I computer comunicano utilizzando le reti. Queste reti potrebbero essere su una LAN di rete locale o esposte a Internet. Gli sniffer di rete sono programmi che acquisiscono i dati dei pacchetti di basso livello trasmessi su una rete. Un utente malintenzionato può analizzare queste informazioni per scoprire informazioni preziose come ID utente e password.
In questo articolo, ti presenteremo le tecniche e gli strumenti comuni di sniffing della rete utilizzati per lo sniffing delle reti. Esamineremo anche le contromisure che puoi mettere in atto per proteggere le informazioni sensibili trasmesse su una rete.
Argomenti trattati in questo tutorial
- Cos'è lo sniffing di rete?
- Sniffing attivo e passivo
- Attività di hacking: Sniff Network
- Cos'è il Flooding Media Access Control (MAC)
Cos'è lo sniffing di rete?
I computer comunicano trasmettendo messaggi su una rete utilizzando indirizzi IP. Una volta che un messaggio è stato inviato su una rete, il computer destinatario con l'indirizzo IP corrispondente risponde con il suo indirizzo MAC.
Lo sniffing di rete è il processo di intercettazione dei pacchetti di dati inviati su una rete. Questo può essere fatto dal programma software specializzato o dall'attrezzatura hardware. Lo sniffing può essere utilizzato per;
- Acquisisci dati sensibili come le credenziali di accesso
- Ascoltare i messaggi di chat
- I file di acquisizione sono stati trasmessi su una rete
I seguenti sono protocolli vulnerabili allo sniffing
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- POP
- FTP
- IMAP
I protocolli di cui sopra sono vulnerabili se i dettagli di accesso vengono inviati in testo normale
Sniffing passivo e attivo
Prima di esaminare lo sniffing passivo e attivo, diamo un'occhiata a due principali dispositivi utilizzati per i computer in rete; hub e interruttori.
Un hub funziona inviando messaggi di trasmissione a tutte le porte di uscita su di esso eccetto quella che ha inviato la trasmissione . Il computer del destinatario risponde al messaggio trasmesso se l'indirizzo IP corrisponde. Ciò significa che quando si utilizza un hub, tutti i computer su una rete possono vedere il messaggio trasmesso. Funziona al livello fisico (livello 1) del modello OSI.
Il diagramma seguente illustra come funziona l'hub.
Un interruttore funziona in modo diverso; mappa gli indirizzi IP / MAC su porte fisiche su di esso . I messaggi broadcast vengono inviati alle porte fisiche che corrispondono alle configurazioni degli indirizzi IP / MAC per il computer del destinatario. Ciò significa che i messaggi broadcast vengono visualizzati solo dal computer del destinatario. Gli switch operano a livello di collegamento dati (livello 2) e livello di rete (livello 3).
Il diagramma seguente illustra come funziona lo switch.
Lo sniffing passivo intercetta i pacchetti trasmessi su una rete che utilizza un hub . Si chiama sniffing passivo perché è difficile da rilevare. È anche facile da eseguire poiché l'hub invia messaggi di trasmissione a tutti i computer sulla rete.
Lo sniffing attivo sta intercettando i pacchetti trasmessi su una rete che utilizza uno switch . Esistono due metodi principali utilizzati per rilevare le reti collegate allo switch, ARP Poisoning e MAC flooding.
Attività di hacking: annusare il traffico di rete
In questo scenario pratico, utilizzeremo Wireshark per annusare i pacchetti di dati mentre vengono trasmessi tramite il protocollo HTTP . Per questo esempio, annuseremo la rete utilizzando Wireshark, quindi accediamo a un'applicazione Web che non utilizza comunicazioni protette. Accederemo a un'applicazione web su http://www.techpanda.org/
L'indirizzo di accesso è Questo indirizzo email è protetto dagli spambots. Devi abilitare JavaScript per vederlo. e la password è Password2010 .
Nota: accediamo all'app Web solo a scopo dimostrativo. La tecnica può anche intercettare pacchetti di dati da altri computer che si trovano sulla stessa rete di quella che stai utilizzando per lo sniffing. Lo sniffing non è limitato solo a techpanda.org, ma rileva anche tutti i pacchetti di dati HTTP e altri protocolli.
Annusare la rete utilizzando Wireshark
L'illustrazione seguente mostra i passaggi che eseguirai per completare questo esercizio senza confusione
Scarica Wireshark da questo link http://www.wireshark.org/download.html
- Apri Wireshark
- Otterrai la seguente schermata
- Seleziona l'interfaccia di rete che vuoi annusare. Nota per questa dimostrazione, stiamo utilizzando una connessione di rete wireless. Se sei su una rete locale, dovresti selezionare l'interfaccia di rete locale.
- Fare clic sul pulsante di avvio come mostrato sopra
- Apri il tuo browser web e digita http://www.techpanda.org/
- L'email di accesso è Questo indirizzo email è protetto dagli spambots. Devi abilitare JavaScript per vederlo. e la password è Password2010
- Fare clic sul pulsante Invia
- Un accesso riuscito dovrebbe darti la seguente dashboard
- Torna a Wireshark e interrompi l'acquisizione dal vivo
- Filtra i risultati del protocollo HTTP utilizzando solo la casella di testo del filtro
- Individua la colonna Info e cerca le voci con il verbo HTTP POST e fai clic su di essa
- Appena sotto le voci di registro, c'è un pannello con un riepilogo dei dati acquisiti. Cerca il riepilogo che dice Dati di testo basati su riga: application / x-www-form-urlencoded
- Dovresti essere in grado di visualizzare i valori di testo in chiaro di tutte le variabili POST inviate al server tramite il protocollo HTTP.
Cos'è un MAC Flooding?
Il MAC flooding è una tecnica di network sniffing che inonda la tabella MAC dello switch con falsi indirizzi MAC . Questo porta a sovraccaricare la memoria dello switch e lo fa agire come un hub. Una volta che lo switch è stato compromesso, invia i messaggi di trasmissione a tutti i computer su una rete. Ciò rende possibile lo sniffing dei pacchetti di dati mentre vengono inviati sulla rete.
Contromisure contro il MAC flooding
- Alcuni switch hanno la funzione di sicurezza della porta . Questa funzione può essere utilizzata per limitare il numero di indirizzi MAC sulle porte. Può anche essere utilizzato per mantenere una tabella di indirizzi MAC sicura oltre a quella fornita dallo switch.
- I server di autenticazione, autorizzazione e contabilità possono essere utilizzati per filtrare gli indirizzi MAC rilevati.
Contromisure per lo sniffing
- La restrizione al supporto fisico di rete riduce notevolmente le possibilità di installazione di uno sniffer di rete
- La crittografia dei messaggi mentre vengono trasmessi sulla rete riduce notevolmente il loro valore in quanto sono difficili da decrittografare.
- La modifica della rete a un Secure Shell (SSH) della rete riduce anche le probabilità di rete stati annusò.
Sommario
- Lo sniffing della rete sta intercettando i pacchetti mentre vengono trasmessi sulla rete
- Lo sniffing passivo viene eseguito su una rete che utilizza un hub. È difficile da rilevare.
- Lo sniffing attivo viene eseguito su una rete che utilizza uno switch. È facile da rilevare.
- Il MAC flooding funziona inondando l'elenco degli indirizzi della tabella MAC con falsi indirizzi MAC. Questo fa sì che l'interruttore funzioni come un HUB
- Le misure di sicurezza descritte sopra possono aiutare a proteggere la rete dallo sniffing.