Атака arp spoofing, перехоплення пошти та пароля в локальній мережі
Введення в механізм атаки Man in the middle ( "Людина посередині").
А ось так буде виглядати атакована мережа. Вбудовується третій комп'ютер і всі дані проходять через нього.
Збираємо інформацію про мережі за допомогою програми Cain.
Для цих експериментів я використовую програму Cain, яку можна легко знайти на просторах Інтернету або завантажити з нашого сайту. Вона безкоштовна і дуже функціональна. Ми не раз будемо звертатися до неї за допомогою. Отже, ставимо її на атакуючу систему зловмисника (так само поставимо сниффер Wireshark, на пропозицію встановити бібліотеки WinPcap погоджуємося).
Ось що ми побачимо на нашій (під нашою тут і далі я буду називати машину 192.168.10.34 - зловмисник. Вузли відповідно "А" і "Б").
Запускаємо програму по ярлику і бачимо перед собою таке ось віконце.
Переходимо на вкладочку Sniffer. Натискаємо кнопку "Start Sniffer", я зазначив її стрілочкою.
З'являється ось таке віконце з вибором мережевого адаптера. З огляду на те, що у нас один адаптер і одна мережа: 192.168.10.0/24 - використовуємо його і тиснемо "ОК".
Ось в такому вікні можемо вибрати настройки сканування. Діапазон і методи визначення, в методах можна нічого не вибирати, якщо вузли доступні Ping-му, він їх успішно визначить. Як діапазону використовуємо всю нашу підмережу. Пішло сканування.
Переходимо на вкладку Sniffer / Arp, зверніть увагу, щоб в лівому дереві був обраний кореневої пункт ARP. Кількома на верхньому полі, зазначене цифрою 1, щоб туди перейшов фокус. І у нас стане доступна кнопка 2, з картинкою "+". Додамо в наш лист атакується систему.
У нас з'явився запис про це в таблицю. Натискаємо на кнопку ARP Spoofing-а, ця кнопка 3-тя за рахунком на верхній панелі інструментів, з логотипом радіаційної загрози. Процес пішов. Ну тепер залишилося відправити пакети вузлу А до вузла Б і ми повинні їх все отримати. І що отримати? Як відчинити? Правильно! Запускаємо сниффер WireShark. з першого уроку з сніффером ви вже повинні знати, як користуватися основними моментами.
Реалізуємо атаку з перехопленням пошти та пароля
А тим часом на вузлі "А" користувач Вася вирішив відправити лист адміну такого змісту:
(Налаштування пошти ми з вами робили в матеріалі про настройку клієнтів для роботи з нашими POP3 / SMTP сервісами, але це не важливо. Як пошти можна використовувати будь-який механізм, хоч аську, хоч веб-форму)
Отже, відправляємо лист ні про що не підозрюючи. Воно, до речі, дійде. 🙂
Повертаємося на машину зловмисника. Якщо ви побачили Packets-> і <-Packets отличные от нуля, значит всё в порядке, это количество пакетов мы обработали.
Прийшла пора заглянути в сниффер: Ого! Наловили чимало. Сіро-чорна лінійка - спілкування безпосередньо клієнта з сервером, стандартні команди на світло-сірих полях: HELO, MAIL FROM і т.д. Пам'ятайте їх в матеріалі про відправку пошти за допомогою telnet. Виявляється, сервер робить те ж саме. Тільки швидко і надійно.
До речі, так само варто звернути увагу на вузли Source і Destination - це не наші IP, що означає, що пакети для нас не призначалися, але ми їх отримали. Значить атака вдалася. Йдемо далі.
Знайдемо місце, коли відправлялася команда DATA і розгорнемо вміст пакета в нижньому полі WireShark: ми побачимо там HTML-код листи! Ось і перехоплений поштове повідомлення.
Але це ще не все. Проїдемо на вкладку Sniffer / Passwords і побачимо 1 Пойманов пароль в POP3. Ось [email protected] і засвітив свій Password: 1234. 🙂
Вам так само сподобається:
