Računalniki komunicirajo z uporabo omrežij. Ta omrežja so lahko v lokalnem omrežju LAN ali izpostavljena internetu. Network Sniffers so programi, ki zajemajo nizkorazredne podatke o paketu, ki se prenašajo po omrežju. Napadalec lahko te podatke analizira in odkrije dragocene podatke, kot so uporabniški ID-ji in gesla.
V tem članku vam bomo predstavili običajne tehnike in orodja za vohanje omrežij, ki se uporabljajo za njuhanje omrežij. Ogledali si bomo tudi protiukrepe, ki jih lahko uvedete za zaščito občutljivih informacij, ki se prenašajo prek omrežja.
Teme v tej vadnici
- Kaj je vohljanje po omrežju?
- Aktivno in pasivno vohanje
- Dejavnost vdiranja: Sniff Network
- Kaj je poplava nadzora dostopa do medijev (MAC)
Kaj je vohljanje po omrežju?
Računalniki komunicirajo z oddajanjem sporočil v omrežju z uporabo naslovov IP. Ko je v omrežju poslano sporočilo, se prejemniški računalnik z ustreznim naslovom IP odzove s svojim naslovom MAC.
Omreženje z omrežjem je postopek prestrezanja podatkovnih paketov, poslanih prek omrežja. To lahko stori s pomočjo posebne programske opreme ali strojne opreme. Njuhanje se lahko uporablja;
- Zajemite občutljive podatke, na primer poverilnice za prijavo
- Prisluhnite sporočilom klepeta
- Datoteke za zajem so bile prenesene po omrežju
Sledijo protokoli, ki so ranljivi za vohanje
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Zgornji protokoli so ranljivi, če so podatki o prijavi poslani v golem besedilu
Pasivno in aktivno vohanje
Preden pogledamo pasivno in aktivno vohanje, si oglejmo dve glavni napravi, ki se uporabljata za mreženje računalnikov; pesta in stikala.
Zvezdišče deluje tako, da pošilja oddana sporočila na vsa izhodna vrata na njem, razen na tista, ki so poslala oddajo . Računalnik prejemnik se odzove na sporočilo, če se naslov IP ujema. To pomeni, da lahko pri uporabi zvezdišča vsi računalniki v omrežju vidijo oddajno sporočilo. Deluje na fizični plasti (plast 1) modela OSI.
Spodnji diagram prikazuje delovanje pesta.
Stikalo deluje drugače; naslove IP / MAC preslika v fizična vrata na njem . Pošiljena sporočila se pošljejo na fizična vrata, ki ustrezajo konfiguracijam naslovov IP / MAC za prejemniški računalnik. To pomeni, da oddana sporočila vidi samo prejemnikov računalnik. Stikala delujejo na ravni podatkovne povezave (plast 2) in omrežni plasti (plast 3).
Spodnji diagram prikazuje delovanje stikala.
Pasivno vohanje je prestrezanje paketov, prenesenih prek omrežja, ki uporablja zvezdišče . Imenuje se pasivno vohanje, ker ga je težko zaznati. Prav tako je enostaven za izvedbo, saj zvezdišče pošilja oddana sporočila v vse računalnike v omrežju.
Aktivno vohanje je prestrezanje paketov, ki se prenašajo po omrežju, ki uporablja stikalo . Obstajata dve glavni metodi, ki njuhata preklopna omrežja, ARP Poisoning in MAC poplave.
Dejavnost vdiranja: Njuhajte omrežni promet
V tem praktičnem scenariju bomo uporabili Wireshark za vohanje podatkovnih paketov, ki se prenašajo prek protokola HTTP . V tem primeru bomo z omrežjem povohali omrežje Wireshark, nato pa se prijavili v spletno aplikacijo, ki ne uporablja varne komunikacije. Prijavili se bomo v spletno aplikacijo na http://www.techpanda.org/
Prijavni naslov je Ta e-poštni naslov je zaščiten proti smetenju. Če ga želite videti, omogočite Javascript. in geslo je Password2010 .
Opomba: v spletno aplikacijo se bomo prijavili samo za predstavitvene namene. Tehnika lahko tudi voha podatkovne pakete iz drugih računalnikov, ki so v istem omrežju kot tisti, ki ga uporabljate za vohanje. Vonj ni omejen samo na techpanda.org, temveč tudi povoha vse podatkovne pakete HTTP in druge protokole.
Njuhanje omrežja z uporabo Wireshark
Spodnja ilustracija prikazuje korake, ki jih boste izvedli, da boste to vajo opravili brez zmede
Prenesite Wireshark s te povezave http://www.wireshark.org/download.html
- Odprite Wireshark
- Dobili boste naslednji zaslon
- Izberite omrežni vmesnik, ki ga želite vohati. Opomba za to predstavitev uporabljamo brezžično omrežno povezavo. Če uporabljate lokalno omrežje, izberite lokalno omrežje.
- Kliknite gumb za zagon, kot je prikazano zgoraj
- Odprite spletni brskalnik in vnesite http://www.techpanda.org/
- E- poštni naslov za prijavo je Ta e-poštni naslov je zaščiten proti smetenju. Če ga želite videti, omogočite Javascript. in geslo je Password2010
- Kliknite gumb za oddajo
- Uspešna prijava naj vam da naslednjo nadzorno ploščo
- Vrnite se na Wireshark in ustavite zajemanje v živo
- Filter za rezultate protokola HTTP filtrirajte samo z uporabo besedilnega polja filtra
- Poiščite stolpec Info in poiščite vnose z glagolom HTTP POST in kliknite nanj
- Tik pod vnosi v dnevnik je podokno s povzetkom zajetih podatkov. Poiščite povzetek, v katerem piše Besedilni podatki na podlagi vrstic: application / x-www-form-urlencoded
- Morali bi si ogledati vrednosti odprtega besedila vseh spremenljivk POST, poslanih strežniku prek protokola HTTP.
Kaj je poplava MAC?
Poplava MAC je tehnika vohljanja po omrežju, ki tabelo MAC stikal preplavi z lažnimi naslovi MAC . To vodi do preobremenitve pomnilnika stikala in deluje kot zvezdišče. Ko je stikalo ogroženo, pošlje oddana sporočila vsem računalnikom v omrežju. To omogoča vohanje podatkovnih paketov, ko so poslani v omrežju.
Protiukrepi proti poplavam MAC
- Nekatera stikala imajo funkcijo zaščite vrat . S to funkcijo lahko omejite število naslovov MAC na vratih. Uporablja se lahko tudi za vzdrževanje varne tabele naslovov MAC poleg tiste, ki jo zagotavlja stikalo.
- Strežnike za overjanje, avtorizacijo in računovodstvo lahko uporabite za filtriranje odkritih naslovov MAC.
Njuhanje protiukrepov
- Omejitev omrežnih fizičnih medijev močno zmanjša možnosti namestitve omrežnega vohanja
- Šifriranje sporočil , ko se prenašajo po omrežju, močno zmanjša njihovo vrednost, saj jih je težko dešifrirati.
- Spreminjanje omrežja do Secure Shell (SSH) omrežja tudi zmanjšuje bilo njuhanje možnosti za omrežja.
Povzetek
- Mrežno vohanje prestreže pakete, ko se prenašajo po omrežju
- Pasivno vohanje se izvaja v omrežju, ki uporablja zvezdišče. Težko ga je zaznati.
- Aktivno vohanje poteka v omrežju, ki uporablja stikalo. To je enostavno zaznati.
- Poplava MAC deluje tako, da seznam naslovov tabel MAC preplavi z lažnimi naslovi MAC. Zaradi tega stikalo deluje kot HUB
- Zgornji varnostni ukrepi lahko pomagajo zaščititi omrežje pred vohanjem.