Сниффинг. Перехват трафика. Wireshark.

Что такое сниффинг?

Сегодня мы поговорим про такую вещь как сниффинг-атаки. Что такое сниффинг? Сниффинг (sniffing) - это метод мониторинга трафика, проходящего через компьютерную сеть. Не секрет, что сейчас многие данные передаются через интернет-трафик. Перехват трафика аналогичен подслушиванию телефонных разговоров. Обычно когда идет захват пакетов, перехватываются пакеты не только с паролями, но и другими конфиденциальными данными.

Какие же виды захвата пакетов есть и какие лучше использовать?

Активный перехват трафика.

В этой статье мы не будем разбирать активный перехват трафика, но пару слов о нем нужно сказать. Этот тип перехвата трафика заключается в том, что атакующий получает доступ к одному из портов получения данных. В основном для этого используют утилиту Ettercap.

Ettecrap - утилита для активного перехвата трафика

Пассивный перехват трафика.

Это самый простой и самый безопасный вид захвата данных. Здесь атакующий просто становится наблюдателем между отправителем и получателем. Пользователь отправляет пакеты, а злоумышленник перехватывает их, анализирует и тут же отправляет туда куда надо пользователю, в итоге ничего не подозревающий юзер и не думает что все его пакеты были украдены. В осноном для этого вида сниффинга используют программу Wireshark.

Wireshark - утилита для пассивного перехвата трафика.

Wireshark - абсолютно бесплатный и доступен и для Windows и для kali linux.

Wireshark

Где скачать Wireshark на kali?

На Kali Linux wireshark сразу установлен, поэтому пользователи этой ОС могут ничего и не скачивать и переходить к инструкциям по этой программе.

Где скачать Wireshark на Windows?

На винду его можно скачать с официального сайта.

Как пользоваться Wireshark?

Для начала запустить его. Логично, не правда-ли? После этого выбираем сеть, которую хотим перехватить.

Выбор сети для перехвата.

И нажимаем на плавник в левом верхнем углу, либо во вкладке capture нажать кнопку start.

Запуск Wireshark.

Постепенно Wireshark будет выводить вам перехваченные пакеты в рабочей области, которые вы можете проанализировать в области чуть ниже.

Пример работы Wireshark.

Данные были заблюрены для сохранения конфиденциальности автора.

Как отфильтровать захваченные пакеты?

Но чуть выше есть поле ввода. Оно нужно для того чтобы отфильтровывать перехваченные данные.

Например можно отфильтровать по определенному ip-адресу, например 192.168.10.13:

ip.addr == 192.168.10.13

Или чтобы заданного ip не было показано:

ip.addr != 192.168.10.13 <ИЛИ> ip.addr ne 192.168.10.13

Также можно отфильтровать по определенному порту:

tcp.port eq 80

Где tcp - тип порта, 80 - номер порта.

Ну или вы можете просмотреть пакеты, которые содержат допустим "google.com"

http contains "google.com"

Ну а что уже делать с захваченными пакетами, решать тебе.

Автор не несет ответственности за твои действия! Удачи!

Автор: @SpectatorUser

Специально для @HAStm_company