Datamaskiner kommuniserer ved hjelp av nettverk. Disse nettverkene kan være på et lokalt nettverk eller utsatt for internett. Network Sniffers er programmer som fanger opp pakke data på lavt nivå som overføres over et nettverk. En angriper kan analysere denne informasjonen for å oppdage verdifull informasjon som bruker-ID og passord.
I denne artikkelen vil vi introdusere deg for vanlige teknikker og verktøy for nettverkssnusing. Vi vil også se på mottiltak du kan iverksette for å beskytte sensitiv informasjon som ble overført over et nettverk.
Emner dekket i denne opplæringen
- Hva er nettverkssnusing?
- Aktiv og passiv snusing
- Hackingaktivitet: Sniff Network
- Hva er Media Access Control (MAC) Flooding
Hva er nettverkssnusing?
Datamaskiner kommuniserer ved å kringkaste meldinger i et nettverk ved hjelp av IP-adresser. Når en melding er sendt i et nettverk, svarer mottakermaskinen med den samsvarende IP-adressen med sin MAC-adresse.
Nettverkssnusing er prosessen med å fange opp datapakker sendt over et nettverk. Dette kan gjøres av det spesialiserte programvaren eller maskinvareutstyret. Snusing kan brukes til;
- Registrer sensitive data som påloggingsinformasjon
- Avlytting av chat-meldinger
- Fangstfiler har blitt overført over et nettverk
Følgende er protokoller som er sårbare for snusing
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Ovennevnte protokoller er sårbare hvis påloggingsdetaljer sendes i ren tekst
Passiv og aktiv snusing
Før vi ser på passiv og aktiv snusing, la oss se på to hovedenheter som brukes til nettverksdatamaskiner; nav og brytere.
En hub fungerer ved å sende kringkastingsmeldinger til alle utgangsportene på den, bortsett fra den som har sendt sendingen . Mottakerens datamaskin svarer på kringkastingsmeldingen hvis IP-adressen samsvarer. Dette betyr at når du bruker et hub, kan alle datamaskiner i et nettverk se kringkastingsmeldingen. Den fungerer på det fysiske laget (lag 1) av OSI-modellen.
Diagrammet nedenfor illustrerer hvordan navet fungerer.
En bryter fungerer annerledes; den tilordner IP / MAC-adresser til fysiske porter på den . Kringkastingsmeldinger sendes til de fysiske portene som samsvarer med IP / MAC-adressekonfigurasjonene for mottakerens datamaskin. Dette betyr at kringkastingsmeldinger bare blir sett av mottakerens datamaskin. Brytere fungerer på datalinklaget (lag 2) og nettverkslaget (lag 3).
Diagrammet nedenfor illustrerer hvordan bryteren fungerer.
Passiv snusing er å fange opp pakker overført over et nettverk som bruker et knutepunkt . Det kalles passiv snusing fordi det er vanskelig å oppdage. Det er også enkelt å utføre da huben sender kringkastingsmeldinger til alle datamaskiner i nettverket.
Aktiv snusing er å fange opp pakker overført over et nettverk som bruker en bryter . Det er to hovedmetoder som brukes til å snuse switch-koblede nettverk, ARP-forgiftning og MAC-flom.
Hackingaktivitet: Sniff nettverkstrafikk
I dette praktiske scenariet skal vi bruke Wireshark til å snuse datapakker når de overføres via HTTP-protokoll . For dette eksemplet vil vi snuse nettverket ved hjelp av Wireshark, og deretter logge på et webapplikasjon som ikke bruker sikker kommunikasjon. Vi logger inn på en webapplikasjon på http://www.techpanda.org/
Påloggingsadressen er Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere JavaScript for å kunne se den. , og passordet er Password2010 .
Merk: Vi logger inn på webappen bare for demonstrasjonsformål. Teknikken kan også snuse datapakker fra andre datamaskiner som er i samme nettverk som den du bruker til å snuse. Sniffingen er ikke bare begrenset til techpanda.org, men snuser også alle HTTP og andre protokoll datapakker.
Snuse nettverket ved hjelp av Wireshark
Illustrasjonen nedenfor viser trinnene du vil utføre for å fullføre denne øvelsen uten forvirring
Last ned Wireshark fra denne lenken http://www.wireshark.org/download.html
- Åpne Wireshark
- Du får følgende skjerm
- Velg nettverksgrensesnittet du vil snuse. Merknad for denne demonstrasjonen bruker vi en trådløs nettverkstilkobling. Hvis du er på et lokalt nettverk, bør du velge lokalt nettverksgrensesnitt.
- Klikk på startknappen som vist ovenfor
- Åpne nettleseren din og skriv inn http://www.techpanda.org/
- Innloggings-e-postadressen er Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere JavaScript for å kunne se den. og passordet er Password2010
- Klikk på send-knappen
- En vellykket pålogging skal gi deg følgende dashbord
- Gå tilbake til Wireshark og stopp liveopptaket
- Filtrer kun for HTTP-protokollresultater ved å bruke filterteksten
- Finn Info-kolonnen og se etter oppføringer med HTTP-verbet POST, og klikk på den
- Rett under loggoppføringene er det et panel med et sammendrag av fangede data. Se etter sammendraget som sier Linjebasert tekstdata: application / x-www-form-urlencoded
- Du bør kunne se klartekstverdiene til alle POST-variablene som sendes til serveren via HTTP-protokoll.
Hva er en MAC-flom?
MAC-flom er en nettverkssnuketeknikk som oversvømmer MAC-tabellen med falske MAC-adresser . Dette fører til overbelastning av svitsjminnet og får det til å fungere som et knutepunkt. Når bryteren er kompromittert, sender den kringkastingsmeldingene til alle datamaskiner i et nettverk. Dette gjør det mulig å snuse datapakker etter hvert som de sendes på nettverket.
Mottiltak mot MAC-flom
- Noen brytere har portens sikkerhetsfunksjon . Denne funksjonen kan brukes til å begrense antall MAC-adresser på portene. Den kan også brukes til å opprettholde en sikker MAC-adressetabell i tillegg til den som tilbys av bryteren.
- Autentiserings-, autorisasjons- og regnskapsservere kan brukes til å filtrere oppdagede MAC-adresser.
Snuse mottiltak
- Begrensning til fysiske nettverksmedier reduserer sjansene for at en nettverkssniffer blir installert
- Kryptering av meldinger når de overføres over nettverket, reduserer verdien deres sterkt, siden de er vanskelig å dekryptere.
- Endring av nettverket til et Secure Shell (SSH) -nettverk reduserer også sjansene for at nettverket er sniffet.
Sammendrag
- Nettverkssnusing avlytter pakker når de overføres over nettverket
- Passiv snusing gjøres i et nettverk som bruker et knutepunkt. Det er vanskelig å oppdage.
- Aktiv snusing gjøres i et nettverk som bruker en bryter. Det er lett å oppdage.
- MAC-flom fungerer ved å oversvømme MAC-tabellens adresseliste med falske MAC-adresser. Dette gjør at bryteren fungerer som en HUB
- Sikkerhetstiltak som beskrevet ovenfor kan bidra til å beskytte nettverket mot sniffing.