A számítógépek hálózatokon keresztül kommunikálnak. Ezek a hálózatok lehetnek egy helyi hálózati LAN-on, vagy ki vannak téve az internetnek. A hálózati szippantók olyan programok, amelyek hálózaton keresztül továbbított alacsony szintű csomagadatokat rögzítenek. A támadó elemezheti ezeket az információkat, hogy értékes információkat fedezzen fel, például felhasználói azonosítókat és jelszavakat.
Ebben a cikkben bemutatjuk Önnek a hálózatok szippantásához használt szokásos hálózati szippantási technikákat és eszközöket. Megvizsgáljuk azokat az ellenintézkedéseket is, amelyeket bevezethet a hálózaton keresztül továbbított érzékeny információk védelme érdekében.
A bemutató témái
- Mi a hálózati szippantás?
- Aktív és passzív szippantás
- Hackelési tevékenység: Sniff Network
- Mi a Media Access Control (MAC) áradás
Mi a hálózati szippantás?
A számítógépek üzeneteket sugároznak a hálózaton IP-címek segítségével. Miután egy üzenetet elküldtek a hálózaton, a megfelelő IP-címmel rendelkező fogadó számítógép MAC-címével válaszol.
A hálózati szippantás a hálózaton keresztül küldött adatcsomagok elfogásának folyamata. Ezt megteheti a speciális szoftverprogram vagy hardveres berendezés. A szippantást lehet használni;
- Rögzítse az érzékeny adatokat, például a bejelentkezési adatokat
- A csevegő üzenetek lehallgatása
- A rögzítési fájlokat hálózaton keresztül továbbították
Az alábbiakban olyan protokollok vannak, amelyek kiszolgáltatottak a szippantásra
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
A fenti protokollok sérülékenyek, ha a bejelentkezési adatokat egyszerű szövegben küldik el
Passzív és aktív szippantás
Mielőtt a passzív és aktív szippantást vizsgálnánk, nézzük meg a hálózati számítógépek két fő eszközét; hubok és kapcsolók.
A hub úgy működik, hogy sugárzott üzeneteket küld a rajta lévő összes kimeneti portra, kivéve azt, amelyik az adást küldte . A fogadó számítógép válaszol a sugárzott üzenetre, ha az IP-cím megegyezik. Ez azt jelenti, hogy hub használatakor a hálózat összes számítógépe láthatja az üzenetet. Az OSI modell fizikai rétegén (1. réteg) működik.
Az alábbi ábra szemlélteti a hub működését.
Egy kapcsoló másképp működik; az IP / MAC címeket a rajta lévő fizikai portokhoz térképezi fel . A sugárzott üzeneteket a fizikai portokra küldjük, amelyek megfelelnek a fogadó számítógép IP / MAC-címének konfigurációjának. Ez azt jelenti, hogy a sugárzott üzeneteket csak a fogadó számítógép látja. A kapcsolók az adatkapcsolati rétegen (2. réteg) és a hálózati rétegnél (3. réteg) működnek.
Az alábbi ábra szemlélteti a kapcsoló működését.
A passzív szippantás egy hubot használó hálózaton keresztül továbbított csomagok elfogása . Passzív szippantásnak hívják, mert nehéz felismerni. Könnyen elvégezhető, mivel a hub sugárzott üzeneteket küld a hálózat összes számítógépére.
Az aktív szippantás egy kapcsolót használó hálózaton keresztül továbbított csomagok elfogása . A kapcsolt hálózatok szippantására két fő módszert alkalmaznak, az ARP mérgezést és a MAC elárasztást.
Hackelési tevékenység: Szimatolja a hálózati forgalmat
Ebben a gyakorlati forgatókönyvben a Wireshark segítségével fogjuk szippantani az adatcsomagokat, amikor azokat HTTP protokollon keresztül továbbítják . Ebben a példában a Wireshark segítségével szippantjuk be a hálózatot, majd jelentkezzünk be egy olyan webalkalmazásba, amely nem használ biztonságos kommunikációt. Belépünk egy webalkalmazásba a http://www.techpanda.org/ címen.
A bejelentkezési cím: Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Engedélyezze a Javascript használatát a megtekintéshez. , és a jelszó: Password2010 .
Megjegyzés: A webalkalmazásba csak demonstrációs célból jelentkezünk be. A technika képes adatcsomagok szippantására más számítógépekről is, amelyek ugyanazon a hálózaton vannak, mint amellyel a szippantást használja. A szippantás nem csak a techpanda.org webhelyre korlátozódik, hanem az összes HTTP és más protokoll adatcsomagot is szippantja.
A hálózat szippantása a Wireshark segítségével
Az alábbi ábra bemutatja azokat a lépéseket, amelyeket a gyakorlat során zavartalanul végez
Töltse le a Wiresharkot erről a linkről: http://www.wireshark.org/download.html
- Nyissa meg a Wireshark alkalmazást
- A következő képernyőt kapja meg
- Válassza ki a szippantani kívánt hálózati felületet. Megjegyzés ehhez a bemutatóhoz: vezeték nélküli hálózati kapcsolatot használunk. Ha helyi hálózaton van, akkor válassza ki a helyi hálózati interfészt.
- Kattintson a Start gombra a fent látható módon
- Nyissa meg a böngészőt, és írja be a következő címet: http://www.techpanda.org/
- A bejelentkezési e-mail: Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Engedélyezze a Javascript használatát a megtekintéshez. és a jelszó: Password2010
- Kattintson a beküldés gombra
- A sikeres bejelentkezéshez a következő irányítópultot kell kapnia
- Menjen vissza a Wiresharkhoz, és állítsa le az élő rögzítést
- A HTTP-protokoll eredményeinek szűrése csak a szűrőmező segítségével
- Keresse meg az Info oszlopot, keresse meg a POST HTTP igével rendelkező bejegyzéseket, és kattintson rá
- Közvetlenül a naplóbejegyzések alatt található egy panel, amely összefoglalja a rögzített adatokat. Keresse meg azt az összefoglalót, amely a Vonalalapú szöveges adatok feliratot tartalmazza: application / x-www-form-urlencoded
- Meg kell tudni nézni a szervernek HTTP protokollon keresztül elküldött összes POST változó egyszerű szöveges értékeit.
Mi az a MAC Flooding?
A MAC elárasztása egy hálózati szippantási technika, amely hamis MAC címmel árasztja el a kapcsoló MAC tábláját . Ez a kapcsoló memóriájának túlterheléséhez vezet, és hubként működik. Miután a kapcsoló veszélybe került, a sugárzott üzeneteket elküldi a hálózat összes számítógépére. Ez lehetővé teszi az adatcsomagok szippantását, amikor azok a hálózaton küldenek.
Ellenintézkedések a MAC elárasztása ellen
- Néhány kapcsoló rendelkezik portbiztonsági funkcióval . Ezzel a szolgáltatással korlátozható a MAC-címek száma a portokon. Biztonságos MAC-címtábla fenntartására is használható a kapcsolón kívül.
- Hitelesítési, engedélyezési és könyvelési szerverek használhatók a felfedezett MAC-címek szűrésére.
Szimatolás ellenintézkedések
- A hálózati fizikai adathordozókra való korlátozás nagymértékben csökkenti a hálózati szippantó telepítésének esélyét
- A hálózaton keresztül továbbított üzenetek titkosítása nagymértékben csökkenti azok értékét, mivel ezeket nehéz visszafejteni.
- A hálózat Secure Shell (SSH) hálózattá történő megváltoztatása csökkenti a hálózat szippantásának esélyét is.
Összegzés
- A hálózati szippantás a csomagok lehallgatását jelenti, mivel azokat a hálózaton keresztül továbbítják
- A passzív szippantás olyan hálózaton történik, amely hubot használ. Nehéz felismerni.
- Az aktív szippantás hálózaton történik, amely kapcsolót használ. Könnyen észlelhető.
- A MAC elárasztása úgy működik, hogy elárasztja a MAC tábla címlistáját hamis MAC címekkel. Ezáltal a kapcsoló úgy működik, mint egy HUB
- A fent vázolt biztonsági intézkedések elősegíthetik a hálózat védelmét a szippantás ellen.