Сниффер / анализатор трафика Intercepter-NG MITM

СМК Ф 7.5.0-01-34
МИНОБРНАУКИ РОССИИ
федеральное государственное бюджетное
образовательное учреждение высшего образования
«Череповецкий государственный университет»
Институт (факультет)
Кафедра
Институт Информационных Технологий
Информационной безопасности
Лабораторная работа
по дисциплине:
Инженерный практикум
на тему:
Аналог сниффера Wireshark - Intercepter-NG
Выполнили студенты группы
1ИБб-01-1оп-20
группа
направления подготовки (специальности)
10.03.01, Информационная безопасность
шифр, наименование
Большаков Даниил Валерьевич
Писарев Антон Николаевич
Тихонов Максим Антонович
фамилия, имя, отчество
Руководитель
Олешов Арсений Алексеевич
фамилия, имя, отчество
старший преподаватель
должность
Дата представления работы
«______»________________2024 г.
Заключение о допуске к защите
______________________________________
______________________________________
______________________________________
Оценка____________,________________
количество баллов
Подпись преподавателя______________
Череповец, 2024
Содержание
Введение ................................................................................................................... 3
ГЛАВА 1. ТЕОРЕТИЧЕСКОЕ ОПИСАНИЕ СНИФФЕРОВ И ПРОЦЕССА
ЗАХВАТА И ИЗУЧЕНИЯ ПАКЕТОВ СЕТЕВОГО ТРАФИКА. ....................... 5
1.1. Введение в терминологию анализаторов сетевого трафика ........................ 5
1.2. Функционал сниффера..................................................................................... 5
1.3. Классификация функциональных возможностей снифферов ..................... 6
1.4. Функциональные возможности снифферов .................................................. 7
1.5. Роль сниффера в сетевой инфраструктуре .................................................... 7
1.6. Примеры анализа трафика............................................................................... 9
ГЛАВА 2. ИЗУЧЕНИЕ И ПРАКТИЧЕСКОЕ ИСПОЛЬЗОВАНИЕ
СНИФФЕРА INTERCEPTER-NG. ....................................................................... 13
2.1. Изучение возможностей анализирования пакетов. .................................... 13
2.2. Изучение возможностей MiTM и сканирования сети. ............................... 17
2.3. MiTM-атака на captive-портале (актуальная рабочая атака) ..................... 29
2.3.1. Суть MITM и возникающие проблемы. .................................................... 29
2.3.2. Проведение MITM-атаки в Intercepter-NG ............................................... 32
2.3.3. Дополнительные возможности MITM mode. ........................................... 41
2.3.4. Возможности X-Scan Mode ........................................................................ 43
ЗАКЛЮЧЕНИЕ ..................................................................................................... 46
СПИСОК ЛИТЕРАТУРЫ..................................................................................... 47
Основная литература ......................................................................................... 47
Дополнительная литература ............................................................................. 47
2
Введение
Снифферы, как инструмент сетевого мониторинга и анализа, не теряют
своей актуальности, а их применение в ряде случаев становится все более
востребованным.
1. Сфера безопасности:
 Обнаружение кибератак: Снифферы позволяют отслеживать
сетевой
трафик
и
выявлять
подозрительную
активность,
потенциально связанную с кибератаками.
 Анализ вредоносного ПО: Снифферы могут использоваться для
сбора информации о работе вредоносных программ, что помогает
в разработке методов защиты от них.
 Расследование
кибер-инцидентов: Снифферы
могут
стать
бесценным источником информации при расследовании киберинцидентов, помогая восстановить ход событий и выявить
источник атак.
2. Сетевая оптимизация:
 Анализ сетевого трафика: Снифферы позволяют детально
анализировать сетевой траффик для выявления узких мест и
оптимизации производительности передачи данных.
 Диагностика
сетевых
проблем: Снифферы
могут
быть
использованы для диагностики и выявления проблем с сетью.
 Планирование сети: Снифферы помогают в сборе информации о
сетевой инфраструктуре, что необходимо для ее грамотного
планирования и масштабирования.
3. Образование и наука:
 Изучение сетевых протоколов: Снифферы позволяют наглядно
увидеть работу сетевых протоколов, что
3
 Разработка
сетевых
инструментов: Снифферы
могут
использоваться как основа для разработки
 Сетевые исследования: Снифферы могут использоваться для
сбора данных.
Объектом работы являются снифферы, предметом – исследование
снифферов с GPL лицензией и их применение. Цель данной курсовой работы
– изучить возможности одного из снифферов с GPL лицензией и
продемонстрировать его возможности. Для достижения поставленной цели
необходимо решить следующие задачи:
1) Изучить принцип работы сетевых снифферов;
2) Выбрать доступный сниффер, который имеет GPL лицензию;
3) Описать выбранный сниффер и практически применить его
функционал.
4
ГЛАВА 1. ТЕОРЕТИЧЕСКОЕ ОПИСАНИЕ СНИФФЕРОВ И
ПРОЦЕССА
ЗАХВАТА
И
ИЗУЧЕНИЯ
ПАКЕТОВ
СЕТЕВОГО
ТРАФИКА.
1.1. Введение в терминологию анализаторов сетевого трафика
Понятие "sniffer" (в переводе с английского
- "нюхач" или
"вынюхиватель") обозначает устройство или программное обеспечение,
предназначенное для перехвата передаваемых по сети данных. Широко
используемый термин "сниффер" относится к категории программного
обеспечения, взаимодействующего с сетью. Первоначально, слово "сниффер"
было связано с продуктом "Sniffer(r) Network Analyzer", разработанным
компанией Network Associates. Однако впоследствии термин стал общим и
используется для обозначения всего класса подобных продуктов.
В литературе и документации, а также в электронных словарях, термин
"sniffer" (или "network sniffer") часто ассоциируется с понятиями "анализатор
сетевого трафика", "анализатор пакетов", "анализатор протоколов" или
"сетевой анализатор". Однако стоит отметить, что это лишь одна из
возможных интерпретаций.
1.2. Функционал сниффера
Сниффинг — это не просто перехват трафика, а комплекс мероприятий,
включающий в себя захват пакетов, их декодирование и анализ.
Захват пакетов (packet capturing) позволяет получить сырые данные в
машинно-читаемом формате, обычно организованные по границам кадров.
После этого следует процесс декодирования пакетов, который преобразует
данные в удобочитаемый человеком формат. Затем осуществляется анализ
протоколов, включающий в себя проверку содержания и структуры пакетов на
всех уровнях стека протоколов.
Кроме базовой функциональности сниффера, могут быть реализованы
дополнительные возможности, такие как просмотр пакетов в реальном
5
времени, фильтрация по заданным критериям и сбор статистики по трафику,
включая количество ошибок и интенсивность передачи данных.
Перехватить трафик через сниффер можно следующими способами:
путем прослушивания в обычном режиме сетевого интерфейса, подключением
в разрыв канала, перенаправлением трафика, посредством анализа побочных
электромагнитных излучений, при помощи атаки на уровень канала и сети,
приводящей к изменению сетевых маршрутов.
1.3. Классификация функциональных возможностей снифферов
В данном разделе будет представлена классификация снифферов,
основанная на их функциональных возможностях. Понятно, что данная
классификация имеет условный характер, так как официальной "Теории
сниффинга" в полном объеме пока не существует.
Распределение снифферов по месторасположению:
Снифферы могут быть размещены на различных участках сети, что
вносит разнообразие в их функциональные характеристики.
На маршрутизаторе (шлюзе). Этот тип снифферов способен
перехватывать трафик, проходящий через интерфейсы маршрутизатора.
Например, он может анализировать передачу данных из одной локальной сети
в другую и в обратную сторону. Разместив сниффер на маршрутизаторе
провайдера Интернет, можно отслеживать трафик пользователей и выполнять
другие операции.
На оконечном узле сети. Для Ethernet существуют два основных
варианта размещения сниффера на оконечном узле. В классическом
некоммутируемом Ethernet каждый сетевой интерфейс слышит весь трафик
своего сегмента. Однако, в нормальном режиме работы, сетевая карта читает
только те пакеты, которые адресованы ей. Для перехвата всего трафика
сегмента необходимо перевести сетевую карту в режим promiscuous mode
(сканирования). Использование коммутируемого Ethernet усложняет задачу
6
перехвата трафика, но такие ситуации можно обойти с помощью техник,
например, ARP-спуфинга.
1.4. Функциональные возможности снифферов
Помимо места размещения, снифферы могут различаться по следующим
основным функциональным характеристикам:
 Поддерживаемые
канального
физические
интерфейсы
и
протоколы
уровня;
 Качество
декодирования
и
количество
распознаваемых
протоколов;
 Удобство
пользовательского
интерфейса
и
отображения
информации;
 Дополнительные функции, такие как статистика, просмотр в
реальном времени, генерация или модификация пакетов и другие.
При выборе сниффера важно руководствоваться конкретными задачами
и потребностями пользователя. Это может быть как специализированное
решение,
идеально
подходящее
для
определенных
задач,
так
и
многофункциональное приложение, предоставляющее широкий спектр
возможностей для различных ситуаций.
1.5. Роль сниффера в сетевой инфраструктуре
Существует две основные сферы применения сниффера: легальная и
нелегальная. Интересно отметить, что термин "сниффер" чаще ассоциируется
с нелегальным использованием, в то время как "сетевой анализатор"
употребляется в контексте легальных задач. Давайте начнем с аспекта
легального использования.
Обнаружение
и
устранение
неполадок.
Снифферы
широко
применяются для выявления и решения проблем в сети, что называется
troubleshooting. В расширенном режиме работы, когда сниффер установлен на
некоммутируемом сегменте или на шлюзе, он предоставляет полную картину
7
происходящих событий в сети. Это включает в себя анализ интенсивности
трафика по времени, по рабочим станциям и протоколам, а также выявление и
подсчет ошибок различных типов. Сниффер также оказывается полезным при
решении специфических проблем, например, когда конкретная станция не
может установить сетевое взаимодействие несмотря на то, что сеть кажется
работоспособной.
Это
особенно
важно,
когда
сетевое
программное
обеспечение использует закрытые или недокументированные протоколы.
Отладка собственного программного обеспечения. Снифферы также
необходимы для отладки собственного программного обеспечения. Они
помогают
выявить
и
исправить
ошибки,
связанные
с
сетевым
взаимодействием. Например, использование сниффера поможет обнаружить
причину отказа прокси-сервера в установке соединения из-за неправильного
формата GET-запроса. Кроме того, снифферы часто используются для анализа
работы протоколов TCP/UDP в повседневной административной практике.
Обучение и практика. Снифферы играют ключевую роль не только в
администрировании сетей, но и в обучении сетевым технологиям, они
предоставляют возможность погрузиться в сетевые протоколы и методы
взаимодействия. Можно просто запоминать форматы заголовков пакетов
различных протоколов и их взаимодействие, но гораздо эффективнее
"потрогать это руками". Анализ пакетов с помощью сниффера после изучения
документации по неизвестным или плохо понимаемым протоколам позволяет
лучше понять и запомнить принципы их работы. Это практическое знание
остается в голове намного дольше и является более реалистичным.
Протоколирование сетевого трафика. Протоколирование трафика —
это важная составляющая политики безопасности многих организаций.
Несмотря на дискуссии о правомерности и этичности такой практики, многие
организации включают протоколирование трафика в свои политики
безопасности. Это позволяет администраторам эффективно контролировать
использование
сетевых
ресурсов
и
обнаруживать
несанкционированного доступа и другие атаки, такие как DoS-атаки.
8
попытки
Нелегальное использование сниффера. Несмотря на свои законные
цели, снифферы также могут использоваться в нелегальных целях. С помощью
сниффера можно шпионить за сетевым трафиком других пользователей, как
близких, так и удаленных. Это может быть полезно для получения
информации о посещаемых веб-ресурсах, передаваемых данных и общении в
сети. Некоторые организации, например, правоохранительные органы, могут
использовать снифферы для тотального протоколирования трафика в рамках
программы мониторинга. Злоумышленники могут использовать снифферы
для перехвата логинов и паролей, передаваемых в незашифрованном виде по
сети. Это может касаться различных протоколов, таких как telnet, POP, IMAP,
NNTP, IRC, а также паролей к веб-приложениям, не использующим
шифрование, и многих других.
Таким образом исследование сетевого трафика представляет собой
комплекс технических и инженерных методов, направленных на приём и
анализ передаваемой информации. Этот анализ может быть использован как
для защиты информационной безопасности, так и в незаконных целях. В
настоящее время предпринимаются меры по ужесточению наказания за
компьютерные атаки.
1.6. Примеры анализа трафика
В рамках конкретного программного обеспечения возможна реализация
сбора сетевых пакетов. На этапе сбора получается необработанный сетевой
поток данных, разделённый на отдельные пакеты. При использовании
программы для анализа трафика мы ожидаем получить результат в
удобочитаемом формате. Для этого применяется процесс декодирования
пакетов.
Приведем пример полученного сетевого пакета с использованием
анализатора трафика:
9
Рисунок 1.1. “Сырые” данные
Полученный набор данных представлен в формате, содержащем три
столбца: смещение каждой строки, данные в шестнадцатеричном формате и
их эквивалент в ASCII. В определённых ситуациях такое представление может
быть достаточным для получения необходимой информации. Однако более
удобным и полезным является декодирование пакета и его анализ на всех
уровнях модели OSI (модели взаимодействия открытых систем).
Примером такого декодирования может служить следующий формат
информации:
ETHER: Адрес назначения: 0000BA5EBA11
ETHER: Адрес источника: 00A0C9B05EBD
ETHER: Длина кадра: 1514 (0x05EA)
ETHER: Тип Ethernet: 0x0800 (IP)
IP: Версия = 4 (0x4)
IP: Длина заголовка = 20 (0x14)
IP: Тип сервиса = 0 (0x0)
IP: Приоритет = Обычный
И так далее.
Во время выполнения сканирования ARP злоумышленник обычно
направляет большое количество широковещательных запросов ARP (ff: ff: ff:
ff: ff: ff), с целью определения активных IP-адресов в локальной сети. Этот
процесс обычно представлен следующим образом:
10
Рисунок 1.2. ARP-сканирование в трафике
В таком случае злоумышленник имеет IP-адрес 192.168.204.20.
Если мы наблюдаем значительное количество таких ARP-запросов,
адресованных различным IP-адресам за короткий промежуток времени, то
существует вероятность того, что кто-то пытается определить активные IPадреса в нашей сети с помощью ARP-сканирования (например, используя
команду arp-scan -l)...
В общем случае можно обнаружить любую атаку, главное - знать, как
она выглядит. Например, атака на беспроводную сеть может выглядеть
следующим образом:
Рисунок 1.3. Атака деаутентификации в трафике
Обнаружение фреймов типа 12 (деаутентификация) в эфире вероятно
указывает на попытку злоумышленника деаутентифицировать других
клиентов в сети. Целью такой атаки является вынуждение этих клиентов
повторно пройти процедуру аутентификации, что в свою очередь позволяет
11
злоумышленнику собрать (прослушать) рукопожатия четырех сторон
WPA/WPA2, происходящие при повторной аутентификации.
Этот метод широко известен в сфере взлома беспроводных сетей с
предварительно установленным ключом (PSK, Pre-shared Key). После сбора 4стороннего рукопожатия WPA злоумышленник может попытаться провести
его взлом, что позволит ему получить пароль в открытом виде и,
следовательно, доступ к сети.
12
ГЛАВА 2. ИЗУЧЕНИЕ И ПРАКТИЧЕСКОЕ ИСПОЛЬЗОВАНИЕ
СНИФФЕРА INTERCEPTER-NG.
2.1. Изучение возможностей анализирования пакетов.
Как и в Wireshark, в Intercepter можно в режиме реального времени
просматривать передаваемые и получаемые пакеты. Для этого нужно
активировать возможность просмотра в настройках программы (галочка в Way
Back должна быть):
Рисунок 2.1. Внешний вид программы
Далее нажимаем на «шестерёнку»:
Рисунок 2.2. Меню настроек
13
И отмечаем пункт WayBack:
Рисунок 2.3. Отметка “WayBack”
Далее нужно нажать на крайнюю правую иконку, чтобы перейти в
отслеживание пакетов:
Рисунок 2.4. Отслеживание пакетов
Есть возможность выбрать необходимый сетевой адаптер:
Рисунок 2.5. Выбор сетевого адаптера
14
Теперь можно приступить к процессу отслеживания пакетов. Для этого
можно отдельно выполнить 2 операции: зайти на какой-либо сайт,
воспользоваться командной строкой/PowerShell.
Рисунок 2.6. Проверка захвата пакетов ping’ом
В итоге, Intercepter-NG выводит следующие строки:
Рисунок 2.7. Демонстрация захвата пакетов
При вводе команды для вывода пути до сайта vk.com, программа выдает
следующее:
15
Рисунок 2.8. Пакеты при запросе vk.com
В общем и целом, функционал и внешний вид похожи на wireshark,
причем при открытии сайта в браузере, можно отследить поток TCP:
Рисунок 2.9. Захват пакетов при обращении к сайту в Интернете
Немаловажна функция, которая позволяет посмотреть состав пакета
(HEX-код, а также адрес источника и назначения), также его можно скачать:
Рисунок 2.10. Состав пакета
16
Рисунок 2.11. Сохранение пакетов
Помимо сохранения пакета, можно сохранить и всю сессию целиков в
отдельный файл:
Рисунок 2.12. Выбор места для сохранения
2.2. Изучение возможностей MiTM и сканирования сети.
Человек посередине. Главная задача Intercepter-NG – выполнение атаки
человек-посередине. В практическом смысле, атака человек-посередине (её
ещё называют атакой посредника) заключается в возможности просматривать
передаваемые другими пользователями данные в локальной сети. Среди этих
данных могут быть логины и пароли от сайтов. Также передаваемые данные
можно не только анализировать и сохранять, но и изменять.
Благодаря атаке, называемой ARP спуфингом, компьютер начинает
считать шлюзом не роутер, а компьютер атакующего. Атакующий получает
запросы от «жертвы» и передаёт их в пункт назначения (например,
17
запрашивает содержимое веб-сайта в Интернете), получив ответ от пункта
назначения, он направляет его «жертве». В этой ситуации атакующий
становится посредником – отсюда другое название атаки человек-посередине
– «атака посредника». Для реализации атаки ARP спуфинг необязательно
понимать её детали. Но если вам интересно, почему это происходит, то в конце
инструкции вы найдёте подробное описание этого процесса.
Атакующий получает доступ к передаваемым данным и может,
например, извлекать из этих данных пароли и сообщения. Процесс анализа
передаваемых данных называется сниффингом. В процессе сниффинга
Intercepter-NG умеет:
 Перехватывать логины и пароли для входа на веб-сайты;
 Восстанавливать переданные данные (файлы);
 Перехватывать сообщения некоторых мессенджеров;
 Показывать посещённые пользователем адреса.
Кроме передачи данных, возможно их изменение, внедрение в код
открываемых страниц JavaScript и принудительная загрузка пользователю
файла.
Всё это прекрасно работает только для незашифрованных данных. Если
данные зашифрованы (HTTPS), то их невозможно проанализировать без
дополнительных действий.
Прежде чем подключиться к веб-сайту, компьютер обращается к DNS
(серверу имён), чтобы узнать его IP адрес. Intercepter-NG умеет подменять
ответы DNS (делать DNS спуфинг), что позволяет перенаправлять «жертву»
на фальшивые копии сайтов для последующих атак.
Это далеко не все возможности программы. С другими возможностями
мы познакомимся далее в этой инструкции.
Атака человек-посередине в Intercepter-NG на практике. Сделаем
небольшие настройки. В зависимости от того, подключены вы по Wi-Fi или по
Ethernet (проводу), кликая на выделенную иконку перейдите в нужный режим
18
(если соединены по проводу – выберите изображение сетевой карты, если по
беспроводной сети, то выбирается изображение с уровнем сигнала):
Рисунок 2.13. Выбор режима соединения
Также необходимо открыть выпадающий список сетевых адаптеров
(Network Adapter). Всё работает, когда выбирается вариант со своим IP
адресом (т.е. 'Microsoft' on local host: 192.168.0.244):
19
Рисунок 2.14. Список всех доступных адаптеров
Нажать правой кнопкой по пустой таблице и выбрать Smart Scan:
Рисунок 2.15. Включение функции Smart Scan
Будет отображён список целей:
20
Рисунок 2.16. Список устройств, находящихся в сети
Добавить нужные в качестве целей (Add as Target):
Рисунок 2.17. Функция добавления как цель
21
Для начала сниффинга нужно нажать на соответствующую иконку:
Рисунок 2.18. Кнопка нажатия старта сниффинга
Далее перейти на вкладку MiTM mode (это глобус с патч-кордами) и
нажать на иконку ARP Poison (символ радиационной опасности):
22
Рисунок 2.18. Старт режима ARP Poison
Во вкладке Password Mode (символ — связка ключей), будут появляться
захваченные учётные данные:
Рисунок 2.19. Список захваченных учетных записей
23
На вкладке Resurrection (кнопка с птицей Феникс) можно увидеть, какие
файлы были переданы:
Рисунок 2.20. Список переданных файлов
Техники атак человек-посередине (MiTM) в Intercepter-NG
Рисунок 2.21. Опции MiTM атак Intercepter-NG
При нажатии на кнопку Configure MiTMs (шляпа с глазом) открывается
диалоговое окно MiTM Attacks:
Рисунок 2.22. Конфигурации MiTM атак
Оно содержит перечень поддерживаемых техник.
24
SSL MiTM. Является старой классической техникой подмены
сертификатов.
Позволяет
перехватывать
данные
любого
протокола,
защищенного при помощи SSL. Стандартно поддерживаются: HTTPS, POP3S,
SMTPS, IMAPS. Опционально можно указать любой дополнительный порт.
При перехвате HTTPS, сертификаты генерируются «на лету», копируя
оригинальную информацию с запрашиваемого ресурса. Для всех других
случаев используется статичный сертификат.
Естественно, при использовании данного функционала неизбежны
предупреждения браузера и другого клиентского ПО.
В новой версии был полностью переписан код для SSL MiTM. Теперь он
работает быстро и стабильно. Также изменился алгоритм генерации
сертификатов, в них стали добавляться дополнительные dns записи и все
сертификаты подписываются единым ключом (misc\server). Это означает, что,
добавив данный самоподписанный сертификат в список доверенных на
компьютере цели, можно будет прослушивать SSL трафик до любого ресурса
(где нет SSL Pinning). Функция Cookie Killer теперь работает и для SSL
соединений.
Появились
черные
(misc\ssl_bl.txt)
и
белые
списки
(misc\ssl_wl.txt). В них можно исключить или напротив жестко указать IP
адреса или домены, к которым следует или не следует применять SSL MiTM.
При указании extra ssl port больше нет необходимости указывать тип
read\write, достаточно указать номер порта. Весь трафик пишется в ssl_log.txt.
SSL Strip. SSL Strip — «тихая» техника для перехвата HTTPS
соединений. Долгое время рабочая версия существовала только под unix,
теперь подобные действия можно проводить и в среде NT. Суть в следующем:
атакующий
находится
«посередине»,
анализируется
HTTP
трафик,
выявляются все https:// ссылки и производится их замена на http:// Таким
образом клиент продолжает общаться с сервером в незащищенном режиме.
Все запросы на замененные ссылки контролируются и в ответ доставляются
данные с оригинальных https источников.
25
Т.к. никаких сертификатов не подменяется, то и предупреждений нет.
Для имитации безопасного соединения производится замена иконки favicon.
DNS <> ICMP. Это совершенно новая техника, ранее упоминаемая или
не реализованная. Она основывается на том же старом ICMP Redirect MiTM,
но открывает новый способ для сниффинга данных. Первый шаг этой атаки
похож на классический ICMP редирект, но имеется одно важное отличие.
Так называемая «новая запись» - это DNS сервер жертвы. Мы
собираемся захватить контроль над всеми DNS запросами и сделать
некоторую магию перед тем, как жертва получит ответы.
Пример:
Когда происходит преобразование (резолвинг) somehost.com, DNS
отправляет ответ, содержащий один или более ответ с IP somehost.com. Более
того, он может содержать «дополнительные» ответы, о которых также
необходимо позаботиться. После завершения первой части атаки, жертва
начинает отправлять все DNS запросы через хост атакующего (NAT). Когда
NAT получает ответ от DNS, он считывает все IP и затем отправляет жертве
сообщения ICMP редиректа с преобразованным IP.
Таким образом, к моменту, когда NAT отправляет DNS ответ обратно
жертве,
его
таблица
маршрутизации
уже
имеет
записи
для
всех
преобразованных адресов, которые показывают на атакующий хост!
Это означает, что мы сниффим не только DNS жертвы, но всё, что было
преобразовано. Весь трафик спуфится через поддельный IP\MAC.
Эта часть атаки выполняется на стороне NAT, по этой причине вы
должны его правильно настроить.
Поставьте галочку в 'DNS over ICMP' затем заполните:
Router's IP – это IP шлюза по умолчанию, используемого жертвой.
Client's IP – это IP жертвы. Вы можете добавить несколько целей, но не
забудьте начать с отправки из Intercepter пакета ICMP редиректа каждой цели.
После
добавления
клиентов
вы
должны
поместить
свободный/неиспользуемый IP в поле «New Gateway» и в «Stealth IP».
26
Выберите адаптер, они должны быть теми же, поскольку мы собираемся
маршрутизировать трафик в одной ethernet области.
Запустите NAT.
Все DNS ответы сохраняются в специальном списке и NAT регулярно (в
соответствии с временем, установленным в настройках) повторно отсылает
ICMP редиректы,
В конце вам нужно проделать ещё одно действие. Вы не можете
выполнить «лечение» таблицы маршрутизации жертвы (как при ARP
травлении), поэтому вы должны снять галочку с «DNS ↔ ICMP» для
предотвращения повторной отправки ICMP редиректов и ожидать примерно
10-15 минут. После этого новые записи не будут добавляться, но старые будут
прекрасно работать через NAT, пока не истечёт срок действия.
SSH MiTM. Вы можете перехватить данные SSH аутентификации
(логин/пароль) и видеть все команды, проходящие во время удалённой сессии.
Поддерживается 2 механизма аутентификации: по паролю и интерактивная.
Для сниффинга данных жертвы нам необходимо действовать как настоящий
sshd и мы предоставляем наши собственные ключи rsa/dsa. Если оригинальный
ключ хоста кэшируется жертвой, то появится сообщение с предупреждением,
если не кэшируется, то на клиентской стороне не будет никаких признаков
атаки.
Когда жертва залогинилась, она может работать как обычно, выполнять
команды и псевдографические программы, такие как midnight commander.
Intercepter перехватывает запросы WINDOW_CHANGE, следовательно, если
жертва решит изменить размер окна, всё будет корректно перерисовано в
соответствии с новым размером окна.
Программа работает с удалённым сеансом, но не работает с SFTP. Если
жертва запустит SFTP клиент, данные аутентификации будут перехвачены, но
затем соединение будет отброшено и помечено. Затем, когда жертва
попытается заново подключиться, она получит доступ к оригинальному
серверу ssh помимо нашего фальшивого sshd.
27
Необходимо упомянуть, что атакующий входит на удалённый сервер и
оставляет его IP адрес в логах. В экспертном режиме вы можете выбрать
опцию отбрасывать ssh соединение после получения учётных данных жертвы.
Соединение будет помечено, и при следующей попытке программа разрешит
доступ к оригинальному серверу.
Виды сканирования. Сканирование является первой стадией, т. е.
многие MiTM атаки начинаются с него. Чтобы показать меню сканирований,
перейдите во вкладку MiTM Mode и нажмите правую кнопку мыши на
таблице.
Рисунок 2.23. Включение функции Smart Scan

Smart
Scanning:
оно
комбинирует
ARP
сканирование
и
обнаружение шлюза. К привычной информации об IP и MAC адресах,
производителе сетевой карты и операционной системе, делается вывод имени
компьютера. За тот же промежуток времени теперь дополнительно можно
узнать Netbios имя или название устройства под управлением iOS. Для
резольва последнего используется протокол MDNS, на основе которого
работает Apple'овский протокол Bonjour. Все полученные имена теперь
сохраняются в кеш-файл и если при последующих сканированиях по какойлибо причине информация об имени хоста не была получена динамически, то
28
она будет взята из кеша. В дополнении это сканирование показывает Stealth IP
и автоматически устанавливает в соответствующих полях во вкладке MiTM IP
шлюза (если он был обнаружен) и Stealth IP. Также выполняется обнаружение
ОС на основе TTL значений.

ARP Scanning (ARP сканирование): просто проверяет подсеть C-
класса назначенную на выбранный ethernet адаптер. Например, если ваш IP это
192.168.0.10, то будет проверено 255 IP адресов в диапазоне 192.168.0.1-255.
Начиная с версии 0.9.5, программа проверяет сетевую маску для правильного
сканирования всех подсетей.

DHCP
Discovering
(обнаружение
DHCP):
отправляет
широковещательные сообщения DHCP-Discovery и ожидает ответов от DHCP
серверов. Если какие-либо сервера отвечают, добавляет их в список.

Promisc Detection (обнаружение сетевых карт в неразборчивом
режиме): отправляет в сеть специальные ARP запросы. Отвечающие хосты
очевидно являются снифферами. Также могут отвечать некоторые ethernet
карты (3COM), т. е. возможны ложные срабатывания.

Gateway Discovering (обнаружение шлюза): отправляет SYN пакет
через все хосты в сети, если имеется шлюз, обратно будет отправлен ответ.
2.3. MiTM-атака на captive-портале (актуальная рабочая атака)
2.3.1. Суть MITM и возникающие проблемы.
Сложность современной атаки человек по-середине заключается в том,
что:
1)
весь трафик между пользователем и конечным сервером
шифруется.
2)
Браузеры и ОС проверяют сертификаты, которыми шифруют
сетевой трафик.
29
Цель злоумышленника – получить общие ключи шифрования с жертвой
и легитимным ресурсом, к которому обращается жертва, стать посредником.
Этот тип атаки является классическим и называется SSL MITM.
Современные
браузеры
моментально
триггерятся
на
ложный
сертификат, который используется для шифрования трафика программой
Intercepter, да и вообще на любые сертификаты, которых нет в локальном
хранилище.
Ещё один вариант mitm-атаки SSL Strip – такая атака возможна если на
сайте присутствуют страницы без защиты, передаваемые клиенту по
протоколу HTTP (все страницы, кроме страницы авторизации). Вообще у всех
сайтов есть их версия без защиты. Поэтому злоумышленник может, проксируя
трафик между жертвой и сервером, обрезать ссылки и клиент будет всегда
работать по HTTP, а уже злоумышленник будет соединяться с сервером по
SSL. Жертва даже не поймёт, что что-то не так, потому что никаких
предупреждений браузер не будет выдавать, т.к. подмены сертификата по
факту и не было. Единственное – на всех страницах, будет значок
«Незащищённое соединение», но, говорят, можно его подменить при большом
желании.
В противодействие MITM атакам также был разработан механизм HSTS
– запрещающий браузерам ходить по HTTP на сайты, на которых уже бывал
ПК. Уязвимое место – если не было коннекта с ресурсом – возможен перехват
трафика. Но также существует и открытый список популярных ресурсов,
доступ к которым может осуществляться только по SSL. Поэтому механизм
SSL Strip с такими ресурсами будет бесполезным.
30
Рисунок 2.24. Варианты атак в Intercepter-ng
Есть несколько вариантов атак в Intercepter-ng: 1) Классический SSL
MITM, 2) SSH MITM (Работает только на версии SSH2.0 и было актуально, по
сути, году этак в 2016), 3) RDP MITM – работает до сих пор, в итоге будет
возможно восстановить «видео» RDP сессии; 4) SMB Hijacking – с помощью
этого перехватывается данные, передаваемые по протоколу smb; 5) WPAD —
WebProxy Auto-Discovery. Протокол автоматического получения настроек
прокси в локальной сети, поддерживается практически всеми веб-браузерами
и рядом других приложений. Позволяет очень легко перехватить поток
данных, выдавая себя за легитимный прокси сервер. 6) GP Hijacking –
позволяет получить удалённый доступ к серверу с правами system даже в
современной доменной сети.
К Special Features относится функция “Kerberos downgrade” – позволяет
сменить шифрование с AES256 на легко взламываемый RC4 при
аутентификации в доменной сети (Версия NTLMv2)
Фичи для SSL MITM: 1) SSL Strip, описанная ранее; 2) HSTS Spoofing
(замена легальных доменов на поддельные, чтобы механизм HSTS, не заставил
браузер атакуемого автоматически принимать соединение по SSL (например,
facebook.com -> faceb00k.c0m)). Intercepter-ng будет проксировать трафик
31
между атакуемым и сервером, при этом у клиента будет отображаться
соединение как «Незащищённое», 3) Cookie Killer – сбрасывает сессию
атакуемого на сайтах (конечно же, если трафик уже расшифровывается),
заставляя ввести пароль, который будет успешно перехвачен.
2.3.2. Проведение MITM-атаки в Intercepter-NG
Будет проведена классическая MITM атака с использованием SSL-strip
и элементами социальной инженерии.
Исходя из всего вышесказанного, нужно решить две задачи для
успешной MITM атаки: 1) Перехватывать трафик, стать шлюзом для
атакуемого, 2) Установить пользователю свой сертификат, чтобы браузер не
ругался.
Шаг 1. Выбор цели атаки
Рисунок 2.25. Сканирование сети на наличие потенциальной цели
Необходимо просканировать сеть и выбрать машину, которую будем
атаковать.
Шаг 2. Настроить проксирование трафика
32
Рисунок 2.26. Базовые сетевые настройки для программы
Необходимо указать шлюз локальной сети, которым мы будем
представляться клиенту, IP, от которого будем действовать в сети (если
выполнен Smart Scan – поля заполнятся автоматически) и адрес атакуемого.
Шаг 3.1 Выбрать режим MITM
Рисунок 2.27. Выбор типа MiTM-атаки
33
Далее запускаем sniffing, нажимая на кнопку “play”, запускаем
проксирование трафика, нажав на кнопочку “play”, которая рядом со значком
радиации, и запускаем ARP poison, нажав на значок радиации, что позволит
выдавать злоумышленника себя за шлюз, который указан ранее, в пределах
локальной сети
В окне сообщений появилась запись о том, что атака началась.
Рисунок 2.28. Запуск атаки
Со стороны пользователя это выглядит так:
Рисунок 2.29. Проблемы с сертификатами безопасности на стороне
пользователя после начала атаки
34
Программа генерирует сертификат сайта и подписывает его своим
собственным, который находится в файлах программы, из-за чего
формируется иллюзия легитимности.
Рисунок 2.30. Сертификат, не являющийся доверенным у пользователя
Т.к. браузеры стали более безопасными за последнее время и вообще
никаким образом не пустят пользователя в интернет по поддельному
сертификату, то необходимо предпринимать дополнительные действия.
Шаг 3.3. Выбор особенностей атаки
Подготавливаем фишинговый сайт с поддельным Captive-порталом
Рисунок 2.31. Выбор заготовленного captive-портала для атаки
35
Во вкладке с DNS-спуфингом видно, куда будет перенаправляться
пользователь при запросе Captive портала
Рисунок 2.32. DNS-записи, которые будут отправляться пользователю
Но пользователь сам вряд ли знает, что нужно набрать в адресной строке
для авторизации. Поэтому, добавив SSL Strip в настройки, мы вынудим
браузер идти и искать Captive портал, т.к. будут обнаружены проблемы с
доступом в интернет в ОС. При обычном SSL mitm возникает проблема только
с сертификатом.
36
Рисунок 2.33. Включение дополнительной функции для успешной атаки
Примечание: шаги 3.1-3.2 нужно настраивать вместе, перед самой
атакой, чтобы всё работало корректно и быстро, чтобы пользователь не сильно
волновался.
Открыв браузер в первый раз, пользователь сразу увидит страничку с
порталом, если он уже был в браузере, то нужно будет подождать немного,
чтобы он автоматически появился в соседней вкладке
Рисунок 2.34. Открывшийся captive-портал в браузере пользователя
Есть два пути атаки:
1) Запрос авторизационных данных (например, аутентификация через
Госуслуги или Facebook и т.д.);
2) Попросить установить сертификат, как на рисунке, прикреплены две
ссылки: одна на скачивание сертификата, другая – на скрипт по
автоматической его установке. Можно этот механизм усовершенствовать и
вообще обойтись одним лишь скриптом.
Допустим, случился первый сценарий, и пользователь ввёл данные:
37
Рисунок 2.35. Данные, введённые пользователем на captive-портале
Дальше только полёт фантазии, можно и страничку с вводом SMS
дальше сделать и просто получить доступ к сервису.
Допустим,
случился
второй
сценарий,
и
пользователь
скачал
сертификат:
Рисунок 2.36. Скачанные с captive-портала файлы
Конечно, могут возникнуть подозрения, но всё зависит больше от
легенды, можно сказать, что это сертификаты Минцифры и оформить
страничку в соответствующем стиле.
Феникс – восстановленные файлы из трафика; связка ключей – файлы
куки и перехваченные пароли, но программа старенькая, поэтому работает это
так себе
38
Рисунок 2.37. Перехватываемые в реальном времени файлы сессии
Рисунок 2.38. Перехватываемые в реальном времени учётные данные
Для
восстановления
данных
лучше
пользоваться
сторонними
программами, для сохранения трафика нужно поставить галочку в настройках
39
Рисунок 2.39. Сохранение полной сессии для дальнейшей её расшифровки
Сохранённый трафик будет храниться в папке Sessions
Рисунок 2.40. Сохранённый трафик
Трафик сохраняется в зашифрованном виде, но имея приватный ключ
из сертификата можно всё расшифровать.
40
Рисунок 2.41. Ключ, с помощью которого формировались сеансовые ключи
2.3.3. Дополнительные возможности MITM mode.
Рисунок 2.42. Изменение трафика в реальном времени
Режим замены данных в сетевых пакетах. Длина данных до и после
должна быть одинаковой. Менять можно как текстовые данные так и
бинарные, синтаксис для бинарных паттернов как в Си — "\x01\x02\x03". Если
требуется подмена в HTTP трафике, то в настройках необходимо включить
опцию «Disable HTTP gzip encoding».
41
Рисунок 2.43. Инъекции в загружаемые файлы
HTTP Injection позволяет добавлять правила замены данных в веб
трафике. В поле Pattern вводится шаблон для замены, это может быть
расширение файлов или конкретное имя, например .jpg или manual.doc. В
Content-Type
соответствующий
тип
данных,
в
Count
количество
производимых замен, в User-Agent можно указать конкретный UA для
целевого применения. При нажатии кнопки Add будет предложено выбрать
файл, которым будет заменен запрашиваемый файл согласно шаблону. Если в
Pattern мы ввели .jpg, то при запросе GET /photo.jpg картинка будет заменена
той, что была выбрана пользователем. Кнопка Update служит для обновления
полей в имеющейся записи, в основном это требуется для увеличения поля
Count.
Кроме этого, в данном режиме присутствует 4 Inject функции:
Inject Java Backdoor - внедряет в веб трафик java аплет. При низком
уровне безопасности Java и запуске со стороны пользователя - произойдет
обратное соединение на shell обработчик.
Inject Plugin Detector - внедряет специальный java скрипт, который
соберет информацию об установленных расширениях браузера и отправит ее
42
атакующему. Inject Forced Download - принудительная закачка файла на
стороне цели, как если бы закачка была инициирована ручным нажатием
ссылки.
Inject Reverse Shell - принудительная закачка back connect пейлоада.
При запуске будет предоставлен шелл доступ.
2.3.4. Возможности X-Scan Mode
В Intercepter-NG был внедрен новый сетевой сканер, заменивший
устаревший инструмент сканирования портов из предыдущих версий. Его
основные функции включают:

Определение открытых портов и автоматическое распознавание
следующих протоколов: SSH, Telnet, HTTP\Proxy, Socks4\5, VNC,
RDP.

Обнаружение SSL на открытых портах, а также считывание
баннеров и различных HTTP-заголовков.

Проверка доступности прокси или сокс-серверов извне в случае их
обнаружения.

Поиск уязвимостей без пароля в серверах VNC и проверка SSL на
уязвимость HeartBleed. Извлечение информации о версии ОС из
version.bind в DNS.

Проверка наличия потенциально уязвимых скриптов на вебсервере с учетом ShellShock. Анализ списка директорий и файлов
с кодом ответа 200 OK, а также списка директорий из файла
robots.txt.

Определение версии ОС через протокол SMB. При доступе
анонимного
пользователя
извлечение
локального
времени,
времени работы системы, списка общих ресурсов и локальных
пользователей. Для найденных пользователей автоматический
запуск перебора паролей.
43

Использование
замера
времени
отклика
для
определения
пользователей SSH из встроенного списка. Для найденных
пользователей запуск автоматического перебора паролей. Если
энумерация не удается (не работает на всех версиях), перебор
запускается только для пользователя root.

Автоматический перебор для HTTP Basic и Telnet, учитывая
особенности
протокола
Telnet
и
возможные
ложные
срабатывания.
Возможность сканирования любых целей, как в локальной сети, так и в
Интернете. Поддерживается указание списка портов для сканирования в
формате: 192.168.1.1:80,443 или диапазона портов 192.168.1.1:100-200. Также
возможно указание диапазона адресов для сканирования в формате:
192.168.1.1-192.168.3.255.
Рисунок 2.44. Экран X-Scan Mode
Для достижения более точных результатов, одновременно можно
сканировать только 3 хоста. В последнюю минуту были внедрены проверки
данных из SSL сертификатов. Например, если обнаруживается ключевое слово
"Ubiquiti" и одновременно открыт порт 22, автоматически запускается перебор
44
паролей SSH для пользователя "ubnt". То же самое справедливо и для
устройств Zyxel с пользователем "admin". На данный момент функционал
сканера для первого релиза является достаточным, и он успешно прошел
отладку.
45
ЗАКЛЮЧЕНИЕ
В ходе выполнения курсовой работы и проведения практических
экспериментов с программой Intercepter NG были выявлены ключевые
аспекты использования снифферов в сетевых технологиях.
Во-первых, исследование показало, что снифферы играют важную роль
в обучении и практическом освоении сетевых протоколов. Практический
анализ пакетов данных с использованием сниффера позволяет глубже понять
принципы работы сетевых протоколов и методы взаимодействия между
устройствами.
Во-вторых, применение снифферов в области безопасности сетей также
оказывается значимым. Протоколирование трафика с помощью снифферов
позволяет администраторам контролировать использование сетевых ресурсов,
выявлять аномалии и обнаруживать потенциальные угрозы безопасности.
Однако важно отметить, что использование снифферов может быть
двойственным. На практике была изучена и использована программа
Intercepter NG для проведения MITM-атак (причём весьма жизнеспособных и
легко проводимых), что подчеркивает реальные риски нелегального
использования снифферов. Это обращает внимание на необходимость защиты
сетей от подобных атак и реализации соответствующих мер безопасности.
Таким образом, выполнение курсовой работы и
практические
эксперименты с программой Intercepter NG позволили не только углубить
понимание работы сетевых протоколов и методов анализа трафика, но и
осознать важность безопасности информации в сетевых средах.
46
СПИСОК ЛИТЕРАТУРЫ
Основная литература
1. Аграновский, А. В. Тестирование веб-приложений : учебное пособие /
А. В. Аграновский. — Санкт-Петербург : ГУАП, 2020. — 155 с. — ISBN
978-5-8088-1515-5. — Текст : электронный // Лань : электроннобиблиотечная система. — URL: https://e.lanbook.com/book/216533 (дата
обращения: 15.03.2024). — Режим доступа: для авториз. пользователей.
2. Липанова, И. А. Информационные технологии. Работа в глобальных
компьютерных сетях : учебное пособие / И. А. Липанова, Е. Е.
Андрианова. — Санкт-Петербург : СПбГУТ им. М.А. Бонч-Бруевича,
2019. — 60 с. — Текст : электронный // Лань : электронно-библиотечная
система. — URL: https://e.lanbook.com/book/180034 (дата обращения:
14.03.2024). — Режим доступа: для авториз. Пользователей.
3. Ямашкин, С. А. Системный анализ web-трафика : учебное пособие / С.
А. Ямашкин. — Саранск : МГУ им. Н.П. Огарева, 2020. — 48 с. — ISBN
978-5-7103-4025-7. — Текст : электронный // Лань : электроннобиблиотечная система. — URL: https://e.lanbook.com/book/204683 (дата
обращения: 14.03.2024). — Режим доступа: для авториз. Пользователей.
Дополнительная литература
1. «Intercepter-NG официальный сайт» [Электронный ресурс]. — Режим
доступа: https://sniff.su/
2. «Intercepter-NG серия обзорных видео» [Электронный ресурс]. — Режим
доступа: https://www.youtube.com/@Intercepter/playlists
47