Cilvēks vidējā uzbrukumā (MitM uzbrukums) ir termins kriptogrāfijā, kas attiecas uz situāciju, kad uzbrucējs var lasīt un pēc vēlēšanās mainīt ziņojumus, ar kuriem apmaiņa notiek starp korespondentiem, un neviens no pēdējiem nevar uzminēt savu identitāti kanālā .

Komunikācijas kanāla kompromitēšanas metode, kurā uzbrucējs, pieslēdzies kanālam starp darījuma partneriem, aktīvi traucē pārraides protokolu, dzēšot, sagrozot informāciju vai uzspiežot nepatiesu informāciju.

Uzbrukuma princips:

Pieņemsim, ka objekts "A" plāno pārsūtīt kādu informāciju objektam "B". Objektam "C" ir zināšanas par izmantotās datu pārraides metodes uzbūvi un īpašībām, kā arī faktiskās informācijas, ko "C" plāno pārtvert, plānotās pārraides faktu.

Lai veiktu uzbrukumu, "C" iebilst pret "A" kā "B" un pret "B" kā "A". Objekts "A", kļūdaini uzskatot, ka tas sūta informāciju "B", nosūta to objektam "C".

Objekts "C", saņēmis informāciju un veicis ar to kādas darbības (piemēram, kopējot vai pārveidojot to saviem mērķiem), nosūta datus pašam saņēmējam - "B"; objekts "B" savukārt uzskata, ka informācija saņemta tieši no "A".

MitM uzbrukuma piemērs:

Pieņemsim, ka Alisei ir finansiālas problēmas un, izmantojot tūlītējās ziņojumapmaiņas programmu, viņa nolemj lūgt Džonam naudas summu, nosūtot ziņojumu:

Alise: Jāni, sveiks!
Alise: Lūdzu, atsūtiet man šifrēšanas atslēgu, man ir neliels pieprasījums!
Jānis: Sveiki! Pagaidi!

Taču šobrīd X kungs, kurš, analizējot trafiku ar sniffer palīdzību, pamanīja šo ziņojumu, un vārdi “šifrēšanas atslēga” izraisīja ziņkāri. Tāpēc viņš nolēma pārtvert tālāk norādītos ziņojumus un aizstāt tos ar nepieciešamajiem datiem, un, saņemot šādu ziņojumu:

Jānis: Šeit ir mana atslēga: 1111_D

Viņš nomainīja Jāņa atslēgu uz savējo un nosūtīja ziņu Alisei:

Jānis: Šeit ir mana atslēga: 6666_M

Alise nezina un domā, ka tā ir Jāņa atslēga, izmantojot privāto atslēgu 6666_M, sūta Jānim šifrētus ziņojumus:

Alise: Jāni, man ir problēmas un man steidzami vajadzīga nauda, ​​lūdzu, pārskaitiet 300$ uz manu kontu: Z12345. Paldies. p.s. Mana atslēga: 2222_A

Saņēmis ziņojumu, X kungs to atšifrē, izmantojot savu atslēgu, nolasa to un, priecājoties, nomaina Alises konta numuru un šifrēšanas atslēgu uz savu, šifrē ziņojumu ar atslēgu. 1111_D un nosūta Jānim ziņojumu:

Alise: Jāni, man ir problēmas un man steidzami vajadzīga nauda, ​​lūdzu, pārskaitiet $300 uz manu kontu: Z67890. Paldies. p.s. Mana atslēga: 6666_A

Pēc ziņojuma saņemšanas Džons to atšifrē, izmantojot atslēgu 1111_D, un pat nevilcinoties pārskaitīs naudu uz kontu Z67890...

Un līdz ar to X kungs, izmantojot vīrieša uzbrukumu, nopelnīja 300 dolārus, bet Alisei tagad būs jāpaskaidro, ka viņa naudu nesaņēma... Un Džons? Jānim jāpierāda Alisei, ka viņš viņus sūtīja...

Īstenošana:

Šis uzbrukuma veids tiek izmantots dažos programmatūras produkti lai klausītos tīklu, piemēram:

NetStumbler- programma, ar kuru varat savākt daudz noderīgu datu bezvadu tīkls un atrisināt dažas ar tā darbību saistītas problēmas. NetStumbler ļauj noteikt tīkla diapazonu un palīdz precīzi norādīt antenu tālsatiksmes sakariem. Katram atrastajam piekļuves punktam varat uzzināt MAC adresi, signāla un trokšņa attiecību, pakalpojuma nosaukumu un tā drošības pakāpi. Ja trafika nav šifrēta, tad noderēs programmas spēja noteikt nesankcionētus savienojumus.

sniff- ir programmu komplekts tīkla auditēšanai un iespiešanās pārbaudei, kas nodrošina pasīvu tīkla uzraudzību, lai meklētu interesējošos datus (paroles, adreses e-pasts, faili utt.), tīkla trafika pārtveršana, kas parasti būtu nepieejama analīzei (piemēram, komutētā tīklā), kā arī iespēja organizēt MITM uzbrukumus, lai pārtvertu SSH un HTTPS sesijas, izmantojot PKI trūkumus.

Kains un Ābels - bezmaksas programma, kas ļauj atgūt pazaudētās paroles operētājsistēmas Windows saime. Tiek atbalstīti vairāki atkopšanas režīmi: brutāla uzlaušana, vārdnīcas atlase, ar zvaigznītēm paslēpto paroļu skatīšana utt. Ir arī iespējas identificēt paroli, pārtverot informācijas paketes un to turpmāko analīzi, ierakstot tīkla sarunas, kešatmiņas analīzi un citus.

Ettercap- ir sniffer, pakešu pārtvērējs un ierakstītājs vietējiem Ethernet tīkliem, kas atbalsta vairāku protokolu aktīvo un pasīvo analīzi, kā arī ir iespējams “iemest” savus datus esošajā savienojumā un filtrēt “lidojumā”, nepārtraucot savienojumu sinhronizācija. Programma ļauj pārtvert SSH1, HTTPS un citus drošus protokolus un nodrošina iespēju atšifrēt paroles šādiem protokoliem: TELNET, ftp, POP, RLOGIN, SSH1, icq, SMB, Mysql, HTTP, NNTP, X11, NAPSTER, IRC , RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

KARMA– utilītu komplekts bezvadu klientu drošības novērtēšanai, ir bezvadu sniffer, kas, pasīvi klausoties 802.11 Probe Request kadrus, ļauj noteikt klientus un to vēlamos/uzticamos tīklus. Pēc tam vienam no pieprasītajiem tīkliem var izveidot viltus piekļuves punktu, kuram to var automātiski pieslēgt. Augsta līmeņa viltus pakalpojumus var izmantot, lai nozagtu personas datus vai izmantotu resursdatora klienta ievainojamības.

AirJack- programmu komplekts, kas, pēc ekspertu domām WiFi uzlaušanas jomā, ir labākais rīks lai ģenerētu dažādus 802.11 kadrus. AirJack ietver vairākas utilītas, kas izstrādātas, lai atklātu slēptos ESSID, nosūtītu sesijas pārtraukšanas kadrus ar viltotu MAC, veiktu MitM uzbrukumus un modificētu to.

Pretdarbība:

Lai izvairītos no šāda veida uzbrukumiem, abonentiem “A” un “B” tikai jāpārraida viens otram, izmantojot uzticamu kanālu. ciparparaksti publiskās šifrēšanas atslēgas. Pēc tam, salīdzinot atslēgu parakstus šifrēšanas sesijās, būs iespējams noteikt, kura atslēga tika izmantota datu šifrēšanai un vai atslēgas ir nomainītas.

Gandrīz vienmēr ir vairāki veidi, kā sasniegt vēlamo rezultātu. Tas attiecas arī uz informācijas drošības jomu. Dažreiz, lai sasniegtu mērķi, varat izmantot brutālu spēku, meklēt caurumus un pats izstrādāt varoņdarbus vai klausīties, kas tiek pārraidīts tīklā. Turklāt pēdējais variants bieži vien ir optimāls. Tāpēc šodien mēs runāsim par rīkiem, kas palīdzēs no tīkla trafika noķert mums vērtīgu informāciju, šim nolūkam izmantojot MITM uzbrukumus.

MITMf

Sāksim ar vienu no interesantākajiem kandidātiem. Tas ir viss diriģēšanas ietvars vīrieša uzbrukumi, kas veidota uz sergio-proxy. Nesen iekļauts Kali Linux. Lai to instalētu pats, vienkārši klonējiet repozitoriju un palaidiet dažas komandas:

# setup.sh # pip install -r prasības.txt

# pip install -r prasības.txt

Tam ir arhitektūra, kas ir paplašināma, izmantojot spraudņus. Starp galvenajiem ir šādi:

• Spoof - ļauj novirzīt trafiku, izmantojot ARP/DHCP mānīšanu, ICMP novirzīšanu un modificēt DNS vaicājumus;
• Sniffer — šis spraudnis izseko pieteikšanās mēģinājumus dažādiem protokoliem;
• BeEFAutorun - ļauj automātiski palaist BeEF moduļus, pamatojoties uz OS un klienta pārlūkprogrammas veidu;
• AppCachePoison - veic kešatmiņas saindēšanās uzbrukumu;
• SessionHijacking - nolaupa sesijas un saglabā iegūtās sīkdatnes Firefly profilā;
• BrowserProfiler - mēģina iegūt pārlūkprogrammas izmantoto spraudņu sarakstu;
• FilePwn - ļauj aizstāt failus, kas nosūtīti, izmantojot HTTP, izmantojot Backdoor Factory un BDFProxy;
• Inject - ievada patvaļīgu saturu HTML lapā;
• jskeylogger — klienta lapās iegulst JavaScript taustiņu bloķētāju.

Ja šī funkcionalitāte jums šķiet nepietiekama, vienmēr varat pievienot savu, ieviešot atbilstošo paplašinājumu.

PuttyRider

Vēl viena lietderība, kas ir vērts pievērst uzmanību. Tiesa, atšķirībā no visiem citiem mūsdienās aplūkotajiem rīkiem tas ir ļoti šauri specializēts. Kā stāsta pats projekta autors, šādu utilītu izveidot iedvesmojis tas, ka iespiešanās testu laikā svarīgākie dati atradās Linux/UNIX serveros, kuriem administratori pieslēdzās caur SSH/Telnet/rlogin. Turklāt vairumā gadījumu bija daudz vieglāk piekļūt administratoru mašīnai nekā mērķa serverim. Iekļūstot sistēmas administratora mašīnā, atliek tikai pārliecināties, vai PuTTY darbojas, un, izmantojot šo rīku, izveidot atpakaļ tiltu uz uzbrucēju.

Lietderība ļauj ne tikai tvert “saziņu” starp administratoru un attālais serveris(tostarp paroles), bet arī izpildīt patvaļīgas čaulas komandas noteiktā sesijā. Turklāt tas viss lietotājam (administratoram) notiks absolūti caurspīdīgi. Ja jūs interesē tehniskas detaļas, piemēram, kā PuTTY tiek ieviests procesā, iesaku izlasīt autora prezentāciju.

Diezgan vecs utilīts, dzimis pirms vairāk nekā astoņiem gadiem. Paredzēts klonēšanas sesijām, nozogot sīkfailus. Lai nolaupītu sesijas, viņam ir pamatprasmes resursdatoru noteikšanā (ja tas ir savienots ar atvērtu bezvadu tīklu vai centrmezglu) un ARP saindēšanos. Vienīgā problēma ir tā, ka mūsdienās, atšķirībā no astoņiem gadiem, gandrīz visi lielie uzņēmumi, piemēram, Yahoo vai Facebook, izmanto SSL šifrēšanu, kas padara šo rīku pilnīgi bezjēdzīgu. Neskatoties uz to, internetā joprojām ir pietiekami daudz resursu, kas neizmanto SSL, tāpēc ir pāragri norakstīt utilītu. Tās priekšrocības ietver to, ka tas automātiski integrējas pārlūkprogrammā Firefox un katrai pārtvertajai sesijai izveido atsevišķu profilu. Avota kods ir pieejams repozitorijā, un jūs varat to izveidot pats, izmantojot šādu komandu secību:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip sesijas zaglis

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip sessionthief

ProxyFuzz

ProzyFuzz nav nekāda tieša sakara ar MITM uzbrukumu veikšanu. Kā jūs varat uzminēt pēc nosaukuma, rīks ir paredzēts izplūdumam. Šis ir mazs nedeterministisks tīkla fuzeris, kas ieviests Python un kas nejauši maina tīkla trafika pakešu saturu. Atbalsta TCP protokoli un UDP. Varat to konfigurēt, lai izplūdinātu tikai vienu pusi. Tas noder, ja nepieciešams ātri pārbaudīt kādu tīkla lietojumprogrammu (vai protokolu) un izstrādāt PoC. Lietošanas piemērs:

Python proxyfuzz -l -r -lpp

python proxyfuzz -l -r -lpp

Opciju saraksts ietver:

• w - norāda pieprasījumu skaitu, kas nosūtīti pirms izplūdes sākuma;
• c - izplūdināt tikai klientu (pretējā gadījumā abas puses);
• s - izplūdināt tikai serveri (pretējā gadījumā abas puses);
• u - UDP protokols (pretējā gadījumā tiek izmantots TCP).

Vidējais

Lietderība MITM uzbrukumu veikšanai dažādiem protokoliem, kas tika prezentēti DEF CON konferencē. Alfa versija atbalstīja HTTP protokolu, un tās arsenālā bija trīs lieliski spraudņi:

• plugin-beef.py — ievada pārlūkprogrammas izmantošanas sistēmu (BeEF) jebkurā HTTP pieprasījumā, kas nāk no vietējā tīkla;
• plugin-metasploit.py — iegulst IFRAME nešifrētos (HTTP) pieprasījumos, kas ielādē pārlūkprogrammas izlietojumu no Metasploit;
• plugin-keylogger.py — iegulst JavaScript onKeyPress notikumu apdarinātāju visiem teksta laukiem, kas tiks iesniegti, izmantojot HTTPS, liekot pārlūkprogrammai lietotāja ievadīto paroli pa rakstzīmi nosūtīt uzbrucēja serverim, pirms tiek iesniegta visa veidlapa.

Middler ne tikai automātiski analizē tīkla trafiku un atrod tajā sīkfailus, bet arī patstāvīgi pieprasa tos no klienta, tas ir, process tiek maksimāli automatizēts. Programma garantē visu neaizsargāto kontu savākšanu datortīkls(vai publiskais tīklājs), kura datplūsmai tas var piekļūt. Lai programma darbotos pareizi, sistēmā ir jāinstalē šādas pakotnes: Scapy, libpcap, readline, libdnet, python-netfilter. Diemžēl repozitorijs nav atjaunināts ilgu laiku, tāpēc jums pašam būs jāpievieno jauna funkcionalitāte.

Konsoles utilīta, kas ļauj interaktīvi pārbaudīt un modificēt HTTP trafiku. Pateicoties šādām prasmēm, utilītu izmanto ne tikai pentesteri/hakeri, bet arī parastie izstrādātāji, kas to izmanto, piemēram, tīmekļa lietojumprogrammu atkļūdošanai. Ar tās palīdzību jūs varat saņemt detalizēta informācija par to, kādus pieprasījumus pieteikums iesniedz un kādas atbildes tas saņem. Turklāt mitmproxy var palīdzēt izpētīt dažu REST API darbības īpatnības, īpaši to, kas ir slikti dokumentētas.

Uzstādīšana ir ārkārtīgi vienkārša:

$ sudo aptitude instalējiet mitmproxy

Ir vērts atzīmēt, ka mitmproxy ļauj arī pārtvert HTTPS trafiku, izsniedzot klientam pašparakstītu sertifikātu. Labs piemērs Varat uzzināt, kā konfigurēt satiksmes pārtveršanu un modificēšanu.

Dsniff

Šī utilīta parasti ir viena no pirmajām lietām, kam vajadzētu ienākt prātā, tiklīdz dzirdat
"MITM uzbrukums". Rīks ir diezgan vecs, taču tas tiek aktīvi atjaunināts, kas ir labas ziņas. Nav jēgas detalizēti runāt par tā iespējām četrpadsmit pastāvēšanas gadu laikā, internetā tas ir apskatīts ne reizi vien. Piemēram, šādā rokasgrāmatā:

vai norādījumi no mūsu vietnes:

Visbeidzot..

Kā parasti, mēs neesam apskatījuši visus komunālos pakalpojumus, bet tikai populārākos ir arī daudzi maz zināmi projekti, par kuriem mēs kādreiz varētu runāt. Kā redzat, rīku MITM uzbrukumu veikšanai netrūkst, un, kas notiek ne pārāk bieži, viens no foršajiem rīkiem ir ieviests operētājsistēmai Windows. Par nix sistēmām nav ko teikt – visa dažādība. Tāpēc es domāju, ka jūs vienmēr varat atrast pareizo rīku zādzībai
citu cilvēku pilnvaras. Ak, tas ir, testēšanai.

Uzbrukuma princips

Uzbrukums parasti sākas ar sakaru kanāla noklausīšanos un beidzas ar to, ka kriptoanalītiķis mēģina aizstāt pārtverto ziņojumu un izvilkt noderīga informācija, novirziet to uz kādu ārēju resursu.

Pieņemsim, ka objekts A plāno pārsūtīt kādu informāciju objektam B. Objektam C ir zināšanas par izmantotās datu pārraides metodes struktūru un īpašībām, kā arī faktiskās informācijas, ko C plāno pārtvert, plānotās pārraides faktu. Lai veiktu uzbrukumu, C objektam A “parādās” kā B, bet objektam B kā A. Objekts A, maldīgi uzskatot, ka tas sūta informāciju B, nosūta to objektam C. Objekts C, saņēmis informāciju, un veic ar to dažas darbības (piemēram, kopē vai pārveido saviem nolūkiem) pārsūta datus pašam saņēmējam - B; objekts B savukārt uzskata, ka informācija saņemta tieši no A.

Uzbrukuma piemērs

Ļaunprātīga koda ievadīšana

Cilvēka vidū uzbrukums ļauj kriptoanalītiķim ievietot savu kodu e-pastiem, SQL izteiksmes un tīmekļa lapas (tas ir, atļauj SQL injekcijas, HTML/skriptu injekcijas vai XSS uzbrukumus) un pat modificēt lietotāja ielādes binārie faili lai piekļūtu kontu lietotājam vai mainīt programmas darbību, ko lietotājs lejupielādējis no interneta.

Pazemināt Attack versiju

Termins “pazeminātas versijas uzbrukums” attiecas uz uzbrukumu, kurā kriptoanalītiķis piespiež lietotāju izmantot mazāk drošas funkcijas, protokolus, kas joprojām tiek atbalstīti saderības apsvērumu dēļ. Šāda veida uzbrukumu var veikt SSH, IPsec un PPTP protokolos.

SSH V1, nevis SSH V2

Uzbrucējs var mēģināt mainīt savienojuma parametrus starp serveri un klientu, kad starp tiem ir izveidots savienojums. Saskaņā ar runu, kas tika sniegta 2003. gada Blackhat Conference Europe ietvaros, kriptanalītiķis var "piespiest" klientu sākt SSH1 sesiju, nevis SSH2, mainot SSH sesijas versijas numuru "1.99" uz "1.51", kas nozīmē SSH V1 izmantošanu. . SSH-1 protokolam ir ievainojamības, kuras var izmantot kriptoanalītiķis.

IPsec

Šajā uzbrukuma scenārijā kriptoanalītiķis maldina savu upuri, domājot, ka IPsec sesija nevar sākties otrā galā (serverī). Tā rezultātā ziņojumi tiek nosūtīti tieši, ja resursdatora mašīna darbojas atcelšanas režīmā.

PPTP

PPTP sesijas parametru apspriešanas posmā uzbrucējs var piespiest upuri izmantot mazāk drošu PAP autentifikāciju, MSCHAP V1 (tas ir, “atgriezties” no MSCHAP V2 uz versiju 1) vai neizmantot šifrēšanu vispār.

Uzbrucējs var piespiest savu upuri atkārtot PPTP sesijas parametru sarunu posmu (nosūtīt Terminate-Ack paketi), nozagt paroli no esoša tuneļa un atkārtot uzbrukumu.

Vai šifrēšana palīdzēs?

Apskatīsim standarta HTTP transakcijas gadījumu. Šajā gadījumā uzbrucējs var diezgan viegli sadalīt sākotnējo TCP savienojumu divos jaunos: vienu starp sevi un klientu, otru starp sevi un serveri. Tas ir diezgan vienkārši izdarāms, jo ļoti reti savienojums starp klientu un serveri ir tiešs, un vairumā gadījumu tie ir savienoti caur vairākiem starpserveriem. MITM uzbrukumu var veikt jebkurā no šiem serveriem.

Tomēr, ja klients un serveris sazinās, izmantojot HTTPS protokolu, kas atbalsta šifrēšanu, var tikt veikts arī uzbrukums “cilvēks vidū”. Šāda veida savienojums izmanto TLS vai SSL, lai šifrētu pieprasījumus, kas, šķiet, padara kanālu aizsargātu pret sniffing un MITM uzbrukumiem. Uzbrucējs var izveidot divas neatkarīgas SSL sesijas katram TCP savienojumam. Klients izveido SSL savienojumu ar uzbrucēju, kurš savukārt izveido savienojumu ar serveri. Šādos gadījumos pārlūkprogramma parasti brīdina, ka sertifikātu nav parakstījusi uzticama sertifikācijas iestāde, bet vidusmēra lietotājs viegli ignorē šo brīdinājumu. Turklāt uzbrucējam var būt sertifikāts, ko parakstījusi sertifikācijas iestāde. Tādējādi HTTPS protokolu nevar uzskatīt par drošu pret MITM uzbrukumiem.

MITM uzbrukuma noteikšana

Lai atklātu uzbrukuma "cilvēks vidū", jums ir jāanalizē tīkla trafiks. Piemēram, lai noteiktu SSL uzbrukumu, jums jāpievērš uzmanība šādiem parametriem:

• Servera IP adrese
• DNS serveris
• X.509 — servera sertifikāts
  • Vai sertifikāts ir pašparakstīts?
  • Vai sertifikāts ir parakstīts?
  • Vai sertifikāts ir atsaukts?
  • Vai sertifikāts nesen ir mainījies?
  • Vai citi klienti internetā ir saņēmuši tādu pašu sertifikātu?

MITM uzbrukuma ieviešana

Uzskaitītās programmas var izmantot, lai veiktu "man-in-the-middle" uzbrukumus, kā arī tos atklātu un pārbaudītu sistēmas ievainojamības.

Piemērs literatūrā

Skaidru literāru piemēru var redzēt A. S. Puškina “Pasaka par caru Saltānu”, kur parādās trīs “cilvēki pa vidu”: audēja, pavārs un Babarikha. Tieši viņi aizstāj caram adresētās vēstules un viņa atbildes korespondenci.

Skatīt arī

• Aspidistra (angļu val.) - Otrā pasaules kara "iebrukuma" laikā izmantotais britu radio raidītājs, MITM uzbrukuma variants.
• The Babington Plot (angļu val.) - sazvērestība pret Elizabeti I, kuras laikā Volsingema pārtvēra korespondenci.

Citi uzbrukumi

• “Cilvēks pārlūkprogrammā” ir uzbrukuma veids, kurā uzbrucējs spēj uzreiz mainīt darījuma parametrus un mainīt upurim pilnīgi caurspīdīgas lapas.
• Meet-in-the-middle uzbrukums ir kriptogrāfisks uzbrukums, kas, tāpat kā dzimšanas dienas uzbrukums, izmanto kompromisu starp laiku un atmiņu.
• "Miss in vidus uzbrukums" - efektīva metode tā sauktā neiespējamā diferenciālā kriptoanalīzē.
• Releja uzbrukums ir MITM uzbrukuma variants, kura pamatā ir pārtvertā ziņojuma pārsūtīšana derīgam adresātam, bet ne tam, kuram ziņojums bija paredzēts.
• Rootkit ir programma, kas paredzēta, lai paslēptu uzbrucēja klātbūtnes pēdas.

Literatūra

Saites

Wikimedia fonds.

2010. gads.

Skatiet, kas ir “cilvēks vidū” citās vārdnīcās:

Gandrīz vienmēr ir vairāki veidi, kā sasniegt vēlamo rezultātu. Tas attiecas arī uz informācijas drošības jomu. Dažreiz, lai sasniegtu mērķi, varat izmantot brutālu spēku, meklēt caurumus un pats izstrādāt varoņdarbus vai klausīties, kas tiek pārraidīts tīklā. Turklāt pēdējā iespēja bieži vien ir optimāla. Tāpēc šodien mēs runāsim par rīkiem, kas palīdzēs no tīkla trafika noķert mums vērtīgu informāciju, šim nolūkam izmantojot MITM uzbrukumus.

MITMf

Sāksim ar vienu no interesantākajiem kandidātiem. Tas ir viss ietvars, lai veiktu uzbrukumus "cilvēks vidū", kas veidots, pamatojoties uz sergio-proxy. Nesen iekļauts Kali Linux. Lai to instalētu pats, vienkārši klonējiet repozitoriju un palaidiet dažas komandas:

# setup.sh # pip install -r prasības.txt

Tam ir arhitektūra, kas ir paplašināma, izmantojot spraudņus. Starp galvenajiem ir šādi:

• Spoof - ļauj novirzīt trafiku, izmantojot ARP/DHCP mānīšanu, ICMP novirzīšanu un modificēt DNS vaicājumus;
• Sniffer — šis spraudnis izseko pieteikšanās mēģinājumus dažādiem protokoliem;
• BeEFAutorun - ļauj automātiski palaist BeEF moduļus, pamatojoties uz OS un klienta pārlūkprogrammas veidu;
• AppCachePoison - veic kešatmiņas saindēšanās uzbrukumu;
• SessionHijacking - nolaupa sesijas un saglabā iegūtās sīkdatnes Firefly profilā;
• BrowserProfiler - mēģina iegūt pārlūkprogrammas izmantoto spraudņu sarakstu;
• FilePwn - ļauj aizstāt failus, kas nosūtīti, izmantojot HTTP, izmantojot Backdoor Factory un BDFProxy;
• Inject - ievada patvaļīgu saturu HTML lapā;
• jskeylogger — klienta lapās iegulst JavaScript taustiņu bloķētāju.

Ja šī funkcionalitāte jums šķiet nepietiekama, vienmēr varat pievienot savu, ieviešot atbilstošo paplašinājumu.

PuttyRider

Vēl viena lietderība, kas ir vērts pievērst uzmanību. Tiesa, atšķirībā no visiem citiem mūsdienās aplūkotajiem rīkiem tas ir ļoti šauri specializēts. Kā stāsta pats projekta autors, šādu utilītu izveidot iedvesmojis tas, ka iespiešanās testu laikā svarīgākie dati atradās Linux/UNIX serveros, kuriem administratori pieslēdzās caur SSH/Telnet/rlogin. Turklāt vairumā gadījumu bija daudz vieglāk piekļūt administratoru mašīnai nekā mērķa serverim. Iekļūstot sistēmas administratora mašīnā, atliek tikai pārliecināties, vai PuTTY darbojas, un, izmantojot šo rīku, izveidot atpakaļ tiltu uz uzbrucēju.

Lietderība ļauj ne tikai tvert “saziņu” starp administratoru un attālo serveri (ieskaitot paroles), bet arī izpildīt patvaļīgas čaulas komandas noteiktā sesijā. Turklāt tas viss lietotājam (administratoram) notiks absolūti caurspīdīgi. Ja jūs interesē tehniskas detaļas, piemēram, kā PuTTY tiek ieviests procesā, iesaku izlasīt autora prezentāciju.

Diezgan vecs utilīts, dzimis pirms vairāk nekā astoņiem gadiem. Paredzēts klonēšanas sesijām, nozogot sīkfailus. Lai nolaupītu sesijas, viņam ir pamatprasmes resursdatoru noteikšanā (ja tas ir savienots ar atvērtu bezvadu tīklu vai centrmezglu) un ARP saindēšanos. Vienīgā problēma ir tā, ka mūsdienās, atšķirībā no astoņiem gadiem, gandrīz visi lielie uzņēmumi, piemēram, Yahoo vai Facebook, izmanto SSL šifrēšanu, kas padara šo rīku pilnīgi bezjēdzīgu. Neskatoties uz to, internetā joprojām ir pietiekami daudz resursu, kas neizmanto SSL, tāpēc ir pāragri norakstīt utilītu. Tās priekšrocības ietver to, ka tas automātiski integrējas pārlūkprogrammā Firefox un katrai pārtvertajai sesijai izveido atsevišķu profilu. Avota kods ir pieejams repozitorijā, un jūs varat to izveidot pats, izmantojot šādu komandu secību:

# apt-get install build-essential libwxgtk2.8-dev libgtk2.0-dev libpcap-dev # g++ $(wx-config --cppflags --libs) -lpcap -o sessionthief *.cpp # setcap cap_net_raw,cap_net_admin=eip sesijas zaglis

ProxyFuzz

ProzyFuzz nav nekāda tieša sakara ar MITM uzbrukumu veikšanu. Kā jūs varat uzminēt pēc nosaukuma, rīks ir paredzēts izplūdumam. Šis ir mazs nedeterministisks tīkla fuzeris, kas ieviests Python un kas nejauši maina tīkla trafika pakešu saturu. Atbalsta TCP un UDP protokolus. Varat to konfigurēt, lai izplūdinātu tikai vienu pusi. Tas noder, ja nepieciešams ātri pārbaudīt kādu tīkla lietojumprogrammu (vai protokolu) un izstrādāt PoC. Lietošanas piemērs:

Python proxyfuzz -l -r -lpp

Opciju saraksts ietver:

• w - norāda pieprasījumu skaitu, kas nosūtīti pirms izplūdes sākuma;
• c - izplūdināt tikai klientu (pretējā gadījumā abas puses);
• s - izplūdināt tikai serveri (pretējā gadījumā abas puses);
• u - UDP protokols (pretējā gadījumā tiek izmantots TCP).

Vidējais

Lietderība MITM uzbrukumu veikšanai dažādiem protokoliem, kas tika prezentēti DEF CON konferencē. Alfa versija atbalstīja HTTP protokolu, un tās arsenālā bija trīs lieliski spraudņi:

• plugin-beef.py — ievada pārlūkprogrammas izmantošanas sistēmu (BeEF) jebkurā HTTP pieprasījumā, kas nāk no vietējā tīkla;
• plugin-metasploit.py — iegulst IFRAME nešifrētos (HTTP) pieprasījumos, kas ielādē pārlūkprogrammas izlietojumu no Metasploit;
• plugin-keylogger.py — iegulst JavaScript onKeyPress notikumu apdarinātāju visiem teksta laukiem, kas tiks iesniegti, izmantojot HTTPS, liekot pārlūkprogrammai lietotāja ievadīto paroli pa rakstzīmi nosūtīt uzbrucēja serverim, pirms tiek iesniegta visa veidlapa.

Middler ne tikai automātiski analizē tīkla trafiku un atrod tajā sīkfailus, bet arī neatkarīgi pieprasa tos no klienta, tas ir, process tiek maksimāli automatizēts. Programma garantē visu neaizsargāto kontu savākšanu datortīklā (vai publiskajā tīklājā), kura trafikam tai ir piekļuve. Lai programma darbotos pareizi, sistēmā ir jāinstalē šādas pakotnes: Scapy, libpcap, readline, libdnet, python-netfilter. Diemžēl repozitorijs nav atjaunināts ilgu laiku, tāpēc jums pašam būs jāpievieno jauna funkcionalitāte.

Konsoles utilīta, kas ļauj interaktīvi pārbaudīt un modificēt HTTP trafiku. Pateicoties šādām prasmēm, utilītu izmanto ne tikai pentesteri/hakeri, bet arī parastie izstrādātāji, kas to izmanto, piemēram, tīmekļa lietojumprogrammu atkļūdošanai. Ar tās palīdzību jūs varat iegūt detalizētu informāciju par to, kādus pieprasījumus lietojumprogramma izdara un kādas atbildes tā saņem. Turklāt mitmproxy var palīdzēt izpētīt dažu REST API darbības īpatnības, īpaši to, kas ir slikti dokumentētas.

Uzstādīšana ir ārkārtīgi vienkārša:

$ sudo aptitude instalējiet mitmproxy

$ pip instalējiet mitmproxy

$easy_install mitmproxy

Ir vērts atzīmēt, ka mitmproxy ļauj arī pārtvert HTTPS trafiku, izsniedzot klientam pašparakstītu sertifikātu. Šeit var atrast labu piemēru, kā iestatīt satiksmes pārtveršanu un modifikācijas.

Pārtvērējs-NG

Būtu dīvaini, ja šis leģendārais instruments netiktu iekļauts mūsu apskatā. Pat ja jūs to nekad neesat lietojis, jūs, iespējams, esat par to dzirdējis (un jums tas vienkārši ir jāiepazīst labāk) - tas diezgan bieži parādās žurnāla lappusēs. Es pilnībā neaprakstīšu tā funkcionalitāti - pirmkārt, mūs interesē MITM, un, otrkārt, šāds apraksts aizņems visu rakstu.

Turpinājums pieejams tikai biedriem

1. iespēja. Pievienojieties “vietnes” kopienai, lai lasītu visus vietnes materiālus

Dalība kopienā noteiktajā laika posmā nodrošinās piekļuvi VISIEM Hacker materiāliem, palielinās jūsu personīgo kumulatīvo atlaidi un ļaus jums uzkrāt profesionālu Xakep Score vērtējumu!

Cilvēks vidū uzbrukums ir vispārīgs nosaukums dažādām metodēm, kuru mērķis ir kā starpnieks piekļūt datplūsmai. Šo metožu daudzveidības dēļ ir problemātiski ieviest vienu rīku šo uzbrukumu noteikšanai, kas darbotos visās iespējamās situācijās. Piemēram, uzbrukumā “cilvēks vidū” lokālajam tīklam parasti tiek izmantota ARP viltošana (saindēšanās). Un daudzi uzbrukuma noteikšanas rīki, kas tiek atklāti vidū, pārrauga izmaiņas Ethernet adrešu pāros/vai ziņo par aizdomīgām ARP darbībām, pasīvi pārraugot ARP pieprasījumus/atbildes. Bet, ja šis uzbrukums tiek izmantots ļaunprātīgi konfigurētam starpniekserverim, VPN vai citām opcijām, kas neizmanto ARP saindēšanos, tad šādi rīki ir bezpalīdzīgi.

Šīs sadaļas mērķis ir pārskatīt dažus paņēmienus, lai atklātu cilvēka vidū uzbrukumus, kā arī dažus rīkus, kas paredzēti, lai noteiktu, vai pret jums ir vērsts MitM uzbrukums. Metodoloģiju un ieviešanas scenāriju dažādības dēļ nevar garantēt 100% atklāšanu.

1. Satiksmes izmaiņu noteikšana

Kā jau minēts, "cilvēka vidū" uzbrukumos ne vienmēr tiek izmantota ARP viltošana. Tāpēc, lai gan aktivitātes noteikšana ARP līmenī ir vispopulārākā noteikšanas metode, vairāk universālā veidā ir satiksmes izmaiņu noteikšana. Programma Mitmcanary mums var palīdzēt šajā jautājumā.

Programmas darbības princips ir tāds, ka tā veic “kontroles” pieprasījumus un saglabā saņemtās atbildes. Pēc tam tas noteiktos intervālos atkārto tos pašus pieprasījumus un salīdzina saņemtās atbildes. Programma ir diezgan inteliģenta un, lai izvairītos no viltus pozitīvajiem rezultātiem, atbildēs identificē dinamiskos elementus un tos pareizi apstrādā. Tiklīdz programma ir atklājusi MitM uzbrukuma rīku darbības pēdas, tā ziņo par to.

Piemēri tam, kā daži rīki var “mantot”:

• MITMf pēc noklusējuma maina visus HTTPS URL HTML kodā uz HTTP. Noteikts, salīdzinot HTTP saturu.
• Zarp + MITMProxy, MITMProxy ir funkcionalitāte, kas ļauj notīrīt HTTP saspiešanu, to izmanto pārsūtītās trafika caurspīdīgumam, šī kombinācija tiek noteikta pēc iepriekš esošās saspiešanas pazušanas
• Atbildētājs, ko identificē pēc pēkšņām izmaiņām mDNS reakciju transformācijā: negaidīta reakcija; atbilde ir iekšēja, bet tiek gaidīta ārēja; atbilde atšķiras no paredzētās IP

• MITMCanary pret MITMf:

• MITMCanary vs Responder:

• MITMCanary vs Zarp + MITMProxy:

Sudo pip instalēt Cython sudo apt-get instalēt python-kivy python-dbus sudo pip instalēt plyer uuid urlopen analīzes pieprasījums simplejson datetime git klons https://github.com/CylanceSPEAR/mitmcanary.git cd mitmcanary/

Kā jau minēts, mitmcanary jāsāk strādāt ar kontroles pieprasījumiem. Lai to izdarītu, dodieties uz direktoriju

CD serviss/

Un palaidiet failu setup_test_persistence.py:

Python2 setup_test_persistence.py

Tas prasīs kādu laiku — pagaidiet, līdz tas beigsies. Kļūdu ziņojumiem nevajadzētu būt (ja tā, tad jums trūkst dažu atkarību).

Izvade būs aptuveni šāda:

Mial@HackWare:~/bin/mitmcanary/service$ python2 setup_test_persistence.py Konstatēta vecāka konfigurācijas versija (0, nevis 14) Notiek konfigurācijas jaunināšana. Atlaists tīrīšanas baļķis. Notiek analīze... Iztīrīšana ir pabeigta!

Ierakstīt pieteikšanos /home/mial/.kivy/logs/kivy_16-11-01_0.txt v1.9.1 v2.7.12+ (noklusējums, 2016. gada 1. septembris, 20:27:38)

Kad šis process ir pabeigts, tajā pašā direktorijā izpildiet (tas sāks fona procesu):

Python2 main.py

Pēc tam atveriet jaunu termināļa logu un dodieties uz beigu direktoriju ar mitmcanary. Mans direktorijs ir bin/mitmcanary/, tāpēc es ieeju

CD tvertne/mitmcanary/

Kad šis process ir pabeigts, tajā pašā direktorijā izpildiet (tas sāks fona procesu):

un dari tur:

Pirmajā logā tiek parādīts kaut kas līdzīgs: Mial@HackWare:~/bin/mitmcanary/service$ python2 main.py Ierakstīt pieteikšanos /home/mial/.kivy/logs/kivy_16-11-01_1.txt v1.9.1 v2.7.12+ (noklusējums, 2016. gada 1. septembris, 20:27:38), izmantojot

ligzdas klausīšanai Tuio 127.0.0.1:3000 Gulēt 60 sekundes Gulēt 60 sekundes Gulēt 60 sekundes Gulēt 60 sekundes gulēt 60 sekundes gulēt 60 sekundes gulēt

Tie. Programma reizi minūtē veic kontroles pieprasījumus un meklē pazīmes, kas liecina par uzbrukuma vīrieti vidū.

Otrajā logā ir arī izvade + atveras tumšs logs, ko programmas autori sauc par “grafisko interfeisu”:

Varat nedaudz pagaidīt un sērfot internetā, lai pārliecinātos, ka programma neizdod viltus brīdinājumus. Pamēģināsim klasiskā programma

Es sāku regulāru MitM uzbrukumu ar ARP viltošanu. mitmcanary nereaģē uz pašu kodināšanu. Mitmcanary rīks pats ģenerē trafiku, t.i., lietotājam nav jāveic nekādas darbības. Pēc kāda laika parādās viens brīdinājums, kas turpmākajās pārbaudēs netiek apstiprināts. Bet pēc dažām minūtēm parādās līdzīgs brīdinājums. Bez turpmākas analīzes man ir grūti pateikt, vai šis ir viltus pozitīvas atbildes piemērs — tas ļoti izskatās pēc tā. Pilnīgi iespējams, ka šo brīdinājumu izraisījusi komunikācijas kļūme, jo satiksmei jāšķērso papildu maršruti, vai arī mana nekvalitatīvā interneta savienojuma īpatnību dēļ.

Tā kā rezultāts nav acīmredzams (drīzāk “nē” nekā “jā”), izmēģināsim Bettercap programmu, kurā ir dažādi moduļi. Es nešaubos, ka, izmantojot dažādus Ettercap un/vai spraudņus papildu programmas lai paplašinātu funkcionalitāti, mēs "iedegtu" arī mitmcanary.

Eksperimenta tīrības labad es restartēju aprīkojumu, palaižu mitmcanary uz uzbrukuma mašīnas un Bettercap uz uzbrukuma. Tajā pašā laikā nav nepieciešams atkārtoti veikt kontroles pieprasījumus uzbruktajā mašīnā - tie tiek saglabāti failā, kas atrodas programmas direktorijā. Tie. Vienkārši sāciet pakalpojumu un grafisko interfeisu.

Un uzbrukuma mašīnā mēs palaidīsim Bettercap ar iespējotiem parsētājiem:

Sudo bettercap -X

Parādās atsevišķi brīdinājumi, kas arī vairāk izskatās kā viltus pozitīvi.

Bet palaižot šo komandu:

Sudo bettercap -X -- starpniekserveris

Uzbrūk mašīnas zvani liels skaits brīdinājumi par iespējamu vīrieša uzbrukumu:

Tātad, jo jaudīgāks ir uzbrukuma rīks "cilvēks vidū", jo vairāk pēdu tas atstāj satiksmē. Lai praktiski izmantotu mitmcanary, ir jāievēro šādi nosacījumi:

• veikt sākotnējos pieprasījumus uzticamā tīklā, kad esat pārliecināts, ka trafika pārraidē nav starpnieku;
• rediģējiet resursus, kuriem tiek iesniegti verifikācijas pieprasījumi, jo profesionāls uzbrucējs var pievienot noklusējuma resursus izņēmumiem, kas padarīs viņu neredzamu šim rīkam.

2. ARP viltošanas (ARP kešatmiņas saindēšanās) noteikšana.

Ļoti bieži uzbrukums vietējam tīklam sākas ar ARP saindēšanos. Tāpēc daudzi rīki, kas paredzēti MitM uzbrukumu noteikšanai, ir balstīti uz ARP kešatmiņas izmaiņu uzraudzības mehānismu, kas piešķir korespondenci starp Ethernet (MAC adreses) un IP adresēm.

Kā šādu programmu piemēru mēs varam atsaukties uz arpwatch, arpalert un lielu skaitu jaunu programmu. Programma ArpON ne tikai uzrauga izmaiņas ARP kešatmiņā, bet arī aizsargā to no tām.

Piemēram, palaidīsim arpwatch atkļūdošanas režīmā, neveidojot dakšas fonā un nesūtot ziņojumus pa pastu. Tā vietā ziņojumi tiek nosūtīti uz stderr (standarta kļūdu izvade).

Sudo /usr/sbin/arpwatch -d

Palaidīsim Ettercap uz uzbrukuma mašīnas un sāksim ARP viltošanu. Uzbrukušajā mašīnā mēs novērojam:

Programma arpwatch palīdzēs ātri uzzināt par jaunām ierīcēm, kas pievienotas jūsu lokālais tīkls, kā arī izmaiņas ARP kešatmiņā.

Vēl viens rīks ARP viltošanas noteikšanai reāllaikā ir Ettercap spraudnis arp_cop. Uzbrukušajā mašīnā palaidiet Ettercap šādi:

Sudo ettercap -TQP arp_cop ///

Un uz uzbrucēja mēs sāksim ARP saindēšanos. Uzbrukušajā mašīnā nekavējoties sāk parādīties brīdinājumi:

3. DNS viltošanas noteikšana

DNS viltošana norāda, ka starp jums un jūsu galamērķi ir starpnieks, kas var mainīt jūsu trafiku. Kā noteikt, ka DNS ieraksti ir viltoti? Vienkāršākais veids, kā to izdarīt, ir salīdzināt ar atbildēm no vārdu servera, kuram uzticaties. Bet ierakstus atbildē, kas nosūtīta uz jūsu pieprasījumu, var arī aizstāt...

Tie. jums ir jāpārbauda vai nu caur šifrētu kanālu (piemēram, caur Tor), vai arī jāizmanto nestandarta iestatījumi (cits ports, TCP, nevis UDP). Aptuveni tam ir paredzēta XiaoxiaoPu sans programma (vismaz tā, kā es to saprotu). Es varēju izmantot šo programmu, lai novirzītu DNS pieprasījumus, izmantojot Tor un nestandarta iestatījumus uz manu DNS serveris. Bet es nevarēju panākt, lai viņa man parāda ziņojumus par DNS atbildes viltošanu. Bez tā programmas jēga tiek zaudēta.

Es nevarēju atrast cienīgākas alternatīvas.

Principā, ņemot vērā, ka DNS spooferi parasti uzrauga tikai 53. portu un tikai UDP protokolu, pat manuāli pietiek vienkārši pārbaudīt DNS viltošanas faktu, lai gan tam ir nepieciešams savs DNS serveris ar nestandarta konfigurāciju. Piemēram, uzbrūkošajā mašīnā es izveidoju failu dns.conf ar šādu saturu:

Vietējais mi-al.ru

Tie. pieprasot DNS ierakstu vietnei mi-al.ru, uzbrucēja ierīces IP tiks nosūtīts, nevis reālais IP.

Es skrienu uz uzbrukuma mašīnas:

Sudo bettercap --dns dns.conf

Un uzbrukušajam es veicu divas pārbaudes:

Izrakt mi-al.ru # un izrakt mi-al.ru -p 4560 @185.117.153.79

Rezultāti:

Mial@HackWare:~$ dig mi-al.ru ;<<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru ;; globālās opcijas: +cmd ;; Saņēmu atbildi: ;; ->>GALVENE<<- opcode: QUERY, status: NOERROR, id: 51993 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 86400 IN A 192.168.1.48 ;; Query time: 2 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Nov 02 09:25:20 MSK 2016 ;; MSG SIZE rcvd: 42 mial@HackWare:~$ dig mi-al.ru -p 4560 @185.117.153.79 ; <<>> DiG 9.10.3-P4-Debian<<>> mi-al.ru -p 4560 @185.117.153.79 ;; globālās opcijas: +cmd ;; Saņēmu atbildi: ;; ->>GALVENE<<- opcode: QUERY, status: NOERROR, id: 401 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;mi-al.ru. IN A ;; ANSWER SECTION: mi-al.ru. 3799 IN A 185.26.122.50 ;; Query time: 304 msec ;; SERVER: 185.117.153.79#4560(185.117.153.79) ;; WHEN: Wed Nov 02 09:25:27 MSK 2016 ;; MSG SIZE rcvd: 53

Redzams, ka “parastajam” DNS pieprasījumam tika nosūtīts lokālais IP 192.168.1.48 un, pieprasot DNS netipiskā portā, tika nosūtīts pareizais servera IP.

Ja serveris ir konfigurēts, lai izmantotu TCP (nevis UDP), komanda izskatīsies šādi:

Dig mi-al.ru -p 4560 +tcp @185.117.153.79

Acīmredzot trūkst rīka, kas pats uzraudzītu DNS atbildes trafikā, vēlreiz pārbaudītu tās pret alternatīvu avotu un izsauktu trauksmi viltošanas gadījumā.

Lai izvairītos no sava attālā DNS iestatīšanas, varat veikt nosaukumu servera vaicājumus, izmantojot Tor. Tā kā visa Tor trafika ir šifrēta, šādā veidā iegūtās DNS atbildes ir ārpus starpnieka iespējām. Ja Tor vēl nav instalēts, instalējiet to.

Sudo apt-get install tor

Sudo pacman -S tor

Sāciet pakalpojumu:

Sudo systemctl start tor

Ja jums tas ir nepieciešams, pievienojiet šo pakalpojumu startēšanai:

Sudo systemctl enable tor

Atveriet failu /etc/tor/torrc un pievienojiet tur šādas rindas:

DNSPort 530 AutomapHostsOnResolve 1 AutomapHostsSufiksi .exit,.onion

Pievērsiet uzmanību numuram 530. Tas ir porta numurs, nevis 530, varat norādīt jebkuru citu (neizmantotu) portu. Galvenais ir to atcerēties.

Mēs vēlreiz pārbaudām:

Izrakt mi-al.ru # un izrakt mi-al.ru -p 530 @localhost

Tagad mēs norādām kā serveri vietējais saimnieks un ierakstiet porta numuru, ko norādījāt /etc/tor/torrc iestatījumos.

Kā redzat no šī ekrānuzņēmuma, datorā, kurā tika veikta pārbaude, tiek veikts DNS viltošanas uzbrukums:

4. Meklējiet tīkla saskarnes izlaidības režīmā

Ja jūsu lokālajā tīklā ir (un jo īpaši, ja tas pēkšņi parādās) aprīkojums nepamatotā režīmā, tas ir ļoti aizdomīgi, lai gan tas skaidri nenorāda uz uzbrukumu.

Šajā režīmā tīkla karte ļauj saņemt visas paketes neatkarīgi no tā, kam tās ir adresētas.

Normālā stāvoklī Ethernet saskarne izmanto saišu slāņa pakešu filtrēšanu, un, ja saņemtās paketes galamērķa galvenē esošā MAC adrese neatbilst pašreizējā tīkla interfeisa MAC adresei un netiek pārraidīta, pakete tiek izmesta. Režīmā “nepatīkams” filtrēšana tīkla saskarnē ir atspējota, un sistēmā tiek atļautas visas paketes, tostarp tās, kas nav paredzētas pašreizējam mezglam.

Lielākajai daļai operētājsistēmu ir nepieciešamas administratora tiesības, lai iespējotu izlaidīgo režīmu. Tie. Tīkla kartes iestatīšana izlaidības režīmā ir apzināta darbība, kas var kalpot sniffing mērķiem.

Lai meklētu tīkla saskarnes izlaidības režīmā, tiek izsaukts spraudnis Ettercap search_promisc.

Spraudņa palaišanas piemērs:

Sudo ettercap -TQP search_promisc ///

Spraudņa darbība nav pilnībā uzticama, nosakot tīkla interfeisa režīmu.

Secinājums

Dažas “cilvēka vidū” uzbrukuma metodes atstāj daudz pēdu, un dažas (piemēram, pasīvā starpniekservera akreditācijas datu meklēšana) nav iespējams vai gandrīz neiespējami noteikt.