Qu'est-ce qu'Intercepter-NG

Considérons l'essence du fonctionnement d'ARP sur exemple simple. L'ordinateur A (adresse IP 10.0.0.1) et l'ordinateur B (adresse IP 10.22.22.2) sont connectés par un réseau Ethernet. L'ordinateur A souhaite envoyer un paquet de données à l'ordinateur B ; il connaît l'adresse IP de l'ordinateur B. Cependant, le réseau Ethernet auquel ils sont connectés ne fonctionne pas avec les adresses IP. Par conséquent, pour transmettre via Ethernet, l'ordinateur A doit connaître l'adresse de l'ordinateur B. Réseaux Ethernet(Adresse MAC en termes Ethernet). Le protocole ARP est utilisé pour cette tâche. Grâce à ce protocole, l'ordinateur A envoie une requête de diffusion adressée à tous les ordinateurs du même domaine de diffusion. L'essence de la demande : "ordinateur avec l'adresse IP 10.22.22.2, fournissez votre adresse MAC à l'ordinateur avec l'adresse MAC (par exemple, a0:ea:d1:11:f1:01)." Le réseau Ethernet transmet cette requête à tous les appareils sur le même segment Ethernet, y compris l'ordinateur B. L'ordinateur B répond à l'ordinateur A à la requête et signale son adresse MAC (par exemple 00:ea:d1:11:f1:11). reçu l'adresse MAC de l'ordinateur B, l'ordinateur A peut lui transmettre n'importe quelle donnée via le réseau Ethernet.

Pour éviter d'avoir à utiliser le protocole ARP avant chaque envoi de données, les adresses MAC reçues et leurs adresses IP correspondantes sont enregistrées dans le tableau pendant un certain temps. Si vous devez envoyer des données à la même IP, il n'est pas nécessaire d'interroger les appareils à chaque fois à la recherche du MAC souhaité.

Comme nous venons de le voir, ARP comprend une requête et une réponse. L'adresse MAC de la réponse est écrite dans la table MAC/IP. Lorsqu'une réponse est reçue, son authenticité n'est en aucun cas vérifiée. De plus, il ne vérifie même pas si la demande a été faite. Ceux. vous pouvez immédiatement envoyer une réponse ARP aux appareils cibles (même sans demande), avec des données usurpées, et ces données finiront dans la table MAC/IP et seront utilisées pour le transfert de données. C'est l'essence même de l'attaque d'usurpation d'identité ARP, parfois appelée gravure ARP ou empoisonnement du cache ARP.

Description de l'attaque par usurpation d'ARP

Deux ordinateurs (nœuds) M et N dans réseau local Messages d'échange Ethernet. L'attaquant X, situé sur le même réseau, souhaite intercepter les messages entre ces nœuds. Avant que l'attaque d'usurpation d'identité ARP ne soit appliquée sur l'interface réseau de l'hôte M, la table ARP contient l'adresse IP et MAC de l'hôte N. Également sur l'interface réseau de l'hôte N, la table ARP contient l'adresse IP et MAC de l'hôte M. .

Lors d'une attaque d'usurpation d'identité ARP, le nœud X (l'attaquant) envoie deux réponses ARP (sans requête) - au nœud M et au nœud N. La réponse ARP au nœud M contient l'adresse IP de N et l'adresse MAC de X. La réponse ARP au nœud N contient l'adresse IP M et l'adresse MAC X.

Étant donné que les ordinateurs M et N prennent en charge l'ARP spontané, après avoir reçu une réponse ARP, ils modifient leurs tables ARP, et maintenant la table ARP M contient l'adresse MAC X liée à l'adresse IP N, et la table ARP N contient l'adresse MAC X, lié à l'adresse IP M.

Ainsi, l'attaque d'usurpation d'identité ARP est terminée, et désormais tous les paquets (trames) entre M et N passent par X. Par exemple, si M veut envoyer un paquet à l'ordinateur N, alors M regarde dans sa table ARP, trouve une entrée avec l'adresse IP de l'hôte N, sélectionne l'adresse MAC à partir de là (et il y a déjà l'adresse MAC du nœud X) et transmet le paquet. Le paquet arrive à l'interface X, est analysé par celle-ci, puis transmis au nœud N.

Chaque membre de l'équipe ][ a ses propres préférences concernant les logiciels et utilitaires pour
test du stylo. Après consultation, nous avons découvert que le choix est tellement varié qu'il est possible
créer un véritable ensemble de programmes éprouvés pour gentleman. C'est ça
décidé. Afin de ne pas faire de méli-mélo, nous avons divisé toute la liste en sujets - et en
Cette fois, nous aborderons les utilitaires permettant de détecter et de manipuler les paquets. Utilisez-le sur
santé.

Requin filaire

Netcat

Si nous parlons d'interception de données, alors Mineur de réseau sera retiré des ondes
(ou à partir d'un dump pré-préparé au format PCAP) fichiers, certificats,
images et autres médias, ainsi que mots de passe et autres informations d’autorisation.
Une fonctionnalité utile consiste à rechercher les sections de données contenant des mots-clés
(par exemple, connexion utilisateur).

Scapy

Site web:
www.secdev.org/projects/scapy

Indispensable pour tout hacker, c'est un outil puissant pour
manipulation interactive de paquets. Recevez et décodez les paquets les plus
différents protocoles, répondre à la requête, injecter le modifié et
un package créé par vous-même - tout est simple ! Avec son aide, vous pouvez effectuer tout un
un certain nombre de tâches classiques telles que le scan, le tracorute, les attaques et la détection
infrastructure de réseau. Dans une bouteille, nous obtenons un remplacement pour ces utilitaires populaires,
comme : hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f, etc. À ce
il est temps Scapy vous permet d'effectuer n'importe quelle tâche, même la plus spécifique
une tâche qui ne pourra jamais être effectuée par un autre développeur déjà créé
moyens. Au lieu d'écrire toute une montagne de lignes en C pour, par exemple,
générer le mauvais paquet et fuzzer un démon suffit
ajoutez quelques lignes de code en utilisant Scapy! Le programme n'a pas
interface graphique et l'interactivité est obtenue grâce à l'interpréteur
Python. Une fois que vous aurez compris, cela ne vous coûtera rien de créer des erreurs.
paquets, injecter les trames 802.11 nécessaires, combiner différentes approches dans les attaques
(par exemple, empoisonnement du cache ARP et saut de VLAN), etc. Les développeurs eux-mêmes insistent
pour garantir que les capacités de Scapy sont utilisées dans d'autres projets. Le connecter
en tant que module, il est facile de créer un utilitaire pour différents types de recherche locale,
recherche de vulnérabilités, injection Wi-Fi, exécution automatique de tâches spécifiques
tâches, etc

paquet

Site web:
Plateforme : *nix, il existe un portage pour Windows

Un développement intéressant qui permet, d'une part, de générer n'importe quel
paquet Ethernet, et, d'autre part, envoyer des séquences de paquets dans le but
chèques bande passante. Contrairement à d'autres outils similaires, paquet
Il a Interface graphique, vous permettant de créer des packages le plus facilement possible
formulaire. En outre. La création et l'envoi sont particulièrement élaborés
séquences de paquets. Vous pouvez définir des délais entre l'envoi,
envoyer des paquets à vitesse maximale pour tester le débit
section du réseau (oui, c'est là qu'ils vont déposer) et, ce qui est encore plus intéressant -
modifier dynamiquement les paramètres des paquets (par exemple, l'adresse IP ou MAC).

Renifleurs- ce sont des programmes qui interceptent
tout le trafic réseau. Les renifleurs sont utiles pour les diagnostics réseau (pour les administrateurs) et
pour intercepter les mots de passe (c'est clair pour qui :)). Par exemple, si vous avez eu accès à
une machine réseau et y ai installé un renifleur,
puis bientôt tous les mots de passe de
leurs sous-réseaux seront les vôtres. Des renifleurs mis
carte réseau en écoute
mode (PROMISC), c'est-à-dire qu'ils reçoivent tous les paquets. Localement, vous pouvez intercepter
tous les paquets envoyés depuis toutes les machines (si vous n'êtes séparé par aucun hub),
Donc
Comment s’y pratique la radiodiffusion ?
Les renifleurs peuvent tout intercepter
packages (ce qui est très gênant, le fichier journal se remplit terriblement vite,
mais pour une analyse plus détaillée du réseau c'est parfait)
ou seulement les premiers octets de toutes sortes de
ftp, telnet, pop3, etc. (c'est la partie amusante, généralement dans les 100 premiers octets environ
contient le nom d'utilisateur et le mot de passe. Renifler maintenant
divorcé... Il y a beaucoup de renifleurs
aussi bien sous Unix que sous Windows (même sous DOS il y en a :)).
Les renifleurs peuvent
ne prend en charge qu'un axe spécifique (par exemple linux_sniffer.c, qui
supporte Linux :)), ou plusieurs (par exemple Snifit,
fonctionne avec BSD, Linux, Solaris). Les renifleurs sont devenus si riches parce que
que les mots de passe sont transmis sur le réseau en texte clair.
De tels services
beaucoup. Ce sont telnet, ftp, pop3, www, etc. Ces services
apprécie beaucoup
personnes :). Après le boom des renifleurs, divers
algorithmes
cryptage de ces protocoles. SSH est apparu (une alternative
support telnet
cryptage), SSL (Secure Socket Layer - un développement Netscape qui peut crypter
séance www). Toutes sortes de Kerberous, VPN (Virtual Private
Réseau). Certains AntiSniffs, ifstatus, etc. ont été utilisés. Mais ce n’est fondamentalement pas
a changé la situation. Services qui utilisent
transmission d'un mot de passe en texte brut
sont utilisés au maximum :). Par conséquent, ils renifleront longtemps :).

Implémentations du renifleur Windows

renifleur de lin
Ceci est un simple renifleur à intercepter
identifiants/mots de passe. Compilation standard (gcc -o linsniffer
linsniffer.c).
Les journaux sont écrits dans tcp.log.

linux_sniffer
Linux_renifleur
requis quand vous voulez
étudier le réseau en détail. Standard
compilation. Donne toutes sortes de conneries supplémentaires,
comme is, ack, syn, echo_request (ping), etc.

Renifler
Sniffit - modèle avancé
renifleur écrit par Brecht Claerhout. Installer (besoin
libcap):
#./configurer
#faire
Maintenant, lançons
renifleur :
#./renifler
utilisation : ./sniffit [-xdabvnN] [-P proto] [-A char] [-p
port] [(-r|-R) fichier d'enregistrement]
[-l sniflen] [-L logparam] [-F snifdevice]
[Plugin-M]
[-D tty] (-t | -s ) |
(-je|-je) | -c ]
Plugins disponibles :
0 -- Factice
Brancher
1 -- Plugin DNS

Comme vous pouvez le constater, sniffit prend en charge de nombreux
choix. Vous pouvez utiliser le sniffak de manière interactive.
Renifle quand même
un programme assez utile, mais je ne l'utilise pas.
Pourquoi? Parce que Sniffit
gros problèmes de protection. Pour Snifit, une racine et un dos distants ont déjà été publiés pour
Linux et Debian ! Tous les renifleurs ne se permettent pas de faire cela :).

CHASSE
Ce
mon reniflement préféré. C'est très simple à utiliser,
supporte beaucoup de cool
des chips et ce moment n'a aucun problème de sécurité.
Et pas grand chose
exigeant des bibliothèques (telles que Linsniffer et
Linux_sniffer). Il
peut intercepter les connexions actuelles en temps réel et
nettoyer le dump depuis un terminal distant. DANS
en général, détourner
règlezzz :). je recommande
tout le monde pour une utilisation améliorée :).
Installer:
#faire
Courir:
#chasse -je

LECTUREMB
Le renifleur READSMB est coupé de LophtCrack et porté sur
Unix (assez curieusement :)). Readsmb intercepte SMB
paquets.

TCPDUMP
tcpdump est un analyseur de paquets assez connu.
Écrit
personne encore plus célèbre - Van Jacobson, qui a inventé la compression VJ pour
PPP et a écrit un programme traceroute (et qui sait quoi d'autre ?).
Nécessite une bibliothèque
Libpcap.
Installer:
#./configurer
#faire
Maintenant, lançons
son:
#tcpdump
tcpdump : écoute sur ppp0
Toutes vos connexions sont affichées sur
Terminal. Voici un exemple de sortie ping

ftp.technotronic.com :
02:03:08.918959
195.170.212.151.1039 > 195.170.212.77.domaine : 60946+ A ?
ftp.technotronic.com.
(38)
02:03:09.456780 195.170.212.77.domaine > 195.170.212.151.1039 : 60946*
1/3/3 (165)
02:03:09.459421 195.170.212.151 > 209.100.46.7 : icmp : écho
demande
02:03:09.996780 209.100.46.7 > 195.170.212.151 : icmp : écho
répondre
02:03:10.456864 195.170.212.151 > 209.100.46.7 : icmp : écho
demande
02:03:10.906779 209.100.46.7 > 195.170.212.151 : icmp : écho
répondre
02:03:11.456846 195.170.212.151 > 209.100.46.7 : icmp : écho
demande
02:03:11.966786 209.100.46.7 > 195.170.212.151 : icmp : écho
répondre

En général, sniff est utile pour déboguer les réseaux,
dépannage et
etc.

Renifler
Dsniff nécessite libpcap, ibnet,
libnids et OpenSSH. Enregistre uniquement les commandes saisies, ce qui est très pratique.
Voici un exemple de journal de connexion
sur unix-shells.com :

02/18/01
03:58:04 TCP my.ip.1501 ->
handi4-145-253-158-170.arcor-ip.net.23
(telnet)
stalsen
asdqwe123
ls
mot de passe
OMS
dernier
sortie

Ici
dsniff a intercepté le login et le mot de passe (stalsen/asdqwe123).
Installer:
#./configurer
#faire
#faire
installer

Protection contre les renifleurs

Le moyen le plus sûr de se protéger contre
renifleurs -
utilisez le CHIFFREMENT (SSH, Kerberous, VPN, S/Key, S/MIME,
SHTTP, SSL, etc.). Bien
et si vous ne voulez pas abandonner les services de texte brut et installer des
paquets :)? Alors il est temps d'utiliser des paquets anti-renifleurs...

AntiSniff pour Windows
Ce produit a été lancé par un groupe célèbre
Grenier. C'était le premier produit de ce type.
AntiSniff comme indiqué dans
Description:
"AntiSniff est un outil piloté par une interface utilisateur graphique (GUI) pour
détection des cartes d'interface réseau (NIC) promiscuité sur votre réseau local
segment". En général, il capture les cartes en mode promisc.
Supporte énorme
nombre de tests (test DNS, test ARP, test Ping, ICMP Time Delta
Test, Test d'écho, test PingDrop). Peut être scanné comme une seule voiture,
et la grille. Il y a
prise en charge des journaux. AntiSniff fonctionne sur win95/98/NT/2000,
bien que recommandé
Plateforme NT. Mais son règne fut de courte durée et allait bientôt
fois, un renifleur appelé AntiAntiSniffer est apparu :),
écrit par Mike
Perry (Mike Perry) (vous pouvez le trouver sur www.void.ru/news/9908/snoof.txt).
basé sur LinSniffer (discuté ci-dessous).

Détection du renifleur Unix :
Renifleur
peut être trouvé avec la commande:

#ifconfig -a
lo Encapsulation du lien : local
Bouclage
adresse inet : 127.0.0.1Masque : 255.0.0.0
EN HAUT.
MTU D'EXÉCUTION DE BOUCLE : 3924 Métrique : 1
Paquets RX : 2373 erreurs : 0
abandonné : 0 dépassement : 0 image : 0
Paquets TX : 2373 erreurs : 0 abandonnés : 0
dépassements:0 transporteur:0
collisions : 0 txqueuelen : 0

ppp0 Lien
encap : protocole point à point
adresse inet : 195.170.y.x
P-t-P:195.170.y.x Masque:255.255.255.255
PROMESSE UP POINTOPOINT
EXÉCUTION DE NOARP MULTIDIFFUSION MTU : 1 500 Métrique : 1
Paquets RX : 3281
erreurs : 74 abandonnées : 0 dépassements : 0 image : 74
Paquets TX : 3398 erreurs : 0
abandonné : 0 dépassement : 0 transporteur : 0
collisions : 0 txqueuelen : 10

Comment
vous voyez que l'interface ppp0 est en mode PROMISC. L'un ou l'autre opérateur
reniflage téléchargé pour
vérifications du réseau, ou ils vous ont déjà... Mais rappelez-vous,
que ifconfig peut être en toute sécurité
usurpation d'identité, alors utilisez tripwire pour détecter
changements et toutes sortes de programmes
pour vérifier les reniflements.

AntiSniff pour Unix.
Fonctionne pour
BSD, Solaris et
Linux. Prend en charge ping/icmp test de temps, test arp, test d'écho, DNS
test, test etherping, en général un analogue d'AntiSniff for Win, uniquement pour
Unix :).
Installer:
#make Linux-all

Sentinelle
Également un programme utile pour
attraper les renifleurs. Prend en charge de nombreux tests.
Facile de
utiliser.
Installer : #make
#./sentinelle
./sentinelle [-t
]
Méthodes :
[ -un test ARP ]
[ -d Test DNS
]
[ -i Test de latence Ping ICMP ]
[ -e Test d'étherping ICMP
]
Possibilités :
[ -F ]
[ -v Afficher la version et
sortie ]
[ -n ]
[ -JE
]

Les options sont si simples que non
commentaires.

PLUS

En voici quelques autres
utilitaires pour vérifier votre réseau (par exemple
Unix) :
packetstorm.securify.com/UNIX/IDS/scanpromisc.c -remote
Détecteur de mode PROMISC pour cartes Ethernet (pour Red Hat 5.x).
http://packetstorm.securify.com/UNIX/IDS/neped.c
- Détecteur Ethernet de promiscuité réseau (nécessite libcap et Glibc).
http://packetstorm.securify.com/Exploit_Code_Archive/promisc.c
- analyse les périphériques système pour détecter les reniflements.
http://packetstorm.securify.com/UNIX/IDS/ifstatus2.2.tar.gz
- tests d'état Interfaces réseau en mode PROMISC.

Le programme Wireshark sera un excellent assistant pour les utilisateurs qui ont besoin d'effectuer une analyse détaillée des paquets réseau - trafic réseau informatique. Le renifleur interagit facilement avec des protocoles courants tels que netbios, fddi, nntp, icq, x25, dns, irc, nfs, http, tcp, ipv6 et plein d'autres. Lors de l'analyse, il permet de séparer un paquet réseau en composants appropriés, selon un protocole spécifique, et d'afficher des informations lisibles sous forme numérique sur l'écran.
prend en charge un grand nombre de formats différents d'informations transmises et reçues et est capable d'ouvrir des fichiers utilisés par d'autres utilitaires. Le principe de fonctionnement est que la carte réseau passe en mode diffusion et commence à intercepter les paquets réseau qui se trouvent dans sa zone de visibilité. Peut fonctionner comme un programme pour intercepter les paquets wifi.

Comment utiliser WireShark

Le programme étudie le contenu des paquets d'informations qui transitent par le réseau. Pour lancer et utiliser les résultats du travail du sniffer, vous n'avez besoin d'aucune connaissance particulière, il vous suffit de l'ouvrir dans le menu "Démarrer" ou de cliquer sur l'icône sur le bureau (le lancer n'est pas différent des autres Programmes Windows). Une fonction spéciale L'utilitaire lui permet de capturer des paquets d'informations, de décrypter soigneusement leur contenu et de les renvoyer à l'utilisateur pour analyse.

Après avoir lancé Wireshark, vous verrez le menu principal du programme sur l'écran, situé en haut de la fenêtre. Il est utilisé pour contrôler l'utilitaire. Si vous devez charger des fichiers qui stockent des données sur les paquets capturés lors de sessions précédentes, ainsi que sauvegarder des données sur d'autres paquets capturés lors d'une nouvelle session, vous aurez besoin de l'onglet "Fichier" pour ce faire.

Pour lancer la fonction de capture de paquets réseau, l'utilisateur doit cliquer sur l'icône « Capturer », puis trouver une section de menu spéciale appelée « Interfaces », avec laquelle vous pouvez ouvrir une fenêtre distincte « Interfaces de capture Wireshark », où toutes les interfaces réseau disponibles doivent être affiché, à travers lequel capturera les paquets de données nécessaires. Dans le cas où le programme (renifleur) est capable de détecter une seule interface appropriée, il affichera l'intégralité de une information importantà propos de lui.

Les résultats du travail du service public sont une preuve directe que, même si les utilisateurs ne sont pas engagés de manière indépendante (à un moment donné) dans la transmission de données, l'échange d'informations sur le réseau ne s'arrête pas. Après tout, le principe de fonctionnement d'un réseau local est que pour le maintenir en mode de fonctionnement, chacun de ses éléments (ordinateur, commutateur et autres appareils) échange en permanence des informations de service entre eux. Ces outils réseau sont donc conçus pour intercepter de tels paquets.

Il existe également une version pour les systèmes Linux.

Il convient de noter que Le renifleur est extrêmement utile pour les administrateurs réseau et les services de sécurité informatique, car l'utilitaire vous permet d'identifier les nœuds de réseau potentiellement non protégés - des zones susceptibles d'être attaquées par des pirates informatiques.

En plus de son objectif direct, Wireshark peut être utilisé comme un outil de surveillance et d'analyse plus approfondie du trafic réseau afin d'organiser une attaque sur les zones non protégées du réseau, car le trafic intercepté peut être utilisé pour atteindre divers objectifs.

Renifleur IP- un programme qui permet de surveiller les paquets transitant via le protocole Internet (IP). La fonctionnalité du programme inclut la possibilité de décoder les paquets et de les filtrer.

À l'époque technologies modernes et sur Internet, la sécurité passe avant tout. L'ordinateur communique avec le monde extérieur informations numériques grâce à des protocoles spéciaux. Le protocole Internet (IP) est l'un des plus populaires et des plus appréciés en raison de sa sécurité et de sa vitesse de transfert de données élevée.

C’est avec son apparition, en 1981, que les ordinateurs ont pu s’envoyer des messages sous forme de paquets de données. Sniffer pour Windows est conçu pour surveiller le trafic et vérifier le contenu des paquets. Ainsi, cet utilitaire est un moyen supplémentaire de sécuriser votre ordinateur. Télécharger IP Sniffer est la meilleure solution, gardez le contrôle du trafic et de tous les flux d’informations.

Téléchargez IP Sniffer gratuitement

Renifleur IP pour Windows (1,4 Mo)

Principales caractéristiques du renifleur IP :

• Multifonctionnalité ;
• Sécurité;
• Petite taille;
• Interface intuitive.

La dernière version du renifleur possède une interface pratique et simple. Le programme vous permet de visualiser quelles adresses IP sont les plus souvent utilisées et lesquelles sont le plus souvent connectées à votre machine. Vous pouvez facilement surveiller le volume du trafic. Vous pouvez également mettre fin de force à une connexion particulière à l'aide de la fonction Netstat. Il est recommandé de télécharger le renifleur sur votre ordinateur si l'utilisateur est confronté à la tâche d'intercepter le trafic entre les hôtes. Cela peut être fait grâce à la fonction Snoofing, qui, entre autres, prend en charge le protocole ARP populaire. Les fonctions populaires du renifleur en russe sont également le ping réseau, la possibilité de convertir une adresse IP en nom d'hôte et inversement, la recherche Serveurs DHCP. Vous pouvez également l'utiliser pour obtenir des données Netbios pour une adresse IP spécifiée.

Il est recommandé de télécharger gratuitement le renifleur si l'utilisateur souhaite bénéficier d'un assistant fiable en matière de contrôle de la circulation. Le programme ne nécessite aucune installation ni configuration supplémentaire. Vous pouvez l'utiliser immédiatement après le téléchargement. L'interface du programme est concise et simple. Les fenêtres et les onglets sont situés de manière à rendre l'utilisation aussi pratique et confortable que possible. Le développeur améliore et améliore constamment son produit. Des mises à jour sont publiées régulièrement. Le programme est très résistant à toute influence malveillante. Notre portail offre à tous les visiteurs la possibilité de télécharger le programme sniffer sans inscription ni SMS.