คอมพิวเตอร์ Windows อินเทอร์เน็ต
ขยาย
บ้าน

เหมือนผู้ชายที่อยู่ตรงกลาง ข้อกำหนด การฉีดโค้ดที่เป็นอันตราย

ในบทความนี้ เราจะพยายามหาทฤษฎีของการโจมตีแบบคนกลางและประเด็นที่เป็นประโยชน์บางประการที่จะช่วยป้องกันการโจมตีประเภทนี้ ซึ่งจะช่วยให้เราเข้าใจถึงความเสี่ยงที่การบุกรุกดังกล่าวก่อให้เกิดต่อความเป็นส่วนตัวของเรา เนื่องจากการโจมตีของ MitM ทำให้เราสามารถบุกรุกการสื่อสารและรับฟังการสนทนาของเราได้

เข้าใจการทำงานของอินเทอร์เน็ต

เพื่อให้เข้าใจถึงการโจมตีแบบคนกลาง คุณต้องเข้าใจวิธีการทำงานของอินเทอร์เน็ตก่อน ประเด็นหลักของการโต้ตอบ: ไคลเอนต์ เราเตอร์ เซิร์ฟเวอร์ โปรโตคอลการสื่อสารที่พบบ่อยที่สุดระหว่างไคลเอ็นต์และเซิร์ฟเวอร์คือ Hypertext Transfer Protocol (HTTP) ท่องเว็บด้วยเบราว์เซอร์ อีเมล ข้อความโต้ตอบแบบทันที ทั้งหมดนี้ทำได้ผ่าน HTTP

เมื่อคุณพิมพ์ในแถบที่อยู่ของเบราว์เซอร์ ลูกค้า (คุณ) จะส่งคำขอให้แสดงหน้าเว็บไปยังเซิร์ฟเวอร์ แพ็กเก็ต (คำขอ HTTP GET) ถูกส่งผ่านเราเตอร์หลายตัวไปยังเซิร์ฟเวอร์ จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยหน้าเว็บที่ส่งไปยังไคลเอ็นต์และแสดงบนจอภาพ ข้อความ HTTP จะต้องส่งในโหมดปลอดภัยเพื่อให้แน่ใจว่ามีการรักษาความลับและไม่เปิดเผยชื่อ

รูปที่ 1. การโต้ตอบระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์

การรักษาความปลอดภัยโปรโตคอลการสื่อสาร

โปรโตคอลการสื่อสารที่ปลอดภัยต้องมีคุณสมบัติดังต่อไปนี้:

  1. ความเป็นส่วนตัว- เฉพาะผู้รับที่ต้องการเท่านั้นที่สามารถอ่านข้อความได้
  2. ความถูกต้อง- พิสูจน์เอกลักษณ์ของฝ่ายที่มีปฏิสัมพันธ์
  3. ความซื่อสัตย์- ยืนยันว่าข้อความไม่ได้รับการแก้ไขในระหว่างการขนส่ง

หากไม่ปฏิบัติตามกฎเหล่านี้อย่างน้อยหนึ่งกฎ โปรโตคอลทั้งหมดจะถูกบุกรุก

การโจมตีแบบคนกลางผ่านโปรโตคอล HTTP

ผู้โจมตีสามารถทำการโจมตีแบบคนกลางได้อย่างง่ายดายโดยใช้เทคนิคที่เรียกว่าการปลอมแปลง ARP ใครก็ตามในเครือข่าย Wi-Fi ของคุณสามารถส่งแพ็กเก็ต ARP ปลอมให้คุณได้ ทำให้คุณส่งการรับส่งข้อมูลทั้งหมดของคุณผ่านผู้โจมตีโดยไม่รู้ตัว แทนที่จะเป็นเราเตอร์

หลังจากนั้นผู้โจมตีจะควบคุมการรับส่งข้อมูลอย่างสมบูรณ์และสามารถตรวจสอบคำขอที่ส่งไปทั้งสองทิศทาง

รูปที่ 2 รูปแบบการโจมตีแบบคนกลาง


เพื่อป้องกันการโจมตีดังกล่าว จึงได้มีการสร้างโปรโตคอล HTTP เวอร์ชันที่ปลอดภัยขึ้น Transport Layer Security (TLS) และ Secure Socket Layer (SSL) รุ่นก่อน เป็นโปรโตคอลการเข้ารหัสที่ให้การสื่อสารที่ปลอดภัยผ่านเครือข่าย ดังนั้นโปรโตคอลที่ปลอดภัยจะเรียกว่า HTTPS คุณสามารถดูว่าโปรโตคอลความปลอดภัยทำงานอย่างไรโดยพิมพ์ลงในแถบที่อยู่ของเบราว์เซอร์ของคุณ (หมายเหตุ S ใน https)

การโจมตีแบบคนกลางบน SSL . ที่ใช้งานไม่ดี

SSL สมัยใหม่ใช้อัลกอริธึมการเข้ารหัสที่ดี แต่ไม่สำคัญว่าจะใช้งานไม่ถูกต้องหรือไม่ หากแฮ็กเกอร์สามารถสกัดกั้นคำขอ พวกเขาสามารถเปลี่ยนแปลงได้โดยการลบ "S" ออกจาก URL ที่ร้องขอ ดังนั้นจึงข้าม SSL

สามารถสังเกตการสกัดกั้นและการปรับเปลี่ยนคำขอดังกล่าวได้ ตัวอย่างเช่น หากคุณขอ https://login.yahoo.com/ และคำตอบคือ http://login.yahoo.com/ สิ่งนี้จะทำให้เกิดความสงสัย ในขณะที่เขียน การโจมตีดังกล่าวใช้งานได้จริงกับบริการอีเมลของ Yahoo

รูปที่ 3 การสกัดกั้นและแก้ไขคำขอ


เพื่อป้องกันการโจมตีดังกล่าว เซิร์ฟเวอร์สามารถใช้ HTTP Strict Transport Security (HSTS) ซึ่งเป็นกลไกที่บังคับใช้การเชื่อมต่อที่ปลอดภัยแบบบังคับผ่านโปรโตคอล HTTPS ในกรณีนี้ หากผู้โจมตีแก้ไขคำขอโดยลบ “S” ออกจาก URL เซิร์ฟเวอร์จะยังคงเปลี่ยนเส้นทางผู้ใช้ด้วยการเปลี่ยนเส้นทาง 302 ไปยังหน้าที่มีโปรโตคอลความปลอดภัย

รูปที่ 4. แผนการดำเนินงาน HSTS


วิธีการใช้ SSL นี้มีความเสี่ยงต่อการโจมตีประเภทอื่น - ผู้โจมตีสร้างการเชื่อมต่อ SSL กับเซิร์ฟเวอร์ แต่หลอกให้ผู้ใช้ใช้ HTTP

รูปที่ 5. รูปแบบการโจมตีสำหรับ HSTS


เพื่อป้องกันการโจมตีดังกล่าว เบราว์เซอร์สมัยใหม่ เช่น Chrome, Firefox และ Tor จะตรวจสอบไซต์ที่ใช้ HSTS และบังคับใช้การเชื่อมต่อ SSL ฝั่งไคลเอ็นต์กับไซต์เหล่านี้ ในกรณีนี้ ผู้โจมตีที่ทำการโจมตีแบบคนกลางจะต้องสร้างการเชื่อมต่อ SSL กับเหยื่อ

รูปที่ 6 แบบแผนของการโจมตี โดยที่ผู้โจมตีสร้างการเชื่อมต่อ SSL กับเหยื่อ


เพื่อรักษาความปลอดภัยให้กับการเชื่อมต่อ SLL กับผู้ใช้ ผู้โจมตีต้องทราบวิธีการทำหน้าที่เป็นเซิร์ฟเวอร์ มาทำความเข้าใจด้านเทคนิคของ SSL กัน

ทำความเข้าใจกับ SSL

จากมุมมองของแฮ็กเกอร์ การประนีประนอมโปรโตคอลการสื่อสารใด ๆ ไปจนถึงการค้นหาจุดเชื่อมโยงที่อ่อนแอระหว่างส่วนประกอบต่างๆ ที่ระบุไว้ข้างต้น (ความเป็นส่วนตัว ความถูกต้อง และความสมบูรณ์)

SSL ใช้อัลกอริธึมการเข้ารหัสแบบอสมมาตร ในการเข้ารหัสแบบสมมาตร ปัญหาคือมีการใช้คีย์เดียวกันในการเข้ารหัสและถอดรหัสข้อมูล วิธีนี้ไม่เป็นที่ยอมรับสำหรับโปรโตคอลอินเทอร์เน็ต เนื่องจากผู้โจมตีสามารถติดตามคีย์นี้ได้

ในทางกลับกัน การเข้ารหัสแบบอสมมาตรเกี่ยวข้องกับ 2 คีย์สำหรับแต่ละด้าน: คีย์สาธารณะที่ใช้ในการเข้ารหัสและคีย์ส่วนตัวที่ใช้ในการถอดรหัสข้อมูล

รูปที่ 7 การทำงานของกุญแจสาธารณะและส่วนตัว

SSL มีคุณสมบัติสามประการที่จำเป็นสำหรับการสื่อสารที่ปลอดภัยอย่างไร

  1. เนื่องจากการเข้ารหัสแบบอสมมาตรใช้ในการเข้ารหัสข้อมูล SSL จึงมีการเชื่อมต่อส่วนตัว การเข้ารหัสนี้ไม่ใช่เรื่องง่ายที่จะถอดรหัสและไม่มีใครสังเกตเห็น
  2. เซิร์ฟเวอร์พิสูจน์ความถูกต้องด้วยการส่งใบรับรอง SSL ที่ออกโดยผู้ออกใบรับรองซึ่งเป็นบุคคลที่สามที่เชื่อถือได้ให้กับลูกค้า

หากผู้โจมตีสามารถยึดใบรับรองได้ เขาสามารถสร้างเงื่อนไขสำหรับการโจมตีแบบคนกลางได้ ดังนั้น มันจะสร้างการเชื่อมต่อ 2 แบบ - กับเซิร์ฟเวอร์และกับเหยื่อ เซิร์ฟเวอร์ในกรณีนี้คิดว่าผู้โจมตีเป็นไคลเอนต์ปกติ และเหยื่อไม่มีวิธีระบุตัวผู้โจมตี เนื่องจากเขาให้ใบรับรองที่พิสูจน์ว่าเขาเป็นเซิร์ฟเวอร์

ข้อความของคุณส่งถึงและมาถึงในรูปแบบที่เข้ารหัส แต่ส่งต่อไปยังคอมพิวเตอร์ของอาชญากรไซเบอร์ ที่ซึ่งเขาสามารถควบคุมได้อย่างสมบูรณ์

รูปที่ 8 แบบแผนการโจมตีหากผู้โจมตีมีใบรับรอง


ใบรับรองไม่จำเป็นต้องปลอมแปลงหากผู้โจมตีมีความสามารถในการประนีประนอมเบราว์เซอร์ของเหยื่อ ในกรณีนี้ สามารถแทรกใบรับรองที่ลงนามเองซึ่งจะเชื่อถือโดยค่าเริ่มต้น นี่คือวิธีการโจมตีแบบคนกลางส่วนใหญ่ ในกรณีที่ซับซ้อนกว่านี้ แฮ็กเกอร์จะต้องไปทางอื่น - ปลอมแปลงใบรับรอง

ปัญหาของผู้ออกใบรับรอง

ใบรับรองที่ส่งโดยเซิร์ฟเวอร์จะออกและลงนามโดยผู้ออกใบรับรอง แต่ละเบราว์เซอร์มีรายชื่อ CA ที่เชื่อถือได้ และคุณสามารถเพิ่มหรือลบได้ ปัญหาคือถ้าคุณตัดสินใจที่จะลบหน่วยงานขนาดใหญ่ คุณจะไม่สามารถเยี่ยมชมไซต์ที่ใช้ใบรับรองที่ลงนามโดยหน่วยงานเหล่านี้

ใบรับรองและ CA เป็นลิงก์ที่อ่อนแอที่สุดในการเชื่อมต่อ HTTPS แม้ว่าทุกอย่างจะถูกนำไปใช้อย่างถูกต้องและผู้ออกใบรับรองแต่ละรายมีอำนาจที่แข็งแกร่ง แต่ก็ยังยากที่จะยอมรับความจริงที่ว่าคุณต้องเชื่อถือบุคคลที่สามจำนวนมาก

ปัจจุบันมีองค์กรมากกว่า 650 แห่งที่สามารถออกใบรับรองได้ หากผู้โจมตีแฮ็คข้อมูลใด ๆ เขาจะได้รับใบรับรองที่เขาต้องการ

แม้ว่าจะมีผู้ออกใบรับรองเพียงคนเดียว VeriSign ก็มีปัญหา - คนที่ควรจะป้องกันการโจมตีโดยคนกลางกำลังขายบริการสกัดกั้น

นอกจากนี้ ใบรับรองจำนวนมากถูกสร้างขึ้นโดยการแฮ็กผู้ออกใบรับรอง มีการใช้เทคนิคและกลเม็ดต่างๆ เพื่อบังคับให้ผู้ใช้ที่ถูกโจมตีเชื่อถือใบรับรองที่หลอกลวง

อาชญากร

เนื่องจากผู้โจมตีส่งแพ็กเก็ต ARP ปลอม คุณจึงไม่เห็นที่อยู่ IP ของเขา แต่คุณต้องให้ความสนใจกับที่อยู่ MAC ซึ่งเฉพาะสำหรับอุปกรณ์แต่ละเครื่องในเครือข่าย หากคุณทราบที่อยู่ MAC ของเราเตอร์ คุณสามารถเปรียบเทียบกับที่อยู่ MAC ของเกตเวย์เริ่มต้นเพื่อดูว่าเป็นเราเตอร์หรือผู้บุกรุกจริงๆ

ตัวอย่างเช่น บน Windows คุณสามารถใช้คำสั่ง ipconfig ในบรรทัดคำสั่ง (CMD) เพื่อดูที่อยู่ IP ของเกตเวย์เริ่มต้นของคุณ (บรรทัดสุดท้าย):

รูปที่ 9 การใช้คำสั่ง ipconfig


จากนั้นใช้คำสั่ง arp -a เพื่อค้นหาที่อยู่ MAC ของเกตเวย์นี้:

รูปที่ 10. การใช้คำสั่ง arp –a


แต่มีอีกวิธีหนึ่งในการสังเกตการโจมตี - หากคุณกำลังตรวจสอบกิจกรรมเครือข่ายในขณะที่เริ่มและดูแพ็กเก็ต ARP ตัวอย่างเช่น คุณสามารถใช้ Wireshark เพื่อจุดประสงค์นี้ โปรแกรมนี้จะแจ้งให้คุณทราบหากที่อยู่ MAC ของเกตเวย์เริ่มต้นมีการเปลี่ยนแปลง

หมายเหตุ: หากผู้โจมตีปลอมแปลงที่อยู่ MAC อย่างถูกต้อง การติดตามเขาจะกลายเป็นปัญหาใหญ่

บทสรุป

SSL เป็นโปรโตคอลที่บังคับให้ผู้โจมตีทำงานอย่างหนักเพื่อโจมตี แต่จะไม่ปกป้องคุณจากการโจมตีที่ได้รับการสนับสนุนจากรัฐบาลหรือองค์กรแฮ็กเกอร์ที่มีคุณสมบัติเหมาะสม

งานของผู้ใช้คือการปกป้องเบราว์เซอร์และคอมพิวเตอร์เพื่อป้องกันการแทรกใบรับรองปลอม (เป็นเทคนิคทั่วไป) คุณควรให้ความสนใจกับรายการใบรับรองที่เชื่อถือได้และลบใบรับรองที่คุณไม่เชื่อถือออก

แสดงถึงสถานการณ์ที่ผู้โจมตีสามารถอ่านและแก้ไขข้อความที่แลกเปลี่ยนโดยผู้สื่อข่าวได้ตามต้องการ และไม่มีผู้ใดสามารถคาดเดาเกี่ยวกับการมีอยู่ของเขาในช่องได้


มูลนิธิวิกิมีเดีย 2010 .

ดูว่า "คนตรงกลาง (โจมตี)" ในพจนานุกรมอื่น ๆ คืออะไร:

    Man in the middle attack, MITM attack (อังกฤษ Man in the middle) เป็นคำในการเข้ารหัสที่อ้างถึงสถานการณ์ที่ cryptanalyst (ผู้โจมตี) สามารถอ่านและแก้ไขข้อความที่แลกเปลี่ยนได้ตามต้องการ ... ... Wikipedia

    - ... Wikipedia

    การเข้ารหัสลับ (มาจากภาษากรีก κρυπτός ซ่อนและวิเคราะห์) เป็นศาสตร์แห่งวิธีการในการรับค่าเริ่มต้นของข้อมูลที่เข้ารหัสโดยไม่ต้องเข้าถึงข้อมูลลับ (คีย์) ที่จำเป็นสำหรับสิ่งนี้ ในกรณีส่วนใหญ่ หมายถึง ... ... Wikipedia

    การโจมตีของแฮ็กเกอร์ในความหมายที่แคบของคำนี้ปัจจุบันเข้าใจโดยวลี "การจู่โจมในระบบรักษาความปลอดภัย" และมีแนวโน้มที่จะคล้ายกับความหมายของคำต่อไปนี้ การโจมตีด้วยแคร็กเกอร์ สิ่งนี้เกิดขึ้นเนื่องจากการบิดเบือนความหมายของคำว่า "แฮ็กเกอร์" ... Wikipedia

    - (จากภาษากรีก κρυπτός อื่น ๆ ที่ซ่อนอยู่และการวิเคราะห์) ศาสตร์แห่งวิธีการถอดรหัสข้อมูลที่เข้ารหัสโดยไม่มีคีย์สำหรับถอดรหัสดังกล่าว คำนี้ถูกนำมาใช้โดย William F. Friedman นักเข้ารหัสชาวอเมริกันในปี 1920 อย่างไม่เป็นทางการ ... ... Wikipedia

โจมตี "ชายตรงกลาง" (อังกฤษ ชายกลาง โจมตี MitM) - คำในการเข้ารหัสหมายถึงสถานการณ์ที่ผู้โจมตีสามารถอ่านและแก้ไขข้อความที่แลกเปลี่ยนโดยผู้สื่อข่าวได้ตามต้องการและไม่มีสิ่งใดที่สามารถทำได้ เดาเกี่ยวกับการปรากฏตัวของเขาในช่อง

วิธีการประนีประนอมช่องทางการสื่อสาร ซึ่งผู้โจมตีได้เชื่อมต่อกับช่องทางระหว่างคู่สัญญา แทรกแซงในโปรโตคอลการส่งอย่างแข็งขัน การลบ บิดเบือนข้อมูล หรือการจัดเก็บข้อมูลเท็จ

หลักการโจมตี:

สมมติว่าวัตถุ "A" วางแผนที่จะส่งข้อมูลบางอย่างไปยังวัตถุ "B" วัตถุ "C" มีความรู้เกี่ยวกับโครงสร้างและคุณสมบัติของวิธีการส่งข้อมูลที่ใช้ ตลอดจนข้อเท็จจริงของการส่งข้อมูลจริงตามแผนซึ่ง "C" วางแผนที่จะสกัดกั้น

ในการโจมตี "C" คือ "ตัวแทน" สำหรับวัตถุ "A" เป็น "B" และเพื่อคัดค้าน "B" เป็น "A" วัตถุ "A" เข้าใจผิดคิดว่ากำลังส่งข้อมูลไปยัง "B" ส่งข้อมูลไปที่วัตถุ "C"

ออบเจ็กต์ "C" เมื่อได้รับข้อมูลแล้วและได้ดำเนินการบางอย่างกับข้อมูลดังกล่าวแล้ว (เช่น การคัดลอกหรือแก้ไขข้อมูลเพื่อจุดประสงค์ของตนเอง) จะส่งข้อมูลไปยังผู้รับเอง - "B" ในทางกลับกัน วัตถุ "B" เชื่อว่าเขาได้รับข้อมูลโดยตรงจาก "A"

ตัวอย่างของการโจมตี MitM:

สมมุติว่าอลิซกำลังประสบปัญหาทางการเงินและการใช้โปรแกรมส่งข้อความโต้ตอบแบบทันทีตัดสินใจขอเงินจากจอห์นด้วยการส่งข้อความ:
อลิซ: จอห์น สวัสดี!
อลิซ: กรุณาส่งรหัสเข้ารหัส มีคำขอเล็กน้อย!
จอห์น: เฮ้! รอสักครู่!

แต่ในเวลานี้ Mr. X ผู้ซึ่งขณะวิเคราะห์ทราฟฟิกด้วยการดมกลิ่น สังเกตเห็นข้อความนี้ และคำว่า "encryption key" ได้กระตุ้นความอยากรู้ นั่นเป็นเหตุผลที่เขาตัดสินใจสกัดกั้นข้อความต่อไปนี้และแทนที่ด้วยข้อมูลที่เขาต้องการ และเมื่อเขาได้รับข้อความต่อไปนี้:
จอห์น: นี่คือกุญแจของฉัน: 1111_D

เขาเปลี่ยนกุญแจของ John เป็นกุญแจของตัวเอง และส่งข้อความถึง Alice:
จอห์น: นี่คือกุญแจของฉัน: 6666_M

อลิซไม่รู้ตัวและคิดว่าเป็นกุญแจของจอห์นโดยใช้กุญแจส่วนตัว 6666_Mส่งข้อความที่เข้ารหัสไปยัง John:
อลิซ: John ฉันมีปัญหาและต้องการเงินด่วน โปรดโอนเงิน $300 ไปที่บัญชีของฉัน: Z12345 ขอขอบคุณ. ป.ล. กุญแจของฉัน: 2222_A

เมื่อได้รับข้อความแล้ว Mister-X ถอดรหัสมันโดยใช้คีย์ของเขา อ่านมันแล้วชื่นใจ เปลี่ยนหมายเลขบัญชีของอลิซและคีย์การเข้ารหัสเป็นของเขาเอง เข้ารหัสข้อความด้วยคีย์ 1111_Dและส่งข้อความถึงจอห์น:
อลิซ: จอห์น ฉันมีปัญหาและต้องการเงินด่วน โปรดโอนเงิน $300 ไปที่บัญชีของฉัน: Z67890 ขอขอบคุณ. ป.ล. กุญแจของฉัน: 6666_A

หลังจากได้รับข้อความ จอห์นถอดรหัสโดยใช้คีย์ 1111_Dและไม่ต้องสงสัยเลยว่าจะโอนเงินเข้าบัญชี Z67890...

คุณเอ็กซ์ทำเงินได้ 300 ดอลลาร์โดยใช้การโจมตีแบบคนกลาง แต่ตอนนี้อลิซต้องอธิบายว่าเธอไม่ได้รับเงิน... แล้วจอห์นล่ะ? จอห์นต้องพิสูจน์ให้อลิซเห็นว่าเขาส่งพวกเขามา...

การดำเนินการ:

การโจมตีประเภทเดียวกันนี้ถูกใช้ในผลิตภัณฑ์ซอฟต์แวร์บางอย่างเพื่อรับฟังเครือข่าย ตัวอย่างเช่น
NetStumbler- โปรแกรมที่คุณสามารถรวบรวมข้อมูลที่เป็นประโยชน์มากมายเกี่ยวกับเครือข่ายไร้สายและแก้ปัญหาบางอย่างที่เกี่ยวข้องกับการทำงานของเครือข่าย NetStumbler ช่วยให้คุณกำหนดช่วงของเครือข่ายและช่วยให้คุณกำหนดทิศทางเสาอากาศได้อย่างแม่นยำสำหรับการสื่อสารในระยะทางไกล สำหรับจุดเชื่อมต่อที่พบแต่ละจุด คุณสามารถค้นหาที่อยู่ MAC อัตราส่วนสัญญาณต่อสัญญาณรบกวน ชื่อของบริการและระดับความปลอดภัย หากการรับส่งข้อมูลไม่ได้รับการเข้ารหัส ความสามารถของโปรแกรมในการตรวจหาการเชื่อมต่อที่ไม่ได้รับอนุญาตจะเป็นประโยชน์

ดมกลิ่น- เป็นชุดโปรแกรมสำหรับตรวจสอบเครือข่ายและการตรวจสอบการเจาะระบบ จัดให้มีการตรวจสอบเครือข่ายแบบพาสซีฟเพื่อค้นหาข้อมูลที่สนใจ (รหัสผ่าน อีเมล ไฟล์ ฯลฯ) การสกัดกั้นการรับส่งข้อมูลเครือข่ายที่ปกติไม่สามารถเข้าถึงได้สำหรับการวิเคราะห์ (เช่น บนเครือข่ายสวิตช์) รวมถึงความเป็นไปได้ในการจัดการโจมตี MITM เพื่อสกัดกั้นเซสชัน SSH และ HTTPS โดยใช้ประโยชน์จากจุดอ่อนของ PKI

เคน & อาเบล- โปรแกรมฟรีที่ให้คุณกู้คืนรหัสผ่านที่หายไปสำหรับระบบปฏิบัติการของตระกูล Windows รองรับโหมดการกู้คืนหลายโหมด: การถอดรหัสแบบเดรัจฉานแบบเดรัจฉาน, การเลือกพจนานุกรม, การดูรหัสผ่านที่ซ่อนอยู่ด้วยเครื่องหมายดอกจัน ฯลฯ นอกจากนี้ยังมีตัวเลือกสำหรับการตรวจหารหัสผ่านโดยการสกัดกั้นแพ็กเก็ตข้อมูลและการวิเคราะห์ที่ตามมา บันทึกการสนทนาในเครือข่าย การวิเคราะห์แคช และอื่นๆ

เอตเตอร์แคป- เป็นผู้ดมกลิ่น ดักจับแพ็กเก็ต และผู้รับจดทะเบียนสำหรับเครือข่ายอีเทอร์เน็ตในพื้นที่ ซึ่งสนับสนุนการวิเคราะห์แบบแอ็คทีฟและพาสซีฟของโปรโตคอลจำนวนมาก ตลอดจน "โยน" ข้อมูลของตัวเองลงในการเชื่อมต่อที่มีอยู่และการกรอง "ทันที" โดยไม่รบกวนการซิงโครไนซ์การเชื่อมต่อ . โปรแกรมช่วยให้คุณสามารถสกัดกั้น SSH1, HTTPS และโปรโตคอลความปลอดภัยอื่น ๆ และให้ความสามารถในการถอดรหัสรหัสผ่านสำหรับโปรโตคอลต่อไปนี้: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, ถุงเท้า 5, IMAP 4, VNC, LDAP, NFS, SNMP, ครึ่งชีวิต, แผ่นดินไหว 3, MSN, YMSG

กรรม- ชุดโปรแกรมอรรถประโยชน์สำหรับการประเมินความปลอดภัยของไคลเอนต์ไร้สายคือดมกลิ่นไร้สายที่การฟังเฟรมคำขอ 802.11 Probe Request แบบพาสซีฟช่วยให้คุณค้นพบไคลเอนต์และเครือข่ายที่ต้องการ / เชื่อถือได้ คุณสามารถสร้างจุดเชื่อมต่อปลอมสำหรับหนึ่งในเครือข่ายที่ร้องขอ ซึ่งสามารถเชื่อมต่อได้โดยอัตโนมัติ บริการปลอมระดับสูงสามารถใช้เพื่อขโมยข้อมูลส่วนบุคคลหรือใช้ประโยชน์จากช่องโหว่ฝั่งไคลเอ็นต์บนโฮสต์

airjack- ชุดโปรแกรมที่ตามที่ผู้เชี่ยวชาญในด้านการแฮ็ก WiFi เป็นเครื่องมือที่ดีที่สุดสำหรับการสร้างเฟรม 802.11 ต่างๆ AirJack มียูทิลิตี้จำนวนหนึ่งที่ออกแบบมาเพื่อตรวจจับ ESSID ที่ซ่อนอยู่ ส่งเฟรมสิ้นสุดเซสชันด้วย MAC ปลอม ทำการโจมตี MitM และแก้ไข

ฝ่ายค้าน:

เพื่อหลีกเลี่ยงการโจมตีประเภทนี้ ก็เพียงพอแล้วสำหรับสมาชิก "A" และ "B" เพื่อโอนลายเซ็นดิจิทัลของคีย์การเข้ารหัสสาธารณะให้กันและกันโดยใช้ช่องทางที่เชื่อถือได้ จากนั้น เมื่อเปรียบเทียบลายเซ็นของคีย์ในเซสชันการเข้ารหัส จะเป็นไปได้ที่จะสร้างด้วยคีย์ที่ข้อมูลถูกเข้ารหัส และไม่ว่าจะคีย์นั้นถูกปลอมแปลงหรือไม่

การโจมตีแบบคนกลางเป็นชื่อสามัญสำหรับเทคนิคต่างๆ ที่มีเป้าหมายเพื่อเข้าถึงการรับส่งข้อมูลในฐานะตัวกลาง เนื่องจากเทคนิคเหล่านี้มีหลากหลาย จึงเป็นปัญหาที่จะใช้เครื่องมือเดียวในการตรวจจับการโจมตีเหล่านี้ ซึ่งจะใช้ได้กับทุกสถานการณ์ที่เป็นไปได้ ตัวอย่างเช่น ในการโจมตีแบบคนกลางบนเครือข่ายท้องถิ่น การปลอมแปลง ARP (การวางยาพิษ) มักถูกใช้ และเครื่องมือตรวจจับการโจมตีแบบคนกลางจำนวนมากคอยเฝ้าดูการเปลี่ยนแปลงคู่ที่อยู่อีเทอร์เน็ต/หรือรายงานกิจกรรม ARP ที่น่าสงสัยโดยการตรวจสอบคำขอ/การตอบสนองของ ARP แบบพาสซีฟ แต่ถ้าการโจมตีนี้ถูกใช้บนพร็อกซีเซิร์ฟเวอร์ที่กำหนดค่าโดยประสงค์ร้าย, VPN หรือตัวเลือกอื่นๆ เมื่อไม่ได้ใช้การเป็นพิษของ ARP เครื่องมือดังกล่าวก็ช่วยอะไรไม่ได้

จุดประสงค์ของส่วนนี้คือเพื่อดูเทคนิคบางอย่างในการตรวจจับการโจมตีแบบคนกลาง รวมถึงเครื่องมือบางอย่างที่ออกแบบมาเพื่อระบุว่าคุณอยู่ภายใต้การโจมตีของ MitM เนื่องจากวิธีการและสถานการณ์การใช้งานที่หลากหลาย จึงไม่สามารถรับประกันการตรวจจับได้ 100%

1. การตรวจจับการปรับเปลี่ยนการจราจร

ดังที่ได้กล่าวไปแล้ว การปลอมแปลง ARP ไม่ได้ถูกใช้ในการโจมตีแบบคนกลางเสมอไป ดังนั้น ในขณะที่การตรวจจับกิจกรรมระดับ ARP เป็นวิธีการตรวจจับที่ได้รับความนิยมมากที่สุด การตรวจจับการปรับเปลี่ยนการรับส่งข้อมูลจึงเป็นวิธีการทั่วไปมากกว่า โปรแกรม mitmcanary สามารถช่วยเราได้

หลักการของโปรแกรมคือทำให้คำขอ "ควบคุม" และบันทึกคำตอบที่ได้รับ หลังจากนั้นจะทำซ้ำคำขอเดิมในช่วงเวลาหนึ่งและเปรียบเทียบคำตอบที่ได้รับ โปรแกรมค่อนข้างฉลาด และเพื่อหลีกเลี่ยงผลบวกที่ผิดพลาด โปรแกรมจะตรวจจับองค์ประกอบแบบไดนามิกในการตอบสนองและประมวลผลอย่างถูกต้อง ทันทีที่โปรแกรมได้บันทึกร่องรอยของกิจกรรมของเครื่องมือสำหรับการโจมตีของ MitM ก็จะรายงานเกี่ยวกับเรื่องนี้

ตัวอย่างของเครื่องมือบางอย่างที่สามารถ "สืบทอด":

  • MITMf โดยค่าเริ่มต้นจะเปลี่ยน HTTPS URL ทั้งหมดในโค้ด HTML เป็น HTTP ตรวจพบโดยการเปรียบเทียบเนื้อหา HTTP
  • Zarp + MITMProxy , MITMProxy มีคุณสมบัติที่ช่วยให้คุณล้างการบีบอัด HTTP ซึ่งใช้สำหรับความโปร่งใสของการรับส่งข้อมูลที่ส่ง กลุ่มนี้ถูกตรวจพบโดยการหายไปของการบีบอัดที่มีอยู่ก่อนหน้านี้
  • ตัวตอบสนอง ตรวจพบโดยการเปลี่ยนแปลงอย่างกะทันหันในการแปลการตอบสนอง mDNS: การตอบสนองที่ไม่คาดคิด; การตอบสนองอยู่ภายใน แต่คาดว่าภายนอก การตอบสนองแตกต่างจาก IP ที่คาดไว้
  • MITMCanary กับ MITMF:

  • MITMCanary เทียบกับผู้ตอบ:

  • MITMCanary กับ Zarp + MITMProxy:

sudo pip ติดตั้ง Cython sudo apt-get ติดตั้ง python-kivy python-dbus sudo pip ติดตั้ง plyer uuid คำขอวิเคราะห์ urlopen simplejson วันที่และเวลา git clone https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

ดังที่ได้กล่าวไปแล้ว การทำงานของ mitmcanary จะต้องเริ่มต้นด้วยการร้องขอการควบคุม โดยไปที่ไดเร็กทอรี

บริการซีดี/

และเรียกใช้ไฟล์ setup_test_persistence.py:

Python2 setup_test_persistence.py

การดำเนินการนี้จะใช้เวลาสักครู่ - รอจนกว่าจะสิ้นสุด ไม่ควรแสดงข้อความแสดงข้อผิดพลาด (หากใช่ แสดงว่าคุณไม่มีการขึ้นต่อกันบางส่วน)

สิ่งนี้จะถูกส่งออก:

[ป้องกันอีเมล]:~/bin/mitmcanary/service$ python2 setup_test_persistence.py ตรวจพบการกำหนดค่ารุ่นเก่ากว่า (0 แทนที่จะเป็น 14) กำลังอัปเกรดการกำหนดค่า บันทึกการล้างข้อมูลเริ่มทำงานแล้ว กำลังวิเคราะห์... ล้างเสร็จแล้ว! บันทึกการเข้าสู่ระบบ /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (ค่าเริ่มต้น 1 ก.ย. 2559, 20:27:38 น.)

หลังจากเสร็จสิ้นกระบวนการนี้ ในไดเร็กทอรีเดียวกัน ให้ดำเนินการ (การดำเนินการนี้จะเริ่มกระบวนการในเบื้องหลัง):

Python2 main.py

หลังจากนั้น ให้เปิดหน้าต่างเทอร์มินัลใหม่และเปลี่ยนเป็นไดเร็กทอรีรากด้วย mitmcanary ไดเรกทอรีของฉันคือ bin/mitmcanary/ ดังนั้นฉันจึงป้อน

cd bin/mitmcanary/

และดำเนินการที่นั่น:

Python2 main.py

หน้าต่างแรกจะแสดงบางอย่างเช่น:

[ป้องกันอีเมล]:~/bin/mitmcanary/service$ python2 main.py บันทึกการเข้าสู่ระบบ /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (ค่าเริ่มต้น 1 ก.ย. 2559, 20:27 น.) :38) ใช้ สำหรับซ็อกเก็ตที่ฟัง Tuio บน 127.0.0.1:3000 นอน 60 วินาที นอน 60 วินาที นอน 60 วินาที นอน 60 วินาที นอน 60 วินาที นอน 60 วินาที

เหล่านั้น. โปรแกรมส่งคำขอควบคุมหนึ่งครั้งต่อนาทีและมองหาสัญญาณของการโจมตีแบบคนกลางในนั้น

ในหน้าต่างที่สองยังมีเอาต์พุต + หน้าต่างมืดเปิดขึ้นผู้เขียนโปรแกรมเรียกหน้าต่างนี้ว่า "ส่วนต่อประสานกราฟิก":

คุณสามารถรอสักครู่ ท่องอินเทอร์เน็ตเพื่อให้แน่ใจว่าโปรแกรมจะไม่ทำการแจ้งเตือนที่ผิดพลาด

มาลองใช้โปรแกรม Ettercap สุดคลาสสิกกัน

ฉันกำลังใช้การโจมตีแบบ MitM ด้วยการปลอมแปลง ARP mitmcanary ไม่ตอบสนองต่อการแกะสลักเอง เครื่องมือ mitmcanary สร้างทราฟฟิกเอง กล่าวคือ ผู้ใช้ไม่จำเป็นต้องดำเนินการใดๆ หลังจากผ่านไประยะหนึ่ง คำเตือนหนึ่งรายการจะปรากฏขึ้น ซึ่งไม่ได้รับการยืนยันในระหว่างการตรวจสอบครั้งต่อไป แต่คำเตือนเดียวกันจะปรากฏขึ้นหลังจากไม่กี่นาที หากไม่มีการวิเคราะห์เพิ่มเติม ฉันพบว่าเป็นการยากที่จะบอกว่านี่เป็นตัวอย่างของผลบวกลวงหรือไม่ ซึ่งคล้ายกับสิ่งนี้มาก เป็นไปได้ว่าคำเตือนนี้เกิดจากการเชื่อมต่อล้มเหลวเนื่องจากความจำเป็นในการรับส่งข้อมูลผ่านเส้นทางเพิ่มเติม หรือโดยลักษณะเฉพาะของการเชื่อมต่ออินเทอร์เน็ตที่ไม่ดีของฉัน

เนื่องจากผลลัพธ์ไม่ชัดเจน (แทนที่จะ "ไม่" มากกว่า "ใช่") มาลองใช้โปรแกรม Bettercap ซึ่งมีโมดูลที่หลากหลาย ฉันไม่สงสัยเลยว่าเมื่อใช้ปลั๊กอิน Ettercap และ / หรือโปรแกรมเพิ่มเติมต่างๆ เพื่อขยายการทำงาน เราจะ "สว่าง" สำหรับ mitmcanary ด้วย

เพื่อความบริสุทธิ์ของการทดลอง ฉันรีสตาร์ทอุปกรณ์ เรียกใช้ mitmcanary บนเครื่องที่ถูกโจมตี และ Bettercap บนเครื่องโจมตี ในเวลาเดียวกัน ไม่จำเป็นต้องร้องขอการควบคุมอีกครั้งบนเครื่องที่ถูกโจมตี - พวกมันจะถูกบันทึกไว้ในไฟล์ภายในไดเร็กทอรีด้วยโปรแกรม เหล่านั้น. ก็เพียงพอที่จะเริ่มบริการและส่วนต่อประสานกราฟิก

และในเครื่องโจมตี เราจะเรียกใช้ Bettercap โดยเปิดใช้ parsers:

ซูโดแคป -X

คำเตือนแยกต่างหากปรากฏขึ้น ซึ่งดูเหมือนผลบวกปลอมมากกว่า

แต่รันคำสั่งนี้:

sudo bettercap -X --proxy

บนเครื่องที่ถูกโจมตี จะมีการเตือนจำนวนมากเกี่ยวกับการโจมตีแบบคนกลางที่เป็นไปได้:

ดังนั้น ยิ่งเครื่องมือโจมตีแบบแทรกกลางใช้งานได้มากขึ้นเท่าใด ร่องรอยก็จะยิ่งเหลืออยู่ในการรับส่งข้อมูลมากเท่านั้น สำหรับการใช้งาน mitmcanary ในทางปฏิบัติต้องเป็นไปตามเงื่อนไขต่อไปนี้:

  • ทำการร้องขอเริ่มต้นในเครือข่ายที่เชื่อถือได้เมื่อคุณแน่ใจว่าไม่มีคนกลางในการส่งทราฟฟิก
  • แก้ไขทรัพยากรที่มีการร้องขอการตรวจสอบ เนื่องจากผู้โจมตีมืออาชีพสามารถเพิ่มทรัพยากรเริ่มต้นให้กับข้อยกเว้น ซึ่งจะทำให้เขามองไม่เห็นเครื่องมือนี้

2. การตรวจจับการปลอมแปลง ARP (พิษของแคช arp)

บ่อยครั้ง การโจมตีแบบคนกลางบนเครือข่ายท้องถิ่นเริ่มต้นด้วยการวางยาพิษ ARP นั่นคือเหตุผลที่เครื่องมือจำนวนมากที่ออกแบบมาเพื่อตรวจจับการโจมตีของ MitM จะขึ้นอยู่กับกลไกในการติดตามการเปลี่ยนแปลงในแคช ARP ซึ่งมีการกำหนดการติดต่อระหว่างอีเทอร์เน็ต (ที่อยู่ MAC) และที่อยู่ IP

ตัวอย่างของโปรแกรมดังกล่าว ได้แก่ arpwatch , arpalert และโปรแกรมใหม่จำนวนมาก โปรแกรม ArpON ไม่เพียงแต่ตรวจสอบการเปลี่ยนแปลงแคช ARP เท่านั้น แต่ยังป้องกันการเปลี่ยนแปลงดังกล่าวอีกด้วย

ตัวอย่างเช่น ให้เรียกใช้ arpwatch ในโหมดดีบัก โดยไม่ต้องสร้างส้อมในพื้นหลังและส่งข้อความทางไปรษณีย์ แต่ข้อความจะถูกส่งไปยัง stderr (เอาต์พุตข้อผิดพลาดมาตรฐาน)

sudo /usr/sbin/arpwatch -d

บนเครื่องโจมตี เรียกใช้ Ettercap และเริ่มการปลอมแปลง ARP บนเครื่องที่ถูกโจมตีเราสังเกต:

โปรแกรม arpwatch จะช่วยให้คุณทราบได้อย่างรวดเร็วเกี่ยวกับอุปกรณ์ใหม่ที่เชื่อมต่อกับเครือข่ายท้องถิ่นของคุณ ตลอดจนการเปลี่ยนแปลงในแคช ARP

เครื่องมืออื่นสำหรับตรวจจับการปลอมแปลง ARP แบบเรียลไทม์คือปลั๊กอินโดย Ettercap ที่เรียกว่า arp_cop. บนเครื่องที่ถูกโจมตี ให้รัน Ettercap ดังนี้:

sudo ettercap -TQP arp_cop ///

และผู้โจมตี มาเริ่มการกัด ARP กันเถอะ คำเตือนเริ่มปรากฏบนเครื่องที่ถูกโจมตีทันที:

3. การตรวจจับการปลอมแปลง DNS

การปลอมแปลง DNS บ่งชี้ว่ามีคนกลางระหว่างคุณกับปลายทางที่สามารถปรับเปลี่ยนการรับส่งข้อมูลของคุณได้ คุณจะตรวจพบได้อย่างไรว่าบันทึก DNS ถูกปลอมแปลง? วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการเปรียบเทียบกับการตอบกลับของเนมเซิร์ฟเวอร์ที่คุณไว้วางใจ แต่ท้ายที่สุดแล้ว รายการในการตอบกลับที่ส่งไปยังคำขอของคุณก็สามารถถูกแทนที่ได้เช่นกัน ...

เหล่านั้น. คุณต้องตรวจสอบผ่านช่องทางที่เข้ารหัส (เช่น ผ่าน Tor) หรือใช้การตั้งค่าที่ไม่ได้มาตรฐาน (พอร์ตอื่น TCP แทน UDP) โปรแกรม sans จาก XiaoxiaoPu มีไว้สำหรับสิ่งนี้โดยประมาณ (อย่างน้อยก็อย่างที่ฉันเข้าใจ) ฉันจัดการเพื่อใช้โปรแกรมนี้เพื่อเปลี่ยนเส้นทางการสืบค้น DNS ผ่าน Tor และผ่านการตั้งค่าที่ไม่ได้มาตรฐานไปยังเซิร์ฟเวอร์ DNS ของฉัน แต่ฉันไม่สามารถให้เธอแสดงข้อความเกี่ยวกับการปลอมแปลงการตอบสนอง DNS ได้ และหากปราศจากสิ่งนี้ ความหมายของโปรแกรมก็จะสูญหายไป

ฉันไม่สามารถหาทางเลือกอื่นที่ดีกว่าได้

โดยหลักการแล้ว เนื่องจาก DNS spoofers มักจะตรวจสอบเฉพาะพอร์ต 53 และโปรโตคอล UDP เท่านั้น แม้จะตรวจสอบข้อเท็จจริงของการปลอมแปลง DNS ด้วยตนเองก็เพียงพอแล้ว แม้ว่าจะต้องใช้เซิร์ฟเวอร์ DNS ของคุณเองด้วยการกำหนดค่าที่ไม่ได้มาตรฐานก็ตาม ตัวอย่างเช่น ในเครื่องโจมตี ฉันสร้างไฟล์ DNS.confโดยมีเนื้อหาดังนี้

ท้องถิ่น mi-al.ru

เหล่านั้น. เมื่อขอบันทึก DNS สำหรับไซต์ mi-al.ru แทนที่จะเป็น IP จริง ระบบจะส่ง IP ของเครื่องของผู้โจมตี

ฉันวิ่งบนเครื่องโจมตี:

sudo bettercap --dns dns.conf

และเมื่อถูกโจมตีฉันจะตรวจสอบสองอย่าง:

ขุด mi-al.ru # และขุด mi-al.ru -p 4560 @185.117.153.79

ผลลัพธ์:

[ป้องกันอีเมล]:~$ ขุด mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; ตัวเลือกสากล: +cmd ;; ได้คำตอบแล้ว ;; ->>ส่วนหัว<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 [ป้องกันอีเมล]:~$ dig mi-al.ru -p 4560 @185.117.153.79 ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; ตัวเลือกสากล: +cmd ;; ได้คำตอบแล้ว ;; ->>ส่วนหัว<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

จะเห็นได้ว่าสำหรับการสืบค้น DNS "ปกติ" มีการส่ง IP ในเครื่อง 192.168.1.48 และเมื่อทำการสืบค้น DNS บนพอร์ตผิดปรกติ IP เซิร์ฟเวอร์ที่ถูกต้องจะถูกส่งไป

หากเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ทำงานกับ TCP (แทนที่จะเป็น UDP) คำสั่งจะมีลักษณะดังนี้:

ขุด mi-al.ru -p 4560 +tcp @185.117.153.79

เห็นได้ชัดว่าไม่มีเครื่องมือที่จะติดตามการตอบสนอง DNS ในทราฟฟิก ตรวจสอบซ้ำกับแหล่งข้อมูลอื่น และส่งสัญญาณเตือนในกรณีที่มีการปลอมแปลง

เพื่อหลีกเลี่ยงการตั้งค่า DNS ระยะไกลของคุณเอง คุณสามารถสอบถามเนมเซิร์ฟเวอร์ผ่าน Tor เนื่องจากทราฟฟิกของ Tor ทั้งหมดถูกเข้ารหัส การตอบสนอง DNS ที่ได้รับในลักษณะนี้จึงยากเกินไปสำหรับตัวกลาง หากยังไม่ได้ติดตั้ง Tor ให้ติดตั้ง

sudo apt-get ติดตั้ง tor

Sudo pacman -S tor

เริ่มบริการ:

sudo systemctl เริ่มทอร์

หากคุณต้องการ เพิ่มบริการนี้เพื่อเริ่มต้น:

sudo systemctl เปิดใช้งาน tor

เปิดไฟล์ /etc/tor/torrcและเพิ่มบรรทัดต่อไปนี้ที่นั่น:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHosts คำต่อท้าย .exit, .onion

ให้ความสนใจกับหมายเลข 530 นี่คือหมายเลขพอร์ต แทนที่จะเป็น 530 คุณสามารถระบุพอร์ตอื่น (ว่าง) ได้ ที่สำคัญที่สุด จำเอาไว้

เราตรวจสอบอีกครั้ง:

ขุด mi-al.ru # และขุด mi-al.ru -p 530 @localhost

ตอนนี้เราระบุเป็นเซิร์ฟเวอร์ localhostและเขียนหมายเลขพอร์ตตามที่ระบุในไฟล์ /etc/tor/torrc.

ดังที่คุณเห็นจากภาพหน้าจอต่อไปนี้ การโจมตีด้วยการปลอมแปลง DNS กำลังดำเนินการกับเครื่องที่ทำการตรวจสอบ:

4. ค้นหาอินเทอร์เฟซเครือข่ายในโหมดสำส่อน

หากเครือข่ายท้องถิ่นของคุณมีอุปกรณ์ (และโดยเฉพาะอย่างยิ่งหากจู่ๆ ปรากฏขึ้น) อุปกรณ์ในโหมดสำส่อน สิ่งนี้น่าสงสัยมาก แม้ว่าจะไม่ได้ระบุอย่างชัดเจนว่ามีการโจมตีแบบคนกลาง

ในโหมดนี้ การ์ดเครือข่ายอนุญาตให้คุณรับแพ็กเก็ตทั้งหมด โดยไม่คำนึงว่าจะส่งถึงใคร

ในสถานะปกติ การกรองแพ็คเก็ตลิงค์เลเยอร์จะใช้บนอินเทอร์เฟซอีเทอร์เน็ต และหากที่อยู่ MAC ในส่วนหัวปลายทางของแพ็กเก็ตที่ได้รับไม่ตรงกับที่อยู่ MAC ของอินเทอร์เฟซเครือข่ายปัจจุบันและไม่ได้ออกอากาศ แพ็กเก็ตนั้นจะถูกละทิ้ง . ในโหมดที่หลากหลาย การกรองบนอินเทอร์เฟซเครือข่ายจะถูกปิดใช้งาน และแพ็กเก็ตทั้งหมด รวมถึงแพ็กเก็ตที่ไม่ได้กำหนดไว้สำหรับโฮสต์ปัจจุบัน จะได้รับอนุญาตให้เข้าสู่ระบบ

ระบบปฏิบัติการส่วนใหญ่ต้องการสิทธิ์ของผู้ดูแลระบบเพื่อเปิดใช้งานโหมดสำส่อน เหล่านั้น. การวางการ์ดเครือข่ายเข้าสู่โหมดสำส่อนเป็นการกระทำที่มีสติซึ่งอาจใช้เพื่อจุดประสงค์ในการดมกลิ่น

ในการค้นหาอินเทอร์เฟซเครือข่ายในโหมดสำส่อน มีปลั๊กอิน Ettercap เรียกว่า search_promisc.

ตัวอย่างการเปิดใช้ปลั๊กอิน:

sudo ettercap -TQP search_promisc ///

การทำงานของปลั๊กอินไม่น่าเชื่อถืออย่างสมบูรณ์ อาจมีข้อผิดพลาดในการพิจารณาโหมดอินเทอร์เฟซเครือข่าย

บทสรุป

วิธีการโจมตีแบบคนกลางบางวิธีทิ้งร่องรอยไว้มากมาย และบางวิธี (เช่น การค้นหาข้อมูลประจำตัวบนพร็อกซีแบบพาสซีฟ) เป็นไปไม่ได้หรือแทบจะตรวจจับไม่ได้เลย

ซึ่งผู้โจมตีได้เชื่อมต่อกับช่องทางระหว่างคู่สัญญาเข้ามาแทรกแซงในโปรโตคอลการส่ง ลบหรือบิดเบือนข้อมูล

หลักการโจมตี

การโจมตีมักจะเริ่มต้นด้วยการฟังช่องทางการสื่อสารและจบลงด้วยการเข้ารหัสที่พยายามแทนที่ข้อความที่ถูกดักจับ ดึงข้อมูลที่เป็นประโยชน์จากมัน และเปลี่ยนเส้นทางไปยังแหล่งข้อมูลภายนอก

สมมติว่าวัตถุ A วางแผนที่จะส่งข้อมูลบางอย่างไปยังวัตถุ B Object C มีความรู้เกี่ยวกับโครงสร้างและคุณสมบัติของวิธีการถ่ายโอนข้อมูลที่ใช้ เช่นเดียวกับข้อเท็จจริงที่ว่าการถ่ายโอนข้อมูลจริงตามแผนซึ่ง C วางแผนที่จะสกัดกั้น เพื่อดำเนินการโจมตี C “ปรากฏ” ให้กับวัตถุ A เป็น B และเพื่อวัตถุ B เป็น A. วัตถุ A หลงเชื่อว่ากำลังส่งข้อมูลไปยัง B ส่งข้อมูลไปยังวัตถุ C. วัตถุ C ได้รับข้อมูลและ ดำเนินการบางอย่างกับมัน (เช่น คัดลอกหรือแก้ไขเพื่อวัตถุประสงค์ของตนเอง) ส่งข้อมูลไปยังผู้รับเอง - B; ในทางกลับกัน วัตถุ B เชื่อว่าเขาได้รับข้อมูลโดยตรงจาก A

ตัวอย่างการโจมตี

การฉีดโค้ดที่เป็นอันตราย

การโจมตีแบบแทรกกลางช่วยให้นักเข้ารหัสสามารถแทรกโค้ดของเขาลงในอีเมล คำสั่ง SQL และหน้าเว็บ (เช่น อนุญาตการฉีด SQL, การฉีด HTML/สคริปต์ หรือการโจมตี XSS) และแม้แต่แก้ไขไบนารีที่ผู้ใช้อัปโหลดใน เพื่อเข้าถึงบัญชีผู้ใช้หรือเปลี่ยนพฤติกรรมของโปรแกรมที่ดาวน์โหลดโดยผู้ใช้จากอินเทอร์เน็ต

ดาวน์เกรดโจมตี

คำว่า "Downgrade Attack" หมายถึงการโจมตีที่ cryptanalyst บังคับให้ผู้ใช้ใช้ฟังก์ชันที่มีความปลอดภัยน้อยกว่า โปรโตคอลที่ยังคงได้รับการสนับสนุนด้วยเหตุผลด้านความเข้ากันได้ การโจมตีประเภทนี้สามารถทำได้บนโปรโตคอล SSH , IPsec และ PPTP

เพื่อป้องกันการโจมตีดาวน์เกรด โปรโตคอลที่ไม่ปลอดภัยจะต้องปิดการใช้งานอย่างน้อยหนึ่งด้าน แค่สนับสนุนและใช้โปรโตคอลที่ปลอดภัยเป็นค่าเริ่มต้นไม่เพียงพอ!

SSH V1 แทน SSH V2

ผู้โจมตีอาจพยายามเปลี่ยนพารามิเตอร์การเชื่อมต่อระหว่างเซิร์ฟเวอร์และไคลเอนต์เมื่อมีการเชื่อมต่อระหว่างพวกเขา จากการพูดคุยในการประชุม Blackhat Conference Europe 2003 โปรแกรมเข้ารหัสลับสามารถ "บังคับ" ไคลเอ็นต์ให้เริ่มเซสชัน SSH1 แทนเซสชัน SSH2 โดยเปลี่ยนหมายเลขเวอร์ชัน "1.99" ของเซสชัน SSH เป็น "1.51" ซึ่งหมายความว่าใช้ SSH V1. โปรโตคอล SSH-1 มีช่องโหว่ที่ cryptanalyst สามารถใช้ประโยชน์ได้

IPsec

ในสถานการณ์การโจมตีนี้ cryptanalyst หลอกลวงเหยื่อของเขาให้คิดว่าเซสชัน IPsec ไม่สามารถเริ่มต้นที่ปลายอีกด้านหนึ่ง (เซิร์ฟเวอร์) ซึ่งจะทำให้ข้อความถูกส่งต่ออย่างชัดเจนหากเครื่องโฮสต์อยู่ในโหมดย้อนกลับ

PPTP

ในขั้นตอนการเจรจาพารามิเตอร์เซสชัน PPTP ผู้โจมตีสามารถบังคับให้เหยื่อใช้การพิสูจน์ตัวตน PAP ที่มีความปลอดภัยน้อยกว่า MSCHAP V1 (นั่นคือ "ย้อนกลับ" จาก MSCHAP V2 เป็นเวอร์ชัน 1) หรือไม่ใช้การเข้ารหัสเลย

ผู้โจมตีสามารถบังคับเหยื่อให้ทำซ้ำขั้นตอนการเจรจาพารามิเตอร์เซสชัน PPTP (ส่งแพ็กเก็ต Terminate-Ack) ขโมยรหัสผ่านจากอุโมงค์ที่มีอยู่ และโจมตีซ้ำ

วิธีสาธารณะในการสื่อสารโดยไม่มีการปกป้องความถูกต้อง ความลับ ความพร้อมใช้งาน และความสมบูรณ์ของข้อมูล

วิธีการสื่อสารที่พบบ่อยที่สุดสำหรับกลุ่มนี้คือเครือข่ายสังคม บริการอีเมลสาธารณะ และระบบส่งข้อความโต้ตอบแบบทันที เจ้าของทรัพยากรที่ให้บริการการสื่อสารสามารถควบคุมข้อมูลที่แลกเปลี่ยนโดยนักข่าวได้อย่างสมบูรณ์และสามารถทำการโจมตีได้ทุกเมื่อตามดุลยพินิจของเขาเอง

ต่างจากสถานการณ์ก่อนหน้านี้ที่อิงจากแง่มุมทางเทคนิคและเทคโนโลยีของการสื่อสาร ในกรณีนี้ การโจมตีจะขึ้นอยู่กับแง่มุมทางจิต กล่าวคือ การรูตในใจของผู้ใช้แนวคิดของการเพิกเฉยต่อข้อกำหนดด้านความปลอดภัยของข้อมูล

การเข้ารหัสจะประหยัดหรือไม่

พิจารณากรณีของธุรกรรม HTTP มาตรฐาน ในกรณีนี้ ผู้โจมตีสามารถแบ่งการเชื่อมต่อ TCP ดั้งเดิมออกเป็นสองการเชื่อมต่อใหม่ได้อย่างง่ายดาย: หนึ่งระหว่างตัวเขากับไคลเอนต์ อีกอันระหว่างตัวเขากับเซิร์ฟเวอร์ วิธีนี้ทำได้ง่ายมาก เนื่องจากแทบไม่มีการเชื่อมต่อระหว่างไคลเอ็นต์กับเซิร์ฟเวอร์โดยตรง และโดยส่วนใหญ่แล้วจะเชื่อมต่อผ่านเซิร์ฟเวอร์ระดับกลางจำนวนหนึ่ง การโจมตีแบบ MITM สามารถทำได้บนเซิร์ฟเวอร์เหล่านี้

อย่างไรก็ตาม หากไคลเอนต์และเซิร์ฟเวอร์สื่อสารผ่าน HTTPS ซึ่งเป็นโปรโตคอลที่รองรับการเข้ารหัส การโจมตีแบบคนกลางก็สามารถทำได้เช่นกัน ด้วยการเชื่อมต่อประเภทนี้ TLS หรือ SSL ถูกใช้เพื่อเข้ารหัสคำขอ ซึ่งทำให้ช่องปลอดภัยจากการดมกลิ่นและการโจมตีของ MITM ผู้โจมตีสามารถสร้างเซสชัน SSL อิสระสองเซสชันสำหรับการเชื่อมต่อ TCP แต่ละครั้ง ไคลเอนต์สร้างการเชื่อมต่อ SSL กับผู้โจมตี ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ เบราว์เซอร์ในกรณีดังกล่าวมักจะเตือนว่าใบรับรองไม่ได้ลงนามโดยผู้ออกใบรับรองที่เชื่อถือได้ แต่ผู้ใช้ทั่วไปของเบราว์เซอร์รุ่นเก่าสามารถข้ามคำเตือนนี้ได้อย่างง่ายดาย นอกจากนี้ ผู้โจมตีอาจมีใบรับรองที่ลงนามโดย root CA (เช่น ใบรับรองดังกล่าวบางครั้งใช้สำหรับ DLP) และไม่สร้างคำเตือน นอกจากนี้ยังมีการโจมตี HTTPS จำนวนมาก ดังนั้น โปรโตคอล HTTPS จึงไม่ถือว่าปลอดภัยจากการโจมตี MITM โดยผู้ใช้ทั่วไป [ ] มีมาตรการหลายอย่างที่ป้องกันการโจมตี MITM บางอย่างในไซต์ https โดยเฉพาะอย่างยิ่ง HSTS ซึ่งห้ามไม่ให้ใช้การเชื่อมต่อ http จากไซต์ การตรึงใบรับรอง และการตรึงคีย์สาธารณะ HTTP ซึ่งห้ามไม่ให้มีการแทนที่ใบรับรอง

การตรวจจับการโจมตี MITM

ในการตรวจจับการโจมตีแบบคนกลาง ต้องวิเคราะห์การรับส่งข้อมูลเครือข่าย ตัวอย่างเช่น ในการตรวจจับการโจมตี SSL คุณควรให้ความสนใจกับพารามิเตอร์ต่อไปนี้:

  • IP ของเซิร์ฟเวอร์
  • เซิร์ฟเวอร์ DNS
  • ใบรับรองเซิร์ฟเวอร์ X.509
    • ใบรับรองลงนามด้วยตนเองหรือไม่?
    • ใบรับรองลงนามโดยผู้ออกใบรับรองหรือไม่?
    • ใบรับรองถูกเพิกถอนหรือไม่?
    • ใบรับรองมีการเปลี่ยนแปลงเมื่อเร็ว ๆ นี้หรือไม่?
    • ลูกค้ารายอื่นบนอินเทอร์เน็ตได้รับใบรับรองเดียวกันหรือไม่

การใช้งานการโจมตี MITM

โปรแกรมที่อยู่ในรายการสามารถใช้ในการโจมตีแบบคนกลางได้ เช่นเดียวกับการตรวจจับและทดสอบระบบเพื่อหาช่องโหว่

ดูสิ่งนี้ด้วย

  • Aspidistra (อังกฤษ) - เครื่องส่งวิทยุของอังกฤษใช้ในช่วง "การรุกราน" ของสงครามโลกครั้งที่สองซึ่งเป็นรูปแบบหนึ่งของการโจมตี MITM
  • The Babington Plot (ภาษาอังกฤษ) - การสมคบคิดกับ Elizabeth I ในระหว่างที่ Walsingham สกัดกั้นการติดต่อ

การโจมตีอื่นๆ

  • “Man in the Browser” เป็นการโจมตีประเภทหนึ่งที่ผู้โจมตีสามารถเปลี่ยนพารามิเตอร์การทำธุรกรรมได้ทันที เปลี่ยนหน้าให้เหยื่อโปร่งใสอย่างสมบูรณ์
  • "Meet-in-the-middle attack" - การโจมตีแบบเข้ารหัสซึ่งเหมือนกับการโจมตีวันเกิด ใช้การแลกเปลี่ยนระหว่างเวลากับหน่วยความจำ
  • "การสูญเสียตรงกลาง" (Miss in the middle attack) เป็นวิธีการที่มีประสิทธิภาพของการเข้ารหัสลับที่เป็นไปไม่ได้ที่เรียกว่า
  • การโจมตีแบบรีเลย์ - รูปแบบของการโจมตีแบบ MITM ที่อิงจากการส่งต่อข้อความที่สกัดกั้นไปยังผู้รับที่ถูกต้อง แต่ไม่ใช่ไปยังผู้รับที่ต้องการ
  • รูทคิตเป็นโปรแกรมที่ออกแบบมาเพื่อซ่อนร่องรอยการมีอยู่ของผู้บุกรุก

เขียนรีวิวเกี่ยวกับบทความ "การโจมตีของตัวกลาง"

วรรณกรรม

ลิงค์

  • www.all.net/CID/Attack/Attack74.html
  • www.nag.ru/2003/0405/0405.shtml
  • www.schneier.com/blog/archives/2006/04/rfid_cards_and.html

ข้อความที่ตัดตอนมาแสดงลักษณะการโจมตีของพ่อค้าคนกลาง

“Quartire, Quartire, Logement” เจ้าหน้าที่กล่าว มองลงไปที่ชายร่างเล็กด้วยรอยยิ้มที่สุภาพและมีอัธยาศัยดี – เด็ก Les Francais sont de bons คิว diable! โวยออน! Ne nous fachons pas, mon vieux, [อพาร์ทเมนต์, อพาร์ตเมนต์… ชาวฝรั่งเศสเป็นคนดี ประณามอย่าทะเลาะกันปู่] - เขาเสริมตบ Gerasim ที่หวาดกลัวและเงียบบนไหล่
– อะคา! Dites donc, on ne parle donc pas francais dans cette boutique? [ที่นี่ไม่มีใครพูดภาษาฝรั่งเศสด้วยเหรอ] เขาเสริม มองไปรอบๆ และสบตากับปิแอร์ ปิแอร์ย้ายออกจากประตู
เจ้าหน้าที่หันไปหา Gerasim อีกครั้ง เขาต้องการให้ Gerasim แสดงห้องต่างๆ ในบ้านให้เขาดู
“ไม่ใช่อาจารย์ ไม่เข้าใจ... ของข้า...” Gerasim พูด พยายามทำให้คำพูดของเขาชัดเจนขึ้นโดยพูดย้อนกลับ
นายทหารชาวฝรั่งเศสยิ้มพลางเอามือวางไว้หน้าจมูกของ Gerasim ทำให้รู้สึกว่าเขาไม่เข้าใจเขาเหมือนกันและเดินกะเผลกไปที่ประตูที่ปิแอร์ยืนอยู่ ปิแอร์ต้องการย้ายออกไปเพื่อซ่อนตัวจากเขา แต่ในขณะนั้นเอง เขาเห็นมาการ์ อเล็กเซคยืนพิงประตูห้องครัวที่เปิดอยู่พร้อมกับปืนพกในมือ ด้วยไหวพริบของคนบ้า Makar Alekseevich มองไปที่ชาวฝรั่งเศสและยกปืนพกขึ้นเล็ง
- บนเรือ!!! - คนเมาตะโกนกดไกปืน เจ้าหน้าที่ฝรั่งเศสหันหลังให้กับเสียงร้องและในขณะเดียวกันปิแอร์ก็รีบวิ่งไปที่คนเมา ขณะที่ปิแอร์หยิบปืนพกขึ้นมา มาการ์ อเล็กเซคก็ใช้นิ้วกดไกปืน และเสียงปืนดังขึ้นทำให้ทุกคนหูหนวกและพ่นควันแป้งให้ทุกคน ชาวฝรั่งเศสหน้าซีดและรีบกลับไปที่ประตู
โดยลืมความตั้งใจที่จะไม่เปิดเผยความรู้ภาษาฝรั่งเศสของเขา ปิแอร์คว้าปืนพกแล้วขว้างทิ้ง วิ่งไปหาเจ้าหน้าที่แล้วพูดกับเขาเป็นภาษาฝรั่งเศส
- Vous n "etes pas besse? [คุณได้รับบาดเจ็บไหม] - เขาพูด
“Je crois que non” เจ้าหน้าที่ตอบโดยรู้สึกตัวว่า “mais je l "ai manque belle cette fois ci” เขากล่าวเสริม โดยชี้ไปที่ปูนปลาสเตอร์ที่บิ่นในกำแพง “Quel est cet homme? [ดูเหมือนไม่ . ..แต่ครั้งนี้มันใกล้เข้ามาแล้ว ผู้ชายคนนี้เป็นใคร?] - มองดูปิแอร์อย่างเคร่งขรึม เจ้าหน้าที่พูด
- อา je suis vraiment au dessespoir de ce qui vient d "มาถึงแล้ว [อ่า ฉันสิ้นหวังจริงๆ กับสิ่งที่เกิดขึ้น] ปิแอร์พูดอย่างรวดเร็ว ลืมบทบาทของเขาไปโดยสิ้นเชิง - C" est un fou, un malheureux qui ne savait pas ce qu "il faisait [นี่คือคนบ้าที่โชคร้ายที่ไม่รู้ว่าเขากำลังทำอะไรอยู่]
เจ้าหน้าที่ขึ้นไปหา Makar Alekseevich และยึดปลอกคอเขาไว้
Makar Alekseich ด้วยริมฝีปากที่แยกจากกันราวกับว่าผล็อยหลับไปเอนเอียงพิงกำแพง
“Brigand, tu me la payeras” ชายชาวฝรั่งเศสพูดพร้อมกับถอนมือออก
– Nous autres nous sommes clements apres la victoire: mais nous ne pardonnons pas aux traitres, [โจร คุณจะจ่ายเงินให้ฉันสำหรับสิ่งนี้ พี่ชายของเรามีเมตตาหลังจากชัยชนะ แต่เราไม่ยกโทษให้ผู้ทรยศ] เขาเสริมด้วยสีหน้าเคร่งขรึมและท่าทางที่มีพลังที่สวยงาม
ปิแอร์ยังคงเกลี้ยกล่อมเจ้าหน้าที่ในภาษาฝรั่งเศสต่อไป โดยไม่หวังผลจากชายขี้เมาและวิกลจริตคนนี้ ชาวฝรั่งเศสฟังในความเงียบโดยไม่เปลี่ยนรูปลักษณ์ที่มืดมนของเขาและหันไปหาปิแอร์ด้วยรอยยิ้มในทันใด เขามองเขาอย่างเงียบ ๆ ไม่กี่วินาที ใบหน้าที่หล่อเหลาของเขาแสดงท่าทางอ่อนโยนที่น่าเศร้าและเขาก็ยื่นมือออกมา
- Vous m "avez sauve la vie! Vous etes Francais, [You save my life. You are a Frenchman,]" เขากล่าว สำหรับคนฝรั่งเศส ข้อสรุปนี้ไม่อาจปฏิเสธได้ มีเพียงชาวฝรั่งเศสเท่านั้นที่สามารถทำสิ่งที่ยิ่งใหญ่และช่วยชีวิตเขาได้ ชีวิต m r Ramball capitaine du 13 me leger [Monsieur Rambal กัปตันของกรมทหารราบที่ 13] เป็นการกระทำที่ยิ่งใหญ่ที่สุดอย่างไม่ต้องสงสัย
แต่ไม่ว่าข้อสรุปนี้และความเชื่อมั่นของเจ้าหน้าที่จะเป็นอย่างไร ปิแอร์คิดว่าจำเป็นต้องทำให้เขาผิดหวัง
“Je suis Russe [ฉันเป็นคนรัสเซีย]” ปิแอร์พูดอย่างรวดเร็ว
- Ti ti ti, a d "autres, [บอกกับคนอื่น ๆ ] - ชายชาวฝรั่งเศสพูดพลางโบกมือที่จมูกและยิ้ม - Tout a l "heure vous allez me conter tout ca" เขากล่าว – Charme de rencontrer เพื่อนร่วมชาติ เอ๊ะ เบียน! qu "allons nous faire de cet homme? [ตอนนี้คุณจะบอกฉันทั้งหมดนี้ เป็นเรื่องดีมากที่ได้พบกับเพื่อนร่วมชาติ เราควรทำอย่างไรกับชายคนนี้?] - เขาเสริมโดยพูดถึงปิแอร์ในฐานะพี่ชายของเขาแล้ว ถ้าเพียงปิแอร์ไม่ใช่ชาวฝรั่งเศสซึ่งครั้งหนึ่งเคยได้รับชื่อที่สูงที่สุดในโลกนี้แล้วเขาก็ไม่สามารถละทิ้งมันได้ กล่าวโดยสีหน้าและน้ำเสียงของเจ้าหน้าที่ฝรั่งเศส สำหรับคำถามสุดท้าย ปิแอร์อธิบายอีกครั้งว่าใครคือมาการ์ อเล็กเซค อธิบายว่าก่อนที่พวกเขาจะมาถึง ชายขี้เมาและวิกลจริตลากปืนพกที่บรรจุกระสุนออกมา ซึ่งพวกเขาไม่มีเวลาพอที่จะเอาตัวไปจากเขา และขอให้การกระทำของเขาถูกละไว้โดยไม่มีการลงโทษ
ชาวฝรั่งเศสยื่นหน้าอกออกและทำท่าทางพระราชหฤทัยด้วยมือของเขา
- Vous m "avez sauve la vie. Vous etes Francais. Vous me demandez sa grace? Je vous l" สอดคล้อง Qu "on emmene cet homme, [คุณช่วยชีวิตฉัน คุณเป็นคนฝรั่งเศส คุณต้องการให้ฉันยกโทษให้เขาไหม ฉันยกโทษให้เขา พาชายคนนี้ออกไป] เจ้าหน้าที่ฝรั่งเศสพูดอย่างรวดเร็วและกระฉับกระเฉงโดยจับแขนสิ่งที่เขา ได้ผลิตเพื่อช่วยชีวิตของเขาในภาษาฝรั่งเศสของปิแอร์และไปกับเขาที่บ้าน
ทหารที่อยู่ในสนามได้ยินเสียงปืนจึงเดินเข้าไปถามว่าเกิดอะไรขึ้น และแสดงความพร้อมที่จะลงโทษผู้กระทำผิด แต่เจ้าหน้าที่ได้หยุดพวกเขาอย่างรุนแรง
“เมื่อต้องการใช้ คุณจะถูกเรียก” เขากล่าว ทหารออกไป นายทหารซึ่งอยู่ในครัวขณะนั้นได้เข้าหาเจ้าหน้าที่
“Capitaine, ils ont de la soupe et du gigot de mouton dans la cuisine” เขากล่าว - Faut il vous l "apporter? [กัปตันมีซุปและเนื้อแกะย่างอยู่ในครัว คุณอยากจะเอามันไหม?]
- Oui, et le vin, [ใช่และไวน์] - กัปตันกล่าว

เจ้าหน้าที่ฝรั่งเศสพร้อมกับปิแอร์เข้ามาในบ้าน ปิแอร์พิจารณาว่าเป็นหน้าที่ของเขาที่จะต้องรับรองกับกัปตันอีกครั้งว่าเขาไม่ใช่ชาวฝรั่งเศสและต้องการจากไป แต่เจ้าหน้าที่ฝรั่งเศสไม่ต้องการที่จะได้ยินเรื่องนี้ เขาเป็นคนที่สุภาพ เป็นกันเอง มีอัธยาศัยดี และรู้สึกขอบคุณจริงๆ ที่ช่วยชีวิตเขาไว้ ซึ่งปิแอร์ไม่กล้าปฏิเสธเขาและนั่งลงกับเขาในห้องโถงในห้องแรกที่พวกเขาเข้ามา สำหรับการยืนยันของปิแอร์ว่าเขาไม่ใช่ชาวฝรั่งเศสกัปตันเห็นได้ชัดว่าไม่เข้าใจว่ามันเป็นไปได้ที่จะปฏิเสธตำแหน่งที่ประจบสอพลอได้อย่างไรยักไหล่และบอกว่าถ้าเขาต้องการเป็นที่รู้จักในฐานะชาวรัสเซียอย่างแน่นอนก็เป็นเช่นนั้น แต่ ว่าเขายังคงเชื่อมโยงกับเขาตลอดไปด้วยความรู้สึกขอบคุณสำหรับการช่วยชีวิต
ถ้าบุคคลนี้ได้รับพรสวรรค์อย่างน้อยมีความสามารถที่จะเข้าใจความรู้สึกของผู้อื่นและคาดเดาเกี่ยวกับความรู้สึกของปิแอร์ ปิแอร์อาจจะทิ้งเขาไป แต่ความเข้มแข็งผ่านเข้าไปไม่ได้ของชายผู้นี้ต่อทุกสิ่งที่ไม่ใช่ตัวเขาเองเอาชนะปิแอร์
- Francais ou prince russe incognito, [เจ้าชายฝรั่งเศสหรือเจ้าชายรัสเซีย incognito] - ชายชาวฝรั่งเศสพูดพลางมองดูกางเกงในที่สกปรกแต่บางของ Pierre และแหวนที่มือ - Je vous dois la vie je vous offre mon amitie. Un Francais n "oublie jamais ni une insulte ni un service. Je vous offre mon amitie. Je ne vous dis que ca. [ฉันเป็นหนี้ชีวิตคุณ ฉันขอเสนอมิตรภาพแก่คุณ คนฝรั่งเศสไม่เคยลืมการดูหมิ่นหรือบริการ ฉันเสนอ เป็นเพื่อนกับคุณฉันไม่พูดอีกต่อไป]
ในน้ำเสียงของเขา ในการแสดงออกทางสีหน้าของเขา ในท่าทางของเจ้าหน้าที่คนนี้ มีลักษณะที่ดีและมีเกียรติมากมาย (ในความรู้สึกของฝรั่งเศส) ที่ปิแอร์ตอบด้วยรอยยิ้มโดยไม่รู้ตัวต่อรอยยิ้มของชาวฝรั่งเศส จับมือที่ยื่นออกไป
- Capitaine Ramball du treizieme leger, decore pour l "affaire du Sept, [Captain Ramball, กรมทหารราบที่สิบสาม, ขุนนางแห่ง Legion of Honor สำหรับสาเหตุของวันที่ 7 กันยายน] - เขาแนะนำตัวเองด้วยรอยยิ้มที่พอใจและควบคุมไม่ได้ว่า ย่นริมฝีปากของเขาภายใต้หนวดของเขา - Voudrez vous bien me dire a present, a qui "j" ai l "honneur de parler aussi agreablement au lieu de rester a l" รถพยาบาล avec la balle de ce fou dans le corps [คุณจะเป็นหรือไม่ ใจดีที่บอกฉันตอนนี้ว่าฉันอยู่กับใคร ฉันรู้สึกเป็นเกียรติที่ได้พูดคุยกันอย่างสนุกสนาน แทนที่จะอยู่ที่โต๊ะแต่งตัวที่มีกระสุนคนบ้าอยู่ในร่างกายของเขา?]
ปิแอร์ตอบว่าเขาไม่สามารถพูดชื่อของเขาได้และเริ่มหน้าแดงพยายามสร้างชื่อเพื่อพูดคุยเกี่ยวกับสาเหตุที่เขาไม่สามารถพูดได้ แต่ชาวฝรั่งเศสก็ขัดจังหวะเขาอย่างเร่งรีบ
“เดอเกรซ” เขากล่าว - Je comprends vos raisons, vous etes officier ... officier superieur, peut etre. Vous avez porte les armes contre nous. Ce n "est pas mon affaire. Je vous dois la vie. Cela me suffit. Je suis tout a vous. Vous etes gentilhomme? [ได้โปรดเถอะ ฉันเข้าใจคุณนะ คุณเป็นเจ้าหน้าที่ ... เจ้าหน้าที่ บางทีอาจจะ คุณต่อต้านเรา ไม่ใช่เรื่องของฉัน ฉันเป็นหนี้ชีวิตคุณ เพียงพอแล้วสำหรับฉัน และฉันก็เป็นของคุณทั้งหมด คุณเป็นขุนนางหรือไม่] - เขาพูดพร้อมคำใบ้ของคำถาม ปิแอร์เอียงศีรษะ - Votre nom de bapteme, s "il vous plait? Je ne demande pas davantage. เ นี ด จ น สิ ปาส ดาวันเทจ. Monsieur Pierre, ไดท์ วูส์… Parfait. C "est tout ce que je desire savoir. [ชื่อคุณ ฉันไม่ถามอะไรทั้งนั้น คุณปิแอร์ คุณพูดไหม ได้ เท่านั้นที่ฉันต้องการ]
เมื่อนำแกะย่าง ไข่คน กาโลหะ วอดก้า และไวน์จากห้องใต้ดินรัสเซียซึ่งชาวฝรั่งเศสนำมาด้วย แรมบอลขอให้ปิแอร์เข้าร่วมในอาหารค่ำนี้และทันทีอย่างกระตือรือร้นและรวดเร็วเหมือนมีสุขภาพดีและหิวโหย ผู้ชายเริ่มกินเคี้ยวอย่างรวดเร็วด้วยฟันที่แข็งแรงของเขาตบริมฝีปากอย่างต่อเนื่องและพูดว่ายอดเยี่ยมมาก! [ยอดเยี่ยม ยอดเยี่ยม!] ใบหน้าของเขาแดงก่ำและเต็มไปด้วยเหงื่อ ปิแอร์รู้สึกหิวและร่วมรับประทานอาหารเย็นด้วยความยินดี เจ้าระเบียบมอเรลนำหม้อน้ำอุ่นมาใส่ขวดไวน์แดง นอกจากนี้ เขายังนำขวด kvass ซึ่งเขานำมาจากครัวเพื่อทำการทดสอบ เครื่องดื่มนี้เป็นที่รู้จักของชาวฝรั่งเศสและได้รับชื่อ พวกเขาเรียก kvass limonade de cochon (น้ำมะนาวหมู) และ Morel ยกย่อง limonade de cochon ที่เขาพบในครัว แต่เนื่องจากกัปตันมีไวน์ที่ได้รับระหว่างทางผ่านมอสโก เขาจึงมอบ kvass ให้กับมอเรลและหยิบขวดบอร์กโดซ์ขึ้นมา เขาห่อขวดไว้ที่คอด้วยผ้าเช็ดปากแล้วเทตัวเองและไวน์ปิแอร์ ความอิ่มเอมใจจากความหิวโหยและไวน์ทำให้กัปตันมีชีวิตชีวามากขึ้น และเขาไม่หยุดพูดระหว่างทานอาหารเย็น
- Oui, mon cher monsieur Pierre, je vous dois une fiere chandelle de m "avoir sauve ... de cet enrage ... J" en ai assez, voyez vous, de balles dans le corps En voila une (ชี้ไปทางด้านข้างของเขา) Wagram et de deux a Smolensk - เขาแสดงรอยแผลเป็นที่แก้มของเขา - Et cette jambe, comme vous voyez, qui ne veut pas marcher C "est a la grande bataille du 7 a la Moskowa que j" ai recu ca. Sacre dieu, c "etait beau. Il fallait voir ca, c" etait un deluge de feu. Vous nous avez taille une หยาบคาย besogne; vous pouvez vous en vanter, nom d "un petit bonhomme. Et, ma parole, malgre l" atoux que j "y ai gagne, je serais pret a recommencer. Je plains ceux qui n" ont pas vu ca [ใช่ คุณปิแอร์ที่รัก ฉันจำเป็นต้องจุดเทียนดีๆ ให้คุณเพื่อช่วยฉันให้พ้นจากคนบ้าคนนี้ คุณเห็นไหม ฉันมีกระสุนเพียงพอในร่างกายของฉันแล้ว ที่นี่ใกล้ Wagram อีกแห่งใกล้ Smolensk และขานี้ อย่างที่คุณเห็น ที่ไม่ต้องการขยับ นี่คือระหว่างการต่อสู้ครั้งใหญ่ครั้งที่ 7 ใกล้กรุงมอสโก โอ้! มันวิเศษมาก! คุณควรจะได้เห็นมันเป็นน้ำท่วมไฟ คุณได้ให้งานหนักแก่เรา คุณสามารถอวดได้ และโดยพระเจ้า ถึงแม้ว่าไพ่ใบนี้ (เขาชี้ไปที่ไม้กางเขน) ฉันก็พร้อมที่จะเริ่มต้นใหม่อีกครั้ง ฉันสงสารคนที่ไม่เห็นมัน]
- J "y ai ete [ฉันอยู่ที่นั่น] - ปิแอร์กล่าว
- บ๊ายบาย! Eh bien, tant mieux ชายชาวฝรั่งเศสกล่าว - Vous etes de fiers ennemis, tout de meme La grande redoute a ete tenace, ตั้งชื่อว่า "une pipe. Et vous nous l" avez fait cranement payer J "y suis alle trois fois, tel que vous me voyez. Trois fois nous etions sur les canons et trois fois on nous a culbute et comme des capucins de cartes โอ้!!ค" etait beau, monsieur Pierre Vos grenadiers ont ete superbes, tonnerre de Dieu Je les ai vu six fois de suite serrer les rangs, et marcher comme a une revue เลอ โบซ์ โฮมส์! Notre roi de Naples, qui s "y connait a crie: bravo! Ah, ah! soldat comme nous autres! - เขาพูดยิ้มกินช่วงเวลาแห่งความเงียบงัน - Tant mieux, tant mieux, monsieur Pierre. Terribles en bataille .. galants ... - เขาขยิบตาด้วยรอยยิ้ม - avec les belles, voila les Francais, monsieur Pierre, n "est ce pas? [บา จริงเหรอ? ทั้งหมดที่ดีขึ้น คุณเป็นศัตรูตัวฉกาจฉันต้องยอมรับ ข้อสงสัยครั้งใหญ่นั้นทำได้ดีมาก และคุณทำให้เราจ่ายแพง ฉันเคยไปมาแล้วสามครั้งอย่างที่คุณเห็น เราอยู่บนปืนใหญ่สามครั้ง สามครั้งเราถูกกระแทกเหมือนทหารไพ่ กองทัพบกของคุณยิ่งใหญ่โดยพระเจ้า ฉันเห็นว่าอันดับของพวกเขาปิดตัวลงหกครั้งและวิธีที่พวกเขาเดินไปที่ขบวนพาเหรด คนที่ยอดเยี่ยม! กษัตริย์เนเปิลส์ของเราที่กินสุนัขในกรณีเหล่านี้ตะโกนบอกพวกเขา: ไชโย! - ฮ่าฮ่า คุณเป็นพี่ชายทหารของเรา! “ยิ่งดี ยิ่งดีกว่า มงซิเออร์ ปิแอร์ แย่มากในการสู้รบ ใจดีต่อความงาม นี่คือฝรั่งเศส Monsieur Pierre มันไม่ได้เป็น?]
ในระดับนี้ กัปตันเป็นคนร่าเริงแจ่มใสและใจดี ร่าเริง เต็มใจและพอใจในตัวเองที่ปิแอร์เกือบจะขยิบตามองเขาอย่างร่าเริง อาจเป็นเพราะคำว่า "galant" ทำให้กัปตันนึกถึงตำแหน่งของมอสโก



ไม่พบคำตอบสำหรับคำถามของคุณ? ดูที่นี่
Tcpdump - คู่มือที่มีประโยชน์พร้อมตัวอย่างTcpdump - คู่มือที่มีประโยชน์พร้อมตัวอย่าง
การจัดการคีย์ การกระจายคีย์ที่เกี่ยวข้องกับศูนย์จำหน่ายคีย์การจัดการคีย์ การกระจายคีย์ที่เกี่ยวข้องกับศูนย์จำหน่ายคีย์
ไฟล์ใดติดไวรัสมาโครไฟล์ใดติดไวรัสมาโคร