Računalniki Windows Internet
Razširi
doma

Preusmerjanje prometa SSH in HTTP. Preusmeritev prometa BeEF Hooking s filtri Ettercap

V tem članku si bomo z vami ogledali napade Man-in-the-Middle, oziroma metodo
preusmeritev prometa SSH in HTTP z napadom Man in the Middle. Ne vlecimo mačke za rep, ampak se lotimo posla.

Človek na sredini (skratka MitM, iz ruskega je preprosto - "napad posrednika" ali "človek"
v sredini ") je vrsta napada, ki temelji na preusmerjanju prometa med dvema strojema za prestrezanje informacij - nadaljnjo preučitev, uničenje ali spremembo. Torej, prva stvar, ki jo potrebujemo, je paket dsniff (videli boste povezavo do paket na koncu članka). Zakaj Ker ta paket vsebuje vse potrebne pripomočke, vključno s sshmitm (preusmerjanje prometa SSH) in httpmitm (preusmerjanje prometa HTTP), ki lahko zaobide naslednjo varnostno shemo: kolikor veste, šifrirani protokoli so precej "sekurni" (šifriranje v pomoč :)) in ne dovoljujejo napadov "nad" omrežne plasti. Heker ne pozna šifrirnega ključa - podatkov ni mogoče dešifrirati in tudi ukaz je vstavljen. Zdi se, da je vse bodi v redu, ampak evo kako
ker lahko napadalni programi MitM (sshmitm in httpmitm) iz paketa dsniff zaobidejo ta sistem varnost (lahko zaobidete skoraj vse). Vse to poteka po naslednjem načelu:
vmesni gostitelj prejme zahtevo od odjemalca in mu "pove", da je strežnik, nato pa se poveže z resničnim strežnikom.
Druga stvar, ki jo potrebujemo - ravne roke, četrta - najpomembnejša stvar - želja in seveda žrtev, torej računalnik, ki ga bomo napadli.

Preusmeritev prometa SSH

Po pripravi kompleta orodij ste razumeli, kaj je kaj in zakaj :). Pridobite sshmitm - zdaj bomo preusmerili promet SSH (vse, kar s teoretičnim delom nisem razumel - preberite zgoraj)
z uporabo, z uporabo pomanjkljivosti današnjega PKI (infrastruktura javnih ključev - shema upravljanja ključev, ki temelji na
metode asimetrične kriptografije). Poglejmo sintakso
sshmitm:

gostitelja sshmitm [-d] [-I] [-p]

D
omogoči izhod za odpravljanje napak (tj. naprednejši način)

jaz
prestrezanje sej

P vrata
poslušalni priključek

gostitelja
naslov oddaljenega gostitelja, katerega seje bodo prestrežene

pristanišče
vrata na oddaljenem gostitelju

Zdi se, da je vse preprosto in okusno - nič zapletenega :). Začnimo izvajati napad!

# sshmitm server.target.gov // določite svoj strežnik SSH
sshmitm: posredovanje na strežnik server.target.gov

Ker nimamo pravega ključa SSH, je tolmač ukazov napadel
bo prikazal zahtevo za preverjanje gostiteljskega ključa, vse bo izgledalo nekako tako:

clientmachine $ server.target.gov
@ OPOZORILO: IDENTIFIKACIJA DALJINSKEGA GOSTINSTVA JE SPREMENENA! @
MOŽNO JE, DA NEKDO POČNI KAJ GRUDNEGA!
Nekdo bi vas trenutno lahko prisluškoval (napad človek v sredini)!
Možno je tudi, da je bil gostiteljski ključ RSA pravkar spremenjen.
Obrnite se na skrbnika sistema.

Nato se bo uporabnik odločil, ali se bo povezal ali ne. Če je tako, bomo imeli popoln nadzor nad sejo SSH.
ALI! Če se uporabnik nikoli ni povezal s to samokolnico, se lahko prikaže naslednje sporočilo:

Pristnosti gostitelja "server.target.gov" ni mogoče ugotoviti
Prstni odtis ključa RSA je
bla: bla: bla; bla; bla ........
Ali ste prepričani, da želite nadaljevati povezavo (da / ne)?

Tu ima uporabnik tudi dve izbiri – povezati se ali ne. Če da, potem smo sejo prestregli, če ne, potem žal ... :(.
Na splošno je bil napad uspešen, če se je uporabnik povezal, sshmitm pa bo zabeležil vse prehode in prijave in je zelo berljiv 🙂
Seveda to ni edini prestreznik sej SSH, a ko se boste s tem seznanili, boste zlahka obvladali še enega

Preusmeri promet HTTP

Zdaj bomo preusmerili promet HTTP. Spet potrebujemo prej izbrano orodje: httpmitm, ki posluša na 80- (HTTP -) in 443- (HTTPS -) vratih, prestreže zahteve WEB, nato se poveže s strežnikom in posreduje zahteve odjemalskemu računalniku. Program generira tudi SSL ključe in SSL certifikate z uporabo OpenSSL. Potem po poskusu
se bo povezal s spletnim mestom (target.gov), brskalnik bo preveril potrdilo SSL. Ker se potrdila ne bodo ujemala, vas bo brskalnik opozoril
napačno potrdilo SSL. Z vidika krekerja bo videti nekako takole:

#webmitm -d
webmitm: pregledno posredovanje
webmitm: nova povezava od
PREJMI [link] /uzerz.php?user=hellknights&password=neskaju1qwerty HTTP / [različica]
Povezava: [vrsta]
Gostitelj: www.target.gov
Uporabniški agent: [podatki o sistemu, brskalniku]
[itd., itd., itd.]
Piškotek: [piškotki]

Takole je vse skupaj videti od zunaj -
povezava SSL je prestrežena z zajemanjem nešifriranih podatkov.

Zaključek

V tem članku smo preučili preusmeritev prometa SSH in HTTP z napadom Man in the Middle – jasno, podrobno, na kratko. Drugi preusmerjevalniki HTTP in SSH
prometa s pomočjo MitM-a boste hitro obvladali, če ste obvladali tudi te :)). Če nekaj ni bilo jasno - potem.

Naslednja vrsta napada je usmeriti promet napadlega računalnika na napačen naslov, ki je lahko naslov napadalca ali tretje osebe. Napadalec lahko razpolaga s podatkovnim tokom, ki ga uporabnik pošlje na primer svojemu strežniku podjetja ali bančnemu strežniku na dva načina. Prvi je, da se napadalec pretvarja v strežnik prejemnika, ki odjemalcu posreduje "sliko" in sporočila, ki jih pričakuje. Na primer, napadalec lahko simulira logičen postopek prijave za žrtev in pridobi ID uporabnika in geslo. Ti podatki se lahko kasneje uporabijo za nepooblaščen dostop do strežnika podjetja ali banke, ki je glavna tarča napada. Drugi način je organizirati tranzitni promet. Vsak prestreženi paket se zapomni in/ali analizira na napadalnem vozlišču, nato pa se posreduje na "pravi" strežnik. Tako se ves promet med odjemalcem in strežnikom prenaša preko napadalčevega računalnika.

Poglejmo nekaj tehnik, ki se uporabljajo zdaj (ali v bližnji preteklosti) pri izvajanju tovrstnih napadov. Za večino od njih so bili že razviti protiukrepi, opisani napadi pa so večinoma izobraževalne narave.

Najpreprostejši način preusmerjanja prometa v lokalnem omrežju je mogoče narediti tako, da v omrežje pošljete lažno oznako ARP. (Če pustimo ob strani vprašanje, kako pogosto se lahko pojavi takšna situacija, ko napadalca zanima prestrezanje prometa v svojem lokalnem omrežju.) V tem primeru je shema očitna: po prejemu zahteve za oddajanje ARP za določen naslov IP se napadalec pošlje napačen odgovor ARP, v katerem poroča, da dani naslov IP ustreza njegovemu lastnemu naslovu MAC.

Teoretično se lahko protokol ICMP uporablja tudi za prestrezanje in preusmeritev prometa v lokalnem omrežju. V skladu s tem protokolom usmerjevalnik pošlje privzeto sporočilo o preusmeritvi poti ICMP gostitelju neposredno priključenega lokalnega omrežja, ko ta pot ne uspe ali ko zazna, da gostitelj za neki ciljni naslov uporablja neracionalno pot. Na sl. 1 in privzeti usmerjevalnik R1, potem ko je od gostitelja H1 prejel paket, naslovljen na gostitelja H2, določi, da gre najboljša pot do gostitelja H2 skozi drug usmerjevalnik tega lokalnega omrežja, in sicer prek usmerjevalnika R2. Usmerjevalnik R1 zavrže prejeti paket in glavo postavi v sporočilo o preusmeritvi poti YMP, ki ga pošlje gostitelju H1. Sporočilo vsebuje naslov IP nadomestnega usmerjevalnika R2, ki bi ga moral gostitelj zdaj uporabiti pri pošiljanju podatkov gostitelju H2. Gostitelj H1 spremeni svojo usmerjevalno tabelo in od tega trenutka pošlje pakete gostitelju H2 po novi popravljeni poti. Za prestrezanje prometa, ki ga gostitelj H1 usmeri na gostitelja H2, mora napadalec oblikovati in poslati gostitelju HI paket, ki se prikrije kot sporočilo o preusmeritvi poti YMP (slika 1b). To sporočilo vsebuje zahtevo za posodobitev usmerjevalne tabele gostitelja H1, tako da je v vseh paketih z IP H2 naslov naslednjega usmerjevalnika IPha. ki je naslov strežnika napadalca HA. Da bi gostitelj "verjel" temu sporočilu, mora biti naslov usmerjevalnika R1, ki je privzeti usmerjevalnik, vpisan v polje naslov IP pošiljatelja. Ko paketi, ki jih pošlje zavajajoči gostitelj, začnejo prihajati v vozlišče napadalca, lahko te pakete bodisi zajame in ne posreduje naprej, posnemajoč aplikacijo, za katero so ti paketi namenjeni vzdrževanju dialoga, ali pa organizirajo tranzitni prenos podatkov na določeno ciljni naslov IPn2 - napadalec ob branju celotnega prometa med vozlišči H1 in H2 prejme vse potrebne informacije za nepooblaščen dostop do strežnika H2.

Drug način za prestrezanje prometa je uporaba beleženja DNS-omeemoe (slika 2). Naloga napadalca je pridobiti dostop do korporacijskega strežnika. Če želite to narediti, mora prevzeti ime in geslo pooblaščenega uporabnika omrežja podjetja. Odločil se je, da bo te podatke pridobil z razcepitvijo podatkovnega toka, ki ga odjemalec podjetja pošlje na strežnik podjetja. Napadalec ve, da odjemalec dostopa do strežnika, tako da navede njegovo simbolično ime DNS www.example.com. Prav tako ve, da preden pošlje paket na strežnik, programsko opremo odjemalski stroj poišče strežnik DNS, da ugotovi, kateri naslov IP ustreza temu imenu.

Cilj napadalca je prehiteti odziv strežnika DNS in odjemalcu vsiliti svoj odgovor, v katerem namesto naslova IP korporacijski strežnik(v primeru 193.25.34.125) napadalec poda naslov IP napadalnega gostitelja (203.13.1.123). Pri izvajanju tega načrta obstaja več velikih ovir.

Riž. 1. Preusmeritev poti po protokolu YMP: a - privzeti usmerjevalnik R1 pošlje gostitelju H2 sporočilo o bolj racionalni poti;
b - strežnik, ki napada, pošlje sporočilo o preusmeritvi poti k sebi

Riž. 2. Shema preusmeritve prometa z uporabo lažnih odgovorov DNS

Najprej je treba odložiti odziv strežnika DNS, za to je strežnik na primer lahko izpostavljen napadu DoS. Drugo vprašanje je povezano z določanjem številke vrat odjemalca DNS, ki jo je treba v glavi paketa navesti, da podatki pridejo do aplikacije. In če ima strežniški del DNS trajno dodeljeno tako imenovano "dobro znano" številko 53, potem odjemalski del protokola DNS ob zagonu dinamično prejme številko vrat in operacijski sistem ga izbira iz precej širokega razpona.

Upoštevajte, da lahko protokol DNS za prenos svojih sporočil uporablja tako UDP kot TCP, odvisno od tega, kako ga je konfiguriral skrbnik. Ker TCP vzpostavi logično povezavo, ki sledi številu poslanih in prejetih bajtov, se je v tem primeru veliko težje "zagnati" v dialog med odjemalcem in strežnikom kot v primeru, ko se uporablja protokol UDP datagram.

V zadnjem primeru pa ostaja problem določitve številke vrat UDP odjemalca DNS. Napadalec to težavo reši z neposrednim naštevanjem vseh možnih številk. Prav tako z naštevanjem možnih vrednosti napadalec premaga problem določanja identifikatorjev sporočil DNS. Ti identifikatorji se prenašajo v sporočilih DNS in se uporabljajo, da odjemalcu DNS omogočijo ujemanje dohodnih odgovorov s poslanimi poizvedbami. Zato napadalec bombardira odjemalski stroj z lažnimi odzivi DNS in našteje vse možne vrednosti identifikacijskih polj, tako da odjemalec na koncu enega od njih vzame za pravilen odgovor DNS. Takoj, ko se to zgodi, se lahko šteje, da je cilj napadalca dosežen - paketi od odjemalca se pošljejo na naslov napadalnega gostitelja, napadalec dobi na razpolago ime in geslo zakonitega uporabnika in s tem dostop do korporativnega strežnik.

Opis morebitnih vprašanj o varnost informacij brez opisa hekerjev in njihovih načinov dela ni mogoče. Ta izraz "heker" se uporablja v pomenu - oseba, ki vdre v računalnike.

Hekerji so dobro obveščeni, tehnično pismeni ljudje, ki jasno razumejo delovanje računalnikov in omrežij, razumejo, kako se protokoli uporabljajo za izvajanje sistemskih operacij. Hekerje je mogoče motivirati za različno delo, od želje, da bi pritegnili pozornost do najpogostejšega pohlepa.

Sodobne metode hekerskih napadov

Številne sodobne napade izvajajo tako imenovani scenaristi. Napadalci preprosto iščejo po internetu skripte za izkoriščanje in jih zaženejo proti vsakemu sistemu, ki ga najdejo. Podatki preproste načine napadi ne zahtevajo posebnega znanja ali navodil.

Obstajajo pa tudi druge metode, ki temeljijo na globljem razumevanju delovanja računalnikov, omrežij in sistemov, ki so v napadu. V tem članku bomo opisali takšne metode.

Poslušanje omrežij

Prisluškovanje ali vohanje je tehnika, ki jo uporabljajo hekerji / krekerji za zbiranje gesel in drugih sistemskih informacij. Za delovanje je omrežni vmesnik računalnika nastavljen na način poslušanja za mešani promet (promiskuitetni način), t.j. omrežni adapter bo zajel vse pakete, ki potujejo po omrežju, ne le pakete, namenjene temu vmesniku. Ta vrsta vohača dobro deluje v omrežjih s skupno pasovno širino s vozlišči.

Zdaj je zelo težko najti vozlišče velik problem- večinoma se uporabljajo omrežna stikala, zato se je učinkovitost vohanja začela zmanjševati. V preklopnem okolju se način oddajanja ne uporablja; namesto tega se paketi pošiljajo neposredno v sistem prejemnika. Vendar stikala niso zaščitne naprave. Te so navadne omrežne naprave zato je varnost, ki jo zagotavljajo, stranski produkt namena njihovega omrežja in ne strukturni element. Obstaja tudi sniffer, posebej zasnovan za preklopno okolje.

Za poslušanje prometa v preklopljenem okolju mora biti izpolnjen eden od naslednjih pogojev:
"prepričati" stikalo, da je treba promet, ki vas zanima, usmeriti na vohača;
prisilite stikalo, da pošlje ves promet na vsa vrata.

Če je eden od pogojev izpolnjen, bo lahko sniffer prebral zanimiv promet in tako hekerju posredoval informacije, ki jih išče.

Preusmeritev prometa

Stikalo usmerja promet na vrata na podlagi naslova za nadzor dostopa do medijev (MAC) za okvir Ethernet. Vsak omrežni vmesnik ima edinstven naslov MAC in stikalo "ve", kateri naslovi so na katerih vratih. Zato pri prenosu okvirja z določenim ciljnim naslovom MAC stikalo posreduje ta okvir na vrata, ki jim je ta naslov MAC dodeljen.

Spodaj so načini, s katerimi lahko stikalo preusmerite v preusmeritev omrežnega prometa do ostrešnika:
ARP ponarejanje;
podvajanje naslovov MAC;
imitacija imena domene.

ARP ponarejanje ARP je protokol za ločevanje naslovov, ki se uporablja za pridobivanje naslova MAC, povezanega z določenim naslovom IP. Deluje na naslednji način: pri prenosu prometa pošiljatelj pošlje zahtevo ARP na naslov IP prejemnika. Sprejemni sistem se na to zahtevo odzove s pošiljanjem svojega naslova MAC, ki ga bo sistem pošiljatelj uporabil za posredovanje prometa.

Če sniffer zajame promet, ki ga zanima, se bo namesto pravega ciljnega sistema odzval na zahtevo ARP in posredoval svoj naslov MAC. Posledično bo sistem pošiljatelja promet poslal vohaču.

Za učinkovit postopek je treba namesto dejanskega cilja preusmeriti ves promet na iskalnik. Če tega ne storite, obstaja možnost zavrnitve dostopa do omrežja. dodam..

Ponarejanje ARP deluje samo na podomrežjih (en sam segment omrežja), ker sporočila ARP niso preusmerjena. Sniffer mora biti nameščen na istem segmentu LAN, kjer se nahajata sistem pošiljatelja in sprejemnika.

Podvojeni naslovi MAC. Podvojitev naslova MAC ciljnega sistema je še en način, kako "prepričati" stikalo, da pošlje promet v vohalnik. Če želite to narediti, mora heker spremeniti naslov MAC na snifferju in biti v istem segmentu lokalnega omrežja.
Še enkrat bom dodal.

Za izvajanje ponarejanja ARP mora biti sniffer v istem lokalnem podomrežju kot oba sistema (pošiljatelj in prejemnik), da lahko podvoji naslove MAC.

Simulirano ime domene. Obstaja še tretji način, s katerim stikalo prisilite, da pošlje ves promet do ostrešnika: sistem pošiljatelja morate "prelisičiti", da za prenos podatkov uporabi resnični naslov MAC snifferja. To se naredi s simulacijo imena domene.

Ko izvede ta napad, vohljalec prestreže zahteve DNS iz sistema pošiljatelja in se nanje odzove. Namesto naslova IP sistemov, na katere je bila poslana zahteva, sistem pošiljatelj prejme naslov IP snifferja in mu pošlje ves promet. Nato mora vohljač ta promet preusmeriti na pravega prejemnika. Vidimo, da se v tem primeru napad ponarejanja imena domene spremeni v napad ugrabitve.

Da bi zagotovil uspeh tega napada, mora sniffer pregledati vse zahteve DNS in nanje odgovoriti, preden to stori pravi prejemnik. Zato mora biti sniffer na prometni poti od sistema pošiljatelja do strežnika DNS ali še bolje v istem lokalnem podomrežju kot pošiljatelj.

Sniffer bi si lahko ogledal zahteve, poslane prek interneta, vendar bolj ko je oddaljen od sistema pošiljatelja, težje je zagotoviti, da nanje najprej odgovori.

Pošiljanje celotnega prometa na vsa vrata

Namesto vsega zgoraj navedenega lahko heker stikalo prisili, da deluje kot vozlišče (vozlišče). Vsako stikalo uporablja določeno količino pomnilnika za shranjevanje tabele preslikav med naslovom MAC in fizičnimi vrati na stikalu. Ta spomin je omejen. Če se prelije, lahko nekatera stikala napačno sporočijo stanje "odprto". To pomeni, da bo stikalo prenehalo s posredovanjem prometa na določene naslove MAC in bo začelo ves promet posredovati na vsa vrata. Posledično bo stikalo delovalo kot pesto (pesto).

Izvajanje napadov

Zdaj pa poglejmo, kaj je potrebno za izvedbo zgornjih napadov. V primeru ponarejanja ARP, podvajanja naslova MAC ali poplave MAC se morate neposredno povezati z napadanim stikalom. Takšna povezava je potrebna tudi za simulacijo imena domene.

Zaključek - heker mora sistem namestiti na lokalno stikalo. V ta namen vstopi v sistem skozi znano ranljivost in namesti programsko opremo, potrebno za vohanje. V drugi varianti je heker že znotraj organizacije (je njen uslužbenec ali izvajalec). V tem primeru uporablja svoj zakonit dostop do lokalnega omrežja, kar mu omogoča komunikacijo s stikalom.

Prevara IP

Kot že omenjeno, se pravilnost naslovov IP v paketih, ki se prenašajo po omrežju, ne preverja. Posledično lahko heker spremeni naslov pošiljatelja, tako da se zdi, kot da paket prihaja s katerega koli naslova. Težava je v tem, da se vrnjeni paketi (SYN ACK paketi v povezavi TCP) ne bodo mogli vrniti v sistem pošiljanja. Zato je poskus ponarejanja naslova IP (ponarejanje IP) za vzpostavitev povezave TCP zelo težaven. Poleg tega glava TCP vsebuje zaporedno številko, ki se uporablja za potrditev prejema paketa. Začetna zaporedna številka (ISN) za vsako novo povezavo je izbrana psevdo-naključno.

Podrobnosti o napadu z lažnim naslovom IP

Slika prikazuje napad ponarejanja IP v teku. 1 - identifikacija cilja. 2. - določitev prirastka začetne serijske številke (ISN). To lahko storite tako, da vzpostavite vrsto zakonitih povezav s ciljnim sistemom in označite vrnjene ISN (heker tvega, da razkrije svoje pravi naslov IP). Žal risba ne deluje, čeprav se obračam sem in tja! Močnejši od mene ...

V tem članku bomo preučili proxy promet za aplikacije iOS, ki uporabljajo domače spletne vtičnice za komunikacijo s strežnikom. Članek bo koristen tistim preizkuševalcem penetracije, ki se soočajo z prestrezanjem zaupnih informacij, ki jih aplikacije iOS pošiljajo na nestandardne načine. Te metode so pomembne, ker uporaba standardnih nastavitev proxy strežnika v napravi za prestrezanje prometa iz nekaterih aplikacij morda ne bo zadostovala.

Pred kratkim sem med naslednjim pentestom naletel na aplikacijo, ki je pošiljala podatke na vrata 20xx spletnega strežnika. Prometa te aplikacije ni bilo mogoče prestreči s spremembo standardnih nastavitev (Nastavitve -> Wi -Fi -> Proxy HTTP -> Ročno) in preusmeritvijo prometa na proxy. Eden od razlogov, da ta metoda ne deluje, je, da se namesto razreda UIWebView za komunikacijo s strežnikom uporabljajo domači spletni vtičnice. Za več informacij o tem, kako so konfigurirane spletne vtičnice, glejte ta članek.

Vendar pa obstaja rešitev za to težavo. Lahko implementiramo ponarejanje DNS in preusmerimo ves promet HTTP iz vseh vrat prek proxyja, kot je Burp. Ta članek je razdeljen na dele:

  1. Vohanje prometa z Wiresharkom, da poiščete naslov IP in vrata strežnika.
  2. Prevara DNS in posredovanje celotnega prometa na napravo, kjer je nameščen proxy.
  3. Prestrezanje prometa z uporabo proxy strežnika po izvajanju lažnega prenosa DNS.

Spodaj je diagram po korakih za izvajanje prestrezanja prometa za aplikacije iOS z uporabo Native Web Socket.

1. Ustvarite brezžično dostopno točko in z njo povežite napravo. [Opomba: naprava mora biti povezana z ethernetom ali na kakršen koli drug način povezana z internetom, saj bo za dostopno točko uporabljen vmesnik Wi-Fi. Ta članek pojasnjuje, kako konfigurirate dostopno točko na računalniku z operacijskim sistemom Windows]

2. Zaženemo omrežni sniffer (na primer Wireshark) in poiščemo promet, ki poteka skozi nestandardna vrata.

a. Filtriramo promet, pri čemer ostane le tisti, ki gre na naslov IP, ki ga potrebujemo (ip.dst == ip.ip.ip.ip)

b. Poiščite številko vrat, na katera se pošilja promet.

Slika 1: Iskanje nestandardnih vrat, na katera aplikacija pošilja promet

3. Zaženite Metasploit DNS Spoofing Console in vnesite naslednje ukaze:

c. nastavite SRVHOST = (IP brezžične dostopne točke)

d. nastavite SRVPORT = 53, nastavite TARGETACTION = BYPASS, nastavite TARGETDOMAIN = www.apple.com (Opomba: z nastavitvijo TARGETDOMAIN = www.apple.com bomo prestregli ves promet, razen z apple.com).

e. nastavi ciljni gostitelj = (IP brezžične dostopne točke)

Slika 2: Konfiguriranje strežnika DNS z modulom fakedns (vMetasploit)

4. Konfigurirajte Burp za poslušanje dohodnega prometa naprav na določenih vratih in ga preusmerite na prej najdena vrata.

a. Pojdite na Proxy-> Options-> Add; nastavite "pristanišča za vezavo" na vrata, na katera naj aplikacija posreduje promet (opomba: to je eno od tistih nestandardnih vrat tcp, ki smo jih našli z uporabo Wiresharka).

b. Poslušamo vse vmesnike.

c. Na zavihku Obravnava zahtev nastavite domeno strežnika (polje Preusmeri na gostitelja).

d. Na istem zavihku nastavite ustrezno številko vrat (polje Preusmeritev na vrata).

e. Če se promet pošilja prek https, nastavimo prisilno uporabo SSL.

f. Kliknite v redu in ponovite vse zgornje operacije za vsa vrata, na katera aplikacija pošilja promet. Z drugimi besedami, za vsa vrata je potreben posebej konfiguriran poslušalec proxyja.

Slika 3: Konfiguriranje poslušanja in preusmeritve prometa

5. Konfigurirajte nastavitve proxyja v napravi:

a. Pojdite v razdelek Wi-Fi-> DHCP in nastavite DNS = IP-naslov dostopne točke.

b. V nastavitvah proxyja HTTP nastavite naslov IP dostopne točke in ustrezna vrata, za katera je konfiguriran burp (te nastavitve se uporabljajo za proxy standardnega prometa HTTP).

Slika 4: Konfiguriranje IP inDNS posredovanjena napravi

6. V konzolo Metasploit vnesite "exploit" in videli boste ves prestrezen promet iz nestandardnih vrat.

Opisano metodo lahko uporabite za odpravo težav s prestrezanjem prometa aplikacij iOS, ki ga prenašajo na nestandardne načine.

Prestrezanje podatkov prek omrežja upošteva se prejem kakršnih koli informacij iz oddaljene računalniške naprave. Lahko je sestavljen iz osebnih podatkov uporabnika, njegovih sporočil, zapisov o obiskih spletnih mest. Zajem podatkov lahko izvedejo vohunska programska oprema ali omrežni iskalci.

Vohunska programska oprema je posebna programska oprema, ki lahko beleži vse informacije, ki se prenašajo po omrežju iz določene delovne postaje ali naprave.

Sniffer je program ali računalniška tehnika, ki prestreže in analizira promet, ki poteka skozi omrežje. Sniffer vam omogoča, da se povežete s spletno sejo in izvedete različne operacije v imenu lastnika računalnika.

Če se informacije ne prenašajo v realnem času, vohunska programska oprema ustvari poročila, ki so priročna za ogled in analizo informacij.

Prestrezanje omrežja je lahko zakonito ali nezakonito. Glavni dokument, ki določa zakonitost zasega informacij, je Konvencija o kibernetski kriminaliteti. Ustanovljen je bil na Madžarskem leta 2001. Pravne zahteve različnih držav se lahko nekoliko razlikujejo, vendar je ključno sporočilo enako za vse države.

Razvrstitev in metode prestrezanja podatkov po omrežju

V skladu z navedenim lahko prestrezanje informacij prek omrežja razdelimo na dve vrsti: pooblaščeno in nepooblaščeno.

Pooblaščeni zajem podatkov se izvaja za različne namene, od zaščite korporativnih podatkov do zagotavljanja varnosti države. Razloge za takšno operacijo določajo zakonodaja, posebne službe, uradniki organov pregona, strokovnjaki iz upravnih organizacij in varnostne službe podjetij.

Obstajajo mednarodni standardi za izvajanje prestrezanja podatkov. Evropskemu inštitutu za telekomunikacijske standarde je uspelo številne tehnične procese (ETSI ES 201 158 "Telekomunikacijska varnost; zakonito prestrezanje (LI); zahteve za omrežne funkcije") pripeljati do enotne norme, na kateri temelji prestrezanje informacij. Posledično je bila razvita sistemska arhitektura, ki strokovnjakom tajnih služb, skrbnikom omrežij, pomaga zakonito prevzeti podatke iz omrežja. Razvita struktura za izvajanje prestrezanja podatkov po omrežju se uporablja za žične in brezžične sisteme glasovnih klicev, pa tudi za dopisovanje po pošti, prenos glasovna sporočila po IP, izmenjava informacij po SMS.

Nepooblaščeno prestrezanje podatkov po omrežju izvajajo kibernetski kriminalci, ki želijo prevzeti zaupne podatke, gesla, korporativne skrivnosti, naslove računalnikov v omrežju itd. Za dosego svojih ciljev hekerji običajno uporabljajo analizator omrežnega prometa - sniffer. Ta program ali naprava tipa strojne programske opreme daje prevarantu možnost prestrezanja in analiziranja informacij v omrežju, s katerim je žrtev povezan, vključno s šifriranim prometom SSL s ponarejanjem potrdil. Podatke o prometu lahko pridobite na različne načine:

  • poslušanje omrežnega vmesnika,
  • priključitev prestrezne naprave na prekinitev kanala,
  • ustvarjanje prometne veje in njeno podvojitev v sniffer,
  • z izvedbo napada.

Obstajajo tudi bolj izpopolnjene tehnologije za prestrezanje občutljivih informacij, ki vam omogočajo vdor v omrežno komunikacijo in spreminjanje podatkov. Ena takšnih tehnologij so lažne zahteve ARP. Bistvo metode je prevarati naslove IP med računalnikom žrtve in napadalčevo napravo. Druga metoda, ki jo lahko uporabite za prestrezanje podatkov po omrežju, je napačno usmerjanje. Sestoji iz zamenjave naslova IP omrežnega usmerjevalnika z lastnim naslovom. Če se kibernetski kriminalec zna organizirati lokalno omrežje, v katerem je žrtev, potem lahko enostavno organizira prejem informacij iz uporabnikovega računalnika na njegov naslov IP. Ugrabitev povezave TCP je tudi učinkovit način za prestrezanje podatkov. Napadalec prekine komunikacijsko sejo z generiranjem in pošiljanjem paketov TCP v žrtvin računalnik. Nato se komunikacijska seja obnovi, prestreže in nadaljuje kriminalec namesto stranke.

Objekt vpliva

Objekti prestrezanja podatkov po omrežju so lahko državne institucije, industrijska podjetja, poslovne strukture, navadni uporabniki. Znotraj organizacije ali poslovnega podjetja je mogoče zajeti podatke za zaščito omrežne infrastrukture. Posebne službe in organi kazenskega pregona lahko izvajajo množično prestrezanje informacij, ki jih posredujejo različni lastniki, odvisno od opravljene naloge.

Če govorimo o kibernetskih kriminalcih, potem lahko vsak uporabnik ali organizacija postane predmet vpliva, da bi pridobil podatke, ki se prenašajo po omrežju. Pri pooblaščenem dostopu je pomemben informativni del prejetih informacij, medtem ko napadalca bolj zanimajo podatki, s katerimi lahko zaseže denar ali dragocene informacije za njihovo nadaljnjo prodajo.

Najpogostejše žrtve prestrezanja informacij s strani kibernetičnih kriminalcev so uporabniki, ki se povezujejo z javnim omrežjem, na primer v kavarni z dostopno točko Wi-Fi. Napadalec se poveže s spletno sejo s pomočjo snifferja, laži podatkov in ukrade osebne informacije... Za več podrobnosti o tem, kako se to zgodi, glejte članek.

Vir grožnje

Operaterji javne omrežne infrastrukture sodelujejo pri pooblaščenem prestrezanju informacij v podjetjih in organizacijah. Njihovo delovanje je usmerjeno v varovanje osebnih podatkov, poslovnih skrivnosti in drugih pomembnih informacij. Iz pravnih razlogov lahko prenos sporočil in datotek spremljajo posebne službe, organi pregona in različne vladne agencije, da se zagotovi varnost državljanov in države.

Napadalci se ukvarjajo z nezakonitim prestrezanjem podatkov. Da ne bi postali žrtev kibernetskega kriminalca, morate upoštevati nekatera priporočila strokovnjakov. Na primer, na mestih, kjer se povežete z javnimi omrežji, ne smete izvajati operacij, ki zahtevajo avtorizacijo in prenos pomembnih podatkov. Varneje je izbrati šifrirana omrežja ali še bolje uporabiti osebne modeme 3G in LTE. Pri prenosu osebnih podatkov je priporočljivo šifriranje z uporabo protokola HTTPS ali osebnega tunela VPN.

Računalnik lahko zaščitite pred prestrezanjem omrežnega prometa z uporabo kriptografije, anti-sniffers; bo zmanjšal tveganje klicne povezave in ne brezžičnega dostopa do omrežja.



Niste našli odgovora na svoje vprašanje? Poglej tukaj
Kako omogočim linijsko povezavo?Kako omogočim linijsko povezavo?
Obnovitev izbrisanih datotek s pomnilnika USBObnovitev izbrisanih datotek s pomnilnika USB
Namestitev operacijskega sistema Windows 8 64 bitNamestitev operacijskega sistema Windows 8 64 bit