WireShark - основы

WireShark - основы

Тема в разделе "Кибербезопасность", создана пользователем dima1239010, 06.12.2018.

Загрузка...
Ответов: 1 Просмотров: 741 Ответить в теме
  1. dima1239010
    Недавно сам начал глубоко изучать Kali Linux, а в особенности его утилиты.

    Сегодня хочу вам рассказать про основы использования утилиты WireShark.

    WireShark - программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других. Имеет графический пользовательский интерфейс. Изначально проект назывался Ethereal, но, из-за проблем с торговой маркой, в июне 2006 года проект был переименован в Wireshark.
    (Официальный сайт: тык)

    Установка Wireshark в Linux
    ------------ On Debian/Ubuntu based Distros ------------

    $ sudo apt-get install wireshark


    ------------ On CentOS/RHEL based Distros ------------

    $ sudo yum install wireshark


    ------------ On Fedora 22+ Releases ------------

    $ sudo dnf install wireshark

    Запуск программы, перехват трафика
    Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.

    [​IMG]

    После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:

    • Верхняя часть - это меню и панели с различными кнопками;
    • Список пакетов - дальше отображается поток сетевых пакетов, которые вы будете анализировать;
    • Содержимое пакета - чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
    • Реальное представление - в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.
    В итоге после захвата трафика его надо отсортировать.
    В ручную делать это слишком трудно и долго, поэтому для нас создали фильтры.

    Допустим мы перехватили трафик человека который логинился на какой-то учетке.
    Следовательно мы перехватили его логин и пароль. Но как узнать где пакет с его паролями?
    Здесь нас и спасают фильтры. Вот один из них: http.request.method == “POST”

    Смотрим на протокол. Если там написанно HTTP, то потираем ладошки и работаем дальше...
    Далее нажимаем правой кнопкой мышки на пакет и нажимаем на вкладку Follow TCP Stream.
    [​IMG]
    Открывается отдельное окошко с текстом данных авторизации, но пароль зашифрован.
    Не паникуем и идем на сайт для определения алгоритма шифровки.
    Ссылка: http://www.onlinehashcrack.com/hash-identification.php#res

    После открываем программу Hashcat и вводим команду:
    ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt (root/имя_хеша.lf после указываем место и название файла для сохранения расшифрованного пароля)

    Сейчас мы разобрались как захватить и расшифровать трафик с протоколом HTTP.
    В заключение расскажу вам немного о протоколе HTTPS и о том что мы сможем с ним сделать
    .

    Все мы знаем что HTTPS - расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов SSL или TLS.

    Так вот. Конечно просто перехватив трафик с протоколом HTTPS мы не сможем ничего вытащить потому что всё зашифровано, но есть несколько способов перехвата с дальшейшей расшифровкой пакета.

    Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.

    Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.

    После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:

    1)Идем в меню Edit – Preferences – Protocols – SSL.
    2)Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
    3)«RSA keys list» и нажимаем Edit.
    4)Вводим данные во все поля и прописываем путь в файлу с ключом
    [​IMG]
    WireShark может расшифровывать пакеты, которые зашифрованы с использованием алгоритма RSA. В случае если используются алгоритмы DHE/ECDHE, FS, ECC, сниффер нам не помощник.

    Вариант 3. Получить доступ к web-серверу, которым пользуется пользователь, и получить ключ. Но это является еще более сложной задачей. В корпоративных сетях с целью отладки приложений или контент фильтрации этот вариант реализуется на легальной основе, но не с целью перехвата паролей пользователей.

    Всем спасибо за прочтение данной темы! Не поскупитесь симпатиями и денюфкой)
    Я стараюсь писать качественные и полезные темы. Чем больше поддержки тем чаще я буду писать темы.

    Источники для написания данной темы:
    1)https://losst.ru/kak-polzovatsya-wireshark-dlya-analiza-trafika#_Wireshark-2
    2)https://networkguru.ru/wireshark-perekhvat-paroley/
    3)http://blog.sedicomm.com/2017/03/27...vaniyu-wireshark-dlya-analiza-paketov-dannyh/
     
    06.12.2018 Сообщений: 146 Симпатий: 54
  2. L0(ker#_#
    Спасибо! Годная тема, все подробно описал. Давно хотел разобраться с этой утилитой но руки не доходили никак, а благодаря твоей теме все понятно стало.
     
    07.05.2020 Сообщений: 15 Симпатий: 12
В этой теме всего одна страница
Вам, как гостю, ограничены возможности взаимодействия с темами. Пройдите бесплатную регистрацию и откройте для себя море возможностей.