แฮกเกอร์ใช้แฮกเกอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล

โกลอฟนา

ริซเน่ วิธีการเปลี่ยนเส้นทางจราจรบริเวณเขตแดนการรับฟัง Edge สำหรับโปรแกรมเพิ่มเติมของเครื่องวิเคราะห์ Edge และโปรแกรมแรกที่สำคัญที่สุด

ด้วยวิธีง่ายๆ บรรณาการล้นเหลือเพื่อป้องกันตัวเองจากการฟัง

โปรแกรมพิเศษ ตัวอย่างเช่น AntiSniff ซึ่งตรวจจับข้อมูลบนคอมพิวเตอร์จะรับฟังการรับส่งข้อมูลโปรแกรมป้องกันการดมกลิ่นสำหรับการปฏิบัติงาน vikorist ไปจนถึงสัญญาณการตรวจจับพิเศษในช่วงของอุปกรณ์ที่สามารถฟังได้ -

คณะกรรมการวัด คอมพิวเตอร์ดมกลิ่นต้องใช้โหมดการฟังพิเศษขณะอยู่ในโหมดการฟัง คอมพิวเตอร์เครือข่ายจะตอบสนองในลักษณะพิเศษกับดาตาแกรม IP ที่ส่งไปยังที่อยู่โฮสต์ที่กำลังทดสอบ

ตัวอย่างเช่น ตามกฎแล้วโฮสต์ที่ดักฟังจะกรองการรับส่งข้อมูลทั้งหมดที่พบ โดยไม่เพียงแค่สื่อสารกับดาตาแกรมที่ส่งไปยังที่อยู่โฮสต์เท่านั้น

มีสัญญาณอื่นๆ ที่บ่งบอกถึงพฤติกรรมของโฮสต์ที่น่าสงสัยซึ่งโปรแกรม AntiSniff สามารถรับรู้ได้

ไร้ที่ติเมื่อฟังแม้แต่ดวงตาที่ชั่วร้ายที่สุด ชิ้นส่วนต่างๆ ก็ช่วยให้คุณกำจัดสิ่งที่ไม่มีตัวตนออกไปได้

ข้อมูลพื้นฐาน

– รหัสผ่าน ที่อยู่คอมพิวเตอร์ ข้อมูลที่เป็นความลับ รายการ ฯลฯ
ผู้โจมตีจะส่งการแจ้งเตือนที่ใช้การเชื่อมต่อ ARP ปลอมเพื่อรับที่อยู่ IP ของโฮสต์จากที่อยู่ MAC ของคอมพิวเตอร์ เมื่อตรวจพบที่อยู่ MAC ของโฮสต์
โฮสต์ A ได้รับแจ้งว่าที่อยู่ IP ของโฮสต์สอดคล้องกับที่อยู่ MAC ของคอมพิวเตอร์ของผู้โจมตี

โฮสต์ B ได้รับแจ้งว่าที่อยู่ IP ของโฮสต์ A ได้รับแจ้งเกี่ยวกับที่อยู่ MAC ของคอมพิวเตอร์ของผู้โจมตีด้วย

โฮสต์ A และ B บันทึกที่อยู่ MAC ในแคช ARP ของตน จากนั้นใช้เพื่อสื่อสารระหว่างกัน แฟรกเมนต์ของที่อยู่ IP A และ B แสดงถึงที่อยู่ MAC ของคอมพิวเตอร์ที่เป็นอันตราย โฮสต์ A และ B โดยไม่สงสัยอะไรเลย ติดต่อผ่านตัวกลางที่สามารถจัดการกับข้อความได้โดยไม่มีปัญหาใด ๆเพื่อป้องกันการโจมตีดังกล่าว ผู้ดูแลระบบ Edge จะต้องรักษาฐานข้อมูลด้วยตารางการมองเห็น ที่อยู่ MAC และที่อยู่ IP ของคอมพิวเตอร์ Edge ของตน

ในเครือข่าย UNIX การโจมตีประเภทนี้ด้วยการร้องขอ ARP สามารถดำเนินการได้ด้วยความช่วยเหลือของยูทิลิตี้ระบบเพื่ออำนวยความสะดวกและจัดการการรับส่งข้อมูลเครือข่าย เช่น arpredirect

มันน่าเสียดาย

หน้าต่าง หน้าต่าง ยูทิลิตี้ที่เชื่อถือได้ดังกล่าวอาจไม่ถูกนำมาใช้ซึ่งโฮสต์ A ตั้งอยู่ ที่อยู่คือที่อยู่ IP ของเราเตอร์ ซึ่งการรับส่งข้อมูลจะถูกส่งจากโฮสต์ A ไปยัง B ซึ่งหมายความว่าผู้โจมตีจะสร้างดาตาแกรม IP ซึ่งกำหนดที่อยู่ IP ของไดเรกทอรีให้ ที่อยู่ IP ของเราเตอร์ และโฮสต์ถูกระบุเป็นโฮสต์ A นอกจากนี้ ก่อนข้อมูล การแจ้งเตือนการเปลี่ยนเส้นทาง ICMP จะเปิดขึ้นพร้อมกับช่องที่อยู่ของเราเตอร์ใหม่ โดยตั้งค่าเป็นที่อยู่ IP ของคอมพิวเตอร์ของผู้โจมตี

เมื่อปฏิเสธข้อมูลนี้ โฮสต์ A จะบังคับใช้ข้อมูลทั้งหมดเกี่ยวกับที่อยู่ IP ของคอมพิวเตอร์ของผู้โจมตี

เพื่อป้องกันการโจมตีดังกล่าว ให้เปิดใช้งานการติดตาม (เช่น หลังไฟร์วอลล์เพิ่มเติม) บนโฮสต์ A เพื่อแจ้งกระบวนการเปลี่ยนเส้นทาง ICMP และคุณสามารถใช้คำสั่ง Tracert (Unix คือคำสั่ง Tracerout) เพื่อเปิดเผยที่อยู่ IP ของคอมพิวเตอร์ของผู้โจมตี

ยูทิลิตี้เหล่านี้จะรู้เส้นทางที่ปรากฏในเครือข่ายท้องถิ่นของข้อมูลเพิ่มเติมโดยไม่มีการถ่ายโอนระหว่างการติดตั้ง เพื่อให้ผู้ดูแลระบบเครือข่ายสามารถแสดงประสิทธิภาพได้ มีความจำเป็นมากขึ้นที่จะต้องยกเครื่อง (ซึ่งห่างไกลจากการถูกจำกัดโดยความเป็นไปได้ของอาชญากร) เพื่อกำหนดค่าความจำเป็นใหม่ในการปกป้องข้อมูลที่ส่งไปยังเครือข่ายซึ่งมีข้อมูลที่เป็นความลับวิธีเดียวที่จะป้องกันการรับส่งข้อมูลคือการใช้โปรแกรมระยะสั้นที่ใช้อัลกอริธึมการเข้ารหัสและโปรโตคอลการเข้ารหัส และช่วยให้คุณหลีกเลี่ยงการเปิดเผยและการแทนที่ข้อมูลที่เป็นความลับ

เพื่อให้งานดังกล่าวบรรลุผลสำเร็จ การเข้ารหัสจึงจัดให้มีวิธีการเข้ารหัส การลงนาม และการตรวจสอบความถูกต้องของข้อมูลที่ถูกส่งหลังโปรโตคอลที่ถูกขโมย

การใช้งานวิธีการเข้ารหัสทั้งหมดในทางปฏิบัติช่วยให้มั่นใจได้ถึงการป้องกันการแลกเปลี่ยน

การเชื่อมต่อ VPN (เครือข่ายส่วนตัวเสมือน – เครือข่ายส่วนตัวเสมือน)การเชื่อมต่อ TCP หนาแน่นเกินไป

โปรโตคอล TCP (Transmission Control Protocol) เป็นหนึ่งในโปรโตคอลพื้นฐานของเลเยอร์การขนส่ง OSI ซึ่งช่วยให้คุณสร้างการเชื่อมต่อแบบลอจิคัลผ่านช่องทางเสมือน

ช่องนี้ส่งและรับแพ็กเก็ตโดยการลงทะเบียนลำดับ จัดการโฟลว์ของแพ็กเก็ต จัดระเบียบการส่งแพ็กเก็ตที่ตรงกันอีกครั้ง และเมื่อสิ้นสุดเซสชัน ช่องทางการสื่อสารจะถูกตัดการเชื่อมต่อ

โปรโตคอล TCP เป็นโปรโตคอลแกนเดียวของตระกูล TCP/IP ที่ให้ระบบการรับรองความถูกต้องและการสื่อสาร การตรวจสอบซอฟต์แวร์แพ็คเก็ตดมกลิ่นนักดมกลิ่นซอฟต์แวร์ทั้งหมดสามารถแบ่งออกได้อย่างชาญฉลาดเป็นสองประเภท: นักดมกลิ่นที่รองรับการเปิดตัว

แถวคำสั่ง และการดมกลิ่นที่สร้างส่วนต่อประสานกราฟิกในกรณีนี้ เป็นเรื่องสำคัญที่จะต้องมีคนดมกลิ่นที่ใช้ประโยชน์จากความไม่พอใจและความเป็นไปได้ของพวกเขา

นอกจากนี้ ดมกลิ่นมีความแตกต่างกันในโปรโตคอลประเภทหนึ่งที่รองรับ ความลึกของการวิเคราะห์แพ็กเก็ตที่ล้น ความสามารถในการปรับตัวกรอง รวมถึงความเป็นไปได้ของการโต้ตอบกับโปรแกรมอื่น ๆ

ปัญหาประการหนึ่งที่เครื่องวิเคราะห์แพ็กเก็ตสามารถพบเจอได้คือการไม่สามารถระบุโปรโตคอลได้อย่างถูกต้องว่าพอร์ตใดถูกกำหนดให้กับพอร์ตมาตรฐาน ตัวอย่างเช่น เพื่อเพิ่มความปลอดภัย บางโปรแกรมสามารถแก้ไขปัญหาเกี่ยวกับพอร์ตและพอร์ตได้ดังนั้น แทนที่จะเป็นพอร์ตดั้งเดิม 80 ที่สงวนไว้สำหรับเว็บเซิร์ฟเวอร์

เซิร์ฟเวอร์เดนมาร์ก

คุณสามารถกำหนดค่า Primus ใหม่เป็นพอร์ต 8088 หรืออย่างอื่นได้

ในสถานการณ์เช่นนี้ เครื่องวิเคราะห์แพ็คเก็ตบางตัวไม่สามารถระบุโปรโตคอลได้อย่างถูกต้องและแสดงข้อมูลเกี่ยวกับโปรโตคอลระดับล่าง (TCP หรือ UDP)
มีซอฟต์แวร์ดมกลิ่นที่เพิ่มโมดูลการวิเคราะห์ซอฟต์แวร์ลงในปลั๊กอินหรือโมดูลที่ติดตั้งซึ่งช่วยให้คุณสามารถสร้างข้อมูลการวิเคราะห์ที่เกี่ยวข้องกับโฟลว์การรับส่งข้อมูลได้ คุณสมบัติอีกประการหนึ่งของตัววิเคราะห์แพ็กเก็ตซอฟต์แวร์ส่วนใหญ่คือความสามารถในการปรับตัวกรองก่อนและหลังการรวบรวมการรับส่งข้อมูลตัวกรองจะดูแพ็กเก็ตจากการรับส่งข้อมูลตามเกณฑ์ที่กำหนด ซึ่งช่วยให้การวิเคราะห์การรับส่งข้อมูลมีข้อมูลที่จำเป็น ในบทความนี้ เราจะดูการโจมตีเช่น Man-in-the-Middle หรือวิธีการที่แม่นยำยิ่งขึ้นเปลี่ยนเส้นทางการรับส่งข้อมูล SSH และ HTTP เพื่อขอความช่วยเหลือ

การโจมตีของมนุษย์
ใน
ตรงกลาง - อย่าลากหางแมว แต่ลงมือทำธุรกิจกันดีกว่าผู้ชายที่อยู่ตรงกลาง (ใน MitM เรียกสั้น ๆ ในภาษารัสเซียว่าเป็นเพียง "การโจมตีของคนกลาง" หรือ "ผู้คน"
ที่อยู่ตรงกลาง") - การโจมตีประเภทนี้ขึ้นอยู่กับการเปลี่ยนเส้นทางการรับส่งข้อมูลระหว่างสองเครื่องเพื่อจัดเก็บข้อมูล - การแก้ไขเพิ่มเติม ลดหรือแก้ไข ก่อนอื่นสิ่งที่เราต้องการคือแพ็คเกจ dsniff (ฉันหมายถึงส่งไปยังแพ็คเกจ โดยพื้นฐานแล้วเป็นสถิติ) ดังนั้นแพ็คเกจนี้จึงมียูทิลิตี้ที่จำเป็นทั้งหมดรวมถึง sshmitm (การเปลี่ยนเส้นทางการรับส่งข้อมูล SSH) และ httpmitm (การเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP) ซึ่งสามารถข้ามรูปแบบความปลอดภัยได้เท่าที่คุณทราบ โปรโตคอลสำหรับการเข้ารหัสข้อมูลคือ " securni" (การเข้ารหัสเพื่อช่วยเหลือ :)) และไม่อนุญาตให้มีการโจมตี "ด้านบน" ของเลเยอร์ขอบ แฮ็กเกอร์จะมองไม่เห็นคีย์การเข้ารหัส - เป็นไปไม่ได้ที่จะถอดรหัสข้อมูลและแทรกคำสั่งเดียวกัน
อีกสิ่งหนึ่งที่เราต้องการคือมือตรง มือที่สี่ - สิ่งที่สำคัญที่สุด - ผู้หญิง และแน่นอน เหยื่อ คอมพิวเตอร์ที่สามารถถูกโจมตีได้

เปลี่ยนเส้นทางการรับส่งข้อมูล SSH

หลังจากเตรียมอุปกรณ์และทำความเข้าใจแล้วว่ามีอะไรกันบ้าง :)
ถอนการติดตั้ง sshmitm - เราสามารถเปลี่ยนเส้นทางการรับส่งข้อมูล SSH ได้ทันที (ทุกสิ่งที่ไม่เข้าใจในส่วนทางทฤษฎี - อ่านเพิ่มเติม)
นอกจากนี้ ข้อบกพร่องของ PKI ในปัจจุบัน (โครงสร้างพื้นฐานคีย์สาธารณะ - รูปแบบการจัดการคีย์ที่ยึดตาม)
วิธีการเข้ารหัสแบบอสมมาตร)

ลองดูที่ไวยากรณ์

แย่จัง:
sshmitm [-d] [-I] [-p พอร์ต] โฮสต์

ดี
อนุญาตให้ใช้กระบังหน้าขั้นสูง (สำหรับโหมดการขยายเพิ่มเติม)

ฉัน
ความแออัดของเซสชัน

พีพอร์ต
พอร์ตการฟัง

เจ้าภาพ
ที่อยู่ของโฮสต์ระยะไกล เซสชันที่จะถ่มน้ำลาย

ท่าเรือ

พอร์ตบนโฮสต์ระยะไกล
ทุกอย่างเรียบง่ายและอร่อย - ไม่มีอะไรซับซ้อน :)

มาเปิดการโจมตีกันเถอะ!
# sshmitm server.target.gov // ระบุเซิร์ฟเวอร์ SSH ของคุณ

sshmitm: ส่งต่อไปยังเซิร์ฟเวอร์ server.target.gov
เนื่องจากเราไม่มีคีย์ SSH จริง ซึ่งเป็นตัวแปลคำสั่งของผู้ถูกโจมตี
คุณจะเห็นคำถามเกี่ยวกับการตรวจสอบคีย์โฮสต์ และทุกอย่างจะมีลักษณะดังนี้:
ลูกค้าเครื่อง $ server.target.gov
@คำเตือน: การระบุโฮสต์ระยะไกลมีการเปลี่ยนแปลง!
-

อาจเป็นไปได้ว่ามีคนกำลังทำสิ่งที่น่ารังเกียจ!
คนถนัดขวาโจมตีตรงกลาง!

ซึ่งอาจหมายความว่ารหัสโฮสต์ RSA เพิ่งมีการเปลี่ยนแปลง
โปรดติดต่อผู้ดูแลระบบของคุณ
แล้ว koristuvach virishuvatime - เชื่อมต่อไม่ว่าจะเกิดอะไรขึ้น
หากเป็นกรณีนี้ เราจะสูญเสียการควบคุมเซสชัน SSH อย่างสมบูรณ์

เบียร์! หากผู้ใช้ไม่เคยเชื่อมต่อกับเครื่องเดียวกัน คุณอาจไม่เห็นข้อมูลต่อไปนี้:
สามารถติดตั้งโฮสต์ที่ถูกต้อง "server.target.gov" ได้
คีย์ลายนิ้วมือ RSA คือ

บลา:บลา:บลา;บลา;บลา........

การรับส่งข้อมูล HTTP ถูกเปลี่ยนเส้นทางแล้ว
อีกครั้ง เราต้องการเครื่องมือก่อนที่จะเลือก: httpmitm ซึ่งฟังพอร์ต 80-(HTTP-) และ 443-(HTTPS-) ส่งคำขอ WEB จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์และส่งคำขอไปยังคอมพิวเตอร์ไคลเอนต์
โปรแกรมยังสร้างคีย์ SSL และใบรับรอง SSL โดยใช้ OpenSSL

จากนั้นหลังจากที่คุณลอง
ไปที่เว็บไซต์ (target.gov) เบราว์เซอร์จะตรวจสอบใบรับรอง SSL
ส่วนของใบรับรองจะไม่ถูกบันทึก จากนั้นเบราว์เซอร์ของ koristuvach จะอยู่ข้างหน้าคุณ
ใบรับรอง SSL ไม่ถูกต้อง
จากด้านข้างของผู้โจมตีจะมีลักษณะดังนี้:
#webmitm -d
webmitm: ถ่ายทอดอย่างโปร่งใส
webmitm: การเชื่อมต่อใหม่จาก
รับ [poslannya]/uzerz.php?user=hellknights&password=neskaju1qwerty HTTP/[เวอร์ชัน]

การเชื่อมต่อ: [ประเภท]
พิธีกร: www.target.gov

User-Agent: [ข้อมูลเกี่ยวกับระบบ, เบราว์เซอร์]

[ฯลฯ ฯลฯ ฯลฯ]
คุกกี้: [คุกกี้]

แกนยังคงมีลักษณะเช่นนี้เมื่อมองจากด้านข้าง - การเชื่อมต่อ SSL ได้รับการสร้างขึ้นใหม่ โดยจัดเก็บข้อมูลที่ไม่ได้เข้ารหัสวิสโนวอค บทความนี้กล่าวถึงคุณเกี่ยวกับการเปลี่ยนเส้นทางการรับส่งข้อมูล SSH และ HTTP ซึ่งอยู่เบื้องหลังการโจมตี Man in the Middle - ชัดเจน กระชับ และสั้น ๆโปรแกรมอื่นเปลี่ยนเส้นทาง HTTP และ SSH

การรับส่งข้อมูลสำหรับ MitM เพิ่มเติม คุณจะเชี่ยวชาญความเร็วได้ในขณะที่คุณเชี่ยวชาญสิ่งเดียวกัน :)) เหมือนเดิมคือหมดสติ-แล้วในบทความนี้เราจะดูที่การพร็อกซีการรับส่งข้อมูลของส่วนเสริม iOS ซึ่งใช้ซ็อกเก็ตเว็บดั้งเดิมเพื่อสื่อสารกับเซิร์ฟเวอร์

บทความนี้จะเป็นประโยชน์สำหรับผู้ทดสอบที่ต้องเผชิญกับการสะสมข้อมูลที่เป็นความลับในงานของพวกเขาซึ่งมีส่วนเสริม iOS มากเกินไป

ด้วยวิธีที่ไม่ได้มาตรฐาน
การปลอมแปลง DNS คือการเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปยังเครื่องที่ติดตั้งพร็อกซี
การเปลี่ยนเส้นทางการรับส่งข้อมูลด้านหลังพร็อกซีเซิร์ฟเวอร์เพิ่มเติมหลังจากหยุดการปลอมแปลง DNS

ด้านล่างนี้คือผังงานสำหรับการนำโฟลว์การรับส่งข้อมูลของส่วนเสริม iOS ที่ใช้ Native Web Socket

1. สร้างจุดเข้าใช้งานแบบไร้โดรนและเชื่อมต่ออุปกรณ์เข้ากับจุดนั้น [หมายเหตุ: เครื่องจะต้องเชื่อมต่อกับอีเธอร์เน็ตหรือเชื่อมต่อกับอินเทอร์เน็ตดังนั้นอินเตอร์เฟซ Wi-Fi

Vikoristovvatizvayetsya สำหรับจุดเข้าใช้งาน

บทความนี้จะบอกวิธีการตั้งค่าจุดเข้าใช้งานบนเครื่อง Windows]

2. เราเปิดตัว Edge Sniffer (เช่น Wireshark) และค้นหาการรับส่งข้อมูลที่ผ่านพอร์ตที่ไม่ได้มาตรฐาน

ก.

เรากรองการรับส่งข้อมูล ยกเว้นเฉพาะส่วนที่ไปยังที่อยู่ IP ที่เราต้องการ (ip.dst== ip.ip.ip.ip)

ข.

เรารู้หมายเลขพอร์ตที่รับส่งข้อมูล

มัลยุนนอก 1: การรู้จักพอร์ตที่ไม่ได้มาตรฐานซึ่งโปรแกรมบังคับให้รับส่งข้อมูล

3. เปิดคอนโซล Metasploit สำหรับการปลอมแปลง DNS และป้อนคำสั่งต่อไปนี้:ค.)

set SRVHOST = (IP ของ access point แบบไร้โดรน) ง.ตั้งค่า SRVPORT = 53, ตั้งค่า TARGETACTION = BYPASS, ตั้งค่า TARGETDOMAIN = www.apple.com (หมายเหตุ: เมื่อตั้งค่า TARGETDOMAIN = www.apple.com เราจะแทนที่การรับส่งข้อมูลทั้งหมด ยกเว้นที่มาจาก apple.com)

จ.

set targethost = (IP ของจุดเข้าใช้งานแบบไร้โดรน)

รูปที่ 2: การตั้งค่าเซิร์ฟเวอร์ DNS โดยใช้โมดูล fakedns (in

Metasploit

4. เรอที่กำหนดค่าได้สำหรับการฟัง

การรับส่งข้อมูล

อุปกรณ์ได้รับการติดตั้งบนพอร์ตก่อนหน้าและเปลี่ยนเส้นทางไปยังพอร์ตที่พบก่อนหน้านี้

ก.

ไปที่พรอกซี->ตัวเลือก->เพิ่ม;

ข.

สำหรับพร็อกซี HTTP ที่กำหนดค่า ให้ตั้งค่าที่อยู่ IP ของจุดเข้าใช้งานและพอร์ตที่มีการกำหนดค่าเรอ (ซึ่งได้รับการกำหนดค่าให้เป็นการรับส่งข้อมูล HTTP มาตรฐานของพร็อกซี)รูปที่ 4: การกำหนดค่า IP DNSการส่งต่อ

บนอุปกรณ์

6. ป้อน “exploit” ในคอนโซล Metasploit และคุณจะลบการรับส่งข้อมูลทั้งหมดออกจากพอร์ตที่ไม่ได้มาตรฐาน

คำอธิบายของวิธีการนี้สามารถใช้เพื่อหลีกเลี่ยงปัญหาการรับส่งข้อมูลมากเกินไปของส่วนเสริม iOS ที่ถูกส่งด้วยวิธีที่ไม่ได้มาตรฐาน

รับฟังการสลับสับเปลี่ยน

การพัฒนาวิธีการประจำวัน

มีการโจมตีจำนวนมากในปัจจุบันที่เรียกว่า "script kiddies" เหล่านี้คือนักวิจัยที่มองหาสคริปต์การหาประโยชน์บนอินเทอร์เน็ตและเปิดใช้งานกับระบบทั้งหมดที่พวกเขาพบวิธีการโจมตีแบบง่ายๆ เหล่านี้ไม่จำเป็นต้องมีความรู้หรือคำแนะนำพิเศษ

อย่างไรก็ตาม ยังมีวิธีการอื่นๆ ที่อาศัยความเข้าใจในเชิงลึกมากขึ้นเกี่ยวกับคอมพิวเตอร์ เครือข่าย และระบบที่ถูกโจมตี คุณส่วนนี้ เราคุ้นเคยกับวิธีการดังกล่าว - การดักฟัง (ดมกลิ่น) ของการสลับเครือข่ายและการเลียนแบบที่อยู่ IP (การปลอมแปลง IP)การดักฟังหรือการดมกลิ่นถูกใช้โดยแฮกเกอร์/แครกเกอร์โดยใช้ระบบที่เป็นอันตรายเพื่อรวบรวมรหัสผ่านและข้อมูลระบบอื่น ๆ

จากนั้นนักดมกลิ่นจะตั้งค่าการ์ดเชื่อมต่อระหว่างกันให้ฟังการรับส่งข้อมูลแบบผสม (โหมดสำส่อน) อะแดปเตอร์ชายเสื้อเรากรองแพ็กเก็ตทั้งหมดที่เคลื่อนที่ไปตามขอบ ไม่ใช่แค่แพ็กเก็ตที่ส่งถึงอะแดปเตอร์หรือระบบนี้ นักดมกลิ่นประเภทนี้ทำงานได้ดีที่ระยะขอบโดยแยกจากกันการควบคุมการเข้าถึง

มีศูนย์กลางชายแดน - ฮับ

เศษชิ้นส่วนต่างๆ กลายเป็น Vikorist มากขึ้น
สลับสวิตช์เพื่อส่งต่อการรับส่งข้อมูลทั้งหมดไปยังพอร์ตทั้งหมด

เมื่อติดตั้งหนึ่งในใจแล้ว นักดมกลิ่นจะสามารถอ่านทราฟฟิกที่จะจับภาพได้ และให้ข้อมูลที่แฮ็กเกอร์ต้องการทราบ

สวิตช์กำหนดเส้นทางการรับส่งข้อมูลไปยังพอร์ตบนแผงที่อยู่ Media Access Control (MAC) สำหรับเฟรมที่กำลังส่ง การเชื่อมต่ออีเธอร์เน็ต- การ์ดอินเทอร์เฟซสกินได้รับการกำหนดที่อยู่ MAC ที่ไม่ซ้ำกัน และสวิตช์ "รู้" ที่อยู่ที่กำหนดให้กับแต่ละพอร์ต

นอกจากนี้ เมื่อส่งเฟรมด้วยที่อยู่ MAC เดียว โฮสต์จะสลับเฟรมส่งต่อไปยังพอร์ตที่กำหนดที่อยู่ MAC ไว้

ด้านล่างนี้เป็นวิธีการที่คุณสามารถใช้เพื่อใช้สวิตช์เพื่อกำหนดเส้นทางการรับส่งข้อมูลขอบไปยังผู้ดมกลิ่น:
การปลอมแปลง ARP;
ที่อยู่ MAC ซ้ำ;

การเลียนแบบชื่อโดเมนการปลอมแปลง ARP

(ARP-การปลอมแปลง)

ARP คือ Address Resolution Protocol ที่ใช้ในการกำหนดที่อยู่ MAC ที่เชื่อมโยงกับที่อยู่ IP

เมื่อส่งข้อมูล ระบบส่งต่อจะบังคับรายการ ARP ด้วยที่อยู่ IP ของเจ้าของ

ระบบโฮสต์ตอบสนองโดยการส่งที่อยู่ MAC เนื่องจากระบบโฮสต์ทำหน้าที่เป็นผู้ส่งสำหรับการรับส่งข้อมูลโดยตรง

หากผู้ดมกลิ่นรวบรวมการรับส่งข้อมูลที่เป็นที่สนใจของบุคคลอื่น มันจะส่งข้อความ ARP แทนระบบดมกลิ่นจริงและกำหนดให้กับที่อยู่ MACเป็นผลให้ระบบผู้ส่งจะบังคับการรับส่งข้อมูลไปยังผู้ดมกลิ่น

เมื่อส่งข้อมูล ระบบส่งต่อจะบังคับรายการ ARP ด้วยที่อยู่ IP ของเจ้าของ

เพื่อให้มั่นใจถึงประสิทธิผลของกระบวนการนี้ จำเป็นต้องเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปยังผู้ดมกลิ่น แทนที่จะเป็นปลายทางที่แท้จริง หากคุณไม่สามารถหารายได้ใดๆ ได้ คุณจะต้องแสดงความมั่นใจในความสามารถของคุณในการเข้าถึงขีดจำกัดบันทึก

การปลอมแปลง ARP เกิดขึ้นที่เรือดำน้ำในพื้นที่เท่านั้น และส่วนย่อยของข้อความ ARP จะเกิดขึ้นในช่วงกลางของการจมน้ำในท้องถิ่น

การเลียนแบบชื่อโดเมนมีวิธีที่สามในการบังคับให้สวิตช์ส่งการรับส่งข้อมูลทั้งหมดไปยังผู้ดมกลิ่น: คุณต้อง "หลอก" ระบบผู้ส่งเพื่อที่จะทำงานเพื่อส่งข้อมูลไปยังที่อยู่ MAC ที่แท้จริงของผู้ดมกลิ่น

นี่เป็นเพราะการเลียนแบบชื่อโดเมนเพิ่มเติม

เมื่อการโจมตีเสร็จสิ้น นักดมกลิ่นจะดึงข้อมูลการสืบค้น DNS จากระบบผู้ส่งและตอบกลับ

เมื่อส่งข้อมูล ระบบส่งต่อจะบังคับรายการ ARP ด้วยที่อยู่ IP ของเจ้าของ

แทนที่จะเป็นที่อยู่ IP ของระบบที่ส่งคำขอไป ระบบผู้ส่งจะกำหนดที่อยู่ IP ของผู้ดมกลิ่นและส่งต่อการรับส่งข้อมูลทั้งหมดไปยังรายการถัดไป

จากนั้นผู้ดมกลิ่นมีหน้าที่รับผิดชอบในการเปลี่ยนเส้นทางการรับส่งข้อมูลนี้ไปยังเจ้าของที่แท้จริง

เราเชื่อว่าในกรณีนี้ การโจมตีด้วยการปลอมแปลงชื่อโดเมนจะกลายเป็นการโจมตีแบบไฮแจ็ก

เพื่อให้มั่นใจว่าการโจมตีดมกลิ่นนี้จะประสบความสำเร็จ จำเป็นต้องดูการสืบค้น DNS ทั้งหมดและตรวจสอบความถูกต้องก่อนที่จะได้รับการควบคุมที่แท้จริง

ดังนั้น นักดมกลิ่นจะต้องกำหนดเส้นทางการรับส่งข้อมูลจากระบบไดเร็กทอรีไปยังเซิร์ฟเวอร์ DNS และแม่นยำยิ่งขึ้นที่ซับเมอร์ชันในเครื่องเดียวกันกับไดเร็กทอรี
นักดมกลิ่นสามารถดูบันทึกที่เข้าถึงได้ผ่านทางอินเทอร์เน็ต แต่หากไม่เหมือนกับระบบไดเร็กทอรี จะง่ายกว่าที่จะรับประกันว่าเป็นคนแรกที่รายงาน
ทางเลือกอื่นสำหรับ Ettercap
Ettercap เป็นโปรแกรมโจมตีคนตรงกลางที่ได้รับความนิยมมากที่สุด แต่ตัวไหนดีที่สุด?
เมื่อปฏิบัติตามคำแนะนำเหล่านี้ คุณจะสังเกตเห็นว่า Ettercap อาจไม่ได้รับชัยชนะเลย แต่จะมีการติดตั้งโปรแกรมอื่นไว้ในช่องทางประมวลผลการจราจร
อย่างไรก็ตาม มีความเป็นไปได้ที่แนวทางนี้เป็นแกนหลักของ UNIX - โปรแกรมหนึ่งสร้างขึ้นจากงานเดียว และผู้ใช้ปลายทางจะรวมโปรแกรมต่างๆ เข้าด้วยกันเพื่อให้ได้ผลลัพธ์ตามที่ต้องการ
ด้วยวิธีนี้ รหัสโปรแกรมจะแก้ไขได้ง่ายขึ้น และจาก "จุด" เล็กๆ น้อยๆ ดังกล่าว คุณสามารถสร้างระบบที่สามารถพับได้และมีความยืดหยุ่นทุกรูปแบบ
Tim ไม่น้อยกว่านั้น มีคอนโซลแบบเปิดห้าคอนโซลที่มีงานที่แตกต่างกัน การทำงานของโปรแกรมได้รับการออกแบบมาเพื่อให้ได้ผลลัพธ์เดียว - มันไม่ได้เป็นแบบแมนนวลมากนัก มันแค่ซับซ้อนกว่า มีความเป็นไปได้ที่จะเกิดข้อผิดพลาดในทุกขั้นตอน และ ปรับทั้งระบบ є ไม่ได้ใช้งาน
Net-Creds สูดดม:
URL ที่ส่งแล้ว
ส่งคำขอ POST
การเข้าสู่ระบบ/รหัสผ่านจากแบบฟอร์ม HTTP
การเข้าสู่ระบบ/รหัสผ่านด้วยการตรวจสอบสิทธิ์ HTTP พื้นฐาน
เรื่องตลก HTTP

การรวบรวมโอเวอร์โฟลว์นั้นดี และดริฟต์เน็ตในแผนนี้ง่ายกว่า - ไม่แสดงภาพโอเวอร์โฟลว์

สลับเครื่องไปที่โหมดโอเวอร์โหลด (การส่งต่อ)

เสียงก้อง "1" > /proc/sys/net/ipv4/ip_forward

เรียกใช้ Ettercap ด้วยอินเทอร์เฟซแบบกราฟิก ( -ก):

เอตเตอร์แคป-จี

ตอนนี้เลือก เจ้าภาพที่จุดย่อยใหม่ สแกนหาโฮสต์- หลังจากการสแกนเสร็จสิ้น ให้เลือก รายชื่อเจ้าภาพ:

ในยาโคสติ วัตถุประสงค์1เลือกเราเตอร์ ( เพิ่มไปยังเป้าหมายที่ 1) ในyakostі วัตถุประสงค์2เลือกอุปกรณ์ที่คุณต้องการโจมตี ( เพิ่มไปยังเป้าหมายที่ 2).

อย่างไรก็ตาม ขั้นตอนแรกอาจเป็นความผิดที่นี่ โดยเฉพาะอย่างยิ่งหากมีโฮสต์จำนวนมาก คุณคำแนะนำต่างๆ

นอกจากนี้ ในวิดีโอที่นำเสนอข้างต้น ผู้เขียนต้องใช้เครื่องทั้งหมด (ทุกคน ฉันคิดว่ามี Windows) และปฏิบัติตามคำสั่งเพิ่มเติมเพื่อดู IP ของเครื่องนี้ในเครือข่ายท้องถิ่น เดี๋ยวก่อน ตัวเลือกนี้ไม่เป็นที่พอใจสำหรับจิตใจที่แท้จริงหากคุณต้องการสแกนขอความช่วยเหลือ คุณสามารถลบโฉนดออกได้

ข้อมูลเพิ่มเติม

เกี่ยวกับเจ้าภาพ หรือให้เจาะจงกว่านั้น เกี่ยวกับบริษัทที่ผลิตแผนที่การตกเลือด:

Nmap -sn 192.168.1.0/24

เนื่องจากข้อมูลเหล่านี้ไม่เพียงพอ คุณจึงสามารถสแกนโดยใช้ระบบปฏิบัติการต่อไปนี้:

Nmap -O 192.168.1.0/24

เช่นเดียวกับ Bachimo เครื่องที่มี IP 192.168.1.33 ปรากฏขึ้นพร้อมกับ Windows เพราะมันไม่ใช่สัญญาณของไฟไหม้ แล้วไงล่ะ? 😉 ฮ่าๆเรามอบให้ตัวเองเสมือนว่าเป็นเพื่อน ตอนนี้เรามาดูรายการเมนูกันดีกว่ามิทม์ - เลือกที่นั่น.

พิษ ARP...

ทำเครื่องหมายในช่อง

สูดดมการเชื่อมต่อระยะไกล

เราเริ่มรวบรวมการเก็บเกี่ยวในหน้าต่างเดียวที่เราเปิด

เครดิตสุทธิ

มิฉะนั้น (สามารถเปิดทั้งสองโปรแกรมได้โดยไม่มีตัวเลือก)

ดริฟท์เน็ต

รวบรวมข้อมูลทันที:

ทางด้านขวาของตาข่ายลอยมีหน้าต่างอีกบานหนึ่งเปิดขึ้น แสดงให้เห็นภาพที่ล้นออกมา ในหน้าต่าง net-creds เรามีไซต์และรหัสผ่านที่แตกต่างกันมากมาย: 1.2 ชุด Ettercap + Burp 3. การตรวจสอบข้อมูล (ไซต์และรหัสผ่านที่เก็บไว้) จาก Ettercapі ได้ที่เมนูดู แท็บที่มีให้เราการเชื่อมต่อ

โปรไฟล์

- คุณยังสามารถทำเครื่องหมายที่ช่องได้

คุณสามารถคลิกที่แต่ละรายการเพื่อดูรายละเอียด:

เพื่อไม่ให้ล้อเล่นกับดาวเล็กๆ ทั้งหมดในรายการทั้งหมด คุณสามารถจัดเรียงตามฟิลด์นี้ และดาวทั้งหมดจะปรากฏที่ด้านบนหรือด้านล่าง:

การรับรองความถูกต้องพื้นฐานของ Spyman:

รหัสผ่านเข้าสู่ระบบสำหรับ Yandex (ดูด้านล่าง):

นี่คือรายการข้อมูลคลาวด์สำหรับ VKontakte:

ข้อมูลเดียวกันนี้รวบรวมจากคอนโซลด้านล่าง:

หากคุณต้องการบันทึกผลลัพธ์ของโปรแกรมโรบอติก ให้ใช้ตัวเลือกเหล่านี้ (ระบุคีย์เมื่อเริ่ม Ettercap:

ตัวเลือกการบันทึก: -w, --write<файл>เขียนข้อมูลที่ถ่ายโอนไปยัง pcapfile<файл>-L, --log<логфайл>บันทึกการรับส่งข้อมูลทั้งหมดจากเธอ<логфайл>-l, --log-info<логфайл>บันทึกเฉพาะข้อมูลเชิงโต้ตอบในนี้<логфайл>-m, --log-msg<логфайл>บันทึกการแจ้งเตือนทั้งหมดไว้ในนี้<логфайл>-c, --compress compress gzip compress สำหรับไฟล์บันทึก

4. ส่งข้อมูลเข้าล็อตใน Ettercap

4.1 การเลือกตัวกรอง Ettercap

หมายเหตุ: ในการทดสอบทั้งหมด ตัวกรอง Ettercap ไม่ได้ผลสำหรับฉัน

สิ่งสำคัญคือต้องเข้าใจว่าทางด้านขวามือในคุณสมบัติของอุปกรณ์หรือในโปรแกรม... นอกจากนี้สำหรับเวอร์ชัน 0.8.2 (ที่เหลืออยู่ในขณะนี้) มีรายงานข้อผิดพลาดเกี่ยวกับปัญหาเกี่ยวกับตัวกรอง

ตามรายงานข้อผิดพลาดและฟอรัม ตัวกรองอาจขัดข้องบ่อยครั้งหรือใช้งานไม่ได้เป็นเวลานาน

นี่คือจุดที่มีการเปลี่ยนแปลงเมื่อ 5 เดือนที่แล้วhttps://github.com/Ettercap/ettercap/tree/filter-improvements การปรับปรุงตัวกรอง (พร้อมตัวกรองแบบขยาย)และก่อนใช้งานคุณจะต้องคอมไพล์ด้วยโปรแกรม Etterfilter เพิ่มเติม

หากคุณต้องการเอกสารที่ส่งไปแล้วก็ให้มาในรูปแบบสั้นๆ แต่ร่วมกับก้นที่ชี้ด้านล่าง คุณสามารถอนุญาตให้ข้อความเขียนไปถึงตัวกรองได้

มาสร้างฟิลเตอร์แรกกันดีกว่า โดยแทนที่รูปภาพทั้งหมดด้วยสิ่งนี้:

คัดลอกไฟล์ชื่อ img_replacer.filter:

ถ้า (ip.proto == TCP && tcp.dst == 80) ( ถ้า (ค้นหา (DATA.data, "ยอมรับการเข้ารหัส")) ( แทนที่ ("ยอมรับการเข้ารหัส", "ยอมรับขยะ!"); # หมายเหตุ: ลำดับการเปลี่ยนจะเหมือนกับลำดับเดิม msg("zapped Accept-Encoding!\n" ) ) if (ip.proto == TCP && tcp.src == 80) ( แทนที่("src=", " src =\"http://www.ironngeek.com/images/jollypwn.png\" "); แทนที่("SRC=", "src=\"http://www.irongeek.com/images/jollypwn.png \" "); แทนที่("src=", "src=\"http://www.irongeek.com/images/jollypwn.png\" "); แทนที่("SRC=", "src=\" http msg("ตัวกรองวิ่ง\n" );

รวบรวมไฟล์:

Etterfilter img_replacer.filter -o img_replacer.ef

ผลการรวบรวม:

Etterfilter 0.8.2 ลิขสิทธิ์ 2001-2015 ทีมพัฒนา Ettercap โหลดตารางโปรโตคอล 14 ตารางแล้ว: DECODED DATA udp tcp esp gre icmp ipv6 ip arp wifi fddi tr eth โหลดค่าคงที่ 13 ค่าแล้ว: VRRP OSPF GPRP "img_replacer.filter" เสร็จแล้ว เปิดเผย meta-tree เสร็จแล้วการแปลงไอคอนเป็นการชดเชยจริงเสร็จสิ้น

เขียนเอาต์พุตไปที่ "img_replacer.ef" เสร็จแล้ว

เมื่อส่งข้อมูล ระบบส่งต่อจะบังคับรายการ ARP ด้วยที่อยู่ IP ของเจ้าของ-> มีการแนะนำสคริปต์ใน 18 คำแนะนำ

สำคัญ

-ฟ

โปรแกรมใดๆ ที่ต้องนำเข้าตัวกรองจากไฟล์ที่อยู่ด้านหลังคีย์

# การแทนที่ข้อความในแพ็กเก็ต: if (ip.proto == TCP && search(DATA.data, "lol"))( แทนที่("lol", "smh"); msg("filter ran"); ) # แสดง การแจ้งเตือน หากพอร์ต tcp เป็น 22 if (ip.proto == TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( msg("SSH packet\n"); ) ) # บันทึก ปริมาณการใช้ telnet ทั้งหมดรวมถึง visconati./program ในทุกแพ็กเก็ต if (ip.proto == TCP) ( if (tcp.src == 23 || tcp.dst == 23) ( log(DATA.data, "./logfile) .log "); exec("./program"); ) ) # บันทึกการรับส่งข้อมูลทั้งหมดยกเว้น http if (ip.proto == TCP && tcp.src != 80 && tcp.dst != 80) ( log( DATA .data , "./logfile.log" ); พูดถึงเรา...\n"); drop();kill(); ) # บันทึกแพ็กเก็ต ssh ที่ถอดรหัสแล้วซึ่งสอดคล้องกับไวรัสปกติถ้า (ip.proto = = TCP) ( if (tcp.src == 22 || tcp.dst == 22) ( if (regex(DECODED.data, ".*login.*")) ( บันทึก(DECODED.data, "./decrypted_log "); ) ) ) # เข้าสู่แพ็กเก็ตถ้า (ip.ttl< 5) { msg("The packet will die soon\n"); } # то же самое для IPv6, но делая тривиальный тест убеждаемся, что перед нами действительно IPv6 пакеты if (eth.proto == IP6 && ipv6.hl < 5) { msg("The IPv6 packet will die soon\n"); } # сравнение строки на данный сдвиг if (DATA.data + 40 == "ette") { log(DATA.data, "./logfile"); } # вставить файл после указанного пакета if (tcp.src == 21 && search(DATA.data, "root")) { inject("./fake_response"); } # целиком заменить пакет на другой if (tcp.src == 23 && search(DATA.data, "microsoft")) { drop(); inject("./fake_telnet"); } # Изменение бинарных данных используя внешнюю программу if (udp.dst == 53 && pcre_regex(DATA.data, ".*\x03com\x00.*")) { log(DATA.data, "/tmp/payload"); drop(); execinject("/bin/sed "s/\x03com\x00/\x02my\x04page\x02de\x00/g" /tmp/payload"); udp.len += 7; exec("/bin/rm /tmp/payload"); msg("faked"); } # фильтровать только указанный IP адрес if (ip.src == "192.168.0.2") { drop(); } # делать то же самое для IPv6 if (ipv6.src == "2001:db8::1") { drop(); } # комбинируем IPv4 и IPv6 if (eth.proto == IP && ip.dst == "192.168.0.2") { msg("drop IPv4"); drop(); } if (eth.proto == IP6 && ipv6.dst == "2001:db8::1") { msg("drop IPv6"); drop(); } # транслировать แพ็กเก็ต TCPจากพอร์ต 80 ถึง 81 if (tcp.dst == 80) ( tcp.dst -= 1; tcp.dst += 2; ) # ค้นหาและนับแพ็กเก็ต ESP ถ้า (ip.proto == ESP) ( DATA.data = "เดดเดแคฟ" ;

4.2 การส่งข้อมูลโดยใช้ Burp

เปิดใช้งาน Ettercap และ Burp ตามที่อธิบายไว้ในย่อหน้าที่ 1.2 หรือย่อหน้าที่ 2.2

ในเรอเราไป พร็อกซี -> ตัวเลือก- รู้จักที่นั่น จับคู่และแทนที่- การโจมตี เพิ่มเพื่อเพิ่มกฎใหม่

ส่วนหัวของคำขอ- ฉันจะขอชื่อเรื่อง
ขอร่างกาย- ฉันจะล้างร่างกาย
ส่วนหัวของการตอบกลับ- คำบรรยาย
ร่างกายตอบสนอง- เนื้อความของเส้น
ขอชื่อพารามิเตอร์- ชื่อของพารามิเตอร์จะถูกป้อน
ขอค่าพารามิเตอร์- มีการเขียนค่าของพารามิเตอร์
ขอบรรทัดแรก- แถวแรกถูกชะล้างลง

หากจำเป็นต้องเปลี่ยนข้อมูลที่ส่งโดย GET ส่วนหัวจะหายไป

เค้าโครง HTML ยังเข้าใจกันว่าเป็น head (แท็ก head) จนกว่าชื่อนี้จะกล่าวอีกสักหน่อยอย่าทำงานหนักหนึ่งร้อยเซ็นต์มีการพูดคุยเล็กน้อยเกี่ยวกับส่วนหัวของแพ็กเก็ต

คุณต้องการเปลี่ยนแปลงอะไรแทน

หน้า HTML

.*<\/title> </p><p> <title>จากนั้นคุณจะต้องแทนที่ส่วนหัวของคำขอ จากนั้นเลือกเนื้อหาการตอบกลับ หากคุณต้องการเปลี่ยนส่วนหัวแทนส่วนหัว (เช่น ชื่อเรื่อง)

มิทม์ โดยหลักการแล้วหากคุณไม่คุ้นเคยกับการตรวจจับแบบปกติ ไม่มีอะไรต้องกังวล: HTML ทดสอบมากมาย ส่วนสิ่งที่ฉันไม่เข้าใจก็เพิกเฉย - และคุณสามารถทำกำไรจากมันได้.