Wireshark Tutorial: Netzwerk & Passwörter Sniffer

Inhaltsverzeichnis:

Anonim

Computer kommunizieren über Netzwerke. Diese Netzwerke können sich in einem lokalen Netzwerk-LAN befinden oder dem Internet ausgesetzt sein. Network Sniffer sind Programme, die Paketdaten auf niedriger Ebene erfassen, die über ein Netzwerk übertragen werden. Ein Angreifer kann diese Informationen analysieren, um wertvolle Informationen wie Benutzer-IDs und Kennwörter zu ermitteln.

In diesem Artikel stellen wir Ihnen gängige Netzwerk-Sniffing-Techniken und -Tools zum Sniffing von Netzwerken vor. Wir werden uns auch mit Gegenmaßnahmen befassen, die Sie ergreifen können, um vertrauliche Informationen zu schützen, die über ein Netzwerk übertragen wurden.

In diesem Tutorial behandelte Themen

  • Was ist Netzwerk-Sniffing?
  • Aktives und passives Schnüffeln
  • Hacking-Aktivität: Sniff Network
  • Was ist MAC-Flooding (Media Access Control)?

Was ist Netzwerk-Sniffing?

Computer kommunizieren, indem sie Nachrichten in einem Netzwerk unter Verwendung von IP-Adressen senden. Sobald eine Nachricht in einem Netzwerk gesendet wurde, antwortet der Empfängercomputer mit der passenden IP-Adresse mit seiner MAC-Adresse.

Beim Netzwerk-Sniffing werden Datenpakete abgefangen, die über ein Netzwerk gesendet werden. Dies kann durch das spezielle Softwareprogramm oder die Hardware erfolgen. Schnüffeln kann verwendet werden;

  • Erfassen Sie vertrauliche Daten wie Anmeldeinformationen
  • Lauschen Sie Chat-Nachrichten
  • Erfassungsdateien wurden über ein Netzwerk übertragen

Die folgenden Protokolle sind anfällig für Schnüffeln

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Die oben genannten Protokolle sind anfällig, wenn Anmeldedaten im Klartext gesendet werden

Passives und aktives Schnüffeln

Bevor wir uns mit passivem und aktivem Sniffing befassen, schauen wir uns zwei Hauptgeräte an, mit denen Computer vernetzt werden. Hubs und Switches.

Ein Hub sendet Broadcast-Nachrichten an alle Ausgangsports auf dem Hub, mit Ausnahme desjenigen, der den Broadcast gesendet hat . Der Empfängercomputer antwortet auf die Broadcast-Nachricht, wenn die IP-Adresse übereinstimmt. Dies bedeutet, dass bei Verwendung eines Hubs alle Computer in einem Netzwerk die Broadcast-Nachricht sehen können. Es arbeitet auf der physikalischen Schicht (Schicht 1) des OSI-Modells.

Das folgende Diagramm zeigt, wie der Hub funktioniert.

Ein Schalter funktioniert anders; Es ordnet IP / MAC-Adressen physischen Ports zu . Broadcast-Nachrichten werden an die physischen Ports gesendet, die den IP / MAC-Adresskonfigurationen für den Empfängercomputer entsprechen. Dies bedeutet, dass Broadcast-Nachrichten nur vom Empfängercomputer gesehen werden. Switches arbeiten auf der Datenverbindungsschicht (Schicht 2) und der Netzwerkschicht (Schicht 3).

Das folgende Diagramm zeigt, wie der Schalter funktioniert.

Passives Sniffing fängt Pakete ab, die über ein Netzwerk übertragen werden, das einen Hub verwendet . Es wird passives Schnüffeln genannt, weil es schwer zu erkennen ist. Dies ist auch einfach durchzuführen, da der Hub Broadcast-Nachrichten an alle Computer im Netzwerk sendet.

Beim aktiven Sniffing werden Pakete abgefangen, die über ein Netzwerk übertragen werden, das einen Switch verwendet . Es gibt zwei Hauptmethoden zum Aufspüren von Switch-verbundenen Netzwerken: ARP-Vergiftung und MAC-Flooding.

Hacking-Aktivität: Sniff-Netzwerkverkehr

In diesem praktischen Szenario werden wir Wireshark verwenden, um Datenpakete zu schnüffeln, wenn diese über das HTTP-Protokoll übertragen werden . In diesem Beispiel schnüffeln wir das Netzwerk mit Wireshark und melden uns dann bei einer Webanwendung an, die keine sichere Kommunikation verwendet. Wir werden uns bei einer Webanwendung unter http://www.techpanda.org/ anmelden.

Die Anmeldeadresse lautet Diese E-Mail-Adresse ist vor Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. und das Passwort lautet Password2010 .

Hinweis: Wir melden uns nur zu Demonstrationszwecken bei der Web-App an. Die Technik kann auch Datenpakete von anderen Computern abhören, die sich im selben Netzwerk befinden wie der, den Sie zum Abhören verwenden. Das Sniffing ist nicht nur auf techpanda.org beschränkt, sondern schnüffelt auch alle HTTP- und anderen Protokolldatenpakete.

Das Netzwerk mit Wireshark schnüffeln

Die folgende Abbildung zeigt Ihnen die Schritte, die Sie ausführen werden, um diese Übung ohne Verwirrung durchzuführen

Laden Sie Wireshark von diesem Link http://www.wireshark.org/download.html herunter

  • Öffnen Sie Wireshark
  • Sie erhalten den folgenden Bildschirm
  • Wählen Sie die Netzwerkschnittstelle aus, an der Sie schnüffeln möchten. Hinweis: Für diese Demonstration verwenden wir eine drahtlose Netzwerkverbindung. Wenn Sie sich in einem lokalen Netzwerk befinden, sollten Sie die lokale Netzwerkschnittstelle auswählen.
  • Klicken Sie wie oben gezeigt auf die Schaltfläche Start
  • Öffnen Sie Ihren Webbrowser und geben Sie http://www.techpanda.org/ ein.
  • Die Login-E-Mail lautet Diese E-Mail-Adresse ist vor Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. und das Passwort ist Password2010
  • Klicken Sie auf die Schaltfläche Senden
  • Eine erfolgreiche Anmeldung sollte Ihnen das folgende Dashboard geben
  • Gehen Sie zurück zu Wireshark und stoppen Sie die Live-Aufnahme
  • Filter für HTTP-Protokollergebnisse nur mithilfe des Filtertextfelds
  • Suchen Sie die Info-Spalte, suchen Sie nach Einträgen mit dem HTTP-Verb POST und klicken Sie darauf
  • Direkt unter den Protokolleinträgen befindet sich ein Bereich mit einer Zusammenfassung der erfassten Daten. Suchen Sie nach der Zusammenfassung mit den Zeilenbasierten Textdaten: application / x-www-form-urlencoded
  • Sie sollten in der Lage sein, die Klartextwerte aller POST-Variablen anzuzeigen, die über das HTTP-Protokoll an den Server gesendet wurden.

Was ist eine MAC-Überschwemmung?

MAC-Flooding ist eine Netzwerk-Sniffing-Technik, die die Switch-MAC-Tabelle mit gefälschten MAC-Adressen überflutet . Dies führt zu einer Überlastung des Switch-Speichers und bewirkt, dass dieser als Hub fungiert. Sobald der Switch kompromittiert wurde, sendet er die Broadcast-Nachrichten an alle Computer in einem Netzwerk. Dies ermöglicht es, Datenpakete zu schnüffeln, während sie im Netzwerk gesendet werden.

Gegenmaßnahmen gegen MAC-Überschwemmungen

  • Einige Switches verfügen über die Port-Sicherheitsfunktion . Mit dieser Funktion kann die Anzahl der MAC-Adressen an den Ports begrenzt werden. Es kann auch verwendet werden, um zusätzlich zu der vom Switch bereitgestellten eine sichere MAC-Adresstabelle zu verwalten.
  • Authentifizierungs-, Autorisierungs- und Abrechnungsserver können verwendet werden, um erkannte MAC-Adressen zu filtern.

Schnüffeln Gegenmaßnahmen

  • Die Beschränkung auf physische Netzwerkmedien verringert die Wahrscheinlichkeit, dass ein Netzwerk-Sniffer installiert wurde, erheblich
  • Das Verschlüsseln von Nachrichten , die über das Netzwerk übertragen werden, verringert ihren Wert erheblich, da sie schwer zu entschlüsseln sind.
  • Durch das Ändern des Netzwerks in ein SSH- Netzwerk (Secure Shell) wird auch die Wahrscheinlichkeit verringert, dass das Netzwerk abgehört wird.

Zusammenfassung

  • Beim Netzwerk-Sniffing werden Pakete abgefangen, wenn sie über das Netzwerk übertragen werden
  • Passives Sniffing wird in einem Netzwerk durchgeführt, das einen Hub verwendet. Es ist schwer zu erkennen.
  • Aktives Sniffing wird in einem Netzwerk durchgeführt, das einen Switch verwendet. Es ist leicht zu erkennen.
  • Das MAC-Flooding funktioniert, indem die Adressliste der MAC-Tabelle mit gefälschten MAC-Adressen überflutet wird. Dadurch funktioniert der Switch wie ein Hub
  • Die oben beschriebenen Sicherheitsmaßnahmen können dazu beitragen, das Netzwerk vor Schnüffeln zu schützen.