Внимание! На этой странице вы найдете материал урока из архивного курса по пентесту (Тестирование на проникновение во внутреннюю сеть под управлением Active Directory). Курс был написан в 2024 году и будет интересен системным администраторам, специалистам по защите данных и другим специалистам.
Полный список уроков доступен по тегу Архивный курс по пентесту Active Directory и на странице первого урока.
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в образовательных и ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!
- Умение захватывать сетевой трафик полезно на этапе разведки.
- Коммутаторы отправляют пакеты на нужный порт, а не на все порты, как концентраторы.
- Для захвата пакетов в такой сети можно использовать SPAN или TAP.
- Сетевая карта компьютера имеет MAC-адрес, который определяет, какие кадры она принимает.
- В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.
- Захват трафика лучше производить устройством, настроенным в режиме listen only.
- Сетевая карта отбрасывает кадры, у которых не сходится контрольная сумма или имеющие неправильный размер.
В предыдущем уроке мы научились захватывать трафик с помощью Wireshark и tcpdump и разобрались, почему это было так просто сделать на виртуальном стенде GOAD.
Умение захватывать сетевой трафик для его последующего анализа является полезным навыком на этапе разведки, поэтому продолжим разбираться в тонкостях.
После хабов появились коммутаторы. Коммутаторы, в отличии от концентраторов, при получении пакета отправляют его на нужный, а не на все порты. То есть все остальные порты никогда не увидят этот пакет (если он не широковещательный (broadcast) или многоадресный (multicast)), включая устройство захвата трафика. Напомню, коммутатор - устройство второго уровня и работают с MAC-адресами устройств.
Что же делать, чтобы захватить пакеты в такой сети? Хотя бы часть сетевого трафика? Поговорим об этом далее
SPAN и TAP
Если у вас есть доступ к коммутатору и у него есть функция SPAN, то проблем с захватом сетевого трафика, проходящего через этот коммутатор у вас не возникнет.
Другим способом захвата является использование ответвителя сетевого трафика (TAP) - аппаратное устройство для перехвата, дублирования и передачи в аналитические системы.
Мы ушли немного в сторону. Как правило, доступ у нас есть только к сетевой розетке или компьютеру, подключённому к ней. Вернёмся назад.
Сетевая карта
Сетевая карта компьютера имеет уникальный (почти) физический адрес, который называется MAC-адресом. Проблема захвата сетевого трафика состоит в том, что в нормальном режиме работы сетевая карта принимает только те кадры, которые адресованы ей. Тогда как работает захват трафика при помощи Wireshark и tcpdump, которые мы рассмотрели ранее?
Было бы неплохо отключить фильтр MAC-адресов. И это возможно. Такой режим работы сетевой карты называется неразборчивым (Promiscuous Mode).
В неразборчивом режиме работы сетевая карта принимает все проходящие через нее пакеты.
Такие программы как Wireshark и tcpdump по умолчанию включают Promiscuous Mode при захвате трафика.
Что ещё важно при захвате сетевого трафика? Захват трафика лучше производить устройством не участвующем в обмене данными и настроенном в режиме listen only - прием кадров.
То что сетевая карта выкидывает все кадры, которые ей не адресованы мы выяснили. Но и это не все. Она также отбрасывает все кадры, у которых не сходится контрольная сумма, слишком большого или маленького размера.
По этому вопросу, думаю, хватит. Если хотите углубиться в данный материал, то рекомендую прочитать следующий цикл статей.
- The Network Capture Playbook Part 1 – Ethernet Basics
- The Network Capture Playbook Part 2 – Speed, Duplex and Drops
- The Network Capture Playbook Part 3 – Network cards
- The Network Capture Playbook Part 4 – SPAN Port In-Depth
- The Network Capture Playbook Part 5 – Network TAP Basics
- The Network Capture Playbook Part 6 – Planning Network Troubleshooting
Далее мы будем учиться сканировать порты найденных активных хостов.
Переходите к следующему уроку курса, а так же не забудьте посмотреть новый материал на Codebra по тегам Пентест и Active Directory.
