons un IP-PBX Asterisk sur notre réseau et nous voulons voir quels paquets il reçoit et envoie via le routeur MikroTik. Ainsi, par exemple, vous pouvez suivre la communication de l'IP-PBX avec le serveur du fournisseur de services VoIP.

Ainsi, nous sélectionnons les interfaces sur lesquelles nous voulons attraper les paquets (dans notre cas, il s'agit d'un pont), puis nous filtrons le trafic par une adresse IP spécifique sur le terrain Adresse IP (Notre IP-PBX), nous indiquons le protocole - 17 (udp) et port 5060 (gorgée)... Nous indiquons n'importe quelle direction - tout et Fonctionnement du filtre = ou , c'est-à-dire que la logique de ce filtre est «ou». Si vous souhaitez capturer des paquets uniquement par un filtre strictement défini, la logique doit être spécifiée et, c'est-à-dire que toutes les conditions de filtre correspondent.


Super, maintenant nous allons à Wireshark et voyons qu'il a déjà capturé les paquets nécessaires pour nous conformément aux règles de filtrage.


Dans notre cas, il s'agit de la communication de l'IP-PBX Asterisk avec le serveur du fournisseur de services VoIP, d'une demande d'enregistrement et de confirmation de l'autre côté. Veuillez noter que le type d'encapsulation est TZSPcependant, Wireshark a pu désencapsuler correctement ces paquets et nous les afficher siroter.

Cet article vous est-il utile?

Veuillez nous dire pourquoi?

Nous sommes désolés que l'article ne vous ait pas été utile: (S'il vous plaît, si cela ne vous complique pas, indiquez pourquoi? Nous vous serons très reconnaissants pour une réponse détaillée. Merci de nous aider à devenir meilleurs!


Cette leçon décrit les technologies de piratage réseau basées sur la capture de paquets réseau. Les pirates utilisent de telles technologies pour écouter le trafic réseau afin de voler des informations précieuses, pour organiser l'interception de données dans le but d'une attaque d'interception, pour intercepter les connexions TCP qui permettent, par exemple, d'usurper des données et d'effectuer d'autres actions tout aussi intéressantes. Malheureusement, la plupart de ces attaques en pratique ne sont implémentées que pour les réseaux Unix, pour lesquels les pirates peuvent utiliser à la fois des utilitaires spéciaux et des outils système Unix. Les réseaux Windows sont apparemment contournés par les pirates, et nous sommes obligés de nous limiter à la description des outils d'interception de données par des programmes de renifleurs conçus pour écouter trivialement les paquets réseau. Néanmoins, il ne faut pas négliger au moins une description théorique de telles attaques, notamment par des anti-hackers, car la connaissance des technologies de piratage utilisées permettra d'éviter de nombreux troubles.

Reniflage de réseau

Pour renifler les réseaux Ethernet, on utilise généralement des cartes réseau qui sont mises en mode d'écoute. L'écoute électronique sur un réseau Ethernet nécessite qu'un ordinateur exécutant un programme de détection pour se connecter à un segment de réseau, après quoi tout le trafic réseau envoyé et reçu par les ordinateurs de ce segment de réseau devient disponible pour le pirate. Il est encore plus facile d'intercepter le trafic des réseaux radio à l'aide d'intermédiaires de réseau sans fil - dans ce cas, vous n'avez même pas besoin de chercher un endroit pour vous connecter au câble. Alternativement, un attaquant peut se connecter à une ligne téléphonique reliant un ordinateur à un serveur Internet, trouvant un endroit pratique pour cela (les lignes téléphoniques sont généralement posées dans des sous-sols et autres endroits peu fréquentés sans aucune protection).

Pour démontrer la technologie du reniflement, nous utiliserons un programme de renifleur très populaire SpyNetqui peuvent être trouvés sur de nombreux sites Web. Site officiel du programme SpyNet situé à http://members.xoom.com/layrentiu2/où vous pouvez télécharger la version de démonstration du programme.

Programme SpyNet se compose de deux composants - CaptureNet et PipeNet... Programme CaptureNet vous permet d'intercepter les paquets transmis via Ethernet au niveau du réseau, c'est-à-dire sous forme de trames Ethernet. Programme PipeNet vous permet de collecter des trames Ethernet dans des paquets de couche application, en récupérant, par exemple, des messages électroniques, des messages HTTP (communication avec le serveur Web) et d'autres fonctions.

Malheureusement en version démo SpyNet capacités PipeNet sont limités à la version de démonstration du package HTTP, nous ne pouvons donc pas montrer comment cela fonctionne SpyNet dans son intégralité. Cependant, nous démontrerons les capacités du sniffing de réseau SpyNet sur l'exemple de notre réseau expérimental, transfert d'un fichier texte depuis l'hôte Épée-2000 par hôte Alex-Z en utilisant l'Explorateur Windows standard. Simultanément sur l'ordinateur A1ex-1 nous allons lancer le programme CaptureNet, qui interceptera les paquets transmis et vous permettra de lire le contenu du fichier transmis en trames Ethernet. En figue. 1 montre le texte du message secret dans le fichier secret.txt; nous essaierons de retrouver ce texte dans les trames Ethernet capturées.

Figure: 1. Le texte du message secret dans la fenêtre Bloc-notes

Suivez ces étapes pour capturer les trames Ethernet.

Sur l'ordinateur Alex-Z lancer le programme CaptureNet... Dans la fenêtre de travail affichée du programme, sélectionnez la commande de menu Capture * Début (Capture * Start) et démarrez le processus de capture des trames réseau.

À l'aide de l'Explorateur Windows, copiez le fichier security.txt depuis votre ordinateur Épée-2000 sur A1ex-3.

Après avoir transféré le fichier secret.txt, sélectionnez la commande de menu Capturer * Arrêter (Capture * Stop) et arrêtez le processus d'interception.

Les trames Ethernet capturées seront affichées dans la partie droite de la fenêtre de travail du programme CaptureNet (Fig. 2), chaque ligne de la liste supérieure représentant une trame Ethernet et sous la liste, le contenu de la trame sélectionnée est affiché.

Figure: 2. La trame Ethernet contient le texte du message secret

Après avoir parcouru la liste des images interceptées, nous pouvons facilement trouver celle qui contient le texte que nous avons transféré C'est un très grand secret (c'est un très grand secret).

Soulignons qu'il s'agit de l'exemple le plus simple, lorsque tout le trafic réseau intercepté a été enregistré. Programme CaptureNet vous permet d'intercepter des paquets envoyés via des protocoles spécifiques et vers des ports hôtes spécifiques, de sélectionner des messages avec un contenu spécifique et d'accumuler les données interceptées dans un fichier. La technique pour effectuer de telles actions est simple et vous pouvez la maîtriser en utilisant le système d'aide du programme. SpyNet.

En plus de l'écoute électronique primitive, les pirates ont accès à des outils d'interception de données plus sophistiqués. Voici un bref aperçu de ces méthodes, bien que sous un aspect théorique. La raison en est que pour les réseaux Windows, la mise en œuvre pratique des attaques d'interception de données est extrêmement limitée et l'ensemble d'outils fiables pour les attaques d'interception est plutôt rare.

Méthodes d'interception du trafic réseau

Renifler le réseau avec des renifleurs de réseau comme celui ci-dessus CaptureNet, est le premier moyen le plus simple d'intercepter des données. outre SpyNet Pour le reniflement de réseau, de nombreux outils sont utilisés, développés à l'origine dans le but d'analyser l'activité du réseau, de diagnostiquer les réseaux, de sélectionner le trafic selon des critères spécifiés et d'autres tâches d'administration du réseau. Un exemple d'un tel programme est tcpdump (http://www.tcpdump.org), qui vous permet d'enregistrer le trafic réseau dans un journal spécial pour une analyse plus approfondie.

Pour se protéger contre l'écoute clandestine du réseau, des programmes spéciaux sont utilisés, par exemple, AntiSniff (http://www.securitysoftwaretech.com/antisniff) capables de détecter les ordinateurs du réseau qui écoutent le trafic réseau. Les programmes Antisnifer pour résoudre leurs problèmes utilisent un signe spécial de la présence de périphériques d'écoute sur le réseau - la carte réseau de l'ordinateur renifleur doit être dans un mode d'écoute spécial. En mode d'écoute, les ordinateurs du réseau réagissent de manière particulière aux datagrammes IP envoyés à l'adresse de l'hôte testé. Par exemple, les hôtes à l'écoute traitent généralement tout le trafic entrant, sans se limiter aux datagrammes envoyés à l'adresse d'hôte. Il existe d'autres signes de comportement suspect de l'hôte que le programme peut reconnaître AntiSniff.

Sans aucun doute, l'écoute clandestine est très utile du point de vue d'un attaquant, car elle permet d'obtenir beaucoup d'informations utiles - mots de passe transmis sur le réseau, adresses d'ordinateurs du réseau, données confidentielles, lettres, etc. Cependant, une simple écoute indiscrète empêche un pirate d'interférer avec la communication réseau entre deux hôtes afin de modifier et de falsifier les données. Pour résoudre ce problème, une technologie plus complexe est nécessaire.

Spoof requêtes ARP

Pour intercepter et fermer le processus de communication réseau entre deux hôtes A et B, un attaquant peut usurper les adresses IP des hôtes en interaction avec sa propre adresse IP en envoyant de faux messages ARP (Address Resolution Protocol) aux hôtes A et B. Vous pouvez en savoir plus sur ARP dans l'annexe D, qui décrit la procédure de résolution (traduction) de l'adresse IP d'un hôte en une adresse machine (adresse MAC) câblée dans la carte réseau de l'hôte. Voyons comment un pirate informatique peut utiliser ARP pour intercepter la communication réseau entre les hôtes A et B.

Pour intercepter le trafic réseau entre les hôtes A et B, le hacker impose son adresse IP sur ces hôtes afin que A et B utilisent cette fausse adresse IP lors de l'échange de messages. Pour imposer son adresse IP, un hacker effectue les opérations suivantes.

Un attaquant détermine les adresses MAC des hôtes A et B, par exemple, à l'aide de la commande nbtstat du paquet W2RK.

L'attaquant envoie des messages aux adresses MAC identifiées des hôtes A et B, qui sont de fausses réponses ARP aux demandes de résolution des adresses IP d'hôte en adresses MAC d'ordinateurs. L'hôte A est informé que l'adresse IP de l'hôte B correspond à l'adresse MAC de l'ordinateur de l'attaquant; l'hôte B est informé que l'adresse IP de l'hôte A correspond également à l'adresse MAC de l'attaquant.

Les hôtes A et B entrent les adresses MAC reçues dans leurs caches ARP, puis les utilisent pour s'envoyer des messages. Puisque les adresses IP de A et B correspondent à l'adresse MAC de l'ordinateur de l'attaquant, les hôtes A et B, sans se douter de rien, communiquent par un intermédiaire capable de faire ce qu'ils veulent avec leurs messages.

Pour se protéger contre de telles attaques, les administrateurs réseau doivent maintenir une base de données avec une table de mappage des adresses MAC et des adresses IP de leurs ordinateurs en réseau. De plus, en utilisant un logiciel spécial, par exemple un utilitaire arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz), vous pouvez régulièrement inspecter le réseau et identifier les incohérences.

Sur les réseaux UNIX, ce type d'attaque ARP bidon peut être implémenté à l'aide d'utilitaires système pour surveiller et contrôler le trafic réseau, tels que arpredirect... Malheureusement, dans les réseaux Windows 2000 / XP, de tels utilitaires fiables ne sont apparemment pas mis en œuvre. Par exemple, sur le site Web NTsecurity ( http://www.ntsecurity.nu) vous pouvez télécharger l'utilitaire GrabitAIIprésenté comme un moyen de rediriger le trafic entre les hôtes du réseau. Cependant, un contrôle élémentaire de l'utilité GrabitAII montre qu'il est encore loin d'avoir un succès complet dans la mise en œuvre de ses fonctions.

Faux routage

Pour intercepter le trafic réseau, un attaquant peut usurper la véritable adresse IP d'un routeur réseau avec sa propre adresse IP, par exemple, en utilisant de faux messages de redirection ICMP. L'hôte A doit, selon la RFC-1122, interpréter le message de redirection reçu comme une réponse à un datagramme envoyé à un autre hôte, par exemple B.L'hôte A détermine ses actions sur le message de redirection en fonction du contenu du message de redirection reçu, et si la redirection de datagramme est définie dans Redirection de A à B sur une nouvelle route, c'est ce que fera l'hôte A.

Pour effectuer un faux routage, l'attaquant doit connaître certains détails sur l'organisation du réseau local dans lequel se trouve l'hôte A, en particulier, l'adresse IP du routeur à travers lequel le trafic est envoyé de l'hôte A vers B. Sachant cela, l'attaquant va former un datagramme IP dans lequel IP - l'adresse source est définie comme l'adresse IP du routeur et la destination est l'hôte A. De plus, le datagramme comprend un message de redirection ICMP avec le nouveau champ d'adresse du routeur défini comme l'adresse IP de l'ordinateur attaquant. À la réception d'un tel message, l'hôte A enverra tous les messages à l'adresse IP de l'ordinateur de l'attaquant.

Pour vous protéger contre une telle attaque, désactivez (par exemple, à l'aide d'un pare-feu) le traitement des messages de redirection ICMP sur l'hôte A, et la commande peut identifier l'adresse IP de l'ordinateur de l'attaquant. tracert (sous Unix, c'est la commande tracerout). Ces utilitaires sont capables de trouver une route supplémentaire apparue sur le réseau local, qui n'était pas prévue lors de l'installation, si, bien entendu, l'administrateur réseau est vigilant.

Les exemples d'interceptions ci-dessus (par lesquels les capacités des attaquants sont loin d'être limitées) démontrent la nécessité de protéger les données transmises sur le réseau si les données contiennent des informations confidentielles. La seule méthode de protection contre l'interception du trafic réseau est l'utilisation de programmes qui mettent en œuvre des algorithmes cryptographiques et des protocoles de cryptage, et pour empêcher la divulgation et la substitution d'informations classifiées. Pour résoudre ces problèmes, la cryptographie fournit des moyens de chiffrement, de signature et de vérification de l'authenticité des messages transmis via des protocoles sécurisés.

Les réseaux privés virtuels (VPN) fournissent des implémentations pratiques pour toutes les méthodes cryptographiques de sécurisation des communications décrites au chapitre 4. Un bref aperçu des principes et méthodes de protection cryptographique se trouve à l'annexe E, et dans la description détaillée des protections cryptographiques fournies par l'application. Sécurité du bureau PGP (http://www.pgp.com).

Détourner une connexion TCP

L'attaque d'interception de trafic réseau la plus sophistiquée est le piratage TCP, lorsqu'un pirate interrompt la session de communication en cours avec l'hôte en générant et en envoyant des paquets TCP à l'hôte attaqué. En outre, en utilisant les capacités du protocole TCP pour restaurer la connexion TCP interrompue, le pirate intercepte la session de communication interrompue et la poursuit à la place du client déconnecté.

Plusieurs utilitaires efficaces ont été créés pour mener des attaques de détournement de connexion TCP, mais ils sont tous implémentés pour la plate-forme Unix, et ces utilitaires ne sont présentés qu'en code source sur les sites Web. Ainsi, nous, en tant que praticiens convaincus de la noble cause du piratage, sommes peu utiles aux attaques en interceptant une connexion TCP. (Ceux qui aiment comprendre le code de programme de quelqu'un d'autre peuvent se référer au site http://www.cri.cz/~kra/index.htmloù vous pouvez télécharger le code source du célèbre utilitaire d'interception de connexion TCP Chasser de Pavel Krauz).

Malgré le manque d'outils pratiques, nous ne pouvons pas ignorer un sujet aussi intéressant que l'interception des connexions TCP, et nous attarder sur certains aspects de ces attaques. Certaines informations sur la structure d'un paquet TCP et l'ordre dans lequel les connexions TCP sont établies sont données dans l'annexe D de ce livre, mais ici nous allons nous concentrer sur cette question - qu'est-ce qui permet exactement aux pirates d'effectuer des attaques en interceptant les connexions TCP? Examinons ce sujet plus en détail, en nous appuyant principalement sur la discussion dans et.

TCP (Transmission Control Protocol) est l'un des protocoles de base de la couche de transport OSI qui permet d'établir des connexions logiques sur un canal de communication virtuel. Les paquets sont transmis et reçus via ce canal avec l'enregistrement de leur séquence, le flux de paquets est contrôlé, les paquets déformés sont retransmis et à la fin de la session le canal de communication est interrompu. TCP est le seul protocole de base de la famille TCP / IP doté d'un système avancé d'identification des messages et des connexions.

Pour identifier un paquet TCP, il y a deux identificateurs 32 bits dans l'en-tête TCP, qui agissent également comme un compteur de paquets, appelé un numéro de séquence et un numéro d'accusé de réception. Nous nous intéresserons également à un autre champ du paquet TCP, appelé bits de contrôle. Ce champ de 6 bits contient les bits de contrôle suivants (dans l'ordre de gauche à droite):

URG - indicateur d'urgence;

ACK - indicateur de confirmation;

PSH - porter le drapeau;

RST - indicateur de rétablissement de la connexion;

SYN - indicateur de synchronisation;

FIN - indicateur de fin de connexion.

Voyons comment créer une connexion TCP.

1. Si l'hôte A doit établir une connexion TCP avec l'hôte B, l'hôte A envoie à l'hôte B le message suivant:

A -\u003e B: SYN, ISSa

Cela signifie que le message envoyé par l'hôte A a l'indicateur SYN (numéro de séquence de synchronisation) défini et que le champ de numéro de séquence est défini sur le numéro de séquence initial (ISSa) 32 bits.

2. En réponse à la demande reçue de l'hôte A, l'hôte B répond par un message dans lequel le bit SYN est mis à 1 et le bit ACK est mis à 1. Dans le champ du numéro de séquence, l'hôte B définit sa valeur de compteur initiale - ISSb; le champ du numéro de confirmation contiendra la valeur ISSa reçue dans le premier paquet de l'hôte A, incrémentée de un. Ainsi, l'hôte B répond avec le message suivant:

B -\u003e A: SYN, ACK, ISSb, ACK (ISSa + 1)

3. Enfin, l'hôte A envoie un message à l'hôte B avec: bit défini DEMANDER; le champ du numéro de séquence contient la valeur ISSa + 1; le champ du numéro de confirmation contient la valeur ISSb + 1... Après cette connexion TCP entre les hôtes ET et DANS considéré comme établi:

A -\u003e B: ACK, ISSa + 1, ACK (ISSb + 1)

4. Maintenant l'hôte ET peut envoyer des paquets de données à l'hôte DANS sur le canal TCP virtuel nouvellement créé:

A -\u003e B: ACK, ISSa + 1, ACK (ISSb + 1); LES DONNÉES

Ici LES DONNÉES désigne des données.

Il peut être vu à partir de l'algorithme ci-dessus pour créer une connexion TCP que les seuls identifiants des abonnés TCP et des connexions TCP sont deux paramètres 32 bits du numéro de séquence et du numéro de confirmation - ISSa et ISSb... Par conséquent, si un pirate parvient à connaître les valeurs actuelles des champs ISSa et ISSb, alors rien ne l'empêchera de former un faux paquet TCP. Cela signifie qu'un pirate n'a besoin que de trouver les valeurs actuelles des paramètres ISSa et ISSb un paquet TCP pour une connexion TCP donnée, envoyez un paquet depuis n'importe quel hôte sur Internet au nom d'un client pour une connexion TCP donnée, et ce paquet sera accepté comme valide!

Le danger d'une telle usurpation des paquets TCP est également important car les protocoles FTP et TELNET de haut niveau sont implémentés sur la base du protocole TCP, et l'identification des clients FTP et des paquets TELNET est entièrement basée sur le protocole TCP.

De plus, comme les protocoles FTP et TELNET ne vérifient pas les adresses IP des expéditeurs de messages, après avoir reçu un faux paquet, les serveurs FTP ou TELNET enverront un message de réponse à l'adresse IP de l'hôte hacker spécifié dans le faux paquet. Après cela, l'hôte pirate commencera à travailler avec le serveur FTP ou TELNET à partir de son adresse IP, mais avec les droits de l'utilisateur légalement connecté, qui, à son tour, perdra la connexion avec le serveur en raison d'une discordance dans les compteurs.

Ainsi, pour mener à bien l'attaque décrite ci-dessus, une condition nécessaire et suffisante est la connaissance des deux paramètres 32 bits actuels ISSa et ISSbidentifiant la connexion TCP. Considérons les moyens possibles de les obtenir. Dans le cas où l'hôte pirate est connecté au segment de réseau attaqué, la tâche d'obtenir des valeurs ISSa et ISSb est trivial et est résolu en analysant le trafic réseau. Par conséquent, il faut bien comprendre que le protocole TCP permet, en principe, de protéger la connexion uniquement s'il est impossible pour l'attaquant d'intercepter les messages transmis via cette connexion, c'est-à-dire uniquement si l'hôte hacker est connecté à un segment de réseau différent du segment de connexion TCP de l'abonné.

Par conséquent, les plus intéressantes pour un hacker sont les attaques intersectorielles, lorsque l'attaquant et sa cible se trouvent dans des segments de réseau différents. Dans ce cas, la tâche d'obtenir des valeurs ISSa et ISSb n'est pas anodin. Pour résoudre ce problème, seules deux voies ont été inventées.

Prédiction mathématique de la valeur initiale des paramètres de connexion TCP en extrapolant les valeurs précédentes ISSa et ISSb.

Exploitation de vulnérabilités pour identifier les abonnés des connexions TCP sur les serveurs Unix rsh.

Le premier problème est résolu par des études approfondies de l'implémentation du protocole TCP dans différents systèmes d'exploitation et a désormais une valeur purement théorique. Le deuxième problème est résolu en exploitant les vulnérabilités du système Unix pour identifier les hôtes de confiance. (Approuvé par rapport à cet hôte ET appelé l'hôte du réseau DANSdont l'utilisateur peut se connecter à l'hôte ET pas d'authentification avec l'hôte r-service ET). En manipulant les paramètres de paquet TCP, un pirate peut essayer de se faire passer pour un hôte de confiance et d'intercepter la connexion TCP avec l'hôte attaqué.

Tout cela est très intéressant, mais les résultats pratiques de ce type de recherche ne sont pas encore visibles. Par conséquent, nous conseillons à tous ceux qui souhaitent approfondir ce sujet de se référer au livre, d'où, en général, les informations ci-dessus ont été prises.

Conclusion

L'interception des données du réseau est la méthode la plus efficace de piratage de réseau, permettant à un hacker d'obtenir pratiquement toutes les informations circulant sur le réseau. Le développement le plus pratique a été reçu au moyen du reniflement, c.-à-d. écoute des réseaux; cependant, il est impossible d'ignorer les méthodes d'interception des données réseau, effectuées en interférant avec le fonctionnement normal du réseau afin de rediriger le trafic vers un hôte pirate, en particulier les méthodes d'interception des connexions TCP. Cependant, dans la pratique, les dernières méthodes mentionnées n'ont pas encore été suffisamment développées et doivent être améliorées.

Un anti-pirate doit savoir que le seul moyen de sauver de l'interception de données est le cryptage, c'est-à-dire méthodes de protection cryptographique. Lors de l'envoi d'un message sur le réseau, il faut supposer à l'avance que le système câblé du réseau est absolument vulnérable et que tout pirate informatique qui se connecte au réseau pourra récupérer tous les messages secrets transmis. Il existe deux technologies pour résoudre ce problème: la création d'un réseau VPN et le chiffrement des messages eux-mêmes. Toutes ces tâches sont très faciles à résoudre à l'aide du progiciel Sécurité du bureau PGP (sa description peut être trouvée, par exemple, dans).

introduction

Parfois, des problèmes surviennent dans le fonctionnement d'un réseau informatique et de la pile réseau de nœuds, dont les causes sont difficiles à détecter avec des utilitaires de collecte de statistiques bien connus (tels que netstat) et des applications ICMP standard (ping, traceroute / tracert, etc.). Dans de tels cas, pour diagnostiquer les problèmes, il est souvent nécessaire d'utiliser des outils plus spécifiques qui vous permettent d'afficher (d'écouter) le trafic réseau et de l'analyser au niveau des unités de transmission des protocoles individuels ( Reniflement).

Analyseurs de protocole réseau ou "Renifleurs" sont extrêmement utiles outils pour étudier le comportement des nœuds de réseau et résoudre les problèmes de réseau... Bien entendu, comme tout outil, par exemple un couteau tranchant, un renifleur peut être soit une aubaine entre les mains d'un administrateur système ou d'un ingénieur en sécurité de l'information, soit un instrument de crime entre les mains d'un attaquant informatique.

Ce logiciel spécialisé utilise généralement Mode "Promiscuos" de la carte réseau moniteur d'ordinateur (en particulier, pour intercepter le trafic sur un segment de réseau, un port de commutateur ou un routeur). Comme vous le savez, l'essence de ce mode est réduite à au traitement de toutes les trames arrivant à l'interface, et pas seulement destiné à l'adresse MAC de la carte réseau et de la diffusion, comme cela se produit en mode normal.

Produit considéré dans cet article Wireshark est un outil bien connu pour intercepter et analyser de manière interactive le trafic réseau, en fait, la norme dans l'industrie et l'éducation. À principales caractéristiques de Wireshark comprennent: multi-plateforme (Windows, Linux, Mac OS, FreeBSD, Solaris, etc.); la capacité d'analyser des centaines de protocoles différents; prise en charge des opérations graphiques et de l'interface de ligne de commande (utilitaire tshark); puissant système de filtrage du trafic; exportation des résultats de travail vers XML, PostScript, CSV, etc.

Un fait important est également que Wireshark est un logiciel open source, publié sous la licence GNU GPLv2, c'est-à-dire que vous êtes libre d'utiliser ce produit comme bon vous semble.

Installation de Wireshark

La dernière version de Wireshark pour les systèmes d'exploitation Windows et OS X ainsi que le code source peuvent être télécharger depuis le site du projet ... Pour les distributions Linux et BSD, ce produit est généralement disponible dans les référentiels standard ou facultatifs. Les captures d'écran publiées dans cet article proviennent de la version 1.6.2 de Wireshark pour Windows. Les versions antérieures du programme, qui peuvent être trouvées dans les référentiels des systèmes d'exploitation de type Unix, peuvent également être utilisées avec succès, car Wireshark est depuis longtemps un produit stable et fonctionnel.

Wireshark est basé sur la bibliothèque Pcap (Packet Capture), qui fournit une interface de programmation d'application pour la mise en œuvre de fonctions d'interaction de bas niveau avec des interfaces réseau (en particulier, interception et génération d'unités de transmission arbitraires de protocoles réseau et protocoles de réseaux locaux). La bibliothèque Pcap est également la base d'outils de réseau bien connus tels que tcpdump, snort, nmap, kismet, etc. Pour les systèmes de type Unix, Pcap se trouve généralement dans les référentiels de logiciels standard. Pour la famille de systèmes d'exploitation Windows, il existe une version de Pcap appelée Winpcap. Vous pouvez télécharger depuis le site du projet ... Cependant, cela n'est généralement pas nécessaire car la bibliothèque Winpcap est incluse dans le package d'installation de Wireshark Windows.

Le processus d'installation du programme n'est difficile pour aucun système d'exploitation, avec des modifications, bien sûr, aux spécificités de la plate-forme que vous utilisez. Par exemple, Wireshark dans Debian / Ubuntu est installé pour que les utilisateurs non privilégiés par défaut n'aient pas le droit d'intercepter les paquets, le programme doit donc être lancé en utilisant le mécanisme de changement de l'ID utilisateur sudo (ou effectuer les manipulations nécessaires selon la documentation standard du package DEB).

Les bases de l'utilisation de Wireshark

Wireshark UI est construit sur la bibliothèque GTK + (Boîte à outils GIMP). La fenêtre principale du programme comprend les éléments suivants: un menu, des barres d'outils et des filtres d'affichage, une liste de packages, une description détaillée du package sélectionné, l'affichage des octets du package (sous forme hexadécimale et sous forme de texte) et une barre d'état:

Il convient de noter que l'interface utilisateur du programme est bien conçue, assez ergonomique et assez intuitive, ce qui permet à l'utilisateur de se concentrer sur l'étude des processus du réseau sans être distrait par des bagatelles. De plus, toutes les possibilités et tous les détails de l'utilisation de Wireshark sont décrits en détail dans manuel de l'Utilisateur ... Par conséquent, cet article se concentre sur la fonctionnalité du produit considéré, ses fonctionnalités par rapport à d'autres renifleurs, par exemple avec l'utilitaire de console bien connu tcpdump.

En résumé, l'ergonomie de Wireshark reflète une approche en couches du réseautage. Tout est fait de telle manière qu'en sélectionnant un paquet réseau dans la liste, l'utilisateur est capable de visualiser tous les en-têtes (couches), ainsi que les valeurs des champs de chaque couche du paquet réseau, à partir du wrapper - la trame Ethernet, directement l'en-tête IP, l'en-tête de la couche de transport et les données d'application protocole contenu dans le package.

Les données initiales pour le traitement peuvent être obtenues par Wireshark en temps réel ou importées à partir d'un fichier de vidage du trafic réseau, et plusieurs vidages pour les tâches d'analyse peuvent être combinés en un seul à la volée.

Le problème de trouver les paquets nécessaires dans de grands volumes de trafic intercepté est résolu deux types de filtres: collecte du trafic (filtres de capture) et son affichages (filtres d'affichage)... Les filtres de collection Wireshark sont basés sur le langage de filtre de la bibliothèque Pcap, c'est-à-dire la syntaxe dans ce cas est similaire à celle de l'utilitaire tcpdump. Un filtre est une série de primitives combinées, si nécessaire, par des fonctions logiques (et, ou, non). Les filtres fréquemment utilisés peuvent être enregistrés dans profil pour réutilisation.

La figure montre le profil des filtres de collection Wireshark:

L'analyseur de paquets réseau Wireshark possède également son propre outil simple mais riche en fonctionnalités afficher la langue du filtre. La valeur de chaque champ dans l'en-tête du paquet peut être utilisée comme critère de filtrage (par exemple, ip.src est l'adresse IP source dans le paquet réseau, frame.len est la longueur de la trame Ethernet, etc.). À l'aide d'opérations de comparaison, les valeurs de champ peuvent être comparées aux valeurs spécifiées (Par exemple, frame.len et plusieurs expressions peuvent être combinés avec des opérateurs logiques (par exemple: ip.src \u003d\u003d 10.0.0.5 et tcp.flags.fin). Une bonne aide dans le processus de construction des expressions est fenêtre de définition des règles d'affichage (Expression de filtre):

Outils d'analyse de paquets réseau

Alors que les protocoles sans connexion peuvent être étudiés en regardant simplement des paquets individuels et en calculant des statistiques, l'apprentissage du fonctionnement des protocoles orientés connexion est considérablement simplifié grâce à des capacités supplémentaires permettant d'analyser la progression des interactions réseau.

L'une des fonctionnalités utiles de Wireshark est Suivez le flux TCP (littéralement, "Suivre le flux TCP") le sous-menu Analyser, qui vous permet d'extraire les données du protocole d'application des segments TCP du flux auquel appartient le paquet sélectionné:

Un autre élément intéressant dans le sous-menu d'analyse est Composite d'informations d'experts, qui appelle la fenêtre du système expert intégré Wireshark, qui tentera de détecter les erreurs et les remarques dans les paquets, sélectionnera automatiquement les connexions individuelles à partir du vidage et les caractérisera. Ce module est en cours de développement et est en cours d'amélioration d'une version à l'autre du programme.

Dans le sous-menu statistiques "Statistiques" des options collectées qui permettent de calculer toutes sortes de caractéristiques statistiques du trafic étudié, de construire des graphiques de l'intensité des flux du réseau, d'analyser le temps de réponse des services, etc. Alors, pointez Hiérarchie des protocoles affiche des statistiques sous la forme d'une liste hiérarchique de protocoles indiquant le pourcentage du trafic total, le nombre de paquets et d'octets transmis par ce protocole.

Fonction "Endpoint" donne des statistiques à plusieurs niveaux sur le trafic entrant / sortant de chaque nœud. Paragraphe "Conversations" (littéralement, «conversations») vous permet de déterminer la quantité de trafic de divers protocoles (canal, réseau et couches de transport du modèle d'interaction des systèmes ouverts), transmis entre les nœuds interagissant les uns avec les autres. Fonction "Longueur des paquets" affiche la distribution des packages par leur longueur.

Paragraphe "Graphique de flux ..." représente graphiquement les flux de paquets. En même temps, lorsque vous sélectionnez un élément sur le graphique, le package correspondant dans la liste de la fenêtre principale du programme devient actif:

Un sous-menu distinct dans les dernières versions de Wireshark est dédié à la téléphonie IP. Dans le sous-menu "Outils" il y a un élément "Règles ACL du pare-feu", pour le paquet sélectionné, il essaiera de créer une règle de pare-feu (dans la version 1.6.x, les formats Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter et Windows Firewall sont pris en charge).

Le programme a également un interpréteur intégré pour le poids léger le langage de programmation Lua ... En utilisant Lua, vous pouvez créer vos propres "décodeurs" de protocole et gestionnaires d'événements dans Wireshark.

Au lieu d'une conclusion

L'analyseur de paquets réseau Wireshark est un exemple de produit OpenSource qui a réussi à la fois sur la plate-forme Unix / Linux et qui est si populaire parmi les utilisateurs de Windows et de Mac OS X. Bien sûr, à part Wireshark, il existe des solutions intelligentes complexes et lourdes dans le domaine de l'analyse du trafic réseau, dont les fonctionnalités sont beaucoup plus larges. Mais, d'une part, ils coûtent beaucoup d'argent, et d'autre part, ils sont difficiles à maîtriser et à exploiter; troisièmement, vous devez comprendre que tout ne peut pas être automatisé et qu'aucun système expert ne peut remplacer un bon spécialiste. Ainsi, si vous êtes confronté à des tâches qui nécessitent une analyse du trafic réseau, Wireshark est l'outil qu'il vous faut. Et les fans de la ligne de commande peuvent utiliser l'utilitaire tshark - la version console de Wireshark.

Ou Elcomsoft Wireless Security Auditor pour Windows.

Limitations du trafic WinPcap et Wi-Fi dans Wireshark

Les limitations sur la capture de paquets Wi-Fi dans Windows sont liées à la bibliothèque WinPcap, pas à Wireshark lui-même. Après tout, Wireshark prend en charge des adaptateurs Wi-Fi spécialisés et plutôt coûteux, dont les pilotes prennent en charge la surveillance du trafic réseau dans un environnement Windows, ce qui est souvent appelé capturer le trafic réseau en mode promiscuité dans les réseaux Wi-Fi.

Tutoriel vidéo pour utiliser Acrylique WiFi avec Wireshark sous Windows

Nous avons préparé une vidéo démontrant le processus qui vous aidera si vous avez des questions ou si vous souhaitez voir comment le trafic sans fil est capturé à l'aide de n'importe quelle carte Wi-Fi dans Wireshark pour Windows.

Télécharger, qui comprend de nombreuses fonctionnalités supplémentaires pour capturer le trafic et traiter les données reçues. Vous pouvez essayer le programme gratuitement ou l'acheter pour soutenir le développement ultérieur (nous introduisons de nouvelles fonctionnalités chaque semaine). La version gratuite prend également en charge l'intégration Wireshark. Consultez la liste

SmartSniff vous permet d'intercepter le trafic réseau et d'afficher son contenu en ASCII. Le programme capture les paquets passant par la carte réseau et affiche le contenu des paquets sous forme de texte (protocoles http, pop3, smtp, ftp) et sous la forme d'un vidage hexadécimal. Pour capturer des paquets TCP / IP, SmartSniff utilise les techniques suivantes: Raw Sockets - RAW Sockets, WinCap Capture Driver et Microsoft Network Monitor Driver. Le programme prend en charge le russe et est facile à utiliser.

Programme Sniffer pour capturer des paquets

SmartSniff affiche les informations suivantes: nom du protocole, adresse locale et distante, port local et distant, hôte local, nom du service, taille des données, taille totale, heure de capture et heure du dernier paquet, durée, adresse MAC locale et distante, pays et contenu du paquet de données ... Le programme a des paramètres flexibles, il implémente la fonction de filtre de capture, le déballage des réponses http, la conversion des adresses IP, l'utilitaire est minimisé dans la barre d'état système. SmartSniff génère un rapport de flux de paquets sous forme de page HTML. Le programme peut exporter des flux TCP / IP.

Partager
Partager
Tweet
Comme
Comme

Lire aussi

LA CLOCHE

Il y a ceux qui ont lu cette nouvelle avant vous.
Abonnez-vous pour recevoir les derniers articles.
Email
Nom
Nom de famille
Comment voulez-vous lire The Bell
Pas de spam