utorial do Wireshark: Sniffer de rede e senhas

Os computadores se comunicam por meio de redes. Essas redes podem estar em uma rede local LAN ou expostas à Internet. Sniffers de rede são programas que capturam dados de pacotes de baixo nível que são transmitidos por uma rede. Um invasor pode analisar essas informações para descobrir informações valiosas, como IDs de usuário e senhas.

Neste artigo, apresentaremos a você técnicas e ferramentas comuns de detecção de redes. Também examinaremos as contramedidas que você pode implementar para proteger as informações confidenciais transmitidas pela rede.

Tópicos abordados neste tutorial

O que é farejamento de rede?

Os computadores se comunicam transmitindo mensagens em uma rede usando endereços IP. Depois que uma mensagem é enviada em uma rede, o computador destinatário com o endereço IP correspondente responde com seu endereço MAC.

Farejar rede é o processo de interceptar pacotes de dados enviados por uma rede. Isso pode ser feito por um programa de software especializado ou equipamento de hardware. Sniffing pode ser usado para;

  • Capture dados confidenciais, como credenciais de login
  • Escute mensagens de bate-papo
  • Os arquivos de captura foram transmitidos por uma rede

A seguir estão os protocolos que são vulneráveis ​​a farejar

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Os protocolos acima são vulneráveis ​​se os detalhes de login forem enviados em texto simples

Sniffing passivo e ativo

Antes de examinarmos a detecção passiva e ativa, vejamos dois dispositivos principais usados ​​para computadores em rede; hubs e switches.

Um hub funciona enviando mensagens de transmissão para todas as portas de saída nele, exceto aquela que enviou a transmissão . O computador destinatário responde à mensagem de difusão se o endereço IP corresponder. Isso significa que, ao usar um hub, todos os computadores em uma rede podem ver a mensagem de transmissão. Ele opera na camada física (camada 1) do Modelo OSI.

O diagrama abaixo ilustra como o hub funciona.

Um switch funciona de maneira diferente; ele mapeia endereços IP / MAC para portas físicas nele . As mensagens de difusão são enviadas às portas físicas que correspondem às configurações de endereço IP / MAC do computador destinatário. Isso significa que as mensagens de difusão são vistas apenas pelo computador destinatário. Os switches operam na camada de enlace de dados (camada 2) e na camada de rede (camada 3).

O diagrama abaixo ilustra como o switch funciona.

Farejar passivo é a interceptação de pacotes transmitidos por uma rede que usa um hub . É chamado de farejamento passivo porque é difícil de detectar. Também é fácil de executar, pois o hub envia mensagens de broadcast para todos os computadores da rede.

Sniffing ativo é a interceptação de pacotes transmitidos por uma rede que usa um switch . Existem dois métodos principais usados ​​para detectar redes vinculadas de switch, envenenamento de ARP e inundação de MAC.

Atividade de hacking: detectar tráfego de rede

Neste cenário prático, vamos use o Wireshark para farejar pacotes de dados à medida que são transmitidos pelo protocolo HTTP . Para este exemplo, vamos farejar a rede usando o Wireshark e, em seguida, fazer login em um aplicativo da web que não usa comunicação segura. Faremos login em um aplicativo da web em http://www.techpanda.org/

O endereço de login é Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. , e a senha é Password2010 .

Observação: faremos login no aplicativo da web apenas para fins de demonstração. A técnica também pode farejar pacotes de dados de outros computadores que estão na mesma rede daquele que você está usando para farejar. A detecção não se limita apenas a techpanda.org, mas também detecta todos os pacotes de dados HTTP e outros protocolos.

Farejar a rede usando o Wireshark

A ilustração abaixo mostra as etapas que você executará para concluir este exercício sem confusão

Baixe o Wireshark deste link http://www.wireshark.org/download.html

  • Wireshark aberto
  • Você verá a seguinte tela

  • Selecione a interface de rede que você deseja farejar. Observação para esta demonstração, estamos usando uma conexão de rede sem fio. Se você estiver em uma rede local, deverá selecionar a interface de rede local.
  • Clique no botão iniciar conforme mostrado acima

  • O email de login é Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo. e a senha é Password2010
  • Clique no botão enviar
  • Um logon bem-sucedido deve fornecer a você o seguinte painel

  • Volte para o Wireshark e pare a captura ao vivo

  • Filtre os resultados do protocolo HTTP usando apenas a caixa de texto do filtro

  • Localize a coluna Informações e procure as entradas com o verbo HTTP POST e clique nele

  • Logo abaixo das entradas de log, há um painel com um resumo dos dados capturados. Procure o resumo que diz Line-based text data: application / x-www-form-urlencoded

  • Você deve ser capaz de visualizar os valores de texto simples de todas as variáveis ​​POST enviadas ao servidor por meio do protocolo HTTP.

O que é um MAC Flooding?

A inundação de MAC é uma técnica de detecção de rede que inunda a tabela de switch MAC com endereços MAC falsos . Isso sobrecarrega a memória do switch e o faz funcionar como um hub. Uma vez que o switch foi comprometido, ele envia as mensagens de broadcast para todos os computadores em uma rede. Isso torna possível detectar os pacotes de dados à medida que são enviados pela rede.

Contra-medidas contra inundação de MAC

  • Alguns switches têm o recurso de segurança de porta . Este recurso pode ser usado para limitar o número de endereços MAC nas portas. Ele também pode ser usado para manter uma tabela de endereços MAC segura, além daquela fornecida pelo switch.
  • Servidores de autenticação, autorização e contabilidade pode ser usado para filtrar endereços MAC descobertos.

Medidas de contador para cheirar

  • Restrição à mídia física da rede reduz bastante as chances de um sniffer de rede ter sido instalado
  • Criptografando mensagens como são transmitidos pela rede, seu valor reduz bastante, pois são difíceis de descriptografar.
  • Mudando a rede para um Secure Shell (SSH) rede também reduz as chances de a rede ser detectada.

Resumo

  • A detecção de rede está interceptando pacotes à medida que são transmitidos pela rede
  • A detecção passiva é feita em uma rede que usa um hub. É difícil detectar.
  • A detecção ativa é feita em uma rede que usa um switch. É fácil de detectar.
  • A inundação de MAC funciona inundando a lista de endereços da tabela MAC com endereços MAC falsos. Isso faz com que a mudança opere como um HUB
  • As medidas de segurança descritas acima podem ajudar a proteger a rede contra farejadores.