Samouczek dowodzenia i przykłady DriftNet

Wąchanie polega na przechwyceniu pakietów za pośrednictwem sieci, aby uzyskać ich treść. Kiedy udostępniamy sieć, przechwytywanie ruchu przechodzącego na nim ruch jest dość łatwe z snifferem, dlatego szyfrowanie protokołu, takie jak HTTPS, jest tak ważne, gdy ruch jest niezaszyfrowany, a nawet dane uwierzytelniające przechodzą w prostym tekście i może być przechwycony przez atakujących.

Ten samouczek koncentruje się na przechwytywaniu mediów, w szczególności obrazach za pomocą sniffer DrifTNet, ponieważ zobaczysz, że możliwe będzie przechwytywanie obrazów przechodzących przez niezaszyfrowane protokoły, takie jak HTTP, a nie HTTP, a nawet obrazy bez zabezpieczenia w miejscach chronionych za pomocą SSL (elementy niepewne).

Pierwsza część pokazuje, jak pracować z DriftNet i Ettercap, a druga część łączy DriftNet z ARPSPOOF.

Używanie DriftNet do przechwytywania obrazów za pomocą EtterCap:

ETTERCAP to pakiet narzędzi przydatnych do przeprowadzania ataków MIM (Man w środku) z obsługą aktywnego i pasywnego rozwarstwienia protokołów, obsługuje wtyczki do dodawania funkcji i działa poprzez ustawienie interfejsu w trybie rozwiązłych i zatrucie ARP zatrucie.

Na początek, w dystrybucjach Linux Debian i opartych

# apt Zainstaluj ettercap -graphical -y

Teraz zainstaluj Wireshark, uruchamiając:

# apt Zainstaluj Wireshark -y

Podczas procesu instalacji Wireshark zapyta, czy użytkownicy nie root są w stanie przechwytywać pakiety, podjąć decyzję i naciśnij WCHODZIĆ kontynuować.

Wreszcie, aby zainstalować DriftNet za pomocą Apt Run:

# apt Zainstaluj dryftnet -y

Po zainstalowaniu całego oprogramowania, aby zapobiec przerywaniem połączenia docelowego, aby włączyć przekazywanie IP, uruchamiając następujące polecenie:

# cat/proc/sys/net/ipv4/ip_forward
# ettercap -tqi enp2s0 -m arp: remote ////
# echo „1”>/proc/sys/net/ipv4/ip_forward

Sprawdź, czy przekazywanie IP zostało poprawnie włączone, wykonując:

Ettercap zacznie skanować wszystkich hostów

Podczas gdy ETTERCAP skanuje sieć uruchamiając dryfnet za pomocą flagi -i, aby określić interfejs jak w poniższym przykładzie:

# Driftnet -i ENP2S0

DriftNet otworzy czarne okno, w którym pojawią się obrazy:

Jeśli obrazy nie są wyświetlane, nawet jeśli dostęp do innych urządzeń obrazów za pomocą niezaszyfrowanych protokołów test, jeśli przekazywanie adresów IP jest ponownie włączone, a następnie uruchom DrifTNET:

DriftNet zacznie wyświetlać obrazy:

Domyślnie przechwycone obrazy są zapisywane w katalogu /TMP z prefiksem „DrifNet”. Dodając flagę -D, możesz określić katalog docelowy, w poniższym przykładzie zapisz wyniki wewnątrz katalogu o nazwie Linuxhinttmp:

# DriftNet -d Linuxhinttmp -i Enp2s0

Możesz sprawdzić w katalogu, a wyniki znajdziesz:

Za pomocą DriftNet do przechwytywania obrazów z ARPSPOOFING:

ARPSPOOF to narzędzie zawarte w narzędziach DSNIFF. Pakiet DSNIFF zawiera narzędzia do analizy sieci, przechwytywanie pakietów i konkretne ataki na określone usługi, cały pakiet obejmuje: ARPSPOOF, DNSSPOOF, TCPKILL, FilesNarf, MailSnarf, TCPNICE, URLSNARF, WEBSPY, SSHMITM, MSGSNARF, Macof, Macof, ETC, Macof, MacOf, Macof, Macof, MacOf, Macof, Macof.

Podczas gdy w poprzednim przykładzie przechwycone obrazy należały do ​​losowych celów w bieżącym przykładzie, zaatakuję urządzenie za pomocą IP 192.168.0.9. W takim przypadku proces łączy atak ARP, który wykupił prawdziwy adres bramy, co czyni ofiarę przekonania, że ​​jesteśmy bramą; To kolejny klasyczny przykład „człowieka w środkowym ataku”.

Na początek, w dystrybucjach Linux Debian lub opartych na oparciu o pakiet DSNIFF za pośrednictwem APT, uruchamiając:

# apt Zainstaluj dsniff -y

Włącz przekazywanie IP, wykonując:

# echo „1”>/proc/sys/net/ipv4/ip_forward

Uruchom ARPSPOOF, definiując interfejs za pomocą flagi -i, zdefiniuj bramę i cel, a następnie flaga -t:

# sudo arpspoof -i wlp3s0 -t 192.168.0.1 192.168.0.9

Teraz uruchom DrifTN, uruchamiając:

# Driftnet -i WLP3S0

Jak chronić się przed wąchaniem ataków

Przechwycenie ruchu jest dość łatwe w każdym programie powąkania, każdy użytkownik bez wiedzy i szczegółowe instrukcje, takie jak znalezione w tym samouczku, mogą przeprowadzić atak prywatnych informacji.

Chociaż przechwytywanie ruchu jest łatwe, jest ono również szyfrować, więc po przechwyceniu pozostaje nieczytelny dla atakującego. Właściwym sposobem zapobiegania takim atakom jest utrzymanie bezpiecznych protokołów, takich jak HTTP, SSH, SFTP i odmawianie pracy za pośrednictwem protokołów niezabezpieczonych, chyba że jesteś w protokole VPN lub SAE z uwierzytelnianiem punktu końcowego, aby zapobiec fałszerstwu adresów.

Konfiguracje należy wykonać poprawnie, jak w przypadku oprogramowania takiego jak DriftNet nadal możesz ukraść media z witryn chronionych przez SSL, jeśli konkretny element przechodzi przez protokół niepewny.

Złożone organizacje lub osoby potrzebujące zapewnienia bezpieczeństwa mogą polegać na systemach wykrywania włamań z możliwością analizy pakietów wykrywających anomalie.

Wniosek:

Wszystkie oprogramowanie wymienione w tym samouczku jest domyślnie zawarte w Kali Linux, głównej dystrybucji Linux oraz w repozytoriach Debian i pochodnych. Przeprowadzenie wąchającego ataku ukierunkowanego na media, takie jak ataki pokazane powyżej, jest naprawdę łatwe i zajmuje minuty. Główną przeszkodą jest to, że jest to tylko przydatne poprzez niezaszyfrowane protokoły, które nie są już powszechnie używane. Zarówno Ettercap, jak i DSNIFF Suite, które zawierają ARPSPOOF, zawierają wiele dodatkowych funkcji i zastosowań, które nie zostały wyjaśnione w tym samouczku i zasługują na twoją uwagę, zakres aplikacji waha się od powąkania obrazów po złożone ataki obejmujące uwierzytelnianie i uwierzytelniania, takie jak Ettercap podczas powiązania poświadczeń. Usługi takie jak Telnet, FTP, Pop, IMAP, Rlogin, SSH1, SMB, MySQL, HTTP, NNTP, X11, IRC, RIP, BGP, Socks 5, IMAP 4, VNC, LDAP, NFS, SNMP, MSN, YMSG lub Monkeykeyeyeye w środku DSNIFF (https: // linux.umierać.net/man/8/sshmitm).

Mam nadzieję, że znalazłeś ten samouczek na samouczku dowodzenia DriftNet i przydatne przykłady.