Tutoriel Wireshark: Réseau & Renifleur de mots de passe

Table des matières:

Anonim

Les ordinateurs communiquent à l'aide de réseaux. Ces réseaux peuvent se trouver sur un réseau local LAN ou être exposés à Internet. Les renifleurs de réseau sont des programmes qui capturent les données de package de bas niveau transmises sur un réseau. Un attaquant peut analyser ces informations pour découvrir des informations précieuses telles que les identifiants utilisateur et les mots de passe.

Dans cet article, nous vous présenterons les techniques et outils de détection de réseau courants utilisés pour détecter les réseaux. Nous examinerons également les contre-mesures que vous pouvez mettre en place pour protéger les informations sensibles transmises sur un réseau.

Sujets abordés dans ce didacticiel

  • Qu'est-ce que le reniflement de réseau?
  • Reniflage actif et passif
  • Activité de piratage: Sniff Network
  • Qu'est-ce que l'inondation MAC (Media Access Control)

Qu'est-ce que le reniflement de réseau?

Les ordinateurs communiquent en diffusant des messages sur un réseau à l'aide d'adresses IP. Une fois qu'un message a été envoyé sur un réseau, l'ordinateur destinataire avec l'adresse IP correspondante répond avec son adresse MAC.

Le reniflement de réseau est le processus d'interception de paquets de données envoyés sur un réseau. Cela peut être fait par le logiciel spécialisé ou l'équipement matériel. Le reniflement peut être utilisé pour;

  • Capturez des données sensibles telles que les informations de connexion
  • Eavesdrop sur les messages de chat
  • Les fichiers de capture ont été transmis sur un réseau

Les protocoles suivants sont vulnérables au reniflage

  • Telnet
  • Rlogin
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Les protocoles ci-dessus sont vulnérables si les informations de connexion sont envoyées en texte brut

Reniflage passif et actif

Avant d'examiner le reniflage passif et actif, examinons deux dispositifs principaux utilisés pour mettre en réseau des ordinateurs; concentrateurs et commutateurs.

Un concentrateur fonctionne en envoyant des messages de diffusion à tous les ports de sortie, à l'exception de celui qui a envoyé la diffusion . L'ordinateur destinataire répond au message de diffusion si l'adresse IP correspond. Cela signifie que lors de l'utilisation d'un concentrateur, tous les ordinateurs d'un réseau peuvent voir le message de diffusion. Il fonctionne au niveau de la couche physique (couche 1) du modèle OSI.

Le diagramme ci-dessous illustre le fonctionnement du hub.

Un interrupteur fonctionne différemment; il mappe les adresses IP / MAC sur les ports physiques . Les messages de diffusion sont envoyés aux ports physiques qui correspondent aux configurations d'adresse IP / MAC de l'ordinateur destinataire. Cela signifie que les messages diffusés ne sont visibles que par l'ordinateur destinataire. Les commutateurs fonctionnent au niveau de la couche liaison de données (couche 2) et de la couche réseau (couche 3).

Le diagramme ci-dessous illustre le fonctionnement du commutateur.

Le sniffing passif intercepte les paquets transmis sur un réseau qui utilise un concentrateur . C'est ce qu'on appelle le reniflement passif car il est difficile à détecter. Il est également facile à exécuter car le concentrateur envoie des messages de diffusion à tous les ordinateurs du réseau.

Le sniffing actif intercepte les paquets transmis sur un réseau qui utilise un commutateur . Il existe deux méthodes principales utilisées pour détecter les réseaux liés par commutateur, l'empoisonnement ARP et l'inondation MAC.

Activité de piratage: Sniffer le trafic réseau

Dans ce scénario pratique, nous allons utiliser Wireshark pour renifler les paquets de données lorsqu'ils sont transmis via le protocole HTTP . Pour cet exemple, nous reniflerons le réseau à l'aide de Wireshark, puis nous nous connecterons à une application Web qui n'utilise pas de communication sécurisée. Nous nous connecterons à une application Web sur http://www.techpanda.org/

L'adresse de connexion est Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer JavaScript pour le visualiser. et le mot de passe est Password2010 .

Remarque: nous nous connecterons à l'application Web uniquement à des fins de démonstration. La technique peut également renifler des paquets de données provenant d'autres ordinateurs qui sont sur le même réseau que celui que vous utilisez pour renifler. Le reniflement n'est pas seulement limité à techpanda.org, mais renifle également tous les paquets de données HTTP et autres protocoles.

Renifler le réseau à l'aide de Wireshark

L'illustration ci-dessous vous montre les étapes à suivre pour réaliser cet exercice sans confusion

Téléchargez Wireshark à partir de ce lien http://www.wireshark.org/download.html

  • Ouvrez Wireshark
  • Vous obtiendrez l'écran suivant
  • Sélectionnez l'interface réseau que vous souhaitez renifler. Remarque pour cette démonstration, nous utilisons une connexion réseau sans fil. Si vous êtes sur un réseau local, vous devez sélectionner l'interface du réseau local.
  • Cliquez sur le bouton de démarrage comme indiqué ci-dessus
  • Ouvrez votre navigateur Web et saisissez http://www.techpanda.org/
  • L'e-mail de connexion est Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer JavaScript pour le visualiser. et le mot de passe est Password2010
  • Cliquez sur le bouton Soumettre
  • Une connexion réussie devrait vous donner le tableau de bord suivant
  • Revenez à Wireshark et arrêtez la capture en direct
  • Filtrer les résultats du protocole HTTP uniquement en utilisant la zone de texte du filtre
  • Localisez la colonne Info et recherchez les entrées avec le verbe HTTP POST et cliquez dessus
  • Juste en dessous des entrées de journal, il y a un panneau avec un résumé des données capturées. Recherchez le résumé qui dit Données textuelles basées sur les lignes: application / x-www-form-urlencoded
  • Vous devriez pouvoir afficher les valeurs en texte brut de toutes les variables POST soumises au serveur via le protocole HTTP.

Qu'est-ce qu'une inondation MAC?

L'inondation MAC est une technique de reniflage de réseau qui inonde la table MAC du commutateur avec de fausses adresses MAC . Cela entraîne une surcharge de la mémoire du commutateur et le fait agir comme un concentrateur. Une fois le commutateur compromis, il envoie les messages de diffusion à tous les ordinateurs d'un réseau. Cela permet de renifler les paquets de données lorsqu'ils sont envoyés sur le réseau.

Contre-mesures contre l'inondation de MAC

  • Certains commutateurs ont la fonction de sécurité de port . Cette fonction peut être utilisée pour limiter le nombre d'adresses MAC sur les ports. Il peut également être utilisé pour maintenir une table d'adresses MAC sécurisée en plus de celle fournie par le commutateur.
  • Les serveurs d'authentification, d'autorisation et de comptabilité peuvent être utilisés pour filtrer les adresses MAC découvertes.

Contre-mesures de reniflement

  • La restriction au support physique du réseau réduit considérablement les chances qu'un renifleur de réseau soit installé
  • Le chiffrement des messages au fur et à mesure qu'ils sont transmis sur le réseau réduit considérablement leur valeur car ils sont difficiles à déchiffrer.
  • Modification du réseau à un Secure Shell (SSH) réseau réduit également les chances du réseau a reniflé.

Résumé

  • Le reniflement du réseau intercepte les paquets au fur et à mesure qu'ils sont transmis sur le réseau
  • Le reniflement passif est effectué sur un réseau qui utilise un concentrateur. C'est difficile à détecter.
  • Le sniffing actif est effectué sur un réseau qui utilise un commutateur. Il est facile à détecter.
  • L'inondation MAC fonctionne en inondant la liste d'adresses de la table MAC avec de fausses adresses MAC. Cela permet au commutateur de fonctionner comme un HUB
  • Les mesures de sécurité décrites ci-dessus peuvent aider à protéger le réseau contre le reniflement.