Wireshark-handledning: Nätverk & Lösenord Sniffer

Innehållsförteckning:

Anonim

Datorer kommunicerar med hjälp av nätverk. Dessa nätverk kan vara på ett lokalt nätverk eller exponeras för internet. Network Sniffers är program som samlar in paketdata på låg nivå som överförs via ett nätverk. En angripare kan analysera denna information för att upptäcka värdefull information som användar-ID och lösenord.

I den här artikeln kommer vi att presentera dig för vanliga nätverkssniffningstekniker och verktyg som används för att sniffa nätverk. Vi kommer också att titta på motåtgärder som du kan vidta för att skydda känslig information som har överförts via ett nätverk.

Ämnen som behandlas i denna handledning

  • Vad är nätverkssniffning?
  • Aktivt och passivt snifft
  • Hackaktivitet: Sniff Network
  • Vad är Media Access Control (MAC) Flooding

Vad är nätverkssniffning?

Datorer kommunicerar genom att sända meddelanden i ett nätverk med IP-adresser. När ett meddelande har skickats i ett nätverk svarar mottagardatorn med matchande IP-adress med sin MAC-adress.

Nätverkssniffning är processen för att fånga upp datapaket som skickas över ett nätverk. Detta kan göras av det specialiserade programvaran eller hårdvaruutrustningen. Sniffa kan användas för att;

  • Fånga känsliga data som inloggningsuppgifter
  • Avlyssna på chattmeddelanden
  • Fångningsfiler har överförts via ett nätverk

Följande är protokoll som är känsliga för sniffning

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Ovanstående protokoll är sårbara om inloggningsuppgifter skickas i klartext

Passivt och aktivt sniffa

Innan vi tittar på passivt och aktivt sniffning, låt oss titta på två viktiga enheter som används för nätverksdatorer; nav och växlar.

Ett nav fungerar genom att skicka sändningsmeddelanden till alla utgångsportar på den utom den som har sänt sändningen . Mottagarens dator svarar på sändningsmeddelandet om IP-adressen matchar. Det betyder att när du använder ett nav kan alla datorer i ett nätverk se sändningsmeddelandet. Den fungerar vid det fysiska lagret (lager 1) i OSI-modellen.

Diagrammet nedan illustrerar hur navet fungerar.

En omkopplare fungerar annorlunda; den mappar IP / MAC-adresser till fysiska portar på den . Sändningsmeddelanden skickas till de fysiska portarna som matchar IP / MAC-adresskonfigurationerna för mottagardatorn. Detta innebär att sändningsmeddelanden endast ses av mottagardatorn. Omkopplare fungerar vid datalänkskiktet (lager 2) och nätverkslagret (lager 3).

Diagrammet nedan illustrerar hur omkopplaren fungerar.

Passivt snifft är att fånga upp paket som överförs via ett nätverk som använder ett nav . Det kallas passivt sniffa eftersom det är svårt att upptäcka. Det är också enkelt att utföra eftersom navet skickar sändningsmeddelanden till alla datorer i nätverket.

Aktiv sniffing är att fånga upp paket som överförs via ett nätverk som använder en switch . Det finns två huvudmetoder som används för att sniffa switchade nätverk, ARP-förgiftning och MAC-översvämning.

Hackaktivitet: Sniffa nätverkstrafik

I detta praktiska scenario ska vi använda Wireshark för att sniffa datapaket när de överförs via HTTP-protokoll . I det här exemplet kommer vi att sniffa på nätverket med Wireshark och sedan logga in på en webbapplikation som inte använder säker kommunikation. Vi loggar in på en webbapplikation på http://www.techpanda.org/

Inloggningsadressen är Den här e-postadressen är skyddad från spamrobotar. Du måste ha Javascript aktiverat för att kunna se det. och lösenordet är Password2010 .

Obs! Vi loggar in på webbappen endast för demonstrationsändamål. Tekniken kan också sniffa datapaket från andra datorer som är i samma nätverk som det du använder för att sniffa. Sniffningen är inte bara begränsad till techpanda.org, utan sniffar också alla datapaket för HTTP och andra protokoll.

Sniffa nätverket med Wireshark

Bilden nedan visar stegen du kommer att genomföra för att genomföra denna övning utan förvirring

Ladda ner Wireshark från den här länken http://www.wireshark.org/download.html

  • Öppna Wireshark
  • Du får följande skärm
  • Välj det nätverksgränssnitt du vill sniffa. Anmärkning för denna demonstration använder vi en trådlös nätverksanslutning. Om du är i ett lokalt nätverk bör du välja det lokala nätverksgränssnittet.
  • Klicka på startknappen som visas ovan
  • Öppna din webbläsare och skriv in http://www.techpanda.org/
  • Inloggnings-e-postadressen är Den här e-postadressen är skyddad från spamrobotar. Du måste ha Javascript aktiverat för att kunna se det. och lösenordet är Password2010
  • Klicka på knappen Skicka
  • En lyckad inloggning ska ge dig följande instrumentpanel
  • Gå tillbaka till Wireshark och stoppa liveinspelningen
  • Filtrera endast för HTTP-protokollresultat med filtertextrutan
  • Leta upp Info-kolumnen och leta efter poster med HTTP-verbet POST och klicka på det
  • Strax under loggposterna finns en panel med en sammanfattning av fångade data. Leta efter sammanfattningen som säger Line-based text data: application / x-www-form-urlencoded
  • Du bör kunna se klartextvärdena för alla POST-variabler som skickas till servern via HTTP-protokoll.

Vad är en MAC-översvämning?

MAC-översvämning är en nätverkssniffningsteknik som översvämmar MAC-tabellen med falska MAC-adresser . Detta leder till överbelastning av switchminnet och får det att fungera som ett nav. När omkopplaren har äventyrats skickar den sändningsmeddelandena till alla datorer i ett nätverk. Detta gör det möjligt att sniffa datapaket när de skickas i nätverket.

Motåtgärder mot MAC-översvämning

  • Vissa brytare har portens säkerhetsfunktion . Denna funktion kan användas för att begränsa antalet MAC-adresser på portarna. Den kan också användas för att upprätthålla en säker MAC-adresstabell utöver den som tillhandahålls av omkopplaren.
  • Autentiserings-, auktoriserings- och redovisningsservrar kan användas för att filtrera upptäckta MAC-adresser.

Sniffa motåtgärder

  • Begränsning av fysiska nätverk i nätverk minskar kraftigt chanserna för att en nätverkssniffer installerats
  • Kryptering av meddelanden när de överförs via nätverket minskar kraftigt deras värde eftersom de är svåra att dekryptera.
  • Att ändra nätverket till ett Secure Shell- nätverk (SSH) minskar också chansen att nätverket snusas.

Sammanfattning

  • Nätverkssniffning avlyssnar paket när de överförs via nätverket
  • Passivt sniffa sker i ett nätverk som använder ett nav. Det är svårt att upptäcka.
  • Aktiv sniffning görs i ett nätverk som använder en switch. Det är lätt att upptäcka.
  • MAC-översvämning fungerar genom att översvämma MAC-tabellens adresslista med falska MAC-adresser. Detta gör att omkopplaren fungerar som en HUB
  • Säkerhetsåtgärder som beskrivs ovan kan hjälpa till att skydda nätverket mot sniffning.