Computere kommunikerer ved hjælp af netværk. Disse netværk kan være på et lokalt LAN eller udsat for internettet. Netværkssniffere er programmer, der registrerer pakkedata på lavt niveau, der transmitteres over et netværk. En hacker kan analysere disse oplysninger for at finde værdifulde oplysninger såsom bruger-id'er og adgangskoder.
I denne artikel vil vi introducere dig til almindelige netværk sniffing teknikker og værktøjer, der bruges til at snuse netværk. Vi vil også se på modforanstaltninger, som du kan indføre for at beskytte følsomme oplysninger, der er overført via et netværk.
Emner der er beskrevet i denne vejledning
- Hvad er netværk sniffing?
- Aktiv og passiv sniffing
- Hackingaktivitet: Sniff netværk
- Hvad er oversvømmelse af medieadgangskontrol (MAC)
Hvad er netværk sniffing?
Computere kommunikerer ved at sende meddelelser på et netværk ved hjælp af IP-adresser. Når en meddelelse er sendt på et netværk, svarer modtagercomputeren med den matchende IP-adresse med sin MAC-adresse.
Netværk sniffing er processen med at opfange datapakker sendt over et netværk. Dette kan gøres af det specialiserede softwareprogram eller hardwareudstyr. Sniffing kan bruges til;
- Indfang følsomme data såsom loginoplysninger
- Aflytning af chatbeskeder
- Opfangningsfiler er blevet sendt via et netværk
Følgende er protokoller, der er sårbare over for sniffing
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Ovenstående protokoller er sårbare, hvis loginoplysninger sendes i almindelig tekst
Passiv og aktiv sniffing
Før vi ser på passiv og aktiv sniffing, lad os se på to vigtige enheder, der bruges til netværkscomputere; nav og afbrydere.
En hub fungerer ved at sende udsendelsesmeddelelser til alle outputporte på den bortset fra den, der har sendt udsendelsen . Modtagercomputeren reagerer på udsendelsesmeddelelsen, hvis IP-adressen matcher. Dette betyder, at når du bruger et hub, kan alle computere på et netværk se udsendelsesmeddelelsen. Det fungerer ved det fysiske lag (lag 1) i OSI-modellen.
Diagrammet nedenfor illustrerer, hvordan navet fungerer.
En switch fungerer forskelligt; det kortlægger IP / MAC-adresser til fysiske porte på det . Broadcast-beskeder sendes til de fysiske porte, der matcher IP / MAC-adressekonfigurationerne for modtagercomputeren. Dette betyder, at udsendelsesbeskeder kun ses af modtagercomputeren. Omskiftere fungerer ved datalinklaget (lag 2) og netværkslaget (lag 3).
Diagrammet nedenfor illustrerer, hvordan kontakten fungerer.
Passiv sniffing er at opfange pakker, der transmitteres over et netværk, der bruger et hub . Det kaldes passiv sniffing, fordi det er svært at opdage. Det er også let at udføre, da hub'en sender udsendelsesbeskeder til alle computere på netværket.
Aktiv sniffing opfanger pakker transmitteret over et netværk, der bruger en switch . Der er to hovedmetoder, der bruges til at snuse switch-linkede netværk, ARP-forgiftning og MAC-oversvømmelse.
Hackingaktivitet: Sniff netværkstrafik
I dette praktiske scenarie skal vi bruge Wireshark til at snuse datapakker, da de transmitteres via HTTP-protokol . I dette eksempel vil vi snuse netværket ved hjælp af Wireshark og derefter logge ind på en webapplikation, der ikke bruger sikker kommunikation. Vi logger ind på en webapplikation på http://www.techpanda.org/
Login-adressen er Denne e-mail-adresse er beskyttet mod spambots. Du skal aktivere JavaScript for at kunne se den. , og adgangskoden er Password2010 .
Bemærk: Vi logger kun på webappen til demonstrationsformål. Teknikken kan også snuse datapakker fra andre computere, der er på det samme netværk som den, du bruger til at snuse. Sniffingen er ikke kun begrænset til techpanda.org, men snuser også alle HTTP og andre protokoller datapakker.
Snuse netværket ved hjælp af Wireshark
Illustrationen nedenfor viser dig de trin, du vil udføre for at gennemføre denne øvelse uden forvirring
Download Wireshark fra dette link http://www.wireshark.org/download.html
- Åbn Wireshark
- Du får følgende skærmbillede
- Vælg det netværksinterface, du vil snuse. Bemærk til denne demonstration, vi bruger en trådløs netværksforbindelse. Hvis du er på et lokalnetværk, skal du vælge lokalnetværksgrænsefladen.
- Klik på startknappen som vist ovenfor
- Åbn din webbrowser og skriv http://www.techpanda.org/
- Login-e-mailen er Denne e-mail-adresse er beskyttet mod spambots. Du skal aktivere JavaScript for at kunne se den. og adgangskoden er Password2010
- Klik på knappen Send
- En vellykket login skal give dig følgende dashboard
- Gå tilbage til Wireshark og stop liveoptagelsen
- Filtrer kun efter HTTP-protokolresultater ved hjælp af filterteksten
- Find Info-kolonnen, og se efter poster med HTTP-verbet POST, og klik på det
- Lige under logposterne er der et panel med et resumé af registrerede data. Se efter oversigten, der siger Line-baserede tekstdata: application / x-www-form-urlencoded
- Du skal kunne se værdierne i almindelig tekst for alle POST-variabler, der sendes til serveren via HTTP-protokol.
Hvad er en MAC-oversvømmelse?
MAC-oversvømmelse er en netværkssnuseteknik, der oversvømmer MAC-tabellen med falske MAC-adresser . Dette fører til overbelastning af switchhukommelsen og får den til at fungere som et hub. Når kontakten er kompromitteret, sender den udsendelsesmeddelelserne til alle computere på et netværk. Dette gør det muligt at snuse datapakker, når de sendes på netværket.
Modforanstaltninger mod MAC-oversvømmelse
- Nogle switche har portens sikkerhedsfunktion . Denne funktion kan bruges til at begrænse antallet af MAC-adresser på portene. Det kan også bruges til at opretholde en sikker MAC-adressetabel ud over den, der leveres af kontakten.
- Autentificerings-, autorisations- og regnskabsservere kan bruges til at filtrere opdagede MAC-adresser.
Snuse modforanstaltninger
- Begrænsning til netværkets fysiske medier reducerer stærkt chancerne for, at en netværkssniffer er installeret
- Kryptering af meddelelser, når de transmitteres over netværket, reducerer deres værdi kraftigt, da de er vanskelige at dekryptere.
- Ændring af netværket til et Secure Shell (SSH) netværk reducerer også chancerne for, at netværket er blevet snuset.
Resumé
- Netværk sniffing opfanger pakker, da de transmitteres over netværket
- Passiv sniffing udføres på et netværk, der bruger et hub. Det er svært at opdage.
- Aktiv sniffing udføres på et netværk, der bruger en switch. Det er let at opdage.
- MAC-oversvømmelse fungerer ved at oversvømme MAC-tabellens adresseliste med falske MAC-adresser. Dette får kontakten til at fungere som en HUB
- Sikkerhedsforanstaltninger som beskrevet ovenfor kan hjælpe med at beskytte netværket mod sniffing.