Kao čovjek u sredini. Pojmovi. Injekcija zlonamjernog koda

U ovom članku pokušat ćemo shvatiti teoriju napada čovjeka u sredini i neke praktične točke koje će pomoći u sprječavanju ovih vrsta napada. To će nam pomoći razumjeti rizik koji takvi upadi predstavljaju za našu privatnost, budući da nam MitM napadi dopuštaju upadanje u komunikaciju i slušanje naših razgovora.

Razumijevanje kako internet funkcionira

Da biste razumjeli napad čovjeka u sredini, prvo morate razumjeti kako funkcionira sam Internet. Glavne točke interakcije: klijenti, usmjerivači, poslužitelji. Najčešći komunikacijski protokol između klijenta i poslužitelja je Hypertext Transfer Protocol (HTTP). Surfanje webom putem preglednika, e-pošte, razmjenu trenutnih poruka - sve se obavlja putem HTTP-a.

Kada upišete u adresnu traku preglednika, klijent (vi) šalje poslužitelju zahtjev za prikaz web stranice. Paket (HTTP GET zahtjev) se šalje preko više usmjerivača na poslužitelj. Poslužitelj tada odgovara web stranicom koja se šalje klijentu i prikazuje na njegovom monitoru. HTTP poruke moraju se prenositi u sigurnom načinu kako bi se osigurala povjerljivost i anonimnost.

Slika 1. Interakcija klijent-poslužitelj

Osiguravanje komunikacijskog protokola

Sigurni komunikacijski protokol mora imati svako od sljedećih svojstava:

1. privatnost- Samo željeni primatelj može pročitati poruku.
2. Autentičnost- dokazuje se identitet strana u interakciji.
3. Integritet- potvrda da poruka nije promijenjena u prijenosu.

Ako se barem jedno od ovih pravila ne poštuje, cijeli je protokol ugrožen.

Napad čovjeka u sredini preko HTTP protokola

Napadač može lako izvesti napad čovjeka u sredini koristeći tehniku ​​koja se zove ARP lažiranje. Svatko na vašoj Wi-Fi mreži može vam poslati lažni ARP paket, uzrokujući da nesvjesno pošaljete sav svoj promet preko napadača umjesto putem usmjerivača.

Nakon toga napadač preuzima potpunu kontrolu nad prometom i može pratiti zahtjeve poslane u oba smjera.

Slika 2. Shema napada čovjeka u sredini

Kako bi se spriječili takvi napadi, stvorena je sigurna verzija HTTP protokola. Sigurnost transportnog sloja (TLS) i njegov prethodnik, Secure Socket Layer (SSL), kriptografski su protokoli koji pružaju sigurnu komunikaciju preko mreže. Stoga će se sigurni protokol zvati HTTPS. Možete vidjeti kako radi sigurni protokol tako da upišete u adresnu traku svog preglednika (obratite pažnju na S u https).

Napad čovjeka u sredini na loše implementirani SSL

Moderni SSL koristi dobar algoritam enkripcije, ali nije važno ako nije ispravno implementiran. Ako haker može presresti zahtjev, može ga promijeniti uklanjanjem "S" sa traženog URL-a, zaobilazeći tako SSL.

Takvo presretanje i modifikacija zahtjeva može se primijetiti. Na primjer, ako zatražite https://login.yahoo.com/, a odgovor je http://login.yahoo.com/ , to bi trebalo izazvati sumnju. U trenutku pisanja, takav napad zapravo radi na Yahoo servisu e-pošte.

Slika 3. Presretanje i izmjena zahtjeva

Kako bi spriječili takav napad, poslužitelji mogu implementirati HTTP Strict Transport Security (HSTS), mehanizam koji provodi prisilnu sigurnu vezu preko HTTPS protokola. U ovom slučaju, ako napadač izmijeni zahtjev uklanjanjem "S" iz URL-a, poslužitelj će i dalje preusmjeriti korisnika s preusmjeravanjem 302 na stranicu sa sigurnim protokolom.

Slika 4. Shema rada HSTS-a

Ovaj način implementacije SSL-a ranjiv je na drugu vrstu napada – napadač stvara SSL vezu s poslužiteljem, ali prevari korisnika da koristi HTTP.

Slika 5. Shema napada za HSTS

Kako bi spriječili takve napade, moderni preglednici poput Chromea, Firefoxa i Tor nadziru web-mjesta koja koriste HSTS i provode SSL vezu na strani klijenta s njima. U tom slučaju, napadač koji provodi napad "čovjek u sredini" morat će stvoriti SSL vezu sa žrtvom.

Slika 6. Shema napada, gdje napadač uspostavlja SSL vezu sa žrtvom

Kako bi korisniku osigurao SLL vezu, napadač mora znati kako se ponašati kao poslužitelj. Idemo razumjeti tehničke aspekte SSL-a.

Razumijevanje SSL-a

Sa hakerske točke gledišta, kompromitiranje bilo kojeg komunikacijskog protokola svodi se na pronalaženje slabe karike među gore navedenim komponentama (privatnost, autentičnost i integritet).

SSL koristi asimetrični algoritam šifriranja. Kod simetrične enkripcije problem je što se isti ključ koristi za šifriranje i dešifriranje podataka, ovaj pristup nije prihvatljiv za internetske protokole, budući da napadač može ući u trag tom ključu.

Asimetrična enkripcija, s druge strane, uključuje 2 ključa za svaku stranu: javni ključ koji se koristi za šifriranje i privatni ključ koji se koristi za dešifriranje podataka.

Slika 7. Rad javnih i privatnih ključeva

Kako SSL osigurava tri svojstva potrebna za sigurnu komunikaciju?

1. Budući da se za šifriranje podataka koristi asimetrična kriptografija, SSL pruža privatnu vezu. Ovu enkripciju nije tako lako razbiti i ostati neprimijećena.
2. Poslužitelj dokazuje svoju legitimnost slanjem klijentu SSL certifikata izdanog od strane certifikacijskog tijela, treće strane od povjerenja.

Ako napadač nekako uspije doći do certifikata, može stvoriti uvjete za napad čovjeka u sredini. Tako će stvoriti 2 veze - s poslužiteljem i sa žrtvom. Poslužitelj u ovom slučaju misli da je napadač običan klijent, a žrtva nema načina da identificira napadača, budući da je dostavio certifikat koji dokazuje da je poslužitelj.

Vaše poruke stižu i stižu u šifriranom obliku, ali prolaze duž lanca kroz računalo kibernetičkog kriminalca, gdje on ima potpunu kontrolu.

Slika 8. Shema napada ako napadač ima certifikat

Certifikat ne mora biti krivotvoren ako napadač ima mogućnost kompromitirati žrtvin preglednik. U tom slučaju može umetnuti samopotpisani certifikat koji će prema zadanim postavkama biti pouzdan. Ovako se provodi većina napada čovjeka u sredini. U složenijim slučajevima haker mora ići drugim putem – krivotvoriti certifikat.

Problemi certifikacijskih tijela

Potvrdu koju šalje poslužitelj izdaje i potpisuje tijelo za izdavanje certifikata. Svaki preglednik ima popis pouzdanih CA-a i možete ih dodati ili ukloniti. Ovdje je problem u tome što ako odlučite ukloniti velika ovlaštenja, nećete moći posjećivati ​​stranice koje koriste certifikate potpisane od strane tih tijela.

Certifikati i CA-ovi su uvijek bili najslabija karika u HTTPS vezi. Čak i ako je sve ispravno implementirano i svaki certifikacijski organ ima solidan autoritet, još uvijek je teško pomiriti se s činjenicom da morate vjerovati mnogim trećim stranama.

Danas postoji više od 650 organizacija sposobnih za izdavanje certifikata. Ako napadač hakuje bilo koju od njih, dobit će sve certifikate koje želi.

Čak i kada je postojalo samo jedno tijelo za izdavanje certifikata, VeriSign, postojao je problem - ljudi koji su trebali spriječiti napade čovjeka u sredini prodavali su usluge presretanja.

Također, mnoge certifikate stvorila su hakerska tijela za izdavanje certifikata. Korištene su razne tehnike i trikovi kako bi se napadnuti korisnik prisilio da vjeruje lažnim certifikatima.

Kriminalistika

Budući da napadač šalje lažne ARP pakete, ne možete vidjeti njegovu IP adresu. Umjesto toga, morate obratiti pažnju na MAC adresu, koja je specifična za svaki uređaj na mreži. Ako znate MAC adresu vašeg usmjerivača, možete je usporediti s MAC adresom zadanog pristupnika kako biste saznali je li to stvarno vaš usmjerivač ili uljez.

Na primjer, u sustavu Windows možete koristiti naredbu ipconfig u naredbenom retku (CMD) da biste vidjeli IP adresu vašeg zadanog pristupnika (zadnji redak):

Slika 9 Korištenje naredbe ipconfig

Zatim upotrijebite naredbu arp -a da saznate MAC adresu ovog pristupnika:

Slika 10. Korištenje naredbe arp –a

Ali postoji još jedan način da primijetite napad - ako ste pratili mrežnu aktivnost u trenutku kada je počela i gledali ARP pakete. Na primjer, možete koristiti Wireshark u tu svrhu, ovaj program će vas obavijestiti ako se promijenila MAC adresa zadanog pristupnika.

Napomena: Ako napadač ispravno lažira MAC adrese, bit će veliki problem pronaći ga.

Zaključak

SSL je protokol koji napadača prisiljava na puno posla kako bi izvršio napad. Ali to vas neće zaštititi od napada koje sponzorira vlada ili kvalificiranih hakerskih organizacija.

Zadatak korisnika je zaštititi svoj preglednik i računalo kako bi spriječio umetanje lažnog certifikata (vrlo česta tehnika). Također biste trebali obratiti pažnju na popis pouzdanih certifikata i ukloniti one u koje nemate povjerenja.

Označava situaciju kada napadač može čitati i mijenjati po svojoj volji poruke koje razmjenjuju dopisnici, a nitko od potonjih ne može pogoditi njegovu prisutnost na kanalu.

Zaklada Wikimedia. 2010 .

Pogledajte što je "Čovjek u sredini (napad)" u drugim rječnicima:

Čovjek u sredini napada, MITM attack (eng. Man in the Middle) je pojam u kriptografiji koji se odnosi na situaciju u kojoj je kriptoanalitičar (napadač) u mogućnosti čitati i mijenjati poruke koje se razmjenjuju po svojoj volji... ... Wikipedia

- ... Wikipedia

Kriptanaliza (od grčkog κρυπτός skriven i analiza) je znanost o metodama za dobivanje početne vrijednosti šifriranih informacija bez pristupa tajnim informacijama (ključu) potrebnim za to. U većini slučajeva to znači ... ... Wikipedia

Hakerski napad u užem smislu riječi trenutno se shvaća izrazom "Napad na sigurnosni sustav" i više nalikuje značenju sljedećeg izraza Cracker napad. To se dogodilo zbog izobličenja značenja riječi "haker" ... Wikipedia

- (od dr. grč. κρυπτός skriven i analiza) znanost o metodama za dešifriranje šifriranih informacija bez ključa namijenjenog takvom dešifriranju. Pojam je uveo američki kriptograf William F. Friedman 1920. godine. Neformalno ... ... Wikipedia

Napad "čovjek u sredini" (eng. Man in the Middle, MitM-attack) - pojam u kriptografiji, koji označava situaciju u kojoj napadač može čitati i mijenjati poruke koje razmjenjuju dopisnici po volji, a nitko od potonjih ne može pogodite o njegovoj prisutnosti na kanalu.

Metoda kompromitiranja komunikacijskog kanala, u kojoj napadač, nakon povezivanja na kanal između suradnika, aktivno intervenira u protokol prijenosa, briše, iskrivljuje informacije ili nameće lažne informacije.

Princip napada:

Recimo da objekt "A" planira poslati neke informacije objektu "B". Objekt "C" ima znanja o strukturi i svojstvima korištene metode prijenosa podataka, kao i o činjenici planiranog prijenosa stvarnih informacija koje "C" planira presresti.

Za izvođenje napada, "C" se "predstavlja" objektu "A" kao "B", a objektu "B" kao "A". Objekt "A", pogrešno vjerujući da šalje informaciju "B", šalje je objektu "C".

Objekt "C", nakon što je primio informaciju i izvršio neke radnje s njima (na primjer, kopirao ili modificirao za vlastite potrebe), šalje podatke samom primatelju - "B"; objekt "B", pak, smatra da je informaciju dobio izravno od "A".

Primjer MitM napada:

Pretpostavimo da je Alice u financijskim problemima i pomoću programa za razmjenu trenutnih poruka odluči zatražiti od Johna iznos novca slanjem poruke:

Alice: John, bok!
Alice: Pošaljite ključ za šifriranje, postoji mali zahtjev!
Ivan: Hej! Čekaj malo!

No, u ovom trenutku znatiželju je izazvao gospodin X, koji je analizirajući promet njuškalom uočio ovu poruku i riječi "ključ za šifriranje". Zato je odlučio presresti sljedeće poruke i zamijeniti ih podacima koji su mu bili potrebni, a kada je dobio sljedeću poruku:

Ivan: Evo mog ključa: 1111_D

Promijenio je Johnov ključ u svoj i poslao poruku Alice:

Ivan: Evo mog ključa: 6666_M

Alice, nesvjesna i misli da je to Johnov ključ, koristeći privatni ključ 6666_M, šalje šifrirane poruke Ivanu:

Alice: Johne, u nevolji sam i hitno mi treba novac, molim te prebaci 300 dolara na moj račun: Z12345. Hvala vam. p.s. Moj ključ: 2222_A

Nakon što je primio poruku, Mister-X je dešifrira svojim ključem, čita je i radujući se mijenja Alicein broj računa i ključ za šifriranje u svoje, šifrira poruku ključem 1111_D, i šalje Johnu poruku:

Alice: Johne, imam problema i hitno mi treba novac, molim te prebaci 300$ na moj račun: Z67890. Hvala vam. p.s. Moj ključ: 6666_A

Nakon što je primio poruku, Ivan je dešifrira pomoću ključa. 1111_D, i bez sumnje će prebaciti novac na račun Z67890...

I tako je gospodin X zaradio 300 dolara koristeći napad čovjeka u sredini, ali Alice sada mora objasniti da nije dobila novac... A John? John mora dokazati Alice da ih je poslao...

Implementacija:

Sličan tip napada koristi se u nekim softverskim proizvodima za slušanje mreže, na primjer:

NetStumbler- program s kojim možete prikupiti puno korisnih podataka o bežičnoj mreži i riješiti neke probleme povezane s njezinim radom. NetStumbler vam omogućuje određivanje dometa mreže i pomaže vam da točno usmjerite antenu za komunikaciju na velikim udaljenostima. Za svaku pronađenu pristupnu točku možete saznati MAC adresu, omjer signala i šuma, naziv usluge i stupanj njezine sigurnosti. Ako promet nije šifriran, tada će biti korisna sposobnost programa da otkrije neovlaštene veze.

dsniff- je skup programa za reviziju mreže i provjere penetracije, pruža pasivno praćenje mreže za traženje podataka od interesa (lozinke, adrese e-pošte, datoteke itd.), presretanje mrežnog prometa koji je inače nedostupan za analizu (npr. , na komutiranoj mreži), kao i mogućnost organiziranja MITM napada za presretanje SSH i HTTPS sesija iskorištavanjem nedostataka PKI-ja.

Kain i Abel- besplatni program koji vam omogućuje vraćanje izgubljenih lozinki za operacijske sustave obitelji Windows. Podržano je nekoliko načina oporavka: brute-force brute-force cracking, odabir rječnika, pregled lozinki skrivenih zvjezdicama itd. Postoje i opcije za otkrivanje lozinki presretanjem informacijskih paketa i njihovom naknadnom analizom, snimanjem mrežnih razgovora, analizom predmemorije i drugim.

Ettercap- je njuškalo, presretač paketa i registrator za lokalne Ethernet mreže, koji podržava aktivnu i pasivnu analizu mnogih protokola, kao i "ubacivanje" vlastitih podataka u postojeću vezu i filtriranje "u hodu" bez ometanja sinkronizacije veze. Program vam omogućuje presretanje SSH1, HTTPS i drugih sigurnih protokola i pruža mogućnost dešifriranja lozinki za sljedeće protokole: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA- skup uslužnih programa za procjenu sigurnosti bežičnih klijenata, bežični je njuškalo koji, pasivnim slušanjem okvira 802.11 Probe Request, omogućuje otkrivanje klijenata i njihovih preferiranih/pouzdanih mreža. Lažna pristupna točka se tada može stvoriti za jednu od traženih mreža, na koju se može automatski povezati. Lažne usluge visoke razine mogu se koristiti za krađu osobnih podataka ili iskorištavanje ranjivosti na strani klijenta na hostu.

airjack- skup programa koji je, prema mišljenju stručnjaka iz područja WiFi hakiranja, najbolji alat za generiranje raznih 802.11 okvira. AirJack uključuje niz uslužnih programa dizajniranih za otkrivanje skrivenog ESSID-a, slanje okvira za završetak sesije s lažnim MAC-om, izvođenje MitM napada i njegovo modificiranje.

Oporba:

Kako bi izbjegli napade ovog tipa, dovoljno je da pretplatnici "A" i "B" međusobno prenesu digitalne potpise javnih ključeva za šifriranje koristeći pouzdan kanal. Zatim, kada se uspoređuju potpisi ključeva u sesijama šifriranja, bit će moguće utvrditi kojim ključem su podaci šifrirani i jesu li ključevi lažirani.

Napad čovjeka u sredini generički je naziv za različite tehnike koje imaju za cilj dobivanje pristupa prometu kao posrednika. Zbog velike raznolikosti ovih tehnika, problematično je implementirati jedan alat za otkrivanje ovih napada koji bi funkcionirao u svim mogućim situacijama. Na primjer, u napadu čovjeka u sredini na lokalnu mrežu obično se koristi ARP lažiranje (trovanje). Mnogi alati za otkrivanje napada "čovjek u sredini" prate promjene para Ethernet adresa/ili prijavljuju sumnjivu ARP aktivnost pasivnim praćenjem ARP zahtjeva/odgovora. Ali ako se ovaj napad koristi na zlonamjerno konfiguriranom proxy poslužitelju, VPN-u ili drugim opcijama kada se ARP trovanje ne koristi, onda su takvi alati bespomoćni.

Svrha ovog odjeljka je pogledati neke tehnike za otkrivanje napada čovjeka u sredini, kao i neke alate dizajnirane za utvrđivanje jeste li pod MitM napadom. Zbog različitih metodologija i scenarija implementacije, ne može se jamčiti 100% otkrivanje.

1. Otkrivanje promjene prometa

Kao što je već spomenuto, ARP lažiranje se ne koristi uvijek u napadima čovjeka u sredini. Stoga, dok je otkrivanje aktivnosti na razini ARP najpopularnija metoda otkrivanja, otkrivanje promjene prometa je općenitija metoda. U tome nam može pomoći program mitmcanary.

Princip programa je da postavlja "kontrolne" zahtjeve i sprema zaprimljene odgovore. Nakon toga ponavlja iste zahtjeve u određenim intervalima i uspoređuje primljene odgovore. Program je prilično inteligentan i, kako bi izbjegao lažne pozitivne rezultate, detektira dinamičke elemente u odgovorima i ispravno ih obrađuje. Čim program zabilježi tragove aktivnosti alata za MitM napade, izvještava o tome.

Primjeri kako neki alati mogu "naslijediti":

• MITMf , prema zadanim postavkama mijenja sve HTTPS URL-ove u HTML kodu u HTTP. Otkriveno usporedbom HTTP sadržaja.
• Zarp + MITMProxy , MITMProxy ima značajku koja vam omogućuje brisanje HTTP kompresije, koristi se za transparentnost prenesenog prometa, ovaj paket se detektira nestankom prethodno prisutne kompresije
• Odgovornik, otkriven naglim promjenama u prijevodu mDNS odgovora: neočekivani odgovor; odgovor je unutarnji, ali se očekuje vanjski; odgovor je drugačiji od očekivanog IP-a

• MITMCanary vs MITMF:

• MITMCanary vs Responder:

• MITMCanary vs Zarp + MITMProxy:

sudo pip install Cython sudo apt-get install python-kivy python-dbus sudo pip install plyer uuid urlopen analiza zahtjeva simplejson datetime git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Kao što je već spomenuto, rad mitmcanaryja mora se započeti s kontrolnim zahtjevima. Da biste to učinili, idite na imenik

cd servis/

I pokrenite datoteku setup_test_persistence.py:

Python2 setup_test_persistence.py

Ovo će potrajati - pričekajte do kraja. Ne bi se smjele prikazivati ​​poruke o pogrešci (ako je tako, onda vam nedostaju neke ovisnosti).

Nešto poput ovoga će biti izlaz:

[e-mail zaštićen]:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Otkrivena starija verzija konfiguracije (0 umjesto 14) Nadogradnja konfiguracije je u tijeku. Otpušten dnevnik čišćenja. Analiza... Čišćenje je završeno! Snimi prijavu /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (zadano, 1. rujna 2016., 20:27:38)

Nakon završetka ovog procesa, u istom direktoriju, izvršite (ovo će pokrenuti pozadinski proces):

Python2 main.py

Nakon toga otvorite novi prozor terminala i prijeđite u korijenski direktorij s mitmcanary. Moj imenik je bin/mitmcanary/, pa ulazim

CD bin/mitmcanary/

i tamo izvršiti:

Python2 main.py

Prvi prozor će prikazati nešto poput:

[e-mail zaštićen]:~/bin/mitmcanary/service$ python2 main.py Zabilježite prijavu /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (zadano, 1. rujna 2016., 20:27 :38) koristeći za slušanje utičnice za Tuio na 127.0.0.1:3000 Spavanje 60 sekundi Spavanje 60 sekundi Spavanje 60 sekundi Spavanje 60 sekundi Spavanje 60 sekundi Spavanje 60 sekundi

Oni. program postavlja kontrolne zahtjeve jednom u minuti i traži u njima znakove napada čovjeka u sredini.

U drugom prozoru također se nalazi izlaz + otvara se tamni prozor, autori programa ovaj prozor nazivaju "grafičko sučelje":

Možete pričekati neko vrijeme, surfati Internetom kako biste bili sigurni da program ne daje lažna upozorenja.

Isprobajmo klasični Ettercap program.

Izvodim redoviti MitM napad s ARP lažiranjem. mitmcanary ne reagira na sam jetkanje. Alat mitmcanary sam generira promet, tj. nije potrebna nikakva radnja korisnika. Nakon nekog vremena pojavljuje se jedno jedino upozorenje, koje se ne potvrđuje tijekom sljedećih provjera. Ali isto upozorenje se pojavljuje nakon nekoliko minuta. Bez dodatne analize, teško mi je reći je li ovo primjer lažno pozitivnog – vrlo je sličan ovome. Moguće je da je ovo upozorenje uzrokovano neuspjehom veze zbog potrebe da promet prolazi dodatnim rutama ili zbog osobitosti moje loše internetske veze.

Budući da rezultat nije očit (radije "ne" nego "da"), pokušajmo s programom Bettercap koji ima razne module. Ne sumnjam da bismo pri korištenju raznih Ettercap dodataka i/ili dodatnih programa za proširenje funkcionalnosti također “svijetlili” za mitmcanary.

Radi čistoće eksperimenta, ponovno pokrećem opremu, pokrećem mitmcanary na napadnutom stroju i Bettercap na napadačkom. Istodobno, nije potrebno ponovno postavljati kontrolne zahtjeve na napadnutom stroju - oni se spremaju u datoteku unutar direktorija s programom. Oni. dovoljno je pokrenuti servis i grafičko sučelje.

A u napadačkom stroju pokrenut ćemo Bettercap s uključenim parserima:

Sudocap -X

Pojavljuju se zasebna upozorenja, koja također više izgledaju kao lažno pozitivni.

Ali izvođenje ove naredbe:

sudo bettercap -X --proxy

Na napadnutom stroju izaziva veliki broj upozorenja o mogućem napadu čovjeka u sredini:

Dakle, što je funkcionalniji alat za napad čovjek u sredini, to ostavlja više tragova u prometu. Za praktičnu upotrebu mitmcanaryja moraju biti ispunjeni sljedeći uvjeti:

• napravite početne zahtjeve u pouzdanoj mreži kada ste sigurni da nema posrednika u prijenosu prometa;
• uredite resurse na koje se upućuju zahtjevi za provjeru, budući da profesionalni napadač može dodati zadane resurse iznimkama, što će ga učiniti nevidljivim ovom alatu.

2. Otkrivanje ARP lažiranja (trovanja arp predmemorije)

Vrlo često napad čovjeka u sredini na lokalnu mrežu počinje trovanjem ARP-om. Zato se mnogi alati dizajnirani za otkrivanje MitM napada temelje na mehanizmu za praćenje promjena u ARP predmemoriji, u kojem se dodjeljuju korespondencije između Ethernet (MAC adresa) i IP adresa.

Primjeri takvih programa uključuju arpwatch, arpalert i veliki broj novih programa. Program ArpON ne samo da prati promjene ARP predmemorije, već ga i štiti od njih.

Kao primjer, pokrenimo arpwatch u načinu za otklanjanje pogrešaka, bez stvaranja forkova u pozadini i slanja poruka poštom. Umjesto toga, poruke se šalju na stderr (standardni izlaz greške).

sudo /usr/sbin/arpwatch -d

Na napadačkom stroju pokrenite Ettercap i pokrenite ARP lažiranje. Na napadnutom stroju uočavamo:

Program arpwatch pomoći će vam da brzo saznate o novim uređajima spojenim na vašu lokalnu mrežu, kao i o promjenama u ARP predmemoriji.

Još jedan alat za otkrivanje ARP lažiranja u stvarnom vremenu je dodatak koji je sam Ettercap nazvao arp_cop. Na napadnutom stroju pokrenite Ettercap na sljedeći način:

sudo ettercap -TQP arp_cop ///

A na napadaču, krenimo s ARP-jetkanjem. Na napadnutom stroju odmah se počinju pojavljivati ​​upozorenja:

3. Otkrivanje lažiranja DNS-a

DNS lažiranje označava da postoji posrednik između vas i odredišta koji može izmijeniti vaš promet. Kako možete otkriti da su DNS zapisi lažirani? Najlakši način za to je usporedba s odgovorima poslužitelja imena kojem vjerujete. Ali uostalom, unosi u odgovoru koji je poslan na vaš zahtjev također se mogu zamijeniti ...

Oni. morate provjeriti ili putem šifriranog kanala (na primjer, putem Tora) ili koristiti nestandardne postavke (drugi port, TCP umjesto UDP). Sans program iz XiaoxiaoPua je otprilike za to namijenjen (bar, kako ja razumijem). Uspio sam koristiti ovaj program za preusmjeravanje DNS upita kroz Tor i kroz nestandardne postavke na moj DNS poslužitelj. Ali nikad je nisam uspio natjerati da mi pokaže poruke o lažiranju DNS odgovora. A bez toga se gubi smisao programa.

Nisam mogao pronaći bolje alternative.

U principu, s obzirom na to da DNS spooferi obično prate samo port 53, i to samo UDP protokol, čak i ručno je dovoljno jednostavno provjeriti činjenicu DNS spoofinga, iako je za to potreban vlastiti DNS poslužitelj nestandardne konfiguracije. Na primjer, na napadačkom stroju kreirao sam datoteku dns.conf sa sljedećim sadržajem:

Lokalni mi-al.ru

Oni. pri zahtjevu za DNS zapisom za stranicu mi-al.ru, umjesto pravog IP-a, bit će poslana IP adresa napadačevog stroja.

Trčim na napadačkom stroju:

sudo bettercap --dns dns.conf

A na napadnutom radim dvije provjere:

Dig mi-al.ru # i dig mi-al.ru -p 4560 @185.117.153.79

Rezultati:

[e-mail zaštićen]:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globalne opcije: +cmd ;; dobio odgovor: ;; ->>ZAGLAVLJE<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [e-mail zaštićen]:~$ dig mi-al.ru -p 4560 @185.117.153.79 ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; globalne opcije: +cmd ;; dobio odgovor: ;; ->>ZAGLAVLJE<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Vidi se da je za “normalan” DNS upit poslan lokalni IP 192.168.1.48, a pri upitu DNS-a na netipičnom portu šalje se ispravan IP poslužitelja.

Ako je poslužitelj konfiguriran za rad s TCP-om (a ne UDP-om), naredba bi izgledala ovako:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Očito nedostaje alat koji bi pratio DNS odgovore u prometu, dvaput ih provjerio u odnosu na alternativni izvor i podigao alarm u slučaju lažiranja.

Kako biste izbjegli postavljanje vlastitog udaljenog DNS-a, možete postaviti upit poslužitelju imena putem Tor-a. Budući da je sav Tor promet šifriran, DNS odgovori primljeni na ovaj način su preteški za posrednika. Ako Tor već nije instaliran, onda ga instalirajte.

sudo apt-get install tor

Sudo pacman -S tor

Pokrenite uslugu:

sudo systemctl start tor

Ako vam je potrebna, dodajte ovu uslugu za pokretanje:

sudo systemctl omogući tor

Otvorena datoteka /etc/tor/torrc i tamo dodajte sljedeće retke:

DNPort 530 AutomapHostsOnResolve 1 AutomapHostsSufiksi .exit, .onion

Obratite pažnju na broj 530. Ovo je broj porta, umjesto 530, možete odrediti bilo koji drugi (nezauzeti) port. Najvažnije, zapamtite to.

Opet provjeravamo:

Dig mi-al.ru # i dig mi-al.ru -p 530 @localhost

Sada navodimo kao poslužitelj lokalni domaćin, i upišite broj porta kako je navedeno u /etc/tor/torrc.

Kao što možete vidjeti na sljedećoj snimci zaslona, ​​vrši se napad lažiranja DNS-a na stroj na kojem je izvršena provjera:

4. Potražite mrežna sučelja u promiskuitetnom načinu

Ako vaša lokalna mreža ima (a pogotovo ako se iznenada pojavila) opremu u promiskuitetnom načinu rada, to je vrlo sumnjivo, iako ne ukazuje jasno na napad čovjeka u sredini.

U ovom načinu rada mrežna kartica omogućuje primanje svih paketa, bez obzira na to kome su adresirani.

U normalnom stanju, filtriranje paketa sloja veze koristi se na Ethernet sučelju, a ako MAC adresa u odredišnom zaglavlju primljenog paketa ne odgovara MAC adresi trenutnog mrežnog sučelja i nije emitirana, tada se paket odbacuje . U promiskuitetnom načinu rada, filtriranje na mrežnom sučelju je onemogućeno i svi paketi, uključujući one koji nisu namijenjeni trenutnom hostu, dopušteni su u sustav.

Većina operativnih sustava zahtijeva administratorska prava za omogućavanje promiskuitetnog načina rada. Oni. stavljanje mrežne kartice u promiskuitetni način rada je svjesni čin koji može služiti u svrhu njuškanja.

Za traženje mrežnih sučelja u promiskuitetnom načinu, postoji dodatak Ettercap koji se zove search_promisc.

Primjer pokretanja dodatka:

sudo ettercap -TQP search_promisc ///

Rad dodatka nije potpuno pouzdan, može doći do pogrešaka u određivanju načina mrežnog sučelja.

Zaključak

Neke metode napada čovjeka u sredini ostavljaju mnogo tragova, a neke (kao što je pasivno traženje vjerodajnica na proxyju) je nemoguće ili gotovo nemoguće otkriti.

U kojem napadač, nakon povezivanja na kanal između suradnika, intervenira u protokol prijenosa, briše ili iskrivljuje informacije.

Princip napada

Napad obično počinje slušanjem komunikacijskog kanala i završava tako da kriptoanalitičar pokušava zamijeniti presretnutu poruku, iz nje izvući korisne informacije i preusmjeriti je na neki vanjski resurs.

Pretpostavimo da objekt A planira poslati neke informacije objektu B. Objekt C ima znanja o strukturi i svojstvima korištene metode prijenosa podataka, kao i o činjenici da je planirani prijenos stvarnih informacija koje C planira presresti. Kako bi izvršio napad, C se "pojavljuje" objektu A kao B, a objektu B kao A. Objekt A, pogrešno vjerujući da šalje informaciju B, šalje je objektu C. Objekt C, nakon što je primio informaciju i izvođenje nekih radnji s njim (na primjer, kopiranje ili modificiranje u vlastite svrhe) šalje podatke samom primatelju - B; Objekt B zauzvrat vjeruje da je informaciju primio izravno od A.

Primjer napada

Injekcija zlonamjernog koda

Napad čovjeka u sredini omogućuje kriptoanalitičaru da ubaci svoj kod u e-poštu, SQL naredbe i web stranice (tj. dopušta SQL injekciju, HTML/script injekciju ili XSS napade), pa čak i modificira binarne datoteke koje je učitao korisnik u kako bi pristupili korisničkom računu ili promijenili ponašanje programa koji je korisnik preuzeo s interneta.

Napad na sniženje

Izraz "napad na snižavanje" odnosi se na takav napad u kojem kriptoanalitičar prisiljava korisnika da koristi manje sigurne funkcije, protokole koji su još uvijek podržani iz razloga kompatibilnosti. Ova vrsta napada može se izvesti na SSH, IPsec i PPTP protokole.

Kako bi se zaštitili od napada na stariju verziju, nesigurni protokoli moraju biti onemogućeni na barem jednoj strani; samo podržavanje i korištenje sigurnih protokola prema zadanim postavkama nije dovoljno!

SSH V1 umjesto SSH V2

Napadač može pokušati promijeniti parametre veze između poslužitelja i klijenta kada se uspostavi veza između njih. Prema govoru na Blackhat Conference Europe 2003, kriptoanalitičar može "prisiliti" klijenta da pokrene SSH1 sesiju umjesto SSH2 sesije promjenom broja verzije "1.99" SSH sesije u "1.51", što znači korištenje SSH-a V1. SSH-1 protokol ima ranjivosti koje kriptoanalitičar može iskoristiti.

IPsec

U ovom scenariju napada, kriptoanalitičar dovodi svoju žrtvu u zabludu da misli da IPsec sesija ne može započeti na drugom kraju (poslužitelju). To uzrokuje da se poruke eksplicitno prosljeđuju ako je glavni stroj u načinu vraćanja unatrag.

PPTP

U fazi pregovaranja o parametrima PPTP sesije, napadač može natjerati žrtvu da koristi manje sigurnu PAP autentifikaciju, MSCHAP V1 (odnosno, "vrati se" s MSCHAP V2 na verziju 1) ili uopće ne koristi enkripciju.

Napadač može natjerati svoju žrtvu da ponovi korak pregovaranja parametara PPTP sesije (pošalje paket Terminate-Ack), ukrasti lozinku iz postojećeg tunela i ponoviti napad.

Javna sredstva komunikacije bez zaštite autentičnosti, povjerljivosti, dostupnosti i cjelovitosti informacija

Najčešći način komunikacije za ovu grupu je društvena mreža, javni servis e-pošte i sustav za razmjenu trenutnih poruka. Vlasnik resursa koji pruža komunikacijsku uslugu ima potpunu kontrolu nad informacijama koje razmjenjuju dopisnici i, prema vlastitom nahođenju, može lako izvesti napad u bilo kojem trenutku.

Za razliku od prethodnih scenarija temeljenih na tehničkim i tehnološkim aspektima komunikacija, u ovom slučaju napad se temelji na mentalnim aspektima, odnosno na ukorijenjenju u svijesti korisnika koncepta ignoriranja zahtjeva informacijske sigurnosti.

Hoće li šifriranje spasiti?

Razmotrimo slučaj standardne HTTP transakcije. U tom slučaju napadač može vrlo lako razbiti izvornu TCP vezu na dvije nove: jednu između sebe i klijenta, drugu između sebe i poslužitelja. To je prilično jednostavno za napraviti, budući da je vrlo rijetko veza između klijenta i poslužitelja izravna, a u većini slučajeva su povezani preko više posrednih poslužitelja. MITM napad se može izvesti na bilo kojem od ovih poslužitelja.

Međutim, ako klijent i poslužitelj komuniciraju putem HTTPS-a – protokola koji podržava enkripciju – također se može izvesti napad čovjeka u sredini. Kod ove vrste veze TLS ili SSL se koristi za šifriranje zahtjeva, što, čini se, čini kanal sigurnim od njuškanja i MITM napada. Napadač može stvoriti dvije neovisne SSL sesije za svaku TCP vezu. Klijent uspostavlja SSL vezu s napadačem, koji zauzvrat stvara vezu s poslužiteljem. Preglednik u takvim slučajevima obično upozorava da certifikat nije potpisan od strane pouzdanog tijela za izdavanje certifikata, ali obični korisnici starijih preglednika lako mogu zaobići ovo upozorenje. Osim toga, napadač može imati certifikat potpisan od strane korijenskog CA (na primjer, takvi se certifikati ponekad koriste za DLP) i ne generiraju upozorenja. Osim toga, postoji niz napada na HTTPS. Stoga se HTTPS protokol ne može smatrati sigurnim od MITM napada običnih korisnika. [ ] Postoji niz mjera koje sprječavaju neke MITM napade na https web-mjesta, posebice HSTS, koji zabranjuje korištenje http veza s web-mjesta, prikvačivanje certifikata i HTTP prikvačivanje javnog ključa, koji zabranjuju zamjenu certifikata.

Otkrivanje MITM napada

Za otkrivanje napada čovjeka u sredini potrebno je analizirati mrežni promet. Na primjer, da biste otkrili SSL napad, obratite pozornost na sljedeće parametre:

• IP poslužitelja
• DNS poslužitelj
• X.509 certifikat poslužitelja
  • Je li certifikat samopotpisan?
  • Je li certifikat potpisan od strane tijela za izdavanje certifikata?
  • Je li certifikat opozvan?
  • Je li se certifikat nedavno promijenio?
  • Jesu li drugi klijenti na Internetu dobili isti certifikat?

Implementacije MITM napada

Navedeni programi mogu se koristiti za izvođenje napada čovjeka u sredini, kao i za njihovo otkrivanje i testiranje ranjivosti sustava.

vidi također

• Aspidistra (engleski) - britanski radio odašiljač korišten tijekom "invazija" iz Drugog svjetskog rata, varijanta MITM napada.
• Zavjera Babington (engleski) - zavjera protiv Elizabete I, tijekom koje je Walsingham presreo prepisku.

Ostali napadi

• “Man in the Browser” je vrsta napada u kojoj napadač može trenutno promijeniti parametre transakcije, mijenjati stranice potpuno transparentno za žrtvu.
• "Meet-in-the-middle napad" - kriptografski napad koji, kao i rođendanski napad, koristi kompromis između vremena i pamćenja.
• "Gubitak u sredini" (Miss in the Middle attack) učinkovita je metoda takozvane nemoguće diferencijalne kriptoanalize.
• Relejni napad – varijanta MITM napada koji se temelji na prosljeđivanju presretnute poruke valjanom primatelju, ali ne primatelju namijenjenom.
• Rootkit je program dizajniran da sakrije tragove prisutnosti uljeza.

Napišite recenziju na članak "Napad posrednika"

Književnost

Linkovi

• www.all.net/CID/Attack/Attack74.html
• www.nag.ru/2003/0405/0405.shtml
• www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

Izvod koji karakterizira napad posrednika

"Quartire, quartire, logement", rekao je policajac, gledajući dolje u čovječuljka s snishodljivim i dobrodušnim osmijehom. – Les Francais sont de bons enfants. Que diable! Voyons! Ne nous fachons pas, mon vieux, [Apartmani, apartmani... Francuzi su dobri momci. K vragu, nemojmo se svađati, djed.] - dodao je, potapšavši preplašenog i šutljivog Gerasima po ramenu.
– A ca! Dites donc, on ne parle donc pas francais dans cette boutique? [Pa, zar i ovdje nitko ne govori francuski?] dodao je, osvrćući se oko sebe i susrevši Pierreove oči. Pierre se odmaknuo od vrata.
Policajac se opet okrene Gerasimu. Zahtijevao je da mu Gerasim pokaže sobe u kući.
- Gospodaru ne - ne razumijem ... moje tvoje ... - rekao je Gerasim, trudeći se da svoje riječi učini razumljivijima time što ih je izgovorio naopačke.
Francuski časnik, smiješeći se, raširi ruke ispred Gerasimova nosa, dajući dojam da ni on njega ne razumije, i šepajući priđe vratima gdje je stajao Pierre. Pierre se htio odmaknuti kako bi se sakrio od njega, ali je u tom trenutku ugledao Makara Alekseiča kako se naginje kroz otvorena vrata kuhinje s pištoljem u rukama. Lukavošću luđaka Makar Aleksejevič je pogledao Francuza i, podigavši ​​pištolj, nanišanio.
- Ukrcaj se!!! - viknuo je pijanac pritiskajući okidač pištolja. Francuski se časnik okrenuo na krik, a u istom trenutku Pierre je jurnuo na pijanca. Dok je Pierre zgrabio i podigao pištolj, Makar Alekseich je konačno prstom pogodio okidač, a odjeknuo je hitac koji je oglušio i zasuo sve dimom baruta. Francuz je problijedio i odjurio natrag prema vratima.
Zaboravivši na svoju namjeru da ne otkrije svoje znanje francuskog jezika, Pierre je, zgrabio pištolj i bacio ga, dotrčao do časnika i razgovarao s njim na francuskom.
- Vous n "etes pas blesse? [Jeste li ozlijeđeni?] - rekao je.
"Je crois que non", odgovorio je policajac, osjećajući sebe, "mais je l "ai manque belle cette fois ci", dodao je, pokazujući na usitnjenu žbuku na zidu. "Quel est cet homme? [Čini se da nije. .. ali ovo je jednom bilo blizu. Tko je ovaj čovjek?] - strogo gledajući Pierrea, reče policajac.
- Ah, je suis vraiment au desespoir de ce qui vient d "arriver, [Ah, stvarno sam u očaju zbog onoga što se dogodilo], brzo je rekao Pierre, potpuno zaboravljajući svoju ulogu. - C" est un fou, un malheureux qui ne savait pas ce qu "il faisait. [Ovo je nesretni luđak koji nije znao što radi.]
Policajac je prišao Makaru Aleksejeviču i uhvatio ga za ovratnik.
Makar Alekseich, razdvojenih usana, kao da je zaspao, zanjihao se, naslonjen na zid.
"Brigand, tu me la payeras", reče Francuz povlačeći ruku.
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [Razbojniče, platit ćeš mi za ovo. Naš brat je milostiv nakon pobjede, ali ne opraštamo izdajicama,] dodao je s tmurnom svečanošću u licu i lijepom energičnom gestom.
Pierre je nastavio nagovarati policajca na francuskom da ne traži od ovog pijanog, ludog čovjeka. Francuz je šutke slušao, ne mijenjajući tmurni pogled, i odjednom se sa smiješkom okrenuo Pierreu. Nekoliko sekundi ga je šutke gledao. Njegovo lijepo lice poprimilo je tragično nježan izraz i on je ispružio ruku.
- Vous m "avez sauve la vie! Vous etes Francais, [Spasio si mi život. Ti si Francuz,]", rekao je. Za Francuza je ovaj zaključak bio nepobitan. Samo je Francuz mogao učiniti veliku stvar, i spasiti svoj život, m r Ramball capitaine du 13 me leger [Monsieur Rambal, kapetan 13. lake pukovnije] bilo je, bez sumnje, najveće djelo.
Ali koliko god nedvojbeni ovaj zaključak i na njemu utemeljeno oficirsko uvjerenje, Pierre ga je smatrao potrebnim razočarati.
"Je suis Russe, [ja sam Rus]", brzo je rekao Pierre.
- Ti ti ti, a d "autres, [pričaj ovo drugima] - rekao je Francuz, mašući prstom ispred nosa i smiješeći se. - Tout a l "heure vous allez me conter tout ca", rekao je. – Charme de rencontrer un compatiriote. Eh bien! qu "allons nous faire de cet homme? [Sad ćeš mi sve ovo ispričati. Jako je lijepo upoznati sunarodnjaka. Pa! što da radimo s tim čovjekom?] - dodao je obraćajući se Pierreu, već kao bratu. Samo da Pierre nije Francuz, nakon što je jednom dobio ovo najviše ime na svijetu, ne bi ga se mogao odreći, rekao je izraz lica i ton francuskog časnika.Na posljednje pitanje Pierre je još jednom objasnio tko je Makar Alekseich , objasnio je kako je ovaj pijani, ludi muškarac neposredno prije njihovog dolaska odvukao napunjen pištolj, koji mu nisu stigli oduzeti, te zatražio da se njegovo djelo ostavi bez kazne.
Francuz je ispružio prsa i napravio kraljevsku gestu rukom.
- Vous m "avez sauve la vie. Vous etes Francais. Vous me demandez sa grace? Je vous l" accorde. Qu "on emmene cet homme, [Spasio si mi život. Ti si Francuz. Želiš li da mu oprostim? Opraštam mu. Odvedi ovog čovjeka", rekao je francuski časnik brzo i energično, uzevši za ruku ono što je proizveo za spašavanje života na Pierreov francuski i otišao s njim u kuću.
Vojnici koji su se nalazili u dvorištu, čuvši pucanj, ušli su u prolaz pitajući što se dogodilo i izražavajući spremnost da kazne krivce; ali ih je policajac oštro zaustavio.
"On vous demandera quand on aura besoin de vous, [Kad bude potrebno, bit ćete pozvani", rekao je. Vojnici su otišli. Batman, koji je u međuvremenu bio u kuhinji, prišao je časniku.
"Capitaine, ils ont de la soupe et du gigot de mouton dans la cuisine", rekao je. - Faut il vous l "apporter? [Kapetan ima juhu i pečenu janjetinu u kuhinji. Želite li to donijeti?]
- Oui, et le vin, [Da, i vino,] - rekao je kapetan.

Francuski časnik je zajedno s Pierreom ušao u kuću. Pierre je smatrao svojom dužnošću ponovno uvjeriti kapetana da nije Francuz i želio je otići, ali francuski časnik nije htio čuti za to. Bio je toliko ljubazan, ljubazan, dobroćudan i istinski zahvalan što mu je spasio život da ga Pierre nije imao hrabrosti odbiti te je sjeo s njim u hodnik, u prvu sobu u koju su ušli. Na Pierreovu tvrdnju da nije Francuz, kapetan je, očito ne shvaćajući kako je moguće odbiti tako laskavu titulu, slegnuo ramenima i rekao da, ako svakako želi biti poznat kao Rus, neka bude, ali da se on, unatoč tada, svejedno zauvijek povezao s njim osjećajem zahvalnosti što je spasio život.
Da je ta osoba bila obdarena barem nekom sposobnošću razumijevanja osjećaja drugih i da je nagađala o Pierreovim osjećajima, Pierre bi ga vjerojatno napustio; ali živa neprobojnost ovog čovjeka prema svemu što sam nije pobijedila Pierrea.
- Francais ou prince russe incognito, [Francuz ili ruski princ incognito,] - rekao je Francuz gledajući Pierreovo prljavo, ali tanko donje rublje i prsten na njegovoj ruci. - Je vous dois la vie je vous offfre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offfre mon amitie. Je ne vous dis que ca. [Dugujem ti svoj život i nudim ti prijateljstvo. Francuz nikada ne zaboravlja uvrede ili usluge. Nudim svoje prijateljstvo s tobom, ne govorim više.]
U zvucima njegova glasa, u izrazu lica, u gestama ovog časnika bilo je toliko dobre naravi i plemenitosti (u francuskom smislu) da je Pierre, odgovarajući nesvjesnim osmijehom na osmijeh Francuza, odmahnuo ispruženom rukom.
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [kapetan Ramball, trinaesta laka pukovnija, kavalir Legije časti za cilj sedmog rujna,] - predstavio se samozadovoljnim, nekontroliranim osmijehom koji naborao usne ispod brkova. - Voudrez vous bien me dire a gift, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester a l" hitna pomoć avec la balle de ce fou dans le corps. [Hoćeš li biti tako ljubazan da mi sada kaže s kim sam, imam čast tako ugodno razgovarati, umjesto da budem na previjanju s metkom ovog luđaka u tijelu?]
Pierre je odgovorio da ne može izgovoriti svoje ime i, pocrvenjevši, počeo je, pokušavajući izmisliti ime, govoriti o razlozima zašto to ne može reći, ali ga je Francuz žurno prekinuo.
"De grace", rekao je. - Je comprends vos raisons, vous etes officier ... officier superieur, peut etre. Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [Popunite, molim vas. Razumijem vas, vi ste časnik... stožerni časnik, možda. Služio si protiv nas. To se mene ne tiče. Dugujem ti svoj život. To mi je dovoljno, i sav sam tvoj. Jesi li plemić?] - dodao je uz tračak pitanja. Pierre je nakrivio glavu. - Votre nom de bapteme, s "il vous plait? Je ne zahtjeve pas davantage. Monsieur Pierre, dites vous... Parfait. C "est tout ce que je desire savoir. [Vaše ime? Ne pitam ništa drugo. Gospodine Pierre, jeste li rekli? Dobro. To je sve što mi treba.]
Kada su donijeli pečeno janje, kajganu, samovar, votku i vino iz ruskog podruma, koje su Francuzi donijeli sa sobom, Ramball je zamolio Pierrea da sudjeluje u ovoj večeri i odmah, željno i brzo, kao zdrav i gladan čovječe, počeo jesti, brzo žvačući svojim jakim zubima, neprestano cvokoćući usnama i govoreći izvrsno, exquis! [predivno, izvrsno!] Lice mu je bilo rumeno i prekriveno znojem. Pierre je bio gladan i rado je sudjelovao u večeri. Bolničar Morel donio je lonac tople vode i u nju stavio bocu crnog vina. Uz to je donio i bocu kvasa koju je uzeo iz kuhinje na probu. Ovo piće je već bilo poznato Francuzima i dobilo je ime. Nazvali su kvass limonade de cochon (svinjska limunada), a Morel je hvalio ovu limonade de cochon koju je pronašao u kuhinji. Ali budući da je kapetan imao vino dobiveno tijekom prolaska kroz Moskvu, dao je kvas Morelu i uzeo bocu Bordeauxa. Zamotao je bocu do grla u salvetu i natočio sebi i Pierreu vino. Utoljenje gladi i vina još je više oživjelo kapetana, te nije prestajao razgovarati za vrijeme večere.
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, voyez vous, de balles dans le corps. En voila une (na pokazanom na njegovu stranu) a Wagram et de deux a Smolensk, - pokazao je ožiljak koji mu je bio na obrazu. - Et cette jambe, comme vous voyez, qui ne veut pas marcher. C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une rude besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca. [Da, dragi moj gospodine Pierre, dužan sam zapaliti dobru svijeću za vas što ste me spasili od ovog luđaka. Vidite, dosta mi je metaka koje imam u tijelu. Evo jedan kod Wagrama, drugi kod Smolenska. A ova noga, vidite, ne želi se pomaknuti. To je tijekom velike bitke 7. kod Moskve. O! bilo je predivno! Trebali ste to vidjeti, bio je to poplava vatre. Zadali ste nam težak posao, možete se pohvaliti. I bogami, unatoč ovom adutu (pokazao je na križ), bio bih spreman krenuti ispočetka. Žao mi je onih koji to nisu vidjeli.]
- J "y ai ete, [bio sam tamo] - rekao je Pierre.
- Bah, vraiment! Eh bien, tant mieux, rekao je Francuz. - Vous etes de fiers ennemis, tout de meme. La grande redoute a ete tenace, nom d "une pipe. Et vous nous l" avez fait cranement payyer. J "y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes. Oh!! c" etait beau, monsieur Pierre. Vos grenadiers ont ete superbes, tonnerre de Dieu. Je les ai vu six fois de suite serrer les rangs, et marcher comme a une revue. Les beaux hommes! Notre roi de Naples, qui s "y connait a crie: bravo! Ah, ah! soldat comme nous autres! - rekao je, smiješeći se, pojeo trenutak tišine. - Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille . .. galants ... - namignuo je sa smiješkom, - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [Ba, stvarno? Utoliko bolje. Vi ste ljuti neprijatelji, moram priznati. Velika se reduta dobro držala, dovraga. I natjerao si nas da skupo platimo. Bio sam tamo tri puta, kao što vidite. Tri puta smo bili na topovima, tri puta smo bili prevrnuti kao kartaški vojnici. Tvoji grenadiri bili su sjajni, bogami. Vidio sam kako su im se šest puta zbijali redovi i kako su išli točno na paradu. Divni ljudi! Naš napuljski kralj, koji je u tim slučajevima pojeo psa, doviknuo im je: bravo! - Ha, ha, pa ti si naš brat vojnik! “Toliko bolje, toliko bolje, gospodine Pierre. Strašni u borbi, ljubazni prema ljepoticama, evo Francuza, monsieur Pierre. Nije li?]
Kapetan je u tolikoj mjeri bio naivno i dobrodušno veseo, i svesrdan, i zadovoljan sobom, da je Pierre zamalo namignuo, veselo ga gledajući. Vjerojatno je riječ "galant" natjerala kapetana da razmisli o položaju Moskve.