Hướng dẫn về Wireshark: Mạng & Mật khẩu Sniffer

Mục lục:

Anonim

Máy tính giao tiếp bằng mạng. Các mạng này có thể nằm trên mạng cục bộ LAN hoặc tiếp xúc với internet. Network Sniffers là chương trình thu thập dữ liệu gói mức thấp được truyền qua mạng. Kẻ tấn công có thể phân tích thông tin này để khám phá thông tin có giá trị như id người dùng và mật khẩu.

Trong bài viết này, chúng tôi sẽ giới thiệu cho bạn các kỹ thuật và công cụ dò tìm mạng phổ biến được sử dụng để đánh hơi mạng. Chúng tôi cũng sẽ xem xét các biện pháp đối phó mà bạn có thể áp dụng để bảo vệ thông tin nhạy cảm được truyền qua mạng.

Các chủ đề được đề cập trong hướng dẫn này

  • Đánh hơi mạng là gì?
  • Đánh hơi chủ động và thụ động
  • Hoạt động lấy cắp dữ liệu: Mạng Sniff
  • Kiểm soát truy cập phương tiện (MAC) Flooding là gì

Đánh hơi mạng là gì?

Máy tính giao tiếp bằng cách phát tin nhắn trên mạng sử dụng địa chỉ IP. Khi một tin nhắn đã được gửi trên mạng, máy tính người nhận có địa chỉ IP phù hợp sẽ phản hồi bằng địa chỉ MAC của nó.

Đánh hơi mạng là quá trình chặn các gói dữ liệu được gửi qua mạng. Điều này có thể được thực hiện bởi chương trình phần mềm chuyên dụng hoặc thiết bị phần cứng. Đánh hơi có thể được sử dụng để;

  • Chụp dữ liệu nhạy cảm như thông tin đăng nhập
  • Nghe trộm tin nhắn trò chuyện
  • Các tệp tin chụp đã được truyền qua mạng

Sau đây là các giao thức dễ bị đánh cắp

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Các giao thức trên dễ bị tấn công nếu chi tiết đăng nhập được gửi ở dạng văn bản thuần túy

Đánh hơi thụ động và chủ động

Trước khi xem xét tính năng đánh hơi thụ động và chủ động, chúng ta hãy xem xét hai thiết bị chính được sử dụng để nối mạng máy tính; trung tâm và công tắc.

Một trung tâm hoạt động bằng cách gửi các bản tin quảng bá đến tất cả các cổng đầu ra trên đó ngoại trừ cổng đã gửi chương trình phát sóng . Máy tính người nhận trả lời tin nhắn quảng bá nếu địa chỉ IP khớp. Điều này có nghĩa là khi sử dụng một trung tâm, tất cả các máy tính trong mạng có thể xem thông báo quảng bá. Nó hoạt động ở lớp vật lý (lớp 1) của Mô hình OSI.

Sơ đồ dưới đây minh họa cách hoạt động của trung tâm.

Một công tắc hoạt động khác nhau; nó ánh xạ địa chỉ IP / MAC tới các cổng vật lý trên đó . Tin nhắn quảng bá được gửi đến các cổng vật lý phù hợp với cấu hình địa chỉ IP / MAC cho máy tính người nhận. Điều này có nghĩa là chỉ máy tính người nhận mới thấy các tin nhắn quảng bá. Thiết bị chuyển mạch hoạt động ở lớp liên kết dữ liệu (lớp 2) và lớp mạng (lớp 3).

Sơ đồ dưới đây minh họa cách hoạt động của công tắc.

Đánh hơi thụ động là chặn các gói được truyền qua mạng sử dụng trung tâm . Nó được gọi là đánh hơi thụ động vì rất khó phát hiện. Nó cũng dễ dàng thực hiện vì trung tâm gửi các thông điệp quảng bá đến tất cả các máy tính trong mạng.

Đánh hơi tích cực là chặn các gói được truyền qua mạng sử dụng bộ chuyển mạch . Có hai phương pháp chính được sử dụng để đánh hơi các mạng liên kết chuyển mạch, ARP Poisoning và MAC Florit.

Hoạt động lấy cắp dữ liệu: Đánh giá lưu lượng mạng

Trong kịch bản thực tế này, chúng tôi sẽ sử dụng Wireshark để đánh hơi các gói dữ liệu khi chúng được truyền qua giao thức HTTP . Đối với ví dụ này, chúng tôi sẽ đánh hơi mạng bằng Wireshark, sau đó đăng nhập vào một ứng dụng web không sử dụng giao tiếp an toàn. Chúng tôi sẽ đăng nhập vào một ứng dụng web trên http://www.techpanda.org/

Địa chỉ đăng nhập là Địa chỉ email này đang được bảo vệ từ spam bots, bạn. Bạn cần bật Javascript để xem nó. và mật khẩu là Password2010 .

Lưu ý: chúng tôi sẽ đăng nhập vào ứng dụng web chỉ cho mục đích trình diễn. Kỹ thuật này cũng có thể phát hiện các gói dữ liệu từ các máy tính khác trong cùng một mạng với máy bạn đang sử dụng để đánh hơi. Việc dò tìm không chỉ giới hạn ở techpanda.org mà còn đánh giá tất cả các gói dữ liệu HTTP và các giao thức khác.

Đánh hơi mạng bằng Wireshark

Hình minh họa dưới đây cho bạn thấy các bước bạn sẽ thực hiện để hoàn thành bài tập này mà không bị nhầm lẫn

Tải xuống Wireshark từ liên kết này http://www.wireshark.org/download.html

  • Mở Wireshark
  • Bạn sẽ nhận được màn hình sau
  • Chọn giao diện mạng bạn muốn đánh hơi. Lưu ý cho phần trình diễn này, chúng tôi đang sử dụng kết nối mạng không dây. Nếu bạn đang sử dụng mạng cục bộ, thì bạn nên chọn giao diện mạng cục bộ.
  • Bấm vào nút bắt đầu như hình trên
  • Mở trình duyệt web của bạn và nhập vào http://www.techpanda.org/
  • Email đăng nhập là Địa chỉ email này đang được bảo vệ từ spam bots, bạn. Bạn cần bật Javascript để xem nó. và mật khẩu là Password2010
  • Bấm vào nút gửi
  • Đăng nhập thành công sẽ cung cấp cho bạn bảng điều khiển sau
  • Quay lại Wireshark và dừng chụp trực tiếp
  • Lọc kết quả giao thức HTTP chỉ bằng cách sử dụng hộp văn bản bộ lọc
  • Xác định vị trí cột Thông tin và tìm kiếm các mục nhập có động từ HTTP POST và nhấp vào nó
  • Ngay bên dưới các mục nhật ký, có một bảng tổng hợp các dữ liệu đã thu thập được. Tìm kiếm bản tóm tắt có nội dung Dữ liệu văn bản dựa trên dòng: application / x-www-form-urlencoded
  • Bạn sẽ có thể xem các giá trị bản rõ của tất cả các biến POST được gửi đến máy chủ thông qua giao thức HTTP.

MAC Flooding là gì?

MAC Floating là một kỹ thuật dò tìm mạng làm ngập bảng MAC của switch với các địa chỉ MAC giả . Điều này dẫn đến quá tải bộ nhớ chuyển đổi và làm cho nó hoạt động như một trung tâm. Khi công tắc đã bị xâm phạm, nó sẽ gửi các thông điệp quảng bá đến tất cả các máy tính trên mạng. Điều này làm cho nó có thể phát hiện các gói dữ liệu khi chúng được gửi trên mạng.

Các biện pháp đối phó chống lại lũ lụt MAC

  • Một số thiết bị chuyển mạch có tính năng bảo mật cổng . Tính năng này có thể được sử dụng để giới hạn số lượng địa chỉ MAC trên các cổng. Nó cũng có thể được sử dụng để duy trì một bảng địa chỉ MAC an toàn ngoài bảng được cung cấp bởi bộ chuyển mạch.
  • Máy chủ Xác thực, Cấp phép và Kế toán có thể được sử dụng để lọc các địa chỉ MAC được phát hiện.

Các biện pháp truy cập đánh hơi

  • Hạn chế đối với phương tiện vật lý mạng làm giảm khả năng cài đặt trình kiểm tra mạng
  • Việc mã hóa các thông điệp khi chúng được truyền qua mạng làm giảm đáng kể giá trị của chúng vì chúng rất khó giải mã.
  • Thay đổi mạng để một Shell (SSH) Bảo mật mạng cũng làm giảm khả năng của mạng được ngửi.

Tóm lược

  • Đánh giá mạng đang chặn các gói khi chúng được truyền qua mạng
  • Đánh hơi thụ động được thực hiện trên mạng sử dụng trung tâm. Rất khó để phát hiện.
  • Đánh hơi tích cực được thực hiện trên mạng sử dụng công tắc. Nó rất dễ phát hiện.
  • Làm ngập MAC hoạt động bằng cách làm ngập danh sách địa chỉ bảng MAC bằng các địa chỉ MAC giả. Điều này làm cho công tắc hoạt động giống như một HUB
  • Các biện pháp bảo mật như đã nêu ở trên có thể giúp bảo vệ mạng khỏi bị đánh cắp.