ARP-Spoofing: Погружение в бездну сетевой хитрости (Перехват данных)
Доброго времени суток! В предыдущей статье мы обсудили важную тему - атаки типа "man-in-the-middle" (MITM) и их потенциальную угрозу. Сегодня я хотел бы
выполнить обещание и подробно рассмотреть, как именно такие атаки могут
происходить на практике. Начнём с ARP-Spoofing.
Что такое ARP-Spoofing?
ARP-Spoofing (Address Resolution Protocol Spoofing) - это форма атаки на
локальной сети, которая использует уязвимости протокола ARP. Протокол
ARP используется для связи между сетевыми устройствами, чтобы установить
соответствие между IP-адресами и физическими (MAC) адресами.
ARP-Spoofing позволяет злоумышленнику отправлять поддельные
ARP-сообщения, чтобы изменить связи между IP-адресами и MAC-адресами в
локальной сети.
В результате атаки ARP-Spoofing злоумышленник может перехватывать и
просматривать сетевой трафик между двумя устройствами, представляющими
интерес для него. Он может перехватывать чувствительные данные, такие
как пароли, информацию о сеансе веб-сайтов, личную информацию и другую
конфиденциальную информацию, передаваемую по сети.
Атака ARP-Spoofing основана на том, что протокол ARP не предусматривает
аутентификации или проверки подлинности передачи сообщений.
Злоумышленник может отправлять ложные ARP-ответы, утверждая, что его
MAC-адрес является правильным для определенного IP-адреса. Это
заставляет другие устройства в сети обновлять свои таблицы ARP и
отправлять сетевой трафик злоумышленнику, а не на правильное устройство.
ARP-Spoofing может применяться для осуществления MITM-атак, когда
злоумышленник перехватывает и подменяет сетевой трафик между двумя
устройствами, позволяя ему не только просматривать данные, но и вносить
изменения в передаваемую информацию.
Перейдём к практике:
У меня в сети есть 2 устройства:
192.168.0.157 - Наша жертва
192.168.0.158 - Мы (хакер)
192.168.0.1 - Роутер
avtotochki.ru - Сайт для демонстрации (Сайт не мой! Наносить ему вреда мы не будем.)
Для того, чтобы получить доступ к трафику жертвы, мы должны встать между ней и роутером в этой цепочке:
Для этого будем использовать Ettercap.
Ettercap - это инструмент для сетевого сканирования и анализа,
используемый для выполнения различных атак на локальной сети, включая
атаки типа "man-in-the-middle" (MITM). Он является одним из наиболее
известных инструментов для выполнения атак ARP-Spoofing и перехвата
сетевого трафика.
Для начала, установим графический интерфейс:
sudo apt install ettercap-graphical
После запуска у нас открывается окно:
Выбираем сетевой интерфейс (в моём случае eth0):
У нас открывается главный экран:
Пока список пуст. Чтобы найти хосты нужно нажать на кнопку поиска:
В моём случае всего 2 устройства, у вас может быть больше!
Выделяем ip нашей цели и нажимаем Add to Target 1. Тоже самое проделываем и с ip роутера, только добавляем как цель 2.
Можем начинать атаку! Для этого выбераем ARP poisoning:
Дополнительно включим snifing, чтобы ettercap автоматически перехватывал пароли и выводил их.
Теперь мы можем восполльзоваться wireshark для анализа пакетов.
Wireshark - это бесплатный и популярный инструмент сетевого анализа и
протоколирования трафика. Он используется для захвата и анализа сетевого
трафика в режиме реального времени. Wireshark предоставляет детальную
информацию о протоколах, используемых в сети, и позволяет анализировать и
отлаживать сетевые проблемы.
Открываем его и выбираем наш сетевой интерфейс:
Мы видим весь трафик нашей цели.
Для теста, перейдём на компьютер цели и попытаемся войти в аккаунт на случайном сайте:
Важно отметить, что сайт не должен быть защищён https!
Вводим данные и пробуем войти:
Мы можем увидить среди пакетов один который содержит эти данные:
И Ettercap тоже перехватил их:
Чтобы остановить атаку достаточно нажать на эту кнопку:
Заключение
Да, существуют и другие инструменты для проведения подобной атаки,
например, такие как Bettercap. Однако, я обнаружил, что использование
собственных программ или Ettercap дает мне лучшие результаты, поэтому я
решил продемонстрировать именно Ettercap. Важно отметить, что все
действия, показанные в этой статье, были выполнены на моих собственных
устройствах, и я настоятельно рекомендую воздержаться от использования
этой информации в незаконных целях, так как это является преступлением.
На этом у меня всё. Увидимся в следующей статье!