Комп’ютери спілкуються за допомогою мереж. Ці мережі можуть бути в локальній мережі або піддані дії Інтернету. Мережеві нюхачі - це програми, які фіксують дані пакету низького рівня, що передаються через мережу. Зловмисник може проаналізувати цю інформацію, щоб виявити цінну інформацію, таку як ідентифікатори користувачів та паролі.
У цій статті ми познайомимо вас із загальноприйнятими методами нюхання мережі та інструментами, що використовуються для нюхання мереж. Ми також розглянемо контрзаходи, які ви можете вжити для захисту конфіденційної інформації, що передається через мережу.
Теми, висвітлені в цьому посібнику
- Що таке нюхання мережі?
- Активне і пасивне нюхання
- Діяльність злому: Мережа нюху
- Що таке затоплення контролю доступу до медіа (MAC)
Що таке нюхання мережі?
Комп’ютери спілкуються, передаючи повідомлення в мережі за допомогою IP-адрес. Після того, як повідомлення надіслано в мережу, комп’ютер-одержувач із відповідною IP-адресою відповідає своєю MAC-адресою.
Нюхання мережі - це процес перехоплення пакетів даних, що надсилаються через мережу. Це можна зробити за допомогою спеціалізованої програми або апаратного обладнання. Нюхати можна звикнути;
- Захоплюйте конфіденційні дані, такі як облікові дані для входу
- Підслуховування повідомлень чату
- Файли захоплення передаються через мережу
Далі подано протоколи, вразливі до нюхання
- Телнет
- Рлогін
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Наведені вище протоколи є вразливими, якщо дані для входу надсилаються у вигляді простого тексту
Пасивне та активне нюхання
Перш ніж ми розглянемо пасивне та активне нюхання, давайте розглянемо два основних пристрої, що використовуються для мережевих комп’ютерів; концентратори та вимикачі.
Хаб працює, надсилаючи широкомовні повідомлення на всі вихідні порти на ньому, крім того, який надіслав трансляцію . Комп’ютер-одержувач відповідає на широкомовне повідомлення, якщо збігається IP-адреса. Це означає, що при використанні концентратора всі комп'ютери в мережі можуть бачити широкомовне повідомлення. Він працює на фізичному рівні (рівень 1) Моделі OSI.
На діаграмі нижче показано, як працює концентратор.
Перемикач працює по-різному; він відображає IP / MAC-адреси до фізичних портів на ньому . Повідомлення, що транслюються, надсилаються на фізичні порти, які відповідають конфігураціям IP / MAC-адрес для комп’ютера-одержувача. Це означає, що широкомовні повідомлення бачить лише комп’ютер-одержувач. Комутатори працюють на рівні каналу передачі даних (рівень 2) та мережевому рівні (рівень 3).
На схемі нижче показано, як працює комутатор.
Пасивне нюхання - це перехоплення пакетів, переданих через мережу, яка використовує концентратор . Це називається пасивним нюханням, оскільки його важко виявити. Це також легко виконати, оскільки хаб надсилає широкомовні повідомлення на всі комп’ютери в мережі.
Активне нюхання - це перехоплення пакетів, переданих через мережу, яка використовує комутатор . Існує два основних методи, які використовуються для нюху комутаційних мереж, отруєння ARP та затоплення MAC.
Діяльність злому: нюхайте мережевий трафік
У цьому практичному сценарії ми збираємося використовувати Wireshark для обнюхування пакетів даних, оскільки вони передаються через протокол HTTP . У цьому прикладі ми пронюхаємо мережу за допомогою Wireshark, а потім увійдемо до веб-програми, яка не використовує захищений зв’язок. Ми увійдемо до веб-програми на http://www.techpanda.org/
Адреса входу: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб переглянути його. , а пароль - Password2010 .
Примітка: ми увійдемо до веб-програми лише для демонстрації. Техніка також може нюхати пакети даних з інших комп’ютерів, що знаходяться в тій же мережі, що й та, яку ви використовуєте для нюхання. Внюхування не тільки обмежується techpanda.org, але й обнюхує всі пакети даних HTTP та інших протоколів.
Обнюхування мережі за допомогою Wireshark
На малюнку нижче показано кроки, які ви будете виконувати, щоб виконати цю вправу без плутанини
Завантажте Wireshark за цим посиланням http://www.wireshark.org/download.html
- Відкрийте Wireshark
- Ви отримаєте наступний екран
- Виберіть мережевий інтерфейс, який ви хочете нюхати. Примітка для цієї демонстрації, ми використовуємо бездротове підключення до мережі. Якщо ви перебуваєте в локальній мережі, вам слід вибрати інтерфейс локальної мережі.
- Клацніть на кнопку Пуск, як показано вище
- Відкрийте веб-браузер і введіть http://www.techpanda.org/
- Електронна адреса для входу: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб переглянути його. а пароль - Password2010
- Клацніть на кнопку подати
- Успішний вхід повинен дати вам наступну інформаційну панель
- Поверніться до Wireshark і зупиніть зйомку в прямому ефірі
- Фільтрувати результати протоколу HTTP лише за допомогою текстового поля фільтра
- Знайдіть стовпець Інформація та знайдіть записи з дієсловом HTTP POST та натисніть на нього
- Відразу під записами журналу є панель із підсумком захоплених даних. Шукайте резюме з текстовими даними на основі рядків: application / x-www-form-urlencoded
- Ви повинні мати можливість переглядати значення відкритого тексту всіх змінних POST, поданих на сервер через протокол HTTP.
Що таке затоплення MAC?
Затоплення MAC - це технологія мережевого нюхання, яка заповнює таблицю MAC комутатора фальшивими MAC-адресами . Це призводить до перевантаження пам'яті комутатора і змушує його діяти як концентратор. Після того, як комутатор зламаний, він надсилає широкомовні повідомлення на всі комп’ютери в мережі. Це дає можливість нюхати пакети даних під час їх надсилання в мережу.
Контрзаходи проти підтоплення ГДК
- Деякі комутатори мають функцію захисту порту . Цю функцію можна використовувати для обмеження кількості MAC-адрес на портах. Він також може використовуватися для підтримки захищеної таблиці MAC-адрес на додаток до таблиці, наданої комутатором.
- Сервери автентифікації, авторизації та обліку можна використовувати для фільтрації виявлених MAC-адрес.
Нюхання контрзаходів
- Обмеження до мережевих фізичних носіїв значно знижує ймовірність встановлення мережевого знімка
- Шифрування повідомлень під час їх передачі по мережі значно зменшує їх значення, оскільки їх важко розшифрувати.
- Зміна мережі до Secure Shell (SSH) мереж також знижує шанси мережі були понюхали.
Резюме
- Мережеве нюхання перехоплює пакети, коли вони передаються по мережі
- Пасивне нюхання здійснюється в мережі, яка використовує концентратор. Це важко виявити.
- Активне нюхання здійснюється в мережі, яка використовує комутатор. Це легко виявити.
- Затоплення MAC працює шляхом заповнення списку адрес таблиці MAC фальшивими MAC-адресами. Це змушує перемикач працювати як концентратор
- Заходи безпеки, описані вище, можуть допомогти захистити мережу від нюху.