Cách chặn phiên wifi. Chúng tôi chặn mật khẩu và cookie. Các biện pháp đối phó phía khách hàng chống lại việc trích xuất cookie
Hình ảnh cho thấy cookie chứa dòng wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Giá trị này ở dạng không được mã hóa trong cookie và có thể dễ dàng bị chặn bằng tiện ích Achilles, nhưng trong hầu hết các trường hợp trong Achilles, bạn chỉ có thể thấy hàm băm của một mục nhập cụ thể. Trước khi gửi yêu cầu đến máy chủ, bạn có thể thử thay thế dòng này bằng bất kỳ dòng nào tương tự (mặc dù trong trường hợp này không có ý nghĩa gì) - số lần thử không bị giới hạn. Sau đó, bằng cách gửi yêu cầu này đến máy chủ bằng nút Gửi, bạn có thể nhận được phản hồi từ máy chủ dành cho quản trị viên.
Trong ví dụ trước, bạn có thể sử dụng cách giả mạo trực tiếp ID người dùng. Ngoài ra, tên của tham số mà sự thay thế giá trị của nó mang lại cơ hội bổ sung cho tin tặc, có thể như sau: người dùng (ví dụ: USER=JDOE), bất kỳ biểu thức nào có chuỗi ID (ví dụ: USER=JDOE hoặc SESSIONID= BLAHBLAH), quản trị viên (ví dụ: ADMIN= TRUE), phiên (ví dụ: SESSION=ACTIVE), giỏ hàng (ví dụ: CART=FULL), cũng như các biểu thức như TRUE, FALSE, ACTIVE, INACTIVE. Thông thường, định dạng của cookie phụ thuộc rất nhiều vào ứng dụng mà chúng được sử dụng. Tuy nhiên, những mẹo tìm lỗi ứng dụng bằng cookie này áp dụng cho hầu hết tất cả các định dạng.
Các biện pháp đối phó phía khách hàng chống lại việc trích xuất cookie
Nói chung, người dùng nên cảnh giác với những trang Web sử dụng cookie để xác thực và lưu trữ dữ liệu nhạy cảm. Cũng cần nhớ rằng trang web sử dụng cookie để xác thực phải hỗ trợ ít nhất giao thức SSL để mã hóa tên người dùng và mật khẩu, vì nếu không có giao thức này, dữ liệu sẽ được truyền đi mà không được mã hóa, điều này có thể chặn nó sử dụng các công cụ phần mềm đơn giản để xem dữ liệu được gửi qua mạng.
Kookaburra Software đã phát triển một công cụ hỗ trợ việc sử dụng cookie. Công cụ này có tên là CookiePal ( http://www.kburra.com/cpal.html (xem www.kburra.com)). Chương trình này được thiết kế để cảnh báo người dùng khi một trang Web cố gắng cài đặt cookie trên máy và người dùng có thể cho phép hoặc từ chối hành động này. Chức năng chặn cookie tương tự hiện có sẵn trên tất cả các trình duyệt.
Một lý do khác để thường xuyên cài đặt các bản cập nhật trình duyệt Web là các lỗ hổng bảo mật trong các chương trình này liên tục được xác định. Vì vậy, Bennet Haselton và Jamie McCarthy đã tạo một tập lệnh mà sau khi nhấp vào liên kết sẽ lấy cookie từ máy của khách hàng. Kết quả là tất cả nội dung của cookie trên máy của người dùng đều có sẵn.
Kiểu hack này cũng có thể được thực hiện bằng cách sử dụng tay cầm
Để đảm bảo rằng những điều đó không đe dọa đến dữ liệu cá nhân của chúng tôi, tôi tự mình thực hiện việc này và khuyên mọi người luôn cập nhật phần mềm hoạt động với mã HTML (ứng dụng khách e-mail, trình phát đa phương tiện, trình duyệt, v.v.).
Nhiều người chỉ thích chặn cookie, nhưng hầu hết các trang Web đều yêu cầu cookie để duyệt. Kết luận - nếu trong tương lai gần xuất hiện một công nghệ tiên tiến cho phép bạn làm việc mà không cần cookie, thì các lập trình viên và quản trị viên sẽ thở phào nhẹ nhõm, nhưng hiện tại cookie vẫn là một miếng mồi ngon cho tin tặc! Điều này đúng vì vẫn chưa có giải pháp thay thế tốt hơn.
Các biện pháp đối phó phía máy chủ
Trong trường hợp có khuyến nghị để đảm bảo an ninh máy chủ, các chuyên gia đưa ra một lời khuyên đơn giản: không sử dụng cơ chế cookie trừ khi thực sự cần thiết! Phải đặc biệt cẩn thận khi sử dụng cookie vẫn còn trên hệ thống của người dùng sau khi kết thúc phiên liên lạc.
Tất nhiên, điều quan trọng là phải hiểu rằng cookie có thể được sử dụng để cung cấp bảo mật cho máy chủ Web nhằm xác thực người dùng. Nếu ứng dụng của bạn cần sử dụng cookie, bạn nên định cấu hình cơ chế cookie để sử dụng các khóa có thời gian tồn tại ngắn khác nhau cho mỗi phiên và cố gắng không đưa thông tin vào các tệp này mà tin tặc có thể sử dụng để hack (chẳng hạn như ADMIN=TRUE) .
Ngoài ra, để giúp việc sử dụng cookie của bạn an toàn hơn, bạn có thể sử dụng mã hóa cookie để ngăn thông tin nhạy cảm bị trích xuất. Tất nhiên, mã hóa không giải quyết được mọi vấn đề bảo mật khi làm việc với công nghệ cookie, nhưng phương pháp này sẽ ngăn chặn những vụ hack cơ bản nhất được mô tả ở trên.
Xin chào các bạn.
Như đã hứa, tôi tiếp tục về chương trình Intercepter-ng.
Hôm nay sẽ có buổi đánh giá thực tế.
Cảnh báo: bạn không nên thay đổi cài đặt hoặc nhấn cài đặt một cách thiếu suy nghĩ. Tốt nhất, nó có thể không hoạt động hoặc bạn sẽ tắt Wi-Fi. Tôi gặp trường hợp cài đặt bộ định tuyến được đặt lại. Vì thế đừng nghĩ rằng mọi thứ đều vô hại.
Và ngay cả với những cài đặt giống như của tôi, điều đó không có nghĩa là mọi thứ sẽ hoạt động trơn tru. Trong mọi trường hợp, đối với những trường hợp nghiêm trọng, bạn sẽ phải nghiên cứu hoạt động của tất cả các giao thức và chế độ.
Chúng ta bắt đầu nhé?
Chặn cookie và mật khẩu.
Hãy bắt đầu với cách chặn mật khẩu và cookie cổ điển, về nguyên tắc, quy trình này giống như trong bài viết chặn mật khẩu qua Wi-Fi và chặn cookie qua Wi-Fi, nhưng tôi sẽ viết lại và giải thích rõ hơn.
Nhân tiện, phần mềm chống vi-rút thường có thể kích hoạt những thứ như vậy và ngăn chặn việc chặn dữ liệu qua Wi-FI
Nếu nạn nhân sử dụng thiết bị Android hoặc iOS, bạn chỉ có thể hài lòng với những gì nạn nhân chỉ nhập trong trình duyệt (mật khẩu, trang web, cookie); nếu nạn nhân đang sử dụng ứng dụng khách xã hội cho VK, thì vấn đề sẽ phát sinh, họ chỉ đơn giản là ngừng hoạt động. Trong phiên bản mới nhất của Intercepter NG, bạn có thể giải quyết vấn đề bằng cách thay thế chứng chỉ của nạn nhân. Thêm về điều này sau.
Đầu tiên, hãy quyết định xem bạn cần lấy gì từ nạn nhân? Có thể bạn cần mật khẩu cho mạng xã hội, hoặc có thể chỉ cho các trang web. Có thể cookie đủ để bạn đăng nhập với tư cách nạn nhân và làm điều gì đó ngay lập tức hoặc bạn cần mật khẩu để lưu trong tương lai. Bạn có cần phân tích sâu hơn những hình ảnh mà nạn nhân đã xem và một số trang hay bạn không cần thứ rác rưởi này? Bạn có biết rằng nạn nhân đã vào trang web (đã được ủy quyền khi chuyển đổi) hay anh ta sẽ chỉ nhập dữ liệu của mình?
Nếu không có nhu cầu nhận hình ảnh từ các tài nguyên bạn truy cập, các phần của tệp phương tiện và xem một số trang web được lưu trong tệp html, hãy tắt nó trong Cài đặt - Ressurection. Điều này sẽ giảm nhẹ tải cho bộ định tuyến.
Những gì có thể được kích hoạt trong Cài đặt - nếu bạn được kết nối qua cáp ethernet, bạn cần kích hoạt Ip/mac giả mạo. Đồng thời kích hoạt Cookie Killer (giúp thiết lập lại cookie để nạn nhân có thể thoát khỏi trang web). Kẻ giết cookie là một cuộc tấn công dải SSL, vì vậy đừng quên kích hoạt nó.
Cũng sẽ tốt hơn nếu chế độ Promiscious được kích hoạt, chế độ này cho phép bạn cải thiện khả năng đánh chặn, nhưng không phải tất cả các mô-đun đều hỗ trợ nó... Chế độ Extreme có thể được thực hiện mà không cần nó. Với nó, đôi khi nhiều cổng bị chặn hơn nhưng cũng có thêm thông tin + tải...
Trước tiên, hãy chọn từ trên cùng giao diện mà bạn kết nối với Internet và loại kết nối: Wi-fi hoặc Ethernet nếu được kết nối qua cáp với bộ định tuyến.
Trong Chế độ quét, nhấp chuột phải vào trường trống và nhấp vào Quét thông minh. Tất cả các thiết bị trên mạng sẽ được quét; tất cả những gì còn lại là thêm nạn nhân mong muốn vào Add nat. 
Hoặc bạn có thể đặt bất kỳ một IP nào, đi tới cài đặt - chế độ chuyên gia và chọn hộp Auto ARP Poison, trong trường hợp này chương trình sẽ thêm tất cả những người được kết nối và kết nối với mạng.
Tất cả những gì chúng ta phải làm là chuyển sang chế độ Nat.
Nhấp vào cấu hình mitms, ở đây chúng ta sẽ cần SSL mitm và dải SSL.
SSL mitm cho phép bạn chặn dữ liệu, mặc dù nhiều trình duyệt cũng phản hồi dữ liệu đó bằng cách cảnh báo nạn nhân.
Dải SSL cho phép nạn nhân chuyển từ giao thức bảo mật Https sang HTTP, đồng thời để trình diệt cookie hoạt động.
Chúng ta không cần bất cứ thứ gì khác, nhấp vào bắt đầu chất độc arp (biểu tượng bức xạ) và chờ hoạt động của nạn nhân.
Trong phần chế độ mật khẩu, nhấp chuột phải và Hiển thị cu li. Sau đó, bạn có thể nhấp chuột phải vào cookie và truy cập url đầy đủ.
Nhân tiện, nếu nạn nhân sử dụng mạng xã hội, rất có thể thư từ đang hoạt động của anh ta sẽ xuất hiện trong chế độ Người đưa tin.
Http tiêm (chuyển một tập tin cho nạn nhân).
Mmm, một lựa chọn khá thú vị.
Bạn có thể chuyển nó cho nạn nhân để cô ấy tải tập tin xuống. Chúng tôi chỉ có thể hy vọng rằng nạn nhân sẽ khởi chạy tập tin. Để hợp lý, bạn có thể phân tích những trang web nào nạn nhân truy cập và đưa ra nội dung nào đó như bản cập nhật.
Ví dụ: nếu nạn nhân dùng VK, hãy đặt tên tệp vk.exe. Có lẽ nạn nhân sẽ khởi chạy nó và quyết định rằng nó hữu ích.
Bắt đầu nào.
Chế độ Bruteforce.
Chế độ đoán mật khẩu và lực lượng vũ phu.
Một trong những cách để sử dụng nó là truy cập brute vào bảng quản trị bộ định tuyến. Ngoài ra một số giao thức khác.
Đối với Brutus bạn cần
Trong máy chủ Target, nhập IP của bộ định tuyến, giao thức telnet, tên người dùng - tên người dùng, trong trường hợp của chúng tôi là Quản trị viên.
Ở phía dưới có nút có vẽ thư mục bên trên, bạn bấm vào đó và mở danh sách mật khẩu (trong thư mục chứa chương trình misc/pwlist.txt có danh sách các mật khẩu thường dùng, hoặc bạn có thể sử dụng danh sách của riêng bạn).
Sau khi tải xong bấm bắt đầu (hình tam giác) và đi uống trà.
Nếu trùng khớp (đã chọn mật khẩu), chương trình sẽ dừng.
Bạn cần biết tên người dùng. Nhưng nếu bạn muốn truy cập bộ định tuyến, hãy thử bộ định tuyến tiêu chuẩn - quản trị viên.
Làm thế nào để sản xuất vũ phu.
Người thay đổi giao thông (thay thế giao thông).
Chức năng này giống một trò đùa hơn. Bạn có thể thay đổi để nạn nhân khi vào trang này sẽ chuyển sang trang khác mà bạn vào.
Ở chế độ giao thông, nhập yêu cầu ở bên trái, kết quả ở bên phải nhưng có cùng số chữ cái và ký hiệu, nếu không sẽ không được.
Ví dụ - ở bên trái chúng ta sẽ nhập truy vấn cần thay đổi, ở bên phải chúng ta sẽ thay đổi test1 thành test2. (đánh dấu vào ô Tắt HTTP gzip).
Sau khi nhập xong nhấn ADD rồi OK.
Cuối cùng là video về cách chặn dữ liệu từ máy khách iOS, vì như bạn đã biết, trong một cuộc tấn công Mitm, các ứng dụng của họ sẽ ngừng hoạt động.
Tôi sẽ sớm làm một video về những gì được viết trong bài viết.
Đó là việc chặn dữ liệu qua Wi-FI.
Về cơ bản là vậy. Có gì cần bổ sung thì viết, có gì cần sửa thì viết.
Cho đến lần sau.
Về sự nguy hiểm của các điểm truy cập Wifi mở, về cách có thể chặn mật khẩu.
Hôm nay chúng ta sẽ xem xét việc chặn mật khẩu qua Wi-Fi và chặn cookie qua Wi-Fi bằng chương trình.
Cuộc tấn công sẽ diễn ra do Đánh hơi.
Đánh hơi- đánh hơi được dịch là “Đánh hơi.” Đánh hơi cho phép bạn phân tích hoạt động mạng trên Internet, xem những trang web nào người dùng truy cập và chặn mật khẩu. Nhưng nó cũng có thể được sử dụng cho những mục đích hữu ích, để nghe virus gửi bất kỳ dữ liệu nào lên Internet.
Phương pháp tôi sẽ trình bày khá thô sơ và đơn giản. Trên thực tế, bạn có thể sử dụng chương trình mạnh mẽ hơn.
Trang web chính thức của chương trình sniff.su (sao chép liên kết và mở trong tab mới), bạn có thể tải xuống trong phần "Tải xuống".
Có phiên bản dành cho Windows, hệ thống Unix và dành cho Android.
Chúng tôi sẽ xem xét Windows vì đây là hệ thống phổ biến nhất và chương trình ở đây là tiên tiến nhất.
Trình duyệt hoặc phần mềm chống vi-rút của bạn có thể phàn nàn rằng chương trình này nguy hiểm, nhưng bản thân bạn hiểu rằng đây là một chương trình hack và nó sẽ luôn phản hồi những vụ hack như vậy.
Chương trình được tải về dưới dạng zip, bạn chỉ cần giải nén chương trình vào một thư mục và sử dụng, không cần cài đặt gì cả.
Chương trình có khả năng tổ chức các cuộc tấn công Mitm khác nhau trên mạng Wi-Fi.
Bài viết được viết hoàn toàn nhằm mục đích cung cấp thông tin, ví dụ như cho thấy sự nguy hiểm của các điểm truy cập WiFi mở. Bạn thực hiện bất kỳ hành động cụ thể nào đều có nguy cơ và rủi ro của riêng bạn. Và tôi muốn nhắc bạn về trách nhiệm hình sự trong việc bảo vệ dữ liệu của người khác.
Dịch vụ avi1 cung cấp mức giá rẻ đến nghẹt thở để có cơ hội thu hút người đăng ký vào hồ sơ Instagram của bạn. Đạt được mức độ phổ biến hoặc doanh số bán hàng trực tuyến ngày càng tăng ngay bây giờ mà không tốn nhiều công sức và thời gian.
Làm việc với chương trình Intercepter NG
Vì vậy, chương trình được khởi chạy thông qua Intercepter-NG.exe.
Chương trình có giao diện tiếng Anh, nhưng nếu bạn là người tự tin sử dụng máy tính, tôi nghĩ bạn sẽ hiểu được.
Bên dưới sẽ có video hướng dẫn setup (dành cho ai thích xem hơn đọc).
— Chọn mạng mong muốn ở trên cùng nếu bạn có một vài mạng trong số đó.
- Chuyển đổi loại Ethernet/Wi-Fi, nếu có Wi Fi thì bạn cần chọn biểu tượng Wi FI (ở bên trái phần chọn mạng)
- Nhấn nút Chế độ quét(biểu tượng radar)
— Trong trường trống, nhấp chuột phải và nhấp vào menu ngữ cảnh Quét thông minh
— Tất cả các thiết bị được kết nối với mạng sẽ xuất hiện
— Chọn nạn nhân (bạn có thể chọn tất cả mọi người trong khi giữ phím Shift), chỉ cần không đánh dấu chính bộ định tuyến, IP của nó thường là 192.168.1.1
- Chọn xong nhấn chuột phải và nhấn Thêm vào nat
- Đi tới tab Nat
- TRONG ip tàng hình Bạn nên thay đổi chữ số cuối cùng thành bất kỳ chữ số nào còn trống, điều này sẽ ẩn IP thực của bạn.
- Hãy đánh dấu vào Dải SSL Và SSL Mitm.
- Nhấp chuột Cài đặt(bánh răng bên phải).
- Hãy đánh dấu vào Phục sinh(Điều này sẽ cho phép bạn chặn mật khẩu và cookie của giao thức Https được mã hóa) và Xóa Giả mạo IP/Mac. Bạn có thể đánh dấu vào ô Kẻ giết bánh quy, nhờ đó mà nạn nhân sẽ bị đuổi ra khỏi trang hiện tại, ví dụ như mạng xã hội, nạn nhân sẽ phải nhập lại mật khẩu và chúng tôi sẽ chặn lại. So sánh các cài đặt với hình ảnh.
— Đến đây quá trình thiết lập đã hoàn tất, hãy đóng cài đặt bằng dấu kiểm.
— Thiết lập hoàn tất, bạn có thể bắt đầu tấn công.
- Nhấn nút ở trên cùng Bắt đầu/dừng đánh hơi(hình tam giác), trong cùng cửa sổ, nhấp vào biểu tượng bức xạ ở phía dưới Bắt đầu/Dừng độc ARP
- Đi tới tab Chế độ mật khẩu và nhấp chuột phải vào cửa sổ và chọn Hiển thị cookie(“Điều này sẽ cho phép hiển thị cookie và mật khẩu do nạn nhân nhập”)
Thế là xong, chúng ta đang chờ ai đó nhập mật khẩu.
Đôi khi xảy ra trường hợp Internet ngừng hoạt động, hãy thử tự mình truy cập Internet, nếu không được, hãy khởi động lại chương trình.
Tôi nhận thấy rằng không phải lúc nào cũng có thể chặn được mật khẩu, nhưng trên thực tế, nó hoạt động gần như không bị lỗi.
Vậy là xong, chúng tôi đã xem xét việc chặn mật khẩu qua Wi-Fi và chặn cookie qua Wi-Fi.
chăm sóc bản thân
Và nó tự động khởi chạy chúng, nhờ đó đạt được khả năng vượt qua HTTPS / HSTS. Với mitmAP, bạn không cần phải thực hiện quy trình này, nhưng nếu bạn muốn thực hiện điều gì đó tương tự, chẳng hạn như với create_ap, hãy xem "Hướng dẫn sử dụng SSLStrip+ và dns2proxy để vượt qua HSTS".
mitmAP cho phép bạn sử dụng các phương pháp hiệu quả nhất để hạ cấp HTTPS xuống HTTP mà hầu như không cần nhập lệnh (và không hiểu cơ chế bỏ qua HTTPS). Trong các thử nghiệm của tôi, mật khẩu được truyền dưới dạng văn bản rõ ràng cho vk.com, yandex.ru, mail.ru.
Tập lệnh này được tạo thành hai phiên bản - để hoạt động trong Kali Linux hoặc Raspberry PI.
Tập lệnh sẽ hoạt động trên các phiên bản phái sinh của Debian nếu bạn cài đặt các phần phụ thuộc; nhưng sẽ không hoạt động, chẳng hạn như trong Arch Linux / BlackArch do phương pháp được tác giả chọn để khởi động dịch vụ.
Hướng dẫn sử dụng mitmAP
Tải xuống kịch bản:
Bản sao Git https://github.com/xdavidhu/mitmAP.git cd mitmAP/
Chạy nó:
Sudo python3 mitmAP.py
Kịch bản sẽ bắt đầu bằng một câu hỏi:
[?] Cài đặt/Cập nhật phụ thuộc? Có/không:
Dịch: cài đặt/cập nhật phụ thuộc?
Nếu bạn khởi chạy lần đầu tiên thì hãy đồng ý, tức là. bấm phím Enter. Trong tương lai bạn có thể chọn N(KHÔNG).
Câu hỏi tiếp theo:
[?] Vui lòng nhập tên giao diện không dây của bạn (đối với AP):
Dịch: Nhập tên giao diện không dây của bạn (đối với AP). Nếu bạn không biết tên giao diện của mình, thì trong một cửa sổ khác hãy chạy lệnh:
Nó sẽ hiển thị tất cả các giao diện mạng trên hệ thống của bạn. Và đội
Sudo và nhà phát triển
sẽ chỉ hiển thị giao diện mạng không dây.
Trong Kali Linux, giao diện không dây thường được gọi là wlan0(và nếu có hai cái thì cái thứ hai có tên wlan1).
[?] Vui lòng nhập tên giao diện kết nối internet của bạn:
Dịch: Vui lòng nhập tên của giao diện được kết nối với Internet.
Trong Kali Linux, giao diện có dây thường được gọi là eth0. Bạn cũng có thể sử dụng thẻ Wi-Fi thứ hai để kết nối Internet.
[?] Sử dụng SSLSTRIP 2.0? Có/không:
Dịch: Tập lệnh hỏi có nên sử dụng SSLStrip+ hay không. Ngày nay, khi một phần đáng kể, nếu không phải là hầu hết, lưu lượng truy cập được truyền qua HTTPS (được mã hóa), thì tùy chọn này rất được khuyến khích.
[?] Tạo tệp cấu hình HOSTAPD mới tại "/etc/hostapd/hostapd.conf" Y/n:
Dịch: Tôi có nên tạo tệp cấu hình Hostapd mới không.
Nếu bạn đang bắt đầu nó lần đầu tiên, thì điều này phải được thực hiện. Trong những lần khởi chạy tiếp theo, nếu bạn không thay đổi cài đặt AP, bạn có thể chọn N(tức là “không”).
Thiết lập AP:
[?] Vui lòng nhập SSID cho AP:
Dịch: Nhập tên cho AP.
[?] Vui lòng nhập kênh cho AP:
Dịch: Nhập số kênh AP.
[?] Kích hoạt mã hóa WPA2? y/không:
Dịch: Tôi có nên kích hoạt mã hóa WPA2 không?
Nếu bật mã hóa, bạn sẽ cần nhập mật khẩu để kết nối với AP của mình. Vì mục đích của chúng tôi, chúng tôi chọn “không”.
Cài đặt AP cuối cùng:
[?] Đặt giới hạn tốc độ cho khách hàng? Có/không:
Dịch: Tôi có nên đặt giới hạn tốc độ cho khách hàng không?
tôi chọn không
[?] Bắt đầu WIRESHARK trên wlan0? Có/không:
Phân tích dữ liệu mitmAP
mitmAP hiển thị dữ liệu bị chặn, bao gồm thông tin đăng nhập và mật khẩu, trong cửa sổ chính của nó:
Trong thư mục của mình, cô ấy tạo một thư mục nhật ký với hai tập tin: mitmap-sslstrip.log Và mitmap-wireshark.pcap. Tệp đầu tiên chứa dữ liệu được thu thập ở dạng văn bản. Và cái thứ hai dùng để phân tích trong chương trình Wireshark.
Xin lưu ý: khi bạn khởi động lại chương trình, các tập tin này sẽ bị ghi đè! Những thứ kia. Nếu bạn có ý định phân tích những tệp này sau, thì bạn cần cẩn thận trong việc di chuyển hoặc đổi tên chúng, nếu không chúng sẽ bị xóa.
Nếu bạn chọn khởi chạy cửa sổ Wireshark và hiển thị hình ảnh được truyền bằng Driftnet, bạn cũng có thể sử dụng chúng để giám sát dữ liệu được truyền trong thời gian thực.
Phân tích dữ liệu trong Wireshark
Wireshark có bộ lọc dữ liệu rất chi tiết, bạn có thể thấy sự đa dạng của nó trên trang tài liệu chính thức
Tôi sẽ đưa ra ví dụ về một số bộ lọc đang chạy.
Để hiển thị tất cả các yêu cầu HTTP được gửi bằng phương thức POST trong Wireshark:
Http.request.method == "POST"
Để hiển thị dữ liệu được gửi hoặc nhận từ một miền cụ thể (thay vì
Http.host=="
Để tìm kiếm một chuỗi trong toàn bộ luồng dữ liệu được truyền, bộ lọc sau được sử dụng (thay vì<строка>nhập chuỗi bạn muốn tìm kiếm):
Khung chứa"<строка>"
Để hiển thị cookie trong Wireshark:
Http.cookie
Nếu bạn quan tâm đến cookie có tên cụ thể, hãy sử dụng:
Http.cookie chứa "<имя_куки>"
Để hiển thị các yêu cầu trong Wireshark được gửi bằng phương thức GET hoặc POST:
Http.request.uri chứa "?" hoặc http.request.method=="POST"
Nếu bạn muốn tìm dữ liệu được trao đổi với máy chủ FTP thì trong Wireshark, bạn có thể sử dụng một trong các bộ lọc sau:
Tcp.port==21 || tcp.port==20
Đánh hơi dữ liệu trong các chương trình khác
Mặc dù mitmAP sử dụng các chương trình thú vị nhưng bạn luôn có thể thực hiện phân tích dữ liệu bằng các công cụ khác. Ví dụ: nếu bạn muốn sử dụng Bettercap thì bạn cần cân nhắc điều đó:
- Việc giả mạo ARP là không cần thiết
- Không cần tìm kiếm khách hàng
- Không cần kích hoạt SSLStrip.
Những thứ kia. lệnh có thể trông giống như:
Sudo Bettercap -X -I wlan0 -S NONE --no-discovery
Sudo Bettercap -X -I wlan0 -S NONE --no-discovery --proxy --no-sslstrip
Tắt mitmAP
Để tắt chương trình, nhấn nhanh hai lần CTRL+C. Hãy để tôi nhắc bạn rằng khi bạn chạy lại chương trình, nó sẽ ghi đè lên các tệp có dữ liệu nhận được. Những thứ kia. bạn cần chuyển chúng sang thư mục khác nếu muốn phân tích chúng sau này.
