Как перехватывать трафик внутри Wi-Fi сети

SSHMAN

Journalist
Сообщения
47
Оценка реакций
54
1582996351486.png

Intercepter
Intercepter – это многофункциональный сетевой инструмент, который позволяет получить данные из трафика (пароли, сообщения в мессенджерах, переписки и т.д.) и реализовать различные MiTM-атаки.


Интерфейс программы IntercepterОсновной функционал
  • Перехват сообщений мессенджеров.
  • Перехват кукис файлов и паролей.
  • Перехват активности (страницы, файлы, данные).
  • Возможность подмены скачивания файлов, добавляя вредоносные файлы. Можно использовать совместно с другими утилитами.
  • Подмена сертификатов Https на Http.
Режимы работы
Messengers Mode
– позволяет проверять переписку, которая была отправлена в незашифрованном виде. Применялась для перехвата сообщений в таких мессенджерах ICQ, AIM, JABBER сообщений.

Ressurection Mode – восстановления полезных данных из трафика, из протоколов которые передают трафик в открытом виде. Когда жертва просматривает файлы, страницы, данные, можно частично или полностью их перехватывать. Дополнительно можно указать размер файлов, чтобы не загружать программу маленькими частями. Эту информацию можно использовать для анализа.

Password Mode – режим для работы с куки файлами. Таким образом, можно получить доступы к посещаемым файлам жертвы.

Scan mode – основной режим для тестирования. Для начала сканирования необходимо нажать правой кнопкой мыши Smart Scan. После сканирования в окне будут отображаться все участники сети, их операционная система и другие параметры.

Дополнительно в этом режиме можно просканировать порты. Необходимо воспользоваться функцией Scan Ports. Конечно для этого есть и намного функциональные утилиты, но наличие этой функции – важный момент.

Если в сети нас интересует целенаправленная атака, то после сканирования необходимо добавить целевой IP в Nat с помощью команды (Add to Nat). В другом окне можно будет провести другие атаки.

Nat Mode. Основной режим, который позволяет проводить ряд атак по ARP. Это основное окно, которое позволяет проводить целенаправленные атаки.

DHCP mode. Это режим, который позволяет поднять свой DHCP сервер для реализации атак DHCP по середине.

Некоторые виды атак, которые можно проводить
Подмена сайта


Для подмена сайта у жертвы необходимо перейти в Target, после этого необходимо указать сайт и его подмену. Таким образом можно подменить достаточно много сайтов. Все зависит от того, насколько качественный будет фейк.


Подмена сайта

Пример для VK.com

Выбираем MiTM атаку

Изменяем правило для иньекции
В результате жертва открывает фейковый сайт при запросе vk.com. И в режиме паролей должен быть логин и пароль жертвы:


Авторизация жертвы
Расшифровка трафика

Чтобы провести целенаправленную атаку необходимо выбрать жертву из списку и добавить ее в таргет. Это можно сделать с помощью правой кнопкой мыши.


Добавления MiTm атаки
Теперь можно в режиме Ressurection Mode восстановить разные данные из трафика.


Файлы и информация жертвы посредством MiTm атаки
Подмена трафика


Подмена запросов
Далее необходимо указать в настройках несколько параметров:


Указание настроек
После этого у жертвы будет меняться запрос "trust" на "loser".

Дополнительно можно убить кукис-файлы, чтобы жертва вышла со всех аккаунтов и повторно авторизовалась. Это позволит перехватить логины и пароли.


Уничтожение кукис файловКак увидеть потенциального сниферра в сети с помощью Intercepter?
С помощью опции Promisc Detection можно обнаружить устройство, которое ведет сканирование в локальной сети. После сканирование в графе status будет «Sniffer». Это первый способ, которые позволяет определить сканирование в локальной сети.


Обнаружение SnifferУстройство SDR HackRF

HackRF
SDR - это своеобразный радиоприемник, который позволяет работать с разными радиочастотными параметрами. Таким образом, можно перехватывать сигнал Wi-Fi, GSM, LTE и т.д.

HackRF - это полноценное SDR-устройство за 300 долларов. Автор проекта Майкл Оссман разрабатывает успешные устройства в этом направлении. Ранее был разработан и успешно реализован Bluetooth-снифер Ubertooth. HackRF успешный проект, который собрал более 600 тысяч на Kickstarter. Уже было реализовано 500 таких устройств для бета-тестирования.

HackRF работает в диапазоне частот от 30 МГц до 6 ГГц. Частота дискретизации составляет 20 МГц, что позволяет перехватывать сигналы Wi-FI и LTE сетей.

Как обезопасить себя на локальном уровне?
Для начала воспользуемся софтом SoftPerfect WiFi Guard. Есть портативная версия, которая занимает не более 4 мб. Она позволяет сканировать вашу сеть и отображать, какие устройства в ней отображены. В ней есть настройки, которые позволяют выбрать сетевую карту и максимальное количество сканируемых устройств. Дополнительно можно выставить интервал сканирования.


Интерфейс программы SoftPerfect WiFi Guard
После сканирования программа присылает уведомления, сколько есть неизвестный устройств. Это позволяет нам добавлять и отмечать доверенных пользователей и заметить, если кто-то подключился и начинает прослушивать трафик. Уведомления будут приходить после каждого интервала сканирования. Это позволяет отключить определенного мошенника на уроне роутера, если есть подозрительные действия.


Настройки программы SoftPerfect WiFi Guard

Возможность добавления комментариев для пользователей

Окно уведомления незнакомых девайсов после каждого заданного интервала сканированияЗаключение
Таким образом, мы рассмотрели на практике, как использовать программное обеспечение для перехвата данных внутри сети. Рассмотрели несколько конкретных атак, которые позволяют получить данные для входа, а также другую информацию. Дополнительно рассмотрели SoftPerfect WiFi Guard, которые позволяет на примитивном уровне защитить локальную сеть от прослушивания трафика.
 

twister37r

Pro Member
Сообщения
152
Оценка реакций
49
Статья информативная, но на счёт актуальности есть сомнения.
Скажу сразу, не считаю своё мнение экспертным, так как это не моя область работы, но перехват пакетов будет актуален только для http соединений (что и показано в принципе на скрине), с подменой контента та же история. Да и браузеры в последнее время относятся к http с презрением.
На счёт предотвращения сниффинга хз на сколько удобно сканировать постоянно сеть, но у меня стоит фильтр по доверенным MAC адресам, что и всем советую сделать)
 

sergey-yo

Member
Сообщения
42
Оценка реакций
4
Разве с введением в вэб протокола https интерцептер продолжает быть актуальным? Если только каким то образом сертификат в браузер подсунуть. Разве я не прав?
 

forSubs

Member
Сообщения
3
Оценка реакций
0
Разве с введением в вэб протокола https интерцептер продолжает быть актуальным? Если только каким то образом сертификат в браузер подсунуть. Разве я не прав?
думаю, он продолжает быть актуальным, - потому как не все работают по хттпс. ну и, по-моему TLS1.3 пока что, не скомпрометирован. учитывая, что до 1.3, можно пробовать если очень нужно (ибо до 1.3. тоже прилично попотеть, что дешифровать)
 

kaziken

Member
Сообщения
46
Оценка реакций
18
Есть доверие стоит ли качать
 

lifedeveloper

Member
Сообщения
8
Оценка реакций
3
первый день на форуме, почитал уже 3 полезных тем с очень нужной информаций, особено про социальную инжинерию понравилось.
спасибо кое что новое узнал
 
  • Like
Реакции: twister37r