Cele mai bune instrumente de testare a stilourilor: sniffer și lucrul cu pachete. Analizor de trafic de rețea sniffer

Ce este Intercepter-NG

Să luăm în considerare esența funcționării ARP exemplu simplu. Calculatorul A (adresa IP 10.0.0.1) și computerul B (adresa IP 10.22.22.2) sunt conectate printr-o rețea Ethernet. Calculatorul A dorește să trimită un pachet de date către computerul B, acesta știe adresa IP a computerului B. Cu toate acestea, rețeaua Ethernet la care sunt conectați nu funcționează cu adrese IP. Prin urmare, pentru a transmite prin Ethernet, computerul A trebuie să cunoască adresa computerului B din rețeaua Ethernet (adresa MAC în termeni Ethernet). Protocolul ARP este utilizat pentru această sarcină. Folosind acest protocol, computerul A trimite o cerere de difuzare adresată tuturor computerelor din același domeniu de difuzare. Esența solicitării: „calculator cu adresa IP 10.22.22.2, furnizați adresa dvs. MAC computerului cu adresa MAC (de exemplu, a0:ea:d1:11:f1:01).” Rețeaua Ethernet furnizează această solicitare tuturor dispozitivelor de pe același segment Ethernet, inclusiv computerului B. Calculatorul B răspunde computerului A la cerere și raportează adresa sa MAC (de ex. 00:ea:d1:11:f1:11) Acum, având a primit adresa MAC a computerului B, computerul A îi poate transmite orice date prin intermediul rețelei Ethernet.

Pentru a evita necesitatea utilizării protocolului ARP înainte de fiecare trimitere de date, adresele MAC primite și adresele IP corespunzătoare sunt înregistrate în tabel pentru o perioadă de timp. Dacă trebuie să trimiteți date la același IP, atunci nu este nevoie să interogați dispozitivele de fiecare dată în căutarea MAC-ului dorit.

După cum tocmai am văzut, ARP include o cerere și un răspuns. Adresa MAC din răspuns este scrisă în tabelul MAC/IP. Când se primește un răspuns, acesta nu este verificat în niciun fel pentru autenticitate. Mai mult, nici nu verifică dacă cererea a fost făcută. Aceste. puteți trimite imediat un răspuns ARP către dispozitivele țintă (chiar și fără o solicitare), cu date falsificate, iar aceste date vor ajunge în tabelul MAC/IP și vor fi folosite pentru transferul de date. Aceasta este esența atacului de falsificare ARP, care se numește uneori gravare ARP, otrăvire cache ARP.

Descrierea atacului de falsificare ARP

Două computere (noduri) M și N pe o rețea locală Ethernet schimbă mesaje. Atacatorul X, situat pe aceeași rețea, dorește să intercepteze mesaje între aceste noduri. Înainte ca atacul de falsificare ARP să fie aplicat pe interfața de rețea a gazdei M, tabelul ARP conține adresa IP și MAC a gazdei N. De asemenea, pe interfața de rețea a gazdei N, tabelul ARP conține adresa IP și MAC a gazdei M. .

În timpul unui atac de falsificare ARP, nodul X (atacatorul) trimite două răspunsuri ARP (fără o solicitare) - la nodul M și la nodul N. Răspunsul ARP la nodul M conține adresa IP a lui N și adresa MAC a lui X. Răspunsul ARP la nodul N conține adresa IP M și adresa MAC X.

Deoarece computerele M și N acceptă ARP spontan, după ce primesc un răspuns ARP, își schimbă tabelele ARP, iar acum tabelul ARP M conține adresa MAC X legată de adresa IP N, iar tabelul ARP N conține adresa MAC X, legat de adresa IP M.

Astfel, atacul ARP-spoofing este finalizat, iar acum toate pachetele (cadrele) dintre M și N trec prin X. De exemplu, dacă M dorește să trimită un pachet către computerul N, atunci M caută în tabelul său ARP, găsește o intrare cu adresa IP N a gazdei, selectează de acolo adresa MAC (și există deja adresa MAC a nodului X) și transmite pachetul. Pachetul ajunge la interfața X, este analizat de acesta și apoi transmis către nodul N.

Mulți utilizatori rețele de calculatoare, în general, un astfel de concept ca „sniffer” este necunoscut. Să încercăm să definim ce este un sniffer, în limbajul simplu al unui utilizator neinstruit. Dar mai întâi, mai trebuie să vă aprofundați în predefinirea termenului în sine.

Sniffer: ce este un sniffer din punctul de vedere al limbii engleze și al tehnologiei informatice?

De fapt, nu este deloc dificil să determinați esența unui astfel de complex software sau hardware-software dacă traduceți pur și simplu termenul.

Acest nume provine din cuvântul englezesc sniff (sniff). De aici și sensul termenului rusesc „sniffer”. Ce este un sniffer în înțelegerea noastră? Un „sniffer” capabil să monitorizeze utilizarea traficului de rețea sau, mai simplu, un spion care poate interfera cu funcționarea rețelelor locale sau bazate pe Internet, extragând informațiile de care are nevoie pe baza accesului prin protocoale de transfer de date TCP/IP.

Analizor de trafic: cum funcționează?

Să facem imediat o rezervare: un sniffer, fie că este vorba despre o componentă software sau shareware, este capabil să analizeze și să intercepteze traficul (date transmise și primite) exclusiv prin intermediul plăcilor de rețea (Ethernet). Ce se întâmplă?

Interfața de rețea nu este întotdeauna protejată de un firewall (din nou, software sau hardware) și, prin urmare, interceptarea datelor transmise sau primite devine doar o chestiune de tehnologie.

În cadrul rețelei, informațiile sunt transmise pe segmente. Într-un singur segment, pachetele de date ar trebui să fie trimise la absolut toate dispozitivele conectate la rețea. Informațiile segmentate sunt transmise către routere (routere) și apoi către comutatoare (comutatoare) și concentratoare (hub-uri). Trimiterea informațiilor se face prin împărțirea pachetelor, astfel încât utilizatorul final să primească toate părțile pachetului conectate între ele de pe rute complet diferite. Astfel, „ascultarea” tuturor rutelor potențiale de la un abonat la altul sau interacțiunea unei resurse de internet cu un utilizator poate oferi nu numai acces la informații necriptate, ci și la unele chei secrete, care pot fi și trimise într-un astfel de proces de interacțiune . Și aici interfața de rețea se dovedește a fi complet neprotejată, deoarece intervine o terță parte.

Intenții bune și scopuri rău intenționate?

Snifferele pot fi folosite atât pentru bine, cât și pentru rău. Ca să nu mai vorbim de impactul negativ, este de remarcat faptul că astfel de sisteme software și hardware sunt folosite destul de des administratorii de sistem, care încearcă să urmărească acțiunile utilizatorilor nu doar pe Internet, ci și comportamentul acestora pe Internet în ceea ce privește resursele vizitate, descărcările activate pe computere sau trimiterea de la acestea.

Metoda prin care funcționează analizatorul de rețea este destul de simplă. Sniffer-ul detectează traficul de ieșire și de intrare al mașinii. Nu vorbim de IP intern sau extern. Cel mai important criteriu este așa-numita adresă MAC, unică pentru orice dispozitiv conectat web global. Este folosit pentru a identifica fiecare mașină din rețea.

Tipuri de sniffer

Dar după tip ele pot fi împărțite în mai multe principale:

• hardware;
• software;
• hardware și software;
• applet-uri online.

Detectarea comportamentală a prezenței unui sniffer în rețea

Puteți detecta același sniffer WiFi după încărcarea din rețea. Dacă este clar că transferul de date sau conexiunea nu este la nivelul declarat de furnizor (sau routerul permite), ar trebui să acordați atenție imediat la acest lucru.

Pe de altă parte, furnizorul poate rula și un software sniffer pentru a monitoriza traficul fără știrea utilizatorului. Dar, de regulă, utilizatorul nici măcar nu știe despre asta. Însă organizația care furnizează servicii de comunicație și conexiune la Internet garantează astfel utilizatorului securitate deplină în ceea ce privește interceptarea inundațiilor, autoinstalarea clienților diverși troieni, spioni etc. Dar astfel de instrumente sunt mai degrabă software și nu au un impact prea mare asupra rețelei sau terminalelor utilizatorilor.

Resurse online

Dar un analizor de trafic online poate fi deosebit de periculos. Un sistem primitiv de hacking computerizat este construit pe utilizarea sniffer-urilor. Tehnologia în cea mai simplă formă se reduce la faptul că inițial atacatorul se înregistrează pe o anumită resursă, apoi încarcă o poză pe site. După confirmarea descărcării, se emite un link către un sniffer online, care este trimis potențialei victime, de exemplu, sub forma e-mail sau același mesaj SMS cu un text de genul „Ați primit o felicitare de la așa și așa. Pentru a deschide imaginea (cartea poștală), faceți clic pe link.”

Utilizatorii naivi fac clic pe hyperlinkul specificat, în urma căruia recunoașterea este activată și adresa IP externă este transferată atacatorului. Dacă are aplicația corespunzătoare, va putea nu numai să vizualizeze toate datele stocate pe computer, ci și să modifice cu ușurință setările sistemului din exterior, despre care utilizator local nici măcar nu va ghici, confundând o astfel de schimbare cu impactul unui virus. Dar scanerul va afișa zero amenințări atunci când verifică.

Cum să te protejezi de interceptarea datelor?

Fie că este vorba de un sniffer WiFi sau de orice alt analizor, există încă sisteme de protejare împotriva scanării neautorizate a traficului. Există o singură condiție: acestea trebuie instalate numai dacă sunteți complet încrezător în „interceptări”.

Astfel de software numite cel mai adesea „antisniffers”. Dar dacă te gândești bine, acestea sunt aceleași sniffer-uri care analizează traficul, dar blochează alte programe care încearcă să primească

De aici întrebarea legitimă: merită să instalați un astfel de software? Poate că piratarea sa de către hackeri va cauza și mai mult rău sau va bloca ea însăși ceea ce ar trebui să funcționeze?

În chiar caz simplu Cu sistemele Windows, este mai bine să utilizați un firewall încorporat ca protecție. Uneori pot exista conflicte cu antivirus instalat, dar acest lucru se aplică adesea numai pachetelor gratuite. Versiunile achiziționate profesional sau activate lunar nu au astfel de neajunsuri.

În loc de postfață

Acesta este totul despre conceptul de „sniffer”. Cred că mulți și-au dat seama deja ce este un sniffer. În cele din urmă, întrebarea rămâne: cât de corect va folosi utilizatorul obișnuit astfel de lucruri? Altfel, printre utilizatorii tineri se poate observa uneori o tendință spre huliganism pe computer. Ei cred că piratarea computerului altcuiva este ceva ca o competiție interesantă sau auto-afirmare. Din păcate, niciunul dintre ei nici măcar nu se gândește la consecințe, dar este foarte ușor să identifici un atacator folosind același sniffer online după IP-ul său extern, de exemplu, pe site-ul WhoIs. Adevărat, locația furnizorului va fi indicată ca locație, cu toate acestea, țara și orașul vor fi determinate exact. Ei bine, atunci este o chestiune de lucruri mărunte: fie un apel către furnizor pentru a bloca terminalul din care s-a făcut acces neautorizat, fie un dosar penal. Trageți propriile concluzii.

La programul instalat Determinarea locației terminalului din care se face o încercare de acces este și mai simplă. Dar consecințele pot fi catastrofale, deoarece nu toți utilizatorii folosesc aceleași anonimizatoare sau servere proxy virtuale și nici măcar nu au habar despre Internet. Ar merita invatat...

Interceptor este un instrument de rețea multifuncțional care vă permite să obțineți date din trafic (parole, mesaje de mesagerie instant, corespondență etc.) și să implementați diverse atacuri MiTM.

Interfața programului Intercepter
Funcționalitate principală

• Interceptarea mesajelor instant messenger.
• Interceptarea cookie-urilor și a parolelor.
• Interceptarea activității (pagini, fișiere, date).
• Posibilitatea de a falsifica descărcările de fișiere prin adăugarea de fișiere rău intenționate. Poate fi folosit împreună cu alte utilități.
• Înlocuirea certificatelor Https cu Http.

Modul de resuscitare– recuperarea datelor utile din trafic, din protocoale care transmit trafic în text clar. Atunci când victima vede fișiere, pagini, date, acestea pot fi interceptate parțial sau complet. În plus, puteți specifica dimensiunea fișierelor pentru a nu descărca programul în părți mici. Aceste informații pot fi folosite pentru analiză.

Modul parolă– modul de lucru cu cookie-uri. În acest fel, este posibil să obțineți acces la fișierele vizitate de victimă.

Modul de scanare– modul principal de testare. Pentru a începe scanarea, faceți clic clic dreapta soareci Scanare inteligentă. După scanare, toți participanții la rețea vor fi afișați în fereastra lor sistem de operareși alți parametri.

În plus, în acest mod puteți scana porturi. Trebuie să utilizați funcția Scan Ports. Desigur, există mult mai multe utilități funcționale pentru aceasta, dar prezența acestei funcții este un punct important.

Dacă suntem interesați de un atac direcționat asupra rețelei, atunci după scanare trebuie să adăugăm IP-ul țintă la Nat folosind comanda (Add to Nat). Într-o altă fereastră va fi posibilă efectuarea altor atacuri.

Modul Nat. Modul principal, care vă permite să efectuați o serie de atacuri prin ARP. Aceasta este fereastra principală care permite atacuri direcționate.

Modul DHCP. Acesta este un mod care vă permite să vă ridicați Server DHCP pentru a implementa atacuri DHCP la mijloc.

Unele tipuri de atacuri care pot fi efectuate
Falsificarea site-ului

Pentru a falsifica site-ul web al victimei, trebuie să mergeți la țintă, după care trebuie să specificați site-ul și înlocuirea acestuia. În acest fel puteți înlocui destul de multe site-uri. Totul depinde de cât de înaltă calitate este falsul.

Falsificarea site-ului

Exemplu pentru VK.com

Selectarea atacului MiTM

​

Schimbarea regulii de injectare
Drept urmare, victima deschide un site web fals atunci când solicită vk.com. Și în modul parolă ar trebui să existe login-ul și parola victimei:

Pentru a efectua un atac țintit, trebuie să selectați o victimă din listă și să o adăugați la țintă. Acest lucru se poate face folosind butonul din dreapta al mouse-ului.

Adăugarea atacurilor MiTm
Acum puteți utiliza Modul Ressurection pentru a recupera diferite date din trafic.

Fișiere și informații despre victime prin atacul MiTm
Falsificarea traficului

Specificarea setărilor
După aceasta, cererea victimei se va schimba de la „încredere” la „perdantă”.

În plus, puteți elimina cookie-urile, astfel încât victima să se deconecteze de la toate conturile și să se conecteze din nou. Acest lucru vă va permite să interceptați datele de conectare și parolele.

Distrugerea cookie-urilor

Cum să vezi un potențial sniffer în rețea folosind Intercepter?
Folosind opțiunea Promisc Detection, puteți detecta un dispozitiv care scanează în rețeaua locală. După scanare, coloana de stare va afișa „Sniffer”. Aceasta este prima modalitate de a detecta scanarea într-o rețea locală.

Detectare sniffer
Dispozitiv SDR HackRF


​

HackRF este un dispozitiv SDR complet pentru 300 USD. Autorul proiectului, Michael Ossman, dezvoltă dispozitive de succes în această direcție. Snifferul Bluetooth Ubertooth a fost dezvoltat anterior și implementat cu succes. HackRF este un proiect de succes care a strâns peste 600 de mii pe Kickstarter. 500 dintre aceste dispozitive au fost deja vândute pentru testare beta.

HackRF operează în intervalul de frecvență de la 30 MHz la 6 GHz. Frecvența de eșantionare este de 20 MHz, ceea ce vă permite să interceptați semnale din rețelele Wi-FI și LTE.

Cum să te protejezi la nivel local?
În primul rând, să folosim software-ul SoftPerfect WiFi Guard. Există o versiune portabilă care nu necesită mai mult de 4 MB. Vă permite să vă scanați rețeaua și să afișați ce dispozitive sunt afișate pe ea. Are setări care vă permit să alegeți placa de reteași numărul maxim de dispozitive scanate. În plus, puteți seta intervalul de scanare.

Posibilitatea de a adăuga comentarii pentru utilizatori


​

Concluzie
Astfel, am luat în considerare în practică modul de utilizare software pentru a intercepta date în rețea. Am analizat mai multe atacuri specifice care vă permit să obțineți date de conectare, precum și alte informații. În plus, ne-am uitat la SoftPerfect WiFi Guard, care vă permite să vă protejați la un nivel primitiv retea locala de la ascultarea traficului.

SmartSniff vă permite să interceptați traficul de rețea și să afișați conținutul acestuia în ASCII. Programul captează pachetele care trec adaptor de rețeași afișează conținutul pachetelor sub formă de text (protocoale http, pop3, smtp, ftp) și sub formă de dump hexazecimal. Pentru a captura pachete TCP/IP, SmartSniff folosește următoarele tehnici: socketuri brute - Sockets RAW, WinCap Capture Driver și Microsoft Network Monitor Driver. Programul acceptă limba rusă și este ușor de utilizat.

Program sniffer pentru captarea pachetelor

SmartSniff afișează următoarele informații: numele protocolului, local și adresa de la distanță, portul local și la distanță, nodul local, numele serviciului, volumul de date, dimensiunea totală, timpul de captare și timpul ultimului pachet, durata, adresa MAC locală și de la distanță, țările și conținutul pachetului de date. Programul are setări flexibile, implementează funcția de filtru de captură, despachetarea răspunsurilor http, conversia adreselor IP, utilitarul este minimizat în tava de sistem. SmartSniff generează un raport privind fluxurile de pachete în formular Pagini HTML. Programul poate exporta fluxuri TCP/IP.

The Sniffer de pachete de rețea Wi-Fi modul poate fi folosit atât în ​​modul normal, cât și în modul monitor, dar acceptă și o a treia opțiune, modul extins, pt captarea traficului rețelei Wi-Fi generate de echipamentul dumneavoastră.

Modul extins vă permite să utilizați în timp ce cardul dvs. wireless este conectat la o rețea Wi-Fi. În afară de vizualizarea pachetelor de semnalizare (balize, solicitări de sondă, răspunsuri de sondă, pachete de date etc.), veți putea vizualiza tot traficul de difuzare TCP, UDP sau Wi-Fi generat de sistemul dumneavoastră în timp ce este conectat. În acest fel, veți putea vizualiza și analiza toată navigarea pe web ( HTTP) trafic sau orice altă conexiune de rețea trimisă de rețeaua Wi-Fi la care sunteți conectat.

Acest mod de captură nu vă permite să vizualizați traficul Wi-Fi de pe alte canale, deoarece cardul dvs. wireless funcționează la o frecvență fixă.

Snifferul rețelei Wi-Fi în modul extins și sectoarele modului de captare a pachetelor de rețea sunt funcții noi mult așteptate pe Acrylic Wi-Fi Professional v2.3, care este de așteptat să fie lansat în următoarele zile.

Descărcați Wireless Network Sniffer pentru Windows 7/8/8.1/10

Dacă nu trebuie să vizualizați pachetele de rețea Wi-Fi sau să utilizați a Sniffer de trafic în rețeaua Wi-Fi, descărcați , o rețea Wi-Fi gratuită și un sniffer de canale pentru Windows care vă permite să vizualizați toate rețelele wireless la îndemână. Această versiune acceptă modurile normale de captură și monitorizare.

Dacă aveți nevoie de informații complete despre comportamentul rețelei fără fir, Sniffer de rețea Wi-Fi este soluția potrivită pentru dvs., deoarece acceptă toate cele trei moduri de captare a rețelei Wi-Fi, oferind Informații despre pachetele rețelei Wi-Fiîn timp real. Un instrument foarte util pentru îmbunătățirea performanței rețelei wireless, pentru detectarea incidentelor și pentru a afla mai multe despre rețelele Wi-Fi. Încercați-l gratuit!

Și pentru utilizatorii avansați, driverul Acrylic Wi-Fi vă permite.