• Nejlepší nástroje pro testování per: sniffer a manipulace s pakety. Wireshark (network sniffer) Získání přihlašovacího jména a hesla

    Mnoho uživatelů počítačových sítí obecně nezná takový pojem jako „sniffer“. Pokusme se definovat, co je sniffer, zjednodušeně řečeno pro nepřipraveného uživatele. Pro začátek se ale ještě musíte ponořit do předdefinice samotného pojmu.

    Sniffer: co je to sniffer z hlediska angličtiny a výpočetní techniky?

    Ve skutečnosti není vůbec těžké určit podstatu takového softwarového nebo hardwarově-softwarového komplexu, pokud tento termín jednoduše přeložíte.

    Tento název pochází z anglického slova sniff (sniff). Odtud pochází význam ruského výrazu „čichač“. Co je to sniffer v našem chápání? „Sniffer“ schopný monitorovat využití síťového provozu, nebo jednodušeji špión, který může zasahovat do provozu místních nebo internetově orientovaných sítí a získávat informace, které potřebuje, na základě přístupu přes protokoly přenosu dat TCP / IP.

    Dopravní analyzátor: jak to funguje?

    Udělejme hned rezervaci: sniffer, ať už se jedná o softwarovou nebo podmíněnou softwarovou komponentu, je schopen analyzovat a zachytit provoz (vysílaná a přijímaná data) výhradně prostřednictvím síťových karet (Ethernet). Co se stalo?

    Síťové rozhraní není vždy chráněno firewallem (opět - softwarovým nebo hardwarovým), a proto se odposlech přenášených či přijímaných dat stává pouze technologickou záležitostí.

    V rámci sítě jsou informace přenášeny po segmentech. V rámci jednoho segmentu mají být datové pakety odesílány absolutně všem zařízením připojeným k síti. Informace o segmentech jsou předávány směrovačům (routerům) a poté přepínačům (přepínačům) a rozbočovačům (hubům). Odesílání informací se provádí rozdělením paketů tak, aby koncový uživatel dostal všechny části balíku dohromady ze zcela odlišných cest. Takže „poslech“ všech potenciálních cest od jednoho účastníka k druhému nebo interakce internetového zdroje s uživatelem může poskytnout nejen přístup k nešifrovaným informacím, ale také k některým tajným klíčům, které mohou být také zaslány v takovém procesu interakce. A zde se ukazuje, že síťové rozhraní je zcela nechráněné, protože do něj zasahuje třetí strana.

    Dobré úmysly a zlé úmysly?

    Čichadla lze použít jak ke škodě, tak k dobru. Nemluvě o negativním dopadu, stojí za zmínku, že takové softwarové a hardwarové systémy jsou poměrně často využívány systémovými administrátory, kteří se snaží sledovat akce uživatelů nejen na síti, ale také jejich chování na internetu z hlediska navštívených zdrojů. , aktivované stahování do počítačů nebo odesílání z nich.

    Technika, kterou síťový analyzátor funguje, je poměrně jednoduchá. Čichač určuje odchozí a příchozí provoz stroje. V tomto případě nemluvíme o interní nebo externí IP. Nejdůležitějším kritériem je tzv. MAC adresa, jedinečná pro jakékoli zařízení připojené ke globálnímu webu. Na něm je identifikován každý stroj v síti.

    Typy snifferů

    Ale podle typu je lze rozdělit do několika hlavních:

    • Hardware;
    • software;
    • hardware a software;
    • online applety.

    Behaviorální detekce přítomnosti snifferu v síti

    Stejný WiFi sniffer poznáte podle zatížení sítě. Pokud je zřejmé, že přenos dat nebo připojení není na úrovni deklarované poskytovatelem (nebo router umožňuje), měli byste tomu okamžitě věnovat pozornost.

    Na druhou stranu může poskytovatel spustit i softwarový sniffer pro sledování provozu bez vědomí uživatele. Ale uživatel o tom zpravidla ani neví. Na druhou stranu organizace, která poskytuje služby komunikace a připojení k internetu, tak uživateli garantuje úplnou bezpečnost z hlediska zachycení záplav, samoinstalace klientů různých trojských koní, spywaru atd. Takové nástroje jsou však spíše softwarové a nemají zvláštní vliv na síť nebo uživatelské terminály.

    Online zdroje

    Ale online analyzátor provozu může být obzvláště nebezpečný. Primitivní počítačový hackerský systém je postaven na použití snifferů. Technologie ve své nejjednodušší verzi se scvrkává na skutečnost, že cracker se nejprve zaregistruje na určitém zdroji a poté nahraje obrázek na web. Po potvrzení stažení je vydán odkaz na online sniffer, který je potenciální oběti zaslán například ve formě e-mailu nebo stejné SMS zprávy s textem jako „Dostali jste od někoho gratulaci. Chcete-li otevřít obrázek (pohlednici), klikněte na odkaz.

    Naivní uživatelé kliknou na zadaný hypertextový odkaz, v důsledku čehož je aktivováno rozpoznání a externí IP adresa je předána útočníkovi. S příslušnou aplikací bude moci nejen prohlížet všechna data uložená v počítači, ale také snadno zvenčí měnit nastavení systému, které místní uživatel ani neuhádne, přičemž takovou změnu bude považovat za dopad virus. Ano, to je jen skener, když kontrola dá nulové hrozby.

    Jak se chránit před zachycením dat?

    Ať už se jedná o WiFi sniffer nebo jakýkoli jiný analyzátor, stále existují systémy na ochranu před neoprávněným skenováním provozu. Existuje pouze jedna podmínka: musí být nainstalovány, pouze pokud jste si zcela jisti „odposlechem“.

    Takové softwarové nástroje se nejčastěji nazývají „anti-sniffery“. Ale pokud se nad tím zamyslíte, jedná se o ty samé sniffery, které analyzují provoz, ale blokují další programy, které se snaží získat

    Z toho plyne legitimní otázka: vyplatí se instalovat takový software? Bude hacknutý hackery, aby způsobil ještě větší škody, nebo sám zablokuje to, co by mělo fungovat?

    V nejjednodušším případě u systémů Windows je lepší použít jako ochranu vestavěný firewall (firewall). Někdy může dojít ke konfliktům s nainstalovaným antivirem, ale častěji se to týká pouze bezplatných balíčků. Profesionální zakoupené nebo měsíčně aktivované verze takové nevýhody nemají.

    Místo doslovu

    To je vše, co se týká pojmu „čichač“. Co je to sniffer, myslím, už mnozí přišli na to. Nakonec zůstává otázka v jiném: jak správně bude takové věci používat běžný uživatel? A pak koneckonců mezi mladými uživateli lze občas zaznamenat sklon k počítačovému chuligánství. Myslí si, že hacknutí cizího „počítače“ je něco jako zajímavá soutěž nebo sebepotvrzení. Bohužel nikdo z nich ani nemyslí na důsledky a útočníka pomocí stejného online snifferu lze velmi snadno identifikovat podle jeho externí IP například na webu WhoIs. Je pravda, že jako umístění bude uvedeno umístění poskytovatele, země a město však budou určeny přesně. Pak jde o malou záležitost: buď volání poskytovateli za účelem zablokování terminálu, ze kterého byl proveden neoprávněný přístup, nebo soudní případ. Udělejte si vlastní závěry.

    S nainstalovaným programem pro určení polohy terminálu, ze kterého se pokouší o přístup, je situace ještě jednodušší. Důsledky ale mohou být katastrofální, protože ne všichni uživatelé tyto anonymizátory nebo virtuální proxy servery používají a nemají o tom ani ponětí na internetu. A stojí za to se učit...

    Pozornost: Všechny soubory a programy použité v článku si můžete stáhnout z odkazů na levé straně stránky!

    Tento článek je návod na prolomení WEP šifrování wi-fi sítí. V tomto textu nejsou uvedeny žádné základní pojmy bezdrátových sítí, za předpokladu, že je čtenář již má. Budeme používat: OS Windows, CommView pro Wi-Fi a aircrack-ng 0.9.3 win.

    Vzhledem k tomu, že pro Wi-Fi budeme používat CommView, je potřeba si tento program stáhnout například ze stránek společnosti. Aircrack-ng 0.9.3 win si můžete stáhnout z našich stránek. Před instalací CommView pro Wi-Fi zkontrolujte, zda je váš bezdrátový adaptér zahrnut v seznamu podporovaných.

    Ve výchozím nastavení nainstalujte CommView pro Wi-Fi (nezapomeňte nainstalovat ovladač pro vaši kartu, pokud je to požadováno!), rozbalte Aircrack-ng 0.9.3 win do libovolné vhodné složky, ale doporučuji použít C:/. Všichni můžeme pracovat.

    Balíček aircrack-ng obsahuje dobrý sniffer airodump-ng, ale použití tohoto snifferu pod Windows může způsobit určité potíže. OS Windows má jednu nepříjemnou vlastnost: neumožňuje pomocí standardních nástrojů (oficiálních ovladačů) přepnout Wi-Fi kartu do režimu sniffer (režimu, ve kterém karta shromažďuje všechny dostupné pakety), lze použít ovladače třetích stran (které se obvykle provádí) nebo úpravy oficiálních, ale to je plné závad a nepříjemných důsledků v podobě selhání připojení karty k přístupovému bodu. To lze snadno opravit instalací standardního ovladače.

    Chci vám nabídnout další, podle Choixe z webu wardriving.ru, pohodlnější možnost - to je použití balíčku CommView pro Wi-Fi sniffer a Aircrack-ng k prolomení klíče WEP. Hlavní výhodou takového balíčku je absence nutnosti instalace ovladače při každém přepnutí karty do režimu sniffer a zpět. CommView pro Wi-Fi také podporuje některé karty, jako je integrovaný adaptér Intel PRO/Wireless 2200BG, které nejsou podporovány pod airodump windows.

    STÁHNĚTE SI VŠE, CO POTŘEBUJETE (seznam programů vlevo)!

    Spouštíme CommView pro Wi-Fi, při prvním spuštění nabídne opravu ovladačů a restart. Všude se klidně domluvte. Dále, pokud budeme program používat pouze ke shromažďování zašifrovaných DATA paketů, vyberte nabídku PRAVIDLA a zaškrtněte tam políčka pro zachycení paketů DATA a ignorování paketů BEACON, zrušte zaškrtnutí zbývajících políček. Kliknutím uložíte aktuální pravidlo (uložíme rezervu). Jdeme do nastavení a nastavíme to tam, jako na obrázku:

    Skoro vše :-) Brzy začneme lámat)) Nastavení je hotové jednou, tak se nelekejte, že je tolik věcí na klikání.Zbývá přejít na záložku Log soubory v hlavním okně programu, zkontrolovat pole autosave a nastavte Maximální velikost adresáře na 200 metrů a průměrná velikost souboru je asi 5 metrů.

    Dále klikněte na tlačítko * Zachytit * a v okně, které se zobrazí, klikněte na * Zahájit skenování *. Vpravo se zobrazí seznam bodů, které se nacházejí v přístupové zóně, se sílou signálu a dalšími doplňkovými informacemi. Vybereme bod naší oběti a stiskneme zachycení. Nyní bereme do rukou pivo a krekry a čekáme, až se uloví požadovaný počet balení (od 100 000 do 2 000 000, podle délky klíče), budete si muset chvíli počkat.

    Hurá!!! Balíčky jsou sestaveny. Nyní stiskněte Ctrl + L v okně, které se objeví: soubor, načtěte soubory protokolu commview a vyberte všechny soubory, které vidíme. Poté menu pravidel a načtení toho, co jsme uložili (pouze datové balíčky). Nyní exportujme pakety ve formátu TCPdump.

    Použijeme AirCrack, nastavíme jeho parametry a určíme cestu k našemu souboru s balíčky z CommView, který je ve formátu TCPdump. Pro spuštění aircrack-ng GUI musíte mít nainstalovaný balíček Microsoft.NET FrameWork 2.0 (1 a 3 nebudou fungovat).

    Zvolte Šifrování: WEP, Velikost klíče: postupně od menšího k většímu. Pokud bylo zachyceno dostatek paketů ARP, můžete zaškrtnout políčko POUŽÍT útok PTW. Klepněte na tlačítko Spustit.

    Pokud je klíč nalezen, uvidíte něco takového:

    Pokud klíč není nalezen, zkuste změnit parametry, dokud nebude výsledek úspěšný.

    SmartSniff umožňuje zachytit síťový provoz a zobrazit jeho obsah v ASCII. Program zachycuje pakety procházející síťovým adaptérem a zobrazuje obsah paketů v textové podobě (protokoly http, pop3, smtp, ftp) a ve formě hexadecimálního výpisu. K zachycení paketů TCP/IP používá SmartSniff následující techniky: raw sockets - RAW Sockets, WinCap Capture Driver a Microsoft Network Monitor Driver. Program podporuje ruštinu a je snadno použitelný.

    Program pro sledování paketů

    SmartSniff zobrazuje následující informace: název protokolu, místní a vzdálenou adresu, místní a vzdálený port, místní hostitel, název služby, objem dat, celkovou velikost, dobu zachycení a posledního paketu, trvání, místní a vzdálenou MAC adresu, země a obsah datový paket. Program má flexibilní nastavení, má funkci zachytávacího filtru, rozbalování http odpovědí, převod ip adres, utilita je minimalizována do systémové lišty. SmartSniff generuje zprávu o toku paketů jako stránku HTML. V programu je možné exportovat TCP/IP streamy.

    POZORNOST! Tento článek je napsán pouze pro informační účely pro odborníky na bezpečnost IT. Zachycování provozu bylo na příkladu vlastních zařízení v osobní lokální síti. Zachycování a používání osobních údajů může být trestné ze zákona, proto vám nedoporučujeme používat tento článek k poškození ostatních. Mír ve světě, pomáhejte si navzájem!

    Ahoj všichni! V článku budeme hovořit o WiFi snifferu. Obecně je tento typ programů určen výhradně pro zachycování provozu v lokální síti. Dále nezáleží na tom, jak je oběť připojena k routeru, přes kabel nebo přes Wi-Fi. Na příkladu chci ukázat odposlechy dopravy pomocí zajímavého programu Intercepter-NG. Proč jsem si ji vybral? Faktem je, že tato aplikace sniffer je napsána speciálně pro Windows, má poměrně přátelské rozhraní a snadno se používá. A ne každý má Linux.

    Schopnosti Intercepter-NG

    Jak víte, místní síť neustále využívá výměnu dat mezi routerem a koncovým klientem. V případě potřeby mohou být tato data zachycena a použita pro vaše vlastní účely. Můžete například zachytit soubory cookie, hesla nebo jiná zajímavá data. Vše se děje velmi jednoduše – počítač odešle požadavek do internetu a obdrží data spolu s odpovědí z centrální brány nebo routeru.

    Program spustí určitý režim, ve kterém klientský počítač začne odesílat požadavky s daty nikoli na bránu, ale na zařízení s programem. To znamená, že můžeme říci, že si plete router s počítačem útočníka. Tento útok se také nazývá ARP spoofing. Dále z druhého počítače jsou všechna data používána pro vlastní účely.

    Po přijetí dat začíná proces sniffování, kdy se program snaží z paketů vydolovat potřebné informace: hesla, logiku, finální webové zdroje, navštívené stránky na internetu a dokonce i korespondenci v instant messengerech. Ale je tu malé mínus, že takový obrázek funguje dobře s nešifrovanými daty. Když požadujete stránky HTTPS, musíte tančit s tamburínou. Například, když klient požaduje server DNS, program může nahradit adresu jeho falešného webu, kde může zadat uživatelské jméno a heslo.

    Normální útok

    Nejprve si musíme stáhnout program. Některé prohlížeče mohou nadávat, pokud se pokusíte stáhnout aplikaci z oficiální stránky - sniff.su. Ale zkusit to můžeš. Pokud jste příliš líní projít touto ochranou, můžete si aplikaci stáhnout z GitHubu.

    1. V závislosti na tom, jak jste připojeni k síti, se v levém horním rohu zobrazí odpovídající ikona - klikněte na ni;


    1. Musíte vybrat svůj pracovní síťový modul. Vybral jsem si ten, který už má přidělenou lokální IP, tedy moji IP adresu;


    1. Na prázdnou oblast klikněte pravým tlačítkem a poté spusťte "Smarty Scan";


    1. Dále uvidíte seznam IP adres, MAC a další informace o zařízeních v síti. Stačí vybrat jeden z cílů útoku, kliknout na něj a poté ze seznamu vybrat „Přidat jako cíl“, aby program zařízení opravil. Poté klikněte na tlačítko Start v pravém horním rohu okna;


    1. Přejděte do sekce "Režim MiTM" a klikněte na ikonu záření;


    1. Proces spouštění byl spuštěn, nyní, abyste viděli přihlašovací jména a hesla, přejděte na třetí kartu;


    1. Na druhé záložce uvidíte všechna přenesená data;


    Jak vidíte, zde můžete vidět a detekovat pouze zachycené klíče a uživatelská jména a také stránky navštívené cílem.

    Záchytné soubory cookie

    Pokud někdo neví, pak jsou soubory cookie dočasná data, která nám umožňují trvale nezadávat přihlašovací údaje na fóra, sociální sítě a další stránky. Dá se říci, že se jedná o dočasnou propustku. Zde je lze také zachytit pomocí této aplikace.

    Vše se provádí zcela jednoduše, po spuštění běžného útoku přejděte na třetí záložku, klikněte pravým tlačítkem na volné pole a vyberte „Zobrazit cookies“.


    Měli byste vidět požadované soubory cookie. Jejich použití je velmi jednoduché – stačí kliknout na požadovanou stránku pravým tlačítkem a poté zvolit „Otevřít v prohlížeči“. Poté otevře web ze stránky účtu někoho jiného.


    Získání přihlašovacího jména a hesla

    S největší pravděpodobností po spuštění programu bude klient již na jednom nebo druhém účtu. Můžete ho ale donutit zadat uživatelské jméno a heslo znovu. Vzhledem k tomu, že cookies samy o sobě nejsou věčné, jde o zcela běžnou praxi. K tomu slouží program Cookie Killer. Klient po spuštění kompletně smaže staré cookies a musí znovu zadat login a heslo a zde se odposlech zapíná. K tomu existuje samostatný video tutoriál:

    Interceptor je multifunkční síťový nástroj, který umožňuje získávat data z provozu (hesla, zprávy v instant messengerech, korespondenci atd.) a realizovat různé MiTM útoky.


    Interceptor rozhraní
    Hlavní funkčnost

    • Zachycování zpráv messengeru.
    • Zachycování cookies a hesel.
    • Zachycování aktivity (stránky, soubory, data).
    • Schopnost podvrhnout stahování souborů přidáním škodlivých souborů. Lze použít ve spojení s jinými utilitami.
    • Nahrazení Https certifikátů Http.
    Provozní režimy
    Režim Messenger- umožňuje zkontrolovat korespondenci, která byla odeslána v nezašifrované podobě. Byl používán k zachycení zpráv v takových messengerech, jako jsou zprávy ICQ, AIM, JABBER.

    Režim obnovení– obnova užitečných dat z provozu, z protokolů, které provoz přenášejí srozumitelně. Když si oběť prohlíží soubory, stránky, data, je možné je částečně nebo úplně zachytit. Navíc můžete určit velikost souborů, aby se program nestahoval po malých částech. Tyto informace lze použít pro analýzu.

    Režim hesla– režim pro práci s cookies. Je tak možné získat přístup k navštíveným souborům oběti.

    režim skenování– hlavní režim pro testování. Klepnutím pravým tlačítkem na Smart Scan zahájíte skenování. Po skenování se v okně zobrazí všichni členové sítě, jejich operační systém a další parametry.

    Navíc v tomto režimu můžete skenovat porty. Musíte použít funkci Scan Ports. K tomu samozřejmě existuje mnohem více funkčních nástrojů, ale přítomnost této funkce je důležitým bodem.

    Pokud máme zájem o cílený útok na síť, tak po skenování je potřeba přidat cílovou IP do Nat pomocí příkazu (Add to Nat). V jiném okně bude možné provádět další útoky.

    Režim Nat. Hlavní režim, který vám umožní provádět řadu ARP útoků. Toto je hlavní okno, které umožňuje cílené útoky.

    režim DHCP. Toto je režim, který vám umožňuje zvýšit váš DHCP server tak, aby implementoval DHCP útoky uprostřed.

    Některé typy útoků, které lze provést
    Spoofing webových stránek

    Chcete-li zfalšovat stránky oběti, musíte přejít na Target, poté musíte zadat stránku a její nahrazení. Takto můžete nahradit mnoho stránek. Vše závisí na tom, jak dobrý je padělek.

    Spoofing webových stránek

    Příklad pro VK.com

    Volba útoku MiTM

    Změna pravidla vstřikování
    Výsledkem je, že oběť na požádání vk.com otevře falešnou stránku. A v režimu hesla by mělo být přihlašovací jméno a heslo oběti:


    Chcete-li provést cílený útok, musíte vybrat oběť ze seznamu a přidat ji do cíle. To lze provést pravým tlačítkem myši.


    Přírůstky útoku MiTm
    Nyní můžete obnovit různá data z provozu v režimu oživení.


    Soubory a informace oběti prostřednictvím útoku MiTm
    Dopravní spoofing



    Zadání nastavení
    Poté oběť změní požadavek „důvěra“ na „poražený“.

    Kromě toho můžete zakázat soubory cookie, aby se oběť odhlásila ze všech účtů a znovu se autorizovala. Tím dojde k zachycení přihlašovacích údajů a hesel.


    Zničení cookies

    Jak vidět potenciálního sniferra v síti pomocí Intercepteru?
    Pomocí možnosti Promisc Detection můžete detekovat zařízení, které skenuje v místní síti. Po naskenování bude sloupec stavu „Sniffer“. Toto je první způsob, který umožňuje definovat skenování v místní síti.


    Detekce snifferu
    Zařízení SDR HackRF


    Hackněte RF
    SDR je druh rádiového přijímače, který umožňuje pracovat s různými radiofrekvenčními parametry. Je tak možné zachytit signál Wi-Fi, GSM, LTE atd.

    HackRF je kompletní zařízení SDR za 300 USD. Autor projektu Michael Ossman v tomto směru vyvíjí úspěšná zařízení. Dříve byl vyvinut a úspěšně implementován Ubertooth Bluetooth sniffer. HackRF je úspěšný projekt, který na Kickstarteru vydělal přes 600 tisíc. 500 takových zařízení již bylo implementováno pro beta testování.

    HackRF pracuje ve frekvenčním rozsahu od 30 MHz do 6 GHz. Vzorkovací frekvence je 20 MHz, což umožňuje zachytit signály Wi-FI a LTE sítí.

    Jak se chránit na místní úrovni?
    Nejprve použijeme software SoftPerfect WiFi Guard. Existuje přenosná verze, která nezabere více než 4 MB. Umožňuje vám prohledat vaši síť a zobrazit, která zařízení jsou na ní zobrazena. Má nastavení, které vám umožní vybrat síťovou kartu a maximální počet skenovaných zařízení. Navíc můžete nastavit interval skenování.

    Možnost přidávat komentáře pro uživatele


    Okno upozornění pro neznámá zařízení po každém zadaném intervalu kontroly

    Závěr
    V praxi jsme tedy zvažovali, jak využít software k zachycení dat v síti. Zvažovali jsme několik konkrétních útoků, které vám umožňují získat přihlašovací údaje a další informace. Navíc jsme zvažovali SoftPerfect WiFi Guard, který umožňuje chránit místní síť před nasloucháním provozu na primitivní úrovni.

    Přečtěte si více: