Ciao mondo! Ora parliamo di un metodo utile per la risoluzione dei problemi e la ricerca di problemi sui router. MikroTik... L'essenza di questo metodo è catturare ("annusare") i pacchetti che passano attraverso alcune interfacce del nostro router e analizzarli immediatamente usando Wireshark.
Prerequisiti
Quindi, per utilizzare questo metodo, abbiamo bisogno di:
- Router MikroTik (nel nostro caso abbiamo utilizzato RB951Ui-2HnD con firmware RouterOS versione 6.40.2)
- Programma Wireshark (nel nostro caso la versione 2.4.1)
- Un computer o un server sulla stessa rete di un router che esegue Wireshark
Personalizzazione
Innanzitutto, apri Wireshark, seleziona l'interfaccia su cui vogliamo “annusare” (nel nostro caso è Ethernet, cioè l'interfaccia attraverso la quale il computer si connette al router) e installa il seguente filtro - porta udp 37008... Come mostrato nell'immagine:
È chiaro che se iniziamo a catturare pacchetti senza questo filtro, tutto il traffico che passa attraverso questa interfaccia cadrà semplicemente a noi e non lo vogliamo.
Che tipo di filtro è questo e che tipo di porta - 37008 ? Il fatto è che MikroTik invia datagrammi UDP, cioè tutto il traffico intercettato, a questa porta server di streaminge come questo server di streaming, come avrai intuito, il nostro computer esegue Wireshark. Questi pacchetti vengono incapsulati utilizzando il protocollo TZSP (TaZmen Sniffer Protocol), che viene utilizzato per trasportare altri protocolli in sé.
Quindi, iniziamo a catturare i pacchetti su un'interfaccia specifica con un filtro porta udp 37008 e vediamo che non sta succedendo nulla e non ci sono pacchetti.
E ora la cosa più interessante: ci colleghiamo a MikroTik tramite WinBox, vai alla sezione Utensili Ulteriore Packet Sniffer e vediamo la seguente finestra con le impostazioni:
Nella scheda Generale possiamo lasciare tutto per impostazione predefinita, vai alla scheda Streaming:
Abbiamo messo un segno di spunta Streaming abilitato, sul campo server indichiamo l'indirizzo IP del nostro computer su cui è stato lanciato Wireshark e mettiamo un segno di spunta Filtra flussoper attivare il filtro che verrà configurato nella scheda successiva - Filtro
In questa scheda possiamo filtrare il traffico a cui siamo interessati. Ad esempio, abbiamo un IP-PBX Asterisk sulla nostra rete e vogliamo vedere quali pacchetti riceve e invia attraverso il router MikroTik. Quindi, ad esempio, è possibile monitorare la comunicazione dell'IP-PBX con il server del provider di servizi VoIP.
Quindi, selezioniamo le interfacce su cui vogliamo catturare i pacchetti (nel nostro caso, questo è un bridge), quindi filtriamo il traffico in base a uno specifico indirizzo IP nel campo Indirizzo IP (Il nostro IP-PBX), indichiamo il protocollo - 17 (udp) e porto 5060 (sorso)... Indichiamo qualsiasi direzione - qualunque e Operazione di filtro = o , ovvero, la logica di questo filtro è "o". Se si desidera catturare i pacchetti solo tramite un filtro rigorosamente definito, è necessario specificare la logica e, ovvero, tutte le condizioni di filtro corrispondono.
Ottimo, ora andiamo su Wireshark e vediamo che ha già catturato i pacchetti necessari per noi in conformità con le regole del filtro.
Nel nostro caso si tratta della comunicazione dell'IP-PBX Asterisk con il server del provider di servizi VoIP, la richiesta di registrazione e conferma dal retro. Si noti che il tipo di incapsulamento è TZSPtuttavia, Wireshark è stato in grado di de-incapsulare correttamente questi pacchetti e di mostrarci i pacchetti SORSO.
Questo articolo ti è stato utile?
Per favore, dicci perché?
Ci dispiace che l'articolo non ti sia stato utile: (Per favore, se non ti rende difficile, indica perché? Saremo molto grati per una risposta dettagliata. Grazie per averci aiutato a migliorare!
Questa lezione descrive le tecnologie di hacking della rete basate sull'acquisizione di pacchetti di rete. Gli hacker utilizzano tali tecnologie per intercettare il traffico di rete al fine di rubare informazioni preziose, organizzare l'intercettazione dei dati allo scopo di un attacco man-in-the-middle, intercettare le connessioni TCP che consentono, ad esempio, di falsificare i dati ed eseguire altre azioni altrettanto interessanti. Sfortunatamente, la maggior parte di questi attacchi in pratica sono implementati solo per reti Unix, per le quali gli hacker possono utilizzare sia utilità speciali che strumenti di sistema Unix. Le reti Windows sono apparentemente aggirate dagli hacker e siamo costretti a limitarci a descrivere gli strumenti di intercettazione dei dati tramite programmi sniffer progettati per ascoltare banalmente i pacchetti di rete. Tuttavia, non si dovrebbe trascurare almeno una descrizione teorica di tali attacchi, soprattutto da parte di anti-hacker, poiché la conoscenza delle tecnologie di hacking utilizzate aiuterà a prevenire molti problemi.
Sniffing di rete
Per lo sniffing delle reti Ethernet, vengono solitamente utilizzate schede di rete che vengono messe in modalità di ascolto. L'intercettazione su una rete Ethernet richiede che un computer che esegue un programma sniffer sia connesso a un segmento di rete, dopodiché tutto il traffico di rete inviato e ricevuto dai computer in questo segmento di rete diventa disponibile per l'hacker. È ancora più facile intercettare il traffico delle reti radio utilizzando intermediari di rete wireless: in questo caso, non è nemmeno necessario cercare un punto per connettersi al cavo. In alternativa, un utente malintenzionato può connettersi a una linea telefonica che collega un computer a un server Internet, trovando un posto conveniente per questo (le linee telefoniche sono solitamente posate negli scantinati e in altri luoghi poco visitati senza alcuna protezione).
Per dimostrare la tecnologia dello sniffing, utilizzeremo un programma sniffer molto popolare SpyNetche può essere trovato su molti siti Web. Sito ufficiale del programma SpyNet situato in http://members.xoom.com/layrentiu2/dove puoi scaricare la versione demo del programma.
Programma SpyNet è costituito da due componenti: CaptureNet e PipeNet... Programma CaptureNet consente di intercettare i pacchetti trasmessi su Ethernet a livello di rete, ad es. come frame Ethernet. Programma PipeNet consente di raccogliere frame Ethernet in pacchetti a livello di applicazione, recuperando, ad esempio, messaggi di posta elettronica, messaggi HTTP (comunicazione con server Web) e altre funzioni.
Purtroppo nella versione demo SpyNet capacità PipeNet sono limitati alla build demo del pacchetto HTTP, quindi non possiamo dimostrare come funziona SpyNet in toto. Tuttavia, dimostreremo le capacità dello sniffing di rete SpyNet sull'esempio della nostra rete sperimentale, trasferendo un file di testo dall'host Sword-2000 per host Alex-Z utilizzando un normale Windows Explorer. Contemporaneamente sul computer A1ex-1 lanceremo il programma CaptureNet, che intercetterà i pacchetti trasmessi e permetterà di leggere il contenuto del file trasmesso in frame Ethernet. Nella Fig. 1 mostra il testo del messaggio segreto nel file secret.txt; proveremo a trovare questo testo nei frame Ethernet catturati.
Figura: 1. Il testo del messaggio segreto nella finestra Blocco note
Segui questi passaggi per acquisire frame Ethernet.
Sul computer Alex-Z eseguire il programma CaptureNet... Nella finestra di lavoro visualizzata del programma selezionare il comando di menu Cattura * Avvia (Capture * Start) e avviare il processo di acquisizione dei frame di rete.
Utilizzando Windows Explorer, copia il file security.txt dal tuo computer Sword-2000 sopra A1ex-3.
Dopo aver trasferito il file secret.txt, seleziona il comando di menu Cattura * Stop (Capture * Stop) e interrompere il processo di intercettazione.
I frame Ethernet acquisiti verranno visualizzati nella parte destra della finestra di lavoro del programma CaptureNet (Fig. 2), con ciascuna riga nell'elenco superiore che rappresenta un frame Ethernet e sotto l'elenco vengono visualizzati i contenuti del frame selezionato.
Figura: 2. Il frame Ethernet contiene il testo del messaggio segreto
Dopo aver esaminato l'elenco dei frame intercettati, possiamo facilmente trovare quello che contiene il testo Questo è un grande segreto che abbiamo trasferito (Questo è un grande segreto).
Sottolineiamo che questo è l'esempio più semplice, quando è stato registrato tutto il traffico di rete intercettato. Programma CaptureNet consente di intercettare i pacchetti inviati tramite protocolli specifici e su porte host specifiche, selezionare messaggi con contenuto specifico e accumulare i dati intercettati in un file. La tecnica per eseguire tali azioni è semplice e puoi padroneggiarla utilizzando il sistema di aiuto del programma. SpyNet.
Oltre alle primitive intercettazioni, gli hacker hanno accesso a strumenti di intercettazione dei dati più sofisticati. Di seguito è riportata una breve panoramica di tali metodi, anche se in un aspetto teorico. Il motivo è che per le reti Windows l'implementazione pratica degli attacchi di intercettazione dei dati è estremamente limitata e il set di strumenti affidabili per gli attacchi di intercettazione è piuttosto limitato.
Metodi per intercettare il traffico di rete
Annusare la rete con sniffer di rete come quello sopra CaptureNet, è il primo modo più semplice per intercettare i dati. Oltretutto SpyNet Per lo sniffing della rete vengono utilizzati molti strumenti, originariamente sviluppati allo scopo di analizzare l'attività di rete, diagnosticare le reti, selezionare il traffico in base a criteri specificati e altre attività di amministrazione della rete. Un esempio di un tale programma è tcpdump (http://www.tcpdump.org), che consente di registrare il traffico di rete in un registro speciale per ulteriori analisi.
Per proteggersi dalle intercettazioni di rete, vengono utilizzati programmi speciali, ad esempio, AntiSniff (http://www.securitysoftwaretech.com/antisniff), che sono in grado di identificare i computer sulla rete che sono occupati ad ascoltare il traffico di rete. I programmi anti-sniffer per risolvere i loro compiti utilizzano un segno speciale della presenza di dispositivi di ascolto nella rete: la scheda di rete del computer sniffer deve essere in una modalità di ascolto speciale. In modalità di ascolto, i computer della rete reagiscono in modo speciale ai datagrammi IP inviati all'indirizzo dell'host sotto test. Ad esempio, gli host in ascolto in genere elaborano tutto il traffico in entrata, non limitato ai datagrammi inviati all'indirizzo host. Ci sono altri segni di comportamento sospetto dell'host che il programma può riconoscere AntiSniff.
Indubbiamente, l'intercettazione è molto utile dal punto di vista di un malintenzionato, poiché consente di ottenere molte informazioni utili: password trasmesse sulla rete, indirizzi di computer in rete, dati riservati, lettere e così via. Tuttavia, le semplici intercettazioni impediscono a un hacker di interferire con la comunicazione di rete tra due host per modificare e manomettere i dati. Per risolvere un problema del genere, è necessaria una tecnologia più complessa.
Richieste ARP contraffatte
Per intercettare e chiudere il processo di comunicazione di rete tra due host A e B, un utente malintenzionato può falsificare gli indirizzi IP degli host interagenti con il proprio indirizzo IP inviando falsi messaggi ARP (Address Resolution Protocol) agli host A e B. Puoi saperne di più su ARP nell'Appendice D, che descrive la procedura per risolvere (tradurre) un indirizzo IP host in un indirizzo macchina (indirizzo MAC) cablato nella scheda NIC dell'host. Vediamo come un hacker può utilizzare ARP per intercettare la comunicazione di rete tra gli host A e B.
Per intercettare il traffico di rete tra gli host A e B, un hacker configura il suo indirizzo IP su questi host in modo che A e B utilizzino questo falso indirizzo IP durante lo scambio di messaggi. Per imporre il suo indirizzo IP, un hacker esegue le seguenti operazioni.
Un utente malintenzionato determina gli indirizzi MAC degli host A e B, ad esempio, utilizzando il comando nbtstat dalla confezione W2RK.
L'aggressore invia messaggi agli indirizzi MAC identificati degli host A e B, che sono risposte ARP fasulle alle richieste di risolvere gli indirizzi IP degli host in indirizzi MAC dei computer. L'host A viene informato che l'indirizzo IP dell'host B corrisponde all'indirizzo MAC del computer dell'aggressore; all'host B viene comunicato che l'indirizzo IP dell'host A corrisponde anche all'indirizzo MAC dell'attaccante.
Gli host A e B inseriscono gli indirizzi MAC ricevuti nelle loro cache ARP e quindi li utilizzano per inviare messaggi l'un l'altro. Poiché gli indirizzi IP di A e B corrispondono all'indirizzo MAC del computer dell'aggressore, gli host A e B, senza sospettare nulla, comunicano attraverso un intermediario in grado di fare quello che vogliono con i loro messaggi.
Per proteggersi da tali attacchi, gli amministratori di rete devono mantenere un database con una tabella di mappatura degli indirizzi MAC e degli indirizzi IP dei loro computer di rete. Inoltre, utilizzando un software speciale, ad esempio un'utilità arpwatch (ftp://ftp.ee.lbl.gov/arpwatch-2.lab.tar.gz), è possibile esaminare periodicamente la rete e identificare le incongruenze.
Sulle reti UNIX, questo tipo di attacco ARP fasullo può essere implementato utilizzando utilità di sistema per monitorare e controllare il traffico di rete, come arpredirect... Sfortunatamente, nelle reti Windows 2000 / XP tali utilità affidabili apparentemente non sono implementate. Ad esempio, sul sito Web di NTsecurity ( http://www.ntsecurity.nu) puoi scaricare l'utility GrabitAIIpresentato come mezzo per reindirizzare il traffico tra host di rete. Tuttavia, un controllo elementare dell'utilità GrabitAII mostra che è ancora lontano dal completo successo nell'attuazione delle sue funzioni.
Falsi instradamenti
Per intercettare il traffico di rete, un utente malintenzionato può falsificare l'indirizzo IP reale del router di rete con il proprio indirizzo IP, ad esempio utilizzando falsi messaggi di reindirizzamento ICMP. L'host A deve, secondo RFC-1122, interpretare il messaggio di reindirizzamento ricevuto come risposta a un datagramma inviato a un altro host, ad esempio B. L'host A determina le sue azioni sul messaggio di reindirizzamento in base al contenuto del messaggio di reindirizzamento ricevuto e se il reindirizzamento del datagramma è impostato in reindirizzamento da A a B su una nuova rotta, questo è ciò che farà l'host A.
Per eseguire il falso routing, l'attaccante deve conoscere alcuni dettagli sull'organizzazione della rete locale in cui si trova l'host A, in particolare l'indirizzo IP del router attraverso il quale viene inviato il traffico dall'host A verso B. Sapendo questo, l'attaccante formerà un datagramma IP in cui IP - l'indirizzo del mittente è definito come l'indirizzo IP del router e il destinatario è l'host A. Il datagramma include anche un messaggio di reindirizzamento ICMP con il campo dell'indirizzo del nuovo router impostato come indirizzo IP del computer dell'aggressore. Dopo aver ricevuto tale messaggio, l'Host A invierà tutti i messaggi all'indirizzo IP del computer dell'aggressore.
Per proteggersi da un tale attacco, disabilitare (ad esempio, utilizzando un firewall) l'elaborazione dei messaggi di reindirizzamento ICMP sull'host A e il comando può identificare l'indirizzo IP del computer dell'aggressore. tracert (su Unix questo è il comando tracerout). Queste utilità sono in grado di trovare un percorso aggiuntivo che è apparso sulla rete locale, che non era previsto durante l'installazione, se, ovviamente, l'amministratore di rete è vigile.
Gli esempi di intercettazione di cui sopra (con i quali le capacità degli aggressori sono tutt'altro che limitate) convincono la necessità di proteggere i dati trasmessi sulla rete se i dati contengono informazioni riservate. L'unico metodo di protezione contro l'intercettazione del traffico di rete è l'uso di programmi che implementano algoritmi crittografici e protocolli di crittografia e per impedire la divulgazione e la sostituzione di informazioni classificate. Per risolvere tali problemi, la crittografia fornisce mezzi per crittografare, firmare e verificare l'autenticità dei messaggi trasmessi su protocolli sicuri.
Le reti private virtuali (VPN) forniscono implementazioni pratiche per tutti i metodi crittografici di protezione delle comunicazioni descritti nel Capitolo 4. Una breve panoramica dei principi e dei metodi di protezione crittografica si trova nell'Appendice E e nella descrizione dettagliata delle protezioni crittografiche fornite dall'applicazione PGP Desktop Security (http://www.pgp.com).
Hijack di una connessione TCP
L'attacco di intercettazione del traffico di rete più sofisticato è il dirottamento TCP, quando un hacker interrompe la sessione di comunicazione corrente con l'host generando e inviando pacchetti TCP all'host attaccato. Inoltre, utilizzando le capacità del protocollo TCP per ripristinare la connessione TCP interrotta, l'hacker intercetta la sessione di comunicazione interrotta e la continua invece del client disconnesso.
Sono state create diverse utilità efficienti per eseguire attacchi di dirottamento della connessione TCP, ma sono tutte implementate per la piattaforma Unix e queste utilità sono presentate solo nel codice sorgente dei siti Web. Pertanto, noi, come professionisti convinti nella nobile causa dell'hacking, siamo di scarsa utilità per gli attacchi intercettando una connessione TCP. (Coloro che desiderano capire il codice del programma di qualcun altro possono fare riferimento al sito http://www.cri.cz/~kra/index.htmldove è possibile scaricare il codice sorgente della nota utility di intercettazione della connessione TCP Caccia di Pavel Krauz).
Nonostante la mancanza di strumenti pratici, non possiamo ignorare un argomento così interessante come l'intercettazione delle connessioni TCP e soffermarci su alcuni aspetti di tali attacchi. Alcune informazioni sulla struttura di un pacchetto TCP e l'ordine in cui vengono stabilite le connessioni TCP sono fornite nell'appendice D di questo libro, ma qui ci concentreremo su questa domanda: cosa consente esattamente agli hacker di eseguire attacchi intercettando le connessioni TCP? Consideriamo questo argomento in modo più dettagliato, basandoci principalmente sulla discussione in e.
TCP (Transmission Control Protocol) è uno dei protocolli di base del livello di trasporto OSI che consente di stabilire connessioni logiche su un canale di comunicazione virtuale. I pacchetti vengono trasmessi e ricevuti tramite questo canale con la registrazione della loro sequenza, il flusso dei pacchetti viene controllato, i pacchetti distorti vengono ritrasmessi e alla fine della sessione il canale di comunicazione viene interrotto. TCP è l'unico protocollo di base della famiglia TCP / IP che dispone di un sistema avanzato di identificazione di messaggi e connessioni.
Per identificare un pacchetto TCP, ci sono due identificatori a 32 bit nell'intestazione TCP, che fungono anche da contatore di pacchetti, chiamati numero di sequenza e numero di riconoscimento. Saremo anche interessati ad un altro campo del pacchetto TCP, chiamato bit di controllo. Questo campo a 6 bit contiene i seguenti bit di controllo (in ordine da sinistra a destra):
URG - flag di urgenza;
ACK - flag di conferma;
PSH: porta bandiera;
RST - flag di ripristino della connessione;
SYN - flag di sincronizzazione;
FIN - flag di terminazione della connessione.
Diamo un'occhiata a come creare una connessione TCP.
1. Se l'host A deve stabilire una connessione TCP con l'host B, l'host A invia all'host B il seguente messaggio:
A -\u003e B: SYN, ISSa
Ciò significa che il messaggio inviato dall'host A ha il flag SYN (Synchronize sequence number) impostato e il campo del numero di sequenza è impostato sul numero ISSa (Initial Sequence Number) a 32 bit.
2. In risposta alla richiesta ricevuta dall'host A, l'host B risponde con un messaggio in cui è impostato il bit SYN e il bit ACK. Nel campo del numero di sequenza, l'host B imposta il valore iniziale del contatore - ISSb; il campo del numero di conferma conterrà il valore ISSa ricevuto nel primo pacchetto dall'host A, incrementato di uno. Pertanto, l'host B risponde con il seguente messaggio:
B -\u003e A: SYN, ACK, ISSb, ACK (ISSa + 1)
3. Infine, l'host A invia un messaggio all'host B con: bit impostato CHIEDI; il campo del numero di sequenza contiene il valore ISSa + 1; il campo del numero di conferma contiene il valore ISSb + 1... Dopo quella connessione TCP tra host UN e IN considerato stabilito:
A -\u003e B: ACK, ISSa + 1, ACK (ISSb + 1)
4. Ora l'host UN può inviare pacchetti di dati all'host IN sul canale TCP virtuale appena creato:
A -\u003e B: ACK, ISSa + 1, ACK (ISSb + 1); DATI
Qui DATI denota dati.
Dall'algoritmo di cui sopra per la creazione di una connessione TCP, si può vedere che gli unici identificatori degli abbonati TCP e delle connessioni TCP sono due parametri a 32 bit del numero di sequenza e del numero di conferma - ISSa e ISSb... Pertanto, se un hacker riesce a scoprire i valori correnti dei campi ISSa e ISSb, quindi nulla gli impedirà di formare un falso pacchetto TCP. Ciò significa che è sufficiente che un hacker trovi i valori correnti dei parametri. ISSa e ISSb un pacchetto TCP per una data connessione TCP, invia un pacchetto da qualsiasi host su Internet per conto di un client per una data connessione TCP, e questo pacchetto sarà accettato come valido!
Il pericolo di tale spoofing dei pacchetti TCP è importante anche perché i protocolli FTP e TELNET di alto livello sono implementati sulla base del protocollo TCP e l'identificazione dei client FTP e dei pacchetti TELNET è interamente basata sul protocollo TCP.
Inoltre, poiché i protocolli FTP e TELNET non controllano gli indirizzi IP dei mittenti dei messaggi, dopo aver ricevuto un pacchetto falso, i server FTP o TELNET invieranno un messaggio di risposta all'indirizzo IP dell'host hacker specificato nel pacchetto falso. Dopodiché, l'host hacker inizierà a lavorare con il server FTP o TELNET dal suo indirizzo IP, ma con i diritti dell'utente legalmente connesso, che, a sua volta, perderà la connessione con il server a causa di una mancata corrispondenza nei contatori.
Pertanto, per eseguire l'attacco sopra descritto, condizione necessaria e sufficiente è la conoscenza dei due parametri correnti a 32 bit ISSa e ISSbidentificare la connessione TCP. Consideriamo i possibili modi per ottenerli. Nel caso in cui l'host dell'hacker sia connesso al segmento di rete attaccato, il compito di ottenere valori ISSa e ISSb è banale e si risolve analizzando il traffico di rete. Pertanto, dovrebbe essere chiaro che il protocollo TCP consente, in linea di principio, di proteggere la connessione solo se è impossibile per l'attaccante intercettare i messaggi trasmessi su questa connessione, cioè solo se l'host dell'hacker è connesso a un segmento di rete diverso dal segmento di connessione TCP dell'abbonato.
Pertanto, i più interessanti per un hacker sono gli attacchi intersegment, quando l'attaccante e il suo obiettivo si trovano in segmenti di rete diversi. In questo caso, il compito di ottenere valori ISSa e ISSb non è banale. Per risolvere questo problema, sono stati ora inventati solo due modi.
Previsione matematica del valore iniziale dei parametri di connessione TCP estrapolando i valori precedenti ISSa e ISSb.
Utilizzo delle vulnerabilità per identificare i sottoscrittori delle connessioni TCP sui server rsh Unix.
Il primo problema viene risolto da studi approfonditi sull'implementazione del protocollo TCP in vari sistemi operativi ed ha ora una valenza puramente teorica. Il secondo problema viene risolto sfruttando le vulnerabilità del sistema Unix per identificare host affidabili. (Affidabile in relazione a questo host UN chiamato host di rete INil cui utente può connettersi all'host UN nessuna autenticazione con host r-service UN). Manipolando i parametri dei pacchetti TCP, un hacker può tentare di impersonare un host attendibile e intercettare la connessione TCP con l'host attaccato.
Tutto ciò è molto interessante, ma i risultati pratici di questo tipo di ricerca non sono ancora visibili. Pertanto, si consiglia a tutti coloro che desiderano approfondire questo argomento di fare riferimento al libro, da cui, in generale, sono state prese le informazioni di cui sopra.
Conclusione
L'intercettazione dei dati di rete è il metodo più efficace di hacking della rete, che consente a un hacker di ottenere praticamente tutte le informazioni che circolano sulla rete. Lo sviluppo più pratico è stato ricevuto mediante lo sniffing, ad es. ascoltare le reti; tuttavia, è impossibile ignorare i metodi di intercettazione dei dati di rete, eseguiti interferendo con il normale funzionamento della rete per reindirizzare il traffico verso un host hacker, in particolare i metodi di intercettazione delle connessioni TCP. Tuttavia, in pratica, gli ultimi metodi menzionati non hanno ancora ricevuto uno sviluppo sufficiente e devono essere migliorati.
Un anti-hacker dovrebbe sapere che l'unica salvezza dall'intercettazione dei dati è la crittografia, ad es. metodi crittografici di protezione. Quando si invia un messaggio sulla rete, si dovrebbe presumere in anticipo che il sistema via cavo della rete sia assolutamente vulnerabile e qualsiasi hacker che si connette alla rete sarà in grado di recuperare tutti i messaggi segreti trasmessi da esso. Esistono due tecnologie per risolvere questo problema: creare una rete VPN e crittografare i messaggi stessi. Tutte queste attività sono molto facili da risolvere utilizzando il pacchetto software PGP Desktop Security (la sua descrizione può essere trovata, ad esempio, in).
introduzione
A volte sorgono problemi nel funzionamento di una rete di computer e dello stack di rete di nodi, le cui cause sono difficili da rilevare con noti programmi di raccolta delle statistiche (come netstat) e applicazioni standard basate su ICMP (ping, traceroute / tracert, ecc.). In tali casi, per diagnosticare problemi, è spesso necessario utilizzare strumenti più specifici che permettano di visualizzare (ascoltare) il traffico di rete e analizzarlo a livello di unità di trasmissione dei singoli protocolli ( Annusando).
Analizzatori di protocollo di rete o "Sniffer" sono estremamente utili strumenti per esaminare il comportamento dei nodi di rete e risolvere i problemi di rete... Naturalmente, come qualsiasi strumento, ad esempio un coltello affilato, uno sniffer può essere un vantaggio nelle mani di un amministratore di sistema o di un ingegnere della sicurezza informatica, oppure uno strumento criminale nelle mani di un aggressore informatico.
Questo software specializzato di solito utilizza Modalità "Promiscuos" della scheda di rete monitor di computer (in particolare, per intercettare il traffico su un segmento di rete, una porta dello switch o un router). Come sai, l'essenza di questa modalità è ridotta a all'elaborazione di tutti i frame che arrivano all'interfaccia, e non solo destinato all'indirizzo MAC della scheda di rete e broadcast, come avviene in modalità normale.
Prodotto considerato in questo articolo Wireshark è uno strumento ben noto per intercettare e analizzare in modo interattivo il traffico di rete, infatti, lo standard nel settore e nell'istruzione. PER caratteristiche principali di Wireshark include: multipiattaforma (Windows, Linux, Mac OS, FreeBSD, Solaris, ecc.); la capacità di analizzare centinaia di protocolli diversi; supporto per operazioni grafiche e interfaccia a riga di comando (utility tshark); potente sistema di filtraggio del traffico; esportazione dei risultati del lavoro in XML, PostScript, CSV, ecc.
Un fatto importante è anche che Wireshark è un software open source, rilasciato sotto licenza GNU GPLv2, cioè sei libero di usare questo prodotto come meglio credi.
Installazione di Wireshark
L'ultima versione di Wireshark per i sistemi operativi Windows e OS X, così come il codice sorgente, può essere scaricare dal sito del progetto ... Per le distribuzioni Linux e BSD, questo prodotto è solitamente disponibile nei repository standard o opzionali. Gli screenshot pubblicati in questo articolo sono della versione 1.6.2 di Wireshark per Windows. Le versioni precedenti del programma, che possono essere trovate nei repository di sistemi operativi simili a Unix, possono anche essere utilizzate con successo, poiché Wireshark è stato a lungo un prodotto stabile e funzionale.
Wireshark si basa sulla libreria Pcap (Packet Capture), che fornisce un'interfaccia di programmazione applicativa per l'implementazione di funzioni di basso livello di interazione con interfacce di rete (in particolare, intercettazione e generazione di unità di trasmissione arbitrarie di protocolli di rete e protocolli di reti locali). La libreria Pcap è anche la base per noti strumenti di rete come tcpdump, snort, nmap, kismet e così via.Per i sistemi Unix, Pcap si trova solitamente nei repository software standard. Per la famiglia di sistemi operativi Windows, esiste una versione di Pcap chiamata Winpcap. Puoi scaricare dal sito del progetto ... Tuttavia, questo di solito non è necessario perché la libreria Winpcap è inclusa nel pacchetto di installazione di Wireshark per Windows.
Il processo di installazione del programma non è difficile per nessun sistema operativo, con modifiche, ovviamente, per le specifiche della piattaforma che stai utilizzando. Ad esempio, Wireshark in Debian / Ubuntu è installato in modo che gli utenti non privilegiati per impostazione predefinita non abbiano il diritto di intercettare i pacchetti, quindi il programma deve essere avviato utilizzando il meccanismo per modificare l'ID utente sudo (o eseguire le manipolazioni necessarie secondo la documentazione del pacchetto DEB standard).
Le basi per lavorare con Wireshark
L'interfaccia utente di Wireshark è basata sulla libreria GTK + (GIMP Toolkit). La finestra principale del programma include i seguenti elementi: menu, barre degli strumenti e filtri di visualizzazione, un elenco di pacchetti, una descrizione dettagliata del pacchetto selezionato, visualizzazione dei byte del pacchetto (in forma esadecimale e come testo) e una barra di stato:
Va notato che l'interfaccia utente del programma è ben progettata, abbastanza ergonomica e abbastanza intuitiva, il che consente all'utente di concentrarsi sullo studio dei processi di rete senza essere distratto da sciocchezze. Inoltre, tutte le possibilità e i dettagli dell'utilizzo di Wireshark sono descritti in dettaglio in manuale d'uso ... Pertanto, questo articolo si concentra sulle capacità funzionali del prodotto in questione, le sue caratteristiche rispetto ad altri sniffer, ad esempio, con la nota utilità della console tcpdump.
In sintesi, l'ergonomia di Wireshark riflette un approccio a più livelli al networking. Tutto è fatto in modo tale che, selezionando un pacchetto di rete dall'elenco, l'utente sia in grado di visualizzare tutti gli header (strati), nonché i valori dei campi di ogni strato del pacchetto di rete, a partire dal wrapper - il frame Ethernet, direttamente l'intestazione IP, l'intestazione del livello di trasporto ei dati dell'applicazione protocollo contenuto nella confezione.
I dati iniziali per l'elaborazione possono essere ottenuti da Wireshark in tempo reale o importati da un file di dump del traffico di rete e diversi dump per attività di analisi possono essere combinati in uno al volo.
Il problema di trovare i pacchetti necessari in grandi volumi di traffico intercettato è risolto due tipi di filtri: raccolta del traffico (filtri di cattura) e il suo display (filtri di visualizzazione)... I filtri della raccolta di Wireshark si basano sul linguaggio dei filtri della libreria Pcap, ad es. la sintassi in questo caso è simile a quella dell'utilità tcpdump. Un filtro è una serie di primitive combinate, se necessario, da funzioni logiche (and, or, not). I filtri utilizzati di frequente possono essere salvati in formato profilo per il riutilizzo.
La figura mostra il profilo dei filtri della raccolta Wireshark:
L'analizzatore di pacchetti di rete Wireshark ha anche il suo semplice ma ricco di funzionalità visualizzare la lingua del filtro. Il valore di ogni campo nell'intestazione del pacchetto può essere utilizzato come criterio di filtraggio (ad esempio, ip.src è l'indirizzo IP di origine nel pacchetto di rete, frame.len è la lunghezza del frame Ethernet, ecc.). Utilizzando le operazioni di confronto, i valori dei campi possono essere confrontati con i valori specificati (ad esempio, frame.len e combina diverse espressioni con operatori logici (ad esempio: ip.src \u003d\u003d 10.0.0.5 e tcp.flags.fin). Un buon aiuto nel processo di costruzione delle espressioni è finestra per l'impostazione delle regole di visualizzazione (Filter Expression):
Strumenti di analisi dei pacchetti di rete
Mentre i protocolli senza connessione possono essere esaminati semplicemente esaminando i singoli pacchetti e calcolando le statistiche, l'apprendimento del funzionamento dei protocolli orientati alla connessione è notevolmente semplificato con funzionalità aggiuntive per analizzare il corso delle interazioni di rete.
Una delle caratteristiche utili di Wireshark è Segui TCP Stream (letteralmente, "Segui flusso TCP") il sottomenu Analizza che consente di estrarre i dati del protocollo dell'applicazione dai segmenti TCP del flusso a cui appartiene il pacchetto selezionato:
Un altro elemento interessante nel sottomenu di analisi è Composito informazioni esperto, che chiama la finestra del sistema esperto integrato Wireshark, che cercherà di rilevare errori e commenti nei pacchetti, estrarre automaticamente le singole connessioni dal dump e caratterizzarle. Questo modulo è in fase di sviluppo e viene migliorato da una versione all'altra del programma.
Nel sottomenu delle statistiche "Statistiche" opzioni raccolte che consentono di calcolare tutti i tipi di caratteristiche statistiche del traffico studiato, costruire grafici dell'intensità dei flussi di rete, analizzare i tempi di risposta dei servizi, ecc. Quindi, punto Gerarchia dei protocolli visualizza le statistiche sotto forma di un elenco gerarchico di protocolli indicanti la percentuale del traffico totale, il numero di pacchetti e byte trasmessi da questo protocollo.
Funzione "Endpoint" fornisce statistiche multilivello sul traffico in entrata / uscita di ogni nodo. Paragrafo "Conversazioni" (letteralmente, "conversazioni") consente di determinare la quantità di traffico dei vari protocolli (canale, rete e livelli di trasporto del modello di interazione dei sistemi aperti), trasmessa tra i nodi che interagiscono tra loro. Funzione "Lunghezze pacchetto" mostra la distribuzione dei pacchetti lungo la loro lunghezza.
Paragrafo "Grafico di flusso ..." rappresenta graficamente i flussi di pacchetti. Allo stesso tempo, quando si seleziona un elemento sul grafico, il pacchetto corrispondente nell'elenco nella finestra principale del programma diventa attivo:
Un sottomenu separato nelle ultime versioni di Wireshark è dedicato alla telefonia IP. C'è una voce nel sottomenu "Strumenti" "Regole ACL firewall", per il pacchetto selezionato tenterà di creare una regola firewall (nella versione 1.6.x, sono supportati i formati Cisco IOS, IP Filter, IPFirewall, Netfilter, Packet Filter e Windows Firewall).
Il programma ha anche un interprete integrato per il leggero il linguaggio di programmazione Lua ... Usando Lua, puoi creare i tuoi "decodificatori" di protocollo e gestori di eventi in Wireshark.
Invece di una conclusione
L'analizzatore di pacchetti di rete Wireshark è un esempio di un prodotto opensource che ha avuto successo sia sulla piattaforma Unix / Linux ed è così popolare tra gli utenti Windows e Mac OS X. Naturalmente, oltre a Wireshark, ci sono soluzioni intelligenti complesse pesanti nel campo dell'analisi del traffico di rete, la cui funzionalità è molto più ampia. Ma, in primo luogo, costano molti soldi e, in secondo luogo, sono difficili da padroneggiare e da usare; in terzo luogo, devi capire che non tutto può essere automatizzato e nessun sistema esperto può sostituire un buon specialista. Quindi, se devi affrontare attività che richiedono l'analisi del traffico di rete, Wireshark è lo strumento che fa per te. E i fan della riga di comando possono utilizzare l'utilità tshark: la versione console di Wireshark.
Oppure Elcomsoft Wireless Security Auditor per Windows.
Limitazioni del traffico WinPcap e Wi-Fi in Wireshark
Le limitazioni sull'acquisizione di pacchetti Wi-Fi in Windows sono correlate alla libreria WinPcap, non a Wireshark stesso. Dopotutto, Wireshark supporta adattatori Wi-Fi specializzati e piuttosto costosi, i cui driver supportano il monitoraggio del traffico di rete in un ambiente Windows, che viene spesso chiamato acquisizione del traffico di rete in modalità promiscua nelle reti Wi-Fi.
Esercitazione video per l'utilizzo di Acrylic WiFi con Wireshark in Windows
Abbiamo preparato un video che mostra il processo che ti aiuterà se hai domande o se vuoi vedere come viene catturato il traffico wireless utilizzando qualsiasi scheda Wi-Fi in Wireshark per Windows.
Download, che include molte funzionalità aggiuntive per acquisire il traffico ed elaborare i dati ricevuti. Puoi provare il programma gratuitamente o acquistarlo per supportare ulteriori sviluppi (stiamo introducendo nuove funzionalità ogni settimana). La versione gratuita supporta anche l'integrazione di Wireshark. Controlla l'elenco
SmartSniff consente di intercettare il traffico di rete e visualizzarne il contenuto in ASCII. Il programma cattura i pacchetti che passano attraverso l'adattatore di rete e visualizza il contenuto dei pacchetti in forma di testo (protocolli http, pop3, smtp, ftp) e sotto forma di un dump esadecimale. Per acquisire i pacchetti TCP / IP, SmartSniff utilizza le seguenti tecniche: raw socket: RAW Sockets, WinCap Capture Driver e Microsoft Network Monitor Driver. Il programma supporta il russo ed è facile da usare.
Programma sniffer per l'acquisizione di pacchetti
 |
SmartSniff visualizza le seguenti informazioni: nome del protocollo, indirizzo locale e remoto, porta locale e remota, host locale, nome del servizio, dimensione dei dati, dimensione totale, ora di acquisizione e ora dell'ultimo pacchetto, durata, indirizzo MAC locale e remoto, paesi e contenuto del pacchetto di dati ... Il programma ha impostazioni flessibili, implementa la funzione di filtro di cattura, decomprime le risposte http, converte gli indirizzi ip, l'utility è ridotta a icona nella barra delle applicazioni. SmartSniff genera un rapporto sul flusso di pacchetti come una pagina HTML. Il programma può esportare flussi TCP / IP.
