Sniffing hesel LAN, WLAN sítě Cain, Wireshark, Ettercap

LAN Sniffer Archea Vše začalo spojením 4 počitačů v roce 1969, následním spojením starého a nového kontinentu (trans-antlanticke spojeni USA s Anglii) a zrod TCP/IP (1973). Boom sítě Internet spustil e-mail a protokol world wide web v roce 1991. Stačilo pouhých patnáct let nato aby v síti vznikl další, paralelní svět, kultura.. My do tohoto světa podnikneme malou exkurzi. Ve světě „krásy baudu“ nás bude doprovázet tlumočník jménem Wireshark, TCPdump, Abel & Cain, Kismet, CommView, AiroPeek, OmniPeek, Netdopler, Ettercap-ng a další nástroje pro anlýzu síťového provozu..

bit a paket

Souhrnně, paket obsahuje v každém aspektu řadu zasadních informací. Tyto informace lze pomocí zmiňovaných aplikaci odchytit, zobrazit a číst. Pro pochopení tématu je nutná alespoň základni znalost problematiky počítačových sítí, orientace v TCP/IP protokolech, kódování a hardware.

keywords: bit, Byte, paket, informace, latence, síť, vrstva, protokol, routing

diskuze sniffing

Latence

..je doba mezi odeslanim po prijeti informace, paketu nebo sady instrukci. Je pravdepodobne, ze cast komunikace se bude v siti opakovat a deje se tak v pripade, ze jeji cast ztrati (nedorazi k cily). Jak lze poznat, ze byl tok dat prerusen? Kazda komunikace se navaze, spusti a ukonci. Ke vsemu je kazdy paket cislovan a ma kontrolni soucet. V pripade, ze se rada prerusi nebo je paket zmenen, dochazi k preruseni toku dat. Kondici site lze ovlivnovat jeji spravou a udrzbou. Meritelnym aspektem je rychlost, propustnost a latence.

ping 10.100.42.19

nebo

ping google.com

Promiskuita vs. Monitor Mode

Karta v promiskuitnim rezimu neignoruje pakety, kterých hlavička neobsahuji její MAC adresu. Po prekonani teto bariery ziskava uzivatel (pomoci vhodne aplikace – sniffer) veskere informace v siti. Monitor Mode je obdobna technika (status) aplikovatelna v bezdratovych sitich. Není to jedno a to samé! Můžete si otestovat (v BackTrack běží atheros chipset v monitor mode i promiskuitě) u sebe. V mém případě monitor mode (program Wireshark) zachytí nesrovnatelně více paketů než promiskuita.

Relevantni CMD pro Linux:

Promiskuita

ifconfig eth0 promisc

Mode Monitor

iwconfig eth0 mode Monitor

Mode Monitor – Airmon

airmon start eth0

Ve Windows sitovou kartu do promisk. prepne aplikace, ktera to umi. Na moznost prepnout kartu do promisk. rezimu narazite casteji u „dratovych“ karet nez u bezdratovych. Co umi ta ktera sitova karta se doctete zde.

keywords: hardware, rezim, syntaxe

Packet Injection

Injekce paketu je technika kterou se manupuluje provoz v siti, unasi spojeni nebo upravuje samotny paket. Pro tento ucel existuji samostatne aplikace. Od tech kde lze napsat cely paket (winject) pres ty co umi paket odchytnout a nabidnou jeho modifikaci (ethereal, commview) az po aplikce plne automatizovane (aireplay-ng, wireshark)

keywords: paket, manipulace, injekce, HEX, ASCII, raw

Mate dotaz? Ptejte se ve Foru..

Sniffer

Tato katogerie nastroju zahrnuje. 1. Jednoduche konsolove aplikace (tcpdump, dsniff), 2. GUI nastroje (abel & cain) zamerene na zachytavani hesel, crack hash, 3. GUI nastroje analyticke (airopeek, omnipeek), 4. Pak jsou tu ruzne aplikace, ktere lze zaradit tu i tam (commview). Ted to nejdulezitejsi. Neexistuje rozdil mezi drahou aplikaci a jednoduchym programem. Oba druhy aplikaci vidi stejna data. Zalezi jenom na vasi schopnosti data filtrovat.

keywords: aplikace, software, program

Aplikace.

Ethereal, Wireshark, Airodump-ng, Kismet, Tcpdump, Dsniff, AiroPeek, OmniPeek, Netdopler, CommView, Abel & Cain, L0pthCrack, Cowpatty.

keywords: GUI, konsole

Knowhow

Narocnost filtrovani roste s poctem pouzivanych protokolu a objemem dat. U testu male lokalni site staci pohled na rozhrani aplikace nebo pouhe filtrovani protokolu. Pri hledani nekolika bitu v brutalnim toku se ale nikdo neobejde bez slozitejsi syntaxe a allertu.

keywords: bandwidth, filtrovani, pravidla (rulez), synatxe

Keyword – Klíčové slovo

V siti se kazda informace prenasi 1. V citelne (plaintext) 2. Necitelne podobe (sifrovane). Z obycejneho slova, terminu, nebo nazvu protokolu se stava keyword v momentu, kdy jej pouzijeme pro vyhledani konkretni infomace. Vyraz, ktery vkladame do google, je pro system Keyword stejne tak, jak je tomu u filtrovani, hledani konretnich dat v databaze, siti, diskuzi atd. Kdyz je informaci premira, vysledek lze vycistit pomoci filtru.

keywords: klicove slovo, filtr, filtrovani

Filtr, Allert

Data filtruje sada definovanych vyrazu (filtru) a vysledek se doladuje pomoci tkz. klicovych slov. Sitovy provoz lze analyzovat v ramci protokolu jako celku dale dle smeru komunikace, objemu komunikace (regulerni, chybova, zadana nezadana), rychlosti, management ramcu a obsahu dat (sdeleni).

Keywords z Protokolu

Pro filtrovani komunikace se bez potrebne znalosti klicovych slov nelze obejit. Identifikace protokolu je zakladni vlastnosti kazde apliakce ktera je pro analyzu siti urcena. Nejcasteji se setkame s protokolem:

tcp, udp, dns, dhcp, icmp, arp, smtp, pop3, aim, irc

Protokoly se cleni do kategorii a kazdy protokol slouzi pouze danemu ucelu. (transportni, management atd.)

Keywords pro Password

U autentizace, loginu nebo autorizace se nejcasteji setkavame s vyrazem:

id, crc, uin, uid, user, userid, user_id, username, member, ulogin, session, account, uname, login, email, webuser, login, logon, upass, password, pass, pw, pwd, passwd

Bezdrátové sítě WLAN

Metalické a WiFi (bezdrátové sítě) stojí na stejném principu. Odlišují je pouze technologické specifikace a dané specifiká. Ty jsou řešeny rozšířením protokolu a aplikačně. (filtry)

Specifiká bezdrátu.

WLAN sítě jsou spravovány vrámci těchto framů. Management – kontroluji pripojovani a ukoncovani spojeni, Kontrolni – potvrzuji prijeti ramcu (frames), Datove – obsahuji data z nejvyssi vrstvy. Budeme se venovat pouze treti kategorii tj. Management ramcum. Ty svoji komplexnosti poskytuji cetne moznosti. Nektere terminy poznate z Aireplay-ng.

Druhy management ramcu (framu)

Association request frame
Association response frame
.
Reassociation request frame
Reassociation response frame
.
Authentication frame
.
Beacon frame
ATIM frame
.
Probe request frame
Probe response frame
.
Disassociation frame
Deauthentication frame

Special – redukce kolizi ramcu.

RTS (Request To Send) – zadost o rezervaci pasma
CTS (Clear To Send) – potvrzeni rezervace.
ACK (Acknowledge) – potvrzeni prijmu datoveho ramce (oboustranne)

K cemu slouzi tato vedomost? Tak napriklad.. Schopnost detekovat konkrektni management ramce umoznuje aplikaci Kismet signalizovat utok na bezdratovou sit. Sada po sobe nasledujicich Deauth ramcu signalizuje pouziti techniky pro utok na WEP klic, kdy pomoci MAC spoofingu vstupuje do komunikace dalsi ucastnik. Viz. Susspicious trafic, Allert atd. Teto feature rikame IDS. (intrusion detection system).

keywords: source adress, destination adress, essid, bssid

Airodump-ng

Konsole aplikace. Casto omylem povazovan za sniffer. Jedna se o cast baliku Aircarck-ng a neni to nic vic nez klasicky stumbler.Detekuje vsechny site a pripojene klienty v dosahu, umi statistiky a posledni verze detekuje take typ sifrovani. Pouziva se nejcasteji ve spojeni s aplikaci Aireplay-ng.

Kismet

Konsole aplikace, ktera pomoci kl. d zobrazit veskery trafic v dosahu (anteny). Pouziva Monitor mode a jedna se o pasivni snifer. Proto je jeho pritomnost nedetekovatelna. Umi detekovat cca 15 podezrelych aktivit v dosahu. Jedna se o wardrive / IDS aplikaci.

Kismet data dump screenshot

Vypis podezrelych aktivit lze ziskat kl. w

Kismet alerts dump screenshot

Vetsi moznosti filtrovani komunikace nedisponuje. Lze pouzit WEP klic na realtime desifrovani trafiku. Zachycuje a zobrazuje IP adresy vsech pripojenych klientu v sitich, vcetne podrobnych informaci o kazdem zarizeni. Ma podporu pro GPS modul.

tcpdump

Konsolova aplikace, jednoduche rozhrani, v rukou zkuseneho uzivatele mocny nastroj.
Krom zajimavych moznosti a filtru neni moc ocem psat. Primocare. Existuje i verze pro windows.

Zjistit zda-li je karta promiskuitni lze:

ifconfig eth0 | grep -c PROMISC

Komplet vypis trafiku na rozhrani

tcpdump -i eth0 -n

POP3 Heslo

tcpdump tcp port 110 -X |grep PASS

tcpdump password login user

HEX data s definovanou velikost

tcpdump -s 1514 -X

Pro ASCII misto -X lze pouzit prepinac -A, pro ulozeni do logu prepinac -w filename

Klient v siti

tcpdump -i eth0 host laptop-pc

Klienti v siti definovan pomoci MAC

tcpdump -i eth0 ether host 00:0A:2E:00:0A:2E

Pro MAC lze sahnout do ARP tabulky (ip neigh)

ping -c1 ip ; ip neigh | grep 10.100.52.1

UDP packety kratsi nez 80 bajtu

tcpdump -i eth0 less 80 and ip proto \\udp

Note:

2x \je sparvne protoze: \ = escape + \

Dump: Zdroj, cil, port – Vysvetlivky

src host IP

– paket z IP

dst host IP

– paket pro IP

host IP

– paket z nebo pro IP

src port 80

– packet z portu 80

dst port 80

– packet na port 80

port 80

– z nebo na port 80

Tyto podminky lze libovolne kombinovat:

tcpdump -i eth0 src host 10.10.50.1 and dst host 10.10.50.14 and not dst port 80

Note:

src net network/mask

– zdroj v zadane siti

dst net network/mask

– cil v zadane siti

Komunikace mezi PC – Subnet

tcpdump -i eth0 -n not ether host 00:02:xx:xx:xx:xx

Upresnujici flag

-v
-vv
-vvv

Linkova cast ramce

(MAC zdroje a cile, link protokol)

-e

Komunikace na portu 80 – IP adresa 10.100.xx.xx

tcpdump -vvv -l -w- -A ‚host 10.100.xx.xx and tcp port 80’|tee /logfile_nejaka

Scapy

Samostatná kapitola, kdo aplikaci scapy zná nepotřebuje ji představovat. Momentálně jedna z nejlepších aplikací pro sniffing a manipulaci dat. Pár příkladu najdete ve wiki v článku scapy

NetDoppler

Aplikace od WildPackets jsou ve vsech smerech univerzalni a vysoce konfigurovatelne.

Netdoppler

Aplikace: Wireshark & Ethereal

Filtrovani dat lze nejlepe demonstrovat pouzitim aplikace Wireshark. Ke vsemu dokaze po vlozeni platneho WEP klice desifrovat trafik a existuje i patch, ktery umoznuje primo z rozhrani Wireshark Packet Injection. Umi take data vykreslovat v grafech.

Format pro vkladani WEP & WPA klicu

wpa-pwd:heslo:SSID
wpa-psk:012345678910111213..
wep:b2:c3:d4:e5:f6

Samotne filtrovani dat lze realizovat rucne nebo pomoci GUI rozhrani

Tethereal lze spustit v konsole.

Dalsi z vychytavek jsou tkz. operatory..

eq nebo == Equal
ne nebo != Not Equal
gt nebo > Greater Than
lt nebo < Less Than
ge nebo >= Greater than or Equal to
le nebo <= Less than or Equal to

..a logicke vyrazi (jejich ekvivalenty).

and nebo && Logical AND
or nebo || Logical OR
not nebo ! Logical NOT

Syntax filtru je od pohledu pochopitelna. How to k aplikaci propracovane. Mnozstvi filtru a orientace v nich umoznuje detailni zkoumani kazdeho aspektu site.

Padla zminka o management ramcech. Toto je konkretni syntaxe pouzivana pro filtrovani Management ramcu. (Frame -> Filtr)

Association Request

wlan.fc.type_subtype == 0

Association Response

wlan.fc.type_subtype == 1

Probe Request

wlan.fc.type_subtype == 4

Probe Response

wlan.fc.type_subtype == 5

Beacon

wlan.fc.type_subtype == 8

Authentication

wlan.fc.type_subtype == 11

Deauthentication

wlan.fc.type_subtype == 12

Nejjednodusi filtrovani je filtrovani pomoci klicoveho slova – Protokolu. V seznamu je par relevantnich prikladu pro filtrovani protokolu a moznych kombinaci.

DNS

port 53

Telnet

telnet.auth.cmd

– auth command

Primy dotaz na ICQ ID.

aim_icq.owner_uid

– odchyti UID

POP3

pop.request

Detail:

HTTP

http.content_type[0:4] == „text“
http.request.method == „GET“
http.request.method == „POST“ (Odchyti pop3 hesla.)
http contains airdump.net
http.request

SMTP

smtp.request

Filtrovani podle IP (zdroj a cil).

ip.dst eq airdump.net
ip.src == 192.168.1.1

Obousmerny trafic – IP.

host 10.10.150.4

Cast MAC adresy.

eth.src[0:3] == 00:0e:a2

Kombinace – Protokol, Keyword, IP, value

http and frame[100-199] contains „pass“

tcp.port == 80 and ip.src == 192.168.2.1

ip.addr ne 10.100.52.1

contains – pro „value“
matches – pro „regular expression“

Testovani TCP SYN

tcp.flags & 0x02

Vylucovaci pravidla – Odfiltrovani

not ip or ip.dst ne 224.1.2.3

ip.dst ne 224.1.2.3 – restriktvine

Kombinace

ip.dst eq airdump.net & ip.dst ne 10.100.52.122

ip.dst eq airdump.net & ip.dst ne 10.100.52.12 & ip.dst ne 10.100.52.15

MAC Filter

wlan.bssid == 00:18:f8:c5:5d:3e

Odfiltrovani smeti v beaconu

!wlan.fc.type_subtype == 8

nebo

wlan.fc.type_subtype != 8

Management Frames Filter

wlan.fc.type == 0

Control Frames

wlan.fc.type == 1

Data Frames

wlan.fc.type == 2

Aplikace: Abel & Cain

Univerzalni nastroj, ktereho hlavni cast nese jmeno Cain. Ma pevne definovane moznosti. Z 5 podstatnych utoku umi pouze ARP Poisoning. Obsahuje radu dalsich nastroju. (stumbler, crack, dump systemovych hesel, vypocet hashe wpa atd.)

HEX Dump Boot Key

LSA Dump

WEP Dump


WPA-PSK kalkulačka

Prehledne a logicky clenene rozhrani a logu.

Po automatickem oskenovani adresniho rozsahu staci v tabulce oznacit pozadovane adresy.

V zalozce ARP lze sledovat routovani a objem prenesenych dat (aktivitu) PC v siti.

V dalsich zalozkach odchycene certifikaty, hlasove soubory, mapu managementu statickeho routovani nebo v zalozce Password zachycene hesla.

Karta, ktera neumi promiskuitu, je v apliakci Abel & Cain k nicemu. Vzdalene lze prostrednictvim Cain instalovat soubor Abel, pomoci ktereho lze ziskat na vzdalenem stroji konsoly.

Ettercap-ng

V soucastnosti sniffer, ktery implementuje vsechny popsane MITM utoky a mnozstvi uzitecnych pluginu. Vynika jednoduchym ovladanim.

Okno aplikace zobrazuje v realnem case vsechna sitova spojeni, podrobne statistiky, aktivni klienty v siti

Komplikace nelze ocekavat ani u ovladaciho panelu MITM.

Kam dál?