Interceptor trafikdan (parollar, messenjer xabarlari, yozishmalar va boshqalar) ma'lumotlarni olish va turli MiTM hujumlarini amalga oshirish imkonini beruvchi ko'p funksiyali tarmoq vositasidir.

Intercepter dasturi interfeysi
Asosiy funksionallik

• Tezkor messenjer xabarlarini ushlash.
• Cookie va parollarni ushlash.
• Faoliyatni ushlab turish (sahifalar, fayllar, ma'lumotlar).
• Yuklab olingan fayllarni qo'shish orqali almashtirish imkoniyati zararli fayllar. Boshqa yordamchi dasturlar bilan birgalikda foydalanish mumkin.
• Https sertifikatlarini Http bilan almashtirish.

Qayta tiklash rejimi- trafikdan, trafikni aniq matnda uzatuvchi protokollardan foydali ma'lumotlarni tiklash. Jabrlanuvchi fayllarni, sahifalarni yoki ma'lumotlarni ko'rganida, ular qisman yoki to'liq ushlanishi mumkin. Bundan tashqari, dasturni kichik qismlarga yuklab olmaslik uchun fayllar hajmini belgilashingiz mumkin. Ushbu ma'lumotlar tahlil qilish uchun ishlatilishi mumkin.

Parol rejimi– cookie-fayllar bilan ishlash rejimi. Shu tarzda, jabrlanuvchining tashrif buyurgan fayllariga kirish imkoniyatiga ega bo'lish mumkin.

Skanerlash rejimi- sinov uchun asosiy rejim. Skanerlashni boshlash uchun Smart Scan-ni o'ng tugmasini bosishingiz kerak. Skanerlashdan so'ng, barcha tarmoq ishtirokchilari oynada ko'rsatiladi, ularning operatsion tizim va boshqa parametrlar.

Bundan tashqari, ushbu rejimda siz portlarni skanerlashingiz mumkin. Scan ports funksiyasidan foydalanishingiz kerak. Albatta, buning uchun juda ko'p funktsional yordamchi dasturlar mavjud, ammo bu funktsiyaning mavjudligi muhim nuqta.

Agar biz tarmoqqa maqsadli hujumga qiziqqan bo'lsak, skanerlashdan so'ng biz maqsadli IP-ni Nat-ga qo'shishimiz kerak buyrug'i (Nat-ga qo'shish). Boshqa oynada boshqa hujumlarni amalga oshirish mumkin bo'ladi.

Nat rejimi. ARP orqali bir qator hujumlarni amalga oshirish imkonini beruvchi asosiy rejim. Bu maqsadli hujumlarga ruxsat beruvchi asosiy oyna.

DHCP rejimi. Bu o'rtada DHCP hujumlarini amalga oshirish uchun DHCP serveringizni oshirishga imkon beruvchi rejim.

Amalga oshirish mumkin bo'lgan hujumlarning ayrim turlari
Saytni aldash

Jabrlanuvchining veb-saytini aldash uchun siz Target-ga o'tishingiz kerak, shundan so'ng siz saytni va uning o'rnini belgilashingiz kerak. Shu tarzda siz juda ko'p saytlarni almashtirishingiz mumkin. Bularning barchasi soxta narsa qanchalik sifatli ekanligiga bog'liq.

Saytni aldash

VK.com uchun misol

MiTM hujumini tanlash

​

In'ektsiya qoidalarini o'zgartirish
Natijada, jabrlanuvchi vk.com so'rovida soxta veb-sayt ochadi. Va parol rejimida jabrlanuvchining login va paroli bo'lishi kerak:

Maqsadli hujumni amalga oshirish uchun siz ro'yxatdan qurbonni tanlashingiz va uni nishonga qo'shishingiz kerak. Bu sichqonchaning o'ng tugmasi yordamida amalga oshirilishi mumkin.

MiTm hujumlarini qo'shish
Endi siz trafikdan turli ma'lumotlarni qayta tiklash uchun Ressurection rejimidan foydalanishingiz mumkin.

MiTm hujumi orqali jabrlanuvchi fayllari va ma'lumotlari
Trafik spoofing

Sozlamalarni belgilash
Shundan so'ng, jabrlanuvchining so'rovi "ishonch" dan "yutqazgan" ga o'zgaradi.

Bundan tashqari, siz cookie-fayllarni o'ldirishingiz mumkin, shunda jabrlanuvchi barcha hisoblardan chiqib, yana tizimga kiradi. Bu login va parollarni ushlash imkonini beradi.

Cookie fayllarini yo'q qilish

Intercepter yordamida tarmoqdagi potentsial snifferni qanday ko'rish mumkin?
Promisc Detection opsiyasidan foydalanib, siz skanerlayotgan qurilmani aniqlashingiz mumkin mahalliy tarmoq. Skanerlashdan so'ng holat ustunida "Sniffer" ko'rsatiladi. Bu mahalliy tarmoqda skanerlashni aniqlashning birinchi usuli.

Snifferni aniqlash
SDR HackRF qurilmasi


​

HackRF - 300 dollarga to'liq SDR qurilmasi. Loyiha muallifi Maykl Ossman bu yo‘nalishda muvaffaqiyatli qurilmalarni ishlab chiqmoqda. Ubertooth Bluetooth sniffer avval ishlab chiqilgan va muvaffaqiyatli amalga oshirilgan. HackRF - Kickstarter-da 600 mingdan ortiq mablag' to'plagan muvaffaqiyatli loyiha. Ushbu qurilmalarning 500 tasi allaqachon beta-sinov uchun sotilgan.

HackRF 30 MGts dan 6 GGts gacha chastota diapazonida ishlaydi. Namuna olish chastotasi 20 MGts ni tashkil qiladi, bu Wi-FI va LTE tarmoqlaridan signallarni ushlab turish imkonini beradi.

Mahalliy darajada o'zingizni qanday himoya qilish kerak?
Birinchidan, SoftPerfect WiFi Guard dasturidan foydalanamiz. 4 MB dan ko'p bo'lmagan portativ versiya mavjud. Bu sizga tarmoqni skanerlash va unda qaysi qurilmalar ko'rsatilganligini ko'rsatish imkonini beradi. Unda tarmoq kartasini va skanerlanadigan qurilmalarning maksimal sonini tanlash imkonini beruvchi sozlamalar mavjud. Bundan tashqari, siz skanerlash oralig'ini o'rnatishingiz mumkin.

Foydalanuvchilar uchun sharhlar qo'shish imkoniyati


​

Xulosa
Shunday qilib, biz amalda qanday foydalanishni ko'rib chiqdik dasturiy ta'minot tarmoq ichidagi ma'lumotlarni ushlab qolish uchun. Biz kirish ma'lumotlarini, shuningdek, boshqa ma'lumotlarni olish imkonini beruvchi bir nechta maxsus hujumlarni ko'rib chiqdik. Bundan tashqari, biz SoftPerfect WiFi Guard-ni ko'rib chiqdik, bu sizga mahalliy tarmoqni trafigi tinglashdan ibtidoiy darajada himoya qilish imkonini beradi.

Ko'p foydalanuvchilar kompyuter tarmoqlari, umuman olganda, "sniffer" kabi tushuncha noma'lum. Keling, hidlovchi nima ekanligini aniqlashga harakat qilaylik oddiy tilda o'qimagan foydalanuvchi. Lekin birinchi navbatda, siz hali ham atamaning o'zi oldindan ta'rifini o'rganishingiz kerak.

Sniffer: ingliz tili va kompyuter texnologiyalari nuqtai nazaridan sniffer nima?

Aslida, agar siz atamani oddiygina tarjima qilsangiz, bunday dasturiy ta'minot yoki apparat-dasturiy ta'minot majmuasining mohiyatini aniqlash qiyin emas.

Bu nom inglizcha sniff (sniff) so'zidan kelib chiqqan. Ruscha "sniffer" atamasining ma'nosi shundan kelib chiqadi. Bizning tushunchamizda hidlovchi nima? Tarmoq trafigidan foydalanishni kuzatishga qodir “sniffer” yoki oddiyroq aytganda, mahalliy yoki internetga asoslangan tarmoqlarning ishlashiga xalaqit beradigan, TCP/IP maʼlumotlar uzatish protokollari orqali kirish asosida oʻziga kerakli maʼlumotlarni ajratib oladigan aygʻoqchi.

Trafik analizatori: u qanday ishlaydi?

Keling, darhol band qilaylik: sniffer, u dasturiy ta'minot yoki umumiy dastur komponenti bo'lsin, trafikni (uzatiladigan va qabul qilingan ma'lumotlarni) tahlil qilish va ushlab turish qobiliyatiga ega. tarmoq kartalari(Ethernet). Nima bo'ladi?

Tarmoq interfeysi har doim ham xavfsizlik devori (yana dasturiy ta'minot yoki apparat) bilan himoyalanmaydi va shuning uchun uzatilgan yoki qabul qilingan ma'lumotlarni ushlab turish faqat texnologiya masalasiga aylanadi.

Tarmoq ichida axborot segmentlar bo'ylab uzatiladi. Bitta segmentda ma'lumotlar paketlari tarmoqqa ulangan mutlaqo barcha qurilmalarga yuborilishi kerak. Segmentlangan ma'lumotlar marshrutizatorlarga (marshrutizatorlarga), so'ngra kalitlarga (kalitlarga) va konsentratorlarga (markazlarga) uzatiladi. Ma'lumotni jo'natish paketlarni bo'lish orqali amalga oshiriladi, shunda oxirgi foydalanuvchi paketning bir-biriga ulangan barcha qismlarini butunlay boshqa marshrutlardan oladi. Shunday qilib, har kimni "tinglash" potentsialdir mumkin bo'lgan yo'nalishlar bir abonentdan boshqasiga o'tish yoki Internet-resursning foydalanuvchi bilan o'zaro aloqasi nafaqat shifrlanmagan ma'lumotlarga, balki ba'zilariga ham kirishni ta'minlaydi. maxfiy kalitlar, bu ham bunday shovqin jarayonida yuborilishi mumkin. Va bu erda tarmoq interfeysi butunlay himoyasiz bo'lib chiqadi, chunki uchinchi tomon aralashadi.

Yaxshi niyat va yomon niyat?

Sniffers ham yaxshi, ham yomon uchun ishlatilishi mumkin. Salbiy ta'sir haqida gapirmasa ham, shuni ta'kidlash kerakki, bunday dasturiy ta'minot va apparat tizimlari juda tez-tez ishlatiladi tizim ma'murlari, bu foydalanuvchilarning nafaqat tarmoqdagi harakatlarini, balki tashrif buyurilgan resurslar, kompyuterlarga faollashtirilgan yuklab olishlar yoki ulardan jo'natish bo'yicha Internetdagi xatti-harakatlarini kuzatishga harakat qiladi.

Tarmoq analizatorining ishlash usuli juda oddiy. Sniffer mashinaning chiquvchi va kiruvchi trafigini aniqlaydi. Biz ichki yoki tashqi IP haqida gapirmayapmiz. Eng muhim mezon - bu global tarmoqqa ulangan har qanday qurilma uchun yagona bo'lgan MAC manzili. U tarmoqdagi har bir mashinani aniqlash uchun ishlatiladi.

Snifferlarning turlari

Ammo turi bo'yicha ularni bir nechta asosiylarga bo'lish mumkin:

• apparat;
• dasturiy ta'minot;
• apparat va dasturiy ta'minot;
• onlayn appletlar.

Tarmoqda sniffer mavjudligini xatti-harakat bilan aniqlash

Xuddi shu WiFi snifferni tarmoqdagi yuk bilan aniqlashingiz mumkin. Agar ma'lumotlarni uzatish yoki ulanish provayder tomonidan ko'rsatilgan darajada emasligi aniq bo'lsa (yoki yo'riqnoma ruxsat beradi), siz darhol bunga e'tibor berishingiz kerak.

Boshqa tomondan, provayder foydalanuvchining xabarisiz trafikni kuzatish uchun dasturiy ta'minotni snifferni ham ishga tushirishi mumkin. Lekin, qoida tariqasida, foydalanuvchi bu haqda hatto bilmaydi. Ammo aloqa va Internetga ulanish xizmatlarini ko'rsatadigan tashkilot shu tariqa foydalanuvchiga suv toshqini, turli troyanlarning o'z-o'zini o'rnatish mijozlari, josuslar va boshqalarni ushlab turish nuqtai nazaridan to'liq xavfsizlikni kafolatlaydi. Ammo bunday vositalar ko'proq dasturiy ta'minot va tarmoq yoki foydalanuvchi terminallariga katta ta'sir ko'rsatmaydi.

Onlayn manbalar

Ammo onlayn trafik analizatori ayniqsa xavfli bo'lishi mumkin. Ibtidoiy kompyuter xakerlik tizimi snifferlardan foydalanishga asoslangan. Eng oddiy ko'rinishdagi texnologiya tajovuzkorning dastlab ma'lum bir resursda ro'yxatdan o'tishi, so'ngra rasmni saytga yuklashi bilan bog'liq. Yuklab olishni tasdiqlaganingizdan so'ng, potentsial qurbonga, masalan, shaklda yuboriladigan onlayn snifferga havola beriladi. elektron pochta yoki “Siz falonchidan tabrik olgansiz. Rasmni (otkritka) ochish uchun havolani bosing.”

Sodda foydalanuvchilar ko'rsatilgan giperhavolani bosadilar, buning natijasida tanib olish faollashadi va tashqi IP-manzil tajovuzkorga o'tkaziladi. Agar u tegishli dasturga ega bo'lsa, u nafaqat kompyuterda saqlangan barcha ma'lumotlarni ko'rishi, balki tizim sozlamalarini tashqaridan osongina o'zgartirishi mumkin, mahalliy foydalanuvchi buni hatto tushunmaydi, chunki bunday o'zgarishlarni noto'g'ri deb hisoblaydi. virus ta'siri. Ammo tekshirish paytida skaner nol tahdidlarni ko'rsatadi.

O'zingizni ma'lumotlarni ushlashdan qanday himoya qilish kerak?

Bu Wi-Fi sniffer yoki boshqa analizator bo'ladimi, ruxsatsiz trafikni skanerlashdan himoya qiluvchi tizimlar hali ham mavjud. Faqat bitta shart bor: ular faqat "telefon tinglash" ga to'liq ishonchingiz komil bo'lsa, o'rnatilishi kerak.

Bunday dasturiy ta'minot ko'pincha "antisniffers" deb ataladi. Ammo agar siz bu haqda o'ylab ko'rsangiz, bular trafikni tahlil qiladigan, ammo qabul qilishga urinayotgan boshqa dasturlarni bloklaydigan bir xil hidlovchilardir.

Shuning uchun qonuniy savol: bunday dasturiy ta'minotni o'rnatishga arziydimi? Ehtimol, uni xakerlar tomonidan buzish yanada ko'proq zarar keltiradi yoki uning o'zi ishlashi kerak bo'lgan narsani bloklaydimi?

Windows tizimlari bilan eng oddiy holatda, himoya sifatida o'rnatilgan xavfsizlik devoridan foydalanish yaxshiroqdir. Ba'zida nizolar bo'lishi mumkin o'rnatilgan antivirus, lekin bu ko'pincha faqat tegishli bepul paketlar. Professional sotib olingan yoki oylik faollashtirilgan versiyalarda bunday kamchiliklar mavjud emas.

Keyingi so'z o'rniga

Bularning barchasi "sniffer" tushunchasi haqida. O'ylaymanki, ko'pchilik allaqachon hidlovchi nima ekanligini tushunishgan. Nihoyat, savol qoladi: oddiy foydalanuvchi bunday narsalardan qanchalik to'g'ri foydalanadi? Aks holda, yosh foydalanuvchilar orasida ba'zida kompyuter bezoriligiga moyillikni sezishingiz mumkin. Ular birovning kompyuterini buzish qiziqarli musobaqa yoki o'zini o'zi tasdiqlash kabi narsa deb o'ylashadi. Afsuski, ularning hech biri oqibatlari haqida o'ylamaydilar, lekin xuddi shu onlayn snayferdan foydalangan holda tajovuzkorni uning tashqi IP-si, masalan, WhoIs veb-saytida aniqlash juda oson. To'g'ri, provayderning joylashgan joyi joy sifatida ko'rsatiladi, ammo mamlakat va shahar aniq belgilanadi. Xo'sh, bu kichik narsalar masalasi: yoki ruxsatsiz kirish amalga oshirilgan terminalni blokirovka qilish uchun provayderga qo'ng'iroq qilish yoki jinoiy ish. O'zingiz xulosa chiqaring.

Da o'rnatilgan dastur Kirish uchun urinish amalga oshirilgan terminalning joylashuvini aniqlash yanada sodda. Ammo oqibatlar halokatli bo'lishi mumkin, chunki hamma foydalanuvchilar ham bu anonimatorlar yoki virtual proksi-serverlardan foydalanmaydi va hatto Internet haqida hech qanday ma'lumotga ega emas. O'rganishga arziydi ...

Intercepter-NG nima

Keling, ARP ishlashining mohiyatini ko'rib chiqaylik oddiy misol. Kompyuter A (IP manzil 10.0.0.1) va kompyuter B (IP manzil 10.22.22.2) Ethernet tarmog'i orqali ulangan. A kompyuteri B kompyuteriga ma'lumotlar paketini yubormoqchi; u B kompyuterining IP manzilini biladi. Biroq, ular ulangan Ethernet tarmog'i IP manzillari bilan ishlamaydi. Demak, Ethernet orqali uzatish uchun A kompyuteri B kompyuterining manzilini bilishi kerak Ethernet tarmoqlari(Ethernet shartlarida MAC manzili). Ushbu vazifa uchun ARP protokoli qo'llaniladi. Ushbu protokoldan foydalanib, A kompyuteri bir xil eshittirish domenidagi barcha kompyuterlarga yuborilgan so'rov yuboradi. So'rovning mohiyati: "10.22.22.2 IP manzilli kompyuter, MAC manzili bo'lgan kompyuterga MAC manzilingizni taqdim eting (masalan, a0:ea:d1:11:f1:01)." Ethernet tarmog'i ushbu so'rovni bir xil chekilgan segmentidagi barcha qurilmalarga, shu jumladan B kompyuteriga yetkazib beradi. B kompyuteri so'rovga A kompyuteriga javob beradi va uning MAC manzilini (masalan, 00:ea:d1:11:f1:11) xabar qiladi. B kompyuterining MAC manzilini oldi, A kompyuteri Ethernet tarmog'i orqali unga istalgan ma'lumotlarni uzatishi mumkin.

Har bir ma'lumot yuborishdan oldin ARP protokolidan foydalanish zaruratini oldini olish uchun qabul qilingan MAC manzillari va ularga mos keladigan IP-manzillar bir muncha vaqt jadvalda qayd etiladi. Agar siz bir xil IP-ga ma'lumotlarni yuborishingiz kerak bo'lsa, kerakli MACni qidirishda har safar qurilmalarni so'rashning hojati yo'q.

Ko'rib turganimizdek, ARP so'rov va javobni o'z ichiga oladi. Javobdan MAC manzili MAC/IP jadvaliga yoziladi. Javob qabul qilinganda, uning haqiqiyligi hech qanday tarzda tekshirilmaydi. Bundan tashqari, so'rov qilingan yoki yo'qligini ham tekshirmaydi. Bular. soxta ma'lumotlar bilan maqsadli qurilmalarga (hatto so'rovsiz ham) ARP javobini darhol yuborishingiz mumkin va bu ma'lumotlar MAC/IP jadvaliga tushadi va ma'lumotlarni uzatish uchun ishlatiladi. Bu ba'zan ARP etching, ARP keshini zaharlash deb ataladigan ARP-spoofing hujumining mohiyatidir.

ARP-spoofing hujumining tavsifi

Ethernet mahalliy tarmog'idagi ikkita kompyuter (tugunlar) M va N xabar almashadi. Xuddi shu tarmoqda joylashgan hujumchi X ushbu tugunlar orasidagi xabarlarni ushlab olmoqchi. M xostining tarmoq interfeysiga ARP-spoofing hujumini qo'llashdan oldin, ARP jadvalida IP va MAC manzili N tugun. Shuningdek, N tugunning tarmoq interfeysida ARP jadvali M tugunning IP va MAC-larini o'z ichiga oladi.

ARP-spoofing hujumi paytida X tugun (tajovuzkor) ikkita ARP javobini (so'rovsiz) - M tuguniga va N tuguniga yuboradi. M tuguniga ARP javobi N IP manzilini va X ning MAC manzilini o'z ichiga oladi. N tuguniga ARP javobi M IP manzili va X MAC manzilini o'z ichiga oladi.

M va N kompyuterlari o'z-o'zidan ARP ni qo'llab-quvvatlaganligi sababli, ARP javobini olgandan so'ng, ular ARP jadvallarini o'zgartiradilar va endi ARP jadvali M N IP manziliga bog'langan MAC manzilini va N ARP jadvali X MAC manzilini o'z ichiga oladi, M IP manziliga bog'langan.

Shunday qilib, ARP-spoofing hujumi yakunlandi va endi M va N o'rtasidagi barcha paketlar (ramkalar) X orqali o'tadi. Masalan, agar M N kompyuteriga paket jo'natmoqchi bo'lsa, u holda M o'zining ARP jadvaliga qaraydi, yozuvni topadi. xostning IP manzili N bilan u yerdan MAC manzilini tanlaydi (va X tugunining MAC manzili allaqachon mavjud) va paketni uzatadi. Paket X interfeysiga keladi, u tomonidan tahlil qilinadi va keyin N tuguniga yo'naltiriladi.

SmartSniff ushlashga imkon beradi tarmoq trafigi va uning mazmunini ASCII da ko'rsatish. Dastur o'tayotgan paketlarni ushlaydi tarmoq adapteri va paketlar tarkibini matn ko'rinishida (protokollar http, pop3, smtp, ftp) va o'n oltilik dump shaklida ko'rsatadi. TCP/IP paketlarini yozib olish uchun SmartSniff quyidagi usullardan foydalanadi: xom rozetkalar - RAW soketlari, WinCap Capture Driver va Microsoft Network Monitor Driver. Dastur rus tilini qo'llab-quvvatlaydi va ulardan foydalanish oson.

Paketlarni olish uchun Sniffer dasturi

SmartSniff quyidagi ma'lumotlarni ko'rsatadi: protokol nomi, mahalliy va masofaviy manzil, mahalliy va masofaviy port, mahalliy tugun, xizmat nomi, ma'lumotlar hajmi, umumiy hajmi, tortib olish vaqti va oxirgi paket vaqti, davomiyligi, mahalliy va masofaviy MAC manzili, mamlakatlar va ma'lumotlar paketi tarkibi. Dastur moslashuvchan sozlamalarga ega, u suratga olish filtri funktsiyasini amalga oshiradi, http javoblarini ochish, IP manzillarini o'zgartirish, yordamchi dastur tizim tepsisiga minimallashtiriladi. SmartSniff shakldagi paketlar oqimi haqida hisobot yaratadi HTML sahifalar. Dastur TCP/IP oqimlarini eksport qilishi mumkin.