การเปลี่ยนเส้นทางการรับส่งข้อมูล SSH และ HTTP การเปลี่ยนเส้นทางการรับส่งข้อมูล BeEF เชื่อมต่อกับตัวกรอง Ettercap

ในบทความนี้ เราจะมาดูการโจมตีแบบ Man-in-the-Middle กับคุณ หรือมากกว่าวิธีการ
เปลี่ยนเส้นทางการรับส่งข้อมูล SSH และ HTTP โดยใช้การโจมตี Man in the Middle อย่าดึงหางแมว แต่ลงมือทำ

Man in the Middle (เรียกสั้นๆ ว่า MitM มาจากภาษารัสเซียว่า "คนกลางโจมตี" หรือ "man
ตรงกลาง ") เป็นประเภทของการโจมตีตามการเปลี่ยนเส้นทางการรับส่งข้อมูลระหว่างสองเครื่องเพื่อสกัดกั้นข้อมูล - ศึกษาเพิ่มเติม ทำลาย หรือแก้ไขมัน ดังนั้นสิ่งแรกที่เราต้องการคือแพ็คเกจ dsniff (คุณจะเห็นลิงก์ไปยังแพ็คเกจที่ ท้ายบทความ) เหตุใด เนื่องจากแพ็คเกจนี้มียูทิลิตี้ที่จำเป็นทั้งหมด รวมถึง sshmitm (เปลี่ยนเส้นทางการรับส่งข้อมูล SSH) และ httpmitm (เปลี่ยนเส้นทางการรับส่งข้อมูล HTTP) ซึ่งสามารถข้ามรูปแบบความปลอดภัยต่อไปนี้ เท่าที่ทราบ โปรโตคอลที่เข้ารหัสนั้นค่อนข้าง -so "sekurny" (เข้ารหัสเพื่อช่วย :)) และไม่อนุญาตให้โจมตี "ผ่าน" เลเยอร์เครือข่าย แฮ็กเกอร์ไม่รู้จักคีย์การเข้ารหัส - ข้อมูลไม่สามารถถอดรหัสลับและมีการแทรกคำสั่งด้วย ทุกอย่างดูเหมือนจะเรียบร้อย แต่ก็นั่นแหละ
เนื่องจากโปรแกรมโจมตี MitM (sshmitm และ httpmitm) จากแพ็คเกจ dsniff สามารถเลี่ยงผ่านได้ ระบบนี้ความปลอดภัย (คุณสามารถเลี่ยงเกือบทุกอย่าง) ทั้งหมดนี้ทำตามหลักการต่อไปนี้:
โฮสต์ระดับกลางได้รับคำขอจากลูกค้า "บอก" ว่าเขาเป็นเซิร์ฟเวอร์ จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์จริง
สิ่งที่สองที่เราต้องการคือแขนตรง สิ่งที่สี่คือสิ่งที่สำคัญที่สุด - ความปรารถนา และแน่นอน เหยื่อ นั่นคือคอมพิวเตอร์ที่เราจะโจมตี

การเปลี่ยนเส้นทางการรับส่งข้อมูล SSH

หลังจากเตรียมชุดเครื่องมือ คุณเข้าใจว่าอะไรคืออะไรและทำไม :) รับ sshmitm - ตอนนี้เราจะเปลี่ยนเส้นทางการรับส่งข้อมูล SSH (ทุกอย่างที่ฉันไม่เข้าใจในส่วนทฤษฎี - อ่านด้านบน)
ใช้มันโดยใช้ข้อบกพร่องของ PKI ในปัจจุบัน (โครงสร้างพื้นฐานคีย์สาธารณะ - รูปแบบการจัดการคีย์ตาม
วิธีการเข้ารหัสแบบอสมมาตร) ลองดูที่ไวยากรณ์
ชมิท:

sshmitm [-d] [-I] [-p พอร์ต] โฮสต์

NS
อนุญาตการดีบักเอาต์พุต (เช่น โหมดขั้นสูงเพิ่มเติม)

ผม
การสกัดกั้นของเซสชั่น

พีพอร์ต
พอร์ตฟัง

เจ้าภาพ
ที่อยู่ของรีโมตโฮสต์ที่เซสชันจะถูกสกัดกั้น

ท่า
พอร์ตบนรีโมตโฮสต์

ทุกอย่างดูเรียบง่ายและมีรสนิยม ไม่มีอะไรซับซ้อน :) มาเริ่มดำเนินการโจมตีกันเถอะ!

# sshmitm server.target.gov // ระบุเซิร์ฟเวอร์ SSH ของคุณ
sshmitm: ส่งต่อไปยังเซิร์ฟเวอร์ server.target.gov

เนื่องจากเราไม่มีคีย์ SSH จริง ตัวแปลคำสั่งของผู้ถูกโจมตี
จะแสดงคำขอให้ตรวจสอบรหัสโฮสต์ ซึ่งทั้งหมดจะมีลักษณะดังนี้:

clientmachine $ server.target.gov
@ คำเตือน: การระบุโฮสต์ระยะไกลมีการเปลี่ยนแปลง! @
เป็นไปได้ว่ามีคนทำสิ่งที่น่ารังเกียจ!
ตอนนี้อาจมีคนแอบฟังคุณอยู่ (การโจมตีแบบคนกลาง)!
อาจเป็นไปได้ว่าเพิ่งเปลี่ยนคีย์โฮสต์ RSA
โปรดติดต่อผู้ดูแลระบบของคุณ

จากนั้นผู้ใช้จะตัดสินใจว่าจะเชื่อมต่อหรือไม่ หากเป็นเช่นนั้น เราจะควบคุมเซสชัน SSH ได้อย่างสมบูรณ์
แต่! หากผู้ใช้ไม่เคยเชื่อมต่อกับรถสาลี่นั้น ข้อความต่อไปนี้อาจปรากฏขึ้น:

ความถูกต้องของโฮสต์ "server.target.gov" ไม่สามารถสร้างได้
ลายนิ้วมือคีย์ RSA คือ
บลา: บลา: บลา; บลา; บลา ........
คุณแน่ใจหรือว่าต้องการเชื่อมต่อ ti ต่อ (ใช่ / ไม่ใช่)?

ที่นี่ผู้ใช้ยังมีทางเลือกสองทาง - จะเชื่อมต่อหรือไม่ ถ้าใช่ แสดงว่าเราสกัดกั้นเซสชัน ถ้าไม่ใช่ ก็อนิจจา ... :(.
โดยทั่วไป การโจมตีจะประสบความสำเร็จหากผู้ใช้เชื่อมต่อ และ sshmitm จะบันทึกการผ่านและการเข้าสู่ระบบทั้งหมด และสามารถอ่านได้ง่ายมาก 🙂
แน่นอนว่านี่ไม่ใช่ตัวดักจับเซสชัน SSH เพียงตัวเดียว แต่เมื่อทำความคุ้นเคยกับสิ่งนี้แล้ว คุณจะเชี่ยวชาญอีกตัวหนึ่งได้อย่างง่ายดาย

การเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP

ตอนนี้เราจะเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP อีกครั้ง เราต้องการเครื่องมือที่เลือกไว้ก่อนหน้านี้: httpmitm ซึ่งฟังบนพอร์ต 80- (HTTP -) และ 443- (HTTPS -) สกัดกั้นคำขอ WEB จากนั้นเชื่อมต่อกับเซิร์ฟเวอร์และส่งต่อคำขอไปยังคอมพิวเตอร์ไคลเอนต์ โปรแกรมยังสร้างคีย์ SSL และใบรับรอง SSL โดยใช้ OpenSSL พอได้ลอง
จะเชื่อมต่อกับไซต์ (target.gov) เบราว์เซอร์จะตรวจสอบใบรับรอง SSL เนื่องจากใบรับรองไม่ตรงกัน เบราว์เซอร์จะเตือนคุณเกี่ยวกับ
ใบรับรอง SSL ที่ไม่ถูกต้อง จากมุมมองของแครกเกอร์ จะมีลักษณะดังนี้:

#webmitm -d
webmitm: ถ่ายทอดอย่างโปร่งใส
webmitm: การเชื่อมต่อใหม่จาก
รับ [ลิงก์] /uzerz.php?user=hellknights&password=neskaju1qwerty HTTP / [เวอร์ชัน]
การเชื่อมต่อ: [ประเภท]
โฮสต์: www.target.gov
User-Agent: [ข้อมูลเกี่ยวกับระบบ, เบราว์เซอร์]
[ ฯลฯ ฯลฯ ]
คุกกี้: [คุกกี้]

นี่คือลักษณะที่ปรากฏจากภายนอก -
การเชื่อมต่อ SSL ถูกสกัดกั้นโดยการดึงข้อมูลที่ไม่ได้เข้ารหัส

บทสรุป

ในบทความนี้ เราได้พิจารณาการเปลี่ยนเส้นทางการรับส่งข้อมูล SSH และ HTTP โดยใช้การโจมตีแบบ Man in the Middle - ให้รายละเอียดสั้น ๆ อย่างชัดเจน ตัวเปลี่ยนเส้นทาง HTTP และ SSH อื่น ๆ
การรับส่งข้อมูลด้วยความช่วยเหลือของ MitM คุณจะเชี่ยวชาญอย่างรวดเร็วหากคุณเชี่ยวชาญสิ่งเหล่านี้เช่นกัน :)) ถ้ามีอะไรไม่ชัดเจน-แล้ว

การโจมตีประเภทต่อไปมีจุดมุ่งหมายเพื่อกำหนดทิศทางการรับส่งข้อมูลของคอมพิวเตอร์ที่ถูกโจมตีไปยังที่อยู่ปลอม ซึ่งอาจเป็นที่อยู่ของผู้โจมตีหรือบุคคลที่สามก็ได้ ผู้โจมตีสามารถกำจัดสตรีมข้อมูลที่ผู้ใช้ส่ง ตัวอย่างเช่น ไปยังเซิร์ฟเวอร์ขององค์กรหรือเซิร์ฟเวอร์ของธนาคารได้สองวิธี อย่างแรกคือผู้โจมตีปลอมตัวเป็นเซิร์ฟเวอร์ของผู้รับ โดยส่ง "รูปภาพ" ให้กับลูกค้าและข้อความที่เขาคาดหวัง ตัวอย่างเช่น ผู้โจมตีสามารถจำลองกระบวนการเข้าสู่ระบบเชิงตรรกะสำหรับผู้ใช้ที่เป็นเหยื่อและรับ ID ผู้ใช้และรหัสผ่าน ข้อมูลนี้สามารถใช้ในภายหลังเพื่อเข้าถึงเซิร์ฟเวอร์ขององค์กรหรือธนาคารโดยไม่ได้รับอนุญาต ซึ่งเป็นเป้าหมายหลักของการโจมตี วิธีที่สองคือการจัดระบบขนส่งมวลชน แต่ละแพ็กเก็ตที่ถูกสกัดกั้นจะถูกจดจำและ / หรือวิเคราะห์ที่โหนดโจมตี แล้วส่งต่อไปยังเซิร์ฟเวอร์ "ของจริง" ดังนั้น การรับส่งข้อมูลทั้งหมดระหว่างไคลเอนต์และเซิร์ฟเวอร์จะถูกส่งผ่านคอมพิวเตอร์ของผู้โจมตี

ลองดูเทคนิคบางอย่างที่ใช้ในปัจจุบัน (หรือในอดีตที่ผ่านมา) เมื่อทำการโจมตีประเภทนี้ มาตรการตอบโต้ได้รับการพัฒนาสำหรับพวกเขาส่วนใหญ่แล้ว และคำอธิบายของการโจมตีที่นำเสนอในที่นี้ส่วนใหญ่เป็นลักษณะการศึกษา

วิธีที่ง่ายที่สุดในการเปลี่ยนเส้นทางการรับส่งข้อมูลบนเครือข่ายท้องถิ่นสามารถทำได้โดยส่ง ARP-omeema ปลอมไปยังเครือข่าย (ทิ้งคำถามว่าสถานการณ์ดังกล่าวสามารถเกิดขึ้นได้บ่อยเพียงใดเมื่อผู้โจมตีสนใจที่จะสกัดกั้นการรับส่งข้อมูลบนเครือข่ายท้องถิ่นของเขาเอง) ในกรณีนี้ โครงการมีความชัดเจน: หลังจากได้รับคำขอ ARP ออกอากาศสำหรับที่อยู่ IP ที่แน่นอน ผู้โจมตีส่งการตอบสนอง ARP เท็จซึ่งมีรายงานว่าที่อยู่ IP ที่ระบุนั้นสอดคล้องกับที่อยู่ MAC ของตัวเอง

ตามทฤษฎีแล้ว โปรโตคอล ICMP สามารถใช้เพื่อสกัดกั้นและเปลี่ยนเส้นทางการรับส่งข้อมูลบนเครือข่ายท้องถิ่น ตามโปรโตคอลนี้ เราเตอร์ส่งข้อความเปลี่ยนเส้นทาง ICMP เริ่มต้นไปยังโฮสต์ของเครือข่ายท้องถิ่นที่เชื่อมต่อโดยตรงเมื่อเส้นทางนี้ล้มเหลวหรือเมื่อตรวจพบว่าโฮสต์ใช้เส้นทางที่ไม่ลงตัวสำหรับที่อยู่ปลายทางบางรายการ ในรูป 1 และเราเตอร์เริ่มต้น R1 ที่ได้รับแพ็กเก็ตที่ส่งถึงโฮสต์ H2 จากโฮสต์ H1 กำหนดว่าเส้นทางที่ดีที่สุดไปยังโฮสต์ H2 ต้องผ่านเราเตอร์อื่นของเครือข่ายท้องถิ่นนี้ กล่าวคือผ่านเราเตอร์ R2 เราเตอร์ R1 ละทิ้งแพ็กเก็ตที่ได้รับและวางส่วนหัวในข้อความการเปลี่ยนเส้นทาง YUMP ที่ส่งไปยังโฮสต์ H1 ข้อความมีที่อยู่ IP ของเราเตอร์สำรอง R2 ซึ่งโฮสต์ควรใช้เมื่อส่งข้อมูลไปยังโฮสต์ H2 โฮสต์ H1 เปลี่ยนแปลงตารางเส้นทางและหลังจากนั้นจะส่งแพ็กเก็ตไปยังโฮสต์ H2 ตามเส้นทางที่แก้ไขใหม่ ในการสกัดกั้นการรับส่งข้อมูลที่กำหนดโดยโฮสต์ H1 ไปยังโฮสต์ H2 ผู้โจมตีจะต้องสร้างและส่งโฮสต์ HI การปลอมแปลงแพ็กเก็ตเป็นข้อความการเปลี่ยนเส้นทาง YMP (รูปที่ 1b) ข้อความนี้มีคำขอให้อัปเดตตารางเส้นทางของโฮสต์ H1 เพื่อให้ในทุกแพ็กเก็ตที่มีที่อยู่ IP H2 ที่อยู่ของเราเตอร์ถัดไปจะกลายเป็นที่อยู่ IPha ซึ่งเป็นที่อยู่ของโฮสต์ผู้โจมตี HA เพื่อให้โฮสต์ "เชื่อ" ข้อความนี้ ต้องใส่ที่อยู่ของเราเตอร์ R1 ซึ่งเป็นเราเตอร์เริ่มต้นในช่องที่อยู่ IP ของผู้ส่ง เมื่อแพ็กเก็ตที่ส่งโดยโฮสต์ที่ทำให้เข้าใจผิดเริ่มมาถึงโหนดของผู้โจมตี เขาสามารถจับและไม่ส่งแพ็กเก็ตเหล่านี้ต่อไป เลียนแบบแอปพลิเคชันที่แพ็กเก็ตเหล่านี้มีจุดประสงค์เพื่อรักษาบทสนทนา หรือจัดระเบียบการถ่ายโอนข้อมูลการถ่ายโอนไปยังที่ระบุ ที่อยู่ปลายทาง IPn2 - การอ่านการรับส่งข้อมูลทั้งหมดระหว่างโหนด H1 และ H2 ผู้โจมตีจะได้รับข้อมูลทั้งหมดที่จำเป็นสำหรับการเข้าถึงเซิร์ฟเวอร์ H2 โดยไม่ได้รับอนุญาต

อีกวิธีหนึ่งในการสกัดกั้นการรับส่งข้อมูลคือการใช้การบันทึก DNS-omeemoe (รูปที่ 2) งานของผู้โจมตีคือการเข้าถึงเซิร์ฟเวอร์ขององค์กร ในการทำเช่นนี้ เขาต้องครอบครองชื่อและรหัสผ่านของผู้ใช้ที่ได้รับอนุญาตของเครือข่ายองค์กร เขาตัดสินใจรับข้อมูลนี้โดยแยกกระแสข้อมูลที่ลูกค้าองค์กรส่งไปยังเซิร์ฟเวอร์ขององค์กร ผู้โจมตีรู้ว่าไคลเอ็นต์กำลังเข้าถึงเซิร์ฟเวอร์โดยระบุชื่อ DNS ที่เป็นสัญลักษณ์ www.example.com เขารู้ด้วยว่าก่อนส่งแพ็กเก็ตไปยังเซิร์ฟเวอร์ ซอฟต์แวร์เครื่องไคลเอนต์ทำการสอบถามไปยังเซิร์ฟเวอร์ DNS เพื่อค้นหาที่อยู่ IP ที่สอดคล้องกับชื่อนี้

เป้าหมายของผู้โจมตีคือการแซงหน้าการตอบสนองของเซิร์ฟเวอร์ DNS และกำหนดการตอบสนองของลูกค้าเองซึ่งแทนที่ที่อยู่ IP เซิร์ฟเวอร์ขององค์กร(ในตัวอย่าง 193.25.34.125) ผู้โจมตีระบุที่อยู่ IP ของโฮสต์ที่โจมตี (203.13.1.123) มีอุปสรรคสำคัญหลายประการในการดำเนินการตามแผนนี้

ข้าว. 1. การเปลี่ยนเส้นทางเส้นทางโดยใช้โปรโตคอล YUMR: a - ข้อความเกี่ยวกับเส้นทางที่มีเหตุผลมากขึ้นจะถูกส่งไปยังโฮสต์ H2 โดยเราเตอร์ R1 เริ่มต้น
b - ข้อความเกี่ยวกับการเปลี่ยนเส้นทางไปยังตัวเองถูกส่งโดยโฮสต์โจมตีON

ข้าว. 2. รูปแบบการเปลี่ยนเส้นทางการรับส่งข้อมูลโดยใช้การตอบสนอง DNS เท็จ

ประการแรก จำเป็นต้องชะลอการตอบสนองของเซิร์ฟเวอร์ DNS ตัวอย่างเช่น เซิร์ฟเวอร์อาจถูกโจมตีจาก DoS อีกปัญหาหนึ่งเกี่ยวข้องกับการกำหนดหมายเลขพอร์ตไคลเอ็นต์ DNS ซึ่งต้องระบุไว้ในส่วนหัวของแพ็กเก็ตเพื่อให้ข้อมูลเข้าถึงแอปพลิเคชัน และหากส่วนเซิร์ฟเวอร์ของ DNS มีหมายเลขที่เรียกว่า "ที่รู้จักกันดี" 53 กำหนดไว้อย่างถาวร ส่วนไคลเอ็นต์ของโปรโตคอล DNS จะได้รับหมายเลขพอร์ตแบบไดนามิกเมื่อเริ่มต้น และ ระบบปฏิบัติการเลือกจากช่วงที่ค่อนข้างกว้าง

โปรดทราบว่าโปรโตคอล DNS สามารถใช้ทั้ง UDP และ TCP เพื่อถ่ายโอนข้อความ ขึ้นอยู่กับว่าผู้ดูแลระบบกำหนดค่าไว้อย่างไร เนื่องจาก TCP สร้างการเชื่อมต่อแบบลอจิคัลเพื่อติดตามจำนวนไบต์ที่ส่งและรับ จึงยากกว่าที่จะ "ลิ่ม" ลงในกล่องโต้ตอบไคลเอ็นต์-เซิร์ฟเวอร์ในกรณีนี้มากกว่าในกรณีที่ใช้โปรโตคอลดาตาแกรม UDP

อย่างไรก็ตาม ในกรณีหลัง ปัญหาในการกำหนดหมายเลขพอร์ต UDP ของไคลเอนต์ DNS ยังคงอยู่ ผู้โจมตีแก้ปัญหานี้ด้วยการแจกแจงตัวเลขที่เป็นไปได้ทั้งหมดโดยตรง นอกจากนี้ โดยการแจกแจงค่าที่เป็นไปได้ ผู้โจมตีสามารถเอาชนะปัญหาในการกำหนดตัวระบุของข้อความ DNS ตัวระบุเหล่านี้จะถูกส่งในข้อความ DNS และใช้เพื่อเปิดใช้งานไคลเอ็นต์ DNS เพื่อจับคู่คำตอบขาเข้ากับคำขอที่ส่ง ดังนั้น ผู้โจมตีจึงโจมตีเครื่องไคลเอ็นต์ด้วยการตอบสนอง DNS ปลอม โดยระบุค่าที่เป็นไปได้ทั้งหมดของฟิลด์การระบุ เพื่อให้ไคลเอ็นต์รับค่าใดค่าหนึ่งสำหรับการตอบสนอง DNS ที่แท้จริง ทันทีที่สิ่งนี้เกิดขึ้น เป้าหมายของผู้โจมตีสามารถพิจารณาได้สำเร็จ - แพ็คเก็ตจากลูกค้าจะถูกส่งไปยังที่อยู่ของโฮสต์ที่โจมตี ผู้โจมตีจะได้รับชื่อและรหัสผ่านของผู้ใช้ที่ถูกกฎหมาย และเข้าถึงองค์กรได้ เซิร์ฟเวอร์

คำอธิบายของคำถามใด ๆ เกี่ยวกับ ความปลอดภัยของข้อมูลเป็นไปไม่ได้หากไม่ได้อธิบายแฮ็กเกอร์และวิธีการทำงาน คำว่า "แฮ็กเกอร์" นี้ใช้ในความหมาย - บุคคลที่แฮ็กเข้าสู่คอมพิวเตอร์

แฮกเกอร์เป็นคนที่มีความรู้ มีความรู้ทางเทคนิค และมีความเข้าใจที่ชัดเจนเกี่ยวกับการทำงานของคอมพิวเตอร์และเครือข่าย เข้าใจวิธีการใช้โปรโตคอลเพื่อดำเนินการระบบ แฮกเกอร์สามารถจูงใจให้ทำงานแตกต่างไปจากความปรารถนาที่จะดึงดูดความสนใจไปสู่ความโลภทั่วไป

วิธีการที่ทันสมัยของการโจมตีของแฮ็กเกอร์

การโจมตีสมัยใหม่จำนวนมากดำเนินการโดยสิ่งที่เรียกว่าตัวเล็กสคริปต์ ผู้โจมตีเพียงค้นหาอินเทอร์เน็ตเพื่อหาสคริปต์การเอารัดเอาเปรียบ และเปิดใช้งานสคริปต์กับทุกระบบที่พวกเขาสามารถหาได้ ข้อมูล วิธีง่ายๆการโจมตีไม่ต้องการความรู้หรือคำแนะนำพิเศษ

อย่างไรก็ตาม ยังมีวิธีการอื่นๆ ที่อิงจากความเข้าใจอย่างลึกซึ้งถึงการทำงานของคอมพิวเตอร์ เครือข่าย และระบบที่ถูกโจมตี ในบทความนี้เราจะอธิบายวิธีการดังกล่าว

ฟังจากเครือข่าย

การดักฟังหรือการดมกลิ่นเป็นเทคนิคที่แฮ็กเกอร์/แคร็กเกอร์ใช้เพื่อรวบรวมรหัสผ่านและข้อมูลระบบอื่นๆ สำหรับการใช้งาน อินเทอร์เฟซเครือข่ายของคอมพิวเตอร์ถูกตั้งค่าเป็นโหมดการรับฟังสำหรับการรับส่งข้อมูลแบบผสม (โหมดสำส่อน) เช่น อะแดปเตอร์เครือข่ายจะดักจับแพ็กเก็ตทั้งหมดที่เดินทางผ่านเครือข่าย ไม่ใช่แค่แพ็กเก็ตที่กำหนดไว้สำหรับอแด็ปเตอร์นี้ Snifers ประเภทนี้ทำงานได้ดีในเครือข่ายแบนด์วิดท์ที่ใช้ร่วมกันกับฮับเครือข่าย

การหาศูนย์กลางตอนนี้เป็นเรื่องที่ดีมาก ปัญหาใหญ่- ส่วนใหญ่ใช้สวิตช์เครือข่าย ดังนั้นประสิทธิภาพของการดมกลิ่นจึงเริ่มลดลง ในสภาพแวดล้อมที่สับเปลี่ยน โหมดการออกอากาศจะไม่ถูกนำไปใช้ แต่แพ็กเก็ตจะถูกส่งไปยังระบบผู้รับโดยตรง อย่างไรก็ตาม สวิตช์ไม่ใช่อุปกรณ์ป้องกัน เป็นเรื่องธรรมดา อุปกรณ์เครือข่ายดังนั้นการรักษาความปลอดภัยที่พวกเขาให้เป็นผลพลอยได้จากวัตถุประสงค์ของเครือข่ายมากกว่าองค์ประกอบโครงสร้าง นอกจากนี้ยังมีเครื่องดมกลิ่นที่ออกแบบมาเป็นพิเศษสำหรับสภาพแวดล้อมที่เปลี่ยนไป

ในการรับฟังการจราจรในสภาพแวดล้อมที่สับเปลี่ยน ต้องปฏิบัติตามเงื่อนไขข้อใดข้อหนึ่งต่อไปนี้:
"โน้มน้าว" สวิตช์ว่าควรส่งการเข้าชมที่น่าสนใจไปยังผู้ดมกลิ่น
บังคับให้สวิตช์ส่งทราฟฟิกทั้งหมดไปยังพอร์ตทั้งหมด

หากตรงตามเงื่อนไขข้อใดข้อหนึ่ง ผู้ดมกลิ่นจะสามารถอ่านการเข้าชมที่สนใจได้ และให้ข้อมูลที่เขากำลังมองหาแก่แฮ็กเกอร์

การเปลี่ยนเส้นทางการจราจร

สวิตช์กำหนดเส้นทางการรับส่งข้อมูลไปยังพอร์ตตามที่อยู่ Media Access Control (MAC) สำหรับเฟรมอีเทอร์เน็ต แต่ละอินเทอร์เฟซเครือข่ายมีที่อยู่ MAC ที่ไม่ซ้ำกัน และสวิตช์ "รู้" ว่าที่อยู่ใดอยู่ในพอร์ตใด ดังนั้น เมื่อส่งเฟรมที่มีที่อยู่ MAC ปลายทางเฉพาะ สวิตช์จะส่งต่อเฟรมนั้นไปยังพอร์ตที่กำหนดที่อยู่ MAC นี้

ต่อไปนี้เป็นวิธีที่คุณสามารถใช้บังคับสวิตช์เพื่อกำหนดเส้นทางการรับส่งข้อมูลเครือข่ายไปยังผู้ดมกลิ่น:
การปลอมแปลง ARP;
การทำสำเนาที่อยู่ MAC;
การเลียนแบบชื่อโดเมน

การปลอมแปลง ARP ARP คือ Address Resolution Protocol ที่ใช้เพื่อรับที่อยู่ MAC ที่เชื่อมโยงกับที่อยู่ IP เฉพาะ ทำงานดังนี้: เมื่อส่งทราฟฟิก ระบบส่งจะส่งคำขอ ARP ไปยังที่อยู่ IP ของผู้รับ ระบบรับจะตอบสนองต่อคำขอนี้โดยส่งที่อยู่ MAC ซึ่งจะใช้โดยระบบส่งเพื่อส่งต่อการรับส่งข้อมูล

หากผู้ดมกลิ่นจับการรับส่งข้อมูลที่เขาสนใจ เขาจะตอบสนองต่อคำขอ ARP แทนระบบปลายทางจริงและระบุที่อยู่ MAC ของเขาเอง เป็นผลให้ระบบผู้ส่งจะส่งปริมาณข้อมูลไปยังผู้ดมกลิ่น

เพื่อให้กระบวนการนี้มีประสิทธิภาพ จำเป็นต้องเปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปยังผู้ดมกลิ่นแทนปลายทางจริง หากยังไม่เสร็จสิ้น จะมีความเป็นไปได้ที่จะถูกปฏิเสธการเข้าถึงเครือข่าย ฉันเพิ่ม ..

การปลอมแปลง ARP ใช้งานได้บนเครือข่ายย่อยเท่านั้น (ส่วนเครือข่ายเดียว) เนื่องจากข้อความ ARP ไม่ได้ถูกกำหนดเส้นทาง ผู้ดมกลิ่นจะต้องอยู่ในส่วน LAN เดียวกันกับที่ระบบผู้ส่งและผู้รับตั้งอยู่

ที่อยู่ MAC ที่ซ้ำกัน การทำสำเนาที่อยู่ MAC ของระบบปลายทางเป็นอีกวิธีหนึ่งในการ "โน้มน้าว" สวิตช์เพื่อส่งปริมาณข้อมูลไปยังผู้ดมกลิ่น ในการทำเช่นนี้ แฮ็กเกอร์จำเป็นต้องเปลี่ยนที่อยู่ MAC บนดมกลิ่นและอยู่ในส่วนเดียวกันของเครือข่ายท้องถิ่น
ฉันจะเพิ่มอีกครั้ง

ในการปลอมแปลง ARP ผู้ดมกลิ่นจะต้องอยู่บนเครือข่ายย่อยภายในเครื่องเดียวกันกับทั้งสองระบบ (ผู้ส่งและผู้รับ) เพื่อให้สามารถทำซ้ำที่อยู่ MAC ได้

ชื่อโดเมนจำลอง มีวิธีที่สามในการบังคับให้สวิตช์ส่งการรับส่งข้อมูลทั้งหมดไปยังผู้ดมกลิ่น: คุณต้อง "หลอก" ระบบการส่งให้ใช้ที่อยู่ MAC จริงของผู้ดมกลิ่นสำหรับการส่งข้อมูล ทำได้โดยการจำลองชื่อโดเมน

เมื่อทำการโจมตีนี้ ผู้ดมกลิ่นจะสกัดกั้นคำขอ DNS จากระบบที่ส่งและตอบสนองต่อคำขอเหล่านั้น แทนที่จะเป็นที่อยู่ IP ของระบบที่ส่งคำขอ ระบบที่ส่งจะได้รับที่อยู่ IP ของผู้ดมกลิ่นและส่งปริมาณการใช้งานทั้งหมดไปยังมัน ถัดไป ผู้ดมกลิ่นจะต้องเปลี่ยนเส้นทางการรับส่งข้อมูลนี้ไปยังผู้รับจริง เราเห็นว่าในกรณีนี้ การโจมตีด้วยการปลอมแปลงชื่อโดเมนกลายเป็นการโจมตีด้วยการจี้

เพื่อให้แน่ใจว่าการโจมตีนี้จะประสบความสำเร็จ ผู้ดมกลิ่นต้องดูคำขอ DNS ทั้งหมดและตอบกลับก่อนที่ผู้รับจริงจะทำ ดังนั้น sniffer ควรอยู่บนเส้นทางการรับส่งข้อมูลจากระบบที่ส่งไปยังเซิร์ฟเวอร์ DNS หรือดีกว่านั้นบนเครือข่ายย่อยภายในเครื่องเดียวกันกับผู้ส่ง

Sniffer สามารถดูคำขอที่ส่งทางอินเทอร์เน็ตได้ แต่ยิ่งเขาอยู่ห่างจากระบบการส่งมากเท่าไร ก็ยิ่งยากที่จะแน่ใจว่าเขาตอบก่อน

ส่งทราฟฟิกทั้งหมดไปยังพอร์ตทั้งหมด

แฮ็กเกอร์สามารถบังคับให้สวิตช์ทำหน้าที่เป็นฮับ (ฮับ) แทนทั้งหมดข้างต้น สวิตช์แต่ละตัวใช้หน่วยความจำจำนวนหนึ่งเพื่อจัดเก็บตารางการแมประหว่างที่อยู่ MAC และพอร์ตจริงบนสวิตช์ หน่วยความจำนี้มีจำกัด หากล้น สวิตช์บางตัวอาจรายงานสถานะ "เปิด" อย่างผิดพลาด ซึ่งหมายความว่าสวิตช์จะหยุดการส่งต่อการรับส่งข้อมูลไปยังที่อยู่ MAC บางรายการ และเริ่มส่งต่อการรับส่งข้อมูลทั้งหมดไปยังพอร์ตทั้งหมด เป็นผลให้สวิตช์จะทำหน้าที่เหมือนฮับ (ฮับ)

ปฏิบัติการจู่โจม

ตอนนี้เรามาดูสิ่งที่จำเป็นสำหรับการโจมตีข้างต้นกัน ในกรณีที่มีการปลอมแปลง ARP, การทำสำเนาที่อยู่ MAC หรือน้ำท่วม MAC คุณต้องเชื่อมต่อโดยตรงกับสวิตช์ที่ถูกโจมตี จำเป็นต้องมีการเชื่อมต่อดังกล่าวเพื่อจำลองชื่อโดเมน

สรุป - แฮ็กเกอร์ต้องติดตั้งระบบบนสวิตช์ในเครื่อง เมื่อต้องการทำเช่นนี้ เขาเข้าสู่ระบบผ่านช่องโหว่ที่รู้จัก และติดตั้งซอฟต์แวร์ที่จำเป็นสำหรับการดมกลิ่น ในอีกรูปแบบหนึ่ง แฮ็กเกอร์อยู่ในองค์กรอยู่แล้ว (เขาเป็นพนักงานหรือผู้รับเหมา) ในกรณีนี้ เขาใช้สิทธิ์การเข้าถึงเครือข่ายท้องถิ่นอย่างถูกกฎหมาย ซึ่งช่วยให้เขาสื่อสารกับสวิตช์ได้

IP spoofing

ดังที่กล่าวไว้ ความถูกต้องของที่อยู่ IP ในแพ็กเก็ตที่ส่งผ่านเครือข่ายจะไม่ถูกตรวจสอบ ดังนั้น แฮ็กเกอร์จึงสามารถเปลี่ยนแปลงที่อยู่ของผู้ส่งได้เพื่อให้ดูเหมือนกับว่าแพ็กเก็ตถูกส่งมาจากที่อยู่ใดๆ ปัญหาอยู่ที่แพ็กเก็ตที่ส่งคืน (แพ็กเก็ต SYN ACK ในการเชื่อมต่อ TCP) จะไม่สามารถกลับไปยังระบบส่งได้ ดังนั้น การพยายามปลอมแปลงที่อยู่ IP (การปลอมแปลง IP) เพื่อสร้างการเชื่อมต่อ TCP จึงเป็นเรื่องยากมาก นอกจากนี้ ส่วนหัว TCP ยังมีหมายเลขลำดับที่ใช้เพื่อรับทราบการรับแพ็กเก็ต หมายเลขลำดับเริ่มต้น (ISN) สำหรับการเชื่อมต่อใหม่แต่ละครั้งจะถูกเลือกแบบสุ่มเทียม

รายละเอียดการโจมตีด้วยการปลอมแปลง IP

รูปแสดงการโจมตีด้วยการปลอมแปลง IP 1 - การระบุเป้าหมาย 2. - การกำหนดมูลค่าที่เพิ่มขึ้นของหมายเลขซีเรียลเริ่มต้น (ISN) ซึ่งสามารถทำได้โดยสร้างชุดการเชื่อมต่อที่ถูกต้องกับระบบเป้าหมายและทำเครื่องหมาย ISN ที่ส่งคืน (แฮ็กเกอร์เสี่ยงที่จะเปิดเผย ที่อยู่ IP จริง). ขออภัย รูปวาดไม่ทำงาน แม้ว่าฉันจะหมุนด้วยวิธีนี้! แข็งแกร่งกว่าฉัน ...

ในบทความนี้ เราจะพิจารณาทราฟฟิกพร็อกซี่สำหรับแอปพลิเคชัน iOS ที่ใช้ซ็อกเก็ตเว็บดั้งเดิมเพื่อสื่อสารกับเซิร์ฟเวอร์ บทความนี้จะเป็นประโยชน์กับบรรดาเพนเทสเตอร์ที่ต้องเผชิญกับการสกัดกั้นข้อมูลที่เป็นความลับที่ส่งมาจากแอปพลิเคชัน iOS ในรูปแบบที่ไม่ได้มาตรฐาน วิธีการเหล่านี้มีความเกี่ยวข้องเนื่องจากการใช้การตั้งค่าพร็อกซีเซิร์ฟเวอร์มาตรฐานบนอุปกรณ์เพื่อสกัดกั้นการรับส่งข้อมูลจากบางแอปพลิเคชันอาจไม่เพียงพอ

เมื่อเร็ว ๆ นี้ ในระหว่างการทดสอบครั้งต่อไป ฉันพบแอปพลิเคชันที่ส่งข้อมูลไปยังพอร์ต 20xx ของเว็บเซิร์ฟเวอร์ ไม่สามารถสกัดกั้นการรับส่งข้อมูลของแอปพลิเคชันนี้โดยเปลี่ยนการตั้งค่ามาตรฐาน (การตั้งค่า -> Wi-Fi -> พร็อกซี HTTP -> ด้วยตนเอง) และเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังพร็อกซี สาเหตุหนึ่งที่ทำให้วิธีนี้ใช้ไม่ได้ผลก็คือมีการใช้ websockets ดั้งเดิมเพื่อสื่อสารกับเซิร์ฟเวอร์แทนคลาส UIWebView สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกำหนดค่าเว็บซ็อกเก็ต ให้ดูบทความนี้

อย่างไรก็ตาม มีวิธีแก้ปัญหาเพื่อแก้ไขปัญหานี้ เราสามารถใช้การปลอมแปลง DNS และเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ทั้งหมดจากพอร์ตทั้งหมดผ่านพร็อกซีเช่น Burp บทความนี้แบ่งออกเป็นส่วนต่างๆ:

1. ดมกลิ่นทราฟฟิกด้วย Wireshark เพื่อค้นหาที่อยู่ IP และพอร์ตของเซิร์ฟเวอร์
2. การปลอมแปลง DNS และส่งต่อการรับส่งข้อมูลทั้งหมดไปยังเครื่องที่ติดตั้งพร็อกซี
3. การสกัดกั้นการรับส่งข้อมูลโดยใช้พร็อกซีเซิร์ฟเวอร์หลังจากทำการปลอมแปลง DNS

ด้านล่างนี้คือไดอะแกรมทีละขั้นตอนสำหรับการนำการสกัดกั้นการรับส่งข้อมูลสำหรับแอปพลิเคชัน iOS โดยใช้ Native Web Socket

1. สร้างจุดเชื่อมต่อไร้สายและเชื่อมต่ออุปกรณ์กับมัน [หมายเหตุ: เครื่องจะต้องเชื่อมต่อกับอีเธอร์เน็ตหรือวิธีอื่นใดที่เชื่อมต่อกับอินเทอร์เน็ต เนื่องจากจะใช้อินเทอร์เฟซ Wi-Fi สำหรับจุดเข้าใช้งาน บทความนี้อธิบายวิธีกำหนดค่าจุดเชื่อมต่อบนเครื่อง Windows]

2. เปิดเครือข่ายดมกลิ่น (เช่น Wireshark) และมองหาการรับส่งข้อมูลผ่านพอร์ตที่ไม่ได้มาตรฐาน

NS. เรากรองทราฟฟิก เหลือไว้เพียงอันที่ไปยังที่อยู่ IP ที่เราต้องการ (ip.dst == ip.ip.ip.ip)

NS. ค้นหาหมายเลขพอร์ตที่ส่งทราฟฟิก

รูปที่ 1: ค้นหาพอร์ตที่ไม่ได้มาตรฐานซึ่งแอปพลิเคชันกำลังส่งทราฟฟิก

3. เปิด Metasploit DNS Spoofing Console และป้อนคำสั่งต่อไปนี้:

ค. ตั้งค่า SRVHOST = (IP ของจุดเชื่อมต่อไร้สาย)

NS. ตั้งค่า SRVPORT = 53 ตั้งค่า TARGETACTION = BYPASS ตั้งค่า TARGETDOMAIN = www.apple.com (หมายเหตุ: โดยการตั้งค่า TARGETDOMAIN = www.apple.com เราจะสกัดกั้นการรับส่งข้อมูลทั้งหมดยกเว้นจาก apple.com)

อี ตั้งค่า targethost = (IP ของจุดเชื่อมต่อไร้สาย)

รูปที่ 2: การกำหนดค่าเซิร์ฟเวอร์ DNS โดยใช้โมดูล fakedns (ในMetasploit)

4. กำหนดค่า Burp เพื่อรับฟังการรับส่งข้อมูลของอุปกรณ์ขาเข้าบนพอร์ตเฉพาะและเปลี่ยนเส้นทางไปยังพอร์ตที่พบก่อนหน้านี้

NS. ไปที่ Proxy-> Options-> Add; ตั้งค่า "bind port" เป็นพอร์ตที่แอปพลิเคชันควรส่งต่อการรับส่งข้อมูล (หมายเหตุ: นี่เป็นหนึ่งในพอร์ต tcp ที่ไม่ได้มาตรฐานที่พบโดยใช้ Wireshark)

NS. เรารับฟังทุกอินเทอร์เฟซ

ค. ในแท็บการจัดการคำขอ ให้ตั้งค่าโดเมนเซิร์ฟเวอร์ (ช่องเปลี่ยนเส้นทางไปยังโฮสต์)

NS. ในแท็บเดียวกัน ให้ตั้งค่าหมายเลขพอร์ตที่เกี่ยวข้อง (ฟิลด์ Redirect to port)

อี หากการรับส่งข้อมูลถูกส่งผ่าน https เราจะตั้งค่าการบังคับใช้ SSL

NS. คลิกตกลงและทำซ้ำการดำเนินการทั้งหมดข้างต้นสำหรับพอร์ตทั้งหมดที่แอปพลิเคชันส่งการรับส่งข้อมูล กล่าวอีกนัยหนึ่ง ต้องใช้ Proxy listener ที่กำหนดค่าแยกต่างหากสำหรับแต่ละพอร์ต

รูปที่ 3: การกำหนดค่าการฟังและการเปลี่ยนเส้นทางการรับส่งข้อมูล

5. กำหนดการตั้งค่าพร็อกซีบนอุปกรณ์:

NS. ไปที่ส่วน Wi-Fi-> DHCP และตั้งค่า DNS = ที่อยู่ IP ของจุดเข้าใช้งาน

NS. ในการตั้งค่าพร็อกซี HTTP ให้ตั้งค่าที่อยู่ IP ของจุดเชื่อมต่อและพอร์ตที่เกี่ยวข้องซึ่งมีการกำหนดค่าการเรอ (การตั้งค่าเหล่านี้ใช้กับการรับส่งข้อมูล HTTP มาตรฐานของพร็อกซี)

รูปที่ 4: การกำหนดค่า IP และDNS ส่งต่อบนอุปกรณ์

6. ป้อน "exploit" ในคอนโซล Metasploit แล้วคุณจะเห็นทราฟฟิกที่ถูกสกัดกั้นทั้งหมดจากพอร์ตที่ไม่ได้มาตรฐาน

วิธีการที่อธิบายไว้สามารถใช้เพื่อแก้ไขปัญหาเกี่ยวกับการสกัดกั้นการรับส่งข้อมูลของแอปพลิเคชัน iOS ที่ส่งข้อมูลด้วยวิธีที่ไม่ได้มาตรฐาน

การสกัดกั้นข้อมูลผ่านเครือข่ายการรับข้อมูลใด ๆ จากอุปกรณ์คอมพิวเตอร์ระยะไกลถือว่า อาจประกอบด้วยข้อมูลส่วนบุคคลของผู้ใช้ ข้อความของเขา บันทึกการเข้าชมเว็บไซต์ การดักจับข้อมูลสามารถทำได้โดยสปายแวร์หรือนักดมกลิ่นเครือข่าย

สปายแวร์เป็นซอฟต์แวร์พิเศษที่สามารถบันทึกข้อมูลทั้งหมดที่ส่งผ่านเครือข่ายจากเวิร์กสเตชันหรืออุปกรณ์เฉพาะ

การดมกลิ่นคือโปรแกรมหรือเทคนิคคอมพิวเตอร์ที่สกัดกั้นและวิเคราะห์การรับส่งข้อมูลที่ผ่านเครือข่าย Sniffer อนุญาตให้คุณเชื่อมต่อกับเซสชันเว็บและดำเนินการต่างๆ ในนามของเจ้าของคอมพิวเตอร์

หากไม่มีการส่งข้อมูลตามเวลาจริง สปายแวร์จะสร้างรายงานที่สะดวกต่อการดูและวิเคราะห์ข้อมูล

การสกัดกั้นเครือข่ายสามารถถูกกฎหมายหรือผิดกฎหมาย เอกสารหลักที่แก้ไขความถูกต้องตามกฎหมายของการยึดข้อมูลคืออนุสัญญาว่าด้วยอาชญากรรมทางอินเทอร์เน็ต ก่อตั้งขึ้นในฮังการีในปี 2544 ข้อกำหนดทางกฎหมายของประเทศต่างๆ อาจแตกต่างกันเล็กน้อย แต่ข้อความหลักจะเหมือนกันสำหรับทุกประเทศ

การจำแนกประเภทและวิธีการสกัดกั้นข้อมูลผ่านเครือข่าย

ตามข้างต้น การสกัดกั้นข้อมูลผ่านเครือข่ายสามารถแบ่งออกเป็นสองประเภท: ได้รับอนุญาตและไม่ได้รับอนุญาต

การเก็บรวบรวมข้อมูลที่ได้รับอนุญาตจะดำเนินการเพื่อวัตถุประสงค์ที่หลากหลาย ตั้งแต่การปกป้องข้อมูลองค์กรไปจนถึงการรับรองความปลอดภัยของรัฐ เหตุผลสำหรับการดำเนินการดังกล่าวกำหนดโดยกฎหมาย บริการพิเศษ เจ้าหน้าที่บังคับใช้กฎหมาย ผู้เชี่ยวชาญจากองค์กรธุรการ และบริการรักษาความปลอดภัยของบริษัท

มีมาตรฐานสากลสำหรับการดำเนินการสกัดกั้นข้อมูล สถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunication Standards Institute) ได้นำกระบวนการทางเทคนิคจำนวนหนึ่ง (ETSI ES 201 158 "การรักษาความปลอดภัยด้านโทรคมนาคม การสกัดกั้นทางกฎหมาย (LI) ข้อกำหนดสำหรับฟังก์ชันเครือข่าย") มาสู่บรรทัดฐานแบบรวมศูนย์ ซึ่งเป็นพื้นฐานของการสกัดกั้นข้อมูล ส่งผลให้มีการพัฒนาสถาปัตยกรรมระบบที่ช่วยให้ผู้เชี่ยวชาญด้านบริการลับ ผู้ดูแลระบบเครือข่าย เข้าควบคุมข้อมูลจากเครือข่ายได้อย่างถูกกฎหมาย โครงสร้างที่พัฒนาขึ้นของการดำเนินการสกัดกั้นข้อมูลบนเครือข่ายนั้นใช้สำหรับระบบการโทรด้วยเสียงแบบมีสายและไร้สาย เช่นเดียวกับการโต้ตอบทางจดหมาย การส่ง ข้อความเสียงโดย IP การแลกเปลี่ยนข้อมูลทาง SMS

การสกัดกั้นข้อมูลโดยไม่ได้รับอนุญาตบนเครือข่ายดำเนินการโดยอาชญากรไซเบอร์ที่ต้องการครอบครองข้อมูลที่เป็นความลับ รหัสผ่าน ความลับขององค์กร ที่อยู่ของคอมพิวเตอร์ในเครือข่าย ฯลฯ เพื่อให้บรรลุเป้าหมาย แฮ็กเกอร์มักจะใช้ตัววิเคราะห์ทราฟฟิกเครือข่าย ซึ่งเป็นเครื่องดมกลิ่น โปรแกรมนี้หรืออุปกรณ์ประเภทซอฟต์แวร์ฮาร์ดแวร์ให้ผู้ฉ้อฉลสามารถสกัดกั้นและวิเคราะห์ข้อมูลภายในเครือข่ายที่ผู้ใช้ที่เป็นเหยื่อเชื่อมต่ออยู่ ซึ่งรวมถึงการรับส่งข้อมูล SSL ที่เข้ารหัสผ่านการปลอมแปลงใบรับรอง สามารถรับข้อมูลการจราจรได้หลายวิธี:

• ฟังอินเทอร์เฟซเครือข่าย
• เชื่อมต่ออุปกรณ์สกัดกั้นกับตัวแบ่งช่อง
• สร้างสาขาการจราจรและทำซ้ำเพื่อดมกลิ่น
• โดยดำเนินการโจมตี

นอกจากนี้ยังมีเทคโนโลยีที่ซับซ้อนมากขึ้นสำหรับการสกัดกั้นข้อมูลที่ละเอียดอ่อนซึ่งช่วยให้คุณสามารถบุกรุกเครือข่ายการสื่อสารและเปลี่ยนแปลงข้อมูลได้ หนึ่งในเทคโนโลยีดังกล่าวคือคำขอ ARP ปลอม สาระสำคัญของวิธีการนี้คือการปลอมแปลงที่อยู่ IP ระหว่างคอมพิวเตอร์ของเหยื่อและอุปกรณ์ของผู้โจมตี อีกวิธีหนึ่งที่สามารถใช้ในการสกัดกั้นข้อมูลบนเครือข่ายคือการกำหนดเส้นทางที่ผิดพลาด ประกอบด้วยการแทนที่ที่อยู่ IP ของเราเตอร์เครือข่ายด้วยที่อยู่ของตัวเอง ถ้าอาชญากรไซเบอร์รู้วิธีจัดระเบียบ เครือข่ายท้องถิ่นซึ่งเหยื่อคือ เขาสามารถจัดระเบียบการรับข้อมูลจากเครื่องของผู้ใช้ไปยังที่อยู่ IP ของเขาได้อย่างง่ายดาย การจี้การเชื่อมต่อ TCP เป็นวิธีที่มีประสิทธิภาพในการสกัดกั้นข้อมูล ผู้โจมตีขัดจังหวะเซสชันการสื่อสารด้วยการสร้างและส่งแพ็กเก็ต TCP ไปยังคอมพิวเตอร์ของเหยื่อ จากนั้นช่วงการสื่อสารจะถูกกู้คืน สกัดกั้นและดำเนินการต่อโดยอาชญากรแทนที่จะเป็นลูกค้า

วัตถุแห่งอิทธิพล

วัตถุของการสกัดกั้นข้อมูลผ่านเครือข่ายสามารถ สถาบันของรัฐ,สถานประกอบการอุตสาหกรรม, โครงสร้างเชิงพาณิชย์, ผู้ใช้ทั่วไป. ภายในองค์กรหรือบริษัทธุรกิจ สามารถใช้การเก็บข้อมูลเพื่อปกป้องโครงสร้างพื้นฐานของเครือข่ายได้ บริการพิเศษและหน่วยงานบังคับใช้กฎหมายสามารถทำการสกัดกั้นข้อมูลที่ส่งมาจากเจ้าของที่แตกต่างกันได้อย่างมาก ขึ้นอยู่กับงานที่ทำอยู่

หากเราพูดถึงอาชญากรไซเบอร์ ผู้ใช้หรือองค์กรใดๆ อาจกลายเป็นเป้าหมายที่มีอิทธิพลเพื่อให้ได้ข้อมูลที่ส่งผ่านเครือข่าย ด้วยการเข้าถึงที่ได้รับอนุญาต ข้อมูลที่ได้รับเป็นส่วนสำคัญ ในขณะที่ผู้โจมตีสนใจข้อมูลที่สามารถใช้เพื่อยึดเงินหรือข้อมูลที่มีค่าสำหรับการขายในภายหลัง

เหยื่อที่พบบ่อยที่สุดของการดักฟังข้อมูลโดยอาชญากรไซเบอร์คือผู้ใช้ที่เชื่อมต่อกับเครือข่ายสาธารณะ เช่น ในร้านกาแฟที่มี Wi-Fi hotspot ผู้โจมตีเชื่อมต่อกับเซสชันของเว็บโดยใช้การดมกลิ่น ปลอมแปลงข้อมูล และขโมย ข้อมูลส่วนบุคคล... สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ โปรดดูบทความ

ที่มาของภัยคุกคาม

ผู้ให้บริการโครงสร้างพื้นฐานเครือข่ายสาธารณะมีส่วนร่วมในการสกัดกั้นข้อมูลในบริษัทและองค์กรที่ได้รับอนุญาต กิจกรรมของพวกเขามีจุดมุ่งหมายเพื่อปกป้องข้อมูลส่วนบุคคล ความลับทางการค้า และข้อมูลสำคัญอื่นๆ ด้วยเหตุผลทางกฎหมาย บริการพิเศษ หน่วยงานบังคับใช้กฎหมาย และหน่วยงานของรัฐต่างๆ สามารถตรวจสอบการส่งข้อความและไฟล์ได้ เพื่อความปลอดภัยของประชาชนและรัฐ

ผู้โจมตีมีส่วนร่วมในการสกัดกั้นข้อมูลอย่างผิดกฎหมาย เพื่อไม่ให้ตกเป็นเหยื่อของอาชญากรไซเบอร์ คุณต้องปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญ ตัวอย่างเช่น คุณไม่ควรดำเนินการที่ต้องมีการอนุญาตและถ่ายโอนข้อมูลสำคัญในสถานที่ที่คุณเชื่อมต่อกับเครือข่ายสาธารณะ การเลือกเครือข่ายที่เข้ารหัสจะปลอดภัยกว่า หรือใช้โมเด็ม 3G และ LTE ส่วนตัวดีกว่า เมื่อถ่ายโอนข้อมูลส่วนบุคคล ขอแนะนำให้เข้ารหัสโดยใช้โปรโตคอล HTTPS หรืออุโมงค์ VPN ส่วนบุคคล

คุณสามารถปกป้องคอมพิวเตอร์ของคุณจากการสกัดกั้นการรับส่งข้อมูลเครือข่ายโดยใช้การเข้ารหัส การต่อต้านการดมกลิ่น จะลดความเสี่ยงของ dial-up มากกว่าการเข้าถึงเครือข่ายแบบไร้สาย