Szperanie w sieciach lokalnych.doc

---=====[ Szperanie w sieciach lokalnych (praktyka) ]=====---

:. Wtęp
W tym artykule postaram się przedstawić metody przechwytywania pakietów w sieciach przełączanych i nieprzełączanych. Artykuł ma charakter edukacyjny. Adresy i hasła w nim zawarte zostały podmienione z powodów dla wszystkich oczywistych.

Z artykułu dowiesz się:
*  jak przełączyć urządzenia sieciowe do trybu nasłuchiwania;
*  jak przechwycić pakiety w sieciach przełączalnych i nieprzełączalnych;
*  jak na podstawie adresu IP uzyskać MAC adres;
*  jak zatruć pamięć podręczną ARP.

Powinieneś mieć pojęcie na temat:
*  Budowy sieci przełączalnych i nieprzełączalnych;
*  Warstwy sieci (transportowa/danych);
*  Pracy z systemem Linux.

W artykule użyto narzędzi
*  ifconfig;
*  tcpdump;
*  dsniff;
*  ping;
*  arp;
*  nemesis.

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

:. Sniffing
Od warstwy łącza zleży, czy dana sieć pracuje jako sieć przełączana. W przypadku sieci nieprzełączanej pakiety ethernet są przekazywane przez wszystkie urządzenia w sieci, ponieważ przyjęto założenie, że określone urządzenie sieciowe, będzie badało tylko pakiety skierowane na jego adres docelowy. Większość urządzeń można jednak przestawić na tryb nasłuchiwania (ang. promiscuous mode), przez co możliwe będzie badanie wszystkich pakietów, niezależnie od ich adresu docelowego. Większość programów do przechwytywania pakietów, takich jak tcpdump, domyślnie ustawiają taki tryb pracy interfejsu sieciowego. Do włączenia trybu podsłuchu można użyć polecenia ifconfig.

Kod:

[ROOT] ifconfig eth0
eth0     Link encap:Ethernet  HWaddr 00:00:CC:CC:CC:CC  
         BROADCAST MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:0 (0.0 MiB)  TX bytes:0 (0.0 MiB)

[ROOT] ifconfig eth0 promisc
[ROOT] ifconfig eth0
eth0     Link encap:Ethernet  HWaddr 00:00:CC:CC:CC:CC  
         BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:0 (0.0 MiB)  TX bytes:0 (0.0 MiB)

Sztuka przechwytywania pakietów, które nie powinny być ujawniane publicznie nazywana jest szperaniem (ang. sniffing). Włączenie trybu podsłuchu w sieci, może ujawnić wiele ciekawych informacji, co ilustruje poniżej

Kod:

[ROOT] tcpdump -l -X 'ip host 172.17.9.211'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:32:12.601771 IP 172.17.9.211.1359 > www.poczta.interia.pl.pop3: .
ack 36 win 730 nop,nop,timestamp 12811522 178544942
       0x0000:  4510 0034 29da 4000 4006 40bf ac11 09d3  E..4).@.@.@.....
       0x0010:  d94a 40ec 054f 006e 155d 550b abe3 db7c  .J@..O.n.]U....|
       0x0020:  8010 02da c2aa 0000 0101 080a 00c3 7d02  ..............}.
       0x0030:  0aa4 612e                                ..a.

10:32:17.663709 IP 172.17.9.211.1359 > www.poczta.interia.pl.pop3:
P 1:15(14) ack 36 win 730 nop,nop,timestamp 12816584 178544942
       0x0000:  4510 0042 29db 4000 4006 40b0 ac11 09d3  E..B).@.@.@.....
       0x0010:  d94a 40ec 054f 006e 155d 550b abe3 db7c  .J@..O.n.]U....|
       0x0020:  8018 02da 6b27 0000 0101 080a 00c3 90c8  ....k'..........
       0x0030:  0aa4 612e 7573 6572 207a 6162 6561 7479  ..a.user.willysx
       0x0040:  0d0a                                     ..

10:32:17.699442 IP www.poczta.interia.pl.pop3 > 172.17.9.211.1359:
P 36:42(6) ack 15 win 33304 nop,nop,timestamp 178545451 12816584
       0x0000:  4500 003a 9d3e 4000 3806 d564 d94a 40ec  E..:.>@.8..d.J@.
       0x0010:  ac11 09d3 006e 054f abe3 db7c 155d 5519  .....n.O...|.]U.
       0x0020:  8018 8218 aa13 0000 0101 080a 0aa4 632b  ..............c+
       0x0030:  00c3 90c8 2b4f 4b20 0d0a                 ....+OK...

10:32:17.699547 IP 172.17.9.211.1359 > www.poczta.interia.pl.pop3: .
ack 42 win 730 nop,nop,timestamp 12816620 178545451
       0x0000:  4510 0034 29dc 4000 4006 40bd ac11 09d3  E..4).@.@.@.....
       0x0010:  d94a 40ec 054f 006e 155d 5519 abe3 db82  .J@..O.n.]U.....
       0x0020:  8010 02da acaf 0000 0101 080a 00c3 90ec  ................
       0x0030:  0aa4 632b                                ..c+

10:32:24.191927 IP 172.17.9.211.1359 > www.poczta.interia.pl.pop3:
P 15:30(15) ack 42 win 730 nop,nop,timestamp 12823114 178545451
       0x0000:  4510 0043 29dd 4000 4006 40ad ac11 09d3  E..C).@.@.@.....
       0x0010:  d94a 40ec 054f 006e 155d 5519 abe3 db82  .J@..O.n.]U.....
       0x0020:  8018 02da f3d5 0000 0101 080a 00c3 aa4a  ...............J
       0x0030:  0aa4 632b 7061 7373 2031 7161 7a78 7377  ..c+pass.str33ts
       0x0040:  320d 0a                          ...