Računala komuniciraju pomoću mreža. Te mreže mogu biti na lokalnoj LAN mreži ili izložene internetu. Mrežni njuškari su programi koji hvataju podatke o paketima niske razine koji se prenose mrežom. Napadač može analizirati ove podatke kako bi otkrio vrijedne informacije poput korisničkih ID-ova i lozinki.
U ovom ćemo vam članku predstaviti uobičajene tehnike njuškanja i alate koji se koriste za njuškanje mreža. Također ćemo razmotriti protumjere koje možete primijeniti za zaštitu osjetljivih podataka koji se prenose mrežom.
Teme obrađene u ovom vodiču
- Što je njuškanje mreže?
- Aktivno i pasivno njuškanje
- Aktivnost hakiranja: njuškala mreža
- Što je poplava kontrole pristupa medijima (MAC)
Što je njuškanje mreže?
Računala komuniciraju emitiranjem poruka na mreži pomoću IP adresa. Jednom kada je poruka poslana na mrežu, računalo primatelj s odgovarajućom IP adresom odgovara svojom MAC adresom.
Njuškanje mreže postupak je presretanja podatkovnih paketa poslanih preko mreže. To može učiniti specijalizirani softverski program ili hardverska oprema. Njuškanje se može naviknuti na;
- Snimite osjetljive podatke poput vjerodajnica za prijavu
- Prisluškujete poruke chata
- Datoteke za snimanje prenose se putem mreže
Slijede protokoli koji su ranjivi na njuškanje
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Gore navedeni protokoli ranjivi su ako se detalji za prijavu pošalju u običnom tekstu
Pasivno i aktivno njuškanje
Prije nego što pogledamo pasivno i aktivno njuškanje, pogledajmo dva glavna uređaja koja se koriste za umrežavanje računala; čvorišta i prekidači.
Čvorište funkcionira slanjem emitiranih poruka na sve izlazne priključke na njemu, osim na onaj koji je poslao emitiranje . Računalo primatelj odgovara na emitiranu poruku ako se IP adresa podudara. To znači da kada koristite čvorište, sva računala na mreži mogu vidjeti emitiranu poruku. Djeluje na fizičkom sloju (sloj 1) OSI modela.
Dijagram u nastavku ilustrira kako čvorište radi.
Prekidač radi drugačije; na nju preslikava IP / MAC adrese u fizičke priključke . Emitirane poruke šalju se na fizičke priključke koji odgovaraju konfiguracijama IP / MAC adrese za računalo primatelja. To znači da emitirane poruke vidi samo računalo primatelja. Prekidači rade na sloju podatkovne veze (sloj 2) i mrežnom sloju (sloj 3).
Dijagram u nastavku prikazuje kako prekidač radi.
Pasivno njuškanje presreće pakete koji se prenose mrežom koja koristi čvorište . Naziva se pasivno njuškanje jer ga je teško otkriti. To je također lako izvesti, jer čvorište šalje emitirane poruke na sva računala u mreži.
Aktivno njuškanje presreće pakete koji se prenose mrežom koja koristi sklopku . Postoje dvije glavne metode koje se koriste za njuškanje prebacivanja povezanih mreža, ARP trovanje i MAC poplava.
Aktivnost hakiranja: Njuškajte mrežni promet
U ovom praktičnom scenariju koristit ćemo Wireshark za njuškanje podatkovnih paketa dok se prenose putem HTTP protokola . U ovom ćemo primjeru njuškati mrežu pomoću Wiresharka, a zatim se prijaviti na web aplikaciju koja ne koristi sigurnu komunikaciju. Prijavit ćemo se na web aplikaciju na http://www.techpanda.org/
Adresa za prijavu je Ova adresa e-pošte zaštićena je od neželjenih robota. Ako ga želite pregledati, potreban vam je omogućen JavaScript. , a lozinka je Password2010 .
Napomena: U web-aplikaciju ćemo se prijaviti samo u svrhu demonstracije. Tehnika također može njuškati pakete podataka s drugih računala koja su na istoj mreži kao i ona koju koristite za njuškanje. Njuškanje nije ograničeno samo na techpanda.org, već i njuši sve HTTP i druge podatkovne pakete protokola.
Njuškanje mreže pomoću Wiresharka
Ilustracija u nastavku prikazuje vam korake koje ćete provesti da biste ovu zvjezdu dovršili bez zabune
Preuzmite Wireshark s ove poveznice http://www.wireshark.org/download.html
- Otvorite Wireshark
- Dobit ćete sljedeći zaslon
- Odaberite mrežno sučelje koje želite njuškati. Napomena za ovu demonstraciju koristimo bežičnu mrežnu vezu. Ako ste na lokalnoj mreži, tada biste trebali odabrati sučelje lokalne mreže.
- Kliknite gumb Start kako je gore prikazano
- Otvorite svoj web preglednik i unesite http://www.techpanda.org/
- E -adresa za prijavu je Ova adresa e-pošte zaštićena je od neželjenih robota. Ako ga želite pregledati, potreban vam je omogućen JavaScript. a lozinka je Password2010
- Kliknite gumb za slanje
- Uspješna prijava trebala bi vam dati sljedeću nadzornu ploču
- Vratite se na Wireshark i zaustavite snimanje uživo
- Filtrirajte rezultate HTTP protokola samo pomoću tekstnog okvira filtra
- Pronađite stupac Info i potražite unose s HTTP glagolom POST i kliknite na njega
- Odmah ispod unosa u zapisnik nalazi se ploča sa sažetkom snimljenih podataka. Potražite sažetak u kojem piše Tekstualni podaci temeljeni na liniji: application / x-www-form-urlencoded
- Trebali biste biti u mogućnosti vidjeti otvorene vrijednosti svih POST varijabli predanih poslužitelju putem HTTP protokola.
Što je MAC poplava?
MAC poplava je mrežna tehnika njuškanja koja preplavljuje MAC tablicu preklopnika lažnim MAC adresama . To dovodi do preopterećenja memorije prekidača i čini je da djeluje kao čvorište. Jednom kad je prekidač ugrožen, šalje emitirane poruke na sva računala u mreži. To omogućuje njuškanje podatkovnih paketa kad su poslani na mrežu.
Protumjere protiv poplave MAC-om
- Neki prekidači imaju sigurnosnu značajku porta . Ova se značajka može koristiti za ograničavanje broja MAC adresa na priključcima. Također se može koristiti za održavanje sigurne tablice MAC adresa uz onu koju pruža prekidač.
- Poslužitelji za autentifikaciju, autorizaciju i računovodstvo mogu se koristiti za filtriranje otkrivenih MAC adresa.
Njuškanje protumjera
- Ograničenje na mrežni fizički medij uvelike smanjuje šanse za instaliranje mrežnog njuškača
- Šifriranje poruka dok se prenose mrežom uvelike smanjuje njihovu vrijednost jer ih je teško dešifrirati.
- Promjena mreže na sigurne ljuske (SSH) mreže i smanjuje šanse za mreže je pomirisao.
Sažetak
- Njuškanje mreže presreće pakete dok se prenose mrežom
- Pasivno njuškanje vrši se na mreži koja koristi čvorište. Teško je otkriti.
- Aktivno njuškanje vrši se na mreži koja koristi prekidač. Lako ga je otkriti.
- MAC poplava djeluje tako što preplavi popis adresa MAC tablica lažnim MAC adresama. To čini prekidač da radi poput HUB-a
- Sigurnosne mjere kako su gore navedene mogu pomoći u zaštiti mreže od njuškanja.