Содержание
- HackWare.ru
- Этичный хакинг и тестирование на проникновение, информационная безопасность
- Сниффер под Windows Intercepter-NG (инструкция по использованию)
- Что такое Intercepter-NG
- Что может Intercepter-NG
- Где скачать Intercepter-NG
- Атака человек-посередине в Intercepter-NG
- Вход на сайт с перехваченными куки
- Обнуление куки для провоцирования ввода логина и пароля
- Почему возможна атака ARP-spoofing
- Описание атаки ARP-spoofing
- Перехват данных по Wi FI. Функционал intercepter на практике
- Перехват куки и паролей.
- Http inject (подсунуть жертве файл).
- Bruteforce mode.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Сниффер под Windows Intercepter-NG (инструкция по использованию)
Что такое Intercepter-NG
Intercepter-NG – это программа для выполнения атак человек-посередине. Имеется большое количество программ для таких атак, главной особенностью, выделяющей Intercepter-NG среди остальных, является то, что программа изначально была написана для Windows и прекрасно работает именно в этой операционной системе. Также к особенностям программы можно отнести графический интерфейс, в котором собраны многочисленные функции и опции, связанные с атакой человек-посередине, а также с некоторыми другими задачами пентестинга.
Благодаря графическому интерфейсу, использовать Intercepter-NG легко. Но большое количество опций и фрагментированная документация могут запутать начинающего пользователя. Надеюсь, что эта инструкция заполнит пробел. Это руководство написано для самых начинающих пользователей, возможно, даже не имеющих опыта работы с аналогичными утилитами в Linux.
Что может Intercepter-NG
Главная задача Intercepter-NG – выполнение атаки человек-посередине. В практическом смысле, атака человек-посередине (её ещё называют атакой посредника) заключается в возможности просматривать передаваемые другими пользователями данные в локальной сети. Среди этих данных могут быть логины и пароли от сайтов. Также передаваемые данные можно не только анализировать и сохранять, но и изменять.
Чтобы описать техническую суть этой атаки, представьте себе локальную сеть. Такой локальной сетью могут быть несколько компьютеров в вашей квартире, которые подключены к роутеру. При этом неважно, подключены они по проводу или по Wi-Fi. Роутер получает запросы от компьютеров, перенаправляет их, например, в Интернет, а полученные ответы возвращает обратно компьютерам, отправившим запросы. В данной ситуации роутер является шлюзом.
Благодаря атаке, называемой ARP спуфингом, компьютер начинает считать шлюзом не роутер, а компьютер атакующего. Атакующий получает запросы от «жертвы» и передаёт их в пункт назначения (например, запрашивает содержимое веб-сайта в Интернете), получив ответ от пункта назначения, он направляет его «жертве». В этой ситуации атакующий становится посредником – отсюда другое название атаки человек-посередине – «атака посредника». Для реализации атаки ARP спуфинг необязательно понимать её детали. Но если вам интересно, почему это происходит, то в конце инструкции вы найдёте подробное описание этого процесса.
Атакующий получает доступ к передаваемым данным и может, например, извлекать из этих данных пароли и сообщения. Процесс анализа передаваемых данных называется сниффингом. В процессе сниффинга Intercepter-NG умеет:
- Перехватывать логины и пароли для входа на веб-сайты
- Восстанавливать переданные данные (файлы)
- Перехватывать сообщения некоторых мессенджеров
- Показывать посещённые пользователем адреса
Кроме передачи данных, возможно их изменение, внедрение в код открываемых страниц JavaScript и принудительная загрузка пользователю файла.
Всё это прекрасно работает только для незашифрованных данных. Если данные зашифрованы (HTTPS), то их невозможно проанализировать без дополнительных действий.
Прежде чем подключиться к веб-сайту, компьютер обращается к DNS (серверу имён), чтобы узнать его IP адрес. Intercepter-NG умеет подменять ответы DNS (делать DNS спуфинг), что позволяет перенаправлять «жертву» на фальшивые копии сайтов для последующих атак.
Это далеко не все возможности программы. С другими возможностями мы познакомимся далее в этой инструкции.
Где скачать Intercepter-NG
Официальным сайтом программы Intercepter-NG является sniff.su. Там же её можно скачать. Но некоторые браузеры помечают сайт как содержащий нежелательное ПО. Конечно, это не препятствует посещению сайта, но если вам не хочется нажимать несколько лишних кнопок, то ещё одни официальным сайтом, где можно скачать Intercepter-NG, является зеркало на Гитхабе: https://github.com/intercepter-ng/mirror. Там имеются все версии программы:
- файл с расширением .apk – это версия для Android (требует root прав)
- с буквами CE – консольная версия
- Intercepter-NG.v*.zip – основная версия для Windows
Скаченная программа не нуждается в установке – достаточно распаковать архив.
Атака человек-посередине в Intercepter-NG
Начнём с обычной атаки человек-посередине (атака посредника).
Сделаем небольшие настройки. В зависимости от того, подключены вы по Wi-Fi или по Ethernet (проводу), кликая на выделенную иконку перейдите в нужный режим (если соединены по проводу – выберите изображение сетевой карты, если по беспроводной сети, то выберите изображение с уровнем сигнала):
Также откройте выпадающий список сетевых адаптеров (Network Adapter). У меня всё работает, когда я выбираю вариант со своим IP адресом (т.е. ‘Microsoft’ on local host: 192.168.0.244):
Кликните правой кнопкой по пустой таблице и выберите Smart Scan:
Будет отображён список целей:
Добавьте нужные в качестве целей (Add as Target):
Для начала сниффинга нажмите соответствующую иконку:
Перейдите на вкладку MiTM mode (это глобус с патч-кордами) и нажмите иконку ARP Poison (символ радиационной опасности):
Во вкладке Password Mode (символ — связка ключей), будут появляться захваченные учётные данные:
На вкладке Resurrection (кнопка с птицей Феникс) вы можете видеть, какие файлы были переданы:
Была рассмотрена базовая атака, позволяющая:
- перехватывать логины и пароли;
- видеть, какие сайты посещает пользователь и какие файлы скачивает.
Базовая атака включает в себя сканирование локальной сети, выбор целей, запуск сниффинга и запуск ARP-травления. С этих действий начинается и ряд других, более сложных атак.
Вход на сайт с перехваченными куки
Программа может перехватывать не только учётные данные и файлы. Также перехватываются cookies. Используя эти куки можно войти под тем же пользователем, что и жертва на сайт без ввода пароля. Начните базовую атаку. Перейдите во вкладку Паролей (на иконке связка ключей), кликните правой кнопкой пустом поле таблицы и поставьте галочку Show Cookies:
Вы увидите перехваченную куки:
Кликните по записи правой кнопкой мыши и выберите Open in browser – откроется посещённая пользователем страница, при этом вы будете залогинены под пользователем, которому принадлежит куки.
Обнуление куки для провоцирования ввода логина и пароля
Куки могут со временем быть обновлены, и мы не сможем вновь зайти со старыми куки на сайт. Поэтому нам хотелось бы получить логин и пароль. Но пока куки действуют, пользователю не нужно вводить учётные данные каждый раз, поэтому хотя «жертва» и заходит на сайт, мы не можем их перехватить.
Чтобы не ждать, пока истечёт срок действия куки и на целевом компьютере понадобиться ввести учётные данные, мы можем ускорить этот процесс – обнулить куки. Для этого имеется специальная опция: Cookie Killer.
Cookie Killer — обнуляет кукиз, тем самым принуждая пользователя повторно авторизоваться — ввести логин и пароль, чтобы атакующий мог их перехватить. Функция Cookie Killer работает и для SSL соединений. Имеются черные (miscssl_bl.txt) и белые списки (miscssl_wl.txt). В них можно исключить или напротив жестко указать IP адреса или домены, к которым следует или не следует применять SSL MiTM. При указании extra ssl port нет необходимости указывать тип readwrite, достаточно указать номер порта. Весь трафик пишется в ssl_log.txt.
О том, как воспользоваться этой опцией, показано в этом видео:
Примечание: во время тестирования мне не удалось заставить работать Cookie Killer, ни в виртуальной машине, ни с отдельным реальным компьютером.
Дополнительную информацию о различных атаках вы найдёте в видео:
Внедрение HTTP:
Принудительная загрузка файлов:
Код упоминаемого в видео .vbs файла:
Если вам нужен только сам сертификат, то вы его найдёте в папке программы Intercepter-NG, файл miscserver.crt
Функция X-Scan:
FATE (фальшивые обновления и фальшивый веб-сайт):
Получение пароля от iCloud при помощи Intercepter-NG:
Ещё инструкции по Intercepter-NG
- Видеопрезентации автора программы: https://www.youtube.com/user/0x4553intercepter/videos
- Блог автора программы, в котором он сообщает о нововведениях в очередных релизах программы: https://habrahabr.ru/users/intercepter/topics/
- Описание большинства опций Intercepter-NG вы найдёте на странице: https://kali.tools/?p=3101
Далее даётся техническое описание ARP спуфинга.
Почему возможна атака ARP-spoofing
Каждое устройство, подключённое к сети, имеет MAC-адрес. Этот адрес присвоен любому сетевому оборудованию (сетевые карты, Wi-Fi адаптеры). Роутеры, телефоны и любые другие устройства, подключающиеся к сети, также имеют MAC-адрес, поскольку имеют встроенные сетевые карты. MAC-адрес состоит из шести пар символов, разделённых двоеточием или тире. В используемых символах присутствуют все цифры и латинские буквы от a до f. Пример MAC-адреса: 52:54:00:a6:db:99. Для подключения двух устройств, например, вашего компьютера к шлюзу, нужно знать не только IP адрес, но и MAC-адрес. Для определения MAC-адреса шлюза используется ARP (англ. Address Resolution Protocol – протокол определения адреса) – протокол в компьютерных сетях, предназначенный для определения MAC-адреса по известному IP-адресу. IP-адрес роутера (шлюз по умолчанию), известен или получается по DHCP.
Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.
Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.
Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing, которую иногда называют ARP травлением, травлением ARP кэша.
Описание атаки ARP-spoofing
Два компьютера(узла) M и N в локальной сети Ethernet обмениваются сообщениями. Злоумышленник X, находящийся в этой же сети, хочет перехватывать сообщения между этими узлами. До применения атаки ARP-spoofing на сетевом интерфейсе узла M ARP-таблица содержит IP и MAC адрес узла N. Также на сетевом интерфейсе узла N ARP-таблица содержит IP и MAC узла M.
Во время атаки ARP-spoofing узел X (злоумышленник) отсылает два ARP ответа (без запроса) – узлу M и узлу N. ARP-ответ узлу M содержит IP-адрес N и MAC-адрес X. ARP-ответ узлу N содержит IP адрес M и MAC-адрес X.
Так как компьютеры M и N поддерживают самопроизвольный ARP, то, после получения ARP-ответа, они изменяют свои ARP таблицы, и теперь ARP-таблица M содержит MAC адрес X, привязанный к IP-адресу N, а ARP-таблица N содержит MAC адрес X, привязанный к IP-адресу M.
Тем самым атака ARP-spoofing выполнена, и теперь все пакеты(кадры) между M и N проходят через X. К примеру, если M хочет передать пакет компьютеру N, то M смотрит в свою ARP-таблицу, находит запись с IP-адресом узла N, выбирает оттуда MAC-адрес (а там уже MAC-адрес узла X) и передает пакет. Пакет поступает на интерфейс X, анализируется им, после чего перенаправляется узлу N.
Перехват данных по Wi FI. Функционал intercepter на практике
Как обещал продолжаю о программе Intercepter-ng.
Сегодня уже будет обзор на практике.
Предупреждение : менять настройки или бездумно жать настройки не стоит. В лучшем случае может просто не работать или вы повесите Wi Fi. А у меня был случай что сбросились настройки роутера. Так что не думайте что всё безобидно.
И даже при таких же настройках как у меня не значит что всё будет гладко работать. В любом случае для серьезных дел придется изучать работу всех протоколов и режимов.
Перехват куки и паролей.
Начнем с классического перехвата паролей и куки, в принципе процесс как в статье перехват паролей по Wi Fi и перехват куки по Wi Fi но перепишу его заново, с уточнениями.
Антивирусы кстати часто могут палить такие штуки и сводить перехват данных по Wi FI
Для начала вообще определитесь, что вам необходимо получить от жертвы ? Может вам необходимы пароли от социальных сетей, а может просто от сайтов. Может вам достаточно куки чтобы зайти под жертвой и сразу что либо сделать, либо вам необходимы пароли для будущего сохранения. А вам необходимо анализировать в дальнейшем изображения просмотренные жертвой и некоторые странички, или вам не нужен этот хлам? Вы знаете что жертва уже вошла на сайт (при переходе уже авторизирована) или ещё только будет вводить свои данные ?
Если нет необходимости получать картинки с посещаемых ресурсов, части медиафайлов и видеть некоторые сайты сохраненные в файл html отключите в Settings — Ressurection. Это слегка уменьшит нагрузку на роутер.
Что можно активировать в Settings — если вы подключены через ethernet кабель нужно активировать Spoof Ip/mac. Так же активируйте Cookie killer (помогает сбросить куки, чтобы у жертвы вышло с сайта). Cookie killer относится к Атаке SSL Strip поэтому не забываем активировать.
Так же лучше если будет активирован Promiscious (беспорядочный режим) который позволяет улучшить перехват, но не все модули его поддерживают. Extreme mode (экстримальный режим ) можно обойтись без него. С ним порою перехватывает больше портов, но появляется и лишняя информация + нагрузка.
Во первых выбираем сверху интерфейс через который вы подключены к интернету и тип подключения Wi-fi либо Ethernet если подключены через кабель к роутеру.
В режиме Scan Mode правой кнопкой мыши по пустому полю и нажимаем Smart scan. Отсканируются все устройства в сети, осталось добавить нужные жертвы в Add nat.
А можно и поставить один любой IP, перейти в settings — expert mode и поставить галочку на Auto ARP poison, в таком случае программа будет добавлять каждого кто подключен и подключится к сети.
Нам остается перейти в Nat mode.
Нажимаем configure mitms , здесь нам пригодится SSL mitm и SSL strip.
SSL mitm позволяет как раз заниматься перехватом данных, хотя и на него реагируют многие браузеры предупреждая жертву.
SSL Strip позволяет чтобы у жертвы переключалось с Https защищенного протокола на HTTP , а так же чтобы работал cookie killer.
Больше нам ничего не требуется,жмем start arp poison (значок радиации) и ждем активности жертвы.
В разделе password mode нажмите пкм и Show coolies. Потом можно на cookie нажам пкм и перейти на full url.
Кстати, если жертва сидит в соц сетях есть вероятность что его активная переписка появится в Messengers mode.
Http inject (подсунуть жертве файл).
Ммм, довольно сладкая опция.
Можно подсунуть жертве чтобы она скачала файл. Нам остаётся надеяться что жертва запустит файл. Для правдоподобности, можно проанализировав какие сайты посещает жертва, подсунуть что то вроде обновления.
К примеру если жертва на VK назовите файл vk.exe . возможно жертва запустит решив что это полезное что.
- Configure HTTP injection.
- В первой ячейке что нам необходимо подменить ( предпочтение .js) и во втором поле вылезет javascript.
- в 3м введите 1
- Создайте в блокноте файл, назовите его например alert.js (js расширение) и введите в нём к примеру следующее — alert (‘Download the update %domain%.’) , можно вместо Download the update ввести что то своё, на что выйдет фантазия.
- Нажимаете add и открываете сделанный выше скрипт.
- Ставьте галочку на «Inject forced download» и выбираете файл который хотите подсунуть жертве.
- Жмете ок, переходите в Nat mode и активируете SSL Strip.
- Добавьте в жертву в Nat и жмите Starting arp poison.
- Остается ожидать пока жертва скачает файл.
Bruteforce mode.
Режим перебора и подбора паролей паролей.
Один из способов применения — брут доступа к админке роутера. Так же некоторых других протоколов.
Для брута необх
В Target server вбиваете ip роутера, протокол telnet, username — имя пользователя, в нашем случае Admin .
Внизу есть кнопка на которой нарисована папка, вы нажимаете на неё и открываете список паролей ( в папке с программой, misc/pwlist.txt есть список часто используемых паролей, либо можно свой список использовать).
После загрузки нажимает старт (треугольник) и идём пить чай.
Если найдутся совпадения (подберется пароль) то программа остановится.
одимо знать имя пользователя. Но если вы хотите получить доступ к роутеру попробуйте стандартный — admin.
Как произвести брут.
Traffic changer (подмена трафика).
Функция скорее шутки ради. Можно изменить чтобы жертва вводя один сайт, переходила на другой который вы введете.
В traffic mode слева вводим запрос, справа результат, но с таким же количеством букв и символов, иначе не сработает.
Пример — слева забьем изменяемый запрос, справа нужный — test1 меняем на test2. (поставьте галочку на Disable HTTP gzip) .
После ввода жмете ADD а затем OK.
Напоследок видео, как перехватывать данные с IOS из клиентов , ведь как известно при Mitm атаке у них просто перестают работать приложения.
Вскоре сниму видео о написанном в статье.
Это было Перехват данных по Wi FI.
Вот в принципе и всё. Есть что дополнить — пишите, есть что подправить так же пишите.
ВНИМАНИЕ! Данная статья написана только в ознакомительных целях для специалистов в области IT безопасности. Перехват трафика был на примере собственных устройств в личной локальной сети. Перехват и использование личных данных может караться законом, поэтому мы не призываем использовать данную статью во вред окружающих. Мир во всем мире, помогаем друг другу!
Всем привет! В статье мы поговорим про WiFi сниффер. Вообще данный тип программ предназначен исключительно для перехвата трафика в локальной сети. Далее без разницы как именно жертва подключена к маршрутизатору, по кабелю или по Wi-Fi. Хочу показать перехват трафика на примере интересной программы «Intercepter-NG». Почему я выбрал именно её? Дело в том, что это sniffer приложение написана специально для Windows имеет достаточно приветливый интерфейс и проста в использовании. Да и Linux есть не у всех.
Содержание
- Возможности Intercepter-NG
- Обычная атака
- Перехват Cookies
- Получение логина и пароля
- Задать вопрос автору статьи
Возможности Intercepter-NG
Как вы знаете, в локальной сети постоянно используется обмен данными между роутером и конечным клиентом. При желании эти данные можно перехватывать и использовать в своих целях. Например, можно перехватить куки, пароли или другие интересные данные. Происходит все очень просто – компьютер отправляет запрос в интернет и получает данные вместе с ответом от центрального шлюза или маршрутизатора.
Программа запускает определенный режим, в котором компьютер клиент начинает отправлять запросы с данными не на шлюз, а именно на устройство с программой. То есть можно сказать он путает роутер с компьютером злоумышленника. Данная атака ещё называется ARP спуфингом. Далее, со второго компа, все данные используются в свои целях.
После получения данных начинается процесс сниффинга, когда программа пытается выудить из пакетов нужную информацию: пароли, логики, конечные web-ресурс, посещаемые страницы в интернете и даже переписку в мессенджерах. Но есть небольшой минус в том, что такая картина отлично работает при незашифрованных данных. При запросе на HTTPS страницы нужны танцы с бубном. Например, программа может при запросе клиента на DNS сервер, подкладывать адрес своего фальшивого сайта, где он может ввести логин и пароль для входа.
Обычная атака
Для начала нам нужно скачать программу. Некоторые браузеры могут ругаться, если вы попытаетесь скачать приложение с официального сайта – sniff.su. Но можете попробовать. Если вам лень проходить данную защиту, то вы можете скачать приложение с GitHub.
Скачиваем архив с версией или «v». Далее устанавливать ничего не нужно и достаточно просто разархивировать содержимое.
- В зависимости от того как вы подключены к сети, в левом верхнем углу будет отображаться соответствующий значок – нажимаем по нему.
- Нужно выбрать свой работающий сетевой модуль. Я выбрал с тем, у которого уже присвоен локальны IP, то есть мой IP адрес.
- На пустой области нажимаем правой кнопочкой и далее запускаем «Smarty Scan».
- Далее вы увидите список IP адресов, а также MAC и дополнительную информацию об устройствах в сети. Достаточно выбрать одну из целей атаки, нажать по ней и далее из списка выбрать «Add as Target», чтобы программа закрепила устройство. После этого нажимаем на кнопку запуска в правом верхнем углу окна.
- Заходим в раздел «MiTM mode» и нажимаем на значок радиации.
- Процесс запуска запущен, теперь, чтобы посмотреть логины и пароли – перейдите в третью вкладку.
- На второй вкладке вы увидите все переданные данные.
Как видите тут можно только увидеть и засечь перехваченные ключи и имена пользователей, а также те сайты, которые посетила цель.
Перехват Cookies
Если кто не знает, то куки это временные данные, которые позволяют нам постоянно не вводить учетные данные на форумах, в социальных сетях и других сайтах. Можно сказать – это такой временный пропуск. Вот их также можно перехватывать с помощью этого приложения.
Все делается достаточно просто, после запуска обычной атаки переходим в третью вкладку, нажимаем правой кнопкой по свободному полю и выбираем «Show Cookies».
Вы должны увидеть нужные Cookies. Использовать их очень просто – просто нажимаем по нужному сайту правой кнопочкой и далее выбираем «Open in browser». После этого откроется именно сайт с чужой учетной страницы.
Получение логина и пароля
Скорее всего после запуска программы клиент уже будет сидеть в той или иной учетной записи. Но можно заставить его снова ввести логин и пароль. Так как куки сами по себе не вечные – то это вполне нормальная практика. Для этого используется программа «Cookie Killer». После запуска у клиента полностью удаляются старые куки и ему приходится вводить логин и пароль заново, вот тут и включается перехват. По этому поводу есть отдельная видео инструкция:
Сегодня речь пойдет о легендарном сниффере Intercepter. В этой статье вы узнаете о возможностях этого сниффера. Кроме этого вы узнаете о том, как пользоваться Intercepter, и о видах атак, которые можно реализовать с его помощью.
Данный материал предназначен для продвинутых пользователей, так как содержит огромное количество терминологии и для понимания требует большого багажа знаний.
Вас также может заинтересовать статья «Обнаружение хостов сети в Nmap».
Intercepter
Содержание
- Предисловие
- Уникальность Intercepter
- Новые возможности
- Коротко о 0x4553-Intercepter
- Использование Intercepter
- Атака DHCP MITM
- Атака ICMP Redirect MITM и DNS over ICMP MITM
- Атака SSL MITM
- Атака SSL STRIP
- Видео лекции разработчика сниффера Intercepter
Статья носит исследовательский характер. Предназначена для специалистов в области информационной безопасности (пентестеров). При ее написании использовалась общедоступная информация. Применение описываемых техник или методик, или их частей в противозаконных и противоправных действиях строго запрещается. Соблюдайте законодательство!
Сниффер Intercepter
В чем уникальность Intercepter?
Достойных снифферов с таким огромным багажом реализованных атак под Windows почти нет. На то есть несколько причин. Основная проблема заключается в отсутствии штатных инструментов маршрутизации.
Если в каждом Unix’е есть средства типа iptables, при помощи которых можно без труда добавить необходимые правила перенаправления пакетов, то в Windows, а тем более в ее клиентских версиях, ничего подобного нет. Естественно, писать свой NAT (или упрощенный ip forwarder) ради какого-то единичного примера мало кто станет.
Различные техники под Windows представлены, как правило, в виде простеньких proof of concept и не более. Впрочем, чего таить, и под unix сложно найти что-то похожее на Intercepter. Тот же самый ettercap под unix состоит из различных приложений: одно отвечает за arp-спуфинг, другое — за грабинг паролей, а sslstrip и вовсе самостоятельное приложение. Все это требует ручной настройки из-под консоли.
Получается, что и под unix, даже при всей мощи доступных инструментов, нет ни одного достойного GUI-приложения, которое совмещало бы в себе все сразу. Intercepter же является таким инструментом и содержит в себе целый набор оттестированных и законченных техник сетевых атак.
К примеру, недавно реализованные техники SSL MITM и SSL Strip для перехвата паролей, которые должны бы передаваться по защищенному соединению, могут использоваться с любым из имеющихся MITM’ов: ARP, ICMP, DNS over ICMP, DHCP. Во всех случаях используется скрытная маршрутизация через не существующие в сети IP и MAC-адреса, таким образом, жертвы не смогут определить источник нападения.
Сегодня мы не будем останавливаться на базовом функционале сниффера, а коснемся самого сочного — новых техник, которые недавно появились в 0x4553-Intercepter.
Новые возможности Intercepter
Последний раз Intercepter обновлялся чуть больше года назад. Тогда-то и было создано основное подспорье для различных MITM-атак.
С версии 0.8 в состав Intercepter добавился так называемый 0x4553-NAT. Это полноценный NAT, не требующий установки и занимающий пару сотен килобайт, которым можно раздавать интернет в небольших локальных сетях или дома. Он поддерживает трансляцию пакетов из ethernet в PPPoE-соединение ADSL-модема и трансляцию FTP-сеансов.
Помимо этого была реализована давно задуманная атака на сети с DHCP — DHCP MITM. И вот сейчас, спустя долгое время, вышло еще несколько довольно крупных обновлений, реализующих новые интересные техники атак:
- ICMP Redirect MITM. Эта малораспространенная техника перехвата трафика имеет довольно узкое применение, позволяя перехватывать данные между единичными хостами.
- DNS over ICMP MITM. Совершенно новая техника, раскрывающая весь потенциал ICMP Redirect. Перехватывая клиентский DNS-сервер, мы можем перехватить все соединения с хостами, которые были отрезольвены через DNS.
- SSL MITM. Классическая техника подмены сертификатов, позволяет перехватывать данные любых протоколов, защищенных при помощи SSL (поддерживаются SSLv2, SSLv3, TLSv1).
- SSL Strip. Практически не встречающаяся техника под Windows. Аналог известного sslstrip под unix.
Каждая из этих техник заслуживает внимания, но начать я хочу с описания атаки DHCP MITM, которая появилась еще год назад.
Коротко о 0x4553-Intercepter
- Перехватывает пароли и хэш-суммы для огромного количества сервисов: ICQ/IRC/AIM/FTP/IMAP/POP3/SMTP/LDAP/BNC/SOCKS/HTTP/WWW/NNTP/CVS/TELNET/MRA/DC++/VNC/MYSQL/ORACLE.
- Перехватывает сообщения большинства известных мессенжеров:
ICQ/AIM/JABBER/YAHOO/MSN/GADU-GADU/IRC/MRAl. - Реконструирует SMTP/POP3 сообщения.
- Сканирует локалку на наличие живых узлов с помощью широковещательной рассылки ARP-запросов (ARP SCAN).
- Ищет в сети DHCP-серверы (DHCP DISCOVERY).
- Находит в локалке другие сниферы (PROMISCUOUS SCAN).
- Поддерживает подмену MAC-адреса для LAN-адаптеров.
- Может работать в режиме «экстремального» сканирования (eXtreme mode), при котором сниферу достаточно указать целевой протокол без специфицирования порта. 0x4553-Intercepter будет просматривать весь трафик, автоматически «вылавливая» пакеты, относящиеся к данному протоколу путем анализа их содержимого.
- Поддерживает RAW-режим.
- Выполняет удаленный снифинг трафика через RPCAP-демона, устанавливаемого на Linux/xBSD или Windows-узлах (предпочтительнее всего — на шлюзе).
- Включает в себя собственную реализацию NAT.
- Реализует несколько MITM-атак: ARP MITM, DNS over ICMP MiTM, DHCP MiTM.
- Перехватывает SSL-пароли через SSL MiTM + SSL Strip.
Атака DHCP MITM
Суть атаки проста как пять копеек. Существуют различные схемы поведения DHCP-клиентов. Мы рассмотрим классический вариант. Когда компьютер входит в сеть, он шлет сообщение DHCP Discovery, требуя выдать IP-адрес и выслать действующую конфигурацию сети, включая шлюз по умолчанию. Наша задача — выдать поддельный ответ DHCP Offer, в котором будет указана наша конфигурация с нашим шлюзом. Так трафик пойдет через наш NAT и мы сможем беспрепятственно его слушать. Данная атака вскользь описана в теории, реализована в ettercap, улучшена и автоматизирована в 0x4553-Intercepter. Для проведения атаки пришлось решить ряд сложных вопросов:
1. Неизвестность количества существующих компьютеров в сети и их привязка к IP-адресам. Может привести к проблемам в сети и истощению DHCP-пула.
2. Борьба за первенство с легитимным DHCP-сервером.
3. Возврат контроля над жертвой, уведенной легитимным сервером.
Вся магия кроется в решении этих проблем.
1. Чтобы не порождать проблемы в действующей сети, мы перенаправляем всех клиентов в виртуальную сеть, отделенную от действующей. Для поддержания связи с реальной сетью и внешними ресурсами во всей красе раскрывается 0x4553-NAT, регулирующий маршрутизацию.
2. Благодаря ряду тестов было выявлено, что DHCP-сервер в Intercepter с использованием WinPcap работает быстрее других. Он оказался быстрее DHCP-службы Windows Server 2003, быстрее популярного приложения tftpd32 и быстрее DHCP-серверов, встроенных в ADSL-модемы. Помимо этого, DHCP в Intercepter пропускает целый шаг согласования параметров во время передачи конфигурации клиенту, что существенно повышает скорость реагирования и выдачи ложной информации.
3. Возможна ситуация, что легитимный DHCP-сервер все-таки ответит быстрее нас. Такая ситуация была искусственно создана. И для ее решения предприняты дополнительные действия. После принятия конфигурации клиент должен еще раз перепроверить, не занял ли он чей-то адрес в сети, чтобы избежать конфликта IP-адресов. Для этого он отсылает в сеть специальный пакет gratuitous arp. Если в сети уже имеется компьютер с таким адресом, клиент вновь пошлет DHCP Discovery с просьбой выделить другой адрес. Если же никаких ответов на запрос не пришло, значит, данный IP свободен. При потере клиента, Intercepter следит за пакетами gratuitous arp и отвечает клиенту, говоря, что запрошенный адрес занят, для того чтобы вновь вызвать голосование и попытаться успеть выдать ложную конфигурацию. Данная атака детально рассмотрена в видео Sniffing dhcp based network.
Атака ICMP Redirect MITM и DNS over ICMP MITM
Следующие две техники используют для атаки особенности ICMP-протокола. Не вдаваясь в технические подробности сути и назначения сообщений ICMP Redirect, отмечу, что эти ICMP-сообщения позволяют добавить запись в таблицу маршрутизации удаленного узла. В записи должен содержаться IP-адрес хоста и IP-адрес шлюза, через который следует слать пакеты к указанному ресурсу.
Например, зная, что некий site.com имеет адрес 1.2.3.4, мы можем послать жертве сообщение, в котором будет указано, что до 1.2.3.4 нужно идти через наш шлюз, где запущены Intercepter и NAT. Это и есть техника ICMP Redirect MITM. К сожалению, мы не можем перенаправить разом все хосты, поэтому данную атаку можно использовать для целевого перехвата конкретного узла. Однако в Intercepter реализована техника, которая позволяет сильно расширить область применения перехвата с помощью сообщений ICMP Redirect. Это DNS over ICMP Redirect.
Вместо site.com мы будем перенаправлять трафик от клиентского DNS-сервера. Цепная реакция запускается всего одним пакетом. Сначала мы шлем жертве сообщение, что до его DNS-сервера нужно идти через наш шлюз, затем в бой вступает 0x4553-NAT, который начинает обрабатывать DNS-ответы. Например, жертва хочет отрезольвить site1.com, — NAT перенаправляет запрос к серверу, принимает ответ и вытаскивает все IP-адреса, отвечающие за site1.com, после чего посылает жертве новые сообщения ICMP Redirect, говоря, что ко всем отрезольвенным IP-адресам нужно идти через наш шлюз. Если жертва посылает запрос к site2.com, ситуация повторяется. Таким образом, весь интернет-трафик начинает идти через Intercepter и NAT.
Правда, тут есть одно важное условие. Чтобы показать его, рассмотрим пример сетевой конфигурации жертвы:
IP-адрес жертвы — 192.168.1.10 IP-адрес шлюза — 192.168.1.1 IP-адрес DNS — 192.168.1.2 маска — 255.255.255.0 |
При такой конфигурации перенаправить DNS-сервер мы не сможем. Он обязательно должен находиться за рамками данной подсети, — это обусловлено самим протоколом ICMP. А вот если используется напрямую внешний сервер (например, гугловский 8.8.8.8), то препятствий для атаки нет.
Атака SSL MITM
Эта атака описана множество раз, поэтому останавливаться подробно на ее описании мы не будем, а расскажем, как она реализована конкретно в Intercepter. Ядром всех MITM-атак в Intercepter, как мы уже говорили, является NAT. Именно он отвечает за маршрутизацию пакетов и дополнительные действия для реализации каждой из атак. Стандартно в него зашит перехват таких протоколов:
- HTTPS — 443;
- POP3S — 995;
- SMTPS — 465;
- IMAPS — 993.
После запуска 0x4553-NAT он открывает указанные порты на локальном интерфейсе и ждет входящих соединений. Весь трафик жертвы по указанным протоколам перенаправляется на ранее открытые нами порты. На этом этапе происходит следующее:
- В случае HTTPS NAT принимает входящее tcp-соединение, делает запрос к запрашиваемому ресурсу и получает его сертификат. Затем он подменяет ключ шифрования на свой и устанавливает соединение с жертвой, выдавая себя за оригинальный сервер. После этого происходит проксирование данных между двумя соединениями.
- Для других протоколов шаг запроса оригинального сертификата опущен, — вместо этого мы посылаем ранее сгенерированный статичный сертификат. Так как наши сертификаты не являются подписанными доверенными центрами, у пользователя будет выскакивать предупреждение. В этом и заключается основной минус данной техники.
Кроме приведенных выше протоколов, пользователь может добавить любой другой порт. О том, как это сделать, написано в руководстве к сниферу. Так как сама атака проводится при помощи NAT, то непосредственно Intercepter не видит зашифрованных данных. Чтобы он их увидел, NAT делает следующую хитрость: весь исходящий SSL-трафик дублируется в сеть в открытом виде, после чего пароли появляются в окне снифера.
Атака SSL STRIP
О технике SSL Strip мы уже подробно писали в с этой статье. Собственно говоря, непосредственно с перехватом SSL эта техника не связана. Перехватывать необходимо обычный HTTP-трафик, анализируя его на https-ссылки. Возможно вы помните, сколько возни было, чтобы заставить эту схему работать под Unix, используя разработанную Мокси Марлинспайком утилиту sslstrip.
Все что нужно сделать в Intercepter для выполнения атак SSL Strip или SSL MITM, — это поставить соответствующую галочку и перенаправить трафик жертвы любым доступным способом. В данном случае весь веб-трафик перенаправляется на локальный 80-й порт, откуда и происходит дальнейшее проксирование соединений. Выполняя данную атаку, мы опять же сталкиваемся с рядом сложностей, которые необходимо преодолеть.
Расскажу об этом подробнее. Для начала нам элементарно нужно видеть входящий трафик в текстовом виде, иначе никаких ссылок мы не найдем. Все дело в том, что для снижения нагрузки и увеличения скорости передачи данных в большинстве случаев пакеты сжимаются такими алгоритмами как gzip или deflate. О возможности принимать такие пакеты веб-браузер сообщает серверу в соответствующем поле web-запроса. Первым шагом является модификация поля Accept-Encoding, после которого весь текст посылается в открытом виде. Также необходимо заменить безопасные куки, иначе возникнут трудности с установлением сессий, например на том же gmail. Ищем флаг Secure и заменяем его на HttpOnly.
Теперь можно заменять https-ссылки их небезопасным аналогом http. Далее при запросе измененного https-урла мы устанавливаем https-соединение с оригинальным ресурсом и проксируем данные между клиентом и сервером.
Чтобы сбить бдительность пользователя, Intercepter подменяет favicon, выдавая иконку с замочком, который имитирует безопасное соединение.
На данный момент Intercepter не убивает сессии для принудительной повторной авторизации, как это может делать оригинальный sslstrip, но такая опция будет, возможно, добавлена в будущем.
Еще можно выделить одно отличие данной реализации SSL Strip от ее unix-аналога. Оригинальный sslstrip работает как прокси, определяя куда производится соединение из заголовка web-запроса. Это вынуждает разрешать имя сервера через dns и хранить свой собственный dns-кеш. В нашем случае в этом нет необходимости, так как адрес назначения известен,— это 0x4553-NAT, который и осуществляет маршрутизацию трафика жертвы.
Вам может быть интересна статья «Скрытое сканирование хостов».
Скачать Intercepter можно с официальной страницы.
Видео-лекция разработчика сниффера Intercepter хакера Ares
Любое слежение онлайн основано на применении технологий снифферов (анализаторов сетевых пакетов). Что же такое сниффер?
Сниффер – это компьютерная программа или часть компьютерной техники, которая может перехватывать и анализировать трафик проходящий через цифровую сеть или ее часть. Анализатор захватывает все потоки (перехватывает и протоколирует интернет трафик) и, при необходимости, производит декодирование данных, последовательно сохраняя передаваемую информацию пользователей.
Нюансы применения онлайн слежения через снифферы.
На широковещательном канале компьютерной сети пользователя LAN (Local Area Network), в зависимости от структуры сети (коммутатора switch или концентратора hub), снифферы перехватывают трафик либо всей, либо части сети исходящий с одного ноутбука, компьютера. Однако, применяя различные методы (например, ARP spoofing) можно добиться интернет-трафика и других компьютерных систем, подключенных в сеть.
Снифферы часто используются и для мониторинга компьютерных сетей. Выполняя постоянное, непрерывное наблюдение, анализаторы сетевых пакетов выявляют медленные, неисправные системы и передают (на почту, телефон или сервер) полученную информацию о сбоях администратору.
Использование сетевых отводов (Network tap), в некоторых случаях, является более надежным способом слежения онлайн за интернет-трафиком чем мониторинг портов. При этом, вероятность обнаружения неисправных пакетов (потоков) увеличивается, что положительно сказывается при высокой сетевой нагрузке.
Помимо этого, снифферы хорошо отслеживают и беспроводные одно- и многоканальные локальные сети (так называемые Wireless LAN) при использовании нескольких адаптеров.
На LAN сетях сниффер может эффективно перехватывать трафик как односторонний (передача пакета информации по единственному адресу), так и многоадресный. При этом, сетевой адаптер должен иметь promiscuous mode (режим «неразборчивый»).
На беспроводных же сетях, даже когда адаптер находится в «неразборчивом» режиме, пакеты данных, перенаправляющиеся не с настроенной (основной) системы, будут автоматически проигнорированы. Чтобы отслеживать данные информационные пакеты, адаптер должен находится в ином режиме – мониторинга.
Последовательность перехвата информационных пакетов.
1. Перехват заголовков или всего содержимого.
Снифферы могут перехватывать или все содержимое пакетов данных, или всего лишь их заголовки. Второй вариант позволяет уменьшить общие требования к хранению информации, а также избежать юридических проблем, связанных с несанкционированным изъятием личной информации пользователей. При этом, история передаваемых заголовков пакетов может иметь достаточный объем информации, для выявления необходимой информации или диагностики неисправностей.
2. Декодирование пакетов.
Перехваченная информация декодируется из цифрового (нечитабельного вида) в удобный для восприятия, чтения тип. Система снифферов позволяет администраторам анализатора протоколов легко просматривать информацию, которая пересылалась или получалась пользователем.
Анализаторы различаются по:
- способности отображения данных
(создание временных диаграмм, реконструирование UDP, TCP протоколов данных и пр.); - типу применения
(для обнаружения ошибок, первопричин либо для слежения онлайн за пользователями).
Некоторые снифферы могут генерировать трафик и действовать в качестве исходного устройства. Например, применятся в качестве тестеров протоколов. Такие системы тест-снифферов позволяют генерировать правильный трафик необходимый для функционального тестирования. Помимо этого, снифферы могут целенаправленно вводить ошибки для проверки способностей тестируемого устройства.
Аппаратные снифферы.
Анализаторы трафика могут быть и аппаратного типа, в виде зонда или дискового массива (более распространенный тип). Данные устройства осуществляют запись информационных пакетов или их частей на дисковый массив. Это позволяет воссоздать любую информацию полученную или переданную пользователем в просторы интернета либо своевременно выявить неисправность интернет-трафика.
Методы применения.
Анализаторы сетевых пакетов применяются для:
- анализа имеющихся проблем в сети;
- обнаружения сетевых попыток вторжения;
- определения злоупотребления трафика пользователями (внутри системы так и снаружи нее);
- документирования нормативных требований (возможного периметра входа в систему, конечных точек распространения трафика);
- получения информации о возможностях сетевого вторжения;
- изолирования эксплуатируемых систем;
- мониторинга загрузки каналов глобальной сети;
- использования для отслеживания состояния сети (в том числе деятельность пользователей как в системе, так и за ее пределами);
- мониторинга перемещаемых данных;
- отслеживания WAN и безопасности конечных точек состояния;
- сбора сетевой статистики;
- фильтрации подозрительного контента, идущего от сетевого трафика;
- создания первичного источника данных для отслеживания состояния и управления сети;
- слежения онлайн в качестве шпиона, собирающего конфиденциальную информацию пользователей;
- отладки серверной, клиентской связи;
- проверки эффективности внутреннего контроля (контроля доступа, брандмауэров, фильтров спама и пр.).
Снифферы применяются и в правоохранительных органах для отслеживания деятельности подозреваемых злоумышленников. Заметим, что все поставщики услуг интернета, и провайдеры в США и странах Европы соблюдают законы и правила о прослушивании (CALEA).
Популярные снифферы.
Наиболее функциональные системные анализаторы для слежения онлайн:
Шпионская программа NeoSpy, основная деятельность которой слежение онлайн за действиями пользователей включает помимо универсального программного кода сниффера, коды кейлоггеров (клавиатурных шпионов) и иных систем скрытого слежения.
HTTPNetworkSniffer is a packet sniffer tool that captures all HTTP requests/responses sent between the Web browser and the Web server and displays them in a simple table.
For every HTTP request, the following information is displayed:
Host Name, HTTP method (GET, POST, HEAD), URL Path, User Agent, Response Code, Response String, Content Type,
Referer, Content Encoding, Transfer Encoding, Server Name, Content Length, Cookie String, and more…
You can easily select one or more HTTP information lines, and then export them to text/html/xml/csv file or copy
them to the clipboard and then paste them into Excel.
System Requirements
- This utility works on any version of Windows, starting from Windows 2000 and up to Windows 10, including 64-bit systems.
- One of the following capture drivers is required to use HTTPNetworkSniffer:
- WinPcap Capture Driver :
WinPcap is an open source capture driver that allows you to capture network packets on any version of Windows.
You can download and install the WinPcap driver from this Web page . - Microsoft Network Monitor Driver version 2.x (Only for Windows 2000/XP/2003):
Microsoft provides a free capture driver under Windows 2000/XP/2003 that can be used by HTTPNetworkSniffer,
but this driver is not installed by default, and you have to manually install it, by using one of the following options:- Option 1:
Install it from the CD-ROM of Windows 2000/XP according to the instructions in Microsoft Web site - Option 2 (XP Only) :
Download and install the Windows XP Service Pack 2 Support Tools .
One of the tools in this package is netcap.exe. When you run this tool in the first time, the Network Monitor Driver
will automatically be installed on your system.
- Option 1:
- Microsoft Network Monitor Driver version 3.x:
Microsoft provides a new version of Microsoft Network Monitor driver (3.x) that is also supported under Windows 7/Vista/2008.
The new version of Microsoft Network Monitor (3.x) is available to download from Microsoft Web site .
- WinPcap Capture Driver :
- You can also try to use HTTPNetworkSniffer without installing any driver, by using the «Raw Sockets»
method. Unfortunately, Raw Sockets method has many problems:- It doesn»t work in all Windows systems, depending on Windows version, service pack, and the updates installed on your system.
- On Windows 7 with UAC turned on, «Raw Sockets» method only works when you run HTTPNetworkSniffer with «Run As Administrator».
Known Limitations
- HTTPNetworkSniffer cannot capture HTTP data of a secured Web site (HTTPS)
Versions History
- Version 1.63:
- Fixed bug from version 1.62: HTTPNetworkSniffer crashed when selecting network interface without connection information.
- Version 1.62:
- The information of the selected network adapter is now displayed in the window title.
- Version 1.61:
- Added /cfg command-line option, which instructs HTTPNetworkSniffer to use a config file in another location instead if the default config file, for example:
HTTPNetworkSniffer.exe /cfg «%AppData%HTTPNetworkSniffer.cfg»
- Added /cfg command-line option, which instructs HTTPNetworkSniffer to use a config file in another location instead if the default config file, for example:
- Version 1.60:
- Added «Clear On Capture Start» option. You can turn it off if you don»t want to clear the previous items when you stop the capture and start again.
- Added «Quick Filter» feature (View -> Use Quick Filter or Ctrl+Q). When it»s turned on, you can type a string in the text-box added under the toolbar and HTTPNetworkSniffer will instantly filter the HTTP items, showing only lines that contain the string you typed.
- Version 1.57:
- Added «Save All Items» (Shift+Ctrl+S).
- Version 1.56:
- HTTPNetworkSniffer now automatically loads the new version of WinPCap driver from https://nmap.org/npcap/ if it»s installed on your system.
- Version 1.55:
- Added 2 HTTP request columns: «Accept» and «Range».
- Version 1.51:
- HTTPNetworkSniffer now tries to load the dll of Network Monitor Driver 3.x (NmApi.dll) according to the installation path specified in HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetmon3.
This change should solve the problem with loading the Network Monitor Driver 3.x on some systems.
- HTTPNetworkSniffer now tries to load the dll of Network Monitor Driver 3.x (NmApi.dll) according to the installation path specified in HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetmon3.
- Version 1.50:
- Added 4 columns to the adapters list in the «Capture Options» window: «Connection Name», «MAC Address», «Instance ID», «Interface Guid».
- When using WinPCap driver , HTTPNetworkSniffer now displays more accurate information in the adapters list of the «Capture Options» window.
- Version 1.47:
- Added «Auto Size Columns On Every Update» option.
- Version 1.46:
- Added option to export to JSON file.
- Version 1.45:
- Added «Always On Top» option.
- Added secondary sorting support: You can now get a secondary sorting, by holding down the shift key while clicking the column header. Be aware that you only have to hold down the shift key when clicking the second/third/fourth column. To sort the first column you should not hold down the Shift key.
- Version 1.41:
- HTTPNetworkSniffer now offers you to run it as administrator (Under Windows Vista/7/8 with UAC)
- Version 1.40:
- HTTPNetworkSniffer now allows you to automatically add it to the allowed programs list of Windows firewall when starting to capture and remove it when you stop capturing. This option is needed when using the «Raw Socket» capture method while Windows firewall is turned on, because if HTTPNetworkSniffer is not added to Windows firewall, the incoming traffic is not captured at all and thus HTTPNetworkSniffer doesn»t work properly.
- Version 1.36:
- Added columns names («IP Address» and «Adapter Name») to the adapters list on the «Capture Options» window.
- Version 1.35:
- Added integration with utility
- Version 1.32:
- Added «Show Time In GMT» option.
- Version 1.31:
- Fixed bug: The «Promiscuous Mode» check-box in the «Capture Options» window was not saved to the configuration file.
- Version 1.30:
- Added «Response Time» column, which calculates and displays the time (in milliseconds) passed between the moment that the client sent the HTTP request and the moment that the HTTP server response received by the client.
To get more accurate result on this column, it»s recommended to use the WinPcap driver or the Microsoft Network Monitor driver (version 3.4 or later) to capture the packets.
- Added «Response Time» column, which calculates and displays the time (in milliseconds) passed between the moment that the client sent the HTTP request and the moment that the HTTP server response received by the client.
- Version 1.27:
- Added «Scroll Down On New Line» option. If it»s turned on, HTTPNetworkSniffer automatically scrolls to the bottom when a new line is added.
- Version 1.26:
- Fixed the flickering problem on Windows 7.
- Version 1.25:
- Added «Load From Capture File» option. Allows you to load a capture file created by WinPcap/Wireshark (Requires the WinPcap driver) or
a capture file created by Microsoft Network Monitor driver (Requires the Network Monitor driver 3.x) and displays the captured
data in the format of HTTPNetworkSniffer. - Added /load_file_pcap and /load_file_netmon command-line options.
- Added «Load From Capture File» option. Allows you to load a capture file created by WinPcap/Wireshark (Requires the WinPcap driver) or
- Version 1.22:
- Added «Mark Odd/Even Rows» option, under the View menu. When it»s turned on, the odd and even rows are displayed in different color, to make it easier to read a single line.
- Version 1.21:
- Added «Auto Size Columns+Headers» option, which allows you to automatically resize the columns according to the row values and column headers.
- Fixed issue: The properties dialog-box and other windows opened in the wrong monitor, on multi-monitors system.
- Version 1.20:
- Added URL column.
- Fixed bug: When opening the «Capture Options» dialog-box after Network Monitor Driver 3.x was previously selected, HTTPNetworkSniffer switched back to Raw Sockets mode.
- Version 1.15:
- Added new column: Last Modified Time.
- Version 1.10:
- Added 3 new columns: Location, Server Time, and Expiration Time.
- Version 1.06:
- Fixed the accelerator key of «Stop Capture» (F6)
- Version 1.05:
- Added «Copy URLs» option (Ctrl+U), which copies the URLs of the selected HTTP items into the clipboard
- Version 1.00 — First release.
Start Using HTTPNetworkSniffer
Except of a capture driver needed for capturing network packets,
HTTPNetworkSniffer doesn»t require any installation process or additional dll files.
In order to start using it, simply run the executable file — HTTPNetworkSniffer.exe
After running HTTPNetworkSniffer in the first time, the «Capture Options» window appears on the screen,
and you»re requested to choose the capture method and the desired network adapter.
In the next time that you use HTTPNetworkSniffer, it»ll automatically start capturing packets with the capture method and
the network adapter that you previously selected. You can always change the «Capture Options» again by pressing F9.
After choosing the capture method and network adapter, HTTPNetworkSniffer captures and displays
every HTTP request/response sent between your Web browser and the remote Web server.
Command-Line Options
/cfg |
Start HTTPNetworkSniffer with the specified configuration file. For example: HTTPNetworkSniffer.exe /cfg «c:confighns.cfg» HTTPNetworkSniffer.exe /cfg «%AppData%HTTPNetworkSniffer.cfg» |
/load_file_pcap | Loads the specified capture file, created by WinPcap driver. |
/load_file_netmon | Loads the specified capture file, created by Network Monitor driver 3.x. |
Integration with IPNetInfo utility
If you want to get more information about the server IP address displayed in HTTPNetworkSniffer utility,
you can use the Integration with IPNetInfo utility in order to easily view the IP address information loaded directly from WHOIS servers:
- and run the latest version of .
- Select the desired connections, and then choose «IPNetInfo — Server IP» from the File menu (or simply click Ctrl+I).
- IPNetInfo will retrieve the information about server IP addresses of the selected items.
Translating HTTPNetworkSniffer to other languages
In order to translate HTTPNetworkSniffer to other language, follow the instructions below:
- Run HTTPNetworkSniffer with /savelangfile parameter:
HTTPNetworkSniffer.exe /savelangfile
A file named HTTPNetworkSniffer_lng.ini will be created in the folder of HTTPNetworkSniffer utility. - Open the created language file in Notepad or in any other text editor.
- Translate all string entries to the desired language.
Optionally, you can also add your name and/or a link to your Web site.
(TranslatorName and TranslatorURL values) If you add this information, it»ll be
used in the «About» window. - After you finish the translation, Run HTTPNetworkSniffer, and all translated
strings will be loaded from the language file.
If you want to run HTTPNetworkSniffer without the translation, simply rename the language file, or move
it to another folder.
License
This utility is released as freeware.
You are allowed to freely distribute this utility via floppy disk, CD-ROM,
Internet, or in any other way, as long as you don»t charge anything for this and you don»t
sell it or distribute it as a part of commercial product.
If you distribute this utility, you must include all files in
the distribution package, without any modification !
Disclaimer
The software is provided «AS IS» without any warranty, either expressed or implied,
including, but not limited to, the implied warranties of merchantability and fitness
for a particular purpose. The author will not be liable for any special, incidental,
consequential or indirect damages due to loss of data or any other reason.
Feedback
If you have any problem, suggestion, comment, or you found a bug in my utility,
you can send a message to [email protected]
HTTPNetworkSniffer is also available in other languages. In order to change the language of
HTTPNetworkSniffer, download the appropriate language zip file, extract the «httpnetworksniffer_lng.ini»,
and put it in the same folder that you Installed HTTPNetworkSniffer utility.
Language | Translated By | Date | Version |
---|---|---|---|
Когда обычный пользователь слышит термин «сниффер», он сразу же начинает интересоваться тем, что это такое и зачем оно нужно.
Мы постараемся объяснить все простым языком.
Впрочем, данная статья будет предназначена не только для начинающих юзеров, но и для .
Определение
Сниффер
– это анализатор трафика. В свою очередь, трафик – это вся информация, которая проходит через компьютерные сети.
Этот анализатор смотрит, какая информация передается. Для этого ее необходимо перехватить. Фактически, это незаконная вещь, ведь таким образом люди часто получают доступ к чужим данным.
Это можно сравнить с ограблением поезда – классический сюжет большинства вестернов.
Вы передаете какую-то информацию другому пользователю. Ее везет «поезд», то есть сетевой канал.
Придурки из банды кровавого Джо перехватывают состав и грабят его до нитки. В нашем случае информация идет дальше, то есть злоумышленники не крадут ее в прямом смысле этого слова.
Но, допустим, что эта информация представляет собой пароли, личные записи, фотографии и тому подобное.
Злоумышленники могут просто переписать и сфотографировать все это. Таким образом они получат доступ к секретным данным, которые вы хотели бы скрыть.
Да, у вас будет вся эта информация, она к вам дойдет.
Но вы будете знать, что все то же самое знают и совершенно посторонние люди. А ведь в XXI веке больше всего ценится именно информация!
В нашем случае используется именно такой принцип. Определенные люди останавливают трафик, считывают с него данные и отсылают их дальше.
Правда, в случае со снифферами все не всегда так страшно.
Они используются не только для того, чтобы получать несанкционированный доступ к данным, а еще и для анализа самого трафика. Это важная часть работ сисадминов и просто админов различных и ресурсов. О применении стоит поговорить более подробно. Но перед этим мы затронем то, как работают эти самые снифферы.
Принцип работы
На практике снифферы могут являть собой портативные устройства, которые в буквальном смысле ставятся на кабель и считывают с него данные, а также программы.
В некоторых случаях это просто набор инструкций, то есть кодов, которые необходимо вводить в определенной последовательности и в определенной среде программирования.
Если более детально, что перехват трафика такими устройствами может считываться одним из следующих способов:
1
Путем установки концентраторов вместо коммутаторов.
В принципе, прослушивание сетевого интерфейса можно выполнять и другими способами, но все они малоэффективны.
2
Подключением буквального сниффера в место разрыва канала.
Это именно то, о чем шла речь выше – и ставится небольшое устройство, которое и считывает все, что движется по каналу.
3
Установкой ответвления от трафика.
Это ответвление направляется на какое-то другое устройство, возможно, расшифровывается и направляется пользователю.
4
Атакой, целью которой является полное перенаправление трафика в сниффер.
Конечно же, после попадания информации на считывающее устройство, она опять отправляется конечному пользователю, которому изначально и предназначалась. в чистом виде!
5
Путем анализа электромагнитных излучений
, которые возникают из-за движения трафика. Это самый сложный и редко используемый метод.
Вот примерная схема работы второго способа.
Правда, здесь показано, что считывающее устройство просто подключается к кабелю.
На самом же деле сделать это таким образом практически нереально.
Дело в том, что конечный пользователь все равно заметит, что в каком-то месте имеет место разрыв канала.
Сам принцип работы обычного сниффера основывается на том, что в рамках одного сегмента рассылаются всем подключенным машинам. Достаточно глупый, но пока безальтернативный метод! А между сегментами данные передаются при помощи коммутаторов. Вот здесь и появляется возможность перехвата информации одним из вышеперечисленных способов.
Собственно, это и называется кибератаками и хаккерством!
Кстати, если грамотно установить эти самые коммутаторы, то можно полностью защитить сегмент от всевозможных кибератак.
Существуют и другие методы защиты, о которых мы еще поговорим в самом конце.
Полезная информация:
Обратите внимание на программу . Она используется для анализа сетевого трафика и разбора пакетов данных, для которого используется библиотека pcap. Это значительно сужает количество доступных для разбора пакетов, так как разбирать можно лишь те пакеты, которые поддерживаются данной библиотекой.
Применение
Разумеется, в первую очередь, данное понятие имеет то применение, о котором шла речь выше, то есть хаккерские атаки и незаконное получение пользовательских данных.
Но кроме этого, снифферы используют и в других сферах, а конкретно, в работе системных администраторов.
В частности, такие приспособления или программы помогают выполнить такие задачи:
Как видим, рассматриваемые нами приспособления или программы способны очень сильно облегчить работу системных администраторов и других людей, которые пользуются сетями. А это все мы.
Теперь переходим к самому интересному – обзору программ-снифферов.
Выше мы разобрались, что они могут быть выполнены в виде физических приспособлений, но в большинстве случаев используются специальные .
Их изучением и займемся.
Программы-сниферы
Вот список наиболее популярных таких программ:
CommView
. Программа платная, как и все остальных в нашем списке. Одна минимальная лицензия стоит 300 долларов. Зато функционал у ПО богатейший. Первое, что стоит отметить, так это возможность самостоятельной установки правил . К примеру, можно сделать так, чтобы (это протоколы) полностью игнорировались. Примечательно также, что программа позволяет просматривать детали и лог всех пересылаемых пакетов. Существует обычная версия и версия для Wi-Fi .
SpyNet.
Это, фактически, троян, от которых мы все так устали. Но он может использоваться и в благородных целях, о которых мы говорили выше. Программа выполняет перехват и , которые есть в трафике. Есть множество необычных функций. К примеру, можно воссоздавать страницы в интернете, на которых побывала «жертва». Примечательно, что это ПО бесплатное, но найти его достаточно непросто.
BUTTSniffer.
Это сниффер в чистом виде, который помогает анализировать сетевые пакеты, а не перехватывать чужие пароли и историю браузера. По крайней мере, так думал ее автор. На самом же деле его творение используется сами понимаете для чего. Это обычная пакетная программа, которая работает через командную строку. Для начала использования загружаются и запускаются два файла. «Захваченные» пакеты сохраняются на жестком диске, что очень удобно.
Существует множество других программ-снифферов.
К примеру, известны fsniff, WinDump, dsniff, NatasX, NetXRay, CooperSniffer, LanExplorer, Net Analyzer и многие другие. Выбирайте любую! Но, справедливости ради стоит отметить, что лучшая – CommView.
Итак, мы разобрали, что такое снифферы, как они работают и какие бывают.
Теперь перейдем с места хакера или сисадмина на место обычного юзера.
Мы прекрасно понимаем, что наши данные могут украсть. Что же делать, чтобы этого не произошло?здесь). Работает она крайне просто – сканирует сеть на предмет всевозможных шпионов и сообщает, если таковые будут обнаружены. Это самый простой и понятный принцип, который позволяет обезопасить себя от кибератак.
3
Используйте PromiScan.
По своим свойствам и выполняемым задачам эта программа очень схожа с AntiSniff for Windows, поэтому выберете что-то одно. В сети тоже есть множество ссылок на скачивание (вот одна из них). Это инновационная программа, которая позволяет отдаленно контролировать компьютеры, подключенные к одной сети. Принцип ее работы состоит в определении узлов, которых не должно быть в сети. Собственно, это, скорее всего, и есть снифферы. Программа выявляет их и сигнализирует об этом красноречивым сообщением. Очень удобно!.
4
Используйте криптографию,
а если развернуто, криптографическую систему с открытым ключом. Это специальная система шифрования или электронной подписи. Ее «фишка» в том, что ключ открытый и все могут его видеть, но изменить данные невозможно, так как это нужно сделать на всех компьютерах сети одновременно. Прекрасный метод – как приманка для вора. В вы можете прочитать про блокчейн, где используется именно такая система.
5
Не скачивайте подозрительные программы, не заходите на подозрительные сайты и так далее.
Об этом знает каждый современный пользователь и все же именно этот путь является основным для попадания троянов и других пакостей в вашу операционную систему. Поэтому очень ответственно относитесь к использованию интернета в принципе!
Если у вас есть еще вопросы, задавайте их в комментариях ниже.
Надеемся, мы смогли все объяснить простым и понятным языком.
Многие пользователи и не догадываются, что заполняя логин и пароль при регистрации или авторизации на закрытом Интернет-ресурсе и нажимая ENTER, эти данные легко могут перехватить. Очень часто они передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль.
Лучшее место для перехвата паролей — ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
Захват трафика начался.
Шаг 2. Фильтрация захваченного POST трафика
Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
Вводим в окне специальный фильтр для отображения захваченных пакетов: http.
request.
method == “
POST”
И видим вместо тысячи пакетов, всего один с искомыми нами данными.
Шаг 3. Находим логин и пароль пользователя
Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
HTTP/1.1 302 Found
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP=»NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM»
Set-Cookie: password=; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Location: loggedin.php
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
Таким образом, в нашем случае:
Имя пользователя: networkguru
Пароль:
Шаг 4. Определение типа кодирования для расшифровки пароля
Заходим, например, на сайт http://www.onlinehashcrack.com/hash-identification.php#res и вводим наш пароль в окно для идентификации. Мне выдан был список протоколов кодирования в порядке приоритета:
Шаг 5. Расшифровка пароля пользователя
На данном этапе можем воспользоваться утилитой hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
На выходе мы получили расшифрованным пароль: simplepassword
Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
- Протокол POP и фильтр выглядит следующим образом: pop.request.command == «USER» || pop.request.command == «PASS»
- Протокол IMAP и фильтр будет: imap.request contains «login»
- Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == «AUTH»
и более серьезные утилиты для расшифровки протокола кодирования.
Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?
Для ответа на этот вопрос есть несколько вариантов.
Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.
Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.
Уточнение.
Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает — на то оно и шифрование, и личное пространство.
После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:
- Идем в меню Edit — Preferences — Protocols — SSL.
- Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
- «RSA keys list» и нажимаем Edit.
- Вводим данные во все поля и прописываем путь в файлу с ключом
WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.
Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.
БОНУС
ВИДЕО: Wireshark Packet Sniffing Usernames, Passwords, and Web Pages
Что такое Intercepter-NG
Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.
Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.
Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing , которую иногда называют ARP травлением, травлением ARP кэша.
Описание атаки ARP-spoofing
Два компьютера(узла) M и N в локальной сети Ethernet обмениваются сообщениями. Злоумышленник X, находящийся в этой же сети, хочет перехватывать сообщения между этими узлами. До применения атаки ARP-spoofing на сетевом интерфейсе узла M ARP-таблица содержит IP и MAC адрес узла N. Также на сетевом интерфейсе узла N ARP-таблица содержит IP и MAC узла M.
Во время атаки ARP-spoofing узел X (злоумышленник) отсылает два ARP ответа (без запроса) — узлу M и узлу N. ARP-ответ узлу M содержит IP-адрес N и MAC-адрес X. ARP-ответ узлу N содержит IP адрес M и MAC-адрес X.
Так как компьютеры M и N поддерживают самопроизвольный ARP, то, после получения ARP-ответа, они изменяют свои ARP таблицы, и теперь ARP-таблица M содержит MAC адрес X, привязанный к IP-адресу N, а ARP-таблица N содержит MAC адрес X, привязанный к IP-адресу M.
Тем самым атака ARP-spoofing выполнена, и теперь все пакеты(кадры) между M и N проходят через X. К примеру, если M хочет передать пакет компьютеру N, то M смотрит в свою ARP-таблицу, находит запись с IP-адресом узла N, выбирает оттуда MAC-адрес (а там уже MAC-адрес узла X) и передает пакет. Пакет поступает на интерфейс X, анализируется им, после чего перенаправляется узлу N.
Что такое Intercepter-NG
Рассмотрим суть функционирования ARP на простом примере. Компьютер А (IP-адрес 10.0.0.1) и компьютер Б (IP-адрес 10.22.22.2) соединены сетью Ethernet. Компьютер А желает переслать пакет данных на компьютер Б, IP-адрес компьютера Б ему известен. Однако сеть Ethernet, которой они соединены, не работает с IP-адресами. Поэтому компьютеру А для осуществления передачи через Ethernet требуется узнать адрес компьютера Б в сети Ethernet (MAC-адрес в терминах Ethernet). Для этой задачи и используется протокол ARP. По этому протоколу компьютер А отправляет широковещательный запрос, адресованный всем компьютерам в одном с ним широковещательном домене. Суть запроса: «компьютер с IP-адресом 10.22.22.2, сообщите свой MAC-адрес компьютеру с МАС-адресом (напр. a0:ea:d1:11:f1:01)». Сеть Ethernet доставляет этот запрос всем устройствам в том же сегменте Ethernet, в том числе и компьютеру Б. Компьютер Б отвечает компьютеру А на запрос и сообщает свой MAC-адрес (напр. 00:ea:d1:11:f1:11) Теперь, получив MAC-адрес компьютера Б, компьютер А может передавать ему любые данные через сеть Ethernet.
Чтобы не было необходимости перед каждой отправкой данных задействовать протокол ARP, полученные MAC-адреса и соответствующие им IP адреса записываются в таблице на некоторое время. Если нужно отправить данные на тот же IP, то нет необходимости каждый раз опрашивать устройства в поисках нужного MAC.
Как мы только что увидели, ARP включает в себя запрос и ответ. MAC-адрес из ответа записывается в таблицу MAC/IP. При получении ответа он никак не проверяется на подлинность. Более того, даже не проверяется, был ли сделан запрос. Т.е. на целевые устройства можно прислать сразу ARP-ответ (даже без запроса), с подменёнными данными, и эти данные попадут в таблицу MAC/IP и они будут использоваться для передачи данных. Это и есть суть атаки ARP-spoofing , которую иногда называют ARP травлением, травлением ARP кэша.
Описание атаки ARP-spoofing
Два компьютера(узла) M и N в локальной сети Ethernet обмениваются сообщениями. Злоумышленник X, находящийся в этой же сети, хочет перехватывать сообщения между этими узлами. До применения атаки ARP-spoofing на сетевом интерфейсе узла M ARP-таблица содержит IP и MAC адрес узла N. Также на сетевом интерфейсе узла N ARP-таблица содержит IP и MAC узла M.
Во время атаки ARP-spoofing узел X (злоумышленник) отсылает два ARP ответа (без запроса) — узлу M и узлу N. ARP-ответ узлу M содержит IP-адрес N и MAC-адрес X. ARP-ответ узлу N содержит IP адрес M и MAC-адрес X.
Так как компьютеры M и N поддерживают самопроизвольный ARP, то, после получения ARP-ответа, они изменяют свои ARP таблицы, и теперь ARP-таблица M содержит MAC адрес X, привязанный к IP-адресу N, а ARP-таблица N содержит MAC адрес X, привязанный к IP-адресу M.
Тем самым атака ARP-spoofing выполнена, и теперь все пакеты(кадры) между M и N проходят через X. К примеру, если M хочет передать пакет компьютеру N, то M смотрит в свою ARP-таблицу, находит запись с IP-адресом узла N, выбирает оттуда MAC-адрес (а там уже MAC-адрес узла X) и передает пакет. Пакет поступает на интерфейс X, анализируется им, после чего перенаправляется узлу N.
SmartSniff
позволяет перехватить сетевой трафик и отобразить его содержимое в ASCII. Программа захватывает пакеты проходящие через сетевой адаптер и выводит на экран содержание пакетов в текстовом виде (протоколы http, pop3, smtp, ftp) и в виде шестнадцатеричного дампа. Для захвата TCP/IP пакетов SmartSniff использует методики: необработанные сокеты — RAW Sockets, WinCap Capture Driver и Microsoft Network Monitor Driver. Программа поддерживает русский язык и проста в использовании.
Программа сниффер для захвата пакетов
SmartSniff отображает следующую информацию: название протокола, локальный и удаленный адрес, локальный и удаленный порт, локальный узел, название службы, объем данных, общий размер, время захвата и время последнего пакета, длительность, локальный и удаленный МАС адрес, страны и содержание пакета данных. Программа обладает гибкими настройками, в ней реализована функция фильтра захвата, распаковка ответов http, преобразования ip адреса, утилита сворачивается в системный трей. SmartSniff формирует отчет о потоках пакетовв виде HTML страницы. В программе возможно выполнить экспорт потоков TCP/IP.
Для работы с большими беспроводными сетями представлено на рынке достаточное количество хороших многофункциональных программных решений, позволяющих осуществлять всестороннее тестирование WiFi-сетей. Однако, зачастую, для быстрого взгляда на радиоэфир во время проектирования, развертывания или устранения неполадок вам удобней будет воспользоваться более простым бесплатным инструментарием. Представляем вашему вниманию обзор наиболее интересных бесплатных программ для диагностики WiFi-сетей.
В рамках данной статьи мы представим вам девять бесплатных программных инструментов — большая часть из них работают на базе операционных систем Windows, другие — под macOS или Android, — которые предоставят вам базовую информацию о существующих WiFi-сигналах в зоне действия: идентификаторах SSID, уровне сигналов, используемых каналах, MAC-адресах и типах защиты той или иной сети. Некоторые из них могут обнаруживать скрытые SSID, определять уровни шума или предоставлять статистику об успешно и неудачно отправленных и полученных пакетах вашего беспроводного соединения. Одно из решений включает в себя инструментарий для взлома паролей WiFi, который будет крайне полезен для поиска уязвимостей и оценки безопасности при тестировании защищенности от взлома вашей беспроводной сети.
Отметим также, что большая часть из описанных ниже инструментов являются бесплатными версиями коммерческих решений, распространяемых тем же поставщиком, но с урезанными функциональными возможностями.
Сканер беспроводных локальных сетей Acrylic WiFi Home является урезанной версией коммерческого решения компании Tarlogic Security. Версия 3.1, рассмотренная в рамках данной обзорной статьи, привлекает к себе внимание, прежде всего за счет детализации беспроводного окружения и продвинутых графических возможностей отображения собранной информации. Функциональность данного решения включает в себя: обзор найденных сетей WiFi с поддержкой стандартов 802.11 a/b/g/n/ac; обнаружение несанкционированных точек доступа и отображение подключенных клиентов; сканирование и анализ используемых беспроводными сетями каналов WiFi на частотах 2,4 ГГц и 5 ГГц; построение графиков уровня принимаемого сигнала и его мощности для точек доступа WiFi.
WiFi-сканер для Windows Acrylic WiFi Home позволит вам в режиме реального времени сканировать и просматривать доступные беспроводные сети, предоставит информацию об обнаруженных WiFi-сетях (SSID и BSSID), их типе защиты и о беспроводных устройствах, подключенных к сети в данный момент, а также позволит получить список WiFi паролей (установленных по умолчанию производителями) благодаря встроенной системе плагинов.
Являясь бесплатным продуктом, Acrylic WiFi Home 3.1 имеет простой, но привлекательный графический интерфейс. Детализированный список SSID расположен в верхней части приложения. Здесь, в частности, вы сможете найти: отрицательные значения в дБм для показателя уровня принимаемого сигнала (Received Signal Strength Indicator, RSSI), поддерживаемый точками доступа или WiFi-маршрутизаторами стандарт 802.11 (включая 802.11ac), имя производителя, модель и MAC-адреса сетевых устройств. Решение распознает используемую ширину полосы пропускания и отображает все задействованные для этого каналы. Оно не ищет скрытые SSID, но может показать их, если обнаружит сетевые данные, говорящие о присутствии скрытых сетей. Также приложение имеет функциональность для инвентаризации работы WiFi-сетей, позволяя назначать и сохранять имена обнаруженных SSID и / или клиентов (для бесплатной версии эта возможность имеет количественные ограничения по использованию).
На нижней части экрана приложения по умолчанию демонстрируется наглядная рейтинговая информация по сетевым характеристикам выбранной SSID. Также здесь расположен график уровня сигнала и мощности всех обнаруженных точек доступа. При переходе в расширенный режим отображения состояния беспроводных сетей вы получите два дополнительных графика — для полосы 2,4 ГГц и 5 ГГц, — где одновременно отображается, как информация об используемых каналах, в том числе и объединенных в один «широкий» канал, так и данные об уровне сигнала.
Производить экспорт или сохранение захваченных данных крайне неудобно, так как компания-разработчик программного обеспечения решил чрезмерно урезать данную функциональность в бесплатном решении: вы можете скопировать не больше одной строки данных в буфер обмена и затем вставить текст в текстовый документ или электронную таблицу. Также есть функция публикации скриншота в Twitter.
В целом, Acrylic WiFi Home является хорошим программным сканером WLAN, особенно, учитывая то, что он ничего не стоит. Он собирает всю базовую информацию о вашем беспроводном пространстве и наглядно демонстрирует полученные данные, как в текстовом, так и графическом виде, что прекрасно подходит для простых задач диагностики WiFi-сетей. Основным недостатком данного решения можно считать большие проблемы с экспортом данных, вернее, фактическое отсутствие такой возможности в виду урезанного самим производителем функционала в бесплатном решении.
AirScout Live (Android)
Приложение AirScout Live от компании Greenlee превратит ваш Android-смартфон в удобный и портативный анализатор WiFi сети. AirScout Live имеет семь режимов работы, четыре из которых можно использовать совершенно бесплатно без каких-либо ограничений для Android-устройств. Коммерческая версия, в отличие от бесплатной, совместима с большинством настольных компьютеров (Windows) и мобильных устройств (Android и iOS). С помощью базового функционала вы сможете быстро, мобильно и, что немаловажно, бесплатно решать проблемы, связанные с недостаточным уровнем сигнала WiFi в некоторых местах вашего офиса или дома.
AirScout live покажет все характеристики обнаруженных в радиусе действия точек доступа: от уровня сигнала и протоколов безопасности до возможностей оборудования. Позволит определить наименее загруженный канал, измерить мощность сигнала в каждой точке WiFi-сети и выявить места с недостаточным уровнем сигнала. Поможет определить источники помех путем анализа параметров использования каналов в полосе 2,4 ГГц и 5 ГГц. Используя программу, можно выбрать оптимальное место для расположения точек доступа, чтобы обеспечить наиболее качественное покрытие помещений WiFi-сетью и настроить ее на максимальную производительность, не покупая дополнительного оборудования. Кроме того, приложение AirScout позволяет делать снимки сети WiFi и сохранять локально или загружать их в облако.
AirScout Live — это очень простое в использовании приложение, которое не требует дополнительного обучения. Пользовательский интерфейс выглядит привлекательно и интуитивно понятен. Первые два пункта меню — «График ТД» и «Таблица ТД» — предоставят вам наглядную и исчерпывающую информацию обо всех характеристиках точек доступа, находящихся в зоне видимости. Графики покрытия точек доступа визуально вам продемонстрирует зависимость уровня сигнала каждой из них и загруженность каналов в полосе 2,4 ГГц и 5 ГГц. Расширенная информация в табличном виде о каждой точке доступа (SSID, Mac-адрес, поставщик оборудования, используемый канал, ширина канала, уровень принимаемого сигнала в дБм и настройки безопасности) доступны во втором по порядку пункте меню.
Пункт «График времени» позволит увидеть все точки доступа, которые обнаружило ваше Android-устройство в наблюдаемом месте, и их график изменения уровня сигнала в дБм с привязкой ко времени. Так, например, если вы исследуете сеть, которая состоит из нескольких точек доступа, данная информация поможет вам понять, какой уровень сигнала каждой из них будет в данном месте, и как клиентское устройство будет переключаться между ними. Кроме того, выбор конкретной точки доступа подсвечивает ее уровень сигнала, что помогает визуальному восприятию информации.
Пункт «Мощность сигнала» позволит наглядно протестировать уровень сигнала для каждой точки доступа в течение времени. Вы можете выбрать конкретный SSID и увидеть текущий, а также минимальный и максимальный уровень сигнала, зафиксированный устройством для данной точки доступа. Оригинальная интерпретация полученных результатов в виде красно-желто-зеленого спидометра позволит наглядно убедиться, будет работать та или иная функция в данном конкретном месте или нет. Например, стабильное нахождение уровня сигнала в зеленой зоне вам скажет, что здесь у вас не возникнет проблем с такими ресурсоемкими технологиями, как передача голоса через IP или передача потокового видео в формате Full HD. Нахождение в желтой зоне скажет о доступности только веб-серфинга. Ну а красная зона будет означать большие проблемы с приемом сигнала от этой точки доступа в данном месте.
Для использования дополнительных функций, которые не доступны в бесплатной версии ПО без дополнительного оборудования (выявление наиболее распространенных проблем: субоптимальное покрытие сигнала или неправильный выбор канала; определение источников помех, в том числе и от «не-WiFi» устройств; оптимизация конфигураций WiFi-сетей, соседствующих с сетями стандарта 802.15.4; настройка производительности WiFi путем сравнения параметров интенсивности сигнала и его использования; тест скорости Ookla и многое другое) вам потребуется контроллер AirScout или комплект, включающей контроллер и удаленные клиенты.
AirScout Live — это прекрасное приложение, которое, прежде всего, привлекает своей мобильностью. Согласитесь, иметь инструмент, который всегда будет под рукой, дорогого стоит. В бесплатной версии продукта вам доступна вся необходимая информация, которая может вам понадобиться для быстрого анализа состояния небольших офисных или домашних сетей WiFi и выявления базовых проблем с их производительностью. Интуитивно понятный интерфейс и грамотное графическое оформление полученных результатов измерения не только оставляют хорошее впечатление, но и способствуют ускорению работы с приложением.
Cain & Abel — это многоцелевое приложение для операционных систем Windows для восстановления и взлома паролей, которое также оснащено инструментами для перехвата и анализа сетевого трафика, в том числе и WiFi-сетей. Как и предыдущее решение (Acrylic WiFi Home), Cain & Abel является мощным сетевым анализатором, способным захватить и обработать большую часть беспроводного сетевого трафика.
Его графический интерфейс имеет относительно древний, упрощенный вид. Панель инструментов (старого стиля с иконками вверху экрана) используется для запуска различных утилит. Доступ к основным функциональным частям приложения осуществляется через вкладки окошек.
Через вкладку «Wireless» («Беспроводная связь») мы получаем доступ к функциональным инструментам для анализа сетевого трафика WiFi-сетей. В дополнение к обычной информации об идентификаторах SSID и различной информации о сигналах, здесь также можно найти список и детальную информацию о подключенных клиентах. Для точек доступа и клиентов Cain & Abel предоставляет информацию о количестве обнаруженных пакетов: всех пакетов, векторов инициализации протокола безопасности WEP (WEP Initialization Vector, WEP IV) и ARP-запросов. Любые скрытые SSID, обнаруженные из перехваченных пакетов, будут отображаться в графическом интерфейсе. Большую часть перехваченных статусов и данных можно экспортировать в простой текстовый файл.
Несмотря на огромный функциональный потенциал данного решения, такие недостатки, как отсутствие наглядных графиков, а также невозможность распознавать точки доступа стандарта 802.11ac и определять более широкие каналы, не позволяют назвать Cain & Abel лучшим выбором для наблюдения и анализа WiFi-сетей. На это решение стоит обратить внимание, если ваши задачи выходят далеко за пределы простого анализа трафика. С его помощью вы можете восстанавливать пароли для ОС Windows, производить атаки для получения потерянных учетных данных, изучать данные VoIP в сети, анализировать маршрутизацию пакетов и многое другое. Это действительно мощный инструментарий для системного администратора с широкими полномочиями.
Ekahau HeatMapper — это картографический программный инструмент для развертывания небольших беспроводных сетей уровня дома и определения оптимального местоположения установки точки доступа. Это упрощенная бесплатная версия профессиональных решений от компании Ekahau. Данный программный продукт предоставляет такую же сетевую информацию, как и WiFi-сканер беспроводных сетей, но при этом еще и генерирует тепловую WiFi-карту, чтобы вы могли наглядно визуализировать уровни сигналов. В рамках данного обзора речь пойдет о версии 1.1.4.
Программное обеспечение предлагает возможность создания плана или макета объекта, который исследуется, а также проектирование топологии беспроводной сети по координатной сетке для приблизительного ориентирования.
На левой стороне основного экрана пользовательского интерфейса отображается список беспроводных сетей и их данные, которые сортируются по сигналу, каналу, SSID, MAC-адресу и типу защиты. Этот список включает в себя основную информацию, но не содержит значений уровня сигнала в дБм и процентном соотношении. Кроме того, приложение не распознает сети с поддержкой стандарта 802.11ac, определяя их как 802.11n.
Используя Ekahau HeatMapper, как и при работе с другими картографическими инструментами, вы обозначаете свое текущее местоположение на карте, пока вы обходите здание, чтобы сгенерировать тепловую карту покрытия WiFi. Ekahau HeatMapper автоматически вычислит местоположение точек доступа и разместит их на карте. После того, как все данные будут собраны, сформируется интерактивная тепловая карта покрытия WiFi. Так, к примеру, при наведении курсора на иконку точки доступа будет отдельно подсвечиваться ее покрытие; а при наведении курсора на область тепловой карты появится всплывающее окно подсказки для показателя уровня принимаемого сигнала с отрицательным значением дБм для этой точки.
По отзывам программное решение Ekahau HeatMapper является слишком упрощенным картографическим WiFi-сканером: из бесплатной версии производители убрали почти весь дополнительный функционал, сделав данное решение действительно домашней версией. Кроме того, единственная доступная возможность для экспорта или сохранения — это просто сделать скриншот карты.
Те не менее, решение Ekahau HeatMapper можно использовать для небольших сетей или для получения базового представления о том, как работают более профессиональные инструменты на основе карт.
Программная утилита Homedale — это относительно простой и портативный (не требующий установки) сканер беспроводных сетей для операционных систем Windows (на данный момент доступна версия 1.75) и macOS (на данный момент доступна версия 1.03) с опциональным интерфейсом командной строки. Помимо отображения базовой информации о беспроводных сетях и сигналах, эта утилита также поддерживает определение местоположения с помощью GPS и других технологий позиционирования.
Эта утилита имеет простой графический интерфейс, который напоминает больше диалоговое окно с несколькими вкладками, чем полноценное приложение. На первой вкладке «Адаптеры» отображается список всех сетевых адаптеров, а также их IP-шлюзы и MAC-адреса.
Вкладка «Точки доступа» содержит много важной информации. В ней нет данных о стандарте 802.11 каждой SSID, но здесь вы найдете все поддерживаемые скорости передачи данных, а также номера всех каналов, используемых каждой SSID в данный момент времени, в том числе и с большей шириной канала. Здесь также нет перечисления скрытых сетей, но демонстрируются другие сетевые данные, которые указывают на присутствие скрытых SSID. Также очень полезной функцией является возможность сохранять заметки для отдельных SSID, которые затем могут быть включены в любой экспорт данных.
Во вкладке «График сигнала точки доступа» вы найдете изменение отрицательных значений в дБм для показателя уровня принимаемого сигнала в течение времени для всех выбранных SSID. Реализацию доступа к данной функциональности нельзя назвать очень удобной и интуитивно понятной — выбор беспроводных сетей для наблюдения и сравнения производится с помощью двойного клика на нужной SSID из списка предыдущей вкладки «Точки доступа».
Вкладка «Частота использования» иллюстрирует в реальном времени графическую зависимость используемых каждой SSID частот (для удобства разбитых на каналы) и значений уровня сигнала. Визуализация использования каналов отображается для диапазона 2,4 ГГц и каждого подмножества диапазона 5 ГГц. Свою задачу утилита выполняет — визуально демонстрирует занятость каждого канала, — но было бы удобней, если бы у нас была возможность иметь единое представление о частоте 5 ГГц, вместо разделения на четыре отдельных графика.
Кроме того, Homedale предлагает отличные возможности, как для бесплатного приложения, для экспорта собранных данных. Так, поддерживается сохранение сетевого списка в табличном виде в формате CSV, запись в журнал результатов каждого сканирования (будет полезно, если вы перемещаетесь во время сканирования), а также сохранения изображения каждого графика.
Несмотря на очень простой графический интерфейс пользователя, утилита Homedale предоставляется более расширенные функциональные возможности, чем можно было бы от нее ожидать. Кроме того, хотелось бы отметить довольно впечатляющие, как для бесплатной программы, возможности записи и экспорта данных, а также определения местоположения.
Компания LizardSystems предлагает бесплатную версию своего программного обеспечения WiFi Scanner для некоммерческого использования, которая имеет те же возможности и функциональность, что и их платный продукт. На текущий момент доступна версия 3.4 решения. Помимо WiFi-сканера это решение также предлагает прекрасную функциональность для анализа и отчетности.
Приложение имеет современный графический интерфейс, интуитивно понятный и легкий в использовании. На вкладке «Сканер» представлен список обнаруженных SSID. Помимо стандартной детальной информации здесь вы также найдете значения уровня сигнала как в отрицательных значениях дБм, так и в процентах. Тут даже показано количество клиентов, которые подключены к каждому SSID. Также, наряду со спецификацией стандартов 802.11, решение может определять и сообщать о нескольких каналах, используемых любыми SSID с большей шириной канала.
Список видимых SSID вы можете использовать для фильтрации ввода по таким параметрам: уровень сигнала, поддерживаемый стандарт 802.11, типы безопасности и используемые полосы частот. В нижней части вкладки «Сканер» расположены графики, между которыми вы можете переключаться. В дополнение к типичным графикам с данными об уровне сигнала и используемым каналам, также доступны визуализированные данные о скорости передачи данных, загруженности каналов и количестве клиентов. В нижней части экрана отображаются сведения о текущем подключении. Во вкладке «Расширенные сведения» вы найдете различные данные о сетевой активности, вплоть до количества необработанных пакетов.
Вкладка «Текущее подключение» отображает более подробную информацию о текущем беспроводном соединении. Здесь вы получите доступ и сможете управлять списком профилей беспроводной сети, сохраненным в Windows 10, что может оказаться полезным, поскольку в этой последней версии операционной системы Windows больше не предоставляется нативный доступ к этому списку и управлению им. Во вкладке «Статистика беспроводной связи» представлены графики и статистические данные для различных типов пакетов, как для физического (PHY) уровня, так и для канального (MAC) уровня, которые будут полезны для проведения расширенного анализа сети.
Программное решение LizardSystems WiFi Scanner предлагает расширенные возможности для экспорта и отчетности. Базовая функциональность позволяет сохранять список сетей в текстовом файле. Кроме того, вы можете генерировать отчеты с кратким описанием типов сетей, найденных при сканировании, со всеми зарегистрированными данными SSID, любыми добавленными вами комментариями и моментальными снимками графиков. Это довольно впечатляющие возможности для WiFi-сканера в свободном доступе.
Таким образом, WiFi Scanner от компании LizardSystems действительно впечатляет своей функциональностью, в том числе возможностями фильтрации вывода данных и составления отчетности, а также расширенными сведениями о передаваемых пакетах данных. Он может стать важной частью вашего «походного» набора инструментов для обслуживания и проверки WiFi-сетей, но при этом помните, что бесплатна лицензия доступна только для личного использования.
NetSpot (Windows и macOS)
Приложение NetSpot — это программное решение для исследования, анализа и улучшения WiFi-сетей. Коммерческая версия использует картографический инструментарий для тепловой визуализации зон покрытия, однако в бесплатной версии для домашнего использования он недоступен. Тем не менее, данное решение предлагается, как для операционных сетей Windows, так и macOS. В рамках данной обзорной статьи мы рассмотрим NetSpot Free версии 2.8 — бесплатную значительно урезанную версию платных продуктов компании для домашнего и корпоративного использования.
Вкладка «NetSpot Discover» — это WiFi-сканер. Несмотря на простой графический интерфейс, он имеет современный внешний вид, а сетевые детали каждой SSID выводятся жирным шрифтом и четко видны. Уровни сигналов показаны в отрицательных значениях дБм (текущие, минимальные и максимальные), а также в процентах. Скрытые сети в бесплатной версии не отображаются, как и не поддерживается возможность экспорта данных (хотя такая кнопка есть, но она не активна).
При нажатии на кнопку «Детали» в нижней части окна приложения демонстрируется комбинированные графики сигналов и используемых каналов для каждого WiFi-диапазона, сформированные для выбранных из списка сетей SSID. Кроме того, в табличном виде отображается информации о сигналах каждого SSID, чтобы видеть точные значения, полученные приложением при проведении каждого сканирования.
В целом, бесплатная версия NetSpot хорошо справляется с задачами обнаружения WiFi-сетей (хоть и не поддерживает работу со скрытыми сетями). И все же, бесплатное решение имеет очень ограниченную функциональность, о чем нам красноречиво говорят неработающие ссылки на большое количество дополнительных возможностей — это и недоступность визуализаций, и невозможность использовать тепловую карту, и отсутствие экспорта.
WirelessNetView (Windows)
WirelessNetView — это небольшая утилита от веб-ресурса NirSoft, которая работает в фоновом режиме и отслеживает активность беспроводных сетей вокруг вас. Она предлагается бесплатно для личных и коммерческих целей. Это довольно простой WiFi-сканер, доступный как в портативном, так и требующем установки виде. В рамках данной статьи рассмотрена версия 1.75.
Графический интерфейс пользователя решения WirelessNetView не очень замысловатый — это просто окно со списком беспроводных сетей. Для каждой обнаруженной сети доступна следующая информация: SSID, качество сигнала в текущий момент времени, среднее качество сигнала за все время наблюдения, счетчик обнаружений, алгоритм аутентификации, алгоритм шифрования информации, MAC-адрес, RSSI, частота канала, номер канала и т. д.
Таким образом, показатели уровня сигнала данная утилита предоставляет в отрицательных значениях дБм, а также в процентных отношениях для последнего полученного сигнала и среднего показателя за все время наблюдения. Но было бы еще лучше, если бы нам также были доступны средние значения для RSSI конкретной точки доступа за все время наблюдения. Еще одной уникальной деталью доступных аналитических данных, которые предлагает утилита WirelessNetView, является показатель того, насколько часто каждый SSID обнаруживается, что может быть полезно в определенных ситуациях.
Двойной щелчок на любой из обнаруженных беспроводных сетей откроет диалоговое окно со всеми сведениями о конкретной сети, что может оказаться очень удобно, поскольку для просмотра всех деталей в основном списке ширины вашего экрана явно не хватит. Щелчок правой кнопкой мыши по любой сети из списка позволяет сохранить данные для этой конкретной беспроводной сети или всех обнаруженных сетей в текстовый или HTML-файлы. В меню панели инструментов «Параметры» отображаются некоторые параметры и дополнительная функциональность, такие как фильтрация, формат MAC-адресов и другие предпочтения отображения информации.
Учтите, что у данной утилиты отсутствует целый ряд расширенных функций, которые мы ожидаем увидеть в современных WiFi-сканерах. В первую очередь речь идет о графическом представлении информации, полной поддержке стандарта 802.11ac и, соответственно, распознавании всех каналов, занятых точкой доступа, которая может использовать большую ширину канала. Тем не менее, решение WirelessNetView все равно может быть полезно для простого наблюдения за беспроводными сетями или небольшим WiFi-пространством, особенно если вы найдете некоторые из уникальных функциональных возможностей данной утилиты ценными для себя.
Wireless Diagnostics (macOS)
Начиная с OS X Mountain Lion v10.8.4 и в более поздних версиях операционных систем компания Apple предоставляет инструмент Wireless Diagnostics. Он представляет собой нечто больше, чем просто WiFi-сканер; он может помочь обнаружить и исправить проблемы с WiFi-соединением. Но лучше всего, что это — нативный инструментарий, включенный в операционную систему. В рамках данного обзора мы рассмотрим программное решение Wireless Diagnostics, включенное в MacOS High Sierra (версия 10.13).
Чтобы начать работу, нажмите клавишу «Option», а затем щелкните на иконку «Airport/WiFi» в верхней части MacOS. У вас появится более подробная информация о вашем текущем соединении WiFi, а также доступ к ярлыку «Wireless Diagnostics».
Открытие Wireless Diagnostics запустит мастера, называющегося «Assistant», который может запросить дополнительные данные, такие как марка и модель роутера, а также его местоположение. Затем запустятся тесты для обнаружения проблем. После проверки будет показана сводка результатов, и щелчок по значку для каждого результата покажет расширенные детали и предложения.
Хоть это и не совсем очевидно, вам также доступно больше инструментов, а не только вышеупомянутый мастер. Пока диалоговое окно мастера открыто, нажатие кнопки «Window» вверху панели инструментов предоставит доступ к дополнительным утилитам.
Утилита «Scan» — это простой WiFi-сканер, показывающий обычные данные об обнаруженных беспроводных сетях, а также краткое описание типов сетей и лучших каналов. Одним из его основных преимуществ является то, что он показывает уровни шума в WiFi-каналах, которые большинство представленных в этой статье сканеров для ОС Windows не показывают. Однако удобней было, если бы перечислялись бы все каналы, которые используют конкретные SSID с большей шириной канала, а не просто бы показывалась ширина канала и центральный канал.
Утилита «Info» демонстрирует текущее сетевое подключение и детальную подробную информацию о характеристиках сигнала. Утилита «Logs» позволяет настраивать протоколы диагностики WiFi, EAPOL и Bluetooth. Утилита «Performance» показывает линейные графики сигнала и шума, качества сигнала и скорости передачи данных текущего соединения. Утилита «Sniffer» позволяет захватывать необработанные беспроводные пакеты, которые затем можно будет экспортировать в сторонний анализатор пакетов.
Таким образом, утилиты, включенные в инструментарий Wireless Diagnostics семейства операционных систем MacOS действительно впечатляют, особенно в сравнении с родным беспроводным инструментарием для операционных систем Windows. У вас всегда под рукой есть WiFi-сканер (который даже показывает уровни шума) и возможность захвата пакетов (с последующей возможностью экспорта), а их «Assistant» по устранению неполадок кажется действительно умным. Однако, для визуализации каналов WiFi, по нашему мнению, не хватает графика использования каналов.
Кроме того, для получения дополнительной информации компания Apple предлагает отличный тур и руководство по использованию Wireless Diagnostics.
Выводы
Каждая из рассмотренных нами программ для диагностики WiFi сетей имеет свои преимущества и недостатки. При этом все эти решения, судя по отзывам пользователей, достойны того, чтобы их скачать и оценить в действии. Выбор оптимальной программы для каждого конкретного случая будет свой. Так что пробуйте!
ВНИМАНИЕ!
Данная статья написана только в ознакомительных целях для специалистов в области IT безопасности. Перехват трафика был на примере собственных устройств в личной локальной сети. Перехват и использование личных данных может караться законом, поэтому мы не призываем использовать данную статью во вред окружающих. Мир во всем мире, помогаем друг другу!
Всем привет! В статье мы поговорим про WiFi сниффер. Вообще данный тип программ предназначен исключительно для перехвата трафика в локальной сети. Далее без разницы как именно жертва подключена к маршрутизатору, по кабелю или по Wi-Fi. Хочу показать перехват трафика на примере интересной программы «Intercepter-NG». Почему я выбрал именно её? Дело в том, что это sniffer приложение написана специально для Windows имеет достаточно приветливый интерфейс и проста в использовании. Да и Linux есть не у всех.
Возможности Intercepter-NG
Как вы знаете, в локальной сети постоянно используется обмен данными между роутером и конечным клиентом. При желании эти данные можно перехватывать и использовать в своих целях. Например, можно перехватить куки, пароли или другие интересные данные. Происходит все очень просто – компьютер отправляет запрос в интернет и получает данные вместе с ответом от центрального шлюза или маршрутизатора.
Программа запускает определенный режим, в котором компьютер клиент начинает отправлять запросы с данными не на шлюз, а именно на устройство с программой. То есть можно сказать он путает роутер с компьютером злоумышленника. Данная атака ещё называется ARP спуфингом. Далее, со второго компа, все данные используются в свои целях.
После получения данных начинается процесс сниффинга, когда программа пытается выудить из пакетов нужную информацию: пароли, логики, конечные web-ресурс, посещаемые страницы в интернете и даже переписку в мессенджерах. Но есть небольшой минус в том, что такая картина отлично работает при незашифрованных данных. При запросе на HTTPS страницы нужны танцы с бубном. Например, программа может при запросе клиента на DNS сервер, подкладывать адрес своего фальшивого сайта, где он может ввести логин и пароль для входа.
Обычная атака
Для начала нам нужно скачать программу. Некоторые браузеры могут ругаться, если вы попытаетесь скачать приложение с официального сайта – sniff.su. Но можете попробовать. Если вам лень проходить данную защиту, то вы можете скачать приложение с GitHub
.
- В зависимости от того как вы подключены к сети, в левом верхнем углу будет отображаться соответствующий значок – нажимаем по нему;
- Нужно выбрать свой работающий сетевой модуль. Я выбрал с тем, у которого уже присвоен локальны IP, то есть мой IP адрес;
- На пустой области нажимаем правой кнопочкой и далее запускаем «Smarty Scan»;
- Далее вы увидите список IP адресов, а также MAC и дополнительную информацию об устройствах в сети. Достаточно выбрать одну из целей атаки, нажать по ней и далее из списка выбрать «Add as Target», чтобы программа закрепила устройство. После этого нажимаем на кнопку запуска в правом верхнем углу окна;
- Заходим в раздел «MiTM mode» и нажимаем на значок радиации;
- Процесс запуска запущен, теперь, чтобы посмотреть логины и пароли – перейдите в третью вкладку;
- На второй вкладке вы увидите все переданные данные;
Как видите тут можно только увидеть и засечь перехваченные ключи и имена пользователей, а также те сайты, которые посетила цель.
Перехват Cookies
Если кто не знает, то куки это временные данные, которые позволяют нам постоянно не вводить учетные данные на форумах, в социальных сетях и других сайтах. Можно сказать – это такой временный пропуск. Вот их также можно перехватывать с помощью этого приложения.
Все делается достаточно просто, после запуска обычной атаки переходим в третью вкладку, нажимаем правой кнопкой по свободному полю и выбираем «Show Cookies».
Вы должны увидеть нужные Cookies. Использовать их очень просто – просто нажимаем по нужному сайту правой кнопочкой и далее выбираем «Open in browser». После этого откроется именно сайт с чужой учетной страницы.
Получение логина и пароля
Скорее всего после запуска программы клиент уже будет сидеть в той или иной учетной записи. Но можно заставить его снова ввести логин и пароль. Так как куки сами по себе не вечные – то это вполне нормальная практика. Для этого используется программа «Cookie Killer». После запуска у клиента полностью удаляются старые куки и ему приходится вводить логин и пароль заново, вот тут и включается перехват. По этому поводу есть отдельная видео инструкция:
Программа Wireshark станет отличным помощником для тех пользователей, кому требуется произвести детальный анализ сетевых пакетов, — трафика компьютерной сети. Сниффер легко взаимодействует с такими распространенными протоколами, как netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6
и многими другими. Позволяет при анализе разделять сетевой пакет на соответствующие составляющие, согласно определенному протоколу, и выдавать на экран удобочитаемую информацию в числовом виде.
поддерживает огромное число разнообразных форматов передаваемой и получаемой информации, способен открывать файлы, которые находятся в пользовании других утилит. Принцип работы заключается в том, что сетевая карточка переходит в широковещательный режим и начинается перехват сетевых пакетов, которые находятся в зоне её видимости. Умеет работать как программа для перехвата пакетов wifi.
Как пользоваться wireshark
Программа занимается изучением содержимого информационных пакетов, которые проходят через сеть. Чтобы запустить и воспользоваться результатами работы сниффера не требуется никаких специфических знаний, просто нужно открыть ее в «Пуск» меню или кликнуть по значку на рабочем столе (её запуск ничем не отличается от любой другой Windows программы). Особая функция утилиты позволяет ей захватывать информационные пакеты, тщательно расшифровывать их содержимое и выдавать пользователю для анализа.
Запустив wireshark, Вы увидите на экране главное меню программы, которое расположено в верхней части окна. С помощью него и происходит управление утилитой. Если вам нужно загрузить файлы, которые хранят данные о пакетах, пойманных в предыдущих сессиях, а также сохранить данные о других пакетах, добытые в новом сеансе, то для этого вам потребуется вкладка «File».
Чтобы запустить функцию захвата сетевых пакетов, пользователь должен кликнуть на иконку «Capture», затем отыскать специальный раздел меню под названием «Interfaces», с помощью которого можно открыть отдельное окно «Wireshark Capture Interfaces», где должны будут показаны все доступные сетевые интерфейсы, через которые и будет произведен захват нужных пакетов данных. В том случае, когда программа (сниффер) способна обнаружить только один подходящий интерфейс, она выдаст на экран всю важную информацию о нем.
Результаты работы утилиты являются прямым доказательством того, что, даже если пользователи самостоятельно не занимаются (в данный момент времени) передачей каких-либо данных, в сети не прекращается обмен информацией. Ведь принцип работы локальной сети заключается в том, что для поддержания её в рабочем режиме, каждый её элемент (компьютер, коммутатор и другие устройства) непрерывно обмениваются друг с другом служебной информацией, поэтому для перехвата таких пакетов и предназначены подобные сетевые инструменты.
Имеется версия и для Linux систем.
Следует отметить, что сниффер крайне полезен для сетевых администраторов
и службы компьютерной безопасности, ведь утилита позволяет определить потенциально незащищённые узлы сети – вероятные участки, которые могут быть атакованы хакерами.
Помимо своего прямого предназначения Wireshark может использоваться как средство для мониторинга и дальнейшего анализа сетевого трафика с целью организации атаки на незащищённые участки сети, ведь перехваченный трафик можно использовать для достижения различных целей.