As melhores ferramentas de pen tester: sniffers e trabalho com pacotes. Sniffer analisador de tráfego de rede

O que é Interceptador-NG

Vamos considerar a essência do funcionamento do ARP em exemplo simples. O Computador A (endereço IP 10.0.0.1) e o Computador B (endereço IP 10.22.22.2) estão conectados por uma rede Ethernet. O computador A deseja enviar um pacote de dados para o computador B; ele conhece o endereço IP do computador B. No entanto, a rede Ethernet à qual estão conectados não funciona com endereços IP. Portanto, para transmitir via Ethernet, o computador A precisa saber o endereço do computador B na rede Ethernet (endereço MAC em termos Ethernet). O protocolo ARP é usado para esta tarefa. Usando este protocolo, o computador A envia uma solicitação de transmissão endereçada a todos os computadores no mesmo domínio de transmissão. A essência da solicitação: “computador com endereço IP 10.22.22.2, forneça seu endereço MAC ao computador com endereço MAC (por exemplo, a0:ea:d1:11:f1:01).” A rede Ethernet entrega esta solicitação a todos os dispositivos no mesmo segmento Ethernet, incluindo o computador B. O computador B responde ao computador A à solicitação e relata seu endereço MAC (por exemplo, 00:ea:d1:11:f1:11) Agora, tendo recebeu o endereço MAC do computador B, o computador A pode transmitir quaisquer dados para ele através da rede Ethernet.

Para evitar a necessidade de utilização do protocolo ARP antes de cada envio de dados, os endereços MAC recebidos e seus endereços IP correspondentes são registrados na tabela por algum tempo. Se você precisar enviar dados para o mesmo IP, não há necessidade de pesquisar os dispositivos todas as vezes em busca do MAC desejado.

Como acabamos de ver, o ARP inclui uma solicitação e uma resposta. O endereço MAC da resposta é gravado na tabela MAC/IP. Quando uma resposta é recebida, sua autenticidade não é verificada de forma alguma. Além disso, nem verifica se a solicitação foi feita. Aqueles. você pode enviar imediatamente uma resposta ARP para os dispositivos de destino (mesmo sem solicitação), com dados falsificados, e esses dados irão parar na tabela MAC/IP e serão usados ​​para transferência de dados. Esta é a essência do ataque de falsificação de ARP, que às vezes é chamado de gravação de ARP, envenenamento de cache ARP.

Descrição do ataque de falsificação de ARP

Dois computadores (nós) M e N em uma rede local Ethernet trocam mensagens. O atacante X, localizado na mesma rede, deseja interceptar mensagens entre esses nós. Antes do ataque de falsificação ARP ser aplicado na interface de rede do host M, a tabela ARP contém os endereços IP e MAC do host N. Também na interface de rede do host N, a tabela ARP contém os endereços IP e MAC do host M .

Durante um ataque de falsificação de ARP, o nó X (o invasor) envia duas respostas ARP (sem solicitação) - para o nó M e para o nó N. A resposta ARP para o nó M contém o endereço IP de N e o endereço MAC de X. O A resposta ARP ao nó N contém o endereço IP M e o endereço MAC X.

Como os computadores M e N suportam ARP espontâneo, após receberem uma resposta ARP, eles alteram suas tabelas ARP, e agora a tabela ARP M contém o endereço MAC X vinculado ao endereço IP N, e a tabela ARP N contém o endereço MAC X, vinculado ao endereço IP M.

Assim, o ataque de falsificação de ARP é concluído e agora todos os pacotes (quadros) entre M e N passam por X. Por exemplo, se M deseja enviar um pacote para o computador N, então M procura em sua tabela ARP, encontra uma entrada com o endereço IP do host N, seleciona o endereço MAC de lá (e já existe o endereço MAC do nó X) e transmite o pacote. O pacote chega à interface X, é analisado por ela e então encaminhado ao nó N.

Muitos usuários redes de computadores, em geral, um conceito como “farejador” não é familiar. Vamos tentar definir o que é um sniffer, na linguagem simples de um usuário não treinado. Mas primeiro você ainda precisa se aprofundar na predefinição do próprio termo.

Sniffer: o que é um sniffer do ponto de vista da língua inglesa e da tecnologia informática?

Na verdade, não é nada difícil determinar a essência de tal software ou complexo hardware-software se você simplesmente traduzir o termo.

Este nome vem da palavra inglesa sniff (sniff). Daí o significado do termo russo “farejador”. O que é um farejador em nosso entendimento? Um “sniffer” capaz de monitorar o uso do tráfego de rede, ou, mais simplesmente, um espião que pode interferir no funcionamento de redes locais ou baseadas na Internet, extraindo as informações de que necessita com base no acesso através de protocolos de transferência de dados TCP/IP.

Analisador de tráfego: como funciona?

Façamos já uma reserva: um sniffer, seja ele um componente de software ou shareware, é capaz de analisar e interceptar tráfego (dados transmitidos e recebidos) exclusivamente através de placas de rede (Ethernet). O que acontece?

A interface de rede nem sempre é protegida por um firewall (novamente, software ou hardware) e, portanto, a interceptação de dados transmitidos ou recebidos torna-se apenas uma questão de tecnologia.

Dentro da rede, as informações são transmitidas entre segmentos. Dentro de um segmento, os pacotes de dados devem ser enviados para absolutamente todos os dispositivos conectados à rede. As informações segmentadas são encaminhadas para roteadores (roteadores) e depois para switches (switches) e concentradores (hubs). O envio de informações é feito dividindo os pacotes para que o usuário final receba todas as partes do pacote conectadas entre si por rotas completamente diferentes. Assim, “ouvir” todas as rotas potenciais de um assinante para outro ou a interação de um recurso da Internet com um usuário pode fornecer não apenas acesso a informações não criptografadas, mas também a algumas chaves secretas, que também podem ser enviadas nesse processo de interação. . E aqui a interface de rede fica completamente desprotegida, porque um terceiro intervém.

Boas intenções e propósitos maliciosos?

Os farejadores podem ser usados ​​tanto para o bem quanto para o mal. Sem falar no impacto negativo, é importante destacar que tais sistemas de software e hardware são utilizados com bastante frequência administradores de sistema, que tentam rastrear as ações dos usuários não apenas na Internet, mas também seu comportamento na Internet em termos de recursos visitados, downloads ativados para computadores ou envios deles.

O método pelo qual o analisador de rede funciona é bastante simples. O sniffer detecta o tráfego de entrada e saída da máquina. Não estamos falando de IP interno ou externo. O critério mais importante é o chamado endereço MAC, único para qualquer dispositivo conectado ao rede global. É usado para identificar cada máquina na rede.

Tipos de farejadores

Mas por tipo eles podem ser divididos em vários principais:

• hardware;
• software;
• hardware e software;
• miniaplicativos on-line.

Detecção comportamental da presença de um sniffer na rede

Você pode detectar o mesmo sniffer WiFi pela carga na rede. Se estiver claro que a transferência ou conexão de dados não está no nível declarado pelo provedor (ou o roteador permite), você deve prestar atenção imediatamente.

Por outro lado, o provedor também pode executar um software sniffer para monitorar o tráfego sem o conhecimento do usuário. Mas, via de regra, o usuário nem sabe disso. Mas a organização que presta serviços de comunicação e ligação à Internet garante assim ao utilizador total segurança em termos de intercepção de inundações, auto-instalação de clientes de vários Trojans, espiões, etc. Mas essas ferramentas são bastante software e não têm muito impacto na rede ou nos terminais do usuário.

Recursos on-line

Mas um analisador de tráfego online pode ser especialmente perigoso. Um sistema primitivo de hacking de computador é baseado no uso de farejadores. A tecnologia em sua forma mais simples se resume ao fato de que inicialmente o invasor se cadastra em um determinado recurso e depois carrega uma imagem no site. Após a confirmação do download, é emitido um link para um sniffer online, que é enviado à potencial vítima, por exemplo, no formulário e-mail ou a mesma mensagem SMS com um texto como “Você recebeu os parabéns de fulano de tal. Para abrir a foto (cartão postal), clique no link.”

Usuários ingênuos clicam no hiperlink especificado, e como resultado o reconhecimento é ativado e o endereço IP externo é transferido para o invasor. Se possuir a aplicação adequada, poderá não só visualizar todos os dados armazenados no computador, mas também alterar facilmente as configurações do sistema desde o exterior, sobre as quais usuário local nem vou adivinhar, confundindo tal mudança com o impacto de um vírus. Mas o scanner não mostrará nenhuma ameaça durante a verificação.

Como se proteger da interceptação de dados?

Seja um sniffer de WiFi ou qualquer outro analisador, ainda existem sistemas para proteção contra varredura de tráfego não autorizado. Há apenas uma condição: eles só precisam ser instalados se você estiver totalmente confiante em “escutas telefônicas”.

Tal programas mais frequentemente chamados de “antisniffers”. Mas se você pensar bem, esses são os mesmos farejadores que analisam o tráfego, mas bloqueiam outros programas que tentam receber

Daí a pergunta legítima: vale a pena instalar esse software? Talvez seu hackeamento por hackers cause ainda mais danos ou ele próprio bloqueará o que deveria funcionar?

No próprio caso simples Com sistemas Windows, é melhor usar um firewall integrado como proteção. Às vezes pode haver conflitos com antivírus instalado, mas isso geralmente se aplica apenas a pacotes gratuitos. As versões profissionais adquiridas ou ativadas mensalmente não apresentam essas deficiências.

Em vez de um posfácio

Isso é tudo sobre o conceito de “farejador”. Acho que muitas pessoas já descobriram o que é um farejador. Finalmente, a questão permanece: até que ponto o usuário médio usará essas coisas corretamente? Caso contrário, entre os usuários jovens, às vezes você pode notar uma tendência ao vandalismo informático. Eles acham que hackear o computador de outra pessoa é algo como uma competição interessante ou autoafirmação. Infelizmente, nenhum deles sequer pensa nas consequências, mas é muito fácil identificar um invasor usando o mesmo sniffer online pelo seu IP externo, por exemplo, no site WhoIs. É verdade que a localização do provedor será indicada como local, porém o país e a cidade serão determinados com exatidão. Pois bem, então é uma questão de pequenas coisas: ou uma chamada ao fornecedor para bloquear o terminal a partir do qual foi feito o acesso não autorizado, ou um processo criminal. Tire suas próprias conclusões.

No programa instalado Determinar a localização do terminal a partir do qual está sendo feita uma tentativa de acesso é ainda mais simples. Mas as consequências podem ser catastróficas, porque nem todos os utilizadores utilizam os mesmos anonimizadores ou servidores proxy virtuais e nem sequer têm a menor ideia sobre a Internet. Valeria a pena aprender...

Interceptoré uma ferramenta de rede multifuncional que permite obter dados de tráfego (senhas, mensagens instantâneas, correspondência, etc.) e implementar diversos ataques MiTM.

Interface do programa interceptador
Funcionalidade principal

• Interceptação de mensagens de mensagens instantâneas.
• Interceptação de cookies e senhas.
• Interceptação de atividades (páginas, arquivos, dados).
• Capacidade de falsificar downloads de arquivos adicionando arquivos maliciosos. Pode ser usado em conjunto com outros utilitários.
• Substituindo certificados HTTPS por HTTP.

Modo de Ressurreição– recuperação de dados úteis do tráfego, de protocolos que transmitem tráfego em texto não criptografado. Quando a vítima visualiza arquivos, páginas, dados, eles podem ser interceptados parcial ou totalmente. Além disso, você pode especificar o tamanho dos arquivos para não baixar o programa em pequenas partes. Essas informações podem ser usadas para análise.

Modo de senha– modo para trabalhar com cookies. Dessa forma, é possível ter acesso aos arquivos visitados pela vítima.

Modo de digitalização– modo principal para teste. Para iniciar a digitalização, clique em clique com o botão direito ratos Verificação inteligente. Após a digitalização, todos os participantes da rede serão exibidos na janela, seus sistema operacional e outros parâmetros.

Além disso, neste modo você pode verificar portas. Você deve usar a função Scan Ports. Claro, existem muito mais utilitários funcionais para isso, mas a presença desta função é um ponto importante.

Se estivermos interessados ​​em um ataque direcionado à rede, após a verificação, precisaremos adicionar o IP alvo ao Nat usando o comando (Adicionar ao Nat). Em outra janela será possível realizar outros ataques.

Modo Nat. O modo principal, que permite realizar diversos ataques via ARP. Esta é a janela principal que permite ataques direcionados.

Modo DHCP. Este é um modo que permite que você aumente seu Servidor DHCP para implementar ataques DHCP no meio.

Alguns tipos de ataques que podem ser realizados
Falsificação de site

Para falsificar o site da vítima, você precisa ir ao Target, após o qual você precisa especificar o site e sua substituição. Dessa forma, você pode substituir muitos sites. Tudo depende da qualidade da falsificação.

Falsificação de site

Exemplo para VK.com

Selecionando ataque MiTM

​

Alterando a regra de injeção
Como resultado, a vítima abre um site falso ao solicitar vk.com. E no modo senha deverá constar o login e senha da vítima:

Para realizar um ataque direcionado, você precisa selecionar uma vítima da lista e adicioná-la ao alvo. Isso pode ser feito usando o botão direito do mouse.

Adicionando ataques MiTm
Agora você pode usar o modo de ressurreição para recuperar vários dados do tráfego.

Arquivos e informações da vítima por meio do ataque MiTm
Falsificação de tráfego

Especificando configurações
Depois disso, o pedido da vítima mudará de “confiança” para “perdedor”.

Além disso, você pode eliminar os cookies para que a vítima saia de todas as contas e faça login novamente. Isso permitirá que você intercepte logins e senhas.

Destruindo biscoitos

Como ver um potencial farejador na rede usando o Intercepter?
Usando a opção Promisc Detection, você pode detectar um dispositivo que está verificando na rede local. Após a digitalização, a coluna de status mostrará “Sniffer”. Esta é a primeira maneira de detectar a digitalização em uma rede local.

Detecção de farejador
Dispositivo SDR HackRF


​

HackRF é um dispositivo SDR completo por US$ 300. O autor do projeto, Michael Ossman, está desenvolvendo dispositivos de sucesso nessa direção. O sniffer Ubertooth Bluetooth foi desenvolvido anteriormente e implementado com sucesso. HackRF é um projeto de sucesso que arrecadou mais de 600 mil no Kickstarter. 500 desses dispositivos já foram vendidos para testes beta.

HackRF opera na faixa de frequência de 30 MHz a 6 GHz. A frequência de amostragem é de 20 MHz, o que permite interceptar sinais de redes Wi-FI e LTE.

Como se proteger em nível local?
Primeiro, vamos usar o software SoftPerfect WiFi Guard. Existe uma versão portátil que não ocupa mais que 4 MB. Ele permite que você escaneie sua rede e exiba quais dispositivos são exibidos nela. Possui configurações que permitem escolher placa de rede e o número máximo de dispositivos verificados. Além disso, você pode definir o intervalo de verificação.

Capacidade de adicionar comentários para usuários


​

Conclusão
Assim, consideramos na prática como usar programas para interceptar dados dentro da rede. Analisamos vários ataques específicos que permitem obter dados de login, bem como outras informações. Além disso, analisamos o SoftPerfect WiFi Guard, que permite proteger em um nível primitivo rede local de ouvir o tráfego.

SmartSniff permite interceptar o tráfego de rede e exibir seu conteúdo em ASCII. O programa captura pacotes que passam adaptador de rede e exibe o conteúdo dos pacotes em formato de texto (protocolos http, pop3, smtp, ftp) e na forma de dump hexadecimal. Para capturar pacotes TCP/IP, o SmartSniff utiliza as seguintes técnicas: raw sockets - RAW Sockets, WinCap Capture Driver e Microsoft Network Monitor Driver. O programa suporta o idioma russo e é fácil de usar.

Programa sniffer para capturar pacotes

SmartSniff exibe as seguintes informações: nome do protocolo, local e endereço remoto, porta local e remota, nó local, nome do serviço, volume de dados, tamanho total, tempo de captura e hora do último pacote, duração, endereço MAC local e remoto, países e conteúdo do pacote de dados. O programa possui configurações flexíveis, implementa a função de filtro de captura, descompactando respostas http, convertendo endereços IP, o utilitário é minimizado na bandeja do sistema. SmartSniff gera um relatório sobre fluxos de pacotes no formato Páginas HTML. O programa pode exportar fluxos TCP/IP.

O Sniffer de pacotes de rede Wi-Fi O módulo pode ser usado nos modos normal e monitor, mas também suporta uma terceira opção, o modo estendido, para capturando o tráfego da rede Wi-Fi gerada pelo seu equipamento.

O modo estendido permite que você use enquanto sua placa wireless está conectada a uma rede Wi-Fi. Além de visualizar pacotes de sinalização (beacons, solicitações de sondagem, respostas de sondagem, pacotes de dados, etc.), você poderá visualizar todo o tráfego de transmissão TCP, UDP ou Wi-Fi gerado pelo seu sistema enquanto estiver conectado. Desta forma, você poderá visualizar e analisar toda a navegação na web ( HTTP) tráfego ou qualquer outra conexão de rede enviada pela rede Wi-Fi à qual você está conectado.

Este modo de captura não permite visualizar o tráfego Wi-Fi de outros canais, pois sua placa wireless está funcionando em uma frequência fixa.

O sniffer de rede Wi-Fi no modo estendido e os setores do modo de captura de pacotes de rede são novos recursos há muito aguardados no Acrílico Wi-Fi Professional v2.3, que deverá ser lançado nos próximos dias.

Baixe o Sniffer de rede sem fio para Windows 7/8/8.1/10

Se você não precisar visualizar pacotes de rede Wi-Fi ou usar um Sniffer de tráfego de rede Wi-Fi, baixe , uma rede Wi-Fi gratuita e sniffer de canais para Windows que permite visualizar todas as redes sem fio ao seu alcance. Esta versão suporta modos normais de captura e monitoramento.

Se você precisar de informações completas sobre o comportamento da rede sem fio, Sniffer de rede Wi-Fié a solução certa para você, pois suporta todos os três modos de captura de rede Wi-Fi, fornecendo Informações do pacote de rede Wi-Fi em tempo real. Uma ferramenta muito útil para melhorar o desempenho da rede sem fio, detectar incidentes e aprender mais sobre redes Wi-Fi. Experimente gratuitamente!

E para usuários avançados, o driver Acrílico Wi-Fi permite isso.