Sniffer cho Windows Intercepter-NG (hướng dẫn sử dụng). Mô tả cuộc tấn công giả mạo ARP

Đánh chặn-NG là gì

Hãy xem bản chất của ARP bằng một ví dụ đơn giản. Máy tính A (địa chỉ IP 10.0.0.1) và Máy tính B (địa chỉ IP 10.22.22.2) được kết nối bằng mạng Ethernet. Máy tính A muốn gửi gói dữ liệu đến máy tính B thì nó biết địa chỉ IP của máy tính B. Tuy nhiên, mạng Ethernet mà chúng kết nối không hoạt động với địa chỉ IP. Do đó, để truyền qua Ethernet, máy tính A cần biết địa chỉ của máy tính B trên mạng Ethernet (địa chỉ MAC theo thuật ngữ Ethernet). Giao thức ARP được sử dụng cho nhiệm vụ này. Sử dụng giao thức này, máy tính A gửi yêu cầu quảng bá tới tất cả các máy tính trong cùng một miền quảng bá. Bản chất của yêu cầu: “máy tính có địa chỉ IP 10.22.22.2, cung cấp địa chỉ MAC của bạn cho máy tính có địa chỉ MAC (ví dụ: a0:ea:d1:11:f1:01).” Mạng Ethernet gửi yêu cầu này đến tất cả các thiết bị trên cùng một phân đoạn Ethernet, bao gồm cả máy tính B. Máy tính B phản hồi yêu cầu của máy tính A và báo cáo địa chỉ MAC của nó (ví dụ: 00:ea:d1:11:f1:11). nhận được địa chỉ MAC của máy tính B, máy tính A có thể truyền bất kỳ dữ liệu nào tới nó qua mạng Ethernet.

Để tránh phải sử dụng giao thức ARP trước mỗi lần gửi dữ liệu, địa chỉ MAC nhận được và địa chỉ IP tương ứng của chúng sẽ được ghi lại trong bảng trong một thời gian. Nếu bạn cần gửi dữ liệu đến cùng một IP thì không cần phải thăm dò ý kiến các thiết bị mỗi lần để tìm kiếm MAC mong muốn.

Như chúng ta vừa thấy, ARP bao gồm yêu cầu và phản hồi. Địa chỉ MAC từ phản hồi được ghi vào bảng MAC/IP. Khi nhận được phản hồi, nó sẽ không được kiểm tra tính xác thực theo bất kỳ cách nào. Hơn nữa, nó thậm chí còn không kiểm tra xem yêu cầu có được thực hiện hay không. Những thứ kia. bạn có thể gửi ngay phản hồi ARP tới các thiết bị mục tiêu (ngay cả khi không có yêu cầu), với dữ liệu giả mạo và dữ liệu này sẽ xuất hiện trong bảng MAC/IP và sẽ được sử dụng để truyền dữ liệu. Đây là bản chất của cuộc tấn công giả mạo ARP, đôi khi được gọi là ARP khắc, ngộ độc bộ đệm ARP.

Mô tả cuộc tấn công giả mạo ARP

Hai máy tính (nút) M và N trên mạng cục bộ Ethernet trao đổi tin nhắn. Kẻ tấn công X, nằm trên cùng một mạng, muốn chặn tin nhắn giữa các nút này. Trước khi tấn công giả mạo ARP được áp dụng trên giao diện mạng của máy chủ M, bảng ARP chứa địa chỉ IP và MAC của máy chủ N. Ngoài ra trên giao diện mạng của máy chủ N, bảng ARP chứa địa chỉ IP và MAC của máy chủ M .

Trong một cuộc tấn công giả mạo ARP, nút X (kẻ tấn công) gửi hai phản hồi ARP (không có yêu cầu) - đến nút M và nút N. Phản hồi ARP tới nút M chứa địa chỉ IP của N và địa chỉ MAC của X. Phản hồi ARP tới nút N chứa địa chỉ IP M và địa chỉ MAC X.

Vì máy tính M và N hỗ trợ ARP tự phát, sau khi nhận được phản hồi ARP, chúng thay đổi bảng ARP của mình và bây giờ bảng ARP M chứa địa chỉ MAC X được liên kết với địa chỉ IP N và bảng ARP N chứa địa chỉ MAC X, được liên kết với địa chỉ IP M.

Như vậy, cuộc tấn công giả mạo ARP đã hoàn tất và bây giờ tất cả các gói (khung) giữa M và N đều đi qua X. Ví dụ: nếu M muốn gửi một gói đến máy tính N thì M sẽ tìm trong bảng ARP của nó, tìm một mục với địa chỉ IP của máy chủ N, chọn địa chỉ MAC từ đó (và đã có địa chỉ MAC của nút X) và truyền gói tin. Gói đến giao diện X, được phân tích và sau đó được chuyển tiếp đến nút N.

HTTPNetworkSniffer là một công cụ dò gói tin có khả năng nắm bắt tất cả các yêu cầu/phản hồi HTTP được gửi giữa trình duyệt Web và máy chủ Web và hiển thị chúng trong một bảng đơn giản. Đối với mọi yêu cầu HTTP, thông tin sau được hiển thị: Tên máy chủ, phương thức HTTP (GET, POST, HEAD), Đường dẫn URL, Tác nhân người dùng, Mã phản hồi, Chuỗi phản hồi, Loại nội dung, Người giới thiệu, Mã hóa nội dung, Mã hóa truyền, Tên máy chủ, Độ dài nội dung, Chuỗi cookie, v.v....

Bạn có thể dễ dàng chọn một hoặc nhiều dòng thông tin HTTP, sau đó xuất ra file text/html/xml/csv hoặc sao chép vào clipboard rồi dán vào Excel.

yêu cầu hệ thống

Tiện ích này hoạt động trên mọi phiên bản Windows, bắt đầu từ Windows 2000 trở lên Windows 10, bao gồm cả hệ thống 64-bit.
Cần có một trong các trình điều khiển chụp sau đây để sử dụng HTTPNetworkSniffer:
- Trình điều khiển chụp WinPcap: WinPcap là trình điều khiển chụp mã nguồn mở cho phép bạn chụp các gói mạng trên bất kỳ phiên bản Windows nào. Bạn có thể tải xuống và cài đặt trình điều khiển WinPcap từ trang Web này.
- Microsoft Network Monitor Driver phiên bản 2.x (Chỉ dành cho Windows 2000/XP/2003): Microsoft cung cấp trình điều khiển chụp miễn phí trong Windows 2000/XP/2003 mà HTTPNetworkSniffer có thể sử dụng, nhưng trình điều khiển này không được cài đặt theo mặc định và bạn phải cài đặt thủ công bằng cách sử dụng một trong các tùy chọn sau:
  - Tùy chọn 1: Cài đặt từ CD-ROM của Windows 2000/XP theo hướng dẫn trên Web site của Microsoft
  - Tùy chọn 2 (Chỉ dành cho XP): Tải xuống và cài đặt Công cụ hỗ trợ Windows XP Service Pack 2. Một trong những công cụ trong gói này là netcap.exe. Khi bạn chạy công cụ này lần đầu tiên, Trình điều khiển màn hình mạng sẽ tự động được cài đặt trên hệ thống của bạn.
- Microsoft Network Monitor Driver phiên bản 3.x: Microsoft cung cấp phiên bản mới của trình điều khiển Microsoft Network Monitor (3.x) cũng được hỗ trợ trong Windows 7/Vista/2008.
  Phiên bản mới của Microsoft Network Monitor (3.x) có sẵn để tải xuống từ trang Web của Microsoft.
Bạn cũng có thể thử sử dụng HTTPNetworkSniffer mà không cần cài đặt bất kỳ trình điều khiển nào bằng cách sử dụng phương pháp "Ổ cắm thô". Thật không may, phương pháp Raw Sockets có nhiều vấn đề:
- Nó không hoạt động trong tất cả các hệ thống Windows, tùy thuộc vào phiên bản Windows, gói dịch vụ và các bản cập nhật được cài đặt trên hệ thống của bạn.
- Trên Windows 7 đã bật UAC, phương pháp "Raw Sockets" chỉ hoạt động khi bạn chạy HTTPNetworkSniffer với "Run As Administrator".

Những hạn chế đã biết

HTTPNetworkSniffer không thể thu thập dữ liệu HTTP của một trang Web được bảo mật (HTTPS)

Lịch sử phiên bản

Phiên bản 1.63:
- Đã sửa lỗi từ phiên bản 1.62: HTTPNetworkSniffer bị lỗi khi chọn giao diện mạng không có thông tin kết nối.
Phiên bản 1.62:
- Thông tin của bộ điều hợp mạng đã chọn hiện được hiển thị trong tiêu đề cửa sổ.
Phiên bản 1.61:
- Đã thêm tùy chọn dòng lệnh /cfg, hướng dẫn HTTPNetworkSniffer sử dụng tệp cấu hình ở một vị trí khác thay vì tệp cấu hình mặc định, ví dụ:
  HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
Phiên bản 1.60:
- Đã thêm tùy chọn "Xóa khi bắt đầu chụp". Bạn có thể tắt tính năng này nếu không muốn xóa các mục trước đó khi dừng chụp và bắt đầu lại.
- Đã thêm tính năng "Bộ lọc nhanh" (Xem -> Sử dụng Bộ lọc nhanh hoặc Ctrl+Q). Khi tính năng này được bật, bạn có thể nhập một chuỗi vào hộp văn bản được thêm dưới thanh công cụ và HTTPNetworkSniffer sẽ lọc ngay các mục HTTP, chỉ hiển thị các dòng có chứa chuỗi bạn đã nhập.
Phiên bản 1.57:
- Đã thêm "Lưu tất cả các mục" (Shift+Ctrl+S).
Phiên bản 1.56:
- HTTPNetworkSniffer hiện tự động tải phiên bản mới của trình điều khiển WinPCap từ https://nmap.org/npcap/ nếu nó được cài đặt trên hệ thống của bạn.
Phiên bản 1.55:
- Đã thêm 2 cột yêu cầu HTTP: "Chấp nhận" và "Phạm vi".
Phiên bản 1.51:
- HTTPNetworkSniffer hiện cố tải dll của Network Monitor Driver 3.x (NmApi.dll) theo đường dẫn cài đặt được chỉ định trong HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Netmon3. Thay đổi này sẽ giải quyết vấn đề tải Network Monitor Driver 3.x trên một số hệ thống.
Phiên bản 1.50:
- Đã thêm 4 cột vào danh sách bộ điều hợp trong cửa sổ "Tùy chọn chụp": "Tên kết nối", "Địa chỉ MAC", "ID phiên bản", "Hướng dẫn giao diện".
- Khi sử dụng trình điều khiển WinPCap, HTTPNetworkSniffer hiện hiển thị thông tin chính xác hơn trong danh sách bộ điều hợp của cửa sổ "Tùy chọn chụp".
Phiên bản 1.47:
- Đã thêm tùy chọn "Cột kích thước tự động trên mỗi bản cập nhật".
Phiên bản 1.46:
- Đã thêm tùy chọn để xuất sang tệp JSON.
Phiên bản 1.45:
- Đã thêm tùy chọn "Luôn ở trên cùng".
- Đã thêm hỗ trợ sắp xếp thứ cấp: Giờ đây, bạn có thể sắp xếp thứ cấp bằng cách giữ phím shift trong khi nhấp vào tiêu đề cột. Xin lưu ý rằng bạn chỉ phải giữ phím shift khi nhấp vào cột thứ hai/thứ ba/thứ tư. Để sắp xếp cột đầu tiên bạn không nên giữ phím Shift.
Phiên bản 1.41:
- HTTPNetworkSniffer hiện cung cấp cho bạn chạy nó với tư cách quản trị viên (Dưới Windows Vista/7/8 với UAC)
Phiên bản 1.40:
- HTTPNetworkSniffer hiện cho phép bạn tự động thêm nó vào danh sách chương trình được phép của tường lửa Windows khi bắt đầu chụp và xóa nó khi bạn ngừng chụp. Tùy chọn này là cần thiết khi sử dụng phương pháp chụp "Raw Socket" trong khi tường lửa Windows được bật, vì nếu HTTPNetworkSniffer không được thêm vào tường lửa Windows thì lưu lượng truy cập đến hoàn toàn không được ghi lại và do đó HTTPNetworkSniffer không hoạt động bình thường.
Phiên bản 1.36:
- Đã thêm tên cột ("Địa chỉ IP" và "Tên bộ điều hợp") vào danh sách bộ điều hợp trên cửa sổ "Tùy chọn chụp".
Phiên bản 1.35:
- Đã thêm tích hợp với tiện ích
Phiên bản 1.32:
- Đã thêm tùy chọn "Hiển thị thời gian theo GMT".
Phiên bản 1.31:
- Đã sửa lỗi: Hộp kiểm "Chế độ lăng nhăng" trong cửa sổ "Tùy chọn chụp" không được lưu vào tệp cấu hình.
Phiên bản 1.30:
- Đã thêm cột "Thời gian phản hồi", tính toán và hiển thị thời gian (tính bằng mili giây) trôi qua từ thời điểm máy khách gửi yêu cầu HTTP đến thời điểm máy khách HTTP nhận được phản hồi của máy chủ.
  Để có kết quả chính xác hơn trên cột này, bạn nên sử dụng trình điều khiển WinPcap hoặc trình điều khiển Microsoft Network Monitor (phiên bản 3.4 trở lên) để chụp các gói.
Phiên bản 1.27:
- Đã thêm tùy chọn "Cuộn xuống trên dòng mới". Nếu tính năng này được bật, HTTPNetworkSniffer sẽ tự động cuộn xuống cuối khi thêm dòng mới.
Phiên bản 1.26:
- Đã khắc phục sự cố nhấp nháy trên Windows 7.
Phiên bản 1.25:
- Đã thêm tùy chọn "Tải từ tệp chụp". Cho phép bạn tải tệp chụp được tạo bởi WinPcap/Wireshark (Yêu cầu trình điều khiển WinPcap) hoặc tệp chụp được tạo bởi trình điều khiển Microsoft Network Monitor (Yêu cầu trình điều khiển Network Monitor 3.x) và hiển thị dữ liệu đã chụp ở định dạng HTTPNetworkSniffer.
- Đã thêm tùy chọn dòng lệnh /load_file_pcap và /load_file_netmon.
Phiên bản 1.22:
- Đã thêm tùy chọn "Đánh dấu hàng lẻ/chẵn" trong menu Xem. Khi nó được bật, các hàng chẵn và lẻ sẽ được hiển thị bằng màu khác nhau để giúp đọc một dòng dễ dàng hơn.
Phiên bản 1.21:
- Đã thêm tùy chọn "Cột kích thước tự động + Tiêu đề", cho phép bạn tự động thay đổi kích thước các cột theo giá trị hàng và tiêu đề cột.
- Đã khắc phục sự cố: Hộp thoại thuộc tính và các cửa sổ khác được mở sai màn hình, trên hệ thống nhiều màn hình.
Phiên bản 1.20:
- Đã thêm cột URL.
- Đã sửa lỗi: Khi mở hộp thoại "Tùy chọn chụp" sau khi Network Monitor Driver 3.x được chọn trước đó, HTTPNetworkSniffer đã chuyển về chế độ Ổ cắm thô.
Phiên bản 1.15:
- Đã thêm cột mới: Thời gian sửa đổi lần cuối.
Phiên bản 1.10:
- Đã thêm 3 cột mới: Vị trí, Thời gian máy chủ và Thời gian hết hạn.
Phiên bản 1.06:
- Đã sửa lỗi phím tăng tốc của "Dừng chụp" (F6)
Phiên bản 1.05:
- Đã thêm tùy chọn "Sao chép URL" (Ctrl + U), sao chép URL của các mục HTTP đã chọn vào bảng tạm
Phiên bản 1.00 - Bản phát hành đầu tiên.

Bắt đầu sử dụng HTTPNetworkSniffer

Ngoại trừ trình điều khiển chụp cần thiết để chụp các gói mạng, HTTPNetworkSniffer không yêu cầu bất kỳ quá trình cài đặt hoặc tệp dll bổ sung nào. Để bắt đầu sử dụng nó, chỉ cần chạy tệp thực thi - HTTPNetworkSniffer.exe

Sau khi chạy HTTPNetworkSniffer lần đầu tiên, cửa sổ "Tùy chọn chụp" xuất hiện trên màn hình và bạn được yêu cầu chọn phương pháp chụp và bộ điều hợp mạng mong muốn. Trong lần tiếp theo khi bạn sử dụng HTTPNetworkSniffer, nó sẽ tự động bắt đầu chụp các gói bằng phương pháp chụp và bộ điều hợp mạng mà bạn đã chọn trước đó. Bạn luôn có thể thay đổi lại "Tùy chọn chụp" bằng cách nhấn F9.

Sau khi chọn phương pháp chụp và bộ điều hợp mạng, HTTPNetworkSniffer sẽ chụp và hiển thị mọi yêu cầu/phản hồi HTTP được gửi giữa trình duyệt Web của bạn và máy chủ Web từ xa.

Tùy chọn dòng lệnh

/cfg	Bắt đầu HTTPNetworkSniffer với tệp cấu hình được chỉ định. Ví dụ: HTTPNetworkSniffer.exe /cfg "c:\config\hns.cfg" HTTPNetworkSniffer.exe /cfg "%AppData%\HTTPNetworkSniffer.cfg"
/load_file_pcap	Tải tệp chụp đã chỉ định, được tạo bởi trình điều khiển WinPcap.
/load_file_netmon	Tải tệp chụp đã chỉ định, được tạo bởi trình điều khiển Network Monitor 3.x.

Tích hợp với tiện ích IPNetInfo

Nếu muốn biết thêm thông tin về địa chỉ IP máy chủ hiển thị trong tiện ích HTTPNetworkSniffer, bạn có thể sử dụng tiện ích Integration with IPNetInfo để dễ dàng xem thông tin địa chỉ IP được tải trực tiếp từ máy chủ WHOIS:

và chạy phiên bản mới nhất của .
Chọn các kết nối mong muốn rồi chọn "IPNetInfo - Server IP" từ menu Tệp (hoặc chỉ cần nhấp Ctrl+I).
IPNetInfo sẽ lấy thông tin về địa chỉ IP máy chủ của các mục đã chọn.

Dịch HTTPNetworkSniffer sang các ngôn ngữ khác

Để dịch HTTPNetworkSniffer sang ngôn ngữ khác, hãy làm theo hướng dẫn bên dưới:

Chạy HTTPNetworkSniffer với tham số /savelangfile:
HTTPNetworkSniffer.exe /savelangfile
Một file có tên HTTPNetworkSniffer_lng.ini sẽ được tạo trong thư mục của tiện ích HTTPNetworkSniffer.
Mở tệp ngôn ngữ đã tạo trong Notepad hoặc trong bất kỳ trình soạn thảo văn bản nào khác.
Dịch tất cả các mục chuỗi sang ngôn ngữ mong muốn. Tùy chọn, bạn cũng có thể thêm tên và/hoặc liên kết đến trang Web của mình. (Giá trị Tên dịch và URL của Translator) Nếu bạn thêm thông tin này, thông tin đó sẽ được sử dụng trong cửa sổ "Giới thiệu".
Sau khi bạn dịch xong, hãy chạy HTTPNetworkSniffer và tất cả các chuỗi đã dịch sẽ được tải từ tệp ngôn ngữ.
Nếu bạn muốn chạy HTTPNetworkSniffer mà không cần dịch, chỉ cần đổi tên tệp ngôn ngữ hoặc di chuyển nó sang thư mục khác.

Giấy phép

Tiện ích này được phát hành dưới dạng phần mềm miễn phí. Bạn được phép tự do phân phối tiện ích này qua đĩa mềm, CD-ROM, Internet hoặc bằng bất kỳ cách nào khác, miễn là bạn không tính phí cho việc này và bạn không bán hoặc phân phối nó như một phần của thương mại. sản phẩm. Nếu bạn phân phối tiện ích này, bạn phải bao gồm tất cả các tệp trong gói phân phối mà không có bất kỳ sửa đổi nào!

Tuyên bố miễn trừ trách nhiệm

Phần mềm được cung cấp "NGUYÊN TRẠNG" mà không có bất kỳ bảo đảm nào, rõ ràng hay ngụ ý, bao gồm nhưng không giới hạn ở các bảo đảm ngụ ý về khả năng bán được và sự phù hợp cho một mục đích cụ thể. Tác giả sẽ không chịu trách nhiệm về bất kỳ thiệt hại đặc biệt, ngẫu nhiên, do hậu quả hoặc gián tiếp nào do mất dữ liệu hoặc bất kỳ lý do nào khác.

Nhận xét

Nếu bạn có bất kỳ vấn đề, đề xuất, nhận xét nào hoặc bạn phát hiện thấy lỗi trong tiện ích của tôi, bạn có thể gửi tin nhắn tới [email được bảo vệ]

Tải xuống HTTPNetworkSniffer (phiên bản 32 bit)

Tải xuống HTTPNetworkSniffer (phiên bản x64)

HTTPNetworkSniffer cũng có sẵn bằng các ngôn ngữ khác. Để thay đổi ngôn ngữ của HTTPNetworkSniffer, hãy tải xuống tệp zip ngôn ngữ thích hợp, giải nén "httpnetworksniffer_lng.ini" và đặt nó vào cùng thư mục mà bạn đã cài đặt tiện ích HTTPNetworkSniffer.

Ngôn ngữ	Được dịch bởi	Ngày	Phiên bản

Khi một người dùng bình thường nghe thấy thuật ngữ "đánh hơi", anh ta ngay lập tức quan tâm đến nó là gì và tại sao nó lại cần thiết.

Chúng tôi sẽ cố gắng giải thích mọi thứ bằng ngôn ngữ đơn giản.

Tuy nhiên, bài viết này sẽ không chỉ dành cho người dùng mới làm quen mà còn dành cho người dùng.

Sự định nghĩa

đánh hơi là một máy phân tích lưu lượng truy cập. Đổi lại, lưu lượng truy cập là tất cả thông tin đi qua mạng máy tính.

Máy phân tích này xem xét thông tin nào đang được truyền đi. Để làm được điều này, nó phải bị chặn. Trên thực tế, đây là một điều bất hợp pháp, vì bằng cách này mọi người thường có quyền truy cập vào dữ liệu của người khác.

Điều này có thể được so sánh với một vụ cướp tàu - một cốt truyện kinh điển của hầu hết người phương Tây.

Bạn đang chuyển một số thông tin cho người dùng khác. Nó được vận chuyển bởi một “con tàu”, tức là một kênh mạng.

Những kẻ ngốc trong băng nhóm của Bloody Joe đã chặn đoàn tàu và cướp nó hoàn toàn. Trong trường hợp của chúng tôi, thông tin còn đi xa hơn, tức là những kẻ tấn công không đánh cắp nó theo nghĩa đen của từ này.

Nhưng giả sử thông tin này là mật khẩu, ghi chú cá nhân, ảnh và những thứ tương tự.

Những kẻ tấn công có thể chỉ cần viết lại và chụp ảnh tất cả những điều này. Bằng cách này, họ sẽ có quyền truy cập vào dữ liệu nhạy cảm mà bạn muốn ẩn.

Vâng, bạn sẽ có tất cả thông tin này, nó sẽ đến với bạn.

Nhưng bạn sẽ biết rằng những người hoàn toàn xa lạ cũng biết điều tương tự. Nhưng trong thế kỷ 21, thông tin có giá trị nhất!

Trong trường hợp của chúng tôi, chính xác nguyên tắc này được sử dụng. Một số người dừng lưu lượng truy cập, đọc dữ liệu từ nó và gửi đi.

Đúng vậy, trong trường hợp của những kẻ đánh hơi, mọi thứ không phải lúc nào cũng đáng sợ như vậy. Chúng không chỉ được sử dụng để có được quyền truy cập trái phép vào dữ liệu mà còn để phân tích lưu lượng truy cập. Đây là một phần quan trọng trong công việc của quản trị viên hệ thống và đơn giản là quản trị viên của nhiều tài nguyên khác nhau. Điều đáng nói về ứng dụng chi tiết hơn. Nhưng trước đó, chúng ta sẽ đề cập đến cách thức hoạt động của những thiết bị đánh hơi này.

Nguyên tắc hoạt động

Trong thực tế, thiết bị đánh hơi có thể là thiết bị di động được đặt trên cáp và đọc dữ liệu cũng như chương trình từ cáp.

Trong một số trường hợp, nó chỉ đơn giản là một tập hợp các hướng dẫn, tức là các mã phải được nhập theo một trình tự nhất định và trong một môi trường lập trình nhất định.

Chi tiết hơn, việc chặn lưu lượng truy cập bằng các thiết bị như vậy có thể được đọc theo một trong những cách sau:

1 Bằng cách cài đặt hub thay vì switch. Về nguyên tắc, việc nghe giao diện mạng có thể được thực hiện theo những cách khác, nhưng tất cả chúng đều không hiệu quả.

2 Bằng cách kết nối một thiết bị đánh hơi theo đúng nghĩa đen đến nơi kênh bị ngắt.Đây chính xác là những gì đã được thảo luận ở trên - và một thiết bị nhỏ được cài đặt để đọc mọi thứ di chuyển dọc theo kênh.

3 Lắp đặt một nhánh giao thông. Ngã ba này được định tuyến đến một số thiết bị khác, có thể được giải mã và gửi cho người dùng.

4 Một cuộc tấn công có mục tiêu là chuyển hướng hoàn toàn lưu lượng truy cập đến sniffer. Tất nhiên, sau khi thông tin đến thiết bị đọc, nó lại được gửi đến người dùng cuối mà nó dự định ban đầu. ở dạng tinh khiết nhất của nó!

5 Bằng cách phân tích bức xạ điện từ, phát sinh do sự di chuyển của giao thông. Đây là phương pháp phức tạp nhất và hiếm khi được sử dụng.

Đây là sơ đồ gần đúng về cách thức hoạt động của phương pháp thứ hai.

Đúng, ở đây cho thấy rằng đầu đọc chỉ được kết nối với cáp.

Trên thực tế, làm theo cách này gần như là không thể.

Thực tế là người dùng cuối vẫn sẽ nhận thấy rằng kênh bị ngắt tại một thời điểm nào đó.

Nguyên tắc hoạt động của thiết bị đánh hơi thông thường dựa trên thực tế là trong một phân đoạn, chúng được gửi đến tất cả các máy được kết nối. Khá là ngu ngốc, nhưng cho đến nay không có phương pháp thay thế nào! Và giữa các phân đoạn, dữ liệu được truyền bằng các bộ chuyển mạch. Đây là nơi xuất hiện khả năng chặn thông tin bằng một trong các phương pháp trên.

Trên thực tế, đây chính là cái gọi là tấn công mạng và hack!

Nhân tiện, nếu bạn cài đặt chính xác các công tắc này, bạn hoàn toàn có thể bảo vệ phân khúc khỏi mọi loại tấn công mạng.

Có những phương pháp bảo vệ khác mà chúng ta sẽ nói đến ở phần cuối.

Thông tin hữu ích:

Hãy chú ý đến chương trình. Nó được sử dụng để phân tích lưu lượng mạng và phân tích các gói dữ liệu mà thư viện pcap được sử dụng. Điều này thu hẹp đáng kể số lượng gói có sẵn để phân tích cú pháp, vì chỉ những gói được thư viện này hỗ trợ mới có thể được phân tích cú pháp.

Ứng dụng

Tất nhiên, trước hết, khái niệm này có ứng dụng được thảo luận ở trên, đó là các cuộc tấn công của hacker và thu thập dữ liệu người dùng bất hợp pháp.

Nhưng bên cạnh đó, sniffers còn được sử dụng trong các lĩnh vực khác, đặc biệt là trong công việc của quản trị viên hệ thống.

Đặc biệt, những thiết bị như vậy hoặc chương trình giúp thực hiện các nhiệm vụ sau:

Như bạn có thể thấy, các thiết bị hoặc chương trình mà chúng tôi đang xem xét có thể tạo điều kiện thuận lợi đáng kể cho công việc của quản trị viên hệ thống và những người khác sử dụng mạng. Và đó là tất cả chúng ta.

Bây giờ chúng ta chuyển sang phần thú vị nhất - đánh giá về các chương trình sniffer.

Ở trên, chúng tôi đã tìm ra rằng chúng có thể được chế tạo dưới dạng thiết bị vật lý, nhưng trong hầu hết các trường hợp, những thiết bị đặc biệt sẽ được sử dụng.

Hãy nghiên cứu chúng.

Chương trình đánh hơi

Dưới đây là danh sách các chương trình phổ biến nhất như vậy:

CommView. Chương trình này được trả phí, giống như những chương trình khác trong danh sách của chúng tôi. Một giấy phép tối thiểu có giá 300 USD. Nhưng phần mềm có chức năng phong phú. Điều đáng chú ý đầu tiên là khả năng tự đặt ra quy tắc. Ví dụ: bạn có thể đảm bảo rằng (các giao thức này) hoàn toàn bị bỏ qua. Điều đáng chú ý là chương trình cho phép bạn xem thông tin chi tiết và nhật ký của tất cả các gói đã gửi. Có phiên bản thường và phiên bản Wi-Fi.

SpyNet. Trên thực tế, đây là loại Trojan mà tất cả chúng ta đều đã quá mệt mỏi. Nhưng nó cũng có thể được sử dụng cho những mục đích cao cả mà chúng ta đã nói ở trên. Chương trình chặn và có trong lưu lượng truy cập. Có nhiều đặc điểm khác thường. Ví dụ: bạn có thể tạo lại các trang trên Internet mà “nạn nhân” đã truy cập. Điều đáng chú ý là phần mềm này miễn phí nhưng lại khá khó tìm.

NHƯNG ngửi thấy.Đây là một trình thám thính ở dạng thuần túy nhất, giúp phân tích các gói mạng thay vì chặn mật khẩu và lịch sử trình duyệt của người khác. Ít nhất đó là những gì tác giả của nó nghĩ. Trên thực tế, sự sáng tạo của anh ấy được sử dụng cho mục đích gì đó. Đây là một chương trình hàng loạt thông thường hoạt động thông qua dòng lệnh. Để bắt đầu, hai tệp sẽ được tải xuống và khởi chạy. Các gói “đã chụp” được lưu trên ổ cứng của bạn, rất thuận tiện.

Có rất nhiều chương trình sniffer khác. Ví dụ: fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Phân tích và nhiều thứ khác đã được biết đến. Chọn bất kì! Tuy nhiên, công bằng mà nói, điều đáng chú ý là CommView tốt nhất.

Vì vậy, chúng ta đã xem xét máy đánh hơi là gì, chúng hoạt động như thế nào và chúng trông như thế nào.

Bây giờ chúng ta hãy chuyển từ vị trí của một hacker hoặc quản trị viên hệ thống sang vị trí của một người dùng bình thường.

Chúng tôi biết rõ rằng dữ liệu của chúng tôi có thể bị đánh cắp. Phải làm gì để ngăn chặn điều này xảy ra? tại đây). Nó hoạt động cực kỳ đơn giản - nó quét mạng để tìm tất cả các loại gián điệp và báo cáo nếu phát hiện được. Đây là nguyên tắc đơn giản và dễ hiểu nhất cho phép bạn tự bảo vệ mình khỏi các cuộc tấn công mạng.

3 Sử dụng PromiScan. Về các thuộc tính và nhiệm vụ được thực hiện, chương trình này rất giống với AntiSniff cho Windows, vì vậy hãy chọn một chương trình. Ngoài ra còn có rất nhiều liên kết tải xuống trên Internet (đây là một trong số đó). Đây là một chương trình sáng tạo cho phép bạn điều khiển từ xa các máy tính được kết nối với cùng một mạng. Nguyên tắc hoạt động của nó là xác định các nút không tồn tại trong mạng. Trên thực tế, rất có thể đây là những kẻ đánh hơi. Chương trình xác định chúng và báo hiệu điều này bằng một thông điệp hùng hồn. Rất thoải mái!.

4 Sử dụng mật mã và nếu được triển khai, một hệ thống mật mã khóa công khai. Đây là một hệ thống mã hóa hoặc chữ ký điện tử đặc biệt. “Thủ thuật” của nó là chìa khóa được công khai và mọi người đều có thể nhìn thấy nhưng không thể thay đổi dữ liệu vì việc này phải được thực hiện trên tất cả các máy tính trên mạng cùng một lúc. Một phương pháp tuyệt vời - làm mồi cho kẻ trộm. Trong đó, bạn có thể đọc về blockchain, nơi chính xác một hệ thống như vậy được sử dụng.

5 Không tải xuống các chương trình đáng ngờ, không truy cập các trang web đáng ngờ, v.v. Mọi người dùng hiện đại đều biết về điều này, tuy nhiên đây lại là con đường chính để Trojan và những thứ khó chịu khác xâm nhập vào hệ điều hành của bạn. Vì vậy, hãy hết sức có trách nhiệm khi sử dụng Internet về mặt nguyên tắc!

Nếu bạn có thêm câu hỏi nào, hãy hỏi họ trong phần bình luận bên dưới.

Chúng tôi hy vọng chúng tôi có thể giải thích mọi thứ bằng ngôn ngữ đơn giản và dễ hiểu.

Nhiều người dùng không nhận ra rằng bằng cách điền thông tin đăng nhập và mật khẩu khi đăng ký hoặc ủy quyền trên một tài nguyên Internet đã đóng và nhấn ENTER, dữ liệu này có thể dễ dàng bị chặn. Rất thường xuyên chúng được truyền qua mạng ở dạng không bảo mật. Do đó, nếu trang web bạn đang cố đăng nhập sử dụng giao thức HTTP thì rất dễ dàng nắm bắt lưu lượng truy cập này, phân tích nó bằng Wireshark, sau đó sử dụng các bộ lọc và chương trình đặc biệt để tìm và giải mã mật khẩu.

Nơi tốt nhất để chặn mật khẩu là lõi của mạng, nơi lưu lượng truy cập của tất cả người dùng đi đến các tài nguyên đóng (ví dụ: thư) hoặc trước bộ định tuyến để truy cập Internet khi đăng ký trên các tài nguyên bên ngoài. Chúng ta dựng lên một tấm gương và sẵn sàng cảm thấy mình như một hacker.

Bước 1. Cài đặt và khởi chạy Wireshark để nắm bắt lưu lượng truy cập

Đôi khi, để làm điều này, chỉ cần chọn giao diện mà chúng tôi dự định nắm bắt lưu lượng truy cập và nhấp vào nút Bắt đầu là đủ. Trong trường hợp của chúng tôi, chúng tôi đang chụp qua mạng không dây.

Việc nắm bắt giao thông đã bắt đầu.

Bước 2. Lọc lưu lượng POST đã ghi

Chúng tôi mở trình duyệt và cố gắng đăng nhập vào một số tài nguyên bằng tên người dùng và mật khẩu. Sau khi quá trình ủy quyền hoàn tất và trang web được mở, chúng tôi sẽ ngừng thu thập lưu lượng truy cập trong Wireshark. Tiếp theo, mở trình phân tích giao thức và xem một số lượng lớn các gói tin. Đây là lúc hầu hết các chuyên gia CNTT bỏ cuộc vì họ không biết phải làm gì tiếp theo. Nhưng chúng tôi biết và quan tâm đến các gói cụ thể chứa dữ liệu POST được tạo trên máy cục bộ của chúng tôi khi điền vào biểu mẫu trên màn hình và gửi đến máy chủ từ xa khi chúng tôi nhấp vào nút “Đăng nhập” hoặc “Ủy quyền” trong trình duyệt.

Chúng tôi nhập một bộ lọc đặc biệt vào cửa sổ để hiển thị các gói đã chụp: http.lời yêu cầu.phương pháp == “BƯU KIỆN"

Và chúng tôi thấy, thay vì hàng nghìn gói, chỉ có một gói chứa dữ liệu mà chúng tôi đang tìm kiếm.

Bước 3. Tìm thông tin đăng nhập và mật khẩu của người dùng

Nhấp chuột phải nhanh và chọn mục từ menu Theo dõi TCP Steam

Sau đó, văn bản sẽ xuất hiện trong một cửa sổ mới để khôi phục nội dung của trang bằng mã. Hãy tìm các trường “mật khẩu” và “người dùng”, tương ứng với mật khẩu và tên người dùng. Trong một số trường hợp, cả hai trường sẽ dễ đọc và thậm chí không được mã hóa, nhưng nếu chúng tôi đang cố gắng nắm bắt lưu lượng truy cập khi truy cập các tài nguyên rất nổi tiếng như Mail.ru, Facebook, VKontakte, v.v., thì mật khẩu sẽ được mã hóa:

Đã tìm thấy HTTP/1.1 302

Máy chủ: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OTRo STP IND DEM CỦA CHÚNG TÔI"

Đặt-Cookie: mật khẩu= ; hết hạn=Thứ Năm, ngày 07 tháng 11 năm 2024 23:52:21 GMT; đường dẫn=/

Vị trí: login.php

Độ dài nội dung: 0

Kết nối: đóng

Loại nội dung: văn bản/html; bộ ký tự=UTF-8

Vì vậy, trong trường hợp của chúng tôi:

Tên người dùng: networkguru

Mật khẩu:

Bước 4. Xác định kiểu mã hóa để giải mã mật khẩu

Ví dụ: truy cập trang web http://www.onlinehashcrack.com/hash-identification.php#res và nhập mật khẩu của chúng tôi vào cửa sổ nhận dạng. Tôi đã được cung cấp một danh sách các giao thức mã hóa theo thứ tự ưu tiên:

Bước 5. Giải mã mật khẩu người dùng

Ở giai đoạn này chúng ta có thể sử dụng tiện ích hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Ở đầu ra, chúng tôi nhận được mật khẩu được giải mã: simplepassword

Do đó, với sự trợ giúp của Wireshark, chúng tôi không chỉ có thể giải quyết các vấn đề trong hoạt động của ứng dụng và dịch vụ mà còn có thể thử sức mình với tư cách là một hacker, chặn mật khẩu mà người dùng nhập vào biểu mẫu web. Bạn cũng có thể tìm ra mật khẩu hộp thư của người dùng bằng các bộ lọc đơn giản để hiển thị:

Giao thức và bộ lọc POP trông như thế này: pop.request.command == "USER" || pop.request.command == "Vượt qua"
Giao thức và bộ lọc IMAP sẽ là: imap.request chứa "đăng nhập"
Giao thức là SMTP và bạn sẽ cần nhập bộ lọc sau: smtp.req.command == "AUTH"

và các tiện ích nghiêm túc hơn để giải mã giao thức mã hóa.

Bước 6: Điều gì sẽ xảy ra nếu lưu lượng truy cập được mã hóa và sử dụng HTTPS?

Có một số lựa chọn để trả lời câu hỏi này.

Tùy chọn 1. Kết nối khi kết nối giữa người dùng và máy chủ bị hỏng và nắm bắt lưu lượng truy cập tại thời điểm kết nối được thiết lập (SSL Handshake). Khi kết nối được thiết lập, khóa phiên có thể bị chặn.

Tùy chọn 2: Bạn có thể giải mã lưu lượng HTTPS bằng tệp nhật ký khóa phiên được Firefox hoặc Chrome ghi lại. Để thực hiện việc này, trình duyệt phải được cấu hình để ghi các khóa mã hóa này vào tệp nhật ký (ví dụ dựa trên FireFox) và bạn sẽ nhận được tệp nhật ký đó. Về cơ bản, bạn cần lấy cắp tệp khóa phiên từ ổ cứng của người dùng khác (điều này là bất hợp pháp). Chà, sau đó nắm bắt lưu lượng truy cập và sử dụng khóa kết quả để giải mã nó.

Làm rõ. Chúng ta đang nói về trình duyệt web của một người có mật khẩu mà họ đang cố đánh cắp. Nếu chúng tôi muốn giải mã lưu lượng HTTPS của chính mình và muốn thực hành thì chiến lược này sẽ hiệu quả. Nếu bạn đang cố gắng giải mã lưu lượng HTTPS của những người dùng khác mà không truy cập vào máy tính của họ, điều này sẽ không hoạt động - đó là cả mã hóa và quyền riêng tư.

Sau khi nhận được key theo tùy chọn 1 hoặc 2, bạn cần đăng ký chúng trong WireShark:

Chuyển đến menu Chỉnh sửa - Tùy chọn - Giao thức - SSL.
Đặt cờ “Tập hợp lại các bản ghi SSL trải rộng trên nhiều phân đoạn TCP”.
“Danh sách khóa RSA” và nhấp vào Chỉnh sửa.
Nhập dữ liệu vào tất cả các trường và ghi đường dẫn vào file bằng key

WireShark có thể giải mã các gói được mã hóa bằng thuật toán RSA. Nếu sử dụng thuật toán DHE/ECDHE, FS, ECC thì sniffer sẽ không giúp được gì cho chúng ta.

Tùy chọn 3. Giành quyền truy cập vào máy chủ web mà người dùng đang sử dụng và lấy key. Nhưng đây là một nhiệm vụ thậm chí còn khó khăn hơn. Trong mạng công ty, với mục đích gỡ lỗi ứng dụng hoặc lọc nội dung, tùy chọn này được triển khai trên cơ sở pháp lý chứ không nhằm mục đích chặn mật khẩu người dùng.

THƯỞNG

VIDEO: Gói Wireshark Đánh hơi tên người dùng, mật khẩu và trang web

Mọi hoạt động theo dõi trực tuyến đều dựa trên việc sử dụng công nghệ đánh hơi (máy phân tích gói mạng). Máy đánh hơi là gì?

Trình thám thính là một chương trình máy tính hoặc một phần thiết bị máy tính có thể chặn và phân tích lưu lượng truy cập đi qua mạng kỹ thuật số hoặc một phần của mạng. Máy phân tích ghi lại tất cả các luồng (chặn và ghi lại lưu lượng truy cập Internet) và, nếu cần, giải mã dữ liệu, lưu trữ tuần tự thông tin người dùng được truyền đi.

Các sắc thái của việc sử dụng theo dõi trực tuyến thông qua trình thám thính.

Trên kênh phát sóng của mạng máy tính LAN (Mạng cục bộ) của người dùng, tùy thuộc vào cấu trúc của mạng (bộ chuyển mạch hoặc trung tâm), các trình thám thính chặn lưu lượng truy cập của toàn bộ hoặc một phần mạng đến từ một máy tính xách tay hoặc máy tính. Tuy nhiên, bằng cách sử dụng nhiều phương pháp khác nhau (ví dụ: giả mạo ARP), có thể đạt được lưu lượng truy cập Internet và các hệ thống máy tính khác được kết nối với mạng.

Sniffers cũng thường được sử dụng để giám sát mạng máy tính. Thực hiện giám sát liên tục, liên tục, máy phân tích gói mạng xác định các hệ thống chậm, bị lỗi và truyền (qua email, điện thoại hoặc máy chủ) thông tin lỗi dẫn đến quản trị viên.

Trong một số trường hợp, sử dụng vòi mạng là cách đáng tin cậy hơn để giám sát lưu lượng truy cập Internet trực tuyến hơn là giám sát các cổng. Đồng thời, xác suất phát hiện các gói (luồng) bị lỗi tăng lên, điều này có tác động tích cực khi tải mạng cao.
Ngoài ra, các trình thám thính còn rất giỏi trong việc giám sát các mạng cục bộ không dây đơn và đa kênh (còn gọi là mạng LAN không dây) khi sử dụng nhiều bộ điều hợp.

Trên mạng LAN, trình thám thính có thể chặn cả lưu lượng một chiều (chuyển gói thông tin đến một địa chỉ) và lưu lượng phát đa hướng một cách hiệu quả. Trong trường hợp này, bộ điều hợp mạng phải có chế độ bừa bãi.

Trên mạng không dây, ngay cả khi bộ điều hợp ở chế độ “lăng nhăng”, các gói dữ liệu không được chuyển hướng khỏi hệ thống (chính) đã được định cấu hình sẽ tự động bị bỏ qua. Để giám sát các gói thông tin này, bộ điều hợp phải ở chế độ khác - giám sát.

Trình tự chặn các gói thông tin.

1. Chặn tiêu đề hoặc toàn bộ nội dung.

Kẻ đánh hơi có thể chặn toàn bộ nội dung của gói dữ liệu hoặc chỉ phần tiêu đề của chúng. Tùy chọn thứ hai cho phép bạn giảm các yêu cầu chung về lưu trữ thông tin, cũng như tránh các vấn đề pháp lý liên quan đến việc xóa trái phép thông tin cá nhân của người dùng. Đồng thời, lịch sử của các tiêu đề gói được truyền có thể có đủ lượng thông tin để xác định thông tin cần thiết hoặc chẩn đoán lỗi.

2. Giải mã gói tin.

Thông tin bị chặn được giải mã từ dạng kỹ thuật số (không thể đọc được) thành dạng dễ nhận biết và đọc được. Hệ thống sniffer cho phép quản trị viên bộ phân tích giao thức dễ dàng xem thông tin đã được người dùng gửi hoặc nhận.

Máy phân tích khác nhau ở:

khả năng hiển thị dữ liệu(tạo sơ đồ thời gian, xây dựng lại các giao thức dữ liệu UDP, TCP, v.v.);
loại ứng dụng(để phát hiện lỗi, nguyên nhân cốt lõi hoặc theo dõi người dùng trực tuyến).

Một số trình thám thính có thể tạo ra lưu lượng truy cập và hoạt động như một thiết bị nguồn. Ví dụ: chúng sẽ được sử dụng làm người kiểm tra giao thức. Các hệ thống đánh hơi thử nghiệm như vậy cho phép bạn tạo lưu lượng truy cập chính xác cần thiết cho việc thử nghiệm chức năng. Ngoài ra, những kẻ đánh hơi có thể cố tình đưa ra các lỗi để kiểm tra khả năng của thiết bị đang được thử nghiệm.

Máy đánh hơi phần cứng.

Máy phân tích lưu lượng cũng có thể thuộc loại phần cứng, ở dạng đầu dò hoặc mảng đĩa (loại phổ biến hơn). Các thiết bị này ghi lại các gói thông tin hoặc các phần của chúng vào một mảng đĩa. Điều này cho phép bạn tạo lại bất kỳ thông tin nào được người dùng nhận hoặc truyền lên Internet hoặc xác định kịp thời sự cố trong lưu lượng truy cập Internet.

Phương pháp áp dụng.

Máy phân tích gói mạng được sử dụng cho:

phân tích các vấn đề hiện có trong mạng;
phát hiện các nỗ lực xâm nhập mạng;
xác định hành vi lạm dụng lưu lượng truy cập của người dùng (trong và ngoài hệ thống);
ghi lại các yêu cầu quy định (chu vi đăng nhập có thể có, điểm cuối phân phối lưu lượng truy cập);
thu thập thông tin về khả năng xâm nhập mạng;
cách ly hệ điều hành;
giám sát việc tải các kênh mạng toàn cầu;
được sử dụng để theo dõi trạng thái mạng (bao gồm hoạt động của người dùng cả trong và ngoài hệ thống);
giám sát dữ liệu di chuyển;
Giám sát mạng WAN và trạng thái bảo mật điểm cuối;
thu thập số liệu thống kê mạng;
lọc nội dung đáng ngờ đến từ lưu lượng mạng;
tạo nguồn dữ liệu chính để theo dõi trạng thái và quản lý mạng;
theo dõi trực tuyến như một gián điệp thu thập thông tin bí mật của người dùng;
gỡ lỗi liên lạc giữa máy chủ và máy khách;
kiểm tra tính hiệu quả của kiểm soát nội bộ (kiểm soát truy cập, tường lửa, bộ lọc thư rác, v.v.).

Máy đánh hơi cũng được các cơ quan thực thi pháp luật sử dụng để theo dõi hoạt động của tội phạm bị nghi ngờ. Xin lưu ý rằng tất cả các ISP và ISP ở Hoa Kỳ và Châu Âu đều tuân thủ CALEA.

Máy đánh hơi phổ biến.

Các máy phân tích hệ thống có nhiều chức năng nhất để theo dõi trực tuyến:

Chương trình gián điệp NeoSpy, có hoạt động chính là giám sát hành động trực tuyến của người dùng, ngoài mã chương trình sniffer phổ quát, còn bao gồm mã keylogger (keylogger) và các hệ thống theo dõi ẩn khác.