Spoofing «атакующий посередине»

Спуфингом называется практика злоумышленников маскироваться под конкретного пользователя или подключенного к сети устройства с целью похищения данных, распространения вредоносного ПО или обхождения механизмов контроля доступа. Самыми распространенными формами спуфинга являются IP спуфинг, email спуфинг и DNS спуфинг.

Как подключиться к вашей сети и увидеть все, что в ней происходит.

Включаем перенаправление пакетов (Packet Forwarding)

Первое, что надо сделать, это чтобы ваш компьютер с Kali Linux перенаправлял весь трафик, который он получает так, чтобы целевой компьютер мог получать доступ в Интернет. Введите следующее в командной строке:

или так:

Постоянное включение:

В результате будет гарантировано, что вся информация после того, как она перехвачена, будет перенаправляться туда, куда надо. Таким образом, интернет и вся другая связь между маршрутизатором и целевым компьютером будут продолжать работать.

Проверить включен ли IP Forwarding можно так:

или так:

Следующая команда переводит принимаемые TCP пакеты с порта 80 на порт 8080

 

Далее включаем спуфинг с помощью ARP

Теперь вам нужно включить спуфинг ARP. Компьютер и маршрутизатор будут вводиться в заблуждение, думая, что ваш адаптер Wi-Fi является мостом. Когда это произойдет, вы сможете контролировать весь трафик, идущий между устройствами. Вы будете перехватывать трафик, идущий в двух направлениях — проходящий на ваш компьютер от маршрутизатора и от компьютера к маршрутизатору.

Чтобы перехватывать трафик, идущий от вашего маршрутизатора, наберите следующую команду, заменив содержимое скобок информацией о вашей сети:

Обе строки должны выглядеть примерно следующим образом:

Теперь, весь трафик, идущий между этими двумя машинами, будет сохраняться в Kali Linux. В действительности есть масса инструментальных средств, позволяющих перехватывать эту информацию, но давайте здесь просто рассмотрим пару из них.

Чтобы отслеживать все адреса URL, которые посещает компьютер, откройте другую вкладку терминала и введите следующее:

В данных, выдаваемых на дисплей, вы увидите, какие WEB сайты посещает компьютер.

Если вас больше интересуют изображения, вы аналогичным образом можете перехватывать из трафика любое изображение. Введите следующее:

Появится окно, в котором будут отображаться все изображения, которые загружаются из сети и по сети передаются. Если есть какая-нибудь не зашифрованная информация, которая посылается между маршрутизатором и компьютером, вы, в принципе, ее увидите.

Обход сайтов HTTPS:\\

Как известно сейчас в сети сайты работают по расширенному протоколу передачи данных HTTPS в целях повышения безопасности. Тогда как наша «прослушка» может слушать только HTTP протоколы передачи данных. Для того что бы мы слушали защищённый канал передачи данных нам необходимо подменять протоколы на стадии своего виртуального роутера перед отправкой их на атакуемый компьютер. Для этого воспользуемся программой:

-k убить все сессии

-l задаёт порт для прослушивания. По умолчанию порт 1000

Ссылка на описания sslstrip

Немного практики:

Давайте попробуем прослушать трафик с сайтов где требуется ввести логин и пароль. Мы будем получать эти данные в терминале и записывать их в лог файл. Для этого воспользуемся программой:

Я не смог найти описание данной программы. pass.log это файл куда будут сохраняться полученные данные.

Некоторую часть материала я брал вот из этого видео.

Как использовать эти сведения для повышения безопасности сети

Лучший способ защитить от спуфинга ARP вашу сеть, это обеспечить безопасность вашей сети с помощью надежного пароля и убедиться, что он надежно спрятан. Кроме того также помогает включение брандмауэра на вашем компьютере. Также убедитесь, что вы всегда используете протокол HTTPS, когда он доступен. Когда протокол HTTPS включен, спуфер ARP ничего не сможет перехватить из того, что вы делаете. Это особенно важно в случае, когда вы пользуетесь общественной сетью Wi-Fi и не можете контролировать сетевую безопасность.

Добавить комментарий