Programul Wireshark va fi un asistent excelent pentru acei utilizatori care trebuie să efectueze o analiză detaliată a pachetelor de rețea - traficul rețelei de computere. Snifferul interacționează cu ușurință cu astfel de protocoale comune precum netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 si multi altii. În timpul analizei, vă permite să separați un pachet de rețea în componentele corespunzătoare, conform unui protocol specific, și să afișați informații care pot fi citite în formă numerică pe ecran.
acceptă un număr mare de formate diferite de informații transmise și primite și este capabil să deschidă fișiere care sunt utilizate de alte utilitare. Principiul de funcționare este că placa de rețea intră în modul de difuzare și începe să intercepteze pachetele de rețea care se află în zona sa de vizibilitate. Poate funcționa ca un program pentru interceptarea pachetelor wifi.

Cum se folosește Wireshark

Programul studiază conținutul pachetelor de informații care trec prin rețea. Pentru a lansa și utiliza rezultatele sniffer-ului, nu aveți nevoie de cunoștințe specifice, trebuie doar să îl deschideți în meniul „Start” sau să faceți clic pe pictograma de pe desktop (lansarea acestuia nu este diferită de orice alt program Windows) . O funcție specială a utilitarului îi permite să capteze pachete de informații, să decripteze cu atenție conținutul acestora și să le returneze utilizatorului pentru analiză.

După lansarea wireshark, veți vedea meniul principal al programului pe ecran, care se află în partea de sus a ferestrei. Este folosit pentru a controla utilitatea. Dacă trebuie să încărcați fișiere care stochează date despre pachetele capturate în sesiunile anterioare, precum și să salvați date despre alte pachete capturate într-o nouă sesiune, atunci veți avea nevoie de fila „Fișier” pentru a face acest lucru.

Pentru a lansa funcția de captare a pachetelor de rețea, utilizatorul trebuie să facă clic pe pictograma „Captură”, apoi să găsească o secțiune specială de meniu numită „Interfețe”, cu care puteți deschide o fereastră separată „Interfețe de captare Wireshark”, unde toate interfețele de rețea disponibile ar trebui să să fie afișat, prin care vor captura pachetele de date necesare. În cazul în care programul (sniffer) este capabil să detecteze o singură interfață adecvată, va afișa pe ecran toate informațiile importante despre acesta.

Rezultatele muncii utilității sunt o dovadă directă că, chiar dacă utilizatorii nu sunt implicați în mod independent (la un moment dat) în transmiterea oricăror date, schimbul de informații în rețea nu se oprește. La urma urmei, principiul de funcționare a unei rețele locale este că, pentru a o menține în modul de funcționare, fiecare dintre elementele sale (calculator, comutator și alte dispozitive) schimbă continuu informații de serviciu între ele, prin urmare, astfel de instrumente de rețea sunt concepute pentru a intercepta astfel de pachete.

Există și o versiune pentru sistemele Linux.

Trebuie remarcat faptul că Sniffer-ul este extrem de util pentru administratorii de rețeași servicii de securitate informatică, deoarece utilitarul vă permite să identificați nodurile de rețea potențial neprotejate - zone probabile care pot fi atacate de hackeri.

Pe lângă scopul său direct, Wireshark poate fi folosit ca instrument de monitorizare și analiză ulterioară a traficului de rețea pentru a organiza un atac asupra zonelor neprotejate ale rețelei, deoarece traficul interceptat poate fi folosit pentru a atinge diverse obiective.

ATENŢIE! Acest articol este scris doar în scop informativ pentru specialiștii în securitate IT. Interceptarea traficului s-a bazat pe exemplul dispozitivelor proprii pe o rețea locală personală. Interceptarea și utilizarea datelor cu caracter personal pot fi pedepsite prin lege, așa că nu încurajăm utilizarea acestui articol pentru a dăuna altora. Pace mondială, să ne ajutăm unii pe alții!

Salutare tuturor! În acest articol vom vorbi despre WiFi sniffer. În general, acest tip de program este destinat exclusiv interceptării traficului pe o rețea locală. În plus, nu are nicio diferență modul în care victima este conectată la router, prin cablu sau Wi-Fi. Aș dori să arăt interceptarea traficului folosind exemplul unui program interesant „Intercepter-NG”. De ce am ales-o? Cert este că această aplicație sniffer este scrisă special pentru Windows, are o interfață destul de prietenoasă și este ușor de utilizat. Și nu toată lumea are Linux.

Capabilitati Intercepter-NG

După cum știți, o rețea locală folosește în mod constant schimbul de date între router și clientul final. Dacă se dorește, aceste date pot fi interceptate și utilizate în propriile scopuri. De exemplu, cookie-urile, parolele sau alte date interesante pot fi interceptate. Totul se întâmplă foarte simplu - computerul trimite o solicitare pe Internet și primește date împreună cu un răspuns de la gateway-ul central sau de la router.

Programul lansează un anumit mod în care computerul client începe să trimită cereri cu date nu către gateway, ci către dispozitivul cu programul. Adică, putem spune că el confundă routerul cu computerul atacatorului. Acest atac se mai numește și falsificare ARP. În plus, de la al doilea computer, toate datele sunt folosite în scopuri proprii.

După primirea datelor, începe procesul de sniffing, când programul încearcă să extragă informațiile necesare din pachete: parole, logică, resurse web finale, pagini vizitate de pe Internet și chiar corespondență în mesagerie instant. Dar există un mic dezavantaj în faptul că această imagine funcționează excelent cu date necriptate. Când solicitați pagini HTTPS, trebuie să dansați cu o tamburină. De exemplu, un program poate, atunci când un client solicită un server DNS, să introducă adresa site-ului său fals, unde își poate introduce numele și parola pentru a se autentifica.

Atacul normal

Mai întâi trebuie să descarcăm programul. Unele browsere se pot plânge dacă încercați să descărcați aplicația de pe site-ul oficial - sniff.su. Dar poți încerca. Dacă vă este prea lene să treceți prin această protecție, atunci puteți descărca aplicația de pe GitHub.

1. În funcție de modul în care sunteți conectat la rețea, pictograma corespunzătoare va fi afișată în colțul din stânga sus - faceți clic pe ea;

1. Trebuie să selectați modulul de rețea de lucru. Am ales-o pe cea care avea deja alocat un IP local, adică adresa mea IP;

1. În zona goală, faceți clic dreapta și apoi lansați „Smarty Scan”;

1. În continuare, veți vedea o listă de adrese IP, precum și MAC și informații suplimentare despre dispozitivele din rețea. Este suficient să selectați una dintre țintele atacului, să faceți clic pe ea și apoi să selectați „Adăugați ca țintă” din listă pentru ca programul să atribuie dispozitivul. După aceea, faceți clic pe butonul de pornire din colțul din dreapta sus al ferestrei;

1. Accesați secțiunea „Mod MiTM” și faceți clic pe pictograma de radiații;

1. Procesul de pornire a început, acum pentru a vizualiza autentificarea și parolele, mergeți la a treia filă;

1. Pe a doua filă veți vedea toate datele transferate;

După cum puteți vedea, aici puteți vedea și detecta doar cheile și numele de utilizator interceptate, precum și acele site-uri vizitate de țintă.

Interceptarea cookie-urilor

Dacă cineva nu știe, cookie-urile sunt date temporare care ne permit să nu introducem în mod constant acreditări pe forumuri, rețele sociale și alte site-uri. Ai putea spune că aceasta este o trecere temporară. De asemenea, le puteți intercepta folosind această aplicație.

Totul se face destul de simplu, după lansarea unui atac obișnuit, mergeți la a treia filă, faceți clic dreapta pe un câmp liber și selectați „Afișați cookie-urile”.

Ar trebui să vedeți cookie-urile necesare. Utilizarea acestora este foarte simplă - doar faceți clic dreapta pe site-ul dorit și apoi selectați „Deschideți în browser”. După aceasta, site-ul se va deschide din pagina contului altcuiva.

Obținerea login și a parolei

Cel mai probabil, după lansarea programului, clientul va fi deja conectat la unul sau altul. Dar îl puteți forța să-și introducă din nou datele de conectare și parola. Deoarece cookie-urile în sine nu sunt eterne, aceasta este o practică complet normală. În acest scop, se folosește programul Cookie Killer. După lansare, vechile cookie-uri ale clientului sunt șterse complet și acesta trebuie să-și introducă din nou numele și parola, aici interceptarea intră în joc. Există o instrucțiune video separată pe această temă:

Interceptor este un instrument de rețea multifuncțional care vă permite să obțineți date din trafic (parole, mesaje de mesagerie instant, corespondență etc.) și să implementați diverse atacuri MiTM.

​

Interfața programului Intercepter
Funcționalitate principală

• Interceptarea mesajelor instant messenger.
• Interceptarea cookie-urilor și a parolelor.
• Interceptarea activității (pagini, fișiere, date).
• Posibilitatea de a falsifica descărcările de fișiere prin adăugarea de fișiere rău intenționate. Poate fi folosit împreună cu alte utilități.
• Înlocuirea certificatelor Https cu Http.

Moduri de operare
Modul Mesageri– vă permite să verificați corespondența care a fost trimisă în formă necriptată. A fost folosit pentru a intercepta mesaje în mesagerie instantanee precum mesajele ICQ, AIM, JABBER.

Modul de resuscitare– recuperarea datelor utile din trafic, din protocoale care transmit trafic în text clar. Atunci când victima vede fișiere, pagini, date, acestea pot fi interceptate parțial sau complet. În plus, puteți specifica dimensiunea fișierelor pentru a nu descărca programul în părți mici. Aceste informații pot fi folosite pentru analiză.

Modul parolă– modul de lucru cu cookie-uri. În acest fel, este posibil să obțineți acces la fișierele vizitate de victimă.

Modul de scanare– modul principal de testare. Pentru a începe scanarea, trebuie să faceți clic dreapta pe Smart Scan. După scanare, fereastra va afișa toți participanții la rețea, sistemul lor de operare și alți parametri.

În plus, în acest mod puteți scana porturi. Trebuie să utilizați funcția Scan Ports. Desigur, există mult mai multe utilități funcționale pentru aceasta, dar prezența acestei funcții este un punct important.

Dacă suntem interesați de un atac direcționat asupra rețelei, atunci după scanare trebuie să adăugăm IP-ul țintă la Nat folosind comanda (Add to Nat). Într-o altă fereastră va fi posibilă efectuarea altor atacuri.

Modul Nat. Modul principal, care vă permite să efectuați o serie de atacuri prin ARP. Aceasta este fereastra principală care permite atacuri direcționate.

Modul DHCP. Acesta este un mod care vă permite să vă ridicați serverul DHCP pentru a implementa atacuri DHCP la mijloc.

Unele tipuri de atacuri care pot fi efectuate
Falsificarea site-ului

Pentru a falsifica site-ul web al victimei, trebuie să mergeți la țintă, după care trebuie să specificați site-ul și înlocuirea acestuia. În acest fel puteți înlocui destul de multe site-uri. Totul depinde de cât de înaltă calitate este falsul.

Falsificarea site-ului

Exemplu pentru VK.com

Selectarea atacului MiTM

​

Schimbarea regulii de injectare
Drept urmare, victima deschide un site web fals atunci când solicită vk.com. Și în modul parolă ar trebui să existe login-ul și parola victimei:

​

Pentru a efectua un atac țintit, trebuie să selectați o victimă din listă și să o adăugați la țintă. Acest lucru se poate face folosind butonul din dreapta al mouse-ului.

​

Adăugarea atacurilor MiTm
Acum puteți utiliza Modul Ressurection pentru a recupera diferite date din trafic.

​

Fișiere și informații despre victime prin atacul MiTm
Falsificarea traficului

​
​

Specificarea setărilor
După aceasta, cererea victimei se va schimba de la „încredere” la „perdantă”.

În plus, puteți elimina cookie-urile, astfel încât victima să se deconecteze de la toate conturile și să se conecteze din nou. Acest lucru vă va permite să interceptați datele de conectare și parolele.

​

Distrugerea cookie-urilor

Cum să vezi un potențial sniffer în rețea folosind Intercepter?
Folosind opțiunea Promisc Detection, puteți detecta un dispozitiv care scanează în rețeaua locală. După scanare, coloana de stare va afișa „Sniffer”. Aceasta este prima modalitate de a detecta scanarea într-o rețea locală.

​

Detectare sniffer
Dispozitiv SDR HackRF


​

HackRF
SDR este un fel de receptor radio care vă permite să lucrați cu diferiți parametri de frecvență radio. Astfel, este posibil să interceptați semnalul Wi-Fi, GSM, LTE etc.

HackRF este un dispozitiv SDR complet pentru 300 USD. Autorul proiectului, Michael Ossman, dezvoltă dispozitive de succes în această direcție. Snifferul Bluetooth Ubertooth a fost dezvoltat anterior și implementat cu succes. HackRF este un proiect de succes care a strâns peste 600 de mii pe Kickstarter. 500 dintre aceste dispozitive au fost deja vândute pentru testare beta.

HackRF operează în intervalul de frecvență de la 30 MHz la 6 GHz. Frecvența de eșantionare este de 20 MHz, ceea ce vă permite să interceptați semnale din rețelele Wi-FI și LTE.

Cum să te protejezi la nivel local?
În primul rând, să folosim software-ul SoftPerfect WiFi Guard. Există o versiune portabilă care nu necesită mai mult de 4 MB. Vă permite să vă scanați rețeaua și să afișați ce dispozitive sunt afișate pe ea. Are setări care vă permit să selectați placa de rețea și numărul maxim de dispozitive de scanat. În plus, puteți seta intervalul de scanare.

Posibilitatea de a adăuga comentarii pentru utilizatori


​

Fereastra de notificare pentru dispozitivele necunoscute după fiecare interval de scanare specificat

Concluzie
Astfel, am examinat în practică modul de utilizare a software-ului pentru a intercepta datele într-o rețea. Am analizat mai multe atacuri specifice care vă permit să obțineți date de conectare, precum și alte informații. În plus, ne-am uitat la SoftPerfect WiFi Guard, care vă permite să vă protejați rețeaua locală de traficul interceptat la un nivel primitiv.

The Sniffer de pachete de rețea Wi-Fi modul poate fi folosit atât în ​​modul normal, cât și în modul monitor, dar acceptă și o a treia opțiune, modul extins, pt captarea traficului rețelei Wi-Fi generate de echipamentul dumneavoastră.

Modul extins vă permite să utilizați în timp ce cardul dvs. wireless este conectat la o rețea Wi-Fi. În afară de vizualizarea pachetelor de semnalizare (balize, solicitări de sondă, răspunsuri de sondă, pachete de date etc.), veți putea vizualiza tot traficul de difuzare TCP, UDP sau Wi-Fi generat de sistemul dumneavoastră în timp ce este conectat. În acest fel, veți putea vizualiza și analiza toată navigarea pe web ( HTTP) trafic sau orice altă conexiune de rețea trimisă de rețeaua Wi-Fi la care sunteți conectat.

Acest mod de captură nu vă permite să vizualizați traficul Wi-Fi de pe alte canale, deoarece cardul dvs. wireless funcționează la o frecvență fixă.

Snifferul rețelei Wi-Fi în modul extins și sectoarele modului de captare a pachetelor de rețea sunt funcții noi mult așteptate pe Acrylic Wi-Fi Professional v2.3, care este de așteptat să fie lansat în următoarele zile.

Descărcați Wireless Network Sniffer pentru Windows 7/8/8.1/10

Dacă nu trebuie să vizualizați pachetele de rețea Wi-Fi sau să utilizați a Sniffer de trafic în rețeaua Wi-Fi, descărcați , o rețea Wi-Fi gratuită și un sniffer de canale pentru Windows care vă permite să vizualizați toate rețelele wireless la îndemână. Această versiune acceptă modurile normale de captură și monitorizare.

Dacă aveți nevoie de informații complete despre comportamentul rețelei fără fir, Sniffer de rețea Wi-Fi este soluția potrivită pentru dvs., deoarece acceptă toate cele trei moduri de captare a rețelei Wi-Fi, oferind Informații despre pachetele rețelei Wi-Fiîn timp real. Un instrument foarte util pentru îmbunătățirea performanței rețelei wireless, pentru detectarea incidentelor și pentru a afla mai multe despre rețelele Wi-Fi. Încercați-l gratuit!

Și pentru utilizatorii avansați, driverul Acrylic Wi-Fi vă permite.

Atenţie: Toate fișierele și programele folosite în articol pot fi descărcate din linkurile din partea stângă a paginii!

Acest articol este instrucțiuni pentru piratarea criptării WEP a rețelelor wi-fi. Acest text nu conține concepte de bază despre rețelele fără fir, presupunând că cititorul le are deja. Vom folosi: Windows OS, CommView pentru Wi-Fi și aircrack-ng 0.9.3 win.

Deoarece vom folosi CommView pentru Wi-Fi, trebuie să descărcați acest program, de exemplu de pe site-ul companiei. Aircrack-ng 0.9.3 win poate fi descărcat de pe site-ul nostru. Înainte de a instala CommView pentru Wi-Fi, verificați dacă adaptorul dvs. wireless este inclus în lista celor acceptate.

Instalați CommView pentru Wi-Fi în mod implicit (asigurați-vă că instalați driverul pentru cardul dvs., dacă este necesar!), dezarhivați Aircrack-ng 0.9.3 win în orice folder convenabil, dar recomand pe unitatea C:/. Putem lucra cu toții.

Pachetul aircrack-ng include un sniffer bun, airodump-ng, dar pot apărea unele dificultăți atunci când utilizați acest sniffer sub Windows. Sistemul de operare Windows are o caracteristică neplăcută: nu permite utilizarea mijloacelor standard (drifere oficiale) pentru a pune o cartelă Wi-Fi în modul sniffer (un mod în care cardul colectează toate pachetele disponibile, puteți utiliza drivere terță parte). este ceea ce fac de obicei) sau modificări ale celor oficiale, dar acest lucru este plin de erori și consecințe neplăcute sub forma refuzului cardului de a se conecta la punctul de acces. Acest lucru poate fi rezolvat cu ușurință prin instalarea unui driver standard.

Aș dori să vă ofer o altă opțiune, conform Choix de pe site-ul wardriving.ru, mai convenabilă - folosind combinația CommView pentru Wi-Fi și Aircrack-ng sniffer pentru a sparge cheia WEP. Principalul avantaj al unei astfel de combinații este că nu este nevoie să instalați driverul de fiecare dată când treceți cardul în modul sniffer și înapoi. CommView pentru Wi-Fi acceptă, de asemenea, unele carduri, cum ar fi adaptorul Intel PRO/Wireless 2200BG încorporat, care nu sunt acceptate în Windows airodump.

DESCARCĂ TOT CE îți trebuie (lista de programe din stânga)!

Lansăm CommView pentru Wi-Fi, la prima lansare va oferi corectitudinea driverelor și repornirea. Suntem cu îndrăzneală peste tot de acord. În continuare, dacă vom folosi programul doar pentru a colecta pachete de DATE criptate, selectați meniul REGULI și bifați casetele pentru capturarea pachetelor de DATE și ignorarea pachetelor BEACON și debifați restul. Faceți clic pe Salvați regula curentă (salvam rezerva). Mergeți la setări și setați-l acolo ca în imagine:

Aproape totul :-) Vom începe să-l defalcăm în curând)) Configurarea este făcută o dată, așa că nu vă alarmați că sunt atât de multe pe care trebuie să faceți este să mergeți la fila Fișiere jurnal din principal fereastra programului, bifați caseta pentru salvare automată și setați Dimensiunea maximă a directorului la 200 de metri și dimensiunea medie a fișierului este de aproximativ 5 metri.

Apoi, faceți clic pe butonul *Captură* și în fereastra care apare, faceți clic pe *începeți scanarea*. În dreapta apare o listă de puncte care se află în zona de acces cu nivelul semnalului și alte informații suplimentare. Selectăm punctul victimei noastre și apăsăm captura. Acum luăm bere și biscuiți în mână și așteptăm până când obținem numărul necesar de pachete (de la 100.000 la 2.000.000 în funcție de lungimea cheii), va trebui să așteptăm puțin.

Ura!!! Pachetele sunt colectate. Acum apăsați Ctrl+L în fereastra care apare: fișier, încărcați fișierele de jurnal commview și selectați toate fișierele pe care le vedem. Apoi meniul de reguli și încărcați ceea ce am salvat (doar pachetele de date). Acum exportăm pachetele în format TCPdump.

Folosim AirCrack, îi setăm parametrii și indicăm calea către fișierul nostru cu pachete din CommView, care este în format TCPdump. Pentru a rula GUI aircrack-ng, trebuie să aveți instalat Microsoft.NET FrameWork 2.0 (1 și 3 nu vor funcționa).

Selectați Criptare: WEP, Mărimea cheii: pe rând de la cel mai mic la cel mai mare. Dacă ați capturat suficiente pachete ARP, puteți bifa caseta de selectare USE PTW attack. Faceți clic pe Lansare.

Dacă cheia este găsită, veți vedea ceva de genul acesta:

Dacă cheia nu este găsită, încercați să schimbați parametrii până la finalul reușit.