Witaj świecie! Teraz opowiadamy o jednej przydatnej metodzie Trustingingu i znalezienie problemów na routerach Mikrotik.. Istotą tej metody jest przechwytywanie ("Snoffit") pakiety przechodzące przez pewne interfejsy naszego routera i analizują je natychmiast Wireshark..

Wymagania wstępne.

Aby więc skorzystać z tej metody, będziemy potrzebować:

• Router Mikrotik. (W naszym przypadku RB951UI-2HND był używany z wersją ruterosa oprogramowania układowego 6.40.2)
• Program Wireshark. (W naszym przypadku wersja 2.4.1)
• Komputer lub serwer w jednej sieci z routerem z biegającym Wireshark

Oprawa

Otwórz Wireshark, wybierz interfejs, na którym chcemy "Snifffit" (w naszym przypadku jest to Ethernet, to znaczy interfejs, z którym komputer łączy się z routerem) i ustaw następujący filtr - port UDP 37008.. Jak pokazano na zdjęciu:

Jest oczywiste, że jeśli zaczniemy przechwycić pakiety bez tego filtra, po prostu wyparzymy cały ruch, który przechodzi przez ten interfejs, a my tego nie chcemy.

Jaki rodzaj filtra jest tak i jaki jest port 37008 ? Faktem jest, że Mikrotik wyśle \u200b\u200bDatagram UDP, czyli cały przechwycony ruch, jest na tym porcie serwer strumieniowyoraz jako ten serwer strumieniowy, jak można odgadnąć, mamy nasz komputer z prowadzeniem Wireshark. Pakiety te są zamknięte przez protokół Tzsp. (Tazmen Sniffer Protocol), który służy do przenoszenia innych protokołów.

Więc uruchom przechwycenie pakietu na określonym interfejsie filtra port UDP 37008. I widzimy, że nic się nie dzieje i nie ma pakietów.

A teraz najciekawszą rzeczą jest połączenie z Mikrotik. Poprzez Winbox, przejdź do sekcji Przybory. Dalej Pakiet sniffer. I widzimy następujące okno z ustawieniami:

Na karcie. GENERAŁ Możemy pozostawić wszystko domyślnie, przejdź do karty Strumieniowanie.:

Umieściliśmy kleszcz B. Włączony strumieniowo., w polu. serwer Określ adres IP naszego komputera, na którym uruchomiono Wireshark i umieścić zaznaczenie Strumień filtraAby aktywować filtr, który ma zostać skonfigurowany na następnej karcie - Filtr.

Na tej karcie możemy przefiltrować nas ruch. Na przykład mamy Asterisk IP PBX w naszej sieci i chcemy zobaczyć, jakie pakiety otrzymuje i wysyła przez router Mikrotik. Na przykład możesz śledzić komunikację IP-PBX z serwerem dostawcy usług VoIP.

Wybierz więc interfejsy, na których chcemy złapać pakiety (w naszym przypadku jest mostem), następnie przefiltrować ruch na określonym adresie IP w polu adres IP (Nasz IP-PBX), punkt protokołu - 17 (UDP) i port. 5060 (SIP). Kierunek wskaże dowolną - każdy. i Operacja filtra. = lub. Oznacza to, że logika działania tego filtra jest "lub". Jeśli chcesz złapać pakiety tylko na sztywno zdefiniowanym filtrze, należy określić logikę i.Oznacza to, że zbieg okoliczności wszystkich warunków filtrowania.

Doskonały, teraz idziemy do Wireshark i zobaczymy, że złapał już niezbędne pakiety zgodnie z zasadami filtru.

W naszym przypadku IP-PBX gwiazdka z serwerem dostawcy usług VoIP, żądanie rejestracji i potwierdzenia z odwrotnej strony. Należy pamiętać, że typ enkapsulacji jest Tzsp.Jednak Wireshark był w stanie właściwie zdegenerować te pakiety i wyświetlać do nas pakiety. ŁYK..

Czy używasz tego artykułu?

Proszę nam powiedzieć dlaczego?

Szkoda, że \u200b\u200bartykuł nie był dla ciebie przydatny: (proszę, jeśli nie utrudnia, wskazać z jakiego powodu? Będziemy bardzo wdzięczni za szczegółową odpowiedź. Dziękujemy, że pomagasz nam stać się lepszym!

Ta lekcja opisuje technologie hakerowania sieci w oparciu o przechwycenie pakietów sieciowych. Hakerzy używają takich technologii do słuchania ruchu sieciowego w celu osadzenia cennych informacji, aby zorganizować przechwytywanie danych do ataku "człowieka w środkowej" ataku, aby przechwycić połączenia TCP, które pozwalają, powiedzmy, wymieniają dane i występy inne, nie mniej interesujące działania. Niestety, większość z tych ataków w praktyce jest realizowana tylko dla sieci UNIX, dla których hakerzy mogą korzystać zarówno specjalne narzędzia, jak i system UNIX. Networks Windows, najwyraźniej są objęte uwagą hakerów i jesteśmy zmuszeni do ograniczenia się przy opisach narzędzi przechwytujących dane z zatrzaskami przeznaczonymi do trywialnego słuchania pakietów sieciowych. Nie należy jednak zaniedbywać co najmniej teoretycznego opisu takich ataków, zwłaszcza leków przeciwszakowych, ponieważ znajomość technologii hakowania pomoże zapobiec wielu kłopotom.

SNFING SILD.

Sieci Ethernet są powszechnie stosowane karty sieciowe przetłumaczone na tryb słuchania. Słuchanie sieci Ethernet wymaga połączenia z komputerem z programem Snap-Snap do segmentu sieciowego, po którym haker staje się dostępny cały ruch sieciowy wysłany i odbierany przez komputery w tym segmencie sieciowym. Jest jeszcze łatwiejsze do przechwytywania ruchu sieci radiowych przy użyciu pośredników sieci bezprzewodowej - w tym przypadku nie jest konieczne nawet szukać miejsca do podłączenia do kabla. Lub atakujący może połączyć się z linią telefoniczną łączącą komputera z serwerem Internetu, znajdując wygodne miejsce (linie telefoniczne są zwykle układane w piwnicach i innych miejscach niezakłócone bez ochrony).

W celu wykazania technologii CNIGING zastosujemy bardzo popularny program Snifter. Spynet.który można znaleźć na wielu stronach internetowych. Oficjalna strona programu Spynet. Znajduje się pod adresem http://members.xoom.com/layrentiu2/gdzie można pobrać wersję programu DEMO.

Program Spynet. składa się z dwóch elementów - Capturenet. i Pipenet.. Program Capturenet. Umożliwia przechwycenie pakietów przesyłanych przez sieć Ethernet na poziomie sieci, tj. W formie ramek Ethernet. Program Pipenet. Umożliwia zbieranie ramek Ethernet w pakietach na poziomie aplikacji, przywracanie, na przykład wiadomości e-mail, komunikaty protokołu HTTP (wymiana informacji z serwerem WWW) i wykonywać inne funkcje.

Niestety w wersji demonstracyjnej Spynet. możliwości Pipenet. Ograniczony przykładem demonstracyjnym montażu pakietu HTTP, dzięki czemu nie będziemy w stanie zademonstrować pracy Spynet. w pełni. Jednak zademonstrujemy możliwości przyciągania sieci. Spynet. Na przykładzie naszej sieci eksperymentalnej przekazując plik tekstowy z gospodarza Miecz-2000. W hościem. Alex-z. Ze zwykłym Eksploratorem Windows. W tym samym czasie na komputerze A1EX-1. Uruchomimy program Capturenet.który przechwytuje przesyłane pakiety i pozwalają odczytać zawartość przesyłanego pliku w ramkach Ethernet. Na rys. 1 pokazuje tekst tajnej wiadomości w pliku secret.txt.; Spróbujemy znaleźć ten tekst w przechwyconych ramach Ethernet.

Figa. 1. Tekst tajnej wiadomości w oknie notatnika

Aby przechwycić ramki Ethernet, postępuj zgodnie z takimi działaniami.

Na komputerze Alex-z. Uruchom program Capturenet.. W wyświetlonym programie wybierz polecenie menu Capture * Start. (Przechwyć * Run) i uruchom proces przechwytywania ramek sieciowych.

Narzędzia Eksploratora Windows Skopiuj plik Security.txt z komputera Miecz-2000. na A1EX-3..

Po wysłaniu pliku secret.txt wybierz polecenie menu Przechwytywanie * przystanek. (Przechwyć * STOP) i zatrzymaj proces przechwytujący.

Przechwycone ramki Ethernet będą wyświetlane po prawej stronie pulpitu programu Capturenet. (Rys. 2), a każda linia na górnej liście reprezentuje ramkę Ethernet, a zawartość wybranej ramki pojawia się na liście.

Figa. 2. Rama Ethernet zawiera tekst tajnej wiadomości.

Po dokonaniu przeglądu listy przechwyconych ramek możemy łatwo znaleźć, że z nich zawiera tekst tego jest bardzo dużym sekretem (jest to bardzo duży sekret).

Podkreślamy, że jest to najłatwiejszy przykład, gdy zarejestrowano cały ruch sieciowy. Program Capturenet. Umożliwia przechwycenie pakietów wysyłanych przez konkretne protokoły oraz w niektórych portach hosta, wybierz wiadomości z określoną zawartością i gromadzą przechwytywane dane w pliku. Technika wykonania takich działań nie jest złagodzona i może opanować system referencyjny programu. Spynet..

Oprócz prymitywnej sieci słuchowej hakerzy mają bardziej wyrafinowane narzędzia przechwytywania danych. Poniżej znajduje się krótki przegląd takich metod, jednak w aspekcie teoretycznym. Powodem jest to, że dla sieci systemu Windows, praktyczna realizacja ataków przechwytywania danych jest niezwykle ograniczona, a zestaw niezawodnych narzędzi do ataków przechwytywania jest całkiem nieźle.

Metody przechwytywania ruchu sieciowego

Sterownik sieciowy za pomocą analizatorów sieci podobnych do powyższego Capturenet.jest pierwszym, najłatwiejszym sposobem przechwycenia danych. Oprócz Spynet. Aby przyciągnąć sieci, różnorodne narzędzia są pierwotnie opracowane w celu analizy aktywności sieciowej, diagnozowania sieci, wyboru ruchu w określonych kryteriach i innych zadaniach administracji sieciowych. Jako przykład można nazwać taki program tcpdump. (http://www.tcpdump.org.), co umożliwia nagrywanie ruchu sieciowego do specjalnego dziennika w celu późniejszej analizy.

Specjalne programy są używane do ochrony przed słuchaniem sieci, na przykład, Antisiff. (http://www.securitySoftwaretetech.com/antisniff.) Kto jest w stanie zidentyfikować komputery w sieci zaangażowanej w słuchanie ruchu sieciowego. Programy antysariusze do rozwiązania ich zadań wykorzystują specjalną cechę obecności urządzeń słuchowych w sieci - płyta sieciowa komputerowa musi być w trybie specjalnym przesłuchania. Będąc w trybie słuchania, komputery sieciowe reagują specjalnie do datagramów IP wysyłanych na adres hosta. Na przykład, słuchanie gospodarzy, z reguły obsługiwać cały ruch przychodzący, nie ograniczający się do wysyłania tylko do adresu hosta przez datagram. Istnieją inne znaki wskazujące podejrzane zachowanie hosta, które program może rozpoznać Antisiff..

Niewątpliwie słuchanie jest bardzo przydatne pod względem atakującego, ponieważ pozwala uzyskać wiele przydatnych informacji - hasła przesyłane przez sieć, adresy sieciowe, dane poufne, litery itp. Jednak proste słuchanie nie pozwala hakerowi zakłócać interakcję sieci między dwoma hostami w celu modyfikowania i zniekształcenia danych. Aby rozwiązać takie zadanie wymaga bardziej złożonej technologii.

Fałszywe żądania ARP.

Aby przechwycić i zamknąć proces interakcji sieciowych między dwoma gospodarzami a atakującym, może zastąpić adresy IP interakcji hostów według adresu IP, wysyłając gospodarze A oraz w sfałszowanych komunikatach ARP (protokół rozdzielczości adresowej). Protokół ARP można znaleźć w dodatku D, który opisuje procedurę rozdzielczości (transformacja) adresu IP hosta do maszyny (adres MAC), który jest szyty do płytki obwodowej gospodarza. Zobaczmy, jak haker może użyć protokołu ARP do przeprowadzenia przechwytywania interakcji sieci między gospodarzem a V.

Przechwycenie ruchu sieciowego między gospodarzami a w hakerze nakłada swój adres IP do tego hosta, dzięki czemu A i przy użyciu tego sfałszowanego adresu IP podczas wymiany wiadomości. Aby narzucić adres IR, Hacker wykonuje następujące operacje.

Atakujący określa adresy MAS hosts A i B, na przykład, używając polecenia nbtstat. Z pakietu. W2RK..

Osoba atakująca wysyła do wykrytych adresów MAC gospodarze A oraz wiadomości, które są sfałszowane reakcje ARP na prośby o zezwolenie na adresy IP hostów na adres MAC komputerów. Host A jest zgłoszony, że adres IP hosta odpowiada adresowi MAC komputera atakującego; Host jest informowany, że adres IP hosta, a także odpowiada adresowi MAC komputera atakującego.

Gospodarze A i w szkliwa wynikające z nich adresy Mac w pamięci CHACHES ARP, a następnie używać ich do wysyłania wiadomości do siebie. Ponieważ adresy IP AND i B odpowiadają adresowi komputera Mac atakującego atakującego, gospodarze A i B, który nie jest podejrzewany, komunikować się za pośrednictwem mediatora, który może zrobić wszystko z ich wiadomościami.

Aby chronić przed takimi atakami, administratorzy sieci muszą utrzymywać bazę danych z tabelą zgodności z adresami MAC i adresami IP komputerów sieciowych. Następnie z pomocą specjalnego oprogramowania, takich jak narzędzia arpwatch. (ftp://ftp.ee.lbl.gov/arpwwatch-2.lab.tar.gz.) Możesz okresowo zbadać sieć i wykrywać niespójności.

W sieciach UNIX, ten rodzaj ataku z fałszywymi żądaniami ARP mogą być realizowane przy użyciu narzędzi do śledzenia systemu i zarządzania ruchem sieciowym, na przykład arpredirect.. Niestety, w sieciach Windows 2000 / XP, niezawodne narzędzia wydają się być wdrażane. Na przykład na stronie internetowej NTSCurity ( http://www.ntsecurity.nu.) Możesz pobrać narzędzie Grabitaii.reprezentowany jako środek do przekierowania ruchu między gospodarzami sieci. Jednak narzędzie do testowania podstawowego wydajności Grabitaii. Pokazuje, że do czasu pełnego sukcesu w realizacji jego funkcji jest nadal daleko.

Fałszywe routing.

Aby przeżyć ruch sieciowy, atakujący może zastąpić prawdziwy adres IP routera sieciowego z adresem IP, wykonując go na przykład, używając przekierowania sfałszowanych wiadomości ICMP. Otrzymany przekierowy gospodarza musi, zgodnie z dokumentem RFC-1122, postrzegając jako odpowiedź na datagram wysłany do innego hosta, na przykład B. Twoje działania na przekierowania hosta hosta i określa, na podstawie zawartości otrzymanej przez Przekieruj wiadomość, a jeśli przekierowanie jest zdefiniowane w nowej trasie, to jest ten gospodarz a i zrobi go.

Aby wykonać fałszywe routing, atakujący musi znać szczegóły dotyczące organizacji sieci lokalnej, w której gospodarz, w szczególności adres IP routera jest wysyłany przez który ruch od gospodarza A w V. wiedząc o tym Atakujący wygeneruje IP-Datagram, w którym nadawca IP Senderpress jest zdefiniowany jako adres IP routera, a odbiorca jest określony przez HOST A. Również w datagramie, komunikat Redirect ICMP jest dołączony do nowego pole Adresu routera jako adres IP komputera atakującego. Po otrzymaniu takiej wiadomości, host A wyśle \u200b\u200bwszystkie wiadomości przez adres IP komputera atakującego.

Aby chronić przed takim atakiem, wyłącz (na przykład, używając zaporę) na przetwarzaniu wiadomości hosta i przekierowania ICMP, a do identyfikacji adresu IP komputera atakującego może polecenie tracert. (W UNIX jest to polecenie TraceRout). Narzędzia te są zdolne do znalezienia dodatkowego, nieprzewidzianego w sieci lokalnej, trasie, chyba że administrator sieci pokaże wigilancję.

Powyższe przykłady przechwytywania (które nie są ograniczone do możliwości napastników, nie są ograniczone) są przekonane o potrzebie ochrony danych przesyłanych przez sieć, jeśli dane zawierają poufne informacje. Jedyną metodą ochrony przed przechwytywaniem ruchu sieciowego jest stosowanie programów, które wdrażają algorytmy kryptograficzne i protokoły szyfrowania oraz umożliwiają zapobieganie ujawnianiu i zastępowaniu tajnych informacji. Aby rozwiązać takie zadania, kryptografia zapewnia środki do szyfrowania, podpisu i uwierzytelniania wiadomości transmitowanych nad protokołami chronionymi

Praktyczna realizacja wszystkich informacji opisanych w rozdziale 4 jest dostarczana przez VPN (wirtualna sieć prywatna - wirtualne sieci prywatne). Krótki przegląd zasad i metod ochrony kryptograficznej można znaleźć w Załączniku E oraz w szczegółowym opisie środków ochrony kryptograficznej dostarczonej przez aplikację PGP Desktop Security. (http://www.pgp.com.).

Przechwycenie połączenia TCP.

Najbardziej wyrafinowany atak przechwytywania ruchu sieciowego należy wziąć pod uwagę przyjęcie połączeń TCP (Hijacking TCP), gdy haker, generowanie i odniesienia do atakowanych pakietów hosta hosta przerywa bieżącą sesję komunikacyjną z gospodarzem. Następnie, korzystając z możliwości protokołu TCP, aby przywrócić rozładowywane połączenie TCP, haker przechwytuje przerwaną sesję komunikacyjną i kontynuuje go zamiast odłączonego klienta.

Aby wykonać ataki połączeń TCP, utworzono kilka skutecznych narzędzi, ale wszystkie są implementowane dla platformy UNIX, a na witrynach internetowych Narzędzia te są prezentowane tylko w formie kodu źródłowego. Tak więc, jako przekonani praktyki w szlachetnym przypadku hakowania, od ataków metodą przechwycenia TCP-Connection, niewiele. (Kochankowie do zrozumienia w cudzym kodzie programowym mogą skontaktować się z witryną http://www.cri.cz/~kra/index.html.gdzie możesz przesłać kod źródłowy znanego narzędzia do przechwytywania połączeń TCP Polowanie. Z Pavel Krauza).

Pomimo braku praktycznych narzędzi, nie możemy ominąć tak ciekawego tematu jako przechwytywania połączeń TCP i skupić się na niektórych aspektach takich ataków. Niektóre informacje o strukturze pakietów TCP i procedury ustanawiania połączeń TCP są podane w dodatku D tej książki, tutaj będziemy płacić główną uwagę na to pytanie - co dokładnie pozwala hakerom wykonywać ataki ataków przechwytywania połączeń TCP? Rozważ ten temat więcej, polegając głównie na dyskusję w i.

Protokół TCP (protokół kontroli transmisji - protokół zarządzania transferami) jest jednym z podstawowych protokołów poziomu transportu OSI, umożliwiając ustawienie połączeń logicznych za pomocą wirtualnego kanału komunikacyjnego. Pakiety z rejestracją ich sekwencji są przesyłane i akceptowane na tym kanale, kontrola przepływu pakietów jest kontrolowana, jest ona zorganizowana przez ponowne przesyłanie zniekształconych pakietów, a na końcu sesji kanał komunikacyjny jest uszkodzony. Protokół TCP jest jedynym podstawowym protokołem z rodziny TCP / IP, która ma zaawansowany system identyfikacji wiadomości i związek.

Aby zidentyfikować pakiet TCP w nagłówku TCP Istnieją dwa 32-bitowe identyfikatory, które również odgrywają rolę licznika pakietów, zwaną numer sekwencji i numer potwierdzenia. Będziemy również zainteresowani innym polem pakietu TCP o nazwie bitów sterujących. Ten rozmiar pola rozmiar 6 bitów zawiera następujące bitów sterujących (w kolejności od lewej do prawej):

URG - Flaga pilności;

Zapytaj - flaga potwierdzenia;

Flaga transferowa PSH;

RST - Podłączenie ponownie zainstaluj flagę;

Syn - flaga synchronizacji;

Flaga ukończenia płetwy.

Rozważ procedurę tworzenia połączenia TCP.

1. Jeśli host, ale musisz utworzyć połączenie TCP z hostem, host a wysyła hosta na następujący komunikat:

A -\u003e P: SYN, ISSA

Oznacza to, że numer sekwencji synchronizacji (numer sekwencji synchronizacji - numer sekwencji synchronizacji jest ustawiony na host, a początkowe 32-bitowa wartość ISSA jest zainstalowana w polu Numer sekwencji (początkowy numer sekwencji).

2. W odpowiedzi na host otrzymany od hosta żądanie hosta w odpowiednim komunikacie, w którym zainstalowane są bitów SYN, a bity ASC są ustawione. W numerze sekwencji hosta w instaluje swoją wartość początkową licznika - ISSB; Pole numeru potwierdzenia będzie zawierać wartość ISSA uzyskaną w pierwszym pakiecie od gospodarza A, powiększonej na jednostkę. W ten sposób gospodarz reaguje z takim wiadomością:

W -\u003e A: SYN, ASP, ISSB, ACK (ISSA + 1)

3. Wreszcie gospodarz wysyła wiadomość do gospodarza, w którym: bit ASC.; Pole sekwencji zawiera wartość Issa + 1.; Pole numeru potwierdzenia zawiera wartość ISSB + 1.. Po tym połączeniu TCP między gospodarzami ALE i W uważany za ustalony:

A -\u003e P: Zapytaj, ISSA + 1, ACK (ISSB + 1)

4. Teraz gospodarz ALE może wysyłać pakiety z danymi na hoście W Zgodnie z nowo utworzonym wirtualnym kanałem TCP:

A -\u003e P: Zapytaj, ISSA + 1, ACK (ISSB + 1); Dane.

Tutaj Dane. oznacza dane.

Z powyższego algorytmu do tworzenia połączenia TCP jest jasne, że jedyni subskrybenci TCP i identyfikatory połączeń TCP to dwa 32-bitowe parametry numerów sekwencji i numery potwierdzenia - Issa. i ISSB.. W konsekwencji, jeśli Hakra jest w stanie nauczyć się bieżących wartości pól Issa. i ISSB., Nie przeszkadzam mu przed utworzeniem sfałszowanego pakietu TCP. Oznacza to, że Hakwar wystarczy, aby wybrać bieżące wartości parametrów Issa. i ISSB. Pakiet TCP do tego połączenia TCP, wyślij pakiet z dowolnego hosta internetowego w imieniu klienta tego połączenia TCP, a ten pakiet zostanie postrzegany jako prawdziwy!

Niebezpieczeństwo takiej substytucji pakietów TCP jest ważny, a ponieważ protokoły wysokiego szczebla FTP i Telnet są zaimplementowane w bazie danych TCP, a identyfikacja klientów FTP i pakietów Telnet są w pełni oparte na protokole TCP.

Ponadto, ponieważ protokoły FTP i Telnet nie sprawdzają adresów IP Nadawcy wiadomości, po otrzymaniu sfałszowanego pakietu, serwery FTP lub Telnet wyśle \u200b\u200bwiadomość odpowiedzi na adres IP HOPER HOST podany w pakiecie fałszywym. Następnie host hoster rozpocznie pracę z serwerem FTP lub Telnet z adresu IP, ale z prawami legalnie podłączonego użytkownika, który z kolei stracą kontakt z serwerem z powodu niedopasowania liczników.

W ten sposób, aby wdrożyć atak opisany powyżej, niezbędny i wystarczający stan jest wiedzą o dwóch aktualnych parametrach 32-bitowych. Issa. i ISSB.Identyfikacja połączenia TCP. Rozważmy możliwe sposoby ich uzyskania. W przypadku, gdy host haker jest podłączony do atakowanego segmentu sieci, zadaniem uzyskania wartości Issa. i ISSB. Jest trywialny i rozwiązany poprzez analizę ruchu sieciowego. Dlatego konieczne jest jasne zrozumienie, że protokół TCP umożliwia zasadniczo zabezpieczyć połączenie tylko wtedy, gdy niemożliwe jest przechwytywanie wiadomości atakujących transmitowanych przez to połączenie, czyli tylko w przypadku, gdy host haker jest podłączony do hostera Segment sieci inny niż segment abonenta połączenia TCP.

Dlatego ataki odcinające są największym zainteresowaniem hakera, gdy atakujący i jego cel znajdują się w różnych segmentach sieciowych. W tym przypadku zadanie uzyskania wartości Issa. i ISSB. Nie jest trywialny. Aby rozwiązać ten problem, tylko dwa sposoby są teraz wymyślone.

Matematyczne przewidywanie wartości początkowej parametrów połączenia TCP przez ekstrapolacja poprzednich wartości Issa. i ISSB..

Korzystanie z luk w celu identyfikacji połączeń TCP na serwerach UNIX RSH.

Pierwsze zadanie rozwiązuje się poprzez dogłębne badania wdrażania protokołu TCP w różnych systemach operacyjnych, a obecnie ma czysto teoretyczną wartość. Drugi problem został rozwiązany przy użyciu luki systemu UNIX, aby zidentyfikować zaufanych gospodarzy. (Zaufany w odniesieniu do tego gospodarza ALE zwany gospodarzem sieci Wktórego użytkownik może połączyć się z gospodarzem ALE Bez uwierzytelniania za pomocą usługi obsługi HOST R ALE). Manipulowanie parametrów pakietów TCP, haker może spróbować wydać sobie zaufany gospodarz i przechwycić połączenie TCP za pomocą atakowanego gospodarza.

Wszystko to jest bardzo interesujące, ale praktyczne wyniki tego rodzaju badań nie są jeszcze widoczne. Dlatego też doradzamy wszystkim do pogłębienia w tym temacie, aby skontaktować się z książką, z której głównie podjęto powyższe informacje.

Wniosek

Przechwycenie danych sieci jest najbardziej skuteczną metodą hakowania sieci, umożliwiając Hakwool, aby uzyskać prawie wszystkie informacje w sieci. Środki snfingowe otrzymały największy rozwój praktyczny, tj. Słuchanie sieci; Jednak nie można przejść do obu stron i metod przechwytywania danych sieciowych wykonanych przy użyciu zakłóceń w normalnym funkcjonowaniu sieci w celu przekierowania ruchu do hosta Hacker, w szczególności metody przechwytywania połączeń TCP. Jednak w praktyce najnowsze wymienione metody nie otrzymały jeszcze wystarczającego rozwoju i muszą być poprawione.

Athar powinien wiedzieć, że ich szyfrowanie jest jedynym zbawieniem od przechwycenia danych, tj. Metody ochrony kryptograficznej. Przez wysyłanie wiadomości przez sieć należy założyć, że system sieci kablowej jest absolutnie wrażliwy, a każdy haker podłączony do sieci może złapać wszystkie przesłane tajne wiadomości z niego. Istnieją dwa technologie do rozwiązania tego zadania - tworzenie sieci VPN i szyfrowanie samych wiadomości. Wszystkie te zadania są bardzo łatwe do rozwiązania za pomocą pakietu oprogramowania. PGP Desktop Security. (Jego opis można znaleźć na przykład b).

Wprowadzenie

W pracy sieci komputerowej i układu sieciowego węzłów pojawiają się czasami problemy, przyczyny, dla których trudno jest wykryć dobrze znane narzędzia do pobierania statystycznych (takich jak NetStat) i standardowy protokół ICMP (ping, traceroute / tracert itp. ). W takich przypadkach problemy z diagnozowaniem problemów często muszą używać bardziej szczegółowych środków, które umożliwiają wyświetlanie ruchu sieciowego (nasłuchiwania) i analizowania go na poziomie jednostek transmisji poszczególnych protokołów ( "Wąchanie", wąchanie).

Analizatory protokołu sieciowego. lub "Sniffer" są niezwykle przydatne narzędzia do badania zachowania węzłów sieciowych i identyfikacji rozwiązywania problemów z siecią. Oczywiście, podobnie jak wszelkie środki, na przykład ostry nóż, sniffer może być oba błogosławieństwem w rękach administratora systemu lub inżyniera bezpieczeństwa informacji oraz broń przestępczości w rękach atakującego komputera.

Podobnie specjalistyczne oprogramowanie zwykle używa "Disorder" (Promiscuos) Tryb działania adaptera sieciowego Monitor komputera (w szczególności, aby przechwycić segment sieciowy, port przełączający lub router). Jak wiesz, istota tego trybu jest zmniejszona do przetwarzania wszystkich ramek, które przychodzą do interfejsuZamiast adresu MAC karty sieciowej i transmisji, ponieważ występuje w zwykłym trybie.

Produkt w tym artykule Wireshark. Jest to powszechnie znane narzędzie do przechwycenia i interaktywnej analizy ruchu sieciowego, w rzeczywistości standard w przemyśle i edukacji. DO kluczowe cechy Wireshark. Możesz przypisać: multiplatform (Windows, Linux, Mac OS, FreeBSD, Solaris itp.); możliwość analizy setek różnych protokołów; Obsługuj zarówno tryb graficzny, jak i interfejs linii poleceń (narzędzie Tshark); Potężny system filtrów ruchu; Eksport wyników pracy w formatach XML, PostScript, CSV itp.

Ważnym faktem jest również fakt, że Wirreshark jest oprogramowaniem Open Source, dystrybuowany pod licencją GNU GPLV2, tj. Możesz swobodnie korzystać z tego produktu według własnego uznania.

Instalowanie Wireshark.

Najnowsza wersja Wireshark dla systemów operacyjnych Windows i OS X, a także kod źródłowy pobierz z witryny projektu . Dla dystrybucji Linuksa i BSD, ten produkt jest zwykle dostępny w standardowych lub dodatkowych repozytoriach. Zrzuty ekranu opublikowane w tym artykule są wykonane z wersji 1.6.2 Wireshark dla Windows. Wcześniejsze wersje programu, które można znaleźć w repozytoriach systemów operacyjnych UNIX, mogą być również z powodzeniem stosowane, ponieważ Wirreshark od dawna był stabilny i funkcjonalny produkt.

Wirshark pracuje oparty na bibliotece Pacap (przechwytywanie pakietów)Umożliwienie interfejsu programowania w celu wdrożenia funkcji interakcji niskiego poziomu z interfejsami sieciowymi (w szczególności przechwytywanie i generowanie jednostek transmisyjnych protokołów sieciowych i lokalnych protokołów sieciowych). Biblioteka PCAP jest również podstawą takich znanych sieci, takich jak TCPDump, mnor, NMAP, Kismet itp. W przypadku systemów PCAP dla UNIX jest zwykle obecny w standardowych repozytoriach oprogramowania. Dla rodziny systemów operacyjnych Windows znajduje się wersja PCAP o nazwie WinPCap. To może być pobierz z witryny projektu . Jednak zazwyczaj nie ma potrzeby, ponieważ biblioteka WinPCap jest włączona w pakiecie instalacyjnym Wireshark dla Windows.

Proces instalacji programu nie jest skomplikowany dla żadnego systemu operacyjnego, oczywiście, oczywiście specyfikę używanej platformy. Na przykład, Wireshark w Debianie / Ubuntu jest zainstalowany w taki sposób, że nieuprawnione użytkownicy nie mają prawa do przechwycenia pakietów, więc program musi być uruchomiony za pomocą mechanizmu zmiany identyfikatora użytkownika sudo (lub wytworzyć niezbędne manipulacje zgodnie z Standardowa dokumentacja pakietu Deb).

Praca AZA z Wireshark

Interfejs użytkownika Wireshark jest oparty na bibliotece GTK + (GIMP Toolkit). Głównym oknem programu zawiera następujące elementy: menu, pasek narzędzi i filtry do przeglądania, lista pakietów, szczegółowy opis wybranego pakietu, wyświetlanie pakietów bajtów (w postaci szesnastkowej oraz w formie tekstu) i Status Ciąg:

Należy zauważyć, że interfejs użytkownika programu jest dobrze rozwinięty, raczej ergonomiczny i dość intuicyjny, który pozwala użytkownikowi skoncentrować się na badaniu procesów sieciowych bez rozproszenia przez drobiazgi. Ponadto wszystkie funkcje i szczegóły dotyczące korzystania z Wireshark są szczegółowo opisane instrukcja obsługi . W związku z tym artykuł ten koncentruje się na funkcjonalnych możliwościach rozważanego produktu, jego cech w porównaniu z innymi sznifferami, na przykład ze znanym narzędziem TCPDump.

Wirshark Ergonomia odzwierciedla wielopoziomowe podejście do zapewnienia interakcji sieciowych. Wszystko odbywa się w taki sposób, że wybierając pakiet sieciowy z listy, użytkownik dostaje możliwość przeglądania wszystkich nagłówków (warstw), a także wartości pól każdej warstwy pakietu sieciowego, począwszy Z opakowania - ramki Ethernet, bezpośrednio nagłówka IP, nagłówek warstwy transportowej i zastosowanie zastosowania protokołu zawartego w opakowaniu.

Dane źródłowe do przetwarzania można uzyskać przez Wireshark w czasie rzeczywistym lub importowany z pliku zrzutu ruchu sieciowego, a kilka wysypisk do analizy zadań można łączyć w jeden.

Problem znalezienia niezbędnych pakietów w dużych ilościach przechwytywanego ruchu jest rozwiązany dwa typy filtrów: przechwytywanie ruchu (Filtry przechwytywania) i to wyświetl filtry.. Wirshark Filtry kolekcji są oparte na filtrach bibliotecznych PCAP, tj. Składnia w tym przypadku jest podobna do składni narzędzia TCPDump. Filtr to seria prymitywów, w razie potrzeby, w razie potrzeby, funkcje logiczne (i, a nie). Często używane filtry można zapisać profil do ponownego użycia.

Rysunek pokazuje profil filtrów zbiórki WIRESHARK:

Wireshark Network Package Analyzer ma również swój własny prosty, ale wielofunkcyjny język filtrów wyświetlanych. Wartość każdego pola w nagłówku pakietu może być używana jako kryterium filtrowania. (Na przykład IP.Src - adres IP źródła w pakiecie sieciowym, rama.Len jest długości ramki Ethernet itp.). Korzystając z operacji porównania, wartości pola można porównać do określonych wartości. (Na przykład klatka.Len i kilka wyrażeń do łączenia operatorów logicznych (na przykład: ip.src \u003d\u003d 10.0.5 i tcp.flags.fin). Dobry pomocnik w procesie projektowania wyrażeń jest filtruj wyrażenie:

Narzędzia do analizy pakietów sieciowych

Jeśli protokoły bez ustanowienia połączenia można zbadać, po prostu oglądanie poszczególnych pakietów i obliczenia statystyk, badania protokołów zorientowanych na protokół jest znacznie uproszczony, jeśli istnieją dodatkowe funkcje skoku interakcji sieciowej.

Jedną z przydatnych cech Wireshark jest przedmiot "Śledź strumień TCP" (Dosłownie "Postępuj zgodnie z podmenu analizy analizy TCP-Flow", co pozwala wyodrębnić dane protokołu aplikacji z segmentu TCP przepływu, do którego należy wybrany pakiet:

Inny interesujący podmenu analizy - "Expert Info Composite", Wywołanie okna wbudowanego systemu eksperckiego Wireshark, który spróbuje wykryć błędy i komentarze w pakietach, automatycznie przeznaczyć oddzielne połączenia z wysypiska i scharakteryzować je. Ten moduł jest w trakcie rozwoju i jest ulepszony z wersji do wersji programu.

W podmenu statystycznym "Statystyka" Zebrane opcje, które umożliwiają obliczenie wszelkiego rodzaju charakterystyki statystycznych badanych ruchu, budować intensywność strumieni sieciowych, analizuje czas odpowiedzi usług itp. Tak, pkt "Hierarchia protokołu" Wyświetla statystyki w postaci hierarchicznej listy protokołów o wskazaniu procentu całkowitego ruchu, liczby pakietów i bajtów, przenoszone przez ten protokół.

Funkcjonować "Punkt końcowy" Daje statystyki wielopoziomowe dotyczące ruchu przychodzącego / wychodzącego każdego węzła. Ustęp "Rozmowy" (Dosłownie "rozmowy") umożliwia określenie objętości ruchu różnych protokołów (kanał, sieć i poziom transportu modelu interakcji systemów otwartych) przekazywane między interakcją ze sobą węzły. Funkcjonować "Długości pakietów" Wyświetla dystrybucję pakietów przez długość.

Ustęp "Wykres przepływu ..." Reprezentuje strumienie pakietów w formie graficznej. W tym samym czasie, wybierając element na wykresie, odpowiedni pakiet na liście w głównym oknie programu staje się aktywny:

Oddzielne podmenu w najnowszych wersjach Wireshark przypisuje się do telefonii IP. W podmenu "Narzędzia" znajduje się przedmiot "Zasady ACL Firewall"Wybrany pakiet spróbuje utworzyć regułę zapory (w wersji 1.6.x, Cisco IOS, Filtr IP, IPFirewall, Netfilter, Filtr pakietowy i Firewall Windows.

Program ma również wbudowany lekki tłumacz język programowania LUA. . Korzystając z LUA, możesz tworzyć własne dekodery protokołu i obsługi zdarzeń w Wirshark.

Zamiast więzienia

Wireshark Network Packacation Analyzer jest przykładem produktu opensource, który odnosi się do platformy UNIX / Linux, tak popularnej wśród użytkowników systemu Windows i Mac OS X. Oczywiście, z wyjątkiem WIRESHARK, istnieją ciężkie zintegrowane inteligentne rozwiązania w dziedzinie sieci Badania ruchu, których funkcjonalność jest znacznie szersza. Ale po pierwsze, są dużo pieniędzy, po drugie, złożone w masteringu i operacji; Po trzecie, musisz zrozumieć, że nie wszystko może być zautomatyzowane, a żaden system ekspertów nie zastąpi dobrego specjalisty. Jeśli więc masz do czynienia z zadaniami, które wymagają analizy ruchu sieciowego, wtedy Wirreshark jest narzędziem dla Ciebie. A fani wiersza poleceń mogą korzystać z narzędzia tshark - Wersja konsoli Wireshark.

Lub Elcomsoft Bezprzewodowy audytor bezpieczeństwa Windows.

Ograniczenia WinPCap i ruch Wi-Fi w Wireshark

Ograniczenia dotyczące przechwytywania pakietów Wi-Fi w systemie Windows są związane z biblioteką WinPCap, a nie z samym programem Wireshark. W końcu w Wirshark jest wsparcie - specjalistyczne i dość drogie adaptery Wi-Fi, których sterowniki obsługują śledzenie ruchu sieciowego w środowisku Windows, który często nazywany jest przechwytywaniem ruchu sieciowego w trybie "Nie-przycinającym" w sieciach Wi-Fi .

Instrukcje wideo do używania wifi akrylowych z wifhark w oknach

Przygotowaliśmy film z demonstracją procesu, która pomoże, jeśli masz pytania pozostałe lub jeśli chcesz zobaczyć, jak przechwytywane są automatyczne przechwytywanie ruchu drogowego przy użyciu dowolnej karty Wi-Fi w Wireshark dla Windows.

Pobierz, który zawiera wiele dodatkowych funkcji do przechwytywania ruchu i przetwarzania danych. Możesz wypróbować program za darmo lub kupować go w celu wspierania dalszego rozwoju (wprowadzamy nowe funkcje co tydzień). Darmowa wersja obsługuje również integrację z Wireshark. Sprawdź listę

SmartSniff. Umożliwia przechwycenie ruchu sieciowego i wyświetlanie zawartości w ASCII. Program przechwytuje pakiety przechodzące przez adapter sieciowy i wyświetla zawartość pakietów w formularzu tekstowym (HTTP, POP3, SMTP, protokoły FTP) oraz w postaci zrzutu hekserior. SmartSniff TCP / IP Capture wykorzystuje techniki: Surowe gniazda - Surowe gniazda, sterownik przechwytywania WinCap i sterownik Microsoft Network Monitor. Program obsługuje rosyjskie i łatwe w użyciu.

Sniffer Program do przechwytywania pakietów

SmartSniff wyświetla następujące informacje: Nazwa protokołu, adres lokalny i zdalny, lokalny i zdalny port, lokalny węzeł, nazwa usługi, głośność danych, całkowity rozmiar, czas przechwytywania i ostatni czas pakietu, czas trwania, lokalny i zdalny adres MAC, kraje i pakiet danych treść. Program ma elastyczne ustawienia, wdraża funkcję filtra przechwytywania, rozpakowanie odpowiedzi HTTP, konwersję adresu IP, narzędzie jest złożone do tacy systemu. SmartSniff tworzy raport na strumieniach pakietów przez strony HTML. Program jest możliwy do wyeksportowania strumieni TCP / IP.