Arvutid suhtlevad võrkude kaudu. Need võrgud võivad asuda kohtvõrgus või olla Interneti-ühenduses. Network Sniffers on programmid, mis hõivavad võrgu kaudu edastatavaid madala taseme pakettandmeid. Ründaja saab seda teavet analüüsida, et leida väärtuslikku teavet, näiteks kasutaja ID-sid ja paroole.
Selles artiklis tutvustame teile levinud võrgus nuusutamise tehnikaid ja tööriistu, mida võrkude nuusutamiseks kasutatakse. Uurime ka vastumeetmeid, mida saate võrgu kaudu edastatud tundliku teabe kaitsmiseks rakendada.
Selles õpetuses käsitletud teemad
- Mis on võrgu nuusutamine?
- Aktiivne ja passiivne nuusutamine
- Häkkimistegevus: Nuusutamise võrk
- Mis on meediumipääsukontrolli (MAC) üleujutus
Mis on võrgu nuusutamine?
Arvutid suhtlevad, edastades sõnumeid võrgus IP-aadresside abil. Kui sõnum on võrku saadetud, vastab sobiva IP-aadressiga vastuvõtjaarvuti oma MAC-aadressiga.
Võrgu nuusutamine on võrgu kaudu saadetud andmepakettide pealtkuulamise protsess. Seda saab teha spetsiaalse tarkvaraprogrammi või riistvaraseadmete abil. Nuusutamist saab kasutada;
- Jäädvustage tundlikke andmeid, näiteks sisselogimisandmeid
- Pealtkuulamine vestlussõnumitele
- Võttefailid on edastatud võrgu kaudu
Järgnevalt on protokollid, mis on nuusutamise suhtes haavatavad
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
Ülaltoodud protokollid on haavatavad, kui sisselogimisandmed saadetakse lihttekstina
Passiivne ja aktiivne nuusutamine
Enne kui me vaatame passiivset ja aktiivset nuuskamist, vaatame kahte peamist seadet, mida arvutite võrguks kasutatakse; jaoturid ja lülitid.
Jaotur töötab, saates ringhäälingusõnumeid kõikidesse selle väljundportidesse, välja arvatud saade, mis on ülekande saatnud . Vastuvõtja arvuti vastab leviteatele, kui IP-aadress ühtib. See tähendab, et jaoturi kasutamisel näevad edastussõnumit kõik võrgu arvutid. See töötab OSI mudeli füüsilisel kihil (1. kiht).
Allolev skeem illustreerib jaoturi tööd.
Lüliti töötab erinevalt; see kaardistab IP / MAC-aadressid selle füüsilistesse portidesse . Levisõnumid saadetakse füüsilistesse portidesse, mis vastavad vastuvõtja arvuti IP / MAC-aadressi konfiguratsioonidele. See tähendab, et ringhäälingusõnumeid näeb ainult vastuvõtja arvuti. Lülitid töötavad andmeside kihil (kiht 2) ja võrgukihil (kiht 3).
Allolev skeem illustreerib lüliti toimimist.
Passiivne nuusutamine on jaoturit kasutava võrgu kaudu edastatavate pakettide pealtkuulamine . Seda nimetatakse passiivseks nuuskamiseks, kuna seda on raske tuvastada. Samuti on seda lihtne teha, kuna jaotur saadab ringhäälingusõnumeid kõigile võrgus olevatele arvutitele.
Aktiivne nuusutamine on lülitit kasutava võrgu kaudu edastatavate pakettide pealtkuulamine . Lülitiga ühendatud võrkude nuusutamiseks kasutatakse kahte peamist meetodit: ARP mürgistus ja MACi üleujutus.
Häkkimistegevus: võrguliikluse nuusutamine
Selle praktilise stsenaariumi korral kasutame Wiresharki andmepakettide nuusutamiseks, kui neid edastatakse HTTP-protokolli kaudu . Selle näite jaoks nuusutame võrku Wiresharki abil, seejärel logime sisse veebirakendusse, mis ei kasuta turvalist sidet. Logime sisse veebirakendusse aadressil http://www.techpanda.org/
Sisselogimisaadress on See e-posti aadress on spämmirobotite eest kaitstud. Selle vaatamiseks peate lubama JavaScripti. ja parool on Password2010 .
Märkus. Veebirakendusse logime sisse ainult tutvustamiseks. Tehnika abil saab andmepakette nuusutada ka teistest arvutitest, mis on samas võrgus kui see, mida te nuusutamiseks kasutate. Nuusutamine ei piirdu ainult techpanda.org'iga, vaid nuusutab ka kõiki HTTP ja muude protokollide andmepakette.
Võrgu nuusutamine Wiresharki abil
Alloleval illustratsioonil on näidatud sammud, mida saate selle harjutuse segadusteta täita
Laadige Wireshark alla sellelt lingilt http://www.wireshark.org/download.html
- Avage Wireshark
- Kuvatakse järgmine ekraan
- Valige võrguliides, mida soovite nuusutada. Selle demonstratsiooni puhul kasutame traadita võrguühendust. Kui olete kohtvõrgus, peaksite valima kohtvõrgu liidese.
- Klõpsake ülaltoodud nuppu Start
- Avage oma veebibrauser ja sisestage aadress http://www.techpanda.org/
- Sisselogimise e- posti aadress on See e-posti aadress on spämmirobotite eest kaitstud. Selle vaatamiseks peate lubama JavaScripti. ja parool on Password2010
- Klõpsake nuppu Esita
- Edukas sisselogimine peaks andma teile järgmise juhtpaneeli
- Minge tagasi Wiresharki ja peatage reaalajas jäädvustamine
- HTTP-protokolli tulemuste filtreerimine ainult filtri tekstikasti abil
- Otsige üles veerg Info, otsige HTTP-verbiga POST kirjed ja klõpsake sellel
- Vahetult logikirjete all on jäädvustatud andmete kokkuvõte. Otsige kokkuvõtet, kus on kirjas Line-based text data: application / x-www-form-urlencoded
- Peaksite saama vaadata kõigi HTTP-protokolli kaudu serverisse saadetud POST-muutujate selget teksti väärtusi.
Mis on MACi üleujutus?
MAC-i üleujutamine on võrgu nuusutamise tehnika, mis ujutab lüliti MAC-tabeli võltsitud MAC-aadressidega . See toob kaasa lülitimälu ülekoormuse ja paneb selle toimima jaoturina. Kui lüliti on rikutud, saadab see leviedastussõnumid kõigile võrgu arvutitele. See võimaldab andmepakette võrgus saatmise ajal nuusutada.
Vastumeetmed MACi üleujutuste vastu
- Mõnel lülitil on pordi turvafunktsioon . Seda funktsiooni saab kasutada MAC-aadresside arvu piiramiseks pordides. Seda saab kasutada ka turvalise MAC-aadressitabeli hooldamiseks lisaks lülitiga pakutavale.
- Avastatud MAC-aadresside filtreerimiseks saab kasutada autentimise, autoriseerimise ja raamatupidamise servereid .
Vastumeetmete nuusutamine
- Piirang võrgu füüsilisele andmekandjale vähendab võrgu nuusutaja installimise võimalusi suuresti
- Võrgu kaudu edastatavate sõnumite krüptimine vähendab oluliselt nende väärtust, kuna neid on raske dešifreerida.
- Võrgu muutmine Secure Shelli (SSH) võrguks vähendab ka võrgu nuusutamise võimalusi.
Kokkuvõte
- Võrgu nuusutamine on pakettide pealtkuulamine, kui neid võrgu kaudu edastatakse
- Passiivset nuusutamist tehakse võrgus, mis kasutab jaoturit. Seda on raske avastada.
- Aktiivne nuusutamine toimub võrgus, mis kasutab lülitit. Seda on lihtne tuvastada.
- MAC-i üleujutus toimib MAC-i tabeli aadresside loendi üle võltsitud MAC-aadressidega. See paneb lüliti tööle nagu HUB
- Eespool kirjeldatud turvameetmed võivad aidata võrku kaitsta nuuskimise eest.