Les meilleurs outils de test de stylet : renifleurs et utilisation de packages. Renifleur d'analyseur de trafic réseau

Qu'est-ce qu'Intercepter-NG

Considérons l'essence du fonctionnement d'ARP sur exemple simple. L'ordinateur A (adresse IP 10.0.0.1) et l'ordinateur B (adresse IP 10.22.22.2) sont connectés par un réseau Ethernet. L'ordinateur A veut envoyer un paquet de données à l'ordinateur B ; il connaît l'adresse IP de l'ordinateur B. Cependant, le réseau Ethernet auquel ils sont connectés ne fonctionne pas avec les adresses IP. Par conséquent, pour transmettre via Ethernet, l'ordinateur A doit connaître l'adresse de l'ordinateur B sur le réseau Ethernet (adresse MAC en termes Ethernet). Le protocole ARP est utilisé pour cette tâche. Grâce à ce protocole, l'ordinateur A envoie une requête de diffusion adressée à tous les ordinateurs du même domaine de diffusion. L'essence de la demande : "ordinateur avec l'adresse IP 10.22.22.2, fournissez votre adresse MAC à l'ordinateur avec l'adresse MAC (par exemple, a0:ea:d1:11:f1:01)." Le réseau Ethernet transmet cette requête à tous les appareils sur le même segment Ethernet, y compris l'ordinateur B. L'ordinateur B répond à l'ordinateur A à la requête et signale son adresse MAC (par exemple 00:ea:d1:11:f1:11). reçu l'adresse MAC de l'ordinateur B, l'ordinateur A peut lui transmettre n'importe quelle donnée via le réseau Ethernet.

Pour éviter d'avoir à utiliser le protocole ARP avant chaque envoi de données, les adresses MAC reçues et leurs adresses IP correspondantes sont enregistrées dans le tableau pendant un certain temps. Si vous devez envoyer des données à la même IP, il n'est pas nécessaire d'interroger les appareils à chaque fois à la recherche du MAC souhaité.

Comme nous venons de le voir, ARP comprend une requête et une réponse. L'adresse MAC de la réponse est écrite dans la table MAC/IP. Lorsqu'une réponse est reçue, son authenticité n'est en aucun cas vérifiée. De plus, il ne vérifie même pas si la demande a été faite. Ceux. vous pouvez immédiatement envoyer une réponse ARP aux appareils cibles (même sans demande), avec des données usurpées, et ces données finiront dans la table MAC/IP et seront utilisées pour le transfert de données. C'est l'essence même de l'attaque d'usurpation d'identité ARP, parfois appelée gravure ARP ou empoisonnement du cache ARP.

Description de l'attaque par usurpation d'ARP

Deux ordinateurs (nœuds) M et N sur un réseau local Ethernet échangent des messages. L'attaquant X, situé sur le même réseau, souhaite intercepter les messages entre ces nœuds. Avant que l'attaque d'usurpation d'identité ARP ne soit appliquée sur l'interface réseau de l'hôte M, la table ARP contient l'adresse IP et MAC de l'hôte N. Également sur l'interface réseau de l'hôte N, la table ARP contient l'adresse IP et MAC de l'hôte M. .

Lors d'une attaque d'usurpation d'identité ARP, le nœud X (l'attaquant) envoie deux réponses ARP (sans requête) - au nœud M et au nœud N. La réponse ARP au nœud M contient l'adresse IP de N et l'adresse MAC de X. La réponse ARP au nœud N contient l'adresse IP M et l'adresse MAC X.

Étant donné que les ordinateurs M et N prennent en charge l'ARP spontané, après avoir reçu une réponse ARP, ils modifient leurs tables ARP, et maintenant la table ARP M contient l'adresse MAC X liée à l'adresse IP N, et la table ARP N contient l'adresse MAC X, lié à l'adresse IP M.

Ainsi, l'attaque d'usurpation d'identité ARP est terminée, et désormais tous les paquets (trames) entre M et N passent par X. Par exemple, si M veut envoyer un paquet à l'ordinateur N, alors M regarde dans sa table ARP, trouve une entrée avec l'adresse IP de l'hôte N, sélectionne l'adresse MAC à partir de là (et il y a déjà l'adresse MAC du nœud X) et transmet le paquet. Le paquet arrive à l'interface X, est analysé par celle-ci, puis transmis au nœud N.

De nombreux utilisateurs réseaux informatiques, en général, un concept tel que « renifleur » n'est pas familier. Essayons de définir ce qu’est un sniffer, dans le langage simple d’un utilisateur non averti. Mais il faut d’abord se pencher sur la prédéfinition du terme lui-même.

Sniffer : qu'est-ce qu'un sniffer du point de vue de la langue anglaise et de la technologie informatique ?

En fait, il n'est pas du tout difficile de déterminer l'essence d'un tel complexe logiciel ou matériel-logiciel si vous traduisez simplement le terme.

Ce nom vient du mot anglais sniff (sniff). D'où le sens du terme russe « renifleur ». Qu'est-ce qu'un renifleur dans notre compréhension ? Un « renifleur » capable de surveiller l'utilisation du trafic réseau ou, plus simplement, un espion qui peut interférer avec le fonctionnement des réseaux locaux ou basés sur Internet, en extrayant les informations dont il a besoin en fonction de l'accès via les protocoles de transfert de données TCP/IP.

Analyseur de trafic : comment ça marche ?

Réservons tout de suite : un sniffer, qu'il s'agisse d'un composant logiciel ou shareware, est capable d'analyser et d'intercepter le trafic (données transmises et reçues) exclusivement via les cartes réseau (Ethernet). Ce qui se produit?

L'interface réseau n'est pas toujours protégée par un pare-feu (là encore, logiciel ou matériel), et donc l'interception des données transmises ou reçues devient simplement une question de technologie.

Au sein du réseau, les informations sont transmises à travers les segments. Au sein d'un segment, les paquets de données sont censés être envoyés à absolument tous les appareils connectés au réseau. Les informations segmentées sont transmises aux routeurs (routeurs), puis aux commutateurs (commutateurs) et aux concentrateurs (hubs). L'envoi d'informations s'effectue en divisant les paquets afin que l'utilisateur final reçoive toutes les parties du package connectées entre elles à partir d'itinéraires complètement différents. Ainsi, « l'écoute » de tous les itinéraires potentiels d'un abonné à un autre ou l'interaction d'une ressource Internet avec un utilisateur peut permettre non seulement d'accéder à des informations non cryptées, mais également à certaines clés secrètes, qui peuvent également être envoyées dans un tel processus d'interaction. . Et ici, l’interface réseau s’avère totalement non protégée, car un tiers intervient.

Bonnes intentions et intentions malveillantes ?

Les renifleurs peuvent être utilisés à la fois pour le meilleur et pour le pire. Sans parler de l'impact négatif, il convient de noter que de tels systèmes logiciels et matériels sont utilisés assez souvent. administrateurs système, qui tentent de suivre les actions des utilisateurs non seulement sur Internet, mais également leur comportement sur Internet en termes de ressources visitées, de téléchargements activés vers des ordinateurs ou d'envois depuis ceux-ci.

La méthode par laquelle fonctionne l'analyseur de réseau est assez simple. Le renifleur détecte le trafic sortant et entrant de la machine. Nous ne parlons pas d’IP interne ou externe. Le critère le plus important est ce qu'on appelle l'adresse MAC, unique pour tout appareil connecté à Internet mondial. Il permet d'identifier chaque machine du réseau.

Types de renifleurs

Mais par type, ils peuvent être divisés en plusieurs principaux :

• matériel;
• logiciel;
• matériel et logiciels ;
• applets en ligne.

Détection comportementale de la présence d'un sniffer sur le réseau

Vous pouvez détecter le même renifleur WiFi par la charge sur le réseau. S'il est clair que le transfert de données ou la connexion n'est pas au niveau indiqué par le fournisseur (ou que le routeur le permet), vous devez immédiatement y prêter attention.

D'un autre côté, le fournisseur peut également exécuter un logiciel de détection pour surveiller le trafic à l'insu de l'utilisateur. Mais, en règle générale, l’utilisateur n’en est même pas au courant. Mais l'organisme fournissant les services de communication et de connexion Internet garantit ainsi à l'utilisateur une sécurité totale en termes d'interception des inondations, d'auto-installation des clients de divers chevaux de Troie, espions, etc. Mais de tels outils sont plutôt logiciels et n'ont pas beaucoup d'impact sur le réseau ou les terminaux des utilisateurs.

Ressources en ligne

Mais un analyseur de trafic en ligne peut être particulièrement dangereux. Un système de piratage informatique primitif repose sur l’utilisation de renifleurs. La technologie dans sa forme la plus simple se résume au fait qu'au départ, l'attaquant s'inscrit sur une certaine ressource, puis télécharge une image sur le site. Après confirmation du téléchargement, un lien vers un renifleur en ligne est émis, qui est envoyé à la victime potentielle, par exemple sous la forme e-mail ou le même SMS avec un texte du type « Vous avez reçu une félicitation d'un tel. Pour ouvrir la photo (carte postale), cliquez sur le lien.

Les utilisateurs naïfs cliquent sur le lien hypertexte spécifié, ce qui active la reconnaissance et transmet l'adresse IP externe à l'attaquant. S'il dispose de l'application appropriée, il pourra non seulement visualiser toutes les données stockées sur l'ordinateur, mais également modifier facilement les paramètres du système de l'extérieur, dont utilisateur local Je ne devinerai même pas, confondant un tel changement avec l’impact d’un virus. Mais le scanner ne montrera aucune menace lors de la vérification.

Comment se protéger de l’interception de données ?

Qu'il s'agisse d'un renifleur WiFi ou de tout autre analyseur, il existe toujours des systèmes de protection contre l'analyse non autorisée du trafic. Il n'y a qu'une seule condition : ils ne doivent être installés que si vous êtes totalement confiant dans les « écoutes téléphoniques ».

Tel logiciel le plus souvent appelés « anti-renifleurs ». Mais si vous y réfléchissez bien, ce sont les mêmes renifleurs qui analysent le trafic, mais bloquent les autres programmes essayant de recevoir

D’où la question légitime : est-ce que cela vaut la peine d’installer un tel logiciel ? Peut-être que son piratage par des pirates informatiques causera encore plus de dégâts, ou bloquera-t-il lui-même ce qui devrait fonctionner ?

Dans le très cas simple Avec les systèmes Windows, il est préférable d'utiliser un pare-feu intégré comme protection. Il peut parfois y avoir des conflits avec antivirus installé, mais cela ne s'applique souvent qu'aux forfaits gratuits. Les versions professionnelles achetées ou activées mensuellement ne présentent pas de tels défauts.

Au lieu d'une postface

Tout dépend du concept de « renifleur ». Je pense que beaucoup de gens ont déjà compris ce qu'est un renifleur. Enfin, la question demeure : dans quelle mesure l’utilisateur moyen utilisera-t-il correctement de telles choses ? Sinon, chez les jeunes utilisateurs, on peut parfois remarquer une tendance au hooliganisme informatique. Ils pensent que pirater l'ordinateur de quelqu'un d'autre est quelque chose comme une compétition intéressante ou une affirmation de soi. Malheureusement, aucun d'entre eux ne pense même aux conséquences, mais il est très facile d'identifier un attaquant utilisant le même sniffer en ligne grâce à son adresse IP externe, par exemple sur le site WhoIs. Certes, l'emplacement du fournisseur sera indiqué comme emplacement, cependant, le pays et la ville seront déterminés avec précision. Eh bien, il s’agit de petites choses : soit un appel au fournisseur pour bloquer le terminal à partir duquel un accès non autorisé a été effectué, soit une affaire pénale. Tirez vos propres conclusions.

À programme installé Déterminer l'emplacement du terminal à partir duquel une tentative d'accès est effectuée est encore plus simple. Mais les conséquences peuvent être catastrophiques, car tous les utilisateurs n’utilisent pas les mêmes anonymiseurs ou serveurs proxy virtuels et n’ont même aucune idée d’Internet. Cela vaudrait la peine d'apprendre...

Intercepteur est un outil réseau multifonctionnel qui vous permet d'obtenir des données du trafic (mots de passe, messages de messagerie instantanée, correspondance, etc.) et de mettre en œuvre diverses attaques MiTM.

Interface du programme d'interception
Fonctionnalité principale

• Interception de messages de messagerie instantanée.
• Interception des cookies et des mots de passe.
• Interception d'activité (pages, fichiers, données).
• Possibilité d'usurper les téléchargements de fichiers en ajoutant des fichiers malveillants. Peut être utilisé conjointement avec d’autres utilitaires.
• Remplacement des certificats Https par Http.

Mode résurrection– récupération des données utiles du trafic, à partir de protocoles qui transmettent le trafic en texte clair. Lorsque la victime consulte des fichiers, des pages, des données, ils peuvent être partiellement ou totalement interceptés. De plus, vous pouvez spécifier la taille des fichiers afin de ne pas télécharger le programme en petites parties. Ces informations peuvent être utilisées à des fins d’analyse.

Mode mot de passe– mode pour travailler avec les cookies. De cette manière, il est possible d'accéder aux fichiers visités de la victime.

Mode de numérisation– mode principal pour les tests. Pour lancer la numérisation, cliquez sur clic droit souris Analyse intelligente. Après la numérisation, tous les participants au réseau seront affichés dans la fenêtre, leur système opérateur et d'autres paramètres.

De plus, dans ce mode, vous pouvez analyser les ports. Vous devez utiliser la fonction Scan Ports. Bien sûr, il existe des utilitaires beaucoup plus fonctionnels pour cela, mais la présence de cette fonction est un point important.

Si nous sommes intéressés par une attaque ciblée sur le réseau, après l'analyse, nous devons ajouter l'adresse IP cible à Nat à l'aide de la commande (Ajouter à Nat). Dans une autre fenêtre, il sera possible de réaliser d'autres attaques.

Mode Nat. Le mode principal, qui permet de réaliser un certain nombre d'attaques via ARP. C'est la fenêtre principale qui permet les attaques ciblées.

Mode DHCP. C'est un mode qui vous permet d'augmenter votre serveur DHCP pour implémenter des attaques DHCP au milieu.

Certains types d'attaques pouvant être menées
Usurpation de site

Pour usurper le site Web de la victime, vous devez vous rendre sur Target, après quoi vous devez spécifier le site et sa substitution. De cette façon, vous pouvez remplacer un grand nombre de sites. Tout dépend de la qualité du faux.

Usurpation de site

Exemple pour VK.com

Sélection de l'attaque MiTM

​

Changer la règle d'injection
En conséquence, la victime ouvre un faux site Web lorsqu’elle demande vk.com. Et en mode mot de passe, il devrait y avoir le login et le mot de passe de la victime :

Pour mener une attaque ciblée, vous devez sélectionner une victime dans la liste et l'ajouter à la cible. Cela peut être fait en utilisant le bouton droit de la souris.

Ajout d'attaques MiTm
Vous pouvez désormais utiliser le mode Ressurection pour récupérer diverses données du trafic.

Fichiers et informations des victimes via l'attaque MiTm
Usurpation du trafic

Spécification des paramètres
Après cela, la demande de la victime passera de « confiance » à « perdant ».

De plus, vous pouvez supprimer les cookies afin que la victime se déconnecte de tous les comptes et se reconnecte. Cela vous permettra d'intercepter les identifiants et les mots de passe.

Détruire les cookies

Comment voir un renifleur potentiel sur le réseau à l'aide d'Intercepter ?
À l'aide de l'option de détection Promisc, vous pouvez détecter un périphérique qui analyse sur le réseau local. Après la numérisation, la colonne d'état affichera « Sniffer ». C'est la première façon de détecter l'analyse sur un réseau local.

Détection du renifleur
Dispositif SDR HackRF


​

HackRF est un appareil SDR complet pour 300 $. L'auteur du projet, Michael Ossman, développe des appareils performants dans ce sens. Le renifleur Bluetooth Ubertooth a déjà été développé et mis en œuvre avec succès. HackRF est un projet réussi qui a récolté plus de 600 000 $ sur Kickstarter. 500 de ces appareils ont déjà été vendus pour des tests bêta.

HackRF fonctionne dans la gamme de fréquences de 30 MHz à 6 GHz. La fréquence d'échantillonnage est de 20 MHz, ce qui vous permet d'intercepter les signaux des réseaux Wi-FI et LTE.

Comment se protéger au niveau local ?
Tout d’abord, utilisons le logiciel SoftPerfect WiFi Guard. Il existe une version portable qui ne prend pas plus de 4 Mo. Il vous permet d'analyser votre réseau et d'afficher les appareils qui y sont affichés. Il dispose de paramètres qui vous permettent de choisir carte réseau et le nombre maximum d'appareils analysés. De plus, vous pouvez définir l'intervalle d'analyse.

Possibilité d'ajouter des commentaires pour les utilisateurs


​

Conclusion
Ainsi, nous avons examiné en pratique comment utiliser logiciel pour intercepter les données au sein du réseau. Nous avons examiné plusieurs attaques spécifiques qui vous permettent d'obtenir des données de connexion, ainsi que d'autres informations. De plus, nous avons examiné SoftPerfect WiFi Guard, qui vous permet de protéger à un niveau primitif réseau local de l'écoute du trafic.

Reniflage intelligent vous permet d'intercepter le trafic réseau et d'afficher son contenu en ASCII. Le programme capture les paquets qui transitent adaptateur réseau et affiche le contenu des paquets sous forme de texte (protocoles http, pop3, smtp, ftp) et sous forme de dump hexadécimal. Pour capturer les paquets TCP/IP, SmartSniff utilise les techniques suivantes : raw sockets - RAW Sockets, WinCap Capture Driver et Microsoft Network Monitor Driver. Le programme prend en charge la langue russe et est facile à utiliser.

Programme Sniffer pour capturer des paquets

SmartSniff affiche les informations suivantes : nom du protocole, local et adresse distante, port local et distant, nœud local, nom du service, volume de données, taille totale, heure de capture et heure du dernier paquet, durée, adresse MAC locale et distante, pays et contenu du paquet de données. Le programme a des paramètres flexibles, il implémente la fonction d'un filtre de capture, décompressant les réponses http, convertissant les adresses IP, l'utilitaire est minimisé dans la barre d'état système. SmartSniff génère un rapport sur les flux de paquets sous la forme Pages HTML. Le programme peut exporter des flux TCP/IP.

Le Renifleur de paquets réseau Wi-Fi Le module peut être utilisé à la fois en mode normal et en mode moniteur, mais il prend également en charge une troisième option, le mode étendu, pour capturer le trafic du réseau Wi-Fi générés par votre équipement.

Le mode étendu vous permet d'utiliser le pendant que votre carte sans fil est connectée à un réseau Wi-Fi. Outre l'affichage des paquets de signalisation (balises, demandes de sonde, réponses de sonde, paquets de données, etc.), vous pourrez visualiser tout le trafic de diffusion TCP, UDP ou Wi-Fi généré par votre système lorsqu'il est connecté. De cette façon, vous pourrez visualiser et analyser toute la navigation Web ( HTTP) le trafic ou toute autre connexion réseau envoyée par le réseau Wi-Fi auquel vous êtes connecté.

Ce mode de capture ne vous permet pas de visualiser le trafic Wi-Fi provenant d'autres canaux, puisque votre carte sans fil fonctionne à une fréquence fixe.

Le renifleur de réseau Wi-Fi en mode étendu et les secteurs du mode de capture de paquets réseau sont des nouveautés très attendues sur Acrylic Wi-Fi Professional v2.3, qui devrait être lancée dans les prochains jours.

Téléchargez le renifleur de réseau sans fil pour Windows 7/8/8.1/10

Si vous n'avez pas besoin d'afficher les paquets du réseau Wi-Fi ou d'utiliser un Renifleur de trafic réseau Wi-Fi, téléchargez , un renifleur de réseau et de canaux Wi-Fi gratuit pour Windows qui vous permet de visualiser tous les réseaux sans fil à portée de main. Cette version prend en charge les modes de capture et de surveillance normaux.

Si vous avez besoin d'informations complètes sur le comportement du réseau sans fil, Renifleur de réseau Wi-Fi est la bonne solution pour vous, car elle prend en charge les trois modes de capture du réseau Wi-Fi, offrant Informations sur les paquets du réseau Wi-Fi en temps réel. Un outil très utile pour améliorer les performances du réseau sans fil, détecter les incidents et en savoir plus sur les réseaux Wi-Fi. Essayez-le gratuitement !

Et pour les utilisateurs avancés, le pilote Acrylique Wi-Fi vous le permet.