Wireshark-zelfstudie: netwerk & Wachtwoorden Sniffer

Inhoudsopgave:

Anonim

Computers communiceren via netwerken. Deze netwerken kunnen zich op een lokaal netwerk-LAN bevinden of zijn blootgesteld aan internet. Network Sniffers zijn programma's die pakketgegevens op laag niveau vastleggen die via een netwerk worden verzonden. Een aanvaller kan deze informatie analyseren om waardevolle informatie te ontdekken, zoals gebruikers-ID's en wachtwoorden.

In dit artikel laten we je kennismaken met veelgebruikte technieken voor netwerksnuiven en tools die worden gebruikt om netwerken te snuiven. We zullen ook kijken naar tegenmaatregelen die u kunt nemen om gevoelige informatie te beschermen die via een netwerk wordt verzonden.

Onderwerpen die in deze tutorial worden behandeld

  • Wat is netwerksnuiven?
  • Actief en passief snuiven
  • Hacking-activiteit: Sniff Network
  • Wat is Media Access Control (MAC) Flooding

Wat is netwerksnuiven?

Computers communiceren door berichten op een netwerk uit te zenden met behulp van IP-adressen. Zodra een bericht op een netwerk is verzonden, reageert de ontvangende computer met het overeenkomende IP-adres met zijn MAC-adres.

Netwerksnuiven is het proces waarbij datapakketten worden onderschept die via een netwerk worden verzonden. Dit kan worden gedaan door het gespecialiseerde softwareprogramma of hardwareapparatuur. Snuiven kan worden gebruikt om;

  • Leg gevoelige gegevens vast, zoals inloggegevens
  • Luister naar chatberichten
  • Opnamebestanden zijn verzonden via een netwerk

De volgende zijn protocollen die kwetsbaar zijn voor snuiven

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • KNAL
  • FTP
  • IMAP

De bovenstaande protocollen zijn kwetsbaar als inloggegevens in platte tekst worden verzonden

Passief en actief snuiven

Voordat we passief en actief snuiven bekijken, kijken we eerst naar twee belangrijke apparaten die worden gebruikt om computers in een netwerk te netwerken; hubs en schakelaars.

Een hub werkt door uitzendberichten te verzenden naar alle uitvoerpoorten erop, behalve degene die de uitzending heeft verzonden . De ontvangende computer reageert op het uitgezonden bericht als het IP-adres overeenkomt. Dit betekent dat bij gebruik van een hub alle computers in een netwerk het uitgezonden bericht kunnen zien. Het werkt op de fysieke laag (laag 1) van het OSI-model.

Het onderstaande diagram illustreert hoe de hub werkt.

Een schakelaar werkt anders; het wijst IP / MAC-adressen toe aan fysieke poorten erop . Broadcast-berichten worden verzonden naar de fysieke poorten die overeenkomen met de IP / MAC-adresconfiguraties voor de ontvangende computer. Dit betekent dat broadcastberichten alleen worden gezien door de ontvangende computer. Schakelaars werken op de datalinklaag (laag 2) en netwerklaag (laag 3).

Het onderstaande diagram illustreert hoe de schakelaar werkt.

Passief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat een hub gebruikt . Het wordt passief snuiven genoemd omdat het moeilijk te detecteren is. Het is ook gemakkelijk uit te voeren, aangezien de hub broadcast-berichten naar alle computers in het netwerk verzendt.

Actief snuiven is het onderscheppen van pakketten die worden verzonden via een netwerk dat een switch gebruikt . Er zijn twee hoofdmethoden die worden gebruikt om te snuffelen tussen gekoppelde netwerken: ARP-vergiftiging en MAC-overstroming.

Hacking-activiteit: snuif netwerkverkeer op

In dit praktische scenario gaan we Wireshark gebruiken om datapakketten op te sporen terwijl ze via het HTTP-protocol worden verzonden . Voor dit voorbeeld zullen we het netwerk opsnuiven met behulp van Wireshark en vervolgens inloggen op een webtoepassing die geen gebruikmaakt van beveiligde communicatie. We zullen inloggen op een webapplicatie op http://www.techpanda.org/

Het inlogadres is Dit e-mailadres wordt beveiligd tegen spambots. JavaScript moet ingeschakeld zijn om het te kunnen bekijken. , en het wachtwoord is Password2010 .

Opmerking: we loggen alleen in op de web-app voor demonstratiedoeleinden. De techniek kan ook datapakketten opsporen van andere computers die zich op hetzelfde netwerk bevinden als degene die u gebruikt om te snuffelen. Het snuffelen is niet alleen beperkt tot techpanda.org, maar snuffelt ook alle HTTP- en andere protocollen datapakketten.

Het netwerk opsnuiven met Wireshark

De onderstaande afbeelding toont u de stappen die u zult uitvoeren om deze oefening zonder verwarring te voltooien

Download Wireshark via deze link http://www.wireshark.org/download.html

  • Open Wireshark
  • U krijgt het volgende scherm te zien
  • Selecteer de netwerkinterface die u wilt opsnuiven. Let op: voor deze demonstratie gebruiken we een draadloze netwerkverbinding. Als u zich op een lokaal netwerk bevindt, moet u de interface van het lokale netwerk selecteren.
  • Klik op de startknop zoals hierboven weergegeven
  • Open uw webbrowser en typ http://www.techpanda.org/
  • Het e-mailadres voor inloggen is Dit e-mailadres wordt beveiligd tegen spambots. JavaScript moet ingeschakeld zijn om het te kunnen bekijken. en het wachtwoord is Password2010
  • Klik op de verzendknop
  • Een succesvolle aanmelding zou u het volgende dashboard moeten geven
  • Ga terug naar Wireshark en stop de live capture
  • Filter alleen op HTTP-protocolresultaten met behulp van het filtertekstvak
  • Zoek de Info-kolom en zoek naar vermeldingen met het HTTP-werkwoord POST en klik erop
  • Net onder de logboekvermeldingen bevindt zich een paneel met een samenvatting van de vastgelegde gegevens. Zoek naar de samenvatting met Line-based text data: application / x-www-form-urlencoded
  • U zou de waarden in platte tekst moeten kunnen zien van alle POST-variabelen die via het HTTP-protocol naar de server zijn verzonden.

Wat is een MAC-overstroming?

MAC-flooding is een netwerksnuffeltechniek die de switch-MAC-tabel overspoelt met nep-MAC-adressen . Dit leidt tot overbelasting van het switchgeheugen en zorgt ervoor dat het als een hub fungeert. Zodra de switch is gecompromitteerd, worden de broadcast-berichten naar alle computers in een netwerk verzonden. Dit maakt het mogelijk om datapakketten op te sporen terwijl ze over het netwerk worden verzonden.

Maatregelen tegen MAC-overstromingen

  • Sommige schakelaars hebben de poortbeveiligingsfunctie . Deze functie kan worden gebruikt om het aantal MAC-adressen op de poorten te beperken. Het kan ook worden gebruikt om een ​​veilige MAC-adrestabel bij te houden naast de tabel die door de switch wordt geleverd.
  • Authenticatie-, autorisatie- en boekhoudservers kunnen worden gebruikt om ontdekte MAC-adressen te filteren.

Tegenmaatregelen snuiven

  • Beperking tot fysieke netwerkmedia vermindert in hoge mate de kans dat een netwerksnuffelaar wordt geïnstalleerd
  • Het versleutelen van berichten terwijl ze via het netwerk worden verzonden, vermindert hun waarde aanzienlijk omdat ze moeilijk te ontsleutelen zijn.
  • Het wijzigen van het netwerk naar een Secure Shell (SSH) -netwerk verkleint ook de kans dat het netwerk wordt gesnoven.

Overzicht

  • Netwerksnuiven is het onderscheppen van pakketten terwijl ze via het netwerk worden verzonden
  • Passief snuiven gebeurt op een netwerk dat gebruikmaakt van een hub. Het is moeilijk te detecteren.
  • Actief snuiven gebeurt op een netwerk dat een switch gebruikt. Het is gemakkelijk te detecteren.
  • MAC-flooding werkt door de adreslijst van de MAC-tabel te overspoelen met nep-MAC-adressen. Hierdoor werkt de schakelaar als een HUB
  • Beveiligingsmaatregelen zoals hierboven beschreven, kunnen het netwerk helpen beschermen tegen snuffelen.