يمكنك بسهولة تحديد واحد أو أكثر من خطوط معلومات HTTP ، ثم تصديرها إلى ملف نصي / html / xml / csv أو نسخها إلى الحافظة ثم لصقها في Excel.
بعد تشغيل HTTPNetworkSniffer في المرة الأولى ، تظهر نافذة "خيارات الالتقاط" على الشاشة ، ويطلب منك اختيار طريقة الالتقاط ومحول الشبكة المطلوب. في المرة التالية التي تستخدم فيها HTTPNetworkSniffer ، "سيبدأ الالتقاط تلقائيًا" الحزم مع طريقة الالتقاط ومحول الشبكة الذي حددته مسبقًا. يمكنك دائمًا تغيير "خيارات الالتقاط" مرة أخرى بالضغط على F9.
بعد اختيار طريقة الالتقاط ومحول الشبكة ، يلتقط HTTPNetworkSniffer ويعرض كل طلب / استجابة HTTP يتم إرسالها بين مستعرض الويب الخاص بك وخادم الويب البعيد.
/ cfg | ابدأ HTTPNetworkSniffer بملف التكوين المحدد. على سبيل المثال: HTTPNetworkSniffer.exe / cfg "c: \ config \ hns.cfg" HTTPNetworkSniffer.exe / cfg "٪ AppData٪ \ HTTPNetworkSniffer.cfg" |
/ load_file_pcap | يقوم بتحميل ملف الالتقاط المحدد ، الذي تم إنشاؤه بواسطة برنامج تشغيل WinPcap. |
/ load_file_netmon | يقوم بتحميل ملف الالتقاط المحدد ، الذي تم إنشاؤه بواسطة برنامج تشغيل مراقب الشبكة 3.x. |
تنزيل HTTPNetworkSniffer (إصدار 32 بت) |
تنزيل HTTPNetworkSniffer (إصدار x64) |
HTTPNetworkSniffer متاح أيضًا بلغات أخرى. لتغيير لغة HTTPNetworkSniffer ، قم بتنزيل ملف مضغوط للغة المناسبة ، واستخرج "httpnetworksniffer_lng.ini" ، وضعه في نفس المجلد الذي قمت بتثبيت الأداة المساعدة HTTPNetworkSniffer فيه.
لغة | تمت الترجمة بواسطة | تاريخ | إصدار |
---|---|---|---|
يعتمد أي تتبع عبر الإنترنت على استخدام تقنيات الشم (محللات حزم الشبكة). ما هو الشم؟
المتشمم هو برنامج كمبيوتر أو جزء من جهاز كمبيوتر يمكنه اعتراض وتحليل حركة المرور التي تمر عبر شبكة رقمية أو جزء منها. يلتقط المحلل جميع التدفقات (اعتراضات وتسجيل حركة مرور الإنترنت) ، وإذا لزم الأمر ، يقوم بفك تشفير البيانات وحفظ معلومات المستخدم المرسلة بالتسلسل.
على قناة البث لشبكة الكمبيوتر الخاصة بالمستخدم LAN (شبكة المنطقة المحلية) ، اعتمادًا على بنية الشبكة (مفتاح التبديل أو لوحة الوصل) ، يعترض المتشممون حركة المرور إما من الشبكة الصادرة بالكامل أو من جزء منها من كمبيوتر محمول أو كمبيوتر واحد. ومع ذلك ، باستخدام طرق مختلفة (على سبيل المثال ، انتحال ARP) من الممكن تحقيق حركة مرور الإنترنت وأنظمة الكمبيوتر الأخرى المتصلة بالشبكة.
غالبًا ما تستخدم أجهزة الاستنشاق للرصد شبكات الحاسب... من خلال إجراء مراقبة مستمرة ومستمرة ، يتعرف محللو حزم الشبكة على الأنظمة البطيئة والمعطلة ويرسلون (عن طريق البريد أو الهاتف أو الخادم) المعلومات المستلمة حول الإخفاقات إلى المسؤول.
يعد استخدام النقر على الشبكة (Network tap) ، في بعض الحالات ، طريقة أكثر موثوقية لمراقبة حركة الإنترنت عبر الإنترنت من مراقبة المنفذ. في الوقت نفسه ، تزداد احتمالية اكتشاف الحزم المعيبة (التدفقات) ، مما يؤثر بشكل إيجابي على الحمل العالي للشبكة.
بالإضافة إلى ذلك ، فإن المتشممون جيدون في تتبع الشبكات المحلية اللاسلكية أحادية ومتعددة القنوات (ما يسمى بالشبكة المحلية اللاسلكية) عند استخدام محولات متعددة.
على شبكات LAN ، يمكن أن يعترض المتشمم بشكل فعال حركة المرور أحادية الاتجاه (إرسال حزمة من المعلومات إلى عنوان واحد) والبث المتعدد. حيث، محول الشبكةيجب أن يكون لديك وضع مختلط.
على الشبكات اللاسلكية ، حتى عندما يكون المحول في وضع "مختلط" ، سيتم تلقائيًا تجاهل حزم البيانات التي لم يتم إعادة توجيهها من النظام (الرئيسي) الذي تم تكوينه. لمراقبة حزم المعلومات هذه ، يجب أن يكون المحول في وضع مختلف - المراقبة.
1. اعتراض الرؤوس أو كل المحتوى.
يستطيع المتشممون اعتراض محتويات حزم البيانات بالكامل أو رؤوسها فقط. يتيح لك الخيار الثاني تقليل المتطلبات العامة لتخزين المعلومات ، بالإضافة إلى تجنب المشكلات القانونية المرتبطة بالحذف غير المصرح به للمعلومات الشخصية للمستخدمين. في الوقت نفسه ، يمكن أن يحتوي تاريخ رؤوس الحزم المرسلة على كمية كافية من المعلومات لتحديد المعلومات الضرورية أو تشخيص الأعطال.
يتم فك تشفير المعلومات التي تم اعتراضها من رقمية (غير مقروءة) إلى نوع يسهل قراءته وقراءته. يسمح نظام الشم لمسؤولي محلل البروتوكول بمشاهدة المعلومات التي أرسلها المستخدم أو استقبلها بسهولة.
تختلف المحللون في:
يمكن لبعض المتشممون إنشاء حركة مرور والعمل كجهاز مصدر. على سبيل المثال ، يمكن استخدامها كمختبري بروتوكول. تولد أنظمة اختبار الشم هذه حركة المرور الصحيحة المطلوبة للاختبار الوظيفي. بالإضافة إلى ذلك ، يمكن أن يقوم المتشممون بحقن أخطاء عن قصد لاختبار قدرات الجهاز قيد الاختبار.
تُستخدم أجهزة تحليل حزم الشبكة من أجل:
تستخدم أجهزة الشم أيضًا في إنفاذ القانون لتتبع أنشطة المتسللين المشتبه بهم. يرجى ملاحظة أن جميع مزودي خدمات الإنترنت وموفري خدمات الإنترنت في الولايات المتحدة وأوروبا يمتثلون لقوانين ولوائح التنصت على المكالمات الهاتفية (CALEA).
أكثر أجهزة تحليل النظام وظيفية للتتبع عبر الإنترنت:
برنامج التجسس NeoSpy ، النشاط الرئيسي الذي يتضمن تتبع إجراءات المستخدم عبر الإنترنت ، بالإضافة إلى رمز الشم العالمي ، رموز keylogger (keyloggers) وأنظمة التتبع السرية الأخرى.
متي المستخدم العادييسمع مصطلح "الشم" ، يبدأ على الفور في الاهتمام بما هو عليه ولماذا هو مطلوب.
سنحاول شرح كل شيء بعبارات بسيطة.
ومع ذلك ، فإن هذه المقالة مخصصة ليس فقط للمستخدمين المبتدئين ، ولكن أيضًا من أجل.
الشمهو محلل حركة المرور. في المقابل ، حركة المرور هي جميع المعلومات التي تمر عبر شبكات الكمبيوتر.
يبحث هذا المحلل في المعلومات التي يتم إرسالها. للقيام بذلك ، تحتاج إلى اعتراضه. في الواقع ، هذا أمر غير قانوني ، لأنه بهذه الطريقة غالبًا ما يتمكن الأشخاص من الوصول إلى بيانات الآخرين.
يمكن مقارنتها بسرقة قطار - مؤامرة كلاسيكية لمعظم الغربيين.
تقوم بنقل بعض المعلومات إلى مستخدم آخر. يقودها "قطار" ، أي قناة شبكية.
المتسكعون من عصابة Bloody Joe يعترضون القطار ويسرقونه حتى العظم. في حالتنا ، تذهب المعلومات إلى أبعد من ذلك ، أي أن المهاجمين لا يسرقونها بالمعنى الحقيقي للكلمة.
ولكن لنفترض أن هذه المعلومات عبارة عن كلمات مرور وسجلات شخصية وصور وما شابه ذلك.
يمكن للمهاجمين ببساطة إعادة كتابة كل شيء وتصويره. بهذه الطريقة ، سيتمكنون من الوصول إلى البيانات الحساسة التي ترغب في إخفاءها.
نعم ، ستحصل على كل هذه المعلومات ، وستأتي إليك.
لكنك ستعرف أن الغرباء تمامًا يعرفون نفس الشيء. ولكن في القرن الحادي والعشرين ، فإن المعلومات هي الأكثر قيمة!
في حالتنا ، هذا هو المبدأ المستخدم. يقوم بعض الأشخاص بإيقاف حركة المرور ، وقراءة البيانات منها وإرسالها.
ومع ذلك ، في حالة المتشممون ، لا تكون الأمور مخيفة دائمًا.لا يتم استخدامها فقط للحصول على وصول غير مصرح به إلى البيانات ، ولكن أيضًا لتحليل حركة المرور نفسها. هذا جزء مهم من عمل مسؤولي النظام ومسؤولي الموارد المختلفة ببساطة. يجدر الحديث عن التطبيق بمزيد من التفصيل. لكن قبل ذلك ، سنتطرق إلى كيفية عمل هؤلاء المتشممون.
من الناحية العملية ، يمكن أن تكون أجهزة الاستنشاق عبارة عن أجهزة محمولة توضع فعليًا على كبل وتقرأ البيانات والبرامج منه.
في بعض الحالات ، تكون مجرد مجموعة من التعليمات ، أي الرموز التي يجب إدخالها في تسلسل محدد وفي بيئة برمجة معينة.
بمزيد من التفصيل ، أن تقوم تلك الأجهزة باعتراض حركة المرور يمكن قراءتها بإحدى الطرق التالية:
1 عن طريق تثبيت محاور بدلا من المفاتيح.من حيث المبدأ ، يمكن الاستماع إلى واجهة الشبكة بطرق أخرى ، لكن جميعها غير فعالة.
2 من خلال ربط المتشمم الحرفي بقطع القناة.هذا هو بالضبط ما تمت مناقشته أعلاه - ويتم تثبيت جهاز صغير يقرأ كل ما يتحرك على طول القناة.
3 عن طريق تركيب فرع من المرور.يتم توجيه هذا الفرع إلى جهاز آخر ، ربما يتم فك تشفيره وإرساله إلى المستخدم.
4 هجوم يهدف إلى إعادة توجيه حركة المرور بالكامل إلى متشمم.بالطبع ، بعد أن تدخل المعلومات إلى القارئ ، يتم إرسالها مرة أخرى إلى المستخدم النهائي ، الذي كانت مخصصة له في الأصل. في أنقى صورها!
5 عن طريق تحليل الإشعاع الكهرومغناطيسيالتي تنشأ بسبب حركة المرور. هذه هي الطريقة الأكثر صعوبة ونادرًا ما تستخدم.
فيما يلي مثال على كيفية عمل الطريقة الثانية.
صحيح ، يظهر هنا أن القارئ متصل ببساطة بالكابل.
في الواقع ، يكاد يكون من المستحيل القيام بذلك بهذه الطريقة.
الحقيقة هي أن المستخدم النهائي سيظل يلاحظ وجود انقطاع في القناة في مكان ما.
يعتمد مبدأ تشغيل جهاز الشم التقليدي على حقيقة أنه يتم إرسالهم في جزء واحد إلى جميع الأجهزة المتصلة. غبي بما فيه الكفاية ، لكن حتى الآن لا توجد طريقة بديلة! وبين المقاطع ، يتم نقل البيانات باستخدام المفاتيح. هذا هو المكان الذي يصبح من الممكن فيه اعتراض المعلومات باستخدام إحدى الطرق المذكورة أعلاه.
في الواقع ، هذا يسمى الهجمات الإلكترونية والقرصنة!
بالمناسبة ، إذا قمت بتثبيت هذه المفاتيح نفسها بشكل صحيح ، يمكنك حماية المقطع بالكامل من جميع أنواع الهجمات الإلكترونية.
هناك طرق أخرى للحماية سنتحدث عنها في النهاية.
معلومات مفيدة:
انتبه إلى البرنامج. يتم استخدامه لتحليل حركة مرور الشبكة وتحليل حزم البيانات باستخدام مكتبة pcap. يقلل هذا بشكل كبير من عدد الحزم المتاحة للتحليل ، حيث يمكن فقط تحليل الحزم التي تدعمها هذه المكتبة.
بالطبع ، أولاً وقبل كل شيء ، يحتوي هذا المفهوم على التطبيق الذي تمت مناقشته أعلاه ، وهو هجمات القراصنة والحصول غير القانوني على بيانات المستخدم.
لكن إلى جانب ذلك ، يتم استخدام أجهزة الشم في مناطق أخرى ، على وجه التحديد ، في العمل مسؤولي النظام.
على وجه الخصوص ، مثل هذه الأجهزة أو تساعد البرامج على إنجاز المهام التالية:
كما ترى ، يمكن للأجهزة أو البرامج التي ندرسها أن تسهل بشكل كبير عمل مسؤولي النظام والأشخاص الآخرين الذين يستخدمون الشبكات. وهذا كل منا.
الآن دعنا ننتقل إلى الجزء الأكثر إثارة للاهتمام - نظرة عامة على برامج الشم.
أعلاه ، اكتشفنا أنه يمكن صنعها في شكل أجهزة مادية ، ولكن في معظم الحالات يتم استخدام أجهزة خاصة.
دعونا ندرسها.
فيما يلي قائمة بأكثر هذه البرامج شيوعًا:
كومفييو... يتم دفع البرنامج ، مثل أي شخص آخر في قائمتنا. الحد الأدنى للترخيص 300 دولار. لكن البرنامج لديه أغنى وظائف. أول شيء جدير بالملاحظة هو القدرة على وضع القواعد بنفسك. على سبيل المثال ، يمكنك إجراء ذلك بحيث يتم تجاهل (هذه بروتوكولات) تمامًا. من الجدير بالذكر أيضًا أن البرنامج يتيح لك عرض تفاصيل وتسجيل جميع الحزم المعاد توجيهها. هناك إصدار عادي ونسخة Wi-Fi.
SpyNet.هذا ، في الواقع ، هو حصان طروادة الذي سئمنا منه جميعًا. ولكن يمكن استخدامه أيضًا للأغراض النبيلة التي تحدثنا عنها أعلاه. برنامج اعتراض و ، والتي هي في حركة المرور. هناك العديد من الميزات غير العادية. على سبيل المثال ، يمكنك إعادة إنشاء الصفحات التي زارتها "الضحية" على الإنترنت. يشار إلى أن هذا البرنامج مجاني ولكن ليس من السهل العثور عليه.
بعقبهذا هو المتشمم الخالص الذي يساعد في تحليل حزم الشبكة ، وليس اعتراض كلمات مرور الآخرين وسجل المتصفح. على الأقل هذا ما اعتقده المؤلف. في الواقع ، يستخدم خلقه أنت نفسك تفهم السبب. هذا هو برنامج دفعي شائع يعمل من خلال سطر الأوامر... للبدء ، يتم تحميل وتشغيل ملفين. يتم حفظ الحزم الملتقطة على القرص الصلب ، وهو أمر مريح للغاية.
هناك العديد من برامج الشم الأخرى.على سبيل المثال ، تُعرف fsniff و WinDump و dsniff و NatasX و NetXRay و CooperSniffer و LanExplorer و Net Analyzer وغيرها الكثير. اختيار أي! لكن من العدل أن نقول إن CommView هو الأفضل.
لذلك ، قمنا بفرز ماهية المتشممون وكيف يعملون وما هم.
الآن دعنا ننتقل من مكان المتسلل أو مسؤول النظام إلى مكان المستخدم العادي.
نحن ندرك جيدًا أنه يمكن سرقة بياناتنا. ماذا تفعل لمنع حدوث ذلك هنا). إنه يعمل بكل بساطة - يقوم بمسح الشبكة بحثًا عن جميع أنواع الجواسيس والتقارير إن وجدت. هذا هو المبدأ الأبسط والأكثر قابلية للفهم والذي يسمح لك بحماية نفسك من الهجمات الإلكترونية.
3 استخدم PromiScan.من حيث خصائصه ومهامه ، فإن هذا البرنامج مشابه جدًا لبرنامج AntiSniff لنظام التشغيل Windows ، لذا اختر أحدهما. هناك العديد من روابط التنزيل على الويب أيضًا (هذا واحد). إنه برنامج مبتكر يسمح لك بالتحكم عن بعد في أجهزة الكمبيوتر المتصلة بنفس الشبكة. مبدأ عملها هو تحديد العقد التي لا ينبغي أن تكون على الشبكة. في الواقع ، هؤلاء هم على الأرجح متشممون. يكتشفها البرنامج ويبلغ عن ذلك برسالة بليغة. مريح جدا !.
4 استخدم التشفير ،وفي حالة نشره ، نظام تشفير بمفتاح عمومي. هذا نظام تشفير خاص أو نظام توقيع إلكتروني. "الحيلة" هي أن المفتاح عام ويمكن للجميع رؤيته ، لكن من المستحيل تغيير البيانات ، حيث يجب القيام بذلك على جميع أجهزة الكمبيوتر في الشبكة في نفس الوقت. طريقة ممتازة - مثل طعم لص. يمكنك أن تقرأ عن blockchain ، حيث يتم استخدام مثل هذا النظام.
5 لا تقم بتنزيل البرامج المشبوهة ، ولا تزور المواقع المشبوهة ، وما إلى ذلك.يعرف كل مستخدم حديث عن هذا الأمر ، ومع ذلك فإن هذا هو المسار الرئيسي لأحصنة طروادة وغيرها من الحيل القذرة للوصول إلى نظام التشغيل... لذلك كن مسئولا جدا عن استخدام الإنترنت بشكل عام!
إذا كان لديك أي أسئلة أخرى ، فاطرحها في التعليقات أدناه.
نأمل أن نكون قادرين على شرح كل شيء بلغة بسيطة ومفهومة.
لا يدرك العديد من المستخدمين أنه من خلال ملء معلومات تسجيل الدخول وكلمة المرور عند التسجيل أو الترخيص على مورد إنترنت مغلق والضغط على ENTER ، يمكن بسهولة اعتراض هذه البيانات. في كثير من الأحيان يتم إرسالها عبر الشبكة في شكل غير محمي. لذلك ، إذا كان الموقع الذي تحاول تسجيل الدخول إليه يستخدم بروتوكول HTTP ، فمن السهل جدًا التقاط حركة المرور هذه وتحليلها باستخدام باستخدام Wiresharkثم استخدام عوامل التصفية والبرامج الخاصة للعثور على كلمة المرور وفك تشفيرها.
أفضل مكان لاعتراض كلمات المرور هو في قلب الشبكة ، حيث تذهب حركة مرور جميع المستخدمين إلى الموارد المغلقة (على سبيل المثال ، البريد) أو أمام جهاز التوجيه للوصول إلى الإنترنت ، عند التسجيل باستخدام موارد خارجية. نصنع مرآة ونحن على استعداد لنشعر وكأننا هاكر.
في بعض الأحيان ، يكفي تحديد الواجهة التي نخطط من خلالها لالتقاط حركة المرور والنقر فوق الزر "ابدأ". في حالتنا ، نقوم بالتقاط الشبكة اللاسلكية.
بدأ التقاط حركة المرور.
نفتح متصفحًا ونحاول تسجيل الدخول إلى أي مورد باستخدام اسم مستخدم وكلمة مرور. عند الانتهاء من عملية التفويض وفتح الموقع ، نتوقف عن التقاط حركة المرور في Wireshark. بعد ذلك ، افتح محلل البروتوكول وشاهد عددًا كبيرًا من الحزم. في هذه المرحلة يستسلم معظم محترفي تكنولوجيا المعلومات لأنهم لا يعرفون ماذا يفعلون بعد ذلك. لكننا نعلم ونهتم بالحزم المحددة التي تحتوي على بيانات POST التي يتم إنشاؤها على أجهزتنا المحلية عند ملء نموذج على الشاشة وإرسالها إلى خادم بعيد عند النقر فوق الزر "تسجيل الدخول" أو "التفويض" في المتصفح.
أدخل مرشحًا خاصًا في النافذة لعرض الحزم الملتقطة: http.طلب.الطريقة == "بريد "
وبدلاً من ألف حزمة ، نرى واحدة فقط تحتوي على البيانات التي نبحث عنها.
نقرة سريعة بزر الماوس الأيمن وحدد العنصر من القائمة اتبع TCP Steam
بعد ذلك ، سيظهر النص في نافذة جديدة ، والتي في الكود تستعيد محتوى الصفحة. لنجد الحقلين "password" و "user" ، اللذين يتوافقان مع كلمة المرور واسم المستخدم. في بعض الحالات ، سيكون من السهل قراءة كلا الحقلين ولا يتم تشفيرهما ، ولكن إذا كنا نحاول التقاط حركة المرور عند الوصول إلى موارد معروفة جدًا مثل Mail.ru و Facebook و Vkontakte وما إلى ذلك ، فسيتم تشفير كلمة المرور :
تم العثور على HTTP / 1.1 302
الخادم: Apache / 2.2.15 (CentOS)
X-Powered-By: PHP / 5.3.3
P3P: CP = "NOI ADM DEV PSAi COM NAV OTRo STP IND DEM"
تعيين ملف تعريف الارتباط: كلمة المرور = ؛ تنتهي الصلاحية = الخميس ، 07 نوفمبر 2024 23:52:21 GMT ؛ المسار = /
الموقع: loggedin.php
طول المحتوى: 0
الاتصال: إغلاق
نوع المحتوى: نص / html ؛ محارف = UTF-8
وهكذا في حالتنا:
اسم المستخدم: networkguru
كلمه السر:
نذهب ، على سبيل المثال ، إلى الموقع http://www.onlinehashcrack.com/hash-identification.php#res وأدخل كلمة المرور الخاصة بنا في نافذة التعريف. لقد حصلت على قائمة بروتوكولات الترميز حسب الأولوية:
في هذه المرحلة ، يمكننا استخدام أداة التجزئة:
~ # hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
عند الإخراج ، تلقينا كلمة مرور غير مشفرة: كلمة مرور بسيطة
وبالتالي ، باستخدام Wireshark ، لا يمكننا حل المشكلات في تشغيل التطبيقات والخدمات فحسب ، بل يمكننا أيضًا تجربة أنفسنا كمخترق ، واعتراض كلمات المرور التي يدخلها المستخدمون في نماذج الويب. يمكنك أيضًا معرفة كلمات المرور لصناديق بريد المستخدمين باستخدام عوامل تصفية بسيطة لعرضها:
وأدوات مساعدة أكثر جدية لفك تشفير بروتوكول التشفير.
هناك عدة خيارات للإجابة على هذا السؤال.
الخيار 1. الاتصال لقطع الاتصال بين المستخدم والخادم والتقاط حركة المرور في اللحظة التي يتم فيها إنشاء الاتصال (SSL Handshake). عند إنشاء الاتصال ، يمكنك اعتراض مفتاح الجلسة.
الخيار 2. يمكنك فك تشفير حركة مرور HTTPS باستخدام ملف سجل مفتاح الجلسة المسجل بواسطة Firefox أو Chrome. للقيام بذلك ، يجب تكوين المتصفح لكتابة مفاتيح التشفير هذه إلى ملف سجل (مثال على FireFox) ويجب أن تحصل على ملف السجل هذا. في الأساس ، تحتاج إلى سرقة ملف مفتاح الجلسة باستخدام القرص الصلبمستخدم آخر (وهو أمر غير قانوني). حسنًا ، ثم التقط حركة المرور واستخدم المفتاح الناتج لفك تشفيرها.
إيضاح.نحن نتحدث عن متصفح الويب لشخص يحاول سرقة كلمة مرور. إذا كنا نعني فك تشفير حركة مرور HTTPS الخاصة بنا وأردنا الممارسة ، فستعمل هذه الإستراتيجية. إذا كنت تحاول فك تشفير حركة مرور HTTPS الخاصة بالمستخدمين الآخرين دون الوصول إلى أجهزة الكمبيوتر الخاصة بهم ، فلن تعمل - هذا هو التشفير والخصوصية.
بعد استلام المفاتيح للخيار 1 أو 2 ، تحتاج إلى تسجيلها في WireShark:
يمكن لـ WireShark فك تشفير الحزم المشفرة باستخدام خوارزمية RSA. إذا تم استخدام خوارزميات DHE / ECDHE و FS و ECC ، فلن يكون المتشمم مساعدًا لنا.
الخيار 3. الوصول إلى خادم الويب الذي يستخدمه المستخدم والحصول على المفتاح. لكن هذا أكثر صعوبة. في شبكات الشركات ، لغرض تصحيح أخطاء التطبيقات أو تصفية المحتوى ، يتم تنفيذ هذا الخيار على أساس قانوني ، ولكن ليس لغرض اعتراض كلمات مرور المستخدم.
فيديو: Wireshark Packet Sniffing Usernames، Passwords، and Web Pages
دعونا ننظر في جوهر عمل ARP مثال بسيط... الكمبيوتر A (عنوان IP 10.0.0.1) والكمبيوتر B (عنوان IP 10.22.22.2) متصلان بشبكة Ethernet. يريد الكمبيوتر A إرسال حزمة بيانات إلى الكمبيوتر B ، ويعرف عنوان IP للكمبيوتر B. ومع ذلك ، فإن شبكة Ethernet التي يتصلون بها لا تعمل مع عناوين IP. لذلك ، يحتاج الكمبيوتر A إلى معرفة عنوان الكمبيوتر B على شبكة Ethernet (عنوان MAC في مصطلحات Ethernet) من أجل الإرسال عبر Ethernet. لهذه المهمة ، يتم استخدام بروتوكول ARP. يستخدم هذا البروتوكول الكمبيوتر A لإرسال طلب بث إلى جميع أجهزة الكمبيوتر في نفس مجال البث. جوهر الطلب: "كمبيوتر بعنوان IP 10.22.22.2 ، أخبر عنوان MAC الخاص بك إلى الكمبيوتر بعنوان MAC (على سبيل المثال a0: ea: d1: 11: f1: 01)". تقدم شبكة Ethernet هذا الطلب إلى جميع الأجهزة الموجودة على نفس مقطع Ethernet ، بما في ذلك الكمبيوتر B. يستجيب الكمبيوتر B لطلب الكمبيوتر A ويعطي عنوان MAC الخاص به (على سبيل المثال 00: ea: d1: 11: f1: 11) الآن ، بعد تلقي عنوان MAC الخاص بالكمبيوتر B ، يمكن للكمبيوتر A إرسال أي بيانات إليه عبر شبكة Ethernet.
لتجنب الحاجة إلى استخدام بروتوكول ARP قبل كل إرسال للبيانات ، يتم تسجيل عناوين MAC المستلمة وعناوين IP المقابلة في الجدول لبعض الوقت. إذا كنت بحاجة إلى إرسال البيانات إلى نفس عنوان IP ، فلا داعي لاستقصاء الأجهزة في كل مرة بحثًا عن MAC المطلوب.
كما رأينا للتو ، تتضمن ARP طلبًا واستجابة. تتم كتابة عنوان MAC من الاستجابة في جدول MAC / IP. عند استلام الرد ، لا يتم التحقق منه بأي شكل من الأشكال للتأكد من صحته. علاوة على ذلك ، لم يتم التحقق حتى من تقديم الطلب. أولئك. يمكنك على الفور إرسال استجابة ARP للأجهزة المستهدفة (حتى بدون طلب) ، مع البيانات المخادعة ، وسيتم تضمين هذه البيانات في جدول MAC / IP وسيتم استخدامها لنقل البيانات. هذا هو جوهر هجوم انتحال ARP ، والذي يسمى أحيانًا تسمم ARP وتسمم ذاكرة التخزين المؤقت لـ ARP.
جهازي كمبيوتر (عقد) M و N in شبكه محليهرسائل تبادل إيثرنت. يريد المهاجم X الموجود على نفس الشبكة اعتراض الرسائل بين هذه العقد. قبل تطبيق انتحال ARP على واجهة الشبكة الخاصة بالعقدة M ، يحتوي جدول ARP على عنوان IP و MAC الخاص بالعقدة N. أيضًا ، على واجهة الشبكة الخاصة بالعقدة N ، يحتوي جدول ARP على عنوان IP وعنوان MAC للعقدة M.
أثناء هجوم انتحال ARP ، يرسل المضيف X (المهاجم) استجابتي ARP (بدون طلب) - لاستضافة M وللاستضافة N. تحتوي استجابة ARP على المضيف M على عنوان IP N وعنوان MAC الخاص بـ X. ARP تحتوي الاستجابة للمضيف N على عنوان IP M وعنوان MAC X.
نظرًا لأن أجهزة الكمبيوتر M و N تدعم ARP تلقائيًا ، فبعد تلقي استجابة ARP ، قاموا بتغيير جداول ARP الخاصة بهم ، والآن يحتوي جدول ARP M على عنوان MAC X المرتبط بعنوان IP N ، ويحتوي جدول ARP N على عنوان MAC X المرتبط بـ م.
وهكذا ، اكتمل هجوم ARP-spoofing ، والآن تمر جميع الحزم (الإطارات) بين M و N عبر X. على سبيل المثال ، إذا أراد M إرسال حزمة إلى N ، فإن M يبحث في جدول ARP الخاص به ، ويعثر على إدخال بـ عنوان IP للمضيف N ، يحدد عنوان MAC من هناك (وهناك بالفعل عنوان MAC الخاص بالعقدة X) وينقل الحزمة. تصل الحزمة إلى واجهة X ، يتم تحليلها بواسطتها ، ثم إعادة توجيهها إلى العقدة N.