Wireshark — программа для анализа сетевого трафика в компьютерных сетях, обладающая широким набором возможностей — от выявления неполадок сетевого подключения до выявления активности вредоносных программ. В данной статье приведены примеры фильтров отображения (не захвата) для поиска целевого трафика.
Архив метки: Wireshark
Wireshark 4.2.0: что нового в последней разрабатываемой версии
Wireshark 4.2.0: что нового в последней разрабатываемой версии
Если вы меньше из тех, кто время от времени тратит свое время на изменение и тестирование дистрибутива GNU/Linux, и больше из тех, кто тратит свое время на тестирование и изучение полезные компьютерные сетевые приложения и, возможно, немного хакинга, эта новость вам скорее всего понравится. И вот 5 октября анализатор трафика с открытым исходным кодом под названием Wireshark выпустила свою разрабатываемую версию под номером 4.2.0 RC1, и теперь она доступна для загрузки и тестирования и включает в себя новые интересные функции.
Кроме того, и учитывая, что мы уже говорили ранее о что такое вайршарк и каковы его основные и основные характеристики, сегодня мы остановимся исключительно на новых возможностях этой развивающейся версии, то есть: «Wireshark 4.2.0 RC1».
Wireshark: доступны новые версии 4.0.2 и 3.6.10
Wireshark: доступны новые версии 4.0.2 и 3.6.10
Прошло много времени с тех пор, как мы обсуждали обновления Wireshark. И, пользуясь тем, что несколько дней назад сделали доступным для всех 2 новые версии, сегодня мы рассмотрим новости «Wireshark 4.0.2 и 3.6.10».
Прежде чем начать, стоит упомянуть, что Wireshark es признан во всем мире одним из основные анализаторы сетевых протоколов и используется в мире. Благодаря этому Пермьite, чтобы увидеть, что происходит в любой сети в продвинутый уровень детализации. Поэтому он используется как коммерческими, так и некоммерческими компаниями, а также государственными органами и учебными заведениями, и даже частными лицами и ИТ-специалистами на личной основе, такими как сисадмины, пентестеры, хакеры и взломщики (хакеры).
🖧 Безопасность беспроводной сети Wi-fi
Как обеспечить безопаcность Wi-fi?
Сегодня беспроводные технологии широко используются в корпоративных офисах, на предприятиях, государственных и образовательных учреждениях. Существует множество книг,которые охватывают основы практического подхода к анализу и тестированию и на проникновение беспроводных сетей. В этом статье мы рассмотрим несколько способов анализа беспроводной сети , существующие техники атак, а также дадим рекомендации по использованию Wi-Fi.
Методы анализа и эксплуатации поверхности атаки Wi-Fi
Технология Wi-Fi существует примерно с 1997 года. С тех пор произошли значительные улучшения в аспектах безопасности. Однако беспроводные технологии по-прежнему подвержены нескольким векторам атак, реализация которых часто приводят к несанкционированному доступу к сетевым устройствам. Некоторыми из наиболее часто встречающихся угроз беспроводной связи являются: подделанные точки доступа, атаки типа «человек по середине», DoS-атаки, неправильные настройки безопасности на точке, атаки типа Caffe Latte, сетевые инъекции, и это лишь некоторые из них.
Чтобы провести аудит безопасности Wi-Fi, рекомендуем использовать aircrack-ng или NetSumbler. Также специалисты часто используют такие инструменты, как Cain and Able, AirSnort, AirJack, KisMet и InSSIDer. Выбор конкретного инструмента, конечно, зависит от условий, целей и требований, которые стоят перед специалистом по информационной безопасности.
Сбор и анализ данных Wi-Fi
Сбор и анализ данных являются основой для успешного проведения атак на Wi-Fi. Эти данные содержаттакую информацию, как MAC-адреса устройств, IP-адреса,полученные устрйоствами, местоположение, история входа в систему, модель и версия ОС устройств, почтовые серверы, к которым вы подключены, имена пользователей, установленные приложения и т. д. Если ли же установлены снифферы для перехвата трафика, то это может означать что все ваши входящие и исходящие пакеты могут быть перехвачены с целью сбора конфиденциальной информации.
Логи Wi-Fi можно использовать для анализа производительности и обеспечения безопаности а также, например, если вы крупный розничный магазин, ваши данные Wi-Fi можно использовать для следующих целей:
- Проверить / собрать логины пользователей и их контактные данные.
- Собрать почтовые индексы, чтобы знать, откуда люди едут к Вам.
- Использовать трекер MAC-адресса, чтобы понять, куда люди едут и откуда.
- Создать шаблон посещения магазинов покупателями, например, в определенное время или день недели.
- Собрать информацию о посещаемых сайтах, чтобы проверить интересы людей.
С другой стороны, эти данные могут использоваться для создания пользовательских профилей поведения (в некоторых странах это считается неэтичным и недопустимым). C целью же обеспечения информационной безопаности полезными будут данные о:
- Действиях выполняемые пользователями.
- Об устройствах, подключенных к сети (как разрешенные, так и нелегитимные).
- О состоянии инфраструктуры Wi-Fi.
Существует множество инструментов, которые предлагают указанный функционал, один из таких – Acrylic Wi-Fi Professional. Этот инструмент включает в себя следующие возможности:
- Wi-Fi analyzer: используется для сбора информации о сетях Wi-Fi, включая скрытые сети, а также для просмотра подключенных устройств и т. д.
- Monitor mode: используется для захвата пакетов от подключенных устройств, определения положения устройства с помощью GPS и т. д.
- Troubleshooting: используется для сбора данных работоспособности, показателей производительности, оценок качества и т. д.
- Export data: используется для экспорта данных, например отчетов.
Непрерывный мониторинг состояния беспроводной сети позволяет убедиться, что инфраструктура Wi-Fi безопасна и надежна. Необходимо помнить, что предоставлять админский доступ необходимо только тем, кому он требуется в рамках выолнения своих должностных обязанностей, а также необходимо помнить про физическую защиту и логическую сегментацию сети.
Методы атак на Wi-fi
Перед тем как рассмотреть атаки, отметим наиболее распространенные методы защиты от ниже приденных методов взлома. Основным средством защиты рекомендуется использовать ( в соответсвии со стандартом Payment Card Industry Security Standards Council (PCI DSS) системы предотвращения вторжений в беспроводные сети (WIPS). Кроме того, вы можете использовать фильтрацию по MAC-адрессам, использовать маскировку сети, реализацию WPA, Temporal Key Integrity Protocol (TKIP), Extensible Authentication Protocol (EAP), VPN и сквозное шифрование.
В следующей таблице показаны некоторые из наиболее популярных методов атак на сети Wi-Fi, вместе с инструментами, которые можно использовать для их митигации:
|
Атака
|
Описание
|
Инструмент проверки
|
|
Wardriving
|
Обнаружение беспроводных локальных сетей путем сканирования диапазона. Найденные сети используются для дальнейшего развития атаки
|
iStumbler, KisMAC, CoWPAtty, InSSIDer, WiGLE, NetStumbler, WiFi-Where и WiFiphisher
|
|
Rogue Access Points (APs)
|
Создание несанкционированной точки доступа в сети для получения доступа. Это создаст точку входу в доверенную сеть
|
Аппаратное и программное обеспечение точки доступа
|
|
MAC spoofing
|
Подмена MAC-адреса злоумышленником, чтобы выдавать себя за точку доступа.
| |
|
Eavesdropping
|
Используется для захвата и расшифровки незащищенного приложение с целью сбора конфиденциальной информации.
|
Kismet и Wireshark
|
|
WEP key cracking
|
Активные и пассивные методы для восстановления ключа WEP путем сбора / анализа данных.
|
aircrack-ng, AirSnort, и др.
|
|
Beacon flood
|
Отправляет фреймы маяков (beacon) 802.11 для создания видимости присутствия множества точек доступа
|
FakeAP
|
|
TKIP MIC exploit
|
Создание ложных TKIP
|
tkiptun-ng
|
|
AP theft
|
Физическое удаление точки доступа из общественной зоны
|
Лучшие практики (Best practices)
Хоть технология Wi-Fi и обеспечивает простоту подключения,нельзя забывать и о проблемах с безопасностью, а именно возможностью взлома и подслушивания, если не проведены соответсвующие настройки. Открытые (общедоступные) сети Wi-Fi в общественных местах являются наиболее уязвимыми. Поэтому всегда рекомендуется использовать такие сети Wi-Fi с максимальной осторожностью. Сети Wi-Fi могут быть как корпоративными, как личными (домашними) так и общедоступными и, в свою очередь, могут быть защищенными или незащищенными.
Рекомедации по запрету при работе сети Wi-Fi:
- Не подключайтесь к незащищенным общедоступным сетям Wi-Fi.
- Не обрабатывайте конфиденциальную информацию и не проводите платежи с использованием банковских карт, включая личную информацию, в общедоступной сети.
- Отключите автоматическое подключение (Wi-Fi / Bluetooth) для любой доступной сети на вашем ноутбуке, телефоне или планшете.
- Не используйте Wired Equivalent Privacy (WEP), поскольку это старый алгоритм для обеспечения безопасности сетей Wi-Fi, который легко поддается расшифровке.
- Не используйте опцию Pre-Shared Key (PSK), поскольку она небезопасна на уровне enterprise.
- Не доверяйте скрытым SSID и ограничивайте SSID в корпоративной среде, к которой пользователи могут подключаться.
Рекомедации по по использованию сети Wi-Fi:
- Измените пароль по умолчанию.
- Измените SSID и сделайте его скрытым.
- Ограничьте диапазон сигналов Wi-Fi (рекомендуется для домашних пользователей).
- Используйте надежные методы шифрования.
- Разверните межсетевой экран / WIDS / WIPS / NAC (рекомендуется для корпоративных сетей).
- Обеспечьте безопасность настроек клиента 802.1X (например, с помощью сертификатов).
- Используйте 802.1X (например, 802.11i), который использует расширяемый протокол аутентификации (EAP)
- Используйте аутентификацию пользователей вместо PSK. Для этого вам потребуется сервер RADIUS / AAA.
- Следитте за выпуском обновлений, чтобы применять самые «свежие» патчи и поддерживать максимально высокий уровень безопасности вашего аппаратного и программного обеспечения.
Некоторые из продуктов, используемых для обеспечения безопасности Wi-Fi, – это Cisco Wireless Security Suite, WatchGuard Wi-Fi Security, Sonicwall Distributed Wi-Fi Solution, и CheckPoint UTM-1 Edge W.
2021-04-07T17:37:48
Аудит ИБ
Что такое атака «человек посередине»?
Атака «человек посередине» (MITM) происходит, когда кто-то сидит между двумя компьютерами (например, ноутбуком и удаленным сервером) и перехватывает трафик. Этот человек может подслушивать или даже перехватывать связь между двумя машинами и красть информацию.
Атаки «человек посередине» — серьезная проблема безопасности. Вот что вам нужно знать и как себя защитить.
Двое — компания, трое — толпа
«Красота» (из-за отсутствия лучшего слова) атак MITM заключается в том, что злоумышленнику не обязательно иметь доступ к вашему компьютеру, физически или удаленно. Он или она может просто сидеть в той же сети, что и вы, и тихо отбирать данные. MITM может даже создать свою собственную сеть и заставить вас использовать ее.
Самый очевидный способ сделать это — сидеть в незашифрованной общедоступной сети Wi-Fi , например, в аэропортах или кафе. Злоумышленник может войти в систему и с помощью бесплатного инструмента, такого как Wireshark , перехватить все пакеты, отправленные между сетями. Затем он или она может проанализировать и определить потенциально полезную информацию.
Этот подход не приносит столько плодов, как это было раньше, благодаря распространенности HTTPS, который обеспечивает зашифрованные соединения с веб-сайтами и службами. Злоумышленник не может декодировать зашифрованные данные, передаваемые между двумя компьютерами, обменивающимися данными по зашифрованному соединению HTTPS.
Тем не менее, HTTPS один не серебряная пуля. Есть обходные пути, которые злоумышленник может использовать для его аннулирования.
Используя MITM, злоумышленник может попытаться заставить компьютер «понизить» уровень соединения с зашифрованного до незашифрованного. Затем он или она может проверить трафик между двумя компьютерами.
Также может произойти атака «разбор SSL», когда человек сидит между зашифрованным соединением. Затем он или она фиксирует и потенциально изменяет трафик, а затем передает его ничего не подозревающему человеку.
Сетевые атаки и мошеннические беспроводные маршрутизаторы
MITM-атаки также происходят на уровне сети. Один из подходов называется ARP Cache Poisoning, при котором злоумышленник пытается связать свой MAC-адрес (аппаратный) с чужим IP-адресом. В случае успеха все данные, предназначенные для жертвы, передаются злоумышленнику.
DNS-спуфинг — это аналогичный тип атаки. DNS — это «телефонная книга» Интернета. Он связывает понятные человеку доменные имена, такие как google.com, с числовыми IP-адресами. Используя этот метод, злоумышленник может перенаправить законные запросы на поддельный сайт, которым он или она управляет, а затем перехватить данные или внедрить вредоносное ПО.
Другой подход заключается в создании мошеннической точки доступа или расположении компьютера между конечным пользователем и маршрутизатором или удаленным сервером.
В подавляющем большинстве люди слишком доверяют, когда дело доходит до подключения к публичным точкам доступа Wi-Fi. Они видят слова «бесплатный Wi-Fi» и не задумываются о том, может ли за этим стоять гнусный хакер. Это было неоднократно доказано с комическим эффектом, когда люди не читают условия в некоторых горячих точках. Например, некоторые требуют, чтобы люди убирали грязные фестивальные уборные или бросали своего первенца.
Создать мошенническую точку доступа проще, чем кажется. Есть даже физические аппаратные продукты, которые делают это невероятно простым. Тем не менее, они предназначены для законных специалистов в области информационной безопасности, которые проводят тесты на проникновение для жизни.
Кроме того, давайте не будем забывать, что маршрутизаторы — это компьютеры, которые имеют ужасную безопасность. Одни и те же пароли по умолчанию, как правило, используются и используются повторно во всей строке, и они также имеют точный доступ к обновлениям. Другим возможным способом атаки является маршрутизатор, в который внедрен вредоносный код, позволяющий сторонним разработчикам выполнить MITM-атаку издалека.
Вредоносные программы и атаки типа «человек посередине»
Как мы упоминали ранее, злоумышленник вполне может выполнить атаку MITM, не находясь в той же комнате или даже на том же континенте. Один из способов сделать это с помощью вредоносного программного обеспечения.
Атака «человек в браузере» (MITB) происходит, когда веб-браузер заражен вредоносной защитой. Иногда это делается с помощью фальшивого расширения, которое дает злоумышленнику практически беспрепятственный доступ.
Например, кто-то может манипулировать веб-страницей, чтобы показать что-то отличное от подлинного сайта. Он или она также может перехватывать активные сессии на таких веб-сайтах, как банковские страницы или страницы в социальных сетях, а также распространять спам или красть средства.
Одним из примеров этого был троян SpyEye , который использовался в качестве кейлоггера для кражи учетных данных для веб-сайтов. Он также может заполнять формы новыми полями, позволяя злоумышленнику собирать еще больше личной информации.
Как защитить себя
К счастью, есть способы защитить себя от этих атак. Как и в случае всей онлайн-безопасности, она сводится к постоянной бдительности. Старайтесь не использовать общедоступные точки доступа Wi-Fi. Старайтесь использовать только контролируемую вами сеть, например, мобильную горячую точку или Mi-Fi.
В противном случае VPN будет шифровать весь трафик между вашим компьютером и внешним миром, защищая вас от атак MITM. Конечно, здесь ваша безопасность настолько же хороша, насколько и поставщик VPN, который вы используете, поэтому выбирайте осторожно. Иногда стоит заплатить немного больше за услугу, которой вы можете доверять. Если ваш работодатель предлагает вам VPN во время вашего путешествия, вы обязательно должны его использовать.
Чтобы обезопасить себя от вредоносных MITM-атак (таких как «человек в браузере»), соблюдайте правила безопасности . Не устанавливайте приложения или расширения браузера из схематичных мест. Выйдите из сеансов веб-сайта, когда вы закончите с тем, что вы делаете, и установите надежную антивирусную программу.
https://www.youtube.com/watch?v=640MpYNE-xM
2020-05-13T18:11:34
Вопросы читателей
🔥 Как перехватить трафик в коммутируемой среде?
Анализ сетевого трафика всегда был неотъемлемой частью работы любого сетевого инженера, администратора сети для выявления проблем работоспособности и конфигурации активного оборудования, а также специалистов по информационной безопасности для выявления аномальной сетевой активности вредоносного программного обеспечения.
Анализ перехваченных пакетов безусловно требует от специалиста наличие глубоких знаний в области сетевых технологий, а также навыков работы с программным обеспечением анализаторов пакетов, таким например, как всем известный wireshark, так как необходимо знать синтаксис фильтров, уметь быстро находить интересующие протоколы и т.д.
Но гораздо сложнее это трафик перехватить, точнее установить оборудование для его перехвата.
Так как же перехватить трафик?
Как расположить и настроить оборудование для прослушивания ?
Предлагаю рассмотреть варианты расположения (подключения) оборудования для снифа в коммутируемой среде (перехват wi-fi канала рассмотрим в следующей статье).
Самым удобным способ является установка сниффера непосредственно на интересующем нас прослушиваемом хосте.
Однако часть трафика, весьма полезная для исследования, но не предназначенное конечному устройсву будет отбрасыватся сетевым интерфейсом и не передаваться на обработку в систему, а значит и захватить этот трафик для дальнейшего исследования мы не сможем. К такому трафику относятся широковащательный трафик в рамках работы коммутатора.
К примеру ARP запрос, который используют хосты для определения MAC-адреса, который соответствует определенному IP-адресу.
Зная IP, направляем ARP запрос с целью сопоставления IP-MAC всем устройствам внутри широковещательного домена.
Однако только искомый хост “заинтересован” в получении такого запроса, остальные хосты, как упомяналось выше, указанный пакет отбросят.
Для наглядности, с помощью Cisco Packet racer, рассмотрим как хост с IP-адрессом 192.168.1.2 направляет ARP запрос на хост 192.168.1.4.
Предварительно проверив, что ARP записей на 192.168.1.2 нет от слова совсем командой arp -a (удалить их можно с помощью arp -d) выолняем команду ping на 192.168.1.4.
Так как мы не знаем MAC адрес, то первончально направляем ARP запрос. Запрос приходит на коммутатор (cisco 2960), далее он направляется на все хосты, подключенные к коммутатору. После этого хост 192.168.1.3 отбрасывает указанный, а 192.168.1.4 соответственно отвечает.
Для того, чтобы захватывать весь поступающий траффик на 192.168.1.3 необходимо на сетевом интерфейсе включить смешанный режим раюоты. Это позволяют сделать программные компоненты Aircrack-ng, Wireshark, tcp dump идр.
Когда нет возможности разместить анализатор трафика на целевом хосте помочь может концентратор.
В таком случае исследуемый хост и анализатор трафика в одном коммутируемом сегменте сети подключаются к одному концентратору.
В результате все поступающие и исходящие пакеты будут проходить по всем портам концентратора.
Так например, отправив пакеты с Host1 на Host2, концентратор Hub0 направит их как на исследуемый Host2, так и на анализатор пакетов Sniffer.
Отброс пакетов Sniffer’ом на картинке, обусловлен отключенным смешанным режимом работы сетевого адаптера.
Самым популярным способом перехвата трафика остается метод зеркалирование портов.
Для реализации этого метода необходимо чтобы коммутатор был управляемым, а также иметь физический или через удаленный ssh/Web-интерфейс доступ к нему.
Смысл заключается в том, чтобы принимаемый и отправляемый трафик устройства подключённого к порту коммутатора – зеркально направлялся на другой порт коммутатора, куда подключен анализатор трафика.
Так, подключившись, настроим коммутатор Сisco 2960 для зеркалирования трафика на портах fastEthernet 0/1 и fastEthernet 0/2 куда подключены host1 и host2 соответсвенно:
Switch>enable Switch#conf terminal Switch(config)#monitor session 1 source interface fastEthernet 0/1 Switch(config)#monitor session 1 source interface fastEthernet 0/2
И порт, на который будет зеркалироваться трафик, куда подключен анализатор пакетов :
Switch(config)#monitor session 1 destination interface f0/24
Проверим:
Switch#show monitor Session 1 --------- Type : Local Session Description : - Source Ports : Both : Fa0/1,Fa0/2 Destination Ports : Fa0/24 Encapsulation : Native Ingress : Disabled
Итак направим пакеты от Host1 (192.168.1.1) на Host2( 192.168.1.2) и видим, что они зеркалируются коммутатором наш снифер:
Открываем перехваченный ICMP пакет на снифере:
Указанные методы не лишены недостатков, а другие методы перехвата сетевого трафика – такие как заражение ARP-кэша и применение сетевых ответвителей рассмотрим в следующих статьях.
¯_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
2020-02-05T13:23:31
Аудит ИБ